Đang tải... (xem toàn văn)
Tiêu chí Bảo mật Tối thiểu Nhà sản xuất Nước ngoài Để thúc đẩy văn hóa bảo mật, các Thành viên CTPAT cần thể hiện cam kết của mình đối với bảo mật chuỗi cung ứng và với Chương trình CTPAT thông qua một tuyên bố hậu thuẫn. Tuyên bố nên được một quan chức cấp cao của công ty ký và được trưng bày ở các địa điểm thích hợp trong công ty. Tuyên bố hậu thuẫn cần nhấn mạnh tầm quan trọng của việc bảo vệ chuỗi cung ứng tránh các hoạt động tội phạm như buôn bán ma túy, khủng bố, buôn người và buôn lậu trái phép. Các quan chức cấp cao của công ty là người hậu thuẫn và ký tên vào bản tuyên bố có thể bao gồm chủ tịch, tổng giám đốc điều hành, tổng quản đốc, hoặc giám đốc an ninh. Các nơi trưng bày tuyên bố hậu thuẫn bao gồm trang web của công ty, trên các áp phích tại các khu vực chính của công ty (quầy tiếp tân; đóng hàng; kho hàng, v.v.) vàhoặc là một phần trong các hội thảo bảo mật của công ty, v.v. Nên 1.2 Để xây dựng Chương trình Bảo mật Chuỗi Cung ứng mạnh mẽ, công ty nên kết nối các đại diện từ tất cả các bộ phận liên quan vào một nhóm đa chức năng. Các biện pháp bảo mật mới này cần được đưa vào các quy trình hiện có của công ty nhằm tạo ra một cấu trúc bền vững hơn và Bảo mật Chuỗi Cung ứng có phạm vi lớn hơn nhiều so với các chương trình bảo mật truyền thống. Nó đan xen với việc bảo mật trong nhiều bộ phận như Nhân sự, Công nghệ thông tin, và các văn phòng XuấtNhập khẩu. Các chương trình Bảo mật Chuỗi Cung ứng, vốn được xây dựng theo mô hình có tính truyền thống hơn và dựa vào bảo mật theo phòng ban, có thể ít khả thi hơn về lâu về dài vì
Tiêu chí Bảo mật Tối thiểu - Nhà sản xuất Nước ngồi Tháng 1-2020 Lưu ý: Số tiêu chí không theo thứ tự Số ID không liệt kê không áp dụng Nhà sản xuất Nước Lĩnh vực Trọng tâm Đầu tiên: An ninh Doanh nghiệp Tầm nhìn Trách nhiệm Bảo mật – Để chương trình bảo mật chuỗi cung ứng Thành viên CTPAT có hiệu trì hiệu quả, cần phải có hỗ trợ quản lý cấp công ty Xây dựng bảo mật thành phần khơng thể thiếu văn hóa cơng ty đảm bảo ưu tiên tồn công ty chủ yếu trách nhiệm lãnh đạo cơng ty ID Tiêu chí Hướng dẫn Thực 1.1 Để thúc đẩy văn hóa bảo mật, Thành viên CTPAT cần thể cam kết bảo mật chuỗi cung ứng với Chương trình CTPAT thông qua tuyên bố hậu thuẫn Tuyên bố nên quan chức cấp cao công ty ký trưng bày địa điểm thích hợp cơng ty 1.2 Để xây dựng Chương trình Bảo mật Chuỗi Cung ứng mạnh mẽ, công ty nên kết nối đại diện từ tất phận liên quan vào nhóm đa chức Tuyên bố hậu thuẫn cần nhấn mạnh tầm quan trọng việc bảo vệ chuỗi cung ứng tránh hoạt động tội phạm buôn bán ma túy, khủng bố, buôn người buôn lậu trái phép Các quan chức cấp cao công ty người hậu thuẫn ký tên vào tuyên bố bao gồm chủ tịch, tổng giám đốc điều hành, tổng quản đốc, giám đốc an ninh Các nơi trưng bày tuyên bố hậu thuẫn bao gồm trang web công ty, áp phích khu vực cơng ty (quầy tiếp tân; đóng hàng; kho hàng, v.v.) và/hoặc phần hội thảo bảo mật công ty, v.v Bảo mật Chuỗi Cung ứng có phạm vi lớn nhiều so với chương trình bảo mật truyền thống Nó đan xen với việc bảo mật nhiều phận Nhân sự, Công nghệ thông tin, văn phịng Xuất/Nhập Các chương trình Bảo mật Chuỗi Cung ứng, vốn xây dựng theo mô hình có tính truyền thống dựa vào bảo mật theo phịng ban, khả thi lâu dài Các biện pháp bảo mật cần đưa vào quy trình có cơng ty nhằm tạo cấu trúc bền vững Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải / Nên Nên Nên ID 1.3 Tiêu chí Hướng dẫn Thực để nhấn mạnh bảo mật chuỗi cung ứng trách nhiệm người trách nhiệm thực biện pháp bảo mật tập trung nhân viên đó, dễ bị ảnh hưởng nhân chủ chốt Chương trình bảo mật chuỗi cung ứng phải thiết kế, hỗ trợ thực qua phần đánh giá văn phù hợp Mục đích phần đánh giá ghi nhận việc có sẵn hệ thống, nhân viên chịu trách nhiệm nhiệm vụ họ tất quy trình bảo mật vạch chương trình bảo mật thực thiết kế Kế hoạch đánh giá phải cập nhật cần dựa thay đổi thích hợp hoạt động mức độ rủi ro tổ chức Mục đích việc đánh giá nhằm phục vụ cho mục đích CTPAT nhằm đảm bảo nhân viên tuân thủ quy trình bảo mật cơng ty Quy trình đánh giá không cần phải phức tạp Thành viên định phạm vi đánh giá mức độ chuyên sâu dựa vai trị chuỗi cung ứng, mơ hình kinh doanh, mức độ rủi ro khác biệt địa điểm/mặt cụ thể Phải / Nên Phải Các cơng ty nhỏ xây dựng phương pháp đánh giá đơn giản; ngược lại, tập đồn lớn, đa quốc gia cần quy trình bao qt cần xem xét yếu tố khác yêu cầu pháp lý địa phương, v.v Một số cơng ty lớn có đội ngũ kiểm tốn viên tận dụng để giúp đánh giá bảo mật Thành viên định sử dụng đánh giá nhắm mục tiêu nhỏ hướng vào thủ tục cụ thể Các lĩnh vực chuyên biệt, chủ chốt bảo mật chuỗi cung ứng kiểm tra kiểm sốt niêm phong trải qua đánh giá cụ thể cho lĩnh vực Tuy nhiên, việc tiến hành đánh giá tổng thể định kỳ để đảm bảo tất lĩnh vực chương trình bảo mật hoạt động thiết kế điều hữu ích Nếu thành viên tiến hành đánh phần đánh giá hàng năm, q trình đủ để đáp ứng tiêu chí Đối với thành viên có chuỗi cung ứng có rủi ro cao (được xác định đánh giá rủi ro), diễn tập mô giả lập đưa vào chương trình đánh giá để đảm bảo nhân viên biết cách phản ứng trường hợp xảy cố an ninh thực 1.4 (Các) đầu mối liên lạc cơng ty (POC) với CTPAT phải có kiến thức yêu cầu chương trình CTPAT Những cá nhân CTPAT đòi hỏi POC định cá nhân chủ động tham gia giao tiếp tốt với Chuyên gia Bảo mật Chuỗi Cung ứng Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải ID - Tiêu chí Hướng dẫn Thực cần cung cấp cập nhật thường xuyên cho quản lý cấp vấn đề liên quan đến chương trình, bao gồm tiến độ kết kiểm toán, diễn tập liên quan đến bảo mật xác nhận CTPAT Thành viên xác định thêm cá nhân giúp hỗ trợ chức cách liệt kê họ dạng đầu mối liên hệ Cổng thông tin CTPAT Phải / Nên - Đánh giá Rủi ro – Mối đe dọa liên tục nhóm khủng bố tổ chức tội phạm nhắm vào chuỗi cung ứng cho thấy Thành viên cần phải đánh giá mức độ dễ bị tổn thương thời tiềm tàng từ mối đe dọa biến động CTPAT nhận cơng ty có nhiều chuỗi cung ứng với nhiều đối tác kinh doanh, công ty phải đối mặt với phức tạp lớn việc đảm bảo an ninh cho chuỗi cung ứng Khi cơng ty có nhiều chuỗi cung ứng, cơng ty nên tập trung vào khu vực địa lý/chuỗi cung ứng có rủi ro cao Khi xác định rủi ro chuỗi cung ứng mình, Thành viên phải xem xét yếu tố khác mơ hình kinh doanh, vị trí địa lý nhà cung cấp khía cạnh khác đặc thù cho chuỗi cung ứng cụ thể Định nghĩa Chính: Rủi ro – Một thước đo tác hại tiềm tàng từ kiện không mong muốn bao gồm mối đe dọa, tính dễ bị tổn thương hậu Điều định mức độ rủi ro mối đe dọa có khả xảy Khả xảy cao thường tương đương với mức độ rủi ro cao Rủi ro khơng loại bỏ, giảm thiểu cách quản lý – hạ giảm mức độ dễ bị tổn thương tác động tổng thể đến doanh nghiệp ID Tiêu chí Hướng dẫn thực 2.1 Thành viên CTPAT phải tiến hành ghi lại mức độ rủi ro chuỗi cung ứng Thành viên CTPAT phải tiến hành đánh giá rủi ro tổng thể (RA) để xác định nơi tồn lỗ hổng bảo mật RA phải xác định mối đe dọa, đánh giá rủi ro kết hợp biện pháp bền vững để giảm thiểu lỗ hổng Thành viên phải xem xét yêu cầu CTPAT cụ thể Đánh giá rủi ro tổng thể (RA) gồm hai phần Phần tự đánh giá quy trình, thủ tục sách bảo mật chuỗi cung ứng Thành viên sở mà Thành viên kiểm sốt để xác minh tn thủ tiêu chí bảo mật tối thiểu CTPAT đánh giá quản lý tổng thể cách quản lý rủi ro Phần thứ hai RA đánh giá rủi ro quốc tế Phần RA bao gồm việc xác định (các) mối đe dọa địa lý dựa mơ hình kinh doanh vai trò Thành viên chuỗi cung ứng Khi xem xét tác động có mối đe dọa an ninh chuỗi cung ứng thành viên, thành viên cần có phương pháp để đánh giá phân biệt mức độ rủi ro Một phương pháp đơn giản đặt mức độ rủi ro thấp, trung bình cao Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải/ Nên Phải ID - 2.2 2.3 Tiêu chí Hướng dẫn thực vai trò thành viên chuỗi cung ứng Phần quốc tế đánh giá rủi ro nên ghi lại lập đồ vận chuyển hàng hóa Thành viên tồn chuỗi cung ứng, từ điểm xuất phát đến trung tâm phân phối nhà nhập Việc lập đồ nên bao gồm tất đối tác kinh doanh liên quan trực tiếp gián tiếp đến việc xuất khẩu/vận chuyển hàng hóa CTPAT soạn hướng dẫn Đánh giá Rủi ro Năm bước để trợ giúp việc thực phần đánh giá rủi ro quốc tế đánh giá rủi ro chung thành viên xem trang web Cơ quan Hải quan Biên phòng Hoa Kỳ (CPB) https://www.cbp.gov/sites/default/files/documents/CTPAT%27s%20Five%20Step%20Risk%20Assessment%20Process.pdf Đối với Thành viên có chuỗi cung ứng rộng khắp, trọng tâm nên đặt vào lĩnh vực có rủi ro cao Khi xây dựng quy trình để lập đồ chuỗi cung ứng, lĩnh vực rủi ro cao nên xem xét Phải/ Nên - Nên Khi ghi lại chuyển động hàng hóa, Thành viên phải xem xét tất bên có liên quan - bao gồm người xử lý chứng từ xuất nhập môi giới hải quan người khác khơng trực tiếp xử lý hàng hóa, kiểm sốt hoạt động Hãng vận chuyển chung khơng vận hành tàu (NVOCC) nhà cung cấp dịch vụ hậu cần bên thứ ba (3PL) Nếu phần trình vận chuyển giao cho nhà thầu phụ, điều cần phải xem xét có nhiều thành phần gián tiếp, rủi ro liên quan lớn Tùy tình hình, việc lập đồ nên bao gồm ghi lại cách thức hàng hóa di chuyển vào khỏi sở vận chuyển/trung tâm vận chuyển hàng hóa lưu ý xem hàng hóa có “nằm yên” địa điểm thời gian dài hay khơng Hàng hóa dễ bị tổn thương “nằm yên”, chờ để di chuyển đến chặng hành trình Việc lập đồ bao gồm việc tìm hiểu sâu cách thức hoạt động chuỗi cung ứng Bên cạnh việc xác định rủi ro, nên tìm lĩnh vực mà chuỗi cung ứng khơng hiệu quả, điều dẫn đến việc tìm cách giảm chi phí thời gian cần có để nhận sản phẩm Đánh giá rủi ro phải xem xét hàng năm, thường xuyên tùy vào yếu tố rủi ro chi phối Các trường hợp đòi hỏi xem xét đánh giá rủi ro thường xuyên lần năm bao gồm mức độ đe dọa gia tăng từ quốc gia cụ thể, giai đoạn cảnh báo tăng cao, sau xảy vi phạm cố an ninh, thay đổi đối tác kinh doanh và/hoặc thay đổi cấu trúc công ty/tỷ lệ sở hữu sáp nhập mua lại, v.v Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải ID Tiêu chí Hướng dẫn thực 2.4 Thành viên CTPAT nên có sẵn quy trình văn nhằm giải việc quản lý khủng hoảng, tính liên tục doanh nghiệp, kế hoạch phục hồi an ninh nối lại hoạt động kinh doanh Khủng hoảng bao gồm gián đoạn chuyển tải liệu thương mại công mạng, hỏa hoạn lái xe hãng vận chuyển bị công cá nhân có vũ trang Dựa rủi ro nơi Thành viên hoạt động nhận nguồn cung cấp, kế hoạch dự phịng bao gồm thông báo hỗ trợ bảo mật bổ sung; cách thức phục hồi bị hủy hoại bị đánh cắp trở lại trạng thái hoạt động bình thường Phải/ Nên Nên Đối tác Kinh doanh – Thành viên CTPAT tham gia với nhiều đối tác kinh doanh khác nhau, nước quốc tế Đối với đối tác kinh doanh trực tiếp xử lý hàng hóa và/hoặc chứng từ xuất/nhập khẩu, Thành viên cần đảm bảo đối tác kinh doanh có biện pháp bảo mật thích hợp để tiếp nhận hàng hóa cách an tồn chuỗi cung ứng quốc tế Khi đối tác kinh doanh thuê nhà thầu phụ cho số chức định, bổ sung thêm mức độ phức tạp vào quy trình, điều phải xem xét tiến hành phân tích rủi ro chuỗi cung ứng Định nghĩa Chính: Đối tác Kinh doanh – Đối tác kinh doanh cá nhân công ty mà hành động họ ảnh hưởng đến dây chuyền bảo đảm an tồn cho hàng hóa nhập vào xuất từ Hoa Kỳ thông qua chuỗi cung ứng Thành viên CTPAT Đối tác kinh doanh bên cung cấp dịch vụ để đáp ứng nhu cầu chuỗi cung ứng quốc tế cơng ty Những vai trị bao gồm tất bên (cả trực tiếp gián tiếp) có liên quan việc mua, chuẩn bị tài liệu, tạo điều kiện, xử lý, lưu trữ, và/hoặc vận chuyển hàng hóa cho, đại diện cho, Thành viên CTPAT nhập hay xuất Hai ví dụ đối tác gián tiếp hãng vận chuyển ký hợp đồng phụ kho gom hàng nước - xếp đại lý/nhà cung cấp dịch vụ hậu cần Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước ngồi | Tháng 1-2020 Trang ID Tiêu chí Hướng dẫn thực 3.1 Thành viên CTPAT phải có quy trình dựa rủi ro văn để sàng lọc đối tác kinh doanh để giám sát đối tác Một yếu tố mà Thành viên nên đưa vào quy trình kiểm tra hoạt động liên quan đến rửa tiền tài trợ khủng bố Để hỗ trợ trình này, vui lòng tham khảo Chỉ số cảnh báo CTPAT hoạt động rửa tiền tài trợ khủng bố dựa thương mại Sau ví dụ số yếu tố kiểm tra giúp xác định xem cơng ty có hợp pháp khơng: • Xác minh địa kinh doanh công ty thời gian họ hoạt động địa bao lâu; • Tiến hành nghiên cứu internet công ty nhân chủ chốt; • Kiểm tra nguồn giới thiệu doanh nghiệp; • u cầu báo cáo tín dụng Phải/ Nên Phải Ví dụ đối tác kinh doanh cần sàng lọc gồm đối tác kinh doanh trực tiếp nhà sản xuất, nhà cung cấp sản phẩm, nhà bán hàng/nhà cung cấp dịch vụ liên quan nhà cung cấp dịch vụ vận chuyển/hậu cần Bất kỳ nhà bán hàng /nhà cung cấp dịch vụ liên quan trực tiếp đến chuỗi cung ứng công ty và/hoặc xử lý thông tin/thiết bị nhạy cảm đưa vào danh sách sàng lọc; điều bao gồm nhà môi giới nhà cung cấp CNTT theo hợp đồng Sàng lọc sâu đến đâu phụ thuộc vào mức độ rủi ro chuỗi cung ứng 3.4 3.5 Quá trình sàng lọc đối tác kinh doanh phải tính đến việc đối tác Thành viên CTPAT hay thành viên chương trình Nhà điều hành kinh tế ủy quyền (AEO) phê duyệt qua Thỏa thuận công nhận lẫn (MRA) với Hoa Kỳ (hoặc MRA phê duyệt) Chứng nhận CTPAT AEO phê duyệt chứng chấp nhận coi đáp ứng yêu cầu chương trình cho đối tác kinh doanh Thành viên phải có chứng chứng nhận tiếp tục theo dõi đối tác kinh doanh để đảm bảo họ trì chứng nhận Chứng nhận CTPAT đối tác kinh doanh xác minh thơng qua hệ thống Giao diện Xác minh Trạng thái Cổng thông tin CTPAT Khi Thành viên CTPAT thuê gọi thầu phụ thành tố chuỗi cung ứng mình, Thành viên phải Các nhà nhập xuất có xu hướng th ngồi phần lớn hoạt động chuỗi cung ứng họ Các nhà nhập (và Phải Nếu chứng nhận đối tác kinh doanh từ chương trình AEO nước ngồi theo MRA với Hoa Kỳ, chứng nhận AEO nước bao gồm thành phần phần bảo mật Các thành viên truy cập vào trang web quan Hải quan nước ngồi, nơi có liệt kê tên AEO quan Hải quan đó, yêu cầu chứng nhận trực tiếp từ đối tác kinh doanh Các MRA Hoa Kỳ bao gồm: New Zealand, Canada, Jordan, Nhật Bản, Hàn Quốc, Liên minh châu Âu (28 nước thành viên), Đài Loan, Israel, Mexico, Singapore, Cộng hịa Dominica Peru Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải ID - Tiêu chí thực thẩm định (thông qua chuyến thăm, bảng câu hỏi, v.v.) để đảm bảo đối tác kinh doanh có biện pháp bảo mật đáp ứng vượt Tiêu chí Bảo mật Tối thiểu (MSC) CTPAT Hướng dẫn thực số nhà xuất khẩu) bên giao dịch thường có tầm ảnh hưởng lên đối tác kinh doanh họ yêu cầu thực biện pháp bảo mật toàn chuỗi cung ứng họ, bảo đảm Đối với đối tác kinh doanh thành viên CTPAT thành viên MRA chấp nhận, Thành viên CTPAT thực thẩm định để đảm bảo (khi có tầm ảnh hưởng để làm vậy) đối tác kinh doanh đáp ứng tiêu chí bảo mật thích ứng chương trình Để xác minh tuân thủ yêu cầu bảo mật, nhà nhập tiến hành đánh giá bảo mật với đối tác kinh doanh họ Quá trình xác định cần thu thập thơng tin liên quan đến chương trình bảo mật đối tác kinh doanh dựa vào đánh giá rủi ro Thành viên, có nhiều chuỗi cung ứng, cần ưu tiên lĩnh vực có nguy cao Xác định xem đối tác kinh doanh có tn thủ MSC hay khơng thực theo nhiều cách Dựa rủi ro, cơng ty thực kiểm toán thực địa sở, thuê nhà thầu/nhà cung cấp dịch vụ để thực kiểm toán chỗ, sử dụng bảng câu hỏi bảo mật Nếu sử dụng bảng câu hỏi bảo mật, mức độ rủi ro xác định mức độ chi tiết chứng cần thu thập Có thể yêu cầu thêm chi tiết từ công ty nằm vùng rủi ro cao Nếu Thành viên gửi bảng câu hỏi bảo mật cho đối tác kinh doanh mình, cân nhắc yêu cầu mục sau đây: • Tên chức danh (những) người trả lời bảng câu hỏi; • Ngày hồn thành; • Chữ ký (các) cá nhân trả lời bảng câu hỏi; • * Chữ ký quan chức cấp cao công ty, giám sát viên an ninh đại diện cơng ty ủy quyền để chứng thực tính xác bảng câu hỏi; • Cung cấp đủ chi tiết câu trả lời để xác định tuân thủ; • Dựa rủi ro giao thức bảo mật địa phương cho phép, bổ sung chứng hình ảnh, sách/thủ tục biểu mẫu điền danh mục kiểm tra Thiết bị Vận chuyển Quốc tế và/hoặc sổ bảo vệ * Chữ ký điện tử Nếu khó lấy/xác minh chữ ký, người trả lời chứng thực tính hợp lệ câu hỏi qua email xác nhận câu trả Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải/ Nên - ID 3.6 Tiêu chí Hướng dẫn thực lời chứng củng cố kèm theo người giám sát/người quản lý phê duyệt (cần có tên chức vụ) Nếu xác định điểm yếu đánh giá bảo mật đối tác kinh doanh, chúng phải xử lý sớm tốt việc khắc phục phải thực kịp thời Thành viên phải xác nhận thiếu sót giảm nhẹ thông qua chứng dạng tài liệu CTPAT thừa nhận có mốc thời gian khác để thực chỉnh sửa dựa cần thiết cho việc chỉnh sửa Cài đặt thiết bị phần cứng thường nhiều thời gian thay đổi thủ tục, lỗ hổng bảo mật phải giải phát Ví dụ: Nếu vấn đề thay hàng rào bị hư hỏng, trình mua hàng rào cần bắt đầu (giải thiếu sót) lắp đặt hàng rào (hành động khắc phục) cần phải diễn Dựa mức độ rủi ro liên quan tầm quan trọng điểm yếu tìm thấy, số vấn đề cần ý Ví dụ, thiếu sót gây nguy hiểm cho an ninh container, cần giải sớm tốt Một số ví dụ chứng dạng tài liệu bao gồm hợp đồng cho nhân viên bảo vệ bổ sung, ảnh chụp camera an ninh báo động xâm nhập cài đặt danh mục kiểm tra, v.v Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải/ Nên Phải ID Tiêu chí Hướng dẫn thực 3.7 Để đảm bảo đối tác kinh doanh tiếp tục tuân thủ tiêu chí bảo mật CTPAT, Thành viên nên cập nhật đánh giá bảo mật đối tác kinh doanh cách thường xuyên hoàn cảnh/rủi ro đặt yêu cầu Định kỳ xem xét đánh giá bảo mật đối tác kinh doanh điều quan trọng để đảm bảo chương trình bảo mật mạnh mẽ áp dụng hoạt động xác Nếu thành viên khơng u cầu cập nhật đánh giá chương trình bảo mật đối tác kinh doanh, Thành viên chương trình hiệu khơng cịn hiệu quả, gây nguy hiểm cho chuỗi cung ứng thành viên Quyết định tần suất xem xét đánh giá bảo mật đối tác dựa vào quy trình đánh giá rủi ro Thành viên Chuỗi cung ứng rủi ro cao yêu cầu có đánh giá thường xuyên so với chuỗi rủi ro thấp Nếu Thành viên đánh giá bảo mật đối tác kinh doanh cách trực tiếp thăm quan, nên xem xét tận dụng loại kiểm tra khác Ví dụ, đào tạo chéo nhân viên kiểm tra việc kiểm soát chất lượng để tiến hành xác minh bảo mật Các trường hợp yêu cầu cập nhật thường xuyên việc tự đánh giá bao gồm mức độ đe dọa gia tăng từ nước cung cấp, thay đổi vị trí cung cấp, đối tác kinh doanh quan trọng (những người thực xử lý hàng hóa, cung cấp bảo vệ cho sở, v.v.) Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang Phải/ Nên Nên ID Tiêu chí Hướng dẫn thực 3.8 Đối với chuyến hàng đến Hoa Kỳ, Thành viên ký hợp đồng dịch vụ vận chuyển với hãng vận tải đường khác, Thành viên phải sử dụng hãng vận chuyển đường CTPAT chứng nhận hãng vận chuyển đường làm việc trực tiếp cho Thành viên vạch qua hợp đồng văn Hợp đồng phải quy định việc tuân thủ tất yêu cầu tiêu chí bảo mật tối thiểu (MSC) Hãng vận chuyển phải cung cấp danh sách hãng vận tải tài xế ký hợp đồng phụ tới sở nơi nhận giao hàng Mọi thay đổi danh sách nhà thầu phụ cần chuyển đến đối tác liên quan Khi xem xét nhà cung cấp dịch vụ tuân thủ, Thành viên cần xác minh công ty ký hợp đồng phụ thực công ty vận chuyển hàng không tiếp tục ký hợp đồng phụ chở hàng mà không phê duyệt Thành viên nên hạn chế gọi nhà thầu phụ dịch vụ vận chuyển xuống cấp Nếu cho phép trường hợp ngoại lệ phép gọi thầu phụ thêm cấp nữa, Thành viên CTPAT bên chuyển hàng phải thông báo hàng ký hợp đồng phụ thêm cấp Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 10 Phải/ Nên Phải An ninh Nông nghiệp – Nông nghiệp ngành tạo việc làm lớn Mỹ Đây ngành bị đe dọa ô nhiễm động vật thực vật đưa từ nước vào đất, phân, hạt giống vật chất động, thực vật gây hại, dung dưỡng sâu bệnh xâm nhập phá hoại Loại bỏ chất gây ô nhiễm tất phương tiện vận chuyển tất loại hàng hóa làm giảm thời gian lưu hàng CBP, giảm chậm trễ, giảm lượng hàng hóa trả phải xử lý Đảm bảo tuân thủ yêu cầu nông nghiệp CTPAT giúp bảo vệ ngành kinh tế yếu Hoa Kỳ nguồn cung thực phẩm tồn cầu nói chung Định nghĩa Chính: Ơ nhiễm dịch hại – Tổ chức Hàng hải Quốc tế định nghĩa ô nhiễm dịch hại dạng động vật, côn trùng động vật không xương sống khác (còn sống chết, giai đoạn vòng đời nào, bao gồm vỏ trứng ấu trùng) vật chất hữu có nguồn gốc động vật (bao gồm máu, xương, lơng, thịt, dịch tiết, tiết); thực vật nẩy mầm nẩy mầm sản phẩm thực vật (bao gồm trái cây, hạt, lá, cành, rễ, vỏ cây); vật chất hữu khác, bao gồm nấm; đất, nước; sản phẩm khơng phải hàng hóa liệt kê Cơng cụ Vận tải Quốc tế (ví dụ container, thiết bị tải hàng, v.v.) ID Tiêu chí Hướng dẫn thực 8.1 Các Thành viên CTPAT, theo mơ hình kinh doanh họ, phải có quy trình văn thiết kế để ngăn ngừa nhiễm dịch hại nhìn thấy, bao gồm việc tuân thủ quy định vật liệu đóng hàng gỗ (WPM) Các biện pháp phịng trừ dịch hại hữu hình phải tuân thủ toàn chuỗi cung ứng Các biện pháp liên quan đến WPM phải đáp ứng Tiêu chuẩn quốc tế biện pháp kiểm dịch thực vật số 15 (ISPM 15) Công WPM định nghĩa gỗ sản phẩm gỗ (không bao gồm sản phẩm giấy) sử dụng để hỗ trợ, bảo vệ vận chuyển hàng hóa WPM bao gồm mặt hàng pallet, thùng, hộp, cuộn chèn lót Thơng thường, mặt hàng làm gỗ thơ chưa trải qua trình xử lý xử lý chưa đủ để loại bỏ tiêu diệt sâu bệnh, phương tiện cho sâu bệnh xâm nhập lây lan Vật chèn lót nói riêng chứng minh có nguy cao để sâu bệnh xâm nhập lây lan IPPC hiệp ước đa phương giám sát Tổ chức Lương thực Nông nghiệp Liên Hợp Quốc nhằm bảo đảm phối hợp, hành động hiệu để ngăn chặn kiểm soát việc xâm nhập lây lan lồi gây hại nhiễm ISPM 15 bao gồm biện pháp quốc tế chấp nhận áp dụng cho WPM để giảm đáng kể nguy xâm nhập lây lan hầu hết lồi gây hại có liên quan đến WPM ISPM 15 ảnh hưởng đến tất vật liệu đóng hàng gỗ, yêu cầu chúng phải cạo vỏ sau xử lý nhiệt khử trùng methyl bromide đóng dấu gắn nhãn hiệu tuân thủ IPPC Dấu hiệu tn thủ gọi khơng thức "tem lúa mì" Các sản phẩm miễn trừ ISPM 15 làm từ vật liệu thay thế, sản phẩm giấy, kim loại, nhựa ván gỗ (ví dụ: ván sợi định hướng, ván cứng ván ép) Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 31 Phải / Nên Phải ID - Tiêu chí Hướng dẫn thực ước bảo vệ thực vật quốc tế (IPPC) Phải / Nên - - Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 32 Lĩnh vực Tập trung Thứ ba: An ninh Thực thể Con người An ninh Thực thể – Cơ sở lưu trữ xử lý hàng hóa, nơi lưu giữ Công cụ Vận tải Quốc tế sở nơi chuẩn bị tài liệu xuất nhập địa điểm ngồi nước phải có hàng rào chắn biện pháp ngăn chặn việc tiếp cận trái phép Một tảng CTPAT tính linh hoạt chương trình bảo mật nên điều chỉnh để phù hợp với hoàn cảnh công ty Nhu cầu an ninh thực thể thay đổi đa dạng dựa vai trị Thành viên chuỗi cung ứng, mơ hình kinh doanh mức độ rủi ro Các tiêu chí an ninh thực thể cung cấp số biện pháp ngăn chặn/chướng ngại giúp ngăn chặn việc tiếp cận khơng phép với hàng hóa, thiết bị nhạy cảm và/hoặc thông tin, Thành viên nên sử dụng biện pháp bảo mật toàn chuỗi cung ứng Hướng dẫn thực Phải / Nên ID Tiêu chí 9.1 Tất sở xử lý lưu trữ hàng hóa, bao gồm bãi xe kéo văn phịng phải có hàng rào chắn và/hoặc biện pháp ngăn chặn tiếp cận trái phép 9.2 Hàng rào chu vi nên bao bọc khu vực xung quanh sở xử lý lưu trữ hàng hóa Nếu sở dùng để xử lý hàng hóa, nên có thêm hàng rào bên để bảo vệ hàng hóa khu vực xử lý hàng hóa Dựa rủi ro, hàng rào bổ sung bên nên tách biệt loại hàng hóa khác hàng nước, quốc tế, giá trị cao và/hay hàng nguy hiểm Hàng rào nên nhân viên định kiểm tra thường xun tính tồn vẹn việc hư hại Nếu phát hư hại hàng rào, nên tiến hành sửa chữa sớm tốt Các rào cản chấp nhận khác sử dụng thay cho hàng rào, chẳng hạn tường ngăn cách phần mang tính tự nhiên thâm nhập cản trở việc xâm nhập vách đá dốc cối dày đặc Nên 9.4 Cổng có phương tiện và/hoặc nhân viên vào (cũng điểm vào khác) phải có người trơng coi giám sát Cá nhân phương tiện bị lục sốt theo luật địa phương luật lao động Số lượng cổng nên giữ mức tối thiểu cần vào, phù hợp an toàn Các điểm vào khác lối vào sở khơng có cổng Phải - Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 33 Phải ID Tiêu chí 9.5 Xe chở khách tư nhân nên bị cấm đậu liền kề với khu vực xử lý lưu trữ hàng hóa, phương tiện vận chuyển 9.6 Ánh sáng đầy đủ phải cung cấp bên bên sở, bao gồm, tùy tình hình, khu vực sau: lối vào lối ra, khu vực lưu trữ xử lý hàng hóa, hàng rào khu vực đỗ xe Cơng nghệ bảo mật nên sử dụng để giám sát sở ngăn chặn tiếp cận trái phép khu vực nhạy cảm 9.7 9.8 Các thành viên dựa vào công nghệ bảo mật để bảo vệ thực thể phải có sách quy trình văn điều chỉnh việc sử dụng, bảo trì bảo vệ cơng nghệ Tối thiểu, sách thủ tục phải quy định: • Việc vào địa điểm nơi công nghệ kiểm soát quản lý giới hạn nhân viên ủy quyền; • Các quy trình thực để kiểm tra/giám sát công nghệ cách thường xuyên; Hướng dẫn thực Ấn định khu vực đỗ xe bên ngồi khu vực có hàng rào và/hoặc khu vực hoạt động - có khoảng cách đáng kể từ khu vực xử lý lưu trữ hàng hóa Bộ hẹn tự động cảm biến ánh sáng tự động bật đèn an ninh thích hợp bổ sung hữu ích cho hệ thống chiếu sáng Công nghệ bảo mật điện tử sử dụng để bảo vệ/giám sát khu vực nhạy cảm điểm tiếp cận bao gồm: hệ thống báo động trộm (hàng rào bên trong), gọi Hệ thống Phát Xâm nhập (IDS); thiết bị kiểm soát truy cập; hệ thống giám sát video (VSS) - bao gồm Camera Quan sát Mạch kín (CCTV) Một hệ thống CCTV/VSS bao gồm thành phần camera thường (dùng cáp), camera dựa giao thức Internet (IP) (dùng mạng), thiết bị ghi âm, phần mềm quản lý video Các khu vực bảo vệ/nhạy cảm, cần giám sát video, bao gồm: khu vực lưu trữ xử lý hàng hóa, khu vực vận chuyển/nhận hàng, nơi lưu giữ tài liệu nhập , máy chủ CNTT, khu vực sân bãi kho lưu trữ cho Công cụ Vận tải Quốc tế (IIT), khu vực IIT kiểm tra, khu vực lưu trữ niêm phong Công nghệ bảo mật cần phải kiểm tra cách thường xuyên để đảm bảo hoạt động tốt Có hướng dẫn chung để tuân theo: • Kiểm tra hệ thống bảo mật sau thực công việc bảo trì nào; sau sửa chữa lớn, chỉnh sửa xây thêm cho tòa nhà sở Các thành phần hệ thống bị xâm phạm, cố ý vơ ý • Kiểm tra hệ thống bảo mật sau có thay đổi lớn dịch vụ điện thoại internet Bất điều ảnh hưởng đến khả giao tiếp hệ thống với trung tâm giám sát phải kiểm tra lại • Đảm bảo cài đặt video ghi hình có chuyển động kích Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 34 Phải / Nên Nên Phải Nên Phải ID - Tiêu chí Hướng dẫn thực • Việc kiểm tra bao gồm xác minh tất thiết bị hoạt động tốt tùy trường hợp, thiết bị đặt vị trí; hoạt hệ thống; cảnh báo phát chuyển động; hình ảnh giây (IPS) mức chất lượng, thiết lập đắn • Kết kiểm tra kiểm tra hiệu suất ghi hồ sơ; • Đảm bảo ống kính camera (hoặc vòm bảo vệ camera) ống kính tiêu cự Tầm nhìn khơng để bị giới hạn chướng ngại vật ánh đèn sáng chói • Nếu cần có hành động khắc phục, cần thực sớm tốt biện pháp khắc phục ghi hồ sơ; Phải / Nên - • Kiểm tra để đảm bảo camera an ninh đặt vị trí giữ vị trí (camera bị cố ý vơ tình di chuyển) • Các kết ghi hồ sơ từ kiểm tra phải lưu giữ thời gian đủ cho mục đích kiểm tốn Nếu sử dụng trạm giám sát trung tâm bên thứ ba (bên ngồi cở), Thành viên CTPAT phải có quy trình văn quy định chức hệ thống yếu giao thức xác thực (nhưng không giới hạn đối với) thay đổi mã bảo mật, thêm bớt nhân viên ủy quyền, sửa đổi mật khẩu, truy cập từ chối cho vào hệ thống 9.9 Các sách quy trình cơng nghệ bảo mật phải xem xét cập nhật hàng năm, thường xuyên hơn, tùy mức độ rủi ro hoàn cảnh Thành viên CTPAT nên sử dụng nguồn lực có giấy phép/được chứng nhận cân nhắc thiết kế cài đặt công nghệ bảo mật Công nghệ bảo mật ngày phức tạp phát triển nhanh chóng Thơng thường cơng ty mua công nghệ bảo mật sai, hoạt động không hiệu cần và/hoặc trả tiền nhiều mức cần thiết Tìm kiếm hướng dẫn có chất lượng giúp người mua chọn tùy chọn công nghệ phù hợp với nhu cầu ngân sách họ Nên Theo Hiệp hội nhà thầu điện tử quốc gia (NECA), Hoa Kỳ 33 tiểu bang đòi hỏi giấy phép hành nghề cho chuyên gia tham gia lắp đặt hệ thống an ninh báo động 9.10 Tất sở hạ tầng công nghệ bảo mật phải bảo mật mặt vật lý khỏi tiếp cận trái phép Cơ sở hạ tầng công nghệ bảo mật bao gồm máy tính, phần mềm bảo mật, bảng điều khiển điện tử, video giám sát camera ghi hình Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 35 Phải ID - Tiêu chí Hướng dẫn thực - mạch kín, phận nguồn ổ cứng cho camera, ghi âm Tội phạm tìm cách xâm nhập hệ thống an ninh cố gắng vơ hiệu hóa nguồn điện cho hệ thống bảo mật để thực ý đồ Do đó, điều quan trọng phải có nguồn lượng thay cho hệ thống bảo mật Nguồn điện thay nguồn phát điện phụ pin dự phòng Máy phát điện dự phịng sử dụng cho hệ thống quan trọng khác chiếu sáng Phải / Nên - 9.11 Các hệ thống công nghệ bảo mật nên lắp đặt với nguồn lượng thay thế, cho phép hệ thống tiếp tục hoạt động trường hợp bất ngờ điện trực tiếp 9.12 Nếu hệ thống camera triển khai, camera phải giám sát sở khu vực nhạy cảm để ngăn chặn tiếp cận trái phép Nên sử dụng báo động để cảnh báo cho công ty việc tiếp cận trái phép khu vực nhạy cảm Các khu vực nhạy cảm, tùy tình hình, bao gồm khu vực lưu trữ xử lý hàng hóa, khu vực vận chuyển/nhận hàng, nơi lưu giữ chứng từ nhập khẩu, máy chủ CNTT, sân bãi khu vực lưu trữ Công cụ Vận tải Quốc tế (IIT), khu vực kiểm tra IIT khu vực lưu trữ niêm phong Nên 9.13 Nếu hệ thống camera triển khai, camera phải định vị để bao quát khu vực sở liên quan đến q trình nhập/xuất Định vị xác camera quan trọng phép camera ghi lại nhiều tốt giai đoạn giao nhận thực tế phạm vi kiểm soát sở Phải Camera nên lập trình để ghi hình với chất lượng hình ảnh cao mức có sẵn cài đặt để ghi hình 24/7 Dựa rủi ro, khu vực quy trình bao gồm khu vực xử lý lưu trữ hàng hóa; vận chuyển/nhận hàng; q trình đóng hàng; q trình niêm phong; phương tiện vận chuyển đến/đi; máy chủ CNTT; kiểm tra container (an ninh nông nghiệp); lưu trữ niêm phong; lĩnh vực khác liên quan đến việc đảm bảo lô hàng quốc tế Nếu hệ thống camera triển khai, camera nên có tính báo động/thơng báo, báo hiệu cố “khơng hoạt động/ghi hình” Hệ thống giám sát video ngưng hoạt động kết việc vơ hiệu hóa hệ thống để xâm phạm chuỗi cung ứng mà không để lại chứng video tội phạm Chức khơng hoạt động tạo thông báo điện tử gửi đến (các) nhân định trước thông báo cho họ thiết bị cần sửa chữa 9.14 Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 36 Nên Nên ID Tiêu chí Hướng dẫn thực 9.15 Nếu hệ thống camera triển khai, phải tiến hành xem ngẫu nhiên, cách định kỳ, cảnh quay camera (bởi ban quản lý, an ninh nhân viên định khác) để xác minh quy trình an ninh hàng hóa tn thủ theo quy định pháp luật Kết lần xem video phải tóm tắt văn để bao gồm hành động khắc phục thực Các kết phải lưu trữ thời gian đủ dài cho mục đích kiểm tốn Nếu cảnh quay camera xem có cố (như phần điều tra sau vi phạm an ninh, v.v.), khơng phát huy tồn lợi ích việc gắn camera Camera khơng công cụ điều tra Nếu sử dụng cách chủ động, chúng giúp ngăn chặn vi phạm an ninh xảy từ đầu Tập trung xem ngẫu nhiên cảnh quay giao nhận thực tế để đảm bảo lơ hàng an tồn tất giao thức bảo mật tuân thủ Một số ví dụ quy trình xem xét sau: • Hoạt động xử lý hàng hóa; • Kiểm tra container; • Q trình đóng hàng; • Quy trình niêm phong; • Phương tiện vận chuyển đến/đi; • Hàng khởi hành, v.v Mục đích việc xem video: Việc xem video nhằm để đánh giá tuân thủ hiệu chung quy trình bảo mật thiết lập, xác định lỗ hổng yếu nhận ra, đưa hành động khắc phục để hỗ trợ cải thiện quy trình an ninh Dựa rủi ro (sự cố trước báo cáo ẩn danh nhân viên không tuân theo giao thức bảo mật bến đóng hàng, v.v.), Thành viên nhắm đến mục tiêu xem định kỳ Các mục cần bao gồm tóm tắt văn bản: • Ngày xem; • Ngày đoạn phim xem; • Camera/khu vực ghi hình; • Mơ tả ngắn gọn phát nào; • Hành động khắc phục, cần thiết Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 37 Phải / Nên Phải ID 9.16 Tiêu chí Hướng dẫn thực Nếu sử dụng camera, ghi cảnh quay q trình xuất/nhập lô hàng giám sát phải lưu giữ thời gian đủ phép điều tra hoàn thành Nếu xảy cố xâm phạm, cần tiến hành điều tra việc lưu giữ cảnh quay camera bao quát việc đóng hàng (để xuất khẩu) q trình đóng hàng/niêm phong quan trọng việc khám phá khâu chuỗi cung ứng bị can thiệp Phải / Nên Nên Đối với giám sát, chương trình CTPAT khuyến nghị cho phép 14 ngày sau lô hàng đến điểm trình phân phối Đây nơi container mở sau làm thủ tục hải quan 10 Kiểm soát tiếp cận vật chất – Kiểm soát tiếp cận ngăn chặn tiếp cận trái phép vào sở/khu vực, giúp trì quyền kiểm sốt nhân viên khách bảo vệ tài sản công ty Kiểm soát tiếp cận bao gồm nhận dạng tất nhân viên, khách, nhà cung cấp dịch vụ nhà bán hàng tất điểm vào ID 10.1 Tiêu chí Hướng dẫn thực Thành viên CTPAT phải có quy trình văn cách thẻ nhận dạng thiết bị tiếp cận cấp, thay đổi xóa Khi thích hợp, phải có sẵn hệ thống nhận dạng nhân cho mục đích nhận dạng kiểm sốt tiếp cận Tiếp cận vào khu vực nhạy cảm phải hạn chế dựa mô tả công việc nhiệm vụ giao Việc loại bỏ thiết bị tiếp cận phải diễn nhân viên rời bỏ công ty Các thiết bị tiếp cận bao gồm thẻ nhận dạng nhân viên, thẻ tạm thời khách nhà bán hàng, hệ thống nhận dạng sinh trắc học, thẻ khóa gần, mã khóa Khi nhân viên nghỉ việc công ty, việc sử dụng danh sách kiểm tra giúp đảm bảo tất thiết bị tiếp cận trả lại và/hoặc bị vơ hiệu hóa Đối với cơng ty nhỏ hơn, nơi nhân biết nhau, không cần hệ thống nhận dạng Nói chung, cơng ty có 50 nhân viên, cần có hệ thống nhận dạng Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 38 Phải / Nên Phải ID Tiêu chí Hướng dẫn thực 10.2 Khách, nhà bán hàng nhà cung cấp dịch vụ phải xuất trình giấy tờ tùy thân có ảnh đến phải có sổ trực để ghi lại chi tiết chuyến thăm Tất khách nên có người kèm Ngoài ra, tất khách nhà cung cấp dịch vụ nên cấp giấy tờ nhận dạng tạm thời Nếu nhận dạng tạm thời sử dụng, phải hiển thị rõ ràng lúc chuyến thăm Phải / Nên Phải - Sổ đăng ký phải bao gồm mục sau: • Ngày thăm; • Tên khách; • Xác minh giấy tờ nhận dạng có ảnh (loại xác minh giấy phép lái xe thẻ cước quốc gia) Khách tiếp cận thường xuyên, biết nhà bán hàng thường xuyên bỏ qua kiểm tra giấy tờ nhận dạng có ảnh, phải đăng ký vào khỏi sở; • Thời điểm đến; • Người liên lạc cơng ty; • Thời điểm 10.3 Người lái xe giao nhận hàng phải xác minh trước nhận trả hàng Các tài xế phải xuất trình giấy tờ tùy thân có ảnh phủ cấp cho nhân viên sở cấp quyền tiếp cận để xác minh danh tính họ Nếu việc xuất trình giấy tờ tùy thân có ảnh phủ cấp khơng khả thi, nhân viên sở chấp nhận hình thức nhận dạng ảnh nhận công ty vận tải đường nơi tuyển dụng tài xế phát hành Phải - Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 39 ID Tiêu chí Hướng dẫn thực 10.4 Phải có sổ nhận hàng hóa để đăng ký lái xe ghi lại chi tiết phương tiện vận chuyển họ lấy hàng Khi lái xe đến nhận hàng sở, nhân viên sở phải ghi nhận sổ trực nhận hàng Khi về, lái xe phải đăng xuất Sổ hàng hóa phải giữ an tồn lái xe khơng phép tiếp cận Phải / Nên Có thể sử dụng sổ ghi nhận khách làm sổ hàng hóa miễn có ghi thơng tin bổ sung vào sổ Phải Tiêu chí giúp chủ hàng hãng vận chuyển tránh lần nhận hàng khơng có thật Nhận hàng khơng có thật mánh lới tội phạm dẫn đến hành vi trộm cắp hàng hóa cách lừa đảo bao gồm tài xế xe tải sử dụng cước giả và/hoặc doanh nghiệp ma lập nên cho mục đích trộm cắp hàng hóa Nên Sổ nhận hàng cần ghi lại mục sau: • Tên tài xế; • Ngày đến; • Chủ lao động; • Số xe tải; • Số xe kéo; • Thời điểm về; • Số niêm phong gắn vào lô hàng thời điểm khởi hành 10.7 Trước đến, hãng vận chuyển cần thông báo cho sở thời gian dự kiến đến nhận hàng theo lịch trình, tên tài xế số xe tải Khi khả thi mặt thực hiện, Thành viên CTPAT nên cho phép giao hàng nhận hàng theo lịch hẹn Khi hãng vận chuyển có tài xế thường xuyên nhận hàng từ sở định, cách tốt sở trì danh sách tài xế có hình ảnh họ Do đó, khơng thể cho công ty biết tài xế đến, công ty xác minh tài xế chấp thuận nhận hàng từ sở 10.8 Các bưu kiện thư đến nên kiểm tra định kỳ chuyện hàng lậu trước nhận Ví dụ hàng lậu bao gồm, không giới hạn chất nổ, ma túy bất hợp pháp tiền mặt Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 40 Nên ID 10.10 Tiêu chí Hướng dẫn thực Nếu có sử dụng nhân viên bảo vệ, hướng dẫn làm việc cho nhân viên bảo vệ phải đưa vào sách quy trình văn Ban quản lý phải định kỳ xác minh tuân thủ thích hợp thủ tục thơng qua kiểm tốn đánh giá sách Mặc dù nhân viên bảo vệ tuyển vào sở nào, họ thường tuyển dụng cho địa điểm sản xuất, cảng biển, trung tâm phân phối, kho lưu trữ cho Công cụ Vận tải Quốc tế, điểm hoạt động bên gom hàng bên giao nhận Phải / Nên Phải 11 An ninh Nhân – Lực lượng nhân công ty tài sản quan trọng nhất, khâu bảo mật yếu Các tiêu chí danh mục tập trung vào vấn đề sàng lọc nhân viên xác minh trước tuyển dụng Nhiều vi phạm an ninh gây âm mưu nội bộ, nơi nhiều nhân viên thông đồng để phá vỡ thủ tục bảo mật nhằm cho phép xâm nhập vào chuỗi cung ứng Do đó, Thành viên phải thực thẩm định để xác minh nhân viên đảm nhiệm vị trí nhạy cảm đáng tin cậy Vị trí nhạy cảm bao gồm nhân viên làm việc trực tiếp với hàng hóa hay hồ sơ hàng hóa, nhân viên liên quan đến việc kiểm soát tiếp cận vào khu vực thiết bị nhạy cảm Những vị trí bao gồm, khơng giới hạn việc vận chuyển, tiếp nhận, nhân viên phòng văn thư, tài xế, liên lạc viên, nhân viên bảo vệ, cá nhân liên quan đến việc đóng hàng, theo dõi phương tiện vận chuyển và/hoặc kiểm soát niêm phong ID Tiêu chí Hướng dẫn thực 11.1 Phải có sẵn quy trình văn để sàng lọc nhân viên tương lai kiểm tra định kỳ nhân viên Thông tin xin việc, lịch sử việc làm người giới thiệu, phải xác minh trước tuyển dụng, phạm vi cho phép theo luật CTPAT nhận thức luật lao động quyền riêng tư số quốc gia định không cho phép tất thông tin xin việc xác minh Tuy nhiên, cần thẩm định để xác minh thơng tin xin việc phép Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 41 Phải / Nên Phải ID Tiêu chí Hướng dẫn thực 11.2 Thể theo giới hạn pháp lý thích hợp sẵn có sở liệu hồ sơ tội phạm, nên tiến hành kiểm tra lý lịch nhân viên Dựa độ nhạy cảm vị trí, yêu cầu kiểm tra nhân viên nên mở rộng cho lực lượng lao động nhà thầu tạm thời Sau tuyển dụng, việc tái thẩm tra định kỳ nên thực dựa vụ việc và/hoặc độ nhạy cảm vị trí nhân viên Phải / Nên Nên - Rà soát lý lịch nhân viên nên bao gồm xác minh nhận dạng người lao động tiền sử tội phạm, bao quát sở liệu thành phố, tiểu bang, tỉnh, nước Thành viên CTPAT đối tác kinh doanh họ nên lưu ý kết kiểm tra lý lịch, cho phép đạo luật địa phương, đưa định tuyển dụng Kiểm tra lý lịch không giới hạn vào việc xác minh nhận dạng tiền sử tội phạm Trong lĩnh vực có rủi ro lớn hơn, cần điều tra sâu 11.5 Thành viên CTPAT phải có Bộ Quy tắc ứng xử nhân viên bao gồm kỳ vọng xác định hành vi chấp nhận Hình phạt quy trình kỷ luật phải đưa vào Bộ Quy tắc ứng xử Nhân viên/nhà thầu phải xác nhận họ đọc hiểu Bộ Quy tắc ứng xử cách ký tên, xác nhận phải lưu hồ sơ nhân viên để làm tài liệu Bộ Quy tắc ứng xử giúp bảo vệ doanh nghiệp thông báo cho nhân viên kỳ vọng Mục đích phát triển trì tiêu chuẩn ứng xử cơng ty chấp nhận Nó giúp cơng ty phát triển hình ảnh chuyên nghiệp thiết lập văn hóa đạo đức mạnh mẽ Ngay công ty nhỏ cần phải có Bộ Quy tắc ứng xử; nhiên, khơng cần phải thiết kế tỉ mỉ chứa thông tin phức tạp Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 42 Phải 12 Giáo dục, Đào tạo Nhận thức – Tiêu chí bảo mật CTPAT thiết kế để làm sở cho hệ thống bảo mật nhiều lớp Nếu lớp bảo mật bị vượt qua, lớp khác ngăn chặn vi phạm bảo mật cảnh báo cho công ty vi phạm Việc thực trì chương trình bảo mật nhiều lớp cần có tham gia hỗ trợ tích cực số phòng ban nhiều nhân khác Một khía cạnh quan trọng để trì chương trình bảo mật đào tạo Giáo dục nhân viên mối đe dọa vai trị họ quan trọng việc bảo vệ chuỗi cung ứng cơng ty khía cạnh quan trọng thành cơng bền vững chương trình bảo mật chuỗi cung ứng Hơn nữa, nhân viên hiểu quy trình bảo mật áp dụng, họ tuân thủ chúng ID Tiêu chí Hướng dẫn thực 12.1 Các thành viên phải thiết lập trì chương trình đào tạo nhận thức an ninh để nhận bồi dưỡng nhận thức lỗ hổng an ninh sở, phương tiện vận chuyển hàng hóa điểm chuỗi cung ứng, mà bị kẻ khủng bố bn lậu khai thác Chương trình đào tạo phải tồn diện đáp ứng tất yêu cầu bảo mật CTPAT Nhân viên vị trí nhạy cảm phải đào tạo chuyên môn bổ sung, hướng đến trách nhiệm mà vị trí nắm giữ Các chủ đề đào tạo bao gồm bảo vệ kiểm soát tiếp cận, nhận âm mưu nội quy trình báo cáo cho hoạt động đáng ngờ cố bảo mật Khi có thể, đào tạo chuyên ngành nên bao gồm trình diễn thực hành Nếu tiến hành trình diễn thực hành, người hướng dẫn nên dành thời gian cho học viên để trình diễn quy trình Một khía cạnh quan trọng chương trình bảo mật đào tạo Nhân viên hiểu phải đưa biện pháp an ninh có nhiều khả họ tn thủ chúng Đào tạo an ninh phải cung cấp cho nhân viên, theo yêu cầu, dựa chức vị trí họ cách thường xuyên, nhân viên tuyển dụng phải đào tạo phần đào tạo kỹ công việc/định hướng cho họ Cho mục đích CTPAT, vị trí nhạy cảm bao gồm nhân viên làm việc trực tiếp với hàng hóa xuất/nhập tài liệu hàng hóa, nhân viên liên quan đến việc kiểm soát việc tiếp cận khu vực thiết bị nhạy cảm Những vị trí bao gồm, khơng giới hạn việc vận chuyển, tiếp nhận, nhân viên phòng văn thư, tài xế, nhân viên liên lạc, nhân viên bảo vệ, cá nhân liên quan đến việc đóng hàng, theo dõi phương tiện vận chuyển và/hoặc kiểm soát niêm phong Thành viên phải giữ lại chứng đào tạo nhật ký đào tạo, sổ đăng nhập (bảng điểm danh) hồ sơ đào tạo điện tử Hồ sơ đào tạo nên bao gồm ngày đào tạo, tên người tham dự chủ đề khóa đào tạo Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 43 Phải / Nên Phải ID Tiêu chí Hướng dẫn thực 12.2 Các tài xế nhân viên khác thực kiểm tra an ninh nông nghiệp phương tiện vận chuyển Công cụ Vận tải Quốc tế (IIT) rỗng phải đào tạo để kiểm tra phương tiện vận chuyển/IIT cho mục đích an ninh nơng nghiệp Phải / Nên Phải - Đào tạo cập nhật phải tiến hành định kỳ, cần thiết, sau xảy cố vi phạm an ninh, có thay đổi thủ tục công ty Đào tạo kiểm tra phải bao gồm chủ đề sau: • Dấu hiệu ngăn ẩn; • Che giấu hàng lậu ngăn xuất tự nhiên; • Dấu hiệu ô nhiễm dịch hại 12.4 Thành viên CTPAT cần có biện pháp để xác minh việc đào tạo cung cấp đáp ứng tất mục tiêu đào tạo Hiểu đào tạo sử dụng đào tạo vị trí người (đối với nhân viên nhạy cảm) điều tối quan trọng Bài kiểm tra câu hỏi, tập mô phỏng/diễn tập, kiểm tra thường xuyên thủ tục, v.v số biện pháp mà Thành viên thực để xác định hiệu việc đào tạo Nên 12.8 Tùy tình hình, dựa chức và/hoặc vị trí họ, nhân viên phải đào tạo sách quy trình an ninh mạng công ty Điều phải bao gồm nhu cầu nhân viên bảo vệ mật khẩu/cụm mật truy cập máy tính Phải 12.9 Nhân vận hành quản lý hệ thống công nghệ an ninh phải đào tạo vận hành bảo dưỡng lĩnh vực cụ thể họ Kinh nghiệm trước với hệ thống tương tự chấp nhận Tự đào tạo thông qua sách hướng dẫn vận hành phương pháp khác điều chấp nhận Đào tạo chất lượng quan trọng để giảm bớt lỗ hổng cho cơng mạng Một chương trình đào tạo an ninh mạng mạnh mẽ thường chương trình cung cấp cho nhân viên phù hợp môi trường thức thay đơn giản thơng qua email ghi nhớ - Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 44 Phải ID Tiêu chí Hướng dẫn thực 12.10 Nhân viên phải đào tạo cách báo cáo cố an ninh hoạt động đáng ngờ Các thủ tục để báo cáo cố bảo mật hoạt động đáng ngờ khía cạnh quan trọng chương trình bảo mật Đào tạo cách báo cáo cố bao gồm đào tạo an ninh tổng thể Các mô-đun đào tạo chuyên ngành (dựa nhiệm vụ cơng việc) có đào tạo chi tiết thủ tục báo cáo, bao gồm chi tiết cụ thể quy trình, chẳng hạn như, cần báo cáo điều gì, cho ai, làm để báo cáo cố, phải làm sau báo cáo hoàn thành Số xuất bản: 1076-0420 Tiêu chí Bảo mật Tối thiểu CTPAT – Nhà sản xuất Nước | Tháng 1-2020 Trang 45 Phải / Nên Phải