【正文】 使系統(tǒng)經(jīng)理和/或幫助桌面員工無法對其進(jìn)行操控，以實(shí)現(xiàn)職責(zé)分離。 8.在PSCS IT系統(tǒng)中的所有行動（交易）是否都在“審計(jì)線索”中進(jìn)行了登記？對該登記簿的接觸是否限于十分有限的員工（比如三人）？是否阻止了IT系統(tǒng)經(jīng)理和幫助桌面員工對該登記簿進(jìn)行接觸？或是否另行阻止了對日志文件的操縱？如果在供應(yīng)鏈中發(fā)生了安全事故，應(yīng)具備一個(gè)可靠的IT系統(tǒng)日志。PSCSP – 信息安全用于儲存或處理飛利浦?jǐn)?shù)據(jù)的計(jì)算機(jī)或電子系統(tǒng)將具備個(gè)人賬戶接觸密碼保護(hù)。PSCSP – 信息安全由于個(gè)人責(zé)任的原因，每個(gè)計(jì)算機(jī)用戶都必須通過個(gè)人用戶識別的方式進(jìn)行唯一識別。必須具備密碼變更程序。為了認(rèn)證，必須至少使用一個(gè)秘密密碼。 6.每個(gè)IT用戶是否能被“唯一”識別？每個(gè)IT用戶都應(yīng)當(dāng)具備一個(gè)用戶ID和密碼的唯一組合。 IT系統(tǒng)經(jīng)理必須確認(rèn)，正在使用的是接觸授權(quán)的最新清單：用戶ID、密碼和接觸特權(quán)（.）以及授予接觸權(quán)限的員工的姓名。5.對儲存于IT系統(tǒng)中并由其處理的PSCS信息的接觸是否僅限于由管理層指定的授權(quán)員工？必須確定對PSCS信息的接觸是否僅限于那些為執(zhí)行職務(wù)而真正需要接觸這些信息的員工。對PSCS信息的處理/銷毀需要在嚴(yán)格的“受控”條件之下進(jìn)行。PSCSP – ISP內(nèi)部控制承運(yùn)人必須確保與貨物、運(yùn)輸線路相關(guān)的信息或任何其它相關(guān)信息僅在“需要了解”的基礎(chǔ)上發(fā)布。建議在儲存PSCS運(yùn)輸信息的所有辦公室推行“清潔桌面政策”。PSCSP – 內(nèi)部控制ISP承運(yùn)人必須確保與貨物、運(yùn)輸線路相關(guān)的信息或任何其它相關(guān)信息僅在“需要了解”的基礎(chǔ)上發(fā)布。不同的其它系統(tǒng)——本地站點(diǎn)中的其它系統(tǒng)——對PSCS信息進(jìn)行處理。在“需要了解”的基礎(chǔ)上披露/發(fā)布這樣的信息；維持一項(xiàng)“清潔桌面政策”；確保對文件進(jìn)行打印、收集和歸檔等操作的區(qū)域?qū)嵭杏邢藿佑|。 這是飛利浦對ISO 17799:2005的正式解釋。其內(nèi)容也適用于PSCS信息。它們必須在審計(jì)之前提前且及時(shí)提供。PSCSP – VI:歸檔詳細(xì)的程序應(yīng)當(dāng)在可識別的地點(diǎn)采用一種可檢驗(yàn)的格式提供。必須具備一套完整的PSCS歸檔文件，審計(jì)人也可以在內(nèi)部和海關(guān)審計(jì)/審查期間使用。8.在本章提及的供應(yīng)鏈安全程序和說明是否已經(jīng)進(jìn)行了適當(dāng)歸檔（例如歸入質(zhì)量系統(tǒng)、安全說明等）？應(yīng)當(dāng)對安全系統(tǒng)進(jìn)行妥善歸檔。 7.當(dāng)包裝在國際運(yùn)輸過程中損壞時(shí)，是否對包裝狀況進(jìn)行了登記？參見收貨和裝運(yùn)程序，并了解是否存在將運(yùn)輸過程中的損壞情況在約定期限內(nèi)進(jìn)行報(bào)告的合同性協(xié)議。 6.從包裝到發(fā)貨的轉(zhuǎn)移是否經(jīng)過正式登記？如果發(fā)生了安全事故，重要的是保存審計(jì)線索以追蹤重要證據(jù)。建議使用無法移除的防篡改帶。在正常的儲存和運(yùn)輸期間，必須保持完好。要特別注意托盤的底部和頂部。站點(diǎn)已有的物理安全措施在許多情形下可能已經(jīng)就足夠了（“物理安全”）PSCSP – 必須推行適當(dāng)?shù)奈锢戆踩改?，以防止對貨物流的未授?quán)接觸。針對工作指令對揀貨和包裝的精確性進(jìn)行隨機(jī)控制。3.發(fā)貨前：是否對包裝進(jìn)行了隨機(jī)檢查以發(fā)現(xiàn)不完整和/或損壞的包裝？這些檢查是否進(jìn)行了記錄？有時(shí)候這些檢查包含在生產(chǎn)流程中，如對包裝和最終產(chǎn)品進(jìn)行稱重以檢測是否缺少產(chǎn)品。PSCSP – .必須具備確保對輸出的貨物流進(jìn)行適當(dāng)安全控制的程序。針對工作指令對揀貨和包裝的精確性進(jìn)行隨機(jī)控制。這可以是質(zhì)量控制之后工廠、倉庫中的成品區(qū)域。 包裝和發(fā)貨問題：注釋：1.包裝和發(fā)貨區(qū)域是否至少被定義為PSCS工作區(qū)域？要確保包裝材料/箱子的完整性，包裝和發(fā)貨區(qū)域應(yīng)當(dāng)至少被定義為PSCS工作區(qū)域。必須將與PSCS相關(guān)的程序植入本地的質(zhì)量系統(tǒng)（例如ISO9001）或?qū)Ｓ冒踩绦虍?dāng)中。在這套歸檔文件中可以建立與現(xiàn)有程序的鏈接（程序的一覽表在附件E中列明）。建議將程序植入現(xiàn)有的程序計(jì)劃中，比如質(zhì)量管理系統(tǒng)（例如ISO9001）。必須在安全區(qū)域內(nèi)開展這樣的活動，并通過適當(dāng)?shù)娜肟诳刂坪桶踩珫艡趯ζ浼右员Ｗo(hù)。一些其它例證在附件C中列明。15.如果產(chǎn)品被儲存在位于您的設(shè)施之中且沒有PSCS授權(quán)員工在場的物料、測試或包裝區(qū)域，安全措施是否達(dá)到了標(biāo)準(zhǔn)？參見《飛利浦供應(yīng)鏈安全政策指南》。必須與服務(wù)供應(yīng)商簽訂合理協(xié)議。14.收貨人和駕駛員是否對拖車拼車貨物（LTL）和集裝箱拼箱貨物進(jìn)行了檢查和盤點(diǎn)？必須將差異報(bào)告給相關(guān)的經(jīng)理。必須對這些事故進(jìn)行日志記錄并及時(shí)報(bào)告。該報(bào)告必須由相關(guān)的PSCS經(jīng)理完成。PSCSP – 收貨控制實(shí)物檢查要到位，從而驗(yàn)證收據(jù)的一致性以及貨物的完整性（完整的包裝、正確的標(biāo)識以及適用的完整封緘），包括適用的的盤點(diǎn)程序。 —關(guān)于鎖具和封緘已損壞的任何證據(jù)必須立即報(bào)告給發(fā)貨人和適當(dāng)?shù)娘w利浦一方，由該方通知適當(dāng)?shù)暮ｊP(guān)當(dāng)局。所發(fā)現(xiàn)的事項(xiàng)是否記載在貨物票據(jù)/清單上，并報(bào)告給相關(guān)的SCS經(jīng)理？這項(xiàng)要求還應(yīng)當(dāng)被列入到與物流服務(wù)供應(yīng)商訂立的合同中。PSCSP – LSP的要求在發(fā)生損失、盜竊事故或者影響或危及安全的其它事件的兩到三個(gè)小時(shí)內(nèi)，LSP必須將該事故的所有相關(guān)信息，包括清單數(shù)據(jù)、損失地點(diǎn)、產(chǎn)品ID、承運(yùn)人/發(fā)運(yùn)人ID以及所采取的行動報(bào)告給適當(dāng)?shù)娘w利浦聯(lián)系人。10.當(dāng)超過預(yù)期的抵達(dá)時(shí)間時(shí)，是否對此情況進(jìn)行了報(bào)告和記錄？當(dāng)卡車/集裝箱離開時(shí)；需要對收貨方進(jìn)行通知（駕駛員、卡車、預(yù)計(jì)抵達(dá)時(shí)間）時(shí)。9.與物流服務(wù)供應(yīng)商簽訂的服務(wù)合同是否包含事故報(bào)告程序？在事故的初級階段得到通知，并報(bào)告給收貨方和/或?qū)ω浳锪鬟M(jìn)行跟蹤，這點(diǎn)非常重要。 建議對所有集裝箱進(jìn)行七點(diǎn)檢查：前壁、左側(cè)、右側(cè)、底層、頂板/車頂、內(nèi)側(cè)/外側(cè)門、外側(cè)底盤、集裝箱封緘。 PSCSP – 在途貨物所有滿載的拖車/集裝箱將在運(yùn)輸期間上鎖并封緘。 定義： “封緘”是一個(gè)連續(xù)裝置，附屬在貨運(yùn)單位的門上，將提供證據(jù)來證明裝運(yùn)中出現(xiàn)的任何破壞。 備注：另參見公司采購和貨代部的《海運(yùn)集裝箱密封鎖使用指南》，編號為FITFSG/SLK/01 of 19951204（參見“公司出口控制”網(wǎng)站）封緘是FTL和FCL的一項(xiàng)義務(wù)。這意味著在封緘的時(shí)候集裝箱/拖車是“干凈的”。 PSCSP – 裝運(yùn)/收貨控制對車輛的裝載進(jìn)行監(jiān)督以確保正確裝載。PSCSP – 防盜向所有員工傳達(dá)安全意識、安全政策和指南。必須指示駕駛員，其接觸僅限于專門為貨物指定的裝載艙區(qū)域。 6.當(dāng)駕駛員在裝載/卸載區(qū)域時(shí)，是否始終有人陪同/處于監(jiān)督之下？在對集裝箱/拖車或其它貨物單位進(jìn)行裝載時(shí)，駕駛員常常有權(quán)或希望出現(xiàn)在現(xiàn)場，因?yàn)樗?她對正確的裝運(yùn)負(fù)有責(zé)任。以下是一些例證：—作為OSD流程一部分的，針對顯著差異的程序；—處理異常收貨的程序。PSCSP – 收貨控制必須具備確保對進(jìn)入的貨物流進(jìn)行適當(dāng)安全控制的程序。僅在運(yùn)輸文件中注明貨物受到了損害，是不夠的！在準(zhǔn)備好發(fā)送或運(yùn)輸?shù)呢浳锇l(fā)生任何損壞時(shí)，該程序同樣有效。以下是一些例證：—作為標(biāo)準(zhǔn)操作流程一部分的，針對顯著差異的程序；—處理異常收貨的程序。PSCSP – 收貨控制必須具備確保對進(jìn)入的貨物流進(jìn)行適當(dāng)安全控制的程序。 4. 關(guān)于如何處理PSCS差異和/或異常收貨的書面程序是否到位？PSCS安全措施重點(diǎn)關(guān)注的是進(jìn)入供應(yīng)鏈的不需要的貨物。在所有的休息時(shí)間（午餐、會議、咖啡時(shí)間等）也必須做好這項(xiàng)安排。無人陪同的訪客不應(yīng)出現(xiàn)在PSCS分區(qū)或PSCS工作區(qū)域的現(xiàn)場。在這個(gè)流程中，閉路電視監(jiān)控是一個(gè)非常有用的工具。 正確地核對和簽署收貨文件和清單文件。 2.是否對貨運(yùn)票據(jù)和清單的正確性、完整性和授權(quán)簽名進(jìn)行了檢查？需要確認(rèn)有權(quán)簽署貨物清單和正式裝運(yùn)指令的員工是否已經(jīng)列入最新的“簽名列表”當(dāng)中。只有授權(quán)員工才可以操作艙門。它們必須在審計(jì)之前提前且及時(shí)提供。PSCSP – VI:歸檔詳細(xì)的程序應(yīng)當(dāng)在可識別的地點(diǎn)采用一種可檢驗(yàn)的格式提供。必須具備一套完整的PSCS歸檔文件，審計(jì)人也可以在內(nèi)部和海關(guān)審計(jì)/審查期間使用。 4.在本章提及的供應(yīng)鏈安全程序和說明是否已經(jīng)進(jìn)行了適當(dāng)歸檔（例如，歸入質(zhì)量系統(tǒng)、安全說明等）？應(yīng)當(dāng)對安全系統(tǒng)進(jìn)行妥善歸檔。3.在正常工作時(shí)間內(nèi)，報(bào)警程序是否也已到位？是PSCSP – 防盜對安全區(qū)域的永久性守衛(wèi)（即：閉路電視、入侵探測和保安巡邏、報(bào)警）。根據(jù)盤點(diǎn)就能夠做出關(guān)于產(chǎn)品敏感性以及產(chǎn)品應(yīng)儲存地點(diǎn)的結(jié)論。必須立即將本地行政管理的任何差異報(bào)告給負(fù)責(zé)的各級經(jīng)理。PSCSP – 防盜對安全系統(tǒng)的監(jiān)控、對安全事件的安全日志記錄以及對日志的受限接觸。此外在大多數(shù)國家，對數(shù)字記錄數(shù)據(jù)的使用必須服從隱私權(quán)法律規(guī)章，因而這是管理層的一項(xiàng)責(zé)任。 防盜問題：注釋：1.對下列日志記錄系統(tǒng)的接觸： —入侵探測系統(tǒng)（當(dāng)在場時(shí)），—接觸控制系統(tǒng)和/或—閉路電視系統(tǒng)（當(dāng)在場時(shí)）是否已在物理上和邏輯上對接待員工/保安員工鎖定（“職責(zé)的分離”）？不應(yīng)使接待員工和/或保安員工能夠接觸這些日志記錄系統(tǒng)。必須將與PSCS相關(guān)的程序植入本地的質(zhì)量系統(tǒng)（例如ISO9001）或?qū)Ｓ冒踩绦虍?dāng)中。在這套歸檔文件中可以建立與現(xiàn)有程序的鏈接（程序的一覽表在附件E中列明）。建議將程序植入現(xiàn)有的程序計(jì)劃中，比如質(zhì)量管理系統(tǒng)（例如ISO9001）。 10.是否對進(jìn)出PSCS分區(qū)或PSCS工作區(qū)域的員工和車輛進(jìn)行關(guān)于不需要的貨物和/或材料的定期檢查和控制？是SCSP – 防盜關(guān)于出入安全區(qū)域的出入程序的定義。 9.是否已指示在PSCS分區(qū)或PSCS工作區(qū)域的員工對不熟悉的和無人陪同的員工進(jìn)行盤問，并陪同其至他們的接待者或主管處？是PSCSP – 接觸控制應(yīng)當(dāng)鼓勵所有員工對沒有員工陪同的陌生人進(jìn)行盤問。 識別、授權(quán)和日志記錄。 應(yīng)當(dāng)鼓勵所有員工對沒有員工陪同的陌生人進(jìn)行盤問。 6.員工入口和輔入口是否安裝了接觸控制系統(tǒng)，或是否至少處于保安員工/接待員工的持續(xù)監(jiān)控之下？是PSCSP – 接觸控制應(yīng)當(dāng)對處于安全區(qū)域內(nèi)的訪客、供應(yīng)商、銷售商、服務(wù)員工進(jìn)行監(jiān)督，并記錄他們進(jìn)入和離開的日期和時(shí)間。PSCSCP – 接觸控制必須對重要或敏感的業(yè)務(wù)活動（包括國際貨物流）進(jìn)行物理保護(hù)，防止發(fā)生未授權(quán)的接觸。 5.對PSCS分區(qū)或PSCS工作區(qū)域的接觸是否僅限于授權(quán)員工，是否對訪客進(jìn)行主動識別、登記和持續(xù)陪同？ 是PSCSP – 物理安全對經(jīng)營場所和關(guān)鍵/重要區(qū)域的接觸控制。訪客僅在有特殊理由且經(jīng)過授權(quán)之后，方能被準(zhǔn)許進(jìn)入安全區(qū)域。 識別、授權(quán)和日志記錄。 3.通知訪客進(jìn)入PSCS分區(qū)或PSCS工作區(qū)域的權(quán)力是否僅為數(shù)量有限的經(jīng)理所擁有？是PSCSP – 接觸控制必須在每個(gè)安全區(qū)域周圍提供適當(dāng)?shù)娜肟诳刂疲源_保只有授權(quán)員工才可以進(jìn)入這些區(qū)域。 2.接待員工和/或保安是否執(zhí)行接觸控制（包括對所有訪客進(jìn)行主動的身份確認(rèn)）？ 是PSCSP – 接觸控制應(yīng)當(dāng)對處于安全區(qū)域內(nèi)的訪客、供應(yīng)商、銷售商、服務(wù)員工進(jìn)行監(jiān)督，并記錄他們進(jìn)入和離開的日期和時(shí)間。它們必須在審計(jì)之前提前且及時(shí)提供。 20.在本章提及的供應(yīng)鏈安全程序和說明是否已經(jīng)進(jìn)行了適當(dāng)歸檔（例如，歸入質(zhì)量系統(tǒng)、安全說明等）？ 是 PSCSP – VI:歸檔詳細(xì)的程序應(yīng)當(dāng)在可識別的地點(diǎn)采用一種可檢驗(yàn)的格式提供。為了進(jìn)行檢查，儲存的期間應(yīng)當(dāng)至少為一個(gè)月。 PSCSP – 防盜對安全系統(tǒng)的監(jiān)控、對安全事件的安全日志記錄以及對日志的受限訪問。 18.報(bào)警程序是否到位？ 是PSCSP – 物理安全必須對設(shè)施推行適當(dāng)?shù)奈锢戆踩改?，以防止對我們的貨物流的未授?quán)接觸。PSCSP – 防盜對安全系統(tǒng)的監(jiān)控、對安全事件的安全日志記錄以及對日志的受限訪問。安全或設(shè)施管理部門均可執(zhí)行鎖具和鑰匙控制。16.IDS系統(tǒng)的中央控制單位（如果可適用，電話線和自動撥號裝置）是否位于有著嚴(yán)密的鎖具和鑰匙控制的永久性鎖定和防盜設(shè)施內(nèi)？IDS系統(tǒng)的中央控制單位是電子警報(bào)系統(tǒng)的核心。對于屋頂開口，應(yīng)當(dāng)安裝一個(gè)開放式或閉合式探測器（與問題14的注釋中提及的探測方法類似），并將其與一個(gè)IDS系統(tǒng)相連接。對安全區(qū)域的永久性守衛(wèi)（例如：閉路電視、入侵探測和保安巡邏、報(bào)警）。根據(jù)本地情況，可能需要玻璃破碎傳感器或被動式紅外線運(yùn)動探測器。 14.第一層或其它層（如果能夠容易地從第一層到達(dá)該層，例如通過緊急通道梯）的所有外部門窗是否都連接到了一個(gè)IDS系統(tǒng)上，或在其可適用的區(qū)域內(nèi)已經(jīng)采取了另外的適當(dāng)方法防止未授權(quán)的接觸？ 應(yīng)當(dāng)檢查是否所有的外部門（例如滑動門、側(cè)出口/入口、主要入口和緊急出口）都至少安裝了磁性觸點(diǎn)并連接到了一個(gè)IDS系統(tǒng)上，或已經(jīng)采取了另外的適當(dāng)方法防止未授權(quán)的接觸。13.PSCS分區(qū)或PSCS工作區(qū)域是否備有入侵探測系統(tǒng)（“IDS”），或以其它方式充分防止了對該區(qū)域的未授權(quán)接觸？是PSCSP – 防盜必須采取適當(dāng)?shù)陌踩胧﹣矸乐箤緝?nèi)部和外部財(cái)產(chǎn)的盜竊行為。PSCSP – 物理安全關(guān)鍵/重要區(qū)域的界定。物理柵欄是實(shí)現(xiàn)這個(gè)目標(biāo)的一個(gè)重要幫助。 11.是否所有的外部門窗都裝備有足夠的鎖具和鉸鏈？是PSCSP – 物理安全索緊門、大門和窗戶，包括鎖具和鑰匙控制。 10.PSCS分區(qū)或PSCS工作區(qū)域的所有緊急出口是否都處于永久性的適當(dāng)保護(hù)之下？是PSCSP – 防盜必須采取適當(dāng)?shù)陌踩胧﹣?