1、PAS 96:2017 英国标准协会 2017 年版 环境环境、食品和农村事务部食品和农村事务部 英国食品标准署英国食品标准署 食品论坛食品论坛 ID:zhaozhiyongID:zhaozhiyong-321321 译译 (仅供参考仅供参考)保护食品和饮料免受故意攻击之指南 PAS 96:2017 英国标准协会 2017 年版 出版出版及及版权信息版权信息 本文档中显示的 BSI 版权声明指明了该文档的最后发布时间。英国标准协会 2017。由 BSI 标准有限公司 2017 出版。国际编号国际编号 ISBN ISBN 978 0 580 98099 2 ICSICS 67.020 未经 BS
2、I 许可,除非经版权法许可,否则不得复制。出版作品的历史记录 2008 年 3 月首次出版 2010 年 3 月第二版 2014 年 10 月第三版 第四版(当前)版,2017 年 11 月 文文 本本 说说 明明.本文由(食品伙伴网)食品论坛 ID:zhaozhiyong-321 翻译,非中国官方译文。.本译文的排版方式,最大限度的保证了与英文原版同步。.受译者专业水平及对原文理解的限制,若您在阅读时发现错误,请您参考原英文版自行纠正。.本译文严禁用于以盈利为目的出版、培训。.如如果您己经获得了果您己经获得了中国官方中国官方或权威的或权威的译文,请译文,请您您以官方以官方或权威方的或权威方的
3、译文为准。译文为准。PAS 96:2017 英国标准协会 2017 年版 目录目录 前言 介绍 1 范围 2 术语和定义 3 威胁的类型 4 了解攻击者 5 威胁评估关键控制点(TACCP)6 评估 7 关键控制件 A 8 对突发事件的响应 9 审查食品保护安排 附件附件 附录 A(信息性)TACCP 案例研究 附件 B(信息性)信息和情报来源对食品供应造成的新兴风险 附录 C(信息性)食品和饮料保护的补充方法 附录 D(信息性)网络安全的 10 个步骤:董事会级别责任)参考书目 数字数字图表图表 目录目录 图 1-A 食品供应链 2 图 2-概述 TACCP 流程 11 图 3-风险评分矩阵
4、 15 图 A.1 威胁识别码 22 图 A.2-威胁优先级排序 28 图 A.3-漏洞评估 30 图 A.4-FryByNite 工作流程 31 图 A.5-威胁优先级排序 35 图 A.6-威胁优先级排序 40 图 B.1-关于有关的信息和情报的全球传播对食品产生的新兴风险 42 表表格清单格清单 表 1-风险评估 评分 15 表 2-降低风险的方法 16 表 3-篡改证据 17 表 4-人员安全情况 17 表 A.1-威胁信息 21 表 A.2-威胁识别 23 表 A.3-威胁评估 26 能力 A.4-威胁评估报告 20170602 29 表 A.5-威胁信息 32 表 A.6-威胁评估
5、 33 表 A.7-威胁事件登记册 36 表 A.8-可能对农夫食品有限公司采取恶意活动的来源 38 表 A.9-威胁性评估 39 ii iv 1 1 4 8 10 13 16 18 19 20 41 43 44 45 PAS 96:2017 英国标准协会 2017 年版 序言序言 该 PAS 由环境、食品和农村事务部(Defra)和食品标准局(FSA)赞助。PAS 的开发得到了 BSI 标准有限公司的推动,并在英国标准协会的许可下出版。本 PAS 于 2017 年 11 月 16 日生效。感谢以下组织作为指导小组的成员参与了本 PAS 的开发:.英国农业集团股份有限公司.英国冷冻食品联合会(
6、BFFF).坎普登运动内衣系列.克罗克拉克怀特希尔 LLP.达能公司.环境、食品和农村事务部(法国).美国食品标准局.GIST 股份有限公司.麦当劳(欧洲).国家网络安全中心(NCSC).索迪斯集团股份有限公司.乐购(英国).郁金香公司股份有限公司.伦敦大学学院.威利斯塔,沃森 鸣谢所有为本PAS的编写过程中提供咨询和帮助的成员。英国标准协会保留本 PAS 的所有权和版权。作为PAS 标准出版商的 BSI 标准有限公司保留在收到适当的权威建议后,撤回或修改本 PAS 的权利。本 PAS的审查间隔不超过两年,审查产生的任何修订将作为修订的 PAS 发布,并在更新标准中公布。本 PAS 不应被视为
7、英国官方标准。本标准将在其内容以英国官方标准发表时或以英国官方标准的形式发表时被撤回。PAS 方案使我们能够快速实施风险管控,以满足工业的即时需求。PAS 可考虑作为英国标准的进一步发展,或构成英国对欧洲或国际标准发展的投入的一部分。取代说明取代说明 本 PAS 取代已被撤销的 PAS 96:2014 有关本文件的信息有关本文件的信息 本文针对 PAS96:2014 的完整修订版,主要变化是:.规范的和信息丰富的参考文献已经得到了参考更新的;.第 3.7 款网络犯罪;.增加了第 6.2.4 条子条款,以涵盖相关的漏洞进行网络攻击.两个新的虚构案例研究条款 A.5和 A.6来说明网络安全相关问题
8、;.附件 B 已更新;.附件 D 增加了涉及网络安全的 10 个步骤;.已经进行了一些编辑修改。PAS 96:2017 英国标准协会 2017 年版 使用声明使用声明 作为指南,本 PAS 采用指导和建议的形式。本标准不应被强制引用,向对方说它是一种规范或一种实践规范。并且不能向对方提出遵守本标准的要求。标准惯例标准惯例 本标准中的指导方针采用的是罗马(i.e.upright)类型。任何建议都可以用主辅动词是“应该”的句子来表达。注释、说明和一般信息材料以较小的斜体形式呈现,不构成规范元素。合同上和法律上的考虑事项合同上和法律上的考虑事项 本出版物并不声称包括合同的所有必要条款。用户负责其正确
9、的应用负责。遵守遵守 PASPAS 并不能赋予人们对法律义务的豁免权。并不能赋予人们对法律义务的豁免权。PAS 96:2017 英国标准协会 2017 年版 食品工业将其产品的安全视为其主要关注的问题。多年来,行业和监管机构已经制定了食品安全管理系统,这意味着重大食品中毒爆发在许多国家相当不寻常。这些系统通常使用全球公认的危险分析关键控制点(HACCP)原则。1)HACCP 已被证明可有效地防止意外污染。但是,HACCP 原则并没有常规用于检测或减轻对系统或进程的故意攻击。这类攻击包括故意污染、电子入侵和欺诈。故意行为可能影响食品安全,但可能以其他方式损害组织,如损害商业声誉或勒索钱财。所有这
10、些故意行为背后的共同因素都是人。这些人可能是在食品行业,可能是食品业务供应商的雇员,也可能是与食品业务没有联系的完全的局外人。关键问题是他们的动机,他们的目标可能是损害人类健康、商业声誉,或以牺牲企业为代价获得经济利益。在任何这些情况下,保护自己免受此类攻击都符合食品业务的利益。PAS96 的目的是指导食品业务经理通过方法和程序来提高供应链对欺诈或其他形式攻击的弹性。它的目的是通过尽量减少发生袭击的机会和减少一次成功攻击的后果来确保食物的真实性和安全。PAS96 描述了威胁评估关键控制点(TACCP),该风险管理方法与 HACCP 一致,但重点不同,可能需要来自不同学科的员工的输入,如人力资源
11、、采购、安全和信息技术。1)关于 HACCP 的进一步信息和指导可参见食品法典出版物食品卫生通则。它解释了 TACCP 过程,概述了可以阻止攻击者或早期检测攻击的步骤,并使用虚构的案例研究(见附件 A)来显示其应用程序。总体而言,TACCP 将食品业务经理置于攻击者的位置,以预测他们实施攻击的动机、能力和机会,然后帮助他们设计保护措施。它还提供了可能有助于识别新出现的威胁的其他信息和情报来源(见附录 B)TACCP 流程假设并建立在业务现有有效的HACCP 操作的基础上,因为为确保食品安全而采取的许多预防措施也可能阻止或发现故意行为。它还补充了现有的业务风险管理和突发事件管理流程。本文的重点是
12、保护食品和食品供应的完整性和健康。任何有意攻击者,无论是来自食品业务或供应链还是外部,都可能试图逃避或避免日常管理过程。它应该有助于食品企业减轻每一种威胁,但这种方法也可以用于其他商业威胁。没有任何程序能保证食物和食品供应不是犯罪活动的目标,但使用 PAS96 的可能性更小。它的目的是作为一个实用和易于使用的指南,因此是用日常语言写的,并且是以常识而不是法律的方式使用。简介简介 PAS 96:2017 英国标准协会 2017 年版 1 1 1 适用范围适用范围 本 PAS 就避免和减轻对食品和食品供应的威胁提供了指导。它描述了一种风险管理方法,威胁评估关键控制点(TACCP),可以由各种规模和
13、食品供应链的食品企业进行调整。虽然对食品和饮料的安全和完整性的关注至关重要,而且许多 PAS 都在关注它们,但需要强调的是,其范围涵盖了“所有威胁”和保护食品供应的所有要素。这包括供应链内企业的生存能力。它旨在适用于所有的组织,但对于不容易获得专业建议的中小型小型食品企业的经理人特别有用。2 2 术语和定议术语和定议 针对本 PAS,适用以下术语和定义。2.1 网络安全网络安全 保护设备、服务和网络及其相关信息免受盗窃或损坏。资料来源:NCSC 词汇表2 2.2 食物防御食物防御 指为确保食品和饮料及其供应链的安全不受恶意和意识形态动机的攻击而导致污染或供应中断而采取的程序。注意:食品安全一词
14、指的是公众对他们未来可以获得食物的信心。在有限的意义上讲,除了成功的针对食品安全的攻击可能会造成食品安全受到影响外,不对食品安全造成影响的攻击行为,不属于 PAS 范围。2.3、食品欺诈行为、食品欺诈行为 指与食品生产或供应有关的不诚实行为或不作为,为个人利益或造成损失的不诚实行为2)注 1:尽管有很多类型的食品欺诈行为,但主要的两种类型是:1)销售不适合和潜在有害的食品,例如:.动物副产品回收食物链;.不明产地的牛肉、家禽的包装、销售;.明知是销售超过“使用”日期的商品;2)英国食品标准局在:https:/www.food.gov.uk/enforcement/the-national-fo
15、od-crime-unit/what-is-food-crime-and-food-fraud 讨论了食品犯罪和食品欺诈问题。PAS 96:2017 2 英国标准协会 2017 年版 2)故意错误地描述了食物,如:.用更便宜的替代品替代的产品,例如,野生出售的养殖鲑鱼和掺假更便宜品种的巴西米米;.对原料的来源作出虚假陈述。如,它们的地理位置、植物或动物的起源。注2食品欺诈还可能包括出售被盗的或非法屠宰的动物的肉类,以及可能被偷猎的野生狩猎动物。2.4、食品保护措施、食品保护措施 指为阻止和检测对食品的欺诈性袭击而采取的程序。2.5 食物供应食物供应 指通常被称为食品供应链的要素 注:图 1 为
16、食物供应链的一个示例。图 1 并不是要进行全面的分析。2.62.6 危险因素危险因素 指自然发生或意外事件或相关人员无能或无知可能造成损失或损害。2.72.7 危险分析临界控制点危险分析临界控制点(HACCP)(HACCP)识别、评估和控制对食品安全很重要的危害的系统。食品卫生的一般原则,1 2.82.8 知情人(内部人士)知情人(内部人士)组织内部或与组织资产相关,但可能滥用该访问并对其运营构成威胁的个人。图图 1-A 食品供应链 PAS 96:2017 英国标准协会 2017 年版 3 2.92.9、人员安全保障、人员安全保障 指用于确认个人身份、资格、经验和工作权利,以及监督雇员或承包商
17、行为的程序。注意 1 不要与“个人安全”混淆。注 2 人员安全原则用于确保组织内部员工的可信度,但也可以用于供应商认证流程中的供应商人员。2.102.10 威胁威胁 指可能因人们的恶意而造成损失或伤害的事情。注意:威胁不适用于威胁行为或承诺因不遵守、恶意要求、而造成的不愉快后果。2.11.2.11.威胁评估关键控制点威胁评估关键控制点(TACCP)(TACCP)指通过评估威胁、识别漏洞,并实施让有专业和值得信赖的团队对材料、产品、采购、流程、场所、人员、分销网络和业务系统进行控制,系统地管理风险。PAS 96:2017 4 英国标准协会 2017 年版 3.威胁的类型威胁的类型 3.1 概述概
18、述 故意反对食品和食物供应的行为有几种形式。第 3 条描述了对食品真实性和安全的主要威胁的特征经济动机的掺假(EMA)和恶意污染,并解释了其他威胁的性质,特别是对数字技术的快速滥用。3.2 基于经济动机的掺假基于经济动机的掺假(EMA)“EMA 读音埃玛”注:许多其他案例的详细信息可参见http:/www.foodfraud.org/4,美国药物理学公约食品欺诈数据库。案例 1 2016 年,尼日利亚的海关官员没收了 2.5 吨大米,他们怀疑这些大米是用塑料制成的。3)案例 2 橄榄油经常是掺假的目标,通常是其它植物油。2017 年,意大利当局瓦解了一个向美国出口假橄榄油的有组织犯罪团伙。4)
19、同样,巴西官员报告说,非常高比例的橄榄油不符合其标签所要求的质量标准。5)案例 3 西班牙警方指控一家牛肉汉堡制造商使用猪肉碎和大豆来提高其产品的肉类含量。多年来如此,6)目前尚不清楚这些汉堡是否真的含有足够的牛肉来满足任何官方规定。案例 4 2014 年,肯尼亚乳制品委员会声称,小贩们添加防腐剂(福尔马林和过氧化氢)会危及生命,试图延长牛奶的保质期(可能是徒劳的)。7)案例 5 一家欧洲肉类包装公司的工作人员错误地认为,他们可以通过使用消毒剂来掩盖一种产品,以避免产品被检出携带口蹄疫。(EMA)的动机是经济上的,即以一种欺骗客户和消费者的方式从销售食品中获得增加的收入。这可能是将更便宜的材料
20、作为更昂贵的材料(见例 1),也可能是使用较便宜的成分来替换或扩展更昂贵的材料(见例 2 和 3)。避免损失也可能是掺假的诱因(见案例 4 和 5)。关键材料的有限供应,可能会鼓励生产者凑合完成订单,而不是向客户宣布减少交货量。(EMA)的意图不是要引起疾病或死亡,但这可能是结果。这是 2008 年的情况,当时三聚氰胺被用作氮源,欺诈地增加牛奶的蛋白质含量,导致 5 万多名婴儿住院,6 人在食用受污染的婴儿配方奶粉后死亡。8)更多信息可从 3):http:/www.bbc.co.uk/news/world-africa-38391998 5 4):https:/ 5)其他的案例研究可以找到:h
21、ttps:/ PAS 96:2017 英国标准协会 2017 年版 5 在 EMA 的许多情况下,常见的因素是,掺假剂既不是食品安全的危害,也不容易被识别,因为这样可以击败攻击者的目标。常见的掺假剂9)包括水和糖;可以适当使用和声明但使用不当的成分是食品欺诈。EMA 可能对攻击者更有效,因此对食品供应链上游(见图 1)上的食品企业构成更大的威胁。成功掺假(从攻击者的角度来看)继续没有检测到。EMA 可能需要内部人士,但可通过验证予以披露,例如,财务审计可能会披露:.通过食谱无法解释的购买情况,如没有香料制造场所的苏丹红染料;或.销售数量和购买数量之间的差异,如销售的牛肉薄荷肉和购买的牛肉,用马
22、肉来弥补差额。3.33.3 恶意污染恶意污染 案例 6 2005 年,英国一家大型面包店报道说,有几位顾客在面包的包装纸里发现了玻璃碎片和缝纫针。10)案例 7 1984 年,俄勒冈州的拉杰尼希教派试图通过污染 10个不同沙拉栏的食物来影响当地选举的结果,导致751 人死亡受到沙门氏菌食物中毒的影响。11)案例 8 2013 年,一家主要软饮料供应商被迫从一个关键市场撤回产品,因为瓶子里的内容物被矿物酸取代了。袭击者包括一份说明,表明如果公司不遵守他们的要求,将向公众分发更多信息。案例 9 2007 年,一家面包店在工厂里发现了成堆的花生。它撤回了产品,并关闭了为期一周的深度清洁,以重新建立其
23、无坚果的状态。恶意污染的动机可能是导致局部(见案例 6)或广泛(见案例 7)疾病或死亡。在案例 7 中,攻击者不希望在食用之前被检测到该污染,因此该污染物必须是一种有效的毒素,对食物的可食用性影响甚小。案例 8 的动机是宣传。如果对公众造成了伤害,公众舆论就会反对攻击者,但供应商不能承担这个风险。攻击者可以用来获得宣传或勒索金钱的材料,比那些造成广泛伤害所需的材料更容易找到。过敏原的案例(见案例 9)显示了对攻击者风险不大的企业造成的危害、影响和成本。接近消费点或销售点的污染,如案例 7(图 1 的下游)比攻击作物或主要成分更有可能对健康造成危害。3.43.4、分解法、分解法 案例 10 19
24、90 年,一名前警察因用玻璃污染婴儿食品并要求该跨国制造商要钱而被判勒索罪。12)案例 11 2008 年,英国一名男子因威胁要炸毁一家大型超市并污染其产品而被判入狱。13)9)有关掺假剂的进一步信息,请参阅美国药理学公约食品欺诈数据库 2.0 版本:http:/www.foodfraud.org/#/food-fraud-database-version-20 11.10)有关此恶意污染案例的详细信息,请参见食品标准局档案:http:/webarchive.nationalarchives.gov.uk/20120206100416/http:/food.gov.uk/news/newsar
25、chive/2006/dec/kingsmill 12.11)有关更多信息,请参阅美国医学协会的出版物,由餐厅沙拉棒13的故意污染引起的沙门氏菌病的大型社区爆发。12)有关这个食品篡改案件的更多细节,请参见 Q 食品出版物:http:/www.qfood.eu/2014/03/1989-glass-in-baby-food/14.13)有关这个勒索案的更多细节,请参见卫报的文章:http:/ 96:2017 6 英国标准协会 2017 年版 个人或团体勒索的动机是经济上的,以从受害者组织获得金钱。当产品如婴儿食品(见案例 10)敏感或公司被视为富有(见案例 11)时,这种活动会吸引犯罪心理。少
26、量的样本可以用于向公司表明,攻击者有能力,并且足以引起公众的关注和媒体的兴趣。3.53.5 间谍活动间谍活动 案例 12 一家商业咨询公司利用盗窃虚构创新零食的知识产权作为商业间谍活动的例子。14)案例 13 2014 年 7 月,路透社报道称,美国一名妇女被指控试图窃取美国种子专利技术,这是走私中国专用玉米的阴谋的一部分。15)间谍活动的主要动机是为了寻求商业优势的竞争对手来获取知识产权。他们可能会渗透到使用内部人士来报告,或可能会通过信息技术系统进行远程攻击。或者,组织也会试图引诱高管披露机密信息或使用 秘密记录来捕捉这些材料,或者他们可能只是偷这些材料,正如案例 13 所暗示的那样。3.
27、63.6 假冒产品假冒产品 案例 14 2013 年,执法人员从一家非法工厂查获了 9 000 瓶假格兰的伏特加酒。16)案例 15 2011 年,340 瓶澳大利亚著名品牌的葡萄酒被查获,原因是业主投诉与澳大利亚无关的葡萄酒质量不佳。17)伪造的动机是经济利益,通过假冒低劣商品作为已建立和信誉良好的品牌。有组织犯罪和轻微犯罪都会给公司造成经济损失和损害他们的声誉。例如,前者可以使用复杂的印刷技术来生产与正品无法区分的产品标签。后者可以偷真正的包装,甚至重新填充单一使用的容器进行转售。有组织的罪犯可能会试图密切模仿食物的内容,以推迟发现和调查。小罪犯可能会被“快速杀人”的诱惑,而不太关心食物的
28、安全。14)关于这个虚构的案例研究的进一步信息,可以从默里协会获得:https:/ 16.15)有关更多信息,请访问 http:/www.grainews.ca/daily/Chinese-woman-arrested-in-plot-to-steal-u-s-corn-technology 17.16)关于这个伪造的例子的更多信息,请参见:http:/ 96:2017 英国标准协会 2017 年版 7 3.73.7 网络犯罪行为网络犯罪行为 案例 16 2014 年,英国反金融欺诈行动建议餐厅经理保持警惕,因为欺诈者试图以一个“新的手机”诈骗方式来针对他们的客户。他们会打电话给餐厅,声称他们
29、(餐厅)的银行卡支付系统有问题,然后告知餐厅将所有的收款转移到骗子提供的号码上。18)现代信息和通信技术为渎职行为提供了新的和迅速增加的机会。如果案例 16,网络骗子使用社会工程学试图欺骗企业和消费者。骗子通常会试图利用个人对所涉及的技术的无知。本案中的欺诈是“网络启用”的,这是一个熟悉的骗局,使电子通信变得更容易。截至 2016 年 9 月,在英格兰和威尔士,国家统计局总共报告了大约360万起欺诈案件和近200万起电脑滥用案件。19)案例 17 2016 年,有报道称,犯罪分子入侵了迪利维鲁的账户,用受害者卡订购食物。20)案例 18 2015 年,总部位于密歇根州的比格格比咖啡报告了一起数
30、据库漏洞,可能来自忠诚卡应用的客户信息被窃取。21)第17和第18宗案件的欺诈都可以通过互联网远程进行,几乎没有机会将犯罪者绳之以法。案例 19 2016 年,美国联邦调查局和美国农业部提醒农民们,通过使用精密农业技术,他们越来越容易受到网络攻击。22)这样的攻击可能是网络支持的工业间谍,或者黑客获得未经授权访问计算机系统,可能是恶意的。案例 20 2016 年,一家大型超市发现其自助结账时的秤损坏了,发现是受到了在公共网站上启用的分布式拒绝服务(DDOS)攻击。当公司网站是一个重要的交易平台时,(DDOS)攻击对公司来说可能是一个真正的麻烦,并导致真正的损失。“物联网”(互联网)变得越来越重
31、要;NCSC/NCA 联合威胁报告 23)揭示了(显然无害)互联网连接设备的脆弱性及其被犯罪分子滥用。公众可能更熟悉“盗用身份”,但组织可能也知道他们的身份被盗用进而开展采购欺诈,例如以他们(被盗用身份的人)的名义订购货物但(货物)转移到欺诈者的场所,却让受骗的供应商和假定的购买者(被盗用身份的人)承担费用和诉讼。18)有关该餐厅欺诈行为的更多信息,请参见:https:/www.financialfraudaction.org.uk/news/2014/08/13/cam-alert-restaurants-and-diners-targeted-in-new-scam/20.19)ONS 数
32、据集:英格兰和威尔士的犯罪:实验表:表 E1 损失(金钱或财产)造成的欺诈和计算机滥用事件的数量和发生率,以及受害者数量和百分比:https:/www.ons.gov.uk/peoplepopulationandcommunity/crimeandjustice/datasets/crimeinenglandandwalesexperimentaltables 21.20)更多信息见:https:/business-reporter.co.uk/2016/11/23/cyber-criminals-use-hacked-deliveroo-accounts-order-food-victims
33、-cards/22.21)详细信息见:http:/ 24.23)对英国业务的网络威胁参见:https:/www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-depth-analysis-evolving-threat 25.PAS 96:2017 8 英国标准协会 2017 年版 4.了解攻击者了解攻击者 4.1 概述 蓄意攻击食品或食品供应的成功与否取决于以下几件事:a)攻击者是否有动机和动力克服明显的障碍?如果这些障碍看起来巨大,而且似乎不太可能成功,许多潜在的攻击者将会寻求另一个更容易的目标。b)攻击者是否有能力执行该攻击?一
34、个小组更有可能找到资源并学习所需的技能。c)攻击者是否有机会执行该攻击?物理攻击需要对目标进行物理访问,但网络攻击可能只需要访问计算机。d)攻击者会被发现和/或任何潜在的惩罚所吓倒吗?4.2.敲诈勒索者 敲诈勒索者想要从一次攻击中获得经济利益,但不想被抓住,并专注于避免被发现。他们的目标更有可能是一个高调的企业,会因负面宣传而失去很多损失。他们可以独自工作,足智多谋,秘密和自私。世界各地使用“勒索软件”的网络攻击已经证明了勒索者现在可以多么容易地攻击多名受害者,以及将他们绳之以法是多么困难。24)有些人可能声称在缺乏执行能力的情况下能够对企业采取行动;企业可能认为该索赔不可信,但仍决定做出适当
35、的回应。4.3 机会主义者 机会主义者可能会在一个行动中占有有影响力的地位,以便能够逃避内部控制。他们可能有一些技术知识,但他们的主要资产是访问权。他们很可能会因为被发现的机会而气馁,因此客户或审计师未经宣布的访问,或进行分析的特别抽样行为,可能会阻止机会主义者的行动。不能按时保量向客户交货的供应商可能会冒这个风险,认为偶尔掺假不会被发现。有一次的成功可能会让他更想尝试再重复一次。这位机会主义者可能会说服自己,掺假是合法的,例如,猪肉香肠里的鸡肉仍然是肉。4.4 极端主义分子 极端主义者非常认真对待他们的事业或运动,以至于他们扭曲了事业或运动的背景,忽视了更广泛的问题。他们对事业的奉献精神可能
36、是没有限制的,他们自认为想要进步的决心可能是伟大的行为。极端分子可能想要造成伤害,并可能在事件发生后享受宣传。如果他们自己受到了伤害,这可能并不重要,也可能是一种好处。失败的风险是一种威慑作用,但在事件发生后被捕获的风险则不是。他们通常在设计攻击方法方面具有足智多谋和富有创新精神。一些单一的问题组织可能想要破坏业务运作和声誉,但他们担心对公众的大规模伤害会损害他们的事业,并导致他们失去支持。4.5 非理性的个体 有些人的行为没有理性的动机。他们的优先事项和注意力被扭曲,无法对世界采取平衡的世界观。有些人可能有临床诊断出的精神健康问题。应对这类人可能会很容易地用简单的方法就能阻止他们进入目标并使
37、检测更容易。24)有关更多信息,请参见网络对英国业务的威胁,pg7 可从下面网址获得:https:/www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-depth-analysis-evolving-threat25 PAS 96:2017 英国标准协会 2017 年版 9 4.6 心怀不满的人 心怀不满的人认为一个组织对他们不公平,并寻求报复。例如,他们可能是一个受委屈的雇员或前雇员、供应商或客户。他们可能具备关于操作和访问它的专业知识。此攻击者很可能是一个个体,而不是一个组织的一部分。如果是内部人士,他们可能会很危险,但更有可能
38、想要造成难堪局面和经济损失,而不是伤害公众。如果不是内部人士,这个人更有可能声称或夸嘘自己做过什么事情,而不是实际上能够做到。4.7网络犯罪分子和其他恶意的数字化技术参与者 网络罪犯的目的是颠覆对计算机化信息和通信系统的控制,以阻止他们有效工作,窃取或破坏他们所持有的数据,和/或扰乱互联网业务。他们的动机可能是犯罪上的,甚至是政治上的,但也可能是为了展示他们的专业知识和能力来击败任何旨在阻止他们的保护系统。传统上,这种类型的攻击者具有可能造成商业伤害的信息和通信技术的专业知识。然而,正如英国联合 NCSC/NCA 威胁报告25所警告的那样,“犯罪者之间的界限继续模糊,犯罪组织模仿国家和更先进的
39、参与者成功地使用现成的恶意软件发动攻击。”随着互联网活动的增加,这可能会对食品安全构成越来越大的威胁。4.8 专业罪犯 有组织犯罪可能会将食品欺诈视为一种相对简单的犯罪,前景有大收益,被捕的机会很少,如果定罪将受到适度的惩罚。在全球食品贸易中,食品材料往往几乎没有注意到,跨越执法区域边界似乎鼓励了专业罪犯。互联网的匿名性和远程入侵电子系统的机会使网络犯罪对专业罪犯越来越有吸引力。粮食业务与国家和国际警察当局之间的密切合作可能会阻止他们前进。25)NCSC 和 NCA 对英国业务的网络威胁可从:https:/www.ncsc.gov.uk/news/ncsc-and-nca-threat-rep
40、ort-provides-depth-analysis-evolving-threat25。PAS 96:2017 10 英国标准协会2017年版 5 威胁评估关键控制威胁评估关键控制点点(TACCP)5.1 个广泛的主题 TACCP 应被食品企业作为其更广泛的风险管理过程的一部分,或作为开始系统评估风险的一种方法。TACCP 的目标是:.减少发生蓄意攻击的可能性(机会);.减少攻击的后果(影响);保护组织机构的声誉;.让客户、媒体和公众放心.已采取适当的措施来保护食物;.满足国际期望,并支持贸易伙伴的工作;以及.证明采取了合理的预防措施,并尽职保护食物。从广义上来说:识别对公司业务构成的具体
41、威胁;通过考虑潜在攻击者的动机、过程的脆弱性、它们实施攻击的机会和能力以及评估所依据的信息的确定性来评估攻击的可能性;通过考虑成功攻击的后果来评估潜在的影响;通过比较不同威胁的可能性和影响来判断它们的优先级;根据风险确定威胁优先级,并跨贸易伙伴沟通这种优先级以共享接受风险;决定需要适当的控制,以阻止攻击者和发出攻击的早期通知;并维护信息和情报系统允许修订优先级。食品部门的专业人士希望尽量将一起袭击可能造成的生命损失、健康状况不佳、经济损失和损害商业声誉的可能性降到最低。TACCP 不能阻止个人或组织声称食物被他们污染了,但它可以帮助判断这种说法是否属实。任何此类索赔,如果被认为可信,而任何实际
42、事件都应被视为危机。组织需要采取措施来保持运营的运行,并通知相关人员。5.2TACCP 流程流程 在大多数情况下,TACCP 应该是一个团队活动,因为这是结合技能,特别是人员管理技能的最佳方式。对于许多小企业来说,团队的方法是不可行的,它可能是一个人的工作。TACCP 团队可以而且应该修改TACCP 流程,以最好地满足其需求,并使其适应其他威胁,以解决四个突出问题:a)谁可能想攻击我们?b)他们会怎么做的?c)我们在哪里很脆弱?d)我们怎么能阻止他们呢?流程图(见图 2)概述了 TACCP 过程,重点关注故意掺假和污染。关于图 2 中所述的 TACCP 流程的每个元素的详细信息,见相应的编号列
43、表(参见 5.2,1)-5.2,15)。PAS 96:2017 英国标准协会2017年版 11 图图 2-TACCP 流程概述流程概述 注释 1 另一种风险方法是附录 C 中概述的车辆冲击。注释 2 图 2 仅作为指示性说明。应成立一个常设的 TACCP 团队,其中可包括具有以下专业知识的人员:安保人员;人力资源;食品技术;工艺工程设计;生产经营;采购和供应;分销和物流;信息技术;商业营销/市场营销活动.注释 1 该团队可能包括主要供应商和客户的代表。注释 2 对于一个小型组织,一个人可能必须涵盖所有这些角色。注释 3 虽然 HACCP 团队可能提供一个合适的起点,但业务连续性团队可能是一个更
44、好的模式。TACCP团队通常是一个已建立的和永久的团队,能够持续审查其决定。PAS 96:2017 12 英国标准协会2017年版 由于 TACCP 流程可能涵盖敏感资料,并可能帮助潜在的攻击者,所有团队成员不仅应该了解实际流程,而且应该可靠、谨慎并了解流程的影响。TACCP 团队应:1)评估引起其注意的所有新信息;2)识别可能对组织及其系统,特别是电子系统构成威胁的个人和/或团体,并评估他们的动机、能力和决心;3)识别可能对特定操作构成威胁的个人和/或群体。办公场所、工厂、现场);4)将产品威胁与其他威胁区分:a)对于非产品威胁的,请参见第 11 条;b)对于产品威胁,选择代表特定流程的产品
45、;注注释释 4 4 例如,合适的产品是特定生产线的典型产品,并且可能是更脆弱的产品。5)识别可能想要针对特定产品的个人和/或组织;6)从 但不限于“农场到餐桌”绘制产品工艺流程图,例如国内准备。整个流程图应同时可见。应特别注意供应链中不太透明的部分,这可能需要一个附属图表;7)确定攻击者可能希望取得成功的若干脆弱点,可以通过检查过程的每个步骤发现访问的人员;8)识别产品的每一步流程中可能出现的威胁,并评估该过程在减轻威胁方面可能起到的作用。注注释释 5 5 模型掺假剂包括低成本的优质成分替代成分;模型污染物可能包括剧毒剂、有毒工业化学品、现成的有毒物质和不合适的物质,如过敏原或种族不健康的食品
46、。注注释释 6 6 例如,清洁可以去除污染物,热处理可能破坏污染物,而其他食品成分可以中和污染物。9)在此过程中选择对威胁影响最大的点,以及最佳的检测点。10)评估常规控制程序检测到此种威胁的可能性;注注释释 7 7 例如,常规的实验室分析可以检测到添加的水或不寻常的脂肪和油;有效的采购管理会挑战不寻常的采购订单。11)对威胁发生的可能性进行评分,对影响进行评分,绘制结果显示应给予的优先级(见 6.3),风险评估错误进行修订;注注释释 8 8 可能需要进行一些横向思考。TACCP 团队可能会问,“如果我们试图破坏我们的业务,最好的方法是什么?”它可能会考虑攻击者如何选择攻击材料:.可用性;.成
47、本;.毒性作用;.物理形式;和/或.使用中的安全,例如农场的杀虫剂和工厂的腐蚀性气味的物质可能是方便的污染物。12)优先级高时,确定谁可以在不受监督的情况下访问该产品或流程,以及它们是否可信,以及这种信任是否合理;13)识别、保密地记录、同意并实施相应的预防措施(关键控制)。TACCP 团队应具有保密的报告和记录程序,允许管理层对决策采取行动,但不会向那些不需要知道的人暴露弱点(见附件 A 中的案例研究);14)确定 TACCP 评审的评审和修订安排;注注释释 9 9 审查 TACCP 评估应在任何警报之后或每年进行,以及在出现新威胁或良好实践发生变化时进行。15)对官方和行业出版物进行例行监
48、督,提前预警可能成为新威胁或改变现有威胁的优先级,包括正在发展的更多的地方问题。注注释释 1010 部分信息和情报系统的概述见附件 B。PAS 96:2017 英国标准协会 2017 年版 13 6 项目评估项目评估 注意:以下列表并非详尽评估所面临威胁的所有问题。6.1 正在评估威胁 产品、场所、组织及其信息系统可以成为来自一系列群体和个人的攻击目标(见第 4 条),每个要素应单独评估。TACCP 团队应该考虑处于财务压力下的供应商、被疏远的员工和前员工、出现单一问题的用户、商业竞争对手、媒体组织、恐怖组织、罪犯份子和当地黑恶势力。通常,涉及较少人的短供应链可能比较长的供应链风险更小。TAC
49、CP 团队可以提出以下问题来评估威胁:对于该产品:.成本增加是否显著影响了本产品?.该产品对某些人是否具有特殊的宗教、伦理或道德意义?.这种产品可以作为广泛的流行食品中的成分吗?.该产品是否含有来自海外的原料或其他材料?.主要材料是否不足(例如作物歉收)或替代品过于充足(例如产品过剩)?.需求是否出现了意外的增加或减少?.是否可提供低成本的替代材料?.供应商交易利润的压力是否增加?对于场所:.该公司是否位于政治或社会敏感区域?.该场所是否与有争议的邻居共享访问权限或关键服务?.新员工,特别是代理机构和季节性的工作人员,是否经过了适当的筛选?.在公司内部是否做到了充分的保护?.外部公用设施是否得
50、到了充分的保护?.对敌方群体有价值的有害物质是否储存在现场?.是否有大量人员(包括普通公众)使用该位置?.员工是否有理由感到不满或显示出不满的迹象?.内部审计安排是否独立?.关键角色是否被员工担任多年,几乎没有监督?对于该组织:.在国际冲突中,我们有相关国家的外国所有权吗?.我们是有名人还是知名的首席执行官或老板?.我们是否因为与世界上不稳定地区有重要联系、客户、供应商等而享有盛誉?.有人认为我们的品牌有争议吗?.我们或我们的客户是否提供高调的客户或活动?.这个组织涉及到有争议的贸易了吗?.商业竞争对手是否被指控从事间谍活动或蓄意破坏活动?对于信息系统:.社交媒体的讨论是否表明我们可能会成为数
浙ICP备2021020529号-1 | 浙B2-20240490 
