PAS96-2017(中文版)保护食品和饮料免受故意攻击之指南.pdf
《PAS96-2017(中文版)保护食品和饮料免受故意攻击之指南.pdf》由会员分享,可在线阅读,更多相关《PAS96-2017(中文版)保护食品和饮料免受故意攻击之指南.pdf(57页珍藏版)》请在咨信网上搜索。
1、PAS 96:2017 英国标准协会 2017 年版 环境环境、食品和农村事务部食品和农村事务部 英国食品标准署英国食品标准署 食品论坛食品论坛 ID:zhaozhiyongID:zhaozhiyong-321321 译译 (仅供参考仅供参考)保护食品和饮料免受故意攻击之指南 PAS 96:2017 英国标准协会 2017 年版 出版出版及及版权信息版权信息 本文档中显示的 BSI 版权声明指明了该文档的最后发布时间。英国标准协会 2017。由 BSI 标准有限公司 2017 出版。国际编号国际编号 ISBN ISBN 978 0 580 98099 2 ICSICS 67.020 未经 BS
2、I 许可,除非经版权法许可,否则不得复制。出版作品的历史记录 2008 年 3 月首次出版 2010 年 3 月第二版 2014 年 10 月第三版 第四版(当前)版,2017 年 11 月 文文 本本 说说 明明.本文由(食品伙伴网)食品论坛 ID:zhaozhiyong-321 翻译,非中国官方译文。.本译文的排版方式,最大限度的保证了与英文原版同步。.受译者专业水平及对原文理解的限制,若您在阅读时发现错误,请您参考原英文版自行纠正。.本译文严禁用于以盈利为目的出版、培训。.如如果您己经获得了果您己经获得了中国官方中国官方或权威的或权威的译文,请译文,请您您以官方以官方或权威方的或权威方的
3、译文为准。译文为准。PAS 96:2017 英国标准协会 2017 年版 目录目录 前言 介绍 1 范围 2 术语和定义 3 威胁的类型 4 了解攻击者 5 威胁评估关键控制点(TACCP)6 评估 7 关键控制件 A 8 对突发事件的响应 9 审查食品保护安排 附件附件 附录 A(信息性)TACCP 案例研究 附件 B(信息性)信息和情报来源对食品供应造成的新兴风险 附录 C(信息性)食品和饮料保护的补充方法 附录 D(信息性)网络安全的 10 个步骤:董事会级别责任)参考书目 数字数字图表图表 目录目录 图 1-A 食品供应链 2 图 2-概述 TACCP 流程 11 图 3-风险评分矩阵
4、 15 图 A.1 威胁识别码 22 图 A.2-威胁优先级排序 28 图 A.3-漏洞评估 30 图 A.4-FryByNite 工作流程 31 图 A.5-威胁优先级排序 35 图 A.6-威胁优先级排序 40 图 B.1-关于有关的信息和情报的全球传播对食品产生的新兴风险 42 表表格清单格清单 表 1-风险评估 评分 15 表 2-降低风险的方法 16 表 3-篡改证据 17 表 4-人员安全情况 17 表 A.1-威胁信息 21 表 A.2-威胁识别 23 表 A.3-威胁评估 26 能力 A.4-威胁评估报告 20170602 29 表 A.5-威胁信息 32 表 A.6-威胁评估
5、 33 表 A.7-威胁事件登记册 36 表 A.8-可能对农夫食品有限公司采取恶意活动的来源 38 表 A.9-威胁性评估 39 ii iv 1 1 4 8 10 13 16 18 19 20 41 43 44 45 PAS 96:2017 英国标准协会 2017 年版 序言序言 该 PAS 由环境、食品和农村事务部(Defra)和食品标准局(FSA)赞助。PAS 的开发得到了 BSI 标准有限公司的推动,并在英国标准协会的许可下出版。本 PAS 于 2017 年 11 月 16 日生效。感谢以下组织作为指导小组的成员参与了本 PAS 的开发:.英国农业集团股份有限公司.英国冷冻食品联合会(
6、BFFF).坎普登运动内衣系列.克罗克拉克怀特希尔 LLP.达能公司.环境、食品和农村事务部(法国).美国食品标准局.GIST 股份有限公司.麦当劳(欧洲).国家网络安全中心(NCSC).索迪斯集团股份有限公司.乐购(英国).郁金香公司股份有限公司.伦敦大学学院.威利斯塔,沃森 鸣谢所有为本PAS的编写过程中提供咨询和帮助的成员。英国标准协会保留本 PAS 的所有权和版权。作为PAS 标准出版商的 BSI 标准有限公司保留在收到适当的权威建议后,撤回或修改本 PAS 的权利。本 PAS的审查间隔不超过两年,审查产生的任何修订将作为修订的 PAS 发布,并在更新标准中公布。本 PAS 不应被视为
7、英国官方标准。本标准将在其内容以英国官方标准发表时或以英国官方标准的形式发表时被撤回。PAS 方案使我们能够快速实施风险管控,以满足工业的即时需求。PAS 可考虑作为英国标准的进一步发展,或构成英国对欧洲或国际标准发展的投入的一部分。取代说明取代说明 本 PAS 取代已被撤销的 PAS 96:2014 有关本文件的信息有关本文件的信息 本文针对 PAS96:2014 的完整修订版,主要变化是:.规范的和信息丰富的参考文献已经得到了参考更新的;.第 3.7 款网络犯罪;.增加了第 6.2.4 条子条款,以涵盖相关的漏洞进行网络攻击.两个新的虚构案例研究条款 A.5和 A.6来说明网络安全相关问题
8、;.附件 B 已更新;.附件 D 增加了涉及网络安全的 10 个步骤;.已经进行了一些编辑修改。PAS 96:2017 英国标准协会 2017 年版 使用声明使用声明 作为指南,本 PAS 采用指导和建议的形式。本标准不应被强制引用,向对方说它是一种规范或一种实践规范。并且不能向对方提出遵守本标准的要求。标准惯例标准惯例 本标准中的指导方针采用的是罗马(i.e.upright)类型。任何建议都可以用主辅动词是“应该”的句子来表达。注释、说明和一般信息材料以较小的斜体形式呈现,不构成规范元素。合同上和法律上的考虑事项合同上和法律上的考虑事项 本出版物并不声称包括合同的所有必要条款。用户负责其正确
9、的应用负责。遵守遵守 PASPAS 并不能赋予人们对法律义务的豁免权。并不能赋予人们对法律义务的豁免权。PAS 96:2017 英国标准协会 2017 年版 食品工业将其产品的安全视为其主要关注的问题。多年来,行业和监管机构已经制定了食品安全管理系统,这意味着重大食品中毒爆发在许多国家相当不寻常。这些系统通常使用全球公认的危险分析关键控制点(HACCP)原则。1)HACCP 已被证明可有效地防止意外污染。但是,HACCP 原则并没有常规用于检测或减轻对系统或进程的故意攻击。这类攻击包括故意污染、电子入侵和欺诈。故意行为可能影响食品安全,但可能以其他方式损害组织,如损害商业声誉或勒索钱财。所有这
10、些故意行为背后的共同因素都是人。这些人可能是在食品行业,可能是食品业务供应商的雇员,也可能是与食品业务没有联系的完全的局外人。关键问题是他们的动机,他们的目标可能是损害人类健康、商业声誉,或以牺牲企业为代价获得经济利益。在任何这些情况下,保护自己免受此类攻击都符合食品业务的利益。PAS96 的目的是指导食品业务经理通过方法和程序来提高供应链对欺诈或其他形式攻击的弹性。它的目的是通过尽量减少发生袭击的机会和减少一次成功攻击的后果来确保食物的真实性和安全。PAS96 描述了威胁评估关键控制点(TACCP),该风险管理方法与 HACCP 一致,但重点不同,可能需要来自不同学科的员工的输入,如人力资源
11、、采购、安全和信息技术。1)关于 HACCP 的进一步信息和指导可参见食品法典出版物食品卫生通则。它解释了 TACCP 过程,概述了可以阻止攻击者或早期检测攻击的步骤,并使用虚构的案例研究(见附件 A)来显示其应用程序。总体而言,TACCP 将食品业务经理置于攻击者的位置,以预测他们实施攻击的动机、能力和机会,然后帮助他们设计保护措施。它还提供了可能有助于识别新出现的威胁的其他信息和情报来源(见附录 B)TACCP 流程假设并建立在业务现有有效的HACCP 操作的基础上,因为为确保食品安全而采取的许多预防措施也可能阻止或发现故意行为。它还补充了现有的业务风险管理和突发事件管理流程。本文的重点是
12、保护食品和食品供应的完整性和健康。任何有意攻击者,无论是来自食品业务或供应链还是外部,都可能试图逃避或避免日常管理过程。它应该有助于食品企业减轻每一种威胁,但这种方法也可以用于其他商业威胁。没有任何程序能保证食物和食品供应不是犯罪活动的目标,但使用 PAS96 的可能性更小。它的目的是作为一个实用和易于使用的指南,因此是用日常语言写的,并且是以常识而不是法律的方式使用。简介简介 PAS 96:2017 英国标准协会 2017 年版 1 1 1 适用范围适用范围 本 PAS 就避免和减轻对食品和食品供应的威胁提供了指导。它描述了一种风险管理方法,威胁评估关键控制点(TACCP),可以由各种规模和
13、食品供应链的食品企业进行调整。虽然对食品和饮料的安全和完整性的关注至关重要,而且许多 PAS 都在关注它们,但需要强调的是,其范围涵盖了“所有威胁”和保护食品供应的所有要素。这包括供应链内企业的生存能力。它旨在适用于所有的组织,但对于不容易获得专业建议的中小型小型食品企业的经理人特别有用。2 2 术语和定议术语和定议 针对本 PAS,适用以下术语和定义。2.1 网络安全网络安全 保护设备、服务和网络及其相关信息免受盗窃或损坏。资料来源:NCSC 词汇表2 2.2 食物防御食物防御 指为确保食品和饮料及其供应链的安全不受恶意和意识形态动机的攻击而导致污染或供应中断而采取的程序。注意:食品安全一词
14、指的是公众对他们未来可以获得食物的信心。在有限的意义上讲,除了成功的针对食品安全的攻击可能会造成食品安全受到影响外,不对食品安全造成影响的攻击行为,不属于 PAS 范围。2.3、食品欺诈行为、食品欺诈行为 指与食品生产或供应有关的不诚实行为或不作为,为个人利益或造成损失的不诚实行为2)注 1:尽管有很多类型的食品欺诈行为,但主要的两种类型是:1)销售不适合和潜在有害的食品,例如:.动物副产品回收食物链;.不明产地的牛肉、家禽的包装、销售;.明知是销售超过“使用”日期的商品;2)英国食品标准局在:https:/www.food.gov.uk/enforcement/the-national-fo
15、od-crime-unit/what-is-food-crime-and-food-fraud 讨论了食品犯罪和食品欺诈问题。PAS 96:2017 2 英国标准协会 2017 年版 2)故意错误地描述了食物,如:.用更便宜的替代品替代的产品,例如,野生出售的养殖鲑鱼和掺假更便宜品种的巴西米米;.对原料的来源作出虚假陈述。如,它们的地理位置、植物或动物的起源。注2食品欺诈还可能包括出售被盗的或非法屠宰的动物的肉类,以及可能被偷猎的野生狩猎动物。2.4、食品保护措施、食品保护措施 指为阻止和检测对食品的欺诈性袭击而采取的程序。2.5 食物供应食物供应 指通常被称为食品供应链的要素 注:图 1 为
16、食物供应链的一个示例。图 1 并不是要进行全面的分析。2.62.6 危险因素危险因素 指自然发生或意外事件或相关人员无能或无知可能造成损失或损害。2.72.7 危险分析临界控制点危险分析临界控制点(HACCP)(HACCP)识别、评估和控制对食品安全很重要的危害的系统。食品卫生的一般原则,1 2.82.8 知情人(内部人士)知情人(内部人士)组织内部或与组织资产相关,但可能滥用该访问并对其运营构成威胁的个人。图图 1-A 食品供应链 PAS 96:2017 英国标准协会 2017 年版 3 2.92.9、人员安全保障、人员安全保障 指用于确认个人身份、资格、经验和工作权利,以及监督雇员或承包商
17、行为的程序。注意 1 不要与“个人安全”混淆。注 2 人员安全原则用于确保组织内部员工的可信度,但也可以用于供应商认证流程中的供应商人员。2.102.10 威胁威胁 指可能因人们的恶意而造成损失或伤害的事情。注意:威胁不适用于威胁行为或承诺因不遵守、恶意要求、而造成的不愉快后果。2.11.2.11.威胁评估关键控制点威胁评估关键控制点(TACCP)(TACCP)指通过评估威胁、识别漏洞,并实施让有专业和值得信赖的团队对材料、产品、采购、流程、场所、人员、分销网络和业务系统进行控制,系统地管理风险。PAS 96:2017 4 英国标准协会 2017 年版 3.威胁的类型威胁的类型 3.1 概述概
18、述 故意反对食品和食物供应的行为有几种形式。第 3 条描述了对食品真实性和安全的主要威胁的特征经济动机的掺假(EMA)和恶意污染,并解释了其他威胁的性质,特别是对数字技术的快速滥用。3.2 基于经济动机的掺假基于经济动机的掺假(EMA)“EMA 读音埃玛”注:许多其他案例的详细信息可参见http:/www.foodfraud.org/4,美国药物理学公约食品欺诈数据库。案例 1 2016 年,尼日利亚的海关官员没收了 2.5 吨大米,他们怀疑这些大米是用塑料制成的。3)案例 2 橄榄油经常是掺假的目标,通常是其它植物油。2017 年,意大利当局瓦解了一个向美国出口假橄榄油的有组织犯罪团伙。4)
19、同样,巴西官员报告说,非常高比例的橄榄油不符合其标签所要求的质量标准。5)案例 3 西班牙警方指控一家牛肉汉堡制造商使用猪肉碎和大豆来提高其产品的肉类含量。多年来如此,6)目前尚不清楚这些汉堡是否真的含有足够的牛肉来满足任何官方规定。案例 4 2014 年,肯尼亚乳制品委员会声称,小贩们添加防腐剂(福尔马林和过氧化氢)会危及生命,试图延长牛奶的保质期(可能是徒劳的)。7)案例 5 一家欧洲肉类包装公司的工作人员错误地认为,他们可以通过使用消毒剂来掩盖一种产品,以避免产品被检出携带口蹄疫。(EMA)的动机是经济上的,即以一种欺骗客户和消费者的方式从销售食品中获得增加的收入。这可能是将更便宜的材料
20、作为更昂贵的材料(见例 1),也可能是使用较便宜的成分来替换或扩展更昂贵的材料(见例 2 和 3)。避免损失也可能是掺假的诱因(见案例 4 和 5)。关键材料的有限供应,可能会鼓励生产者凑合完成订单,而不是向客户宣布减少交货量。(EMA)的意图不是要引起疾病或死亡,但这可能是结果。这是 2008 年的情况,当时三聚氰胺被用作氮源,欺诈地增加牛奶的蛋白质含量,导致 5 万多名婴儿住院,6 人在食用受污染的婴儿配方奶粉后死亡。8)更多信息可从 3):http:/www.bbc.co.uk/news/world-africa-38391998 5 4):https:/ 5)其他的案例研究可以找到:h
21、ttps:/ PAS 96:2017 英国标准协会 2017 年版 5 在 EMA 的许多情况下,常见的因素是,掺假剂既不是食品安全的危害,也不容易被识别,因为这样可以击败攻击者的目标。常见的掺假剂9)包括水和糖;可以适当使用和声明但使用不当的成分是食品欺诈。EMA 可能对攻击者更有效,因此对食品供应链上游(见图 1)上的食品企业构成更大的威胁。成功掺假(从攻击者的角度来看)继续没有检测到。EMA 可能需要内部人士,但可通过验证予以披露,例如,财务审计可能会披露:.通过食谱无法解释的购买情况,如没有香料制造场所的苏丹红染料;或.销售数量和购买数量之间的差异,如销售的牛肉薄荷肉和购买的牛肉,用马
22、肉来弥补差额。3.33.3 恶意污染恶意污染 案例 6 2005 年,英国一家大型面包店报道说,有几位顾客在面包的包装纸里发现了玻璃碎片和缝纫针。10)案例 7 1984 年,俄勒冈州的拉杰尼希教派试图通过污染 10个不同沙拉栏的食物来影响当地选举的结果,导致751 人死亡受到沙门氏菌食物中毒的影响。11)案例 8 2013 年,一家主要软饮料供应商被迫从一个关键市场撤回产品,因为瓶子里的内容物被矿物酸取代了。袭击者包括一份说明,表明如果公司不遵守他们的要求,将向公众分发更多信息。案例 9 2007 年,一家面包店在工厂里发现了成堆的花生。它撤回了产品,并关闭了为期一周的深度清洁,以重新建立其
23、无坚果的状态。恶意污染的动机可能是导致局部(见案例 6)或广泛(见案例 7)疾病或死亡。在案例 7 中,攻击者不希望在食用之前被检测到该污染,因此该污染物必须是一种有效的毒素,对食物的可食用性影响甚小。案例 8 的动机是宣传。如果对公众造成了伤害,公众舆论就会反对攻击者,但供应商不能承担这个风险。攻击者可以用来获得宣传或勒索金钱的材料,比那些造成广泛伤害所需的材料更容易找到。过敏原的案例(见案例 9)显示了对攻击者风险不大的企业造成的危害、影响和成本。接近消费点或销售点的污染,如案例 7(图 1 的下游)比攻击作物或主要成分更有可能对健康造成危害。3.43.4、分解法、分解法 案例 10 19
24、90 年,一名前警察因用玻璃污染婴儿食品并要求该跨国制造商要钱而被判勒索罪。12)案例 11 2008 年,英国一名男子因威胁要炸毁一家大型超市并污染其产品而被判入狱。13)9)有关掺假剂的进一步信息,请参阅美国药理学公约食品欺诈数据库 2.0 版本:http:/www.foodfraud.org/#/food-fraud-database-version-20 11.10)有关此恶意污染案例的详细信息,请参见食品标准局档案:http:/webarchive.nationalarchives.gov.uk/20120206100416/http:/food.gov.uk/news/newsar
25、chive/2006/dec/kingsmill 12.11)有关更多信息,请参阅美国医学协会的出版物,由餐厅沙拉棒13的故意污染引起的沙门氏菌病的大型社区爆发。12)有关这个食品篡改案件的更多细节,请参见 Q 食品出版物:http:/www.qfood.eu/2014/03/1989-glass-in-baby-food/14.13)有关这个勒索案的更多细节,请参见卫报的文章:http:/ 96:2017 6 英国标准协会 2017 年版 个人或团体勒索的动机是经济上的,以从受害者组织获得金钱。当产品如婴儿食品(见案例 10)敏感或公司被视为富有(见案例 11)时,这种活动会吸引犯罪心理。少
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PAS96 2017 中文版 保护 食品 饮料 免受 故意 攻击 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。