Giới thiệu về kiểm tra nhà máy SCAN
        Tên đầy đủ của SCAN là Mạng lưới Kiểm toán Tuân thủ Nhà cung cấp, là một hệ thống kiểm toán quản lý bảo mật chuỗi cung ứng toàn cầu do Tập đoàn BSI của Anh dẫn đầu. Mục tiêu cốt lõi của nó là đánh giá sự tuân thủ của các nhà cung cấp trong toàn bộ chuỗi an ninh vật lý, kiểm soát nhân sự, lưu thông hàng hóa, bảo vệ thông tin, v.v. thông qua các tiêu chuẩn và quy trình bảo mật thống nhất, và để ngăn chặn sự xâm nhập của khủng bố, trộm cắp hàng hóa, rò rỉ dữ liệu và các rủi ro khác. Nhà máy kiểm tra SCAN tích hợp các yêu cầu cốt lõi của khuôn khổ chống khủng bố quốc tế như C-TPAT (Liên minh chống khủng bố thương mại hải quan) ở Hoa Kỳ. Đồng thời, thông qua mô hình "kiểm toán một lần, chia sẻ nhiều khách hàng", nó làm giảm sự lãng phí tài nguyên do kiểm toán lặp đi lặp lại và đã trở thành cơ sở quan trọng cho việc tiếp cận chuỗi cung ứng của các thương hiệu quốc tế như Wal-Mart và Home Depot.  
        Các phương pháp và bước để chứng minh rằng doanh nghiệp đã thực hiện các biện pháp bảo mật:
        Doanh nghiệp cần xây dựng chuỗi chứng cứ đa chiều “tài liệu thể chế - hồ sơ thực hiện - phương tiện kỹ thuật - xác thực của bên thứ ba” để chứng minh một cách có hệ thống tính hiệu quả của các biện pháp bảo mật. Những điều sau đây được giải thích theo năm chiều: 
        I. Tính toàn vẹn và truy xuất nguồn gốc của các tài liệu thể chế 
        Tài liệu hệ thống là nền tảng của quản lý bảo mật, cần phản ánh toàn bộ phạm vi quy trình và khả năng hoạt động của tiêu chuẩn SCAND: 
        1. Chính sách bằng văn bản và Hướng dẫn quy trình 
        - Xây dựng Sổ tay quản lý an toàn chuỗi cung ứng để làm rõ các tiêu chuẩn hoạt động về an toàn vật chất, kiểm soát nhân sự, vận chuyển hàng hóa và các liên kết khác. Ví dụ, để đảm bảo an toàn cho container, cần phải quy định rằng "kiểm tra bảy điểm (bao gồm tính toàn vẹn của hộp, niêm phong cửa, v.v.) phải được thực hiện trước khi tải" với các bước kiểm tra cụ thể. 
        - Thiết lập Hệ thống quản lý bảo mật thông tin, yêu cầu "dữ liệu nhạy cảm cần được mã hóa và lưu trữ, quyền truy cập phải được đặt theo cấp độ bài đăng" và làm rõ các hình phạt đối với các hoạt động bất hợp pháp. 
        - Các tài liệu hệ thống cần được ban quản lý phê duyệt và công bố để đảm bảo rằng chúng được mọi người biết đến. Tính hợp lệ của truyền thông chính sách có thể được chứng minh thông qua mẫu ký văn bản. 
        2. Hướng dẫn hoạt động và kế hoạch khẩn cấp 
        - Chuẩn bị "hướng dẫn hoạt động" đồ họa cho các liên kết rủi ro tần suất cao (chẳng hạn như quản lý khách truy cập và chấp nhận hàng hóa), chẳng hạn như "khách truy cập cần đăng ký thẻ ID, cấp huy hiệu tạm thời và được nhân viên được ủy quyền đi cùng trong suốt chặng đường" và đính kèm mẫu của mẫu đăng ký. 
        - Xây dựng Kế hoạch Khẩn cấp cho Trường hợp Khẩn cấp, bao gồm hỏa hoạn, trộm cắp, vi phạm dữ liệu và các tình huống khác, làm rõ quy trình ứng phó của từng vị trí (chẳng hạn như "Khi tìm thấy các gói đáng ngờ, nhân viên an ninh cần cách ly ngay hiện trường và báo cáo cho cơ quan thực thi pháp luật địa phương"), và cập nhật 
        II. Tính xác thực và nhất quán của hồ sơ thực hiện 
        Hồ sơ thực thi là một "dấu hiệu" của việc hạ cánh các biện pháp an ninh và cần phải đảm bảo rằng nó có thể kiểm chứng và không có lỗi: 
        1. Hồ sơ kiểm tra và bảo trì hàng ngày 
        - An toàn thể chất: Giữ Mẫu Kiểm tra An toàn Nhà máy và ghi lại việc kiểm tra tường, thiết bị giám sát và thiết bị chữa cháy hàng ngày, bao gồm thời gian kiểm tra, mô tả vấn đề và kết quả cải chính. Ví dụ, "một lỗi camera giám sát kho đã được thay thế và kiểm tra bình thường vào một ngày nhất định." 
        - An toàn hàng hóa: Giữ mẫu kiểm tra tải Container và ghi lại kết quả kiểm tra bảy điểm, số con dấu và ảnh của quá trình tải trước khi tải để đảm bảo rằng tình trạng container có thể được truy tìm. 
        - Quản lý nhân sự: Thiết lập Hồ sơ Điều tra Lý lịch Nhân viên, bao gồm bản sao chứng minh thư, không có giấy chứng nhận hồ sơ tội phạm, mẫu đăng ký nhập cảnh, v.v., để chứng minh sự tuân thủ lý lịch của nhân viên ở các vị trí nhạy cảm (chẳng hạn như quản lý kho). 
        2. Hồ sơ đào tạo và khoan 
        - Đào tạo an toàn: Làm Biểu mẫu Đăng ký Đào tạo và Tài liệu Đánh giá để chứng minh rằng nhân viên đã nhận được nhận thức về chống khủng bố, ứng phó khẩn cấp và các khóa đào tạo khác. Ví dụ, "một đợt đào tạo bao gồm 100 nhân viên, bao gồm các phương pháp xác định các hành vi đáng ngờ và tỷ lệ vượt qua đánh giá là tất cả đủ điều kiện." 
        - Cuộc tập trận khẩn cấp: Giữ Báo cáo Cuộc tập trận chữa cháy để ghi lại thời gian diễn tập, số lượng người tham gia, lối thoát, các vấn đề và các biện pháp cải tiến. Ví dụ, "Trong một bài tập ban đêm, các nhân viên đã hoàn thành việc sơ tán trong thời gian quy định, nhưng một số kênh không được đánh dấu rõ ràng và đã được sửa chữa trong vòng ba ngày." 
        3. Hồ sơ xử lý sự kiện bất thường 
        - Thiết lập Báo cáo Sự cố Bảo mật để ghi lại tất cả các vi phạm (chẳng hạn như xâm nhập trái phép vào kho), quy trình xử lý (chẳng hạn như cảnh báo cho nhân viên liên quan, giám sát và truy xuất video) và các biện pháp phòng ngừa (chẳng hạn như tăng cường quản lý cơ quan kiểm soát truy cập) để đảm bảo rằng vấn đề được giải quyết. 
        III. Tính hiệu quả và thời gian thực của các phương tiện kỹ thuật 
        Các biện pháp kỹ thuật là "sự hỗ trợ mạnh mẽ" của quản lý an toàn, cần phản ánh các đặc điểm của tự động hóa và trực quan hóa: 
        1. Bằng chứng về hoạt động của thiết bị an toàn vật lý 
        - Lắp đặt hệ thống kiểm soát truy cập và camera giám sát để chứng minh khả năng tiếp cận của nhân viên và giám sát thời gian thực các khu vực chính thông qua nhật ký hệ thống. Ví dụ: "hồ sơ kiểm soát truy cập của nhà kho cho thấy khi một người trái phép cố gắng quẹt thẻ để vào, hệ thống sẽ tự động kích hoạt báo động và đẩy thông báo cho người phụ trách an ninh". 
        - Triển khai các hệ thống chữa cháy thông minh để chứng minh hiệu quả của các cơ sở chữa cháy thông qua dữ liệu cảm biến. Ví dụ: "hệ thống phun nước được tự động khởi động khi nồng độ khói vượt quá tiêu chuẩn và dữ liệu liên quan được tải đồng bộ lên nền tảng EHS Internet of Things". 
        2. Hồ sơ theo dõi hàng hóa và vận chuyển 
        - Sử dụng hệ thống định vị GPS để giám sát các phương tiện vận tải và lưu Báo cáo theo dõi tuyến đường vận tải để chứng minh tuyến vận chuyển hàng hóa phù hợp với kế hoạch và không có điểm dừng bất thường. 
        - Áp dụng các con dấu chống giả mạo, và ghi lại số con dấu, thời gian dán và xử lý hư hỏng trong Bàn sử dụng con dấu. Ví dụ: "Số con dấu của một lô hàng phù hợp với hồ sơ vận đơn và con dấu vẫn còn nguyên vẹn tại thời điểm dỡ hàng." 
        3. Bảo vệ kỹ thuật bảo mật thông tin 
        - Lắp đặt tường lửa và hệ thống phát hiện xâm nhập để chứng minh khả năng phòng thủ của hệ thống thông qua việc ghi nhật ký. Ví dụ: "một nỗ lực IP bên ngoài để bẻ khóa cơ sở dữ liệu được phát hiện tại một thời điểm nhất định và hệ thống sẽ tự động chặn và tạo Báo cáo Phân tích Sự cố Bảo mật." 
        - Thường xuyên sao lưu dữ liệu và lưu Nhật ký sao lưu và hồ sơ kiểm tra khôi phục để chứng minh rằng dữ liệu có thể được khôi phục nhanh chóng sau thảm họa. 
        IV. Kết quả kiểm toán và chứng nhận của bên thứ ba 
        Xác thực của bên thứ ba là hiện thân trực tiếp về độ tin cậy của các biện pháp bảo mật: 
        1. Báo cáo kiểm tra nhà máy QUÉT và hồ sơ cải chính 
        - Sau khi vượt qua kiểm toán SCAN, lấy báo cáo kiểm toán và kế hoạch cải chính (CAPA) để chứng minh doanh nghiệp đáp ứng các tiêu chuẩn SCAN. Ví dụ: "Trong cuộc kiểm toán Quét của một doanh nghiệp trong quý II năm 2025, tất cả các vi phạm nghiêm trọng đã được khắc phục trong vòng 60 ngày và được xác minh." 
        - Lưu ảnh quá trình chỉnh lưu, mẫu nghiệm thu và các chứng cứ khác. Ví dụ: "Sau khi khu vực bị hư hỏng của tường nhà máy được sửa chữa, Báo cáo Chấp nhận Kỹ thuật sẽ được kiểm tra và ban hành bởi một tổ chức bên thứ ba." 
        2. Chứng nhận hợp tác chứng nhận quốc tế khác 
        - Nếu doanh nghiệp vượt qua ISO 27001 (Hệ thống quản lý bảo mật thông tin) hoặc C-TPAT (Chứng nhận chống khủng bố hải quan), họ có thể nộp chứng chỉ và báo cáo đánh giá để hỗ trợ công nhận quốc tế về quản lý bảo mật. 
        - Tham gia vào các liên minh an ninh chuỗi cung ứng (như tham gia các dự án chống khủng bố hải quan địa phương) và chứng minh sự tuân thủ của các doanh nghiệp trong ngành thông qua tư cách thành viên.  
        
        V. Tính nhất quán của nhận thức và hành vi của nhân viên 
        Hành vi của nhân viên là một "phản chiếu" về ảnh hưởng của các biện pháp an toàn, cần được chứng minh bằng bằng chứng đào tạo và hồ sơ phỏng vấn: 
        1. Trình bày trực quan các hiệu ứng đào tạo 
        - Lưu "Giấy chứng nhận đào tạo" và ảnh đào tạo, chẳng hạn như "Nhân viên của một bộ phận hoàn thành khóa đào tạo nâng cao nhận thức chống khủng bố, và ảnh nhóm cho thấy PPT và các tài liệu đánh giá tại địa điểm đào tạo." 
        - Thường xuyên tiến hành các cuộc thi kiến thức hoặc mô phỏng kịch bản để chứng minh sự thành thạo của nhân viên về các quy trình an toàn thông qua hồ sơ hoạt động. Ví dụ, "Trong đánh giá mô phỏng kiểm tra thùng chứa của một nhóm, tất cả các thành viên đã xác định chính xác vấn đề bất thường của con dấu." 
        2. Phỏng vấn nhân viên và quan sát hành vi 
        - Hợp tác với các cuộc phỏng vấn ngẫu nhiên trong cuộc kiểm toán và nhân viên cần mô tả chính xác quy trình an toàn. Ví dụ, "Một người quản lý kho đã giải thích rõ ràng trong cuộc phỏng vấn rằng 'hàng hóa cần phải kiểm tra đơn đặt hàng và đối tượng vật lý, và tình huống bất thường cần được báo cáo ngay lập tức'." 
        - Chứng minh sự tuân thủ hoạt động hàng ngày của nhân viên thông qua hồ sơ quan sát hành vi. Ví dụ, "nhiều cuộc kiểm tra bất ngờ đã phát hiện ra rằng du khách đã được đăng ký theo yêu cầu và được hướng dẫn bởi những người hộ tống, và không có nhập cảnh bất hợp pháp." 
        VI. Chuỗi bằng chứng vòng kín để cải tiến liên tục 
        Cải tiến liên tục là "đảm bảo" quản lý an toàn dài hạn, cần phản ánh chu kỳ xác định, khắc phục và phòng ngừa vấn đề: 
        1. Đánh giá kiểm toán và quản lý nội bộ 
        - Tiến hành kiểm toán nội bộ thường xuyên, lập báo cáo kiểm toán nội bộ, ghi lại các vấn đề được phát hiện và các biện pháp khắc phục. Ví dụ: "Một nhóm kiểm toán nội bộ phát hiện ra rằng 'một số nhân viên đã không đeo thiết bị bảo hộ đúng cách' và các nhân viên liên quan đã được đào tạo lại và đánh giá." 
        - Triệu tập cuộc họp rà soát quản lý để lập Biên bản cuộc họp, đánh giá việc đạt được các mục tiêu an ninh và điều chỉnh chiến lược. Ví dụ: "tiêu chí lựa chọn cho các nhà cung cấp dịch vụ hậu cần đã được tối ưu hóa dựa trên dữ liệu kịp thời vận chuyển hàng quý nhất định." 
        2. Kế hoạch đánh giá và cải tiến rủi ro 
        - Tiến hành đánh giá rủi ro chuỗi cung ứng hàng năm để xác định các mối đe dọa tiềm ẩn (chẳng hạn như sự suy giảm an ninh trong khu vực) và xây dựng Chương trình Ứng phó Rủi ro. Ví dụ: "để đối phó với rủi ro của các tuyến đường vận chuyển, giám sát thời gian thực GPS và các hạn chế vận chuyển ban đêm đã được thêm vào." 
        - Duy trì Bảng theo dõi các biện pháp cải tiến để ghi lại tiến độ và hiệu quả của việc thực hiện các biện pháp cải tiến. Ví dụ: "Để cải thiện bảo mật thông tin, một doanh nghiệp đã đầu tư kinh phí đặc biệt để nâng cấp tường lửa máy chủ. Sau khi nâng cấp, số lượng lỗ hổng hệ thống đã giảm đáng kể." 
        Tóm lại, cốt lõi của việc chứng minh rằng doanh nghiệp đã thực hiện các biện pháp bảo mật nằm ở việc xây dựng một chuỗi bằng chứng có hệ thống - các tài liệu thể chế cần phản ánh phạm vi bảo hiểm tiêu chuẩn, hồ sơ thực hiện cần phải đúng sự thật và mạch lạc, phương tiện kỹ thuật cần phải theo thời gian thực và hiệu quả, chứng nhận của bên thứ ba cần phải có thẩm quyền và đáng tin cậy, và hành vi của nhân viên cần phải phù hợp với hệ thống. Các doanh nghiệp cần loại bỏ suy nghĩ "đối phó với kiểm toán", tích hợp quản lý bảo mật vào hoạt động hàng ngày, đạt được bước nhảy vọt từ "tiêu chuẩn tuân thủ" sang "kiểm soát trước rủi ro" thông qua các cơ chế cải tiến liên tục và cuối cùng xây dựng khả năng cạnh tranh bảo mật không thể thay thế trong chuỗi cung ứng toàn cầu.