摘要:供应链是创建、生产、分销实体或数字产品时使用的人员、流程、材料和技术。随着经济的发展,供应链已演变为复杂、多层且互联的网络,支持商品、服务和信息的无缝流动。然而,新冠疫情、地缘政治、气候变化及材料短缺等暴露了供应链的结构性问题和脆弱性,促使各国意识到关键产品和
供应链是创建、生产、分销实体或数字产品时使用的人员、流程、材料和技术。随着经济的发展,供应链已演变为复杂、多层且互联的网络,支持商品、服务和信息的无缝流动。然而,新冠疫情、地缘政治、气候变化及材料短缺等暴露了供应链的结构性问题和脆弱性,促使各国意识到关键产品和服务的供应链及其弹性是国家安全战略的基本要素,对增强经济竞争力至关重要。在此背景下,企业和国家的优先事项正在发生变化,公私伙伴关系、跨境外包与数据流动等面临新的形势,构建有效的监管框架尤为必要。为此,本文探索全球供应链安全面临的新形势及国际监管实践,并提出可持续发展的建议。
中国银联技术部 黄晓艳
当前,各国和企业在供应链安全方面面临一系列挑战,正在努力通过关键行业“去风险化”战略,增加多元供应商、地域多样化和本地化生产,以提高抵御风险的能力。
1. 供应链关注度高,治理方法有限。全球供应链比以往任何时候都更受关注,是全球性公司和公共政策制定者的优先事项。供应链管理的发展催生了许多新模式、工具、服务、设备和项目,但知晓“如何按照企业、政府和社会的需要,对供应链实施监管,以及利益相关者需要什么模式”,才能在这个不确定、复杂和模糊的世界中蓬勃发展,目前还没有明晰一致的范式。
2. 供应链脆弱性强,断点难以识别。新冠疫情的全球蔓延暴露了供应链的脆弱性,许多企业在应对突发疫情时发现,供应链依赖使其无法迅速恢复生产,并且难以预测哪些环节可能出现问题。虽然外包生产和集中采购可以降低成本,但在危机情况下,这种做法使得供应链的稳定性和弹性受到威胁。
3. 产业集中度高,存在依赖风险。在全球经济中,特别是在高科技领域(如半导体和电动汽车电池),产业集中度显著提高。这使得全球各地的企业在面对自然灾害或地缘冲突时易受影响。这种集中化不仅加大了对少数国家和地区的依赖,还可能导致供需不平衡,进而影响国际关系。多国政府开始倡导产业回流或建立本土化生产基地,减少对外部供应的依赖。
4. 技术与供应链融合,仍需创新发展。技术的迅猛发展在提升供应链效率的同时,也带来了新的挑战。物联网技术使得企业能够实时监控供应链状况,但网络攻击和数据泄露的风险随之增加。此外,人工智能和区块链技术虽然能提高供应链的透明度和可追溯性,但在实施过程中也面临着技术整合和标准化的挑战。企业需加强网络安全防护,确保技术的安全应用,才能有效维护供应链的完整性和安全性。
5. 可持续性要求高,社会责任重。随着全球对可持续发展的关注加剧,企业面临着日益增长的社会责任压力。消费者、投资者和政府机构都开始重视企业在环保、社会责任和公司治理方面的表现。例如,要求企业提供透明的供应链管理信息,以证明其生产过程符合环境和社会标准这种趋势促使企业不仅在成本和效率上做出平衡,还需在道德和社会责任上进行积极回应,从而增强品牌信誉和市场竞争力。
6. 实施多元化战略,去全球化趋势明显。随着地缘政治的复杂化和贸易保护主义的抬头,企业越来越意识到单一市场和单一供应链模式的风险。许多公司开始实施多元化战略,寻找替代供应商或在多个国家建立生产线。这个过程可能会导致生产成本的短期上升,但长期来看,可以有效降低对特定市场或供应商的依赖。此外,国家层面的贸易政策也在影响这一趋势,各国之间的合作与冲突,都会直接影响到全球供应链的布局。
为聚焦重点,探索澳大利亚、欧盟、英国、美国的监管框架,以提炼共同主题,分析通用治理方法。
1. 澳大利亚的监管框架。澳大利亚近年来推出了一系列供应链安全管理政策。《网络供应链风险管理指南(Guidance: Cyber Supply Chain Risk Manage-ment)》鼓励识别网络供应链中的风险,设定期望并定期审计,支持合规、监控和改进。其核心在于建立透明的供应链管理机制,以确保在供应商管理、风险控制和安全审查上有系统的规范。《识别网络供应链风险指南(Guidance: Identifying Cyber Supply Chain Risks)》提出了境外控制、影响和干预网络供应链的风险,以及安全实践、透明性、准入等要求。此外,《关键技术供应链原则(Critical Technology Supply Chain Principles)》提出了十项核心原则,围绕“设计安全”“透明性”和“完整性”三大支柱,强调要明确了解供应商的具体背景,设定合适的透明度要求,并制定保护措施来维护供应链的安全性。澳大利亚的政策不仅关注供应链本身的安全性,还特别关注如何最大化供应链的自主性和完整性,从而减少外部威胁。《关键基础设施安全法(Security of Critical Infrastructure Act,2018)》要求关键基础设施运营者进行全面的漏洞评估,并制定事件管理流程。该法令确保关键设施的网络安全管理可以快速应对突发事件,降低对国家安全的潜在威胁。
2. 欧盟的监管框架。欧盟在供应链安全方面推出了多项具有全球影响力的法规。《通用数据保护条例(General Data Protection Regulation)》要求各方确保数据安全,并遵循信息透明的基本原则。《网络安全法(Cybersecurity Act)》促进了欧盟成员国之间的网络安全合作,通过互认协议来提升网络安全一致性。《网络韧性法(Cyber Resilience Act)》要求所有数字产品在开发过程中必须遵循安全标准,同时实施软件材料清单来确保组件的安全性。《信息与通讯技术供应链安全结论(Council Conclusions on ICT Supply Chain Security)》提出增强供应链弹性与安全,连续开展评估、分析与监控,供应商多样化与认证,风险管理工具箱等。《网络与信息系统指引2 (Network and Information Systems Directive 2)》要求欧盟成员国建立专门的事件响应团队,并通过持续的安全评估支持供应链安全。欧盟还提议《芯片法案(Chips Act)》,旨在增强欧洲在半导体供应链中的韧性,以确保创新能力。总体而言,欧盟的监管体系旨在通过跨国合作、标准化评估和持续改进来保障供应链安全,为成员国和企业提供了清晰的安全规范。
3. 英国的监管框架。英国在供应链安全方面推出了全面的指导框架和政策,帮助组织有效管理供应链风险。《供应链安全指南(Supply Chain Security Guidance)》提供了十二项管理原则,涵盖风险管理、控制措施和持续改进。这些原则强调组织需对供应商进行深入的背景审查,明确其安全合规性要求,防范潜在的网络风险。《供应商保证框架Supplier Assurance Framework: Good Practice Guide》为企业提供了基于风险的供应商合同管理建议,包括信息安全、物理安全和人力资源管理等方面。《安全开发与部署指南(Secure development and deployment guidance)》为开发人员提供了从代码开发到测试和部署的全程安全建议,以确保软件供应链在开发阶段的安全性。《供应链指南(Supply Chain Guidance)》为企业领导者、从业者和供应商提供指导,涉及治理、文化、预期、安全等级和风险管理,包括问卷、评估、合同、绩效管理和终止流程,以及关注威胁、风险敞口和事件管理的方法。《在供应链网络安全中如何评估并获得自信(How to Assess and Gain Confidence in Your Supply Chain Cybersecurity)》指出供应商关系及组织暴露于漏洞和攻击的方式,供应商评估和合同中的网络安全要求,供应链安全的持续改进,以及供应商网络安全评估的预期结果和步骤等。英国通过这些指导框架,帮助企业保持供应链的安全性与稳定性。
4. 美国的监管框架。美国旨在通过成熟的风险管理和战略合作强化供应链安全。《NIST网络安全框架(NIST Cybersecurity Framework)》将供应链管理划分为四个成熟度等级,从基础的风险识别到高级的持续监控,逐步帮助企业提升其风险管理能力。《信息系统和组织的安全与隐私控制(Security and Privacy Controls for Information Systems and Organizations)》强调了供应链风险管理的控制、流程、策略和计划,以及事件管理和风险评估。《美国供应链(America’s Supply Chains)》聚焦于半导体制造、信息通信技术、能源、运输等领域的供应链,涵盖关键生产资产位置、关键物资的备选和冗余来源、劳动力技能、软件漏洞应对及供应链监控。《提升国家网络安全(Improving the Nation’s Cybersecurity)》要求服务提供商收集和共享网络安全事件信息,发布软件供应链安全指南。《软件物料清单基本要素(The Minimum Elements for a Software Bill of Materials,简称SBOM)》要求正式记录包含软件组件的详细信息及供应链关系,定义了数据字段、数据格式、流程和实践的最低要求。《提升软件供应链安全备忘录(Enhancing the Security of the Software Supply Chain)》要求美国联邦机构仅使用符合NIST指导的软件,并获取自我认证表和SBOM。《系统和组织的网络安全供应链风险管理(Cybersecurity Supply Chain Risk Management for Systems and Organizations)》涵盖了访问控制、培训、配置管理、身份认证、事件响应等风险管理控制措施。《安全软件开发框架(Secure Software Development Framework,简称SSDF)》包括保护组织与软件、生产安全软件、应对漏洞等,并要求第三方认证与溯源。《芯片与科学法案(Chips and Science Act)》提供资金支持半导体、通信和新兴技术的安全、创新和劳动力发展,保障软件生命周期和供应链的安全。《国家网络安全战略(National Cybersecurity Strategy)》进一步明确了保护国家关键基础设施的目标,包括加强联邦供应链风险管理、保障全球供应链安全、建立技术自给能力等。该战略还鼓励跨国合作,以应对全球范围内的供应链网络威胁。
各地区的供应链安全法规虽各具特色,但在一些关键主题上表现出明显的相似性。
1. 透明度和责任制。许多法规要求供应链管理过程中的高度透明度和明确的责任分工。例如,通过SBOM(软件材料清单)来清晰记录供应链各方的职责和信息。透明度帮助各方在面对网络安全事件时迅速响应,及时解决漏洞,减少潜在风险的影响。责任制则要求各个供应链参与者在安全管理中承担明确的责任,共同提升供应链的整体安全性。
2. 持续监控和事件管理。维护供应链安全需要持续的风险评估、审计和监控,以确保能够实时检测和响应潜在的安全威胁。法规鼓励组织建立从风险识别到事件响应的闭环管理流程,并制定事件管理计划。这样,当供应链中出现安全问题时,企业能够迅速采取应对措施,降低对业务的负面影响。
3. 供应商保证。供应商的安全性对供应链的整体安全性有着直接的影响。多项监管框架建议企业对供应商进行严格的背景调查、安全审查和合规性评估,以确保其符合规定的安全标准。通过定期对供应商的安全性进行监测和评估,企业能够有效防止不符合安全要求的供应商成为潜在风险源。
4. 供应链弹性。增强供应链弹性是全球法规关注的一个重点,尤其是在应对外部不确定性(如自然灾害、网络攻击或全球供应链中断)时尤为重要。供应链弹性意味着组织可以通过多样化供应商、建立冗余系统和备份资源来提高供应链的抗风险能力和恢复能力,从而在突发事件中快速恢复并将损失降至最低。法规指出,具备弹性的供应链不仅在危机时能够减轻影响,还能帮助组织适应市场变化,增强竞争力。
5. 端到端供应链管理。端到端供应链管理是指对供应链从原材料采购到最终交付产品的全流程进行系统管理,以确保整个链条的安全性和稳定性。法规鼓励组织建立端到端的管理体系,通过在各个环节实施风险管理措施来提升供应链的整体安全性。端到端管理还涉及对整个流程的可见性和控制,以确保从供应商到分销商的各方都遵循安全标准。通过端到端的监控和管理,企业可以更好地识别供应链中的薄弱环节,减少潜在的安全风险,从而为最终用户提供更高质量和更安全的产品和服务。
1. 实施端到端供应链可见性。各国应通过建立综合信息系统和实时数据分析平台,确保供应链各环节的可见性。采用物联网技术和区块链技术可以有效提高供应链的透明度,实时跟踪每个组件的状态和位置。通过可视化仪表板,决策者能够快速识别潜在的延误或风险,并采取相应的措施。此外,定期进行供应链审计,评估信息共享的有效性,确保所有相关方都能够实时访问关键数据,以便及时作出决策。
2. 加强供应商评估和认证。建立严格的供应商评估和认证框架,涵盖财务状况、合规性、生产能力和安全标准等多个方面。可以采用分级制度,对供应商进行分类,并根据其重要性和风险程度制定不同的评估标准。例如,对关键供应商进行更为深入的审查,包括现场审计、质量管理体系的评估及历史表现的分析。此外,应定期更新供应商的评估,以适应市场变化和新兴威胁,确保每个供应商都能满足最新的安全和合规要求。
3. 建立多样化和弹性的供应链网络。主动寻找和建立多个供应来源,特别是在关键原材料和技术方面。这可以通过地理多样化来实现,以减少因特定地区发生自然灾害或动荡而导致的风险。同时,实施“双源”战略,即对每个关键部件或材料至少有两个合格的供应商,以确保在一个供应商出现问题时,能够迅速切换到另一个供应商。此外,鼓励本地化生产和近岸外包,以缩短供应链并降低运输风险。
4. 推动供应链中的持续监控与改进。建立基于数据分析的动态风险监控系统,实时评估供应链中各环节的风险水平。这包括利用人工智能和机器学习技术分析历史数据和当前趋势,以识别潜在的风险模式和威胁。此外,应定期组织跨机构跨部门的风险评估会议,以促进信息共享和协作,提高对新兴威胁的响应能力。同时,建立反馈机制,及时将风险管理实践中的经验教训纳入到供应链管理的策略中,以便持续优化和改进。
5. 制定应急响应与恢复计划。制定详尽的应急响应计划,涵盖所有可能影响供应链的突发事件,包括自然灾害、网络攻击和政治风险。该计划应包括清晰的角色和责任划分,确保在危机发生时各方能够迅速有效地响应。定期进行应急演练,以检验应急响应计划的有效性,并在演练中发现和改进潜在的不足之处。同时,应建立数据备份和恢复方案,以确保关键业务在发生中断时能够迅速恢复。此外,建立与相关政府机构和行业协会的联系,确保在危机情况下能够获得必要的支持和资源。
中国在供应链安全方面实施了多项法规。以软件安全为例,GB/T 36637-2018是中国信息和通信技术(ICT)领域的网络安全风险管理技术标准,为管理ICT供应链安全风险提供了清晰的指导。这项标准规定了ICT供应链安全的各项要求,包括供应链风险识别、管理和控制的细节。该标准要求组织识别并管理供应链的潜在威胁,确保供应链安全和数据完整性。《网络安全审查办法》进一步加强了这一要求,涵盖了对数据处理和网络产品的安全审查,尤其针对关键基础设施。
中国还提出了《信息安全技术软件供应链安全标准》,旨在建立软件开发和供应链管理的基本规范。该标准不仅强调技术层面的安全,还特别关注组织管理方面的要求,如人员管理、知识产权保护和交付管理。此外,随着全球网络威胁的增加,中国持续加强了对供应链安全的监管,以保护其国家基础设施免受外部威胁。
在此基础上,结合国际研究情况,建议如下。
1. 把握供应链安全管理工作要点。一是增强供应链弹性。解决关键行业和供应链中的脆弱性,重点减轻地缘政治紧张局势和环境因素带来的风险。二是提高供应链可视性。确保各行业(特别是私营部门)对其供应链有清晰的了解,从而能够识别和管理潜在风险。三是促进公私合作。加强政府、产业和学术机构之间的合作,促进供应链管理和弹性方面的创新。四是分析国际供应链安全管理对中国出口产业的影响并积极应对。
2. 制定长期的关键产业发展战略。各国各地区监管实践反映了一种日益增长的共识,即市场经济仍需要产业政策来应对全球供应链的复杂性。为确保关键产业的未来,需要长期的产业战略。并且,这种向战略产业政策的转变将涉及旨在促进供应链创新的监管措施和激励措施。
3. 扩展供应链安全相关的合作。市场机构,特别是在人工智能和先进制造业等新兴技术带来新的安全挑战的行业,在识别和减轻供应链风险方面发挥着前哨作用。政府与行业和学术界关键利益相关者建立新的战略伙伴关系,帮助提升全球竞争力,帮助企业提高弹性,并使其供应链工作更具创新性和影响力。新合作伙伴包括全国小企业协会、供应链管理协会、供应链管理专业人员委员会、供应管理协会、行业研究协会、相关大学等,以利用学术研究和行业专业知识来解决美国供应链中的系统性挑战。
4. 研发供应链诊断与风险评估工具。目标是化被动为主动,利用综合评估方法评价各行业供应链风险,并深入评估导致这些风险的因素,通过及早识别漏洞来主动进行风险管理,帮助政府和行业了解结构性、系统性风险并增强供应链弹性,进而有助于为政策制定提供信息支持,并促进与行业进行数据驱动的对话,讨论风险、机遇和可以提高供应链弹性的行动,进而在解决全球供应链问题上从反应性战略转向预防性战略。
5. 继续支持供应链的复原力。各国各地区监管的一个显著特点是各方都支持供应链弹性计划,都认识到供应链安全对国家安全和经济稳定至关重要。无论政治如何变化,降低关键行业风险和投资供应链可视性的承诺预计将持续下去。组织上下游利益相关方和客户齐聚一堂,评估当前和未来的瓶颈和风险依赖关系,同时帮助为行业和政府提供可采取的措施以减轻已发现风险的建议,具有重要的意义。
6. 积极参与国际合作。在全球供应链安全环境日益复杂的背景下,中国应积极参与国际合作,与其他国家和地区分享供应链安全的最佳实践和经验。通过参与国际标准的制定和行业论坛,加强与国际组织的互动,推动共同应对跨国安全挑战,保障全球供应链安全可持续发展。
来源:金融电子化
