我们将在海滩作战。我们将在敌人的登陆点作战。我们将在田野和街巷作战。我们将在山区作战。我们决不投降,”这是英国著名首相温斯顿·丘吉尔于1940年6月在面对纳粹德国对英国可能发动的进攻时所作的著名演讲的片段。而在此前的另一次著名演讲中,他更声称,我们的目标只有一个,那就是胜利,而“不论前路如何漫长、如何艰苦。”这对于企业所面对的安全战斗来说,可以说是一个非常适切的类比。
网络犯罪分子们如今无处不在,而且狡猾诡诈,无孔不入。所以当客户、投资人和监管者们期待安全人员能够全面保护组织和机构的宝贵资产以及隐私时,我们却很难做到像丘吉尔那样乐观,尤其是我们本应该仰仗的一些政府部门和厂商,也在私下损害着我们的数据、软件和网络。
捍卫安全的战争比以往任何时候都更加严峻。大多数组织还是在用昨天的工具和方法对抗着今天的敌人——他们徒劳地用密码和防火墻防护着企业的边界,这种做法是注定要失败的。他们过分强调了数据与系统的隔离,还在错误地认为只要边界安全就足够了。
而我们与数十位安全专家、业界专家以及企业高管们的深度交流,却揭示出了一个更适用于今日安全的架构。
聚焦风险和人 少关注设备和数据
更好的防范方法应围绕风险意识来构建。最大的风险就是关键或敏感数据的丢失,所以我们必须对数据提供充分的保护。然而除此之外,还存在着其他诸多的风险,例如业务中断、名誉受损、监管缺失、投资风险,以及知识产权被盗,等等。哪些危险对企业的伤害最大?如何评估这些威胁?怎样才能根据影响最大到最小的顺序防范这些威胁?很显然,仅仅保护边界是无法解决这些问题的。
举个例子,Visa国际要负责对其所有信用卡处理流程的风险评估,包括但不限于对这些业务流程的技术支持。Visa负责信息安全、治理、风险及合规的前任副总裁乔治·托特夫说:“所谓风险,就是薄弱之处遇到了攻击。所以,用全局观去看待风险,才能为安全防范奠定坚固基础。”
风险评估与风险防范的模式会因行业和企业的不同而有所不同。有些模式可能需要用到技术,有些可能需要改变流程,还有一些模式则有可能要求改变人的行为。出于合规性需要,有些企业除了自身的风险分析之外,还不得不处理其他一些形式的安全风险。此时的重点就成了如何才能在不会对企业的运营、财务或战略带来不必要负担的情形下,有效地满足合规性要求。
无论一家企业的风险哲学以及外部要求是什么,选择并关注最高级别的风险都是最实际的。
但是,如何才能关注这些风险呢?大多数企业,以及安全厂商们,都把安全视为一种技术上的挑战。它们一味地寻求能够降低风险的软件、硬件和服务识别功能,却忽略了对人的关注——实际上正是人在创建和使用需要受保护的信息。事实上,很多组织恰恰把人的因素排除在了安全架构之外,因为它们最不信任的就是人。
对安全而言,不存在一招制敌的技术手段。而将人的因素剔除出安全架构,也只会导致人对安全的怠惰和漠不关心。人们会很自然地认为,出了安全问题,责任全在IT。今天的安全战略为什么必须将主要的防范重点从设备转向人,这就是原因。今天,所有成功的网络攻击,不论是采用社会工程学如钓鱼手法,还是对自动售货机硬件的物理拦截,都肯定会牵扯到人。
安全其实是关乎风险的一场动态游戏——换句话说,当魔高一尺时,你能否道高一丈?“动态”和“游戏”这两个词是彼此相关联的。安全同样遵循熵的定律:如果能量无法补充,迟早都会耗尽。因此,我们需要常态化的警觉。而游戏心态对于保持主动和自适应的警觉来说至关重要。
说到底,每一个新的防范措施都会很快遭遇一轮新的攻击伎俩的挑战。这正是人类最擅长的游戏。所以企业应该鼓励自己的人员充分发挥人类的能力,而不应将他们排除在防范措施之外。
企业还需要时刻洞察制造威胁的那些人的心态。既然他们是在游戏你的员工,那你当然也得游戏他们,因此企业的员工需要主动参与进来作你的耳目,而不能作耳聋目盲的用户。
简言之,不要把自己人当成问题去限制,而是要让他们参与到安全解决方案中来。#p#
新安全模式的五个维度
尽管我们距离完美的安全状态相距甚远,但已有足可信赖的一些新模式开始出现,允许企业进行必要的调整。新模式作的是加法。在有最高风险的领域必须继续实行最佳实践,同时在改进的防御方案中将风险和人的因素结合起来。
新的模式具有以下五个维度:
1. 让IT只聚焦于核心的关键资产。2. 用多层级防御系统保护关键资产。3. 鼓励人们使用信息技术保护与工作相关的资产。4. 与业务合作伙伴一起改进彼此的免疫系统。5. 让安全成为业务问题而非IT问题。
1. 让IT只聚焦于核心的关键资产
完美的安全是不可能的。要想一视同仁地保护所有资产的安全也是不可持续的。
因此基于风险的“尽力而为”方法才是比较合理的。要将企业的优势力量用于对业务最具价值和有最大影响的所在。如此一来,也就自然分出了风险的优先防御级别。对于早就熟悉业务连续性和灾难恢复的CIO[注]和其他IT负责人来说,这并不陌生。
确定组织里最有价值的资产是非常重要的,但这也经常会引起争议。一些组织认为数据是最有价值的资产,需要保护。但是如果风险涉及到一组资产(数据、软件、网络和人员等)时,就很显然需要更多地思考对多种资产的渗透和攻击。
而在今天的企业信息安全领域中,对企业的信息资产进行分类以便确定风险等级的想法却是最少见的因素。
这种基于风险的安全方法实现起来并不容易,对很多组织来说,它需要思想上的一次大的变化。当然,促成这样的变化有一个很好的理由:资产储备越多,规则越复杂,要保护这些资产就会越困难。而一个更专注且复杂性较少的方法自然能够更好地平衡风险和效益,让组织能够实现必要的安全保护。#p#
2. 用多层级防御系统保护关键资产
任何想要实现百分百防御的方法都是注定会失败的。因为没有什么方法可以确保某个事物的绝对安全,所以我们要寻求弹性更大而不是绝对安全的方法。要认识到防御必须利用多种要素方可构建。
一个更好的安全模式就是生物系统,因为生物可以从感染或伤痛中自行恢复过来。生物系统会对首先被感染到的细胞进行隔离,从而限制更大范围的系统感染。生物系统自我假设风险会不断演进,而且可能会随时发动攻击。所有这些原则也都可适用于保护企业业务安全的技术和业务实践。
企业也应假设自身时刻会受到损害,然后围绕这一假设来制定战略。如今,大多数企业都很明白,自己早已受到了伤害,这些伤害来自犯罪分子、竞争对手,或者政府部门。同时也要清楚,存在着很多的感染源,这些感染源包括但不限于数据中心、PC,或者移动设备。
绝大多数生物系统还会使用冗余的手段。安全措施也需如此。英特尔公司CIO金·史蒂文森描述了该公司基于这一原则而采用的很有效的三层模式。
利用只读或者有隔断的容器进行分层防护的方式是很有意义的,这就像一般人会把珍贵的珠宝锁在家中,或者将爱车锁在车库中一样。用这样的方法,再结合一些基本的防护手段,例如密码和登录口令等,这就跟在你离开家的时候要锁上门,然后设置好警报系统一样。
针对软件的多层防御系统需要较多地依赖人工检查与软件扫描相结合,来确认各种漏洞。可以利用一些技术,如风险分析和同业代码评估,或者使用可检查漏洞的商业软件等,从而将安全嵌入到软件开发的生命周期中去。目前,还没有可检查出所有漏洞的单一软件包,所以必须利用多种不同的威胁识别软件包,进行多次扫描,再加上人工检查。Visa前任安全官托列夫说:“最好在设计阶段就处理好各种漏洞,这要好于事后补救。”
要了解如何查找漏洞,一个很不错的资源就是开放web应用安全项目(OWASP),这是一个非盈利组织,可提供对各种漏洞的洞察,并提出解决建议。
一个很关键的层就是身份管理。有好几种技术可以实现这一点,可帮助用户和系统跨越各种不同的障碍。到底需要设置多少身份检查点,与风险分析直接相关。当然,还可以使用隔离手段,限制损害的进一步蔓延。
身份认证与隔离相结合的一个例子就是Saleforce.com。它使用双要素认证两次,才允许用户访问其生产环境,因为如果有人入侵了这里,后果可能非常严重。为了进入一个可信任环境,每个用户必须首先符合双要素认证,然后再符合另一个不同的双要素认证,才能通过一台没有数据可以移动或复制的哑终端进入运营环境。而在访问邮件时则采用了不同的认证标准,因为两者的风险程度是不同的。
如果将其用于数据本身,身份管理可能会更有效。在信息化层面实施DRM(数字版权管理)可以将这种技术提升到一个新的保障水平——但这也只有在可以用标准方式进行部署时才有可能。可靠的身份再匹配上一致性和可携带许可,将会大大减少对信息的不适当访问,即便是在设备和网络遭到破坏时也可以如此。#p#
3. 鼓励人们使用信息技术保护与工作相关的资产
有些最为复杂的威胁来自社会工程学攻击,坏分子们往往利用社交媒体和邮箱联系人入侵到一些毫无戒心的用户终端里,他们尤其会针对企业高管和关键的业务运营人员下手。从这里,他们会蓄意地、悄悄地评估企业的安全规则,以及业务时如何依据安全规则运转的。不知不觉间,你就成了坏分子与员工及业务合作伙伴之间的利用媒介了。
既然人常常被当作入侵的管道,自然也可以成为防御的前沿。我们不能再像过去二十年间标准的IT模式所做的那样,把人自动排除在安全流程之外了。前PC时代“把紧口风”的管理风格今天仍然是有效的,它能让保障企业安全成为每个员工的义务和责任,它将再次成为现代信息安全的核心部分。它不仅能帮助个人避免危险的泄密行为,还能让企业拥有更多的耳目,可以观察什么地方出了差错。
把人带回到安全架构中之后,自然不能忽略了对员工的培训,提高其安全意识。人总是会将他们所学的东西用到实践中去。美国长岛大学就是一个很好的例子。几年前该大学启动了一个安全意识主动一致性计划,希望从PC向iPad、移动应用和云服务做转移。该大学因为有一所医学院并且接受联邦政府的贷款,所以必须符合HIPAA(医疗电子交换法案)和FRCP(联邦民事诉讼法案)的规定,结果该大学的CIO[注]乔治·巴罗蒂发现,由于上述安全意识计划的提前实施,他们可以很轻松地应对这些严苛的合规性要求。这其中的差异就在于,现在的IT架构鼓励所有的学生和教职员成为合规意识的参与者,而不是只要求技术开发人员符合监管要求。
有些行业已经想出了如何让员工在实现关键行为的过程中成为积极参与者的办法。因为人天生就喜欢玩游戏,那么为员工创造游戏化的奖励措施,以使其避免威胁或检查威胁,可以作为一种非常有效的防御攻击的手段。利用改进了的质量管理方法,有些企业已经采取了一些游戏化技术,例如定期公布员工的无事故天数,营造一个人人皆有安全意识,并乐于采取更安全行为的主动参与环境。令人高兴的是,假如员工通过了筛查、培训和监督后,被认为是值得信任的话,那么其他一些众所周知的较低风险甚至会变得更低。
一个好消息是,CIO/CSO/普华永道的调查显示,拥有以人为本的安全方法的企业比例占了相当大的份额,即便这些方法可能还算不上是一种整体性的、全企业范围的方法。不过,全景式的方法对于成功来说是非常关键的,因为只有当企业建构并部署了一套完整的系统后,业务才能顺畅地运转起来。#p#
4. 与业务合作伙伴一起改进彼此的免疫系统
如今,我们生活在一个充斥着庞杂的数字信息和业务流程的世界里,其中包含着数不清的各种企业资源:材料、生产、配送、售后,以及技术支持等等。无论你的企业是在生产有形资产(如汽车和电子产品)还是在提供服务(如学校和医院),都不可能脱离整个生态系统。
在过去十年中,由于外包(提供商、承包商和云服务)、分布式工作、分布式工作场所(分支办公及家庭办公)、外包工作场所(如呼叫中心),以及移动办公等的兴起,企业已经变得高度虚拟化了。
身处这样的现代化数字生态系统中,已经没有可能再围绕什么东西建起一座隔离墻了。我们现在知道,传统的防御手段,例如口令、防病毒、入侵检测和其他基于签名的检测方法等,几乎都是没有效果的。威胁也已变成了动态的,甚至可以自适应的了。手段高超的犯罪分子们可以绕过用户设备的密码保护,直接进入 服务器 或网络。而最近大量零售商用户数据被盗的事件,以及斯诺登事件的不断发酵,使这种情况变得尽人皆知。就在很多企业在为iCloud或谷歌云究竟是不是一个威胁而烦恼不安时,它们的核心系统其实早已被深度入侵了。
可以说,关于企业的内、外部的概念已越来越模糊不清。结果就是,CIO[注]们的首要问题是如何面对层叠不穷的风险。客户如果跟某个企业有接口,或许他们还能信任这家企业,但是如果再扩展到供应链中的其他企业时,这种信任还会存在吗?
你可以和供应商及业务合作伙伴一起将本文所描述的概念运用于所有的系统,而不是只运用于其中一个系统。说到底,所有系统都会相互作用,彼此之间的连接会多到任何人都无法想象,因此,拥有一个通用的安全框架可能会好于拥有多个安全框架。
分享最佳实践也能起到协同作用。彼此间开展积极的合作,其效果会远远好于只使用合同上写明的威胁防范措施。
可以想见,来自企业的客户、监管机构、投资人和其他人的安全需求会更多,你需要向他们说明自身的安全实力,或许还需要独立测试来自这些方面的防御措施。作为这种保障措施的一部分,还需要一份“适用性声明”,其中应详细规定,必须提供哪些安全措施。这跟我们在本文中提到的“安全不可能面面俱到”的原则有关。尽管这样一来,安全的成本会有所上升,但如果只关注真正重要的事情,成本应该可以控制在合理的水平。
有些企业会采取所谓“安全清单”的办法,详细列明他们所遵循的策略,并向合作伙伴解释哪些信息是必须向监管者及客户提交的。采用这样的办法不是因为它能够运转,而是它可以将司法风险或罚款风险降到最小。这种清单式的方法可以说是针对安全现状的一种无奈之举——是在眼下的周边安全方法已不适用,但又没有更好的替代手段可以使用时的一种折中策略。
5. 让安全成为业务问题而非IT问题
信息安全不只是一个IT问题或技术问题,本质上其实是一个管理问题,只是很少有企业会这样对待它罢了。
一般而言,企业会将CIO和CISO视为信息安全的当然负责人,但是安全责任会在更广的范围内被分担。假如损害是由IT部门以外的个人行为造成的,那么技术和安全部门就不能承担责任。
如今是时候该考虑整体安全作为演进中的信息安全模式了。整体安全需采用多种技术和管理技巧,推动广泛的参与和问责制,根据预估的风险和价值进行分层和调整。
广泛的治理是关键,要在整个组织中采取行动并问责,鼓励员工、客户、供应商、管理层和董事会积极参与进来。需要管理风险评估,积极应对风险,还要能找得出应该负责的经理、员工以及业务合作伙伴——不要因IT或安全部门的技术失效时推卸责任。
举例来说,营销部门使用CIO批准使用的云提供商或商业分析提供商的服务,这些提供商的安全能力是否已得到证明?供应商是否使用了合规的安全流程来访问关键的数据?董事会是否能通过受保护的渠道进行沟通,或者是否能通过开放环境下的邮箱来发送财务以及销售数据附件?(邮件从来就不安全,而其末尾所附加的所谓法律声明纯属自我安慰。)
什么是第三方物流 什么是第四方物流??配送主要是做什么的
一、 何谓第三方物流所谓第三方物流是指生产经营企业为集中精力搞好主业,把原来属于自己处理的物流活动,以合同方式委托给专业物流服务企业,同时通过信息系统与物流企业保持密切联系,以达到对物流全程管理的控制的一种物流运作与管理方式。 第三方物流,英文表达为Third-Party Logistics,简称3PL,也简称TPL,是相对“第一方”发货人和“第二方”收货人而言的。 3PL既不属于第一方,也不属于第二方,而是通过与第一方或第二方的合作来提供其专业化的物流服务,它不拥有商品,不参与商品的买卖,而是为客户提供以合同为约束、以结盟为基础的、系列化、个性化、信息化的物流代理服务。 最常见的3PL服务包括设计物流系统、EDI能力、报表管理、货物集运、选择承运人、货代人、海关代理、信息管理、仓储、咨询、运费支付、运费谈判等。 由于业的服务方式一般是与企业签订一定期限的物流服务合同,所以有人称第三方物流为“合同契约物流(contract Logistics)”。 ⑤第三方物流内部的构成一般可分为两类:资产基础供应商和非资产基础供应商。 对于资产基础供应商而言,他们有自己的运输工具和仓库,他们通常实实在在地进行物流操作。 而非资产基础供应商则是管理公司,不拥有或租赁资产,他们提供人力资源和先进的物流管理系统,专业管理顾客的物流功能。 广义的第三方物流可定义为两者结合。 ①因此,对物流各环节如仓储、运输等的严格管理,再加之拥有一大批具有专业知识的物流人才,使得他们可以有效地运转整个物流系统。 故而,第三方物流形成了又称为“物流联盟(Logistics Alliance)”。 二,第三方物流的法律定义从字面上看,第三方物流是指由与货物有关的发货人和收货人之外的专业企业,即第三方来承担企业物流活动的一种物流形态。 在有关专业著作中,将第三方物流供应者定义为“通过合同的方式确定回报,承担货主企业全部或一部分物流活动的企业。 所提供的服务形态可以分为与运营相关的服务,与管理相关的服务以及两者兼而有之的服务3种类型。 无论哪种形态都必须高于过去的一般运输业者(common carrier)和合同运输业者(contract carrier)所提供的服务。 第三方物流企业的利润从哪里来?从本质上讲来源于现代物流管理科学的推广所产生的新价值,也就是我们经常提到的第三利润的源泉。 第三方物流则是站在货主的立场上,以货主企业的物流合理化为设计系统和系统运营管理的目标,争取客户利润最大化。 第三方物流企业的经营效益是直接同货主企业物流效率、物流服务水平以及物流系统效果紧密联系在一起的,是利益一体化。 并不是一方多赚一分钱,另一方就少赚一分钱的传统交易方式,为客户节约的物流成本越多,利润率就越高,这与传统的经营方式有本质不同。 故笔者认为:第三方物流是第三方物流提供者在特定的时间段内按照特定的价格向使用者提供的个性化的系列物流服务,是企业之间联盟关系。 首先,第三方物流是合同导向的一系列服务。 第三方物流有别于传统的外协,外协只限于一项或一系列分散的物流功能,如运输公司提供运输服务、仓储公司提供仓储服务,第三方物流则根据合同条款规定的要求,而不是临时需求,提供多功能,甚至全方位的物流服务。 依照国际惯例,服务提供者在合同期内按提供的物流成本加上需求方毛利额的20%收费。 第二,第三方物流是企业之间联盟关系。 第三方物流的企业之间充分共享信息,这就要求双方能相互信任,才能达到比单独从事物流活动所能取得更好的效果,而且,从物流服务提供者的收费原则来看,它们之间是共担风险、共享收益;再者,企业之间所发生的关联既非仅一两次的市场交易,又在交易维持了一定的时期之后,可以相互更换交易对象,在行为上,各自不完全采取导致自身利益最大化的行为,也不完全采取导致共同利益最大化的行为,只是在物流方面通过契约结成优势相当、风险共担、要素双向或多向流动的中间组织,因此,企业之间是物流联盟关系。 第三、第三方物流合同的特征就目前而言,关于第三方物流的法律,法规呈真空状态,在处理有关争议过程中,只能机械地将《合同法》中有关仓储、运输、委托加工等法条相加既而加以调整。 综合《合同法》和相关物流著作的学理分析,笔者认为第三方物流合同特征有下列五条:1、 第三方物流是物流企业向他人提供物流服务为标的的合同,但是第三方物流不是传统意7afe59b9ee7ad义上的劳务合同。 提供劳务只是第三方物流企业经营范围的一部分,包括:仓储、运输、装卸等。 正如上所述第三方物流还是一个战略联盟,不仅仅是为他人提供劳务,而且还要为客户选择供应商,采购,应用信息管理系统等。 因此第三方物流还综合委托,代理,甚至信托等功能。 2、 第三方物流合同是双务有偿合同双方当事人互负给付义务:一方提供物流服务,另一方给付报酬和费用。 另一方面,客户一方应表明需要物流企业处理的标的物真实有效性,合法性及安全性。 因为第三方物流企业处理的标的物时候为减少成本,通常会采取整和包装或拆另包装,这就要求客户真实说明货物的性质(易燃、易爆、易腐蚀、有毒等),并提供相关资料。 因为可能会在整和包装或拆另包装过程中对其他标的物造成影响。 同时第三方物流企业要求客户对其委托的标的物提供相应合法凭证:发票、仓单等有效原始证据。 在整和包装或拆另包装中会混同原标的物性质,将非法性转化为合法性,使之赃物变成合法有效的商品。 因此在实际操作过程中物流企业对客户送交的标的物也应尽到如下义务:1)验收义务。 物流企业对其处理的货物进行检验,核查,如果使危险物则要求客户提供有关资料。 2)物流企业作为经营企业应当具备相应的处理条件,包括硬件和软件。 如专门处理危险物的堆场、分拣设备、有特定功能的打包机,有专门的条码识别器、处理危险物的滑槽等。 当然,在计算机系统处理上也应有有关软件支持。 同时,物流企业应配备有专业知识,包括化工、生物、装卸等专业人士。 如果某物流企业不具备上述条件,这就要求其尽到添置和完善的义务。 3) 查义务。 物流企业在处理客户的标的物时,应对该物的来源,性质进行审查,要求客户提供原始凭证,并且办理必要的备案入户手续。 3、 合同一方是特定主体第三方物流合同中处理标的物的一方必须是投资建立的第三方物流企业,专为提供服务收取报酬而经营的法人。 众所周知,物流业的兴盛是由于物流被称为“第三利润源泉”。 不可否认,物流的确有仓储、运输、加工、信息处理等流程组成,但其中每个过程最低化机械相加并不等于利润最低化。 因此物流企业是一个统筹,综合处理上述过程的专营企业。 故其他单位,如单个仓储,运输单位或委托加工单位是不能成为专业物流营业人。 4、 物流合同应为诺成性合同②这是由物流的性质决定的。 在客户交付标的物之前,物流企业可能已经履行合同支出了一些成本,如腾空仓位,整理仓库,安排车辆,并且还可能因为物流企业自身规模原因而拒绝潜在的客户要约。 所以,只要经过客户要约和物流企业的承诺既宣告合同成立。 这样,不仅对物流企业有利,而且也对客户有利,维护了双方交易的安全。 因为如果该合同是实践性合同,那么在客户未交付标的物之前,合同是不成立的。 这就意味着客户只要不实际交付标的物就可以任意改变其先前许诺,不受合同约束,这样物流企业受损风险大大增加。 即使追究客户缔约过失,其诉讼成本使得物流企业无精力过问,事实上往往息事宁人。 同样,实践性合同也使得客户的风险增加。 客户和物流企业经过要约和承诺之后,客户费了较大成本将易耗物收购到手,根据原来计划由物流企业为其提供包括设计方案等服务,经核算分销后是盈利的。 但是物流企业在客户准备交付标的物的时候,自行毁约,可以说对客户造成两方面的损失:易耗物不断摊消其价值而且产品不及时上市的话使得客户血本无归。 综上论,为减少风险,有利于交易安全,诺成性合同较为实际和安全。 5、 物流合同应为要式合同任何一个行业应该有统一标准的文本格式,物流行业也应如此。 为了维护行业标准,并且防止一定企业的行业垄断,应该遵循一定的格式。 不仅有利于整个物流行业市场规范,防止限制竞争行为发生,而且从保护客户的角度上是有利的。 四、第三方物流经营业态中的法律类型分类综观现今中国物流行业中第三方物流企业的经营业态主要有两种。 其一,第三方物流企业接受客户委托,根据客户提出要求处理相关货物。 其实这种业态的经营模式实质是一个委托的法律关系,从物流学理意义上属于初级业态。 其表现形式是以处理委托人事务为目的,根据委托事项支付一定费用,受托人(物流企业)根据实际成本加上利润收受费用并提供相应服务。 如果委托人没有尽到告知义务致使受托人设备和其他委托人设备,货物造成损失的,且受托人已尽了审查义务( 《合同法》406条受托人有关义务),受托人免责,造成第三人损失的,由第三人直接向有过错的委托人追索。 在实际操作过程中,也是往往根据委托合同有关条款加以调整。 如《合同法》407受托人处理委托事项,因不可归责于自己事由受到损失的,可以向委托人要求赔偿损失。 ③故第三方物流的初级业态实质是是委托法律关系。 目前中国物流刚刚起步,因此大多数物流企业都是基于这层委托关系而成立的。 其二、另外一种模式是物流企业根据客户要求,以物流企业名义向外寻求供应商、代理商、分销商,同时又向客户提供相应的仓储、运输、包装等服务,为客户设计物流计划。 该模式往往是从事第三方物流服务的企业通过与固定客户(通常是连锁企业)建立稳定的契约关系,以物流企业名义与生产建立广泛的商品关系,是第三方物流和终端客户建立长时间联盟合作。 这种经营模式是第三方物流的高级经营业态。 在实际活动中,根据第三方物流企业活动特征,笔者认为这是隐名代理行为而非行纪行为。 ④隐名代理(agency of unnamed principal)是英美法系的概念,指代理人以自己名义,在被代理人授权范围内与第三人订立合同,第三人在订立合同时,明知代理人与被代理人的代理关系,只要是代理人为被代理人利益,由被代理人承担责任。 其与行纪最根本区别在于行纪人只能以自己名义对外活动,因而其与第三人订立合同不能对抗委托人。 实践中,生产企业,供应商等上家都与第三方物流企业有买断,代理关系并由第三方物流企业根据终端客户定单进行处理,配送,加工等。 可以看出在这种模式下,第三人明知物流企业其实是某终端客户的代理人,只不过第三方物流企业没有以终端客户名义而以自己名义与其发生关系,责任由最终客户承担。 需要指出的是在此过程中,物流企业为了自己利益越权代理,行为无效。 而且由于第三人过错造成终端客户损失,由第三人直接向终端客户承担责任。 (通常厂家的商品造成超市损失,由厂家承担过错责任向超市赔偿)上述种种经营活动可以说明第三方物流的高级经营业态实际上是一种隐名代理的行为。 五、结束语综述,随着物流业发展第三方物流是物流专业化的一重要形式,物流业发展到一定阶段必然会出现第三方物流,而且第三方物流的占有率与物流业的水平之间有着非常紧密的相关性。 目前而言,我国的物流水平尚处萌芽阶段,有无穷之潜力同样也有无穷之挑战。 本文旨在论述在我国没有完善有关物流方面的法律法规前提下,对物流的诺干在法律上的定义作了一定探讨,希望能起到抛砖引玉之作用。 回答者 - 进士出身 八级 4-23 18:50大多数第三方物流服务公司是以传统的、类物流业为起点而发展起来的,如仓储业、运输业、空运、海运、货运代现和企业内的物流部等。 他们根据顾客的不同需要,通过提供各有特色的服务取得成功。 美国目前约有1600个第三方物流服务提供者,据对其中56家领先公司的调查,最常见的第三方物流服务内容主要集中于物流策略/系统开发、电子数据交换、货物运输、信息管理、仓储、咨询、运费谈判和支付等传统意义上的运输、仓储范畴之内,1997年仅此业务总收入达31.97亿美元。 第四方物流“第三方物流”,作为一种新兴的物流方式活跃在流通领域,它的节约物流成本、提高物流效率的功能已为众多企业认可。 随着企业要求的提高“第三方物流”在整合社会所有的物流资源以解决物流瓶颈、达到最大效率方面开始出现力不从心;虽然从局部来看,第三方物流是高效率的,但从一个地区、一个国家的整体来说,第三方物流企业各自为政,这种加和的结果很难达到最优,难以解决经济发展中的物流瓶颈,尤其是电子商务中新的物流瓶颈。 另外,物流业的发展需要技术专家和管理咨询专家的推动,而第三方物流恰恰缺乏高技术、高素质的人才队伍支撑。 对此有人提出,必须密切客户和第三方物流的关系并进行规范化管理。 于是“第四方物流”(4PL,Fourth Party Logistics)便应运而生。 “第四方物流”的概念首先是由著名的管理咨询公司埃森哲公司(又名安盛咨询公司)提出,并且将“第四方物流”作为专有的服务商标进行了注册,并定义为“一个调配和管理组织自身的及具有互补性服务提供商的资源、能力与技术,来提供全面的供应链解决方案的供应链集成商”。 尽管其中有业内人事怀疑咨询公司此举有进行圈地和独霸行业的嫌疑,然而,业界的广泛共识是,物流管理的日益复杂和信息技术的爆炸性发展,使得供应链管理的过程中的的确确需要一个“超级经理”来进行管理协调。 而且,学术界、管理顾问公司、第三方物流公司和最终客户都认为对这种实体的需要是越来越强烈。 它的主要作用应该是:对制造企业或分销企业的供应链进行监控,在客户和它的物流和信息供应商之间充当唯一“联系人”的角色。 “第四方物流”这一新的舶来品对中国的物流行业或者说对中国经济的竞争力和行业的发展究竟有什么意义呢?到目前为止,国内对此还没有相关的权威评论和探讨。 笔者根据物流业内对国际上通行的供应链管理的一些理解,并综合相关的资料,力求给大家一个较为全面的介绍。 第四方物流的主要作用是: 对制造企业或分销企业的供应链进行监控,在客户和它的物流和信息供应商之间充当惟一
如何更换液化气罐
煤气罐换气步骤:一、关闭空煤气罐的阀门,向右、顺时针拧是关,向左、逆时针拧是开。 二、向右、顺时针拧下阀门与液化石油气中间竖着的花片。 三、检查连接处的皮圈是否在,一定要检查!这直接决定着你一会连上新罐时是否漏气。 四、拿来新煤气罐,撕掉红色片。 五、将输气管向左、逆时针拧进刚才撕掉红片片后露出的孔里。 六、检查是否漏气将1这个阀门拧开又关上,然后观察下面圈圈里的红针在10秒内是否晃动,如果不晃动,就可以开火了。
职业病卫生管理制度及操作规程?
企业职业健康管理制度一、职业危害防治责任制度 (一)主要负责人责任制1.设立职业危害管理机构,并提供人力资源;2.定期召开职业健康工作会议,研究解决存在的问题;3.组织建立、健全本单位职业危害防治责任制、规章制度和操作规程;4.督促、检查本单位的职业危害防治工作,及时消除职业危害事故隐患;5.保证本单位职业危害防治投入的有效实施;6.组织建立并实施本单位的职业危害事故应急救援预案;7.及时、如实报告职业危害事故。 (二)主管职业危害负责人责任制1.明确在本企业职业危害防治管理工作中的具体职责;2.组织职业危害防治检查及落实职业危害因素整改;3.组织制定、修订和审定各项职业危害防治管理制度,并检查其执行情况;4.明确在职业危害事故应急救援预案中的组织、实施责任。 (三)专职职业危害管理人员职业危害防治责任制1.贯彻执行有关职业危害防治的法规、制度和标准;2.负责日常职业危害防治的监督、检查、技术管理、教育以及职业危害事故的调查组织、统计、上报和建档工作。 (四)职业危害岗位防治责任制1.参加职业危害防治培训教育和活动、学习职业危害防治技术知识,遵守各项职业危害防治规章制度和操作规程,发现隐患及时报告;2.正确使用、保管各种劳保用品、器具和防护设施;3.不违章作业,并劝阻或制止他人违章作业行为,对违章指挥有权拒绝执行,并及时向单位领导汇报;4.当工作场所有发生职业危害事故的危险时,应向监督管理人员报告,并停止作业,直到危险消除。 (五)职业危害管理部门职业危害防治责任制1.贯彻执行国家和上级制定的职业危害防治的规定及各项职业危害防治规章制度,并对执行情况进行监督检查;2.在企业负责人领导下组织建立、修订各项职业危害防治管理制度和参与制定职业危害防治技术措施;3.职业危害防治技术措施计划和作业场所的职业危害防治实施监督管理。 二、职业危害监测、检测和评价管理制度 (一)日常监测1.明确日常监测人员,并对数据的准确性负责;2.明确尘、毒、噪声的合理布点(布置图),明确监测时间,并做好记录(记录表);3.规定监测办法。 (二)检测和评价1.按规定委托取得资质认定的职业健康技术服务机构进行作业场所危害因素浓度或强度的检测和评价;2.作业场所危害因素浓度或强度若超过职业接触限值,应及时采取有效的治理措施,治理措施难度较大的应制定规划,限期解决;3.职业卫生防护设施在投入使用时和在设备大修后,应进行危害因素浓度或强度检测和评价。 三、职业危害告知制度 (一)岗前告知在订立或者变更劳动合同时,将工作场所中可能产生的职业病危害因素、后果、防护措施和待遇等如实告知劳动者。 (二)作业场所告知1.设置或定期更换作业场所职业病危害警示标识,明确具体负责人;2.设置高毒物品告知卡;3.定期将监测、检测和评价结果公示,明确公示方式。 四、职业危害检查和隐患整改制度1.明确职业危害检查负责部门和人员,以及相应的任务和职责;2.明确职业危害检查方式(如日常、定期、季节性、节假日前后和一般性、专业性)及检查周期;3.明确职业危害检查内容(包括对思想认识、管理制度、现场环境、职业危害标志、职业危害设施、工艺、设备、仪表、问题整改等方面的检查内容);4.检查记录保存完好;5.明确对检查中发现问题的处理;6.明确对事故隐患整改限期要求及复查要求,实现跟踪问效;7.有害作业与无害作业是否分开,作业场所与生活场所是否分开。 五、职业危害申报制度1.申报工作负责人;2.每年申报时间;3.申报程序;4.申报存档资料。 六、职业健康宣传教育培训制度1.明确教育培训负责部门和培训对象(负责人、管理人员、特种作业人员、在岗员工、新进员工、转岗人员、外来人员、临时工作人员等);2.明确各类人员接受职业危害教育的内容(思想、政策、法律法规、事故教训、职业危害基本技能、常识、经验等)及教材;3.明确培训应达到的目的及资格要求;4.明确教育方式、培训时间、考核方式;5.明确必须持证上岗的人员,依法接受有关培训、考核(包括复审)管理规定的要求。 七、职业危害防护设施维护检修制度1.制定职业危害维护检修规定;2.明确维护检修单位和检修人的职责范围;3.明确检修的种类;4.各类检修作业应当遵循的规程或规定;5.检修的程序和要求;6.检修的记录要求;7.检修的验收要求。 八、从业人员防护用品管理制度1.明确配备标准;2.明确采购及特种劳保用品供应方的资质审验办法;3.明确劳保用品的发放、使用、报废管理办法和管理责任人。 九、职业健康监护档案管理制度 (一)从业人员职业健康监护档案1.从业人员职业史、既往史和职业病危害接触史;2.相应作业场所职业病危害因素监测结果;3.职业健康检查结果及处理情况;4.职业病诊疗等员工健康资料 (二)用人单位职业健康监护管理档案1.职业健康监护委托书;2.职业健康检查结果报告和评价报告;3.职业病报告卡;4.对职业病患者、患有职业禁忌证者和已出现职业相关健康损害从业人员的处理和安置记录。 (三)职业健康检查1、开展上岗前的职业健康检查,不得安排未经上岗前职业健康检查的员工从事接触职业病危害因素的作业;不得安排有职业禁忌的员工从事其所禁忌的作业。 2、开展在岗期间的职业健康检查,将体检结果如实告知从业人员,对需要复查和医学观察的劳动者,应当按照体检机构要求的时间,安排其复查和医学观察;对疑似职业病病人应当向所在地安全监管和卫生行政部门报告,并按照体检机构的要求安排其进行职业病诊断或者医学观察。 3、开展离岗时的职业健康检查。 对未进行离岗时职业健康检查的从业人员,不得解除或终止与其订立的劳动合同。 4、开展职业危害事故后参加应急救援人员的职业健康检查。 十、岗位职业健康操作规程建立健全各岗位职业健康操作规程,并张贴在操作岗位。 主要包括内容:1.生产操作方法和要求;2.重点操作的复核、操作过程的职业危害要求和劳动保护;3.异常情况处理和报告;4.工艺卫生和环境卫生。 十一、职业危害事故管理制度1.明确职业危害事故报告程序和内容,调查、处理程序及要求;2.“四不放过”(事故原因未查清不放过、有关责任人员未处理不放过、预防措施不放过、未受到教育不放过)原则的要求;3.事故档案管理和事故台帐。 十二、外来施工单位及人员的职业危害管理制度1.外来施工单位及人员的资质要求;2.对外来施工单位及人员的教育和检查办法;3.职业危害协议签订要求。 十三、应急救援预案管理1.成立应急机构,明确各人员应急救援管理责任;2.制定应急预案,配备必要的应急救援物资,保证资金,经论证后由负责人批准发布实施;3.明确重大职业危害应急救援的宣传、学习、教育、演练等相关工作。 《职业病防治法》第十九条 用人单位应当采取下列职业病防治管理措施:(一)设置或者指定职业卫生管理机构或者组织,配备专职或者兼职的职业卫生专业人员,负责本单位的职业病防治工作;(二)制定职业病防治计划和实施方案;(三)建立、健全职业卫生管理制度和操作规程;(四)建立、健全职业卫生档案和劳动者健康监护档案;(五)建立、健全工作场所职业病危害因素监测及评价制度;(六)建立、健全职业病危害事故应急救援预案。 《职业健康监护管理办法》(2002.04.10)中华人民共和国卫生部令第23号第十七条 用人单位应当建立职业健康监护档案。 职业健康监护档案应包括以下内容:(一)劳动者职业史、既往史和职业病危害接触史;(二)相应作业场所职业病危害因素监测结果;(三)职业健康检查结果及处理情况;(四)职业病诊疗等劳动者健康资料。 GBZ/T 225—2010《用人单位职业病防治指南》4.1.11 建立、健全劳动者职业健康监护档案根据规定,用人单位应为存在劳动关系的劳动者(含临时工)建立职业健康监护档案。 劳动者名册应按照上岗前、在岗期间和离岗分别建立存档。 职业健康监护档案应包括以下内容:—劳动者姓名、性别、年龄、籍贯、婚姻、文仁程度、嗜好等一般概况;—劳动者职业史、既往史和职业病危害接触史;—相应工作场所职业病危害因素监测结果事;—职业健康检查结果及处理情况;—职业病诊疗等劳动者健康资料。 *:关于台账:4.3.5 可能产生职业病危害的设备台账4.3.7 使用、生产、经营可能产生职业病危害的化学品台账4.3.8 使用放射性同位素和含有放射性物质材料的台账4.7.3 职业病防护设施及其台账4.7.4 个人职业病防护用品台账5.1.15 工种台账5.3.2 职业病危害防护设施台账
发表评论