文件页码:
拟文部门财务部执行日期:
1 目的
为公司稳步健康发展,结合公司实际情况,订立本制度。
2 范围
本程序适用于****公司。
3 定义
3.1 风险:是指任何可能影响公司实现其目标的不确定性和负面因素,这些不确定性和负面影响可能关系到公司的战略决策、战略执行和日常运营等各方面,使企业在战略与经营目标、日常运营、财务、环境影响、产品质量、安全生产、社会责任、企业声誉等各个方面受损。
风险的大小通过影响程度和发生的概率两方面进行衡量。
4 公司风险管理目标
风险管理是一套由公司董事会、管理层和员工共同实施并与公司战略相结合的管理程序,其核心是规避和防范。它通过考虑各种不确定性对公司目标的影响,并采取相应措施,协助组织恰当的防范和应对风险,有效处置危机,提高风险应对的效率和效果。
公司风险管理目标如下:
(1)在企业绩效方面,有效防范和规避风险;减少风险发生的损失。
(2)在理念和文化方面,提高风险管理意识,将风险管理融入到整个组织的理念、治理和管理程序、方针策略以及企业文化等各方面,保护企业声誉和品牌形象。
(3)在战略方面,与企业的战略规划相协调,为战略目标的实现提供合理保证;增强企业的危机应对和生存能力。
(4)在经营方面,改善公司治理和内部控制,提高运营效率和效果;遵守相关法律法规和规章制度。
(5)在财务报告方面,确保为管理层和董事会提供准确而完整的信息,为计划和决策奠定可靠可信的基础。
5 风险管理的组织及其职责
5.1***公司风险管理委员会是公司的风险管理决策机构(组织机构图见附件),向公司董事会负责并提交风险管理决策和报告,风险管理委员会履行以下职责:
(1)监督和评价风险管理组织方式、部门设置、工作程序和效果,并提出完善公司风险管
文件页码:
拟文部门财务部执行日期:
理与控制的意见;
(2)审批公司风险管理政策、风险管理制度和重要风险因素应急预案,对其实施情况及效果进行监督和评价;
(3)定期审查风险评估报告,对公司风险状况进行定期评估;
(4)就所发生的重大风险向董事会提交报告。
(5)组织处理呈报的重大风险因素、突发事件,消除不良影响;组织领导风险事件处理过程的媒体公关、政府公关并统一对外发布信息口径。
5.2公司总经理是风险管理委员会主任,是公司的风险管理总负责人,负责组织开展本公司的风险管理,履行以下职责:
(1)组织制定符合本公司实际需要的风险管理系统,并组织各项日常管理控制程序的改进工作。
(2)根据公司战略,组织公司各职能部门识别公司的各项业务流程以及公司经营过程中可能面临的风险,组织实施风险评估。
(3)根据风险评估结果,组织制定风险应对措施和应急预案,按照风险审批权限履行审批手续后部属实施。
(4)落实董事会及风险管理委员会相关风险决策和方案。
(5)及时收集行业内相关风险信息并及时组织部署应对措施;向集团总裁、董事长及风险管理委员会汇报重大风险因素、突发事件;组织处理非重大风险因素和突发事件。
(6)就风险管理工作计划和结果向董事会报告。
5.3职能部门负责管理归口到本部门的风险因素和风险事项,履行以下职责:
(1)按照公司的战略规划目标、经营目标和风险管理的总体安排,以及本部门的经营计划,识别本部门的各项业务可能存在的风险,组织实施风险评估。
(2)制定风险应对措施和应急预案,针对所识别的风险情况,完善本部门各项业务流程,制定具体风险管理流程并实施。
(3)及时收集相关风险信息,研究部署风险管理措施;及时向公司总经理汇报相关风险因素、突发事件。
(4)按照管理权限组织处理本部门的风险因素、突发事件。
5.4公司各总监负责协助公司风险管理委员会推进风险管理工作的开展,负责对所辖系统的风险因素进行识别,完善本系统的各项业务流程,组织制定相关风险管理制度和流程,对所辖系统的整体风险管理工作进行管理和监督。
文件页码:拟文部门财务部执行日期:
6 风险分类与分级
文件页码:
拟文部门财务部执行日期:
6.2公司对于风险的分级统一分为5级,按照风险损失程度划分顺序如下:
7 风险因素识别和评价
风险因素识别评价流程:确定活动/生产/服务→识别风险因素→确定风险影响→评价风险因素→确定重要风险因素,执行《风险因素识别评价控制程序》。
7.1 风险因素的识别
文件页码:
拟文部门财务部执行日期:
7.1.1 风险因素识别步骤:
a. 确定本部门的活动、生产和服务过程;
b. 识别生产和服务过程中可能产生的风险因素和风险影响;
c. 根据组织风险特点作出识别判断。
7.2 风险因素评价的工具和方法
7.2.1 采用失败模型分析法(FMEA),按岗位或活动,对照《风险因素识别评价和控制表》,进行风险识别和评价。风险评价是使用下图,已确定风险的严重性。根据风险的严重性,确定风险的可接受性,低风险是可接受风险,可不必采取风险干预措施;中等风险是合理风险,通过实施风险控制措施,风险得以降低,效益超过风险,达到接近可接受水平;不可接受风险,指风险可能导致的伤害严重,必须采取必要有效干预措施,以规避风险。
7.2.2 风险等级评定使用如下风险等级评定标准
7.2.3 风险指数RPN的确定:对风险出现的可能性,严重性和可监测性根据上表分别进行打分,风险指数RPN=风险出现的可能性×风险严重性×风险可监测性。
7.2.4 风险级别:
RPN<15,为低风险; 15≤RPN≤24,为中等风险; RPN≥25,为高风险。
7.3 重要风险因素的确定
对于RPN≥25的高风险因素,结合实际,对比权衡,判定重要风险因素。针对重要风险因素,建立《风险应急预案》。
文件页码:
拟文部门财务部执行日期:
8 对风险的管理和控制措施
8.1 公司各职能部门应根据各项风险因素的评价结果,制定风险的应对措施,对于重大风险因素,除形成应对控制措施外,还应制定具体的应急预案。
8.2 风险的应对方案包括规避、减少、转移、接受四种。
8.2.1 规避风险是指避免从事、投入或出售可能产生相关风险的业务,或者使用法律手段,事先签订相关避免损失的法律条款等。
8.2.2 减少风险是通过主动采取行动控制风险发生的可能性和降低风险影响程度。
一般采取优化业务流程、完善操作规程、强化内部控制、强化人员培训、及时应对政策法规等外部环境变化、签订规范的合同、及时检查相关设施设备和现场、定期维护系统等措施,减少风险发生的可能性和影响程度。
8.2.3 转移风险是通过将风险转移或由第三方分担部分风险等方式来减少风险发生的影响。
公司所控制和使用的财产、所从事的危险业务,应采取包括各种保险、外包危险业务、改变结算支付方式和币种等控制措施予以控制。
8.2.4 对于发生的可能性和影响程度均较小的风险因素,或者由于采取风险规避措施的成本太大,超出了成本效益原则的风险事项,可采用接受风险的应对措施。
9 风险事件的处理与报告
9.1 对已发生的风险事件的处理和报告
9.1.1 重大风险事件应在事件发生后30分钟之内向总经理报告;发生的其他级别风险,发生风险事件的部门应在事件发生后1天内向常务副总经理报告,总经理应在月度经营报告中向董事长报告风险事件的处理结果。填写《风险事件报告单》。
9.1.2 重要风险因素事件启动应急预案,进行处理。控制事件的影响范围。执行各类应急预案。
9.1.3 发生部门拟定风险事件处理措施,报公司领导批准后实施。
9.1.4 发生部门在风险事件处理完成后,形成最后的《风险事件报告单》,上报总经理。
9.2 对潜在风险事件的沟通与报告
对于潜在风险,各职能部门识别的重大级潜在风险信息,应及时向总经理报告,同时通知相关联的下属公司和部门;其他级别的潜在风险,应向常务副总经理报告。
10 风险因素的更新和年度风险评价报告
10.1 风险管理委员会每年组织至少进行一次风险因素的识别与评价。
10.2 发生以下情况时,应对风险因素进行重新识别、评价,并更新。
文件页码:
拟文部门财务部执行日期:
a.适用法律、法规发生变化及国家、地方或行业标准发生变化;
b.本公司扩大经营范围及改变经营项目;
c.每年内审、外审或评审后涉及到风险因素的变化或发生严重不符合项;
d.主要原材料及工艺方法有重大变化;
e.重要设备、设施发生重大变化;
f.发生应急事件/事故所涉及的风险因素变化;
g.相关方连续投诉或提出合理要求。
10.3 风险管理委员会根据风险因素更新情况,形成年度风险评价报告,报总经理批准后,作为管理评审的输入。
11 相关文件
12 记录
13修改状态
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
风险管理控制程序 1.目的 为建立风险和机遇的应对措施,明确包括风险应对措施风险规避、风险降低和风险接受在的操作要求,建立全面的风险和机遇管理措施和部控制的建设,增强抗风险能力,并为在质量和环境管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。 2.围 本程序适用于在公司质量和环境管理体系活动中应对风险和机遇的方法及要求的控制提供操作依据,这些活动包括: a. 业务开发、市场调查及客户满意度测评过程的风险和机遇管理; b. 供应商评审和采购控制过程的风险和机遇管理; c. 生产过程的风险和机遇管理; d. 过程检验和监视测量设备的管理过程的风险和机遇管理; e. 设备的维护和保养管理过程的风险和机遇管理; f. 不合格品的处置及纠正预防措施的执行和验证过程的风险和机遇管理; g. 持续改进过程的风险和机遇管理; h. 当适用时,也可适用于对公司管理过程中应对风险和机遇的控制提供操作指南。 3.职责 3.1总经理:负责风险管理所需资源的提供,包括人员资格、必要的培训、信息获取等。负责风险可接受准则方针的确定,并按制定的评审周期保持对风险和机遇管理的评审。 3.2安环部:负责建立风险和机遇应对控制程序,并进行维护。负责按本文件所要求的周期组织实施风险和机遇的评审,落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性,并编写《风险和机遇评估分析报告》,负责本部门的风险评估及应对风险的策划和应对风险措施的执行和监督。 3.3各单位:负责本部门/科室的风险和机遇评估,并制定相应的措施以规避或者降低风险并落实执行。 3.4经营部:负责收集产品售后的风险信息及本部门的风险识别,负责制定相应的措施以规避或者降低风险并落实执行。
危害识别和风险评价管理程序 1适用范围 本程序适用于公司危害识别和风险评价的管理。 2职责 2.1SHE管理委员会 负责重大风险评价结果和风险控制措施的审定。 2.2SHE管理者代表 负责组织危害识别和风险评价活动,审批风险评价准则和风险评价报告并组织落实风险控制措施。 2.3SHE管理办公室(生产经营办) 危害识别和风险评价主管部门。负责组织各所属企业定期开展危害识别和风险评价、编制重大风险清单和风险评价报告。 2.4规划发展部 负责科研管理、技改技措实施各阶段的危害识别和风险评价,组织实施风险控制措施。 2.5其它职能部门 负责本部门主管业务与活动的危害识别和风险评价,组织风险控制措施的实施。 2.6所属企业 负责组织本单位定期危害识别和风险评价、编制重大风险清单和风险评价报告,对风险控制措施进行监督检查和考核;负责协助生产过程中的危害识别和风险评 价,包括装置停工、开工过程的危害识别和风险评价,组织实施风险控制措施;负责 装置检维修过程中设备设施的危害识别和风险评价,组织实施风险控制措施;负责装 置检维修过程中电气、仪表设备设施的危害识别和风险评价,组织实施风险控制措 施。 2.7基层单位 负责本单位作业与管理活动的危害识别和风险评价并实施风险控制措施。 3管理内容和工作程序 3.1危害识别和风险评价管理 3.1.1确定范围 a)生产作业活动; 1. b)生产管理活动; c)生产工艺技术;
d)装置停、开工; e)检维修作业; f)设备设施; g)新建、改扩建; h)科研开发和技改技措; i)工艺和设备设施的变更。 3.1.2建立组织 3.1.2.1SHE管理办公室负责危害识别和风险评价的组织管理。 3.1.2.2所属企业要组建本单位的危害识别和风险评价小组,并报送本单位SHE 管理 办公室备案。 小组成员由本单位主管领导、工程技术人员以及有实际生产经验的员工组成,小组成员应具备一定的危害识别和风险评价的知识和能力。 3.1.3编制计划 3.1.3.1生产经营办负责编制中国化工有限公司级危害识别和风险评价年度计划,并 列入总体工作计划中,明确识别和评价准则及工作要求,并监督检查计划的实施。 3.1.3.2所属企业负责编制本单位危害识别和风险评价年度计划并列入总体工 作计 划。 3.1.4定期识别和评价 生产、辅助生产系统每年进行一次。 3.1.5适时识别和评价 a)生产作业活动前; b)生产管理活动前; c)新建、改建、扩建前; d)工艺和设备设施发生变更时; e)检维修作业前。 3.2危害识别和风险评价准则 3.2.1确定的依据 a)国家有关SHE的法律法规和标准; b)行业的设计规范和技术标准; 2. c)本单位SHE管理标准和技术规范; d)本单位SHE管理业绩。 3.2.2评价准则是动态的量化标准,应根据有关SHE法律法规、规范标准及企业SHE 管理业绩的变化而变更。 3.2.3评价准则 3.2.3.1危害及影响的严重性(S) 量化的危害及影响的严重程度,见附录A。 3.2.3.2危害及影响发生的可能性(L) 量化的危害及影响发生的频繁程度,见附录B。
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
1 目的 为避免或降低生产、办公设备及软件侵犯他人知识产权的风险,识别本公司生产经营活动中的知识产权,并对其进行识别、评测等级,以制定有效的控制措施。 2 范围 适用于本公司生产经营活动中的所有知识产权的风险管理。 3 职责 3.1 行政部负责组织各部门进行知识产权风险的识别,并形成《知识产权风险识别台 账》,并对风险源进行等级评测。 3.2 行政部负责定期监控产品可能涉及他人知识产权的状况,分析可能发生的纠纷及其 对企业的损害程度,并提出相应的防范预案。 4 程序 4.1 知识产权风险的识别 4.1.1 知识产权风险的识别范围包括生产经营、人力资源、信息资源、办公设备及软件中 的所有知识产权。 4.1.2 风险识别应包括: 4.1.2.1研发活动中的风险 研发活动是企业推出新产品获取市场竞争优势的基础环节,在研发项目的立项、 研发路线的确定、研究成果的保护等不同阶段都涉及到知识产权风险,包括以下 项目: a)在研发立项论证时未进行专利信息的详细检索,导致辛辛苦苦投入大量经费,自 主开发获得的研发成果却不能使用,否则就构成侵权; b)研发完成时,开发出的新技术或产品不进行有效保护,导致被限制使用的风险; c)产学研合作中企业的知识产权权属未能得到明确规范,导致自树竞争对手的风险。 4.1.2.2生产活动中的风险 a)企业在生产过程中涉及的知识产权包括:专利、商标、计算机软件、商业秘密, 如专有技术、加工工艺、生产设备改进方案、生产信息、采购 b)与加工合同、生产控制软件等。 c)企业在采购过程中,需要对供应商及所采购产品的知识产权状况进行评价与确定, 必须要求供应商提供涉及材料的知识产权权属证明。在外协生产的过程中,需对 采购过程中涉及的知识产权进行协商,明确代工过程的知识产权权责。 d)对新技术、新产品的使用,特别是企业独家定制的原材料和设备等,必须明确供
安全风险分级管控工作制度 一、为进一步规范煤矿安全管理工作,全面体现预防为主的思想,明确安全风险的辨识范围、方法、和安全风险辨识、评估、管控工作流程,实现对风险的超前预控,以预防事故的发生,根据《煤矿安全生产标准化基本要求评分办法》,特制定本制度。 二、安全风险预控管理领导组办公室负责建立健全全矿安全风险预控管理体系,并严格监督落实。安全风险预控管理体系包括:管理方针、风险预控管理、保障管理、员工不安全行为管理、生产系统安全要素管理、综合管理、检查审核与评审。安全风险预控责任体系应符合“PDCA”的运行模式。 注:PDCA分别表示:P-Plan(计划);D-Do(实施);C-Check(检查);A-Action(改进)。 三、风险预控管理流程 (一)危险源辨识。 1、年度危险源辨识 (1)每年底由矿长组织各分管负责人和相关业务科室、队进行一次重点对瓦斯、水、火、粉尘、顶板及提升运输系统,爆破、机电运输等容易导致群死群伤事故的危险因素开展一次全面安全风险辨识; (2)危险源辨识前由培训中心组织全体职工对相关知识进行培训; (3)辨识范围要覆盖全矿所有生产及辅助系统作业场所、工序、流程; (4)各相关业务科室要对本科室负责的所有工作任务建立清册并逐一进行危险源辨识,并对危险源辨识资料进行统计、分析、整理、归档; ①危险源辨识可采用安全检查表法(SCL),也可由各相关业务科室根据具体情况提出建议,并安全风险预控管理领导组确认后实施; ②危险源辨识时考虑正常、异常和紧急三种状态及过去、现在和将来三种时态; ③采掘系统、机电运输系统、“一通三防”系统等应采用事故树分析法对系统中存在的危险源进行辨识; (4)各相关业务科室要结合本年度的安全工作情况及下一年工作中可
风险管理控制程序 1.0 目的 通过对公司所有设计和生产的医疗器械在其寿命期内的各个阶段的风险因素及水平进行分析,采用适宜的管理方法控制和降低风险水平。 2.0范围 适用于本公司设计和生产的医疗器械在其寿命期内的各个阶段的风险管理。 3.0 职责 3.1 技术部: a..负责编制《风险管理计划》,并按计划和《风险管理控制程序》规定的内容和要求对风险实施管理和控制。 b. 负责根据产品在设计开发阶段组建风险管理小组,建立产品风险管理档案。 C. 风险管理小组成员负责编制风险管理过程中的文件和记录,项目负责人负责审核风险管理过程中的文件和记录。 D. 技术部经理负责批准风险管理过程中的文件和记录,并向总经理报告风险管理和评价的结果。 3.2 办公室(质量体系管理部门): a.负责各部门之间与风险管理有关的资料和信息的传递。 b.负责风险管理过程控制的监督、检查和评审。 3.3 各部门: 参与评价风险水平,实施与本部门有关的风险管理各项方案,监控实施的有效性。3.4 销售部: 负责收集产品销售后的风险信息,并及时反馈或传递至办公室。 3.5总经理 a.负责风险管理所需资源的提供,包括人员资格、必要的培训、信息获取、研究试验所需经费等。 b.负责风险可接受准则方针的确定。 C.按计划的间隔保持对风险管理的评审。 4.0工作程序 4.1人员资格: 所有从事风险管理工作的执行者应具有和赋予他们的任务相适应医疗器械及其应用的
知识和经验,以及具有风险管理技术知识。必要时应培训。 4.2风险管理过程的基本流程(见图一): 图一用于产品风险管理活动的框图 4.3 风险管理计划 4.3.1 对于一个医疗器械项目,技术部负责按照风险管理过程编制《风险管理计划》,该项
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
风险和机遇的应对控制程序 Q/- CX-15-2017 1 目的 为建立风险和机遇的应对措施,明确包括风险应对措施风险规避、风险降低和风险接受在内的操作要求,建立全面的风险和机遇管理措施和内部控制的建设,增强抗风险能力,并为在质量环境安全管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。 2 范围 本程序适用于在公司质量环境安全管理体系活动中应对风险和机遇的方法及要求的控制。 3 职责 3.1管理者代表:负责风险管理所需资源的提供,包括人员资格、必要的培训、信息获取等。负责风险可接受准则方针的确定,并按制定的评审周期保持对风险和机遇管理的评审。 3.2综合部:负责建立风险和机遇应对控制程序,并进行维护。负责按本文件所要求的周期组织实施风险和机遇的评审,落实跟进风险和机遇评估中所采取措施的完成情况并跟进落实措施的有效性。 3.3各部门:负责本部门的质量环境安全的风险和机遇评估,并制定相应的措施以规避或者降低风险并落实执行。 4 工作程序 4.1风险和机遇管理策划 为全面识别和应对各部门在生产和管理活动中存在的风险和机遇,各部门应建立识别和应对的方法,确认本部门存在的风险,并将评估的结果记录在《风险和机遇评估分析表》。 在风险和机遇的识别和应对过程中,责任部门应对可能存在风险的车间、生产过程和人员存在的风险进行逐一的筛选识别。 4.2建立风险/机遇 风险识别活动的开展应是一次团体的活动,各部门在进行风险识别和评估过程中应通过集思广益和有效的分析判断下进行的。各部门的职责: a.实施风险和机遇分析和评估;
b. 制定风险和机遇应对措施并落实执行; 综合部组织实施风险应对措施的实施效果验证。 管理者代表对风险和机遇分析和评估审核,审核措施的实施效果验证情况。 4.3风险评估 对已识别的风险的严重度和发生频度进行评价,其评价的要求应依据本程序所规定的评价准则进行评价确认,风险的严重度和发生频度的确认用以确定风险系数,之后根据风险系数确定对风险应采取的措施。 4.3.1风险的严重程度评价准则 风险严重度用于评价潜在风险可能造成的损害程度,根据对潜在风险的评估量化,若潜在风险发生后,其会导致的各方面的影响以及危害程度。 在对风险进行严重程度判定时,推荐扩大分析风险所带来的危害层面,以便于更有效的对潜在的风险采取措施,以达到减少或部分消除风险乃至完全消除的目的。 为便于识别风险所带来的危害程度,对风险的严重程度进行区分,风险严重度分为以下五类: a. 非常严重 b.严重 c.较严重 d. 一般 e. 轻微 下表为依据定义的风险影响和影响程度的多少进行量化,在对风险的 严重度判定过程中,当多个因素的判定其严重程度不一致时,应遵循从严原则进行判定,即当多个因素中仅其中一个或部分因素其严重度级别更高时,依据严重级别高的因素作为风险严重度进行判定。根据上表内容确定风险的严重度后,将严重等级数字填入《风险和机遇评估分析表》中。 4.3.2风险的发生频率评价准则 风险的发生频率是指潜在风险出现的频率,为便于识别和定义,将风
编号:SM-ZD-12412 安全风险管理工作制度Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
安全风险管理工作制度 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不 同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作 有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 各(区)队、科室: 为全面辨识、管控矿井在生产过程中,针对各系统、各环节可能存在的安全风险、危害因素以及重大危险源,将风险控制在隐患形成之前,把可能导致的后果限制在可防、可控范围之内,提升安全保障能力,根据公司要求并结合我矿实际,特制定本办法。 一、总则 安全风险分级管控是指在安全生产过程中,针对各系统、各环节可能存在的安全风险、危害因素以及重大危险源,进行超前辨识、分析评估、分级管控的管理措施。单位主要负责人是本单位安全风险分级管控工作实施的责任主体,各业务科室是本专业系统的安全风险分级管控工作实施的责任主体。 二、“安全风险分级管控”组织机构 (一)成立“风险分级管控”工作领导组:
组长:高刚 常务副组长:苏显峰 副组长:张年富李树坤王力 成员:关长福许海龙龚哲常维辉李云南纪佩野 各区队负责人 领导组下设办公室,办公室设在技术科。 (二)领导组职责 1、矿长是安全风险分级管控第一责任人,对安全风险管控全面负责。 2、安全副矿长负责对安全风险分级管控实施的监督、管理、考核。 3、各副矿长具体负责实施分管系统范围内的安全风险分级管控工作。 4、专业副总工程师及业务科室负责具体实施专业系统的安全风险辨识、评估分级、控制管理、公告警示等工作。 5、区队负责人负责本作业区域和工艺工序的安全风险管控工作 6、班组长负责本作业区域的安全风险辨识管控,岗位人
1、目的 对产品的风险管理做出规定,通过此规定识别与产品有关的危险(源),估计和评价风险,控制这些风险,并监控控制的有效性,从而确保公司生产的产品按预期用途使用时,对病人和使用者的风险降低到可接受水平。 2、适用范围 适用于公司开发和生产的产品在医疗器械寿命周期的所有阶段的风险管理。 3、术语、缩略语 本程序采用质量手册以及YY/T 0316-2016、ENISO14971:2012/AC:2012中的术语、缩略语。 4、职责和权限 4.1企业负责人 1)提供充分的资源及授权有资格人员参与风险管理,任命风险管理小组组长以及成员; 2)规定一个确定风险可接受性准则的方针并形成文件,此方针应确保准则是基于适用的国家或地区法规和相关的标准,并考虑可用的信息; 3)按照计划的时间间隔评审风险管理过程的适宜性,以确保风险管理过程的持续有效性,并且将任何决定和采取的活动形成文件; 4)批准风险管理报告。 4.2风险管理小组组长 1)负责进行风险管理全过程的实施; 2)规定风险管理小组中各成员的职责和权限; 3)在适当的场合对产品进行风险分析,风险评价和风险控制,提出风险降低措施和对措施实施情况进行验证,并形成风险管理报告,报企业负责人审批; 4)同时对生产后的信息进行定期或不定期的评审,判断再次进行风险分析、评价和控制的必要性,必要时应组织产品的临床应用人员参加;
5)保管风险管理文档。 4.3风险管理小组 风险管理小组应由各部门熟悉产品原理、功能、制造以及相关法律法规的成员组成,具有有关的技术或风险管理技术与赋予任务相适应的知识和经验,负责相关产品信息的提供和风险降低措施的实施。 5、工作程序 5.1风险管理的应用场合 风险管理即对产品的开发、生产、销售、使用等各个环节中出现的影响产品安全性和有效性的风险进行风险分析和风险评价,提出风险降低措施并予实施、验证从而将风险降低到可接受水平的一系列管理活动。其主要适用于以下场合: 5.1.1新产品和有重大变更型号规格变更品的设计开发过程中可分为三个部分:设计风险的风险管理、过程风险的风险管理、使用风险的风险管理。 1)设计风险是指在设计输入时应考虑的产品设计中的可能存在的风险; 2)过程风险是指在设计输出时应考虑的产品试制或生产过程中可能存在的风险; 3)使用风险是指在设计确认时应考虑的产品被患者使用时的可能存在的风险。 5.1.2对产品生产后的信息进行定期或不定期地评审,从而实施的风险管理活动,包括: 1)通过市场监督、市场调查及顾客投诉等发现了新的风险; 2)产品认证或体系认证等场合所必需进行的产品回顾性风险分析; 3)应国家法律法规的变化及新技术、新材料应用要求的过程中发现了新的风险; 4)定期评审(一般每年1次)中发现了新的风险。 以上风险管理活动由技术部和/或有临床背景的专家等相关人员根据情况及时进行。 5.2管理职责 企业负责人应在下列方面对风险管理过程的承诺提供证据: 1)确保提供充分的资源; 2)确保给风险管理分配有资格的人员; 3)规定一个确定风险可接受性准则的方针并形成文件,此方针应确保准则是基于适用的国家或地区法规和相应的标准,并考虑可用的信息。 注:公司在制定质量方针时应考虑风险可接受性准则,并将其融入质量方针中。 4)按照计划的时间间隔评审风险管理过程的适宜性,以确保风险管理过程的持续有效性,并且将任何决定和采取的活动形成文件。
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
质量风险管理控制程序 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
质量风险管理控制程序 1 目的 对可能影响到最终产品和服务质量的风险和机遇进行确定和评估,制定行之有效的应对措施,为公司在运营和决策中有效应对各类突发事件和风险提供支持和保障,更好地实现公司质量方针和目标。 2 范围 本程序适用于公司质量管理体系的风险和机遇的确定、评估和应对的管理。 3 定义 风险:在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。 机遇:对企业有正面影响的条件和事件,包括某些突发事件等。 风险评估:在风险事件发生之前或之后(但还没有结束),该事件给各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 风险规避:风险规避是风险应对的一种方法,是指通过有计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。 风险降低:通过采取措施以达到降低风险的效果。一般情况下,若采取的措施能够有效的降低所遭受的风险,应将采取措施的记录进行保留或者写入文件进行归档,以便后期重复发生时作为改善的依据。 风险接受:是指企业承担风险造成的损失。风险接受一般适用于那些造成损失较小、重复性较高的风险、最适合于自留的风险事件。 内部风险:企业内部形成的风险,例如战略决策风险、环境风险、财务风险、管理风险、经营风险等。 外部风险:由外部影响因素导致的风险,例如政策风险、市场需求风险和业务风险等。 风险严重度:风险发生后其所产生的影响的严重程度。 风险发生频度:风险出现的频率或者概率。 风险系数:风险系数用于评定是否对已识别的风险采取措施,风险系数=风险严重度×风险发生频度。 4 职责
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
XXXXXXXXX有限公司 程序(规范)文件 企业安全风险辨识分级管控程序 AQCX 编制 XX XX 受控状态受控 审核 XXXXX 复审 XXXXX 批准 XXXXXXX 版本号 01 页数 11 发布日期:实施日期:
1.0总体要求、目标、基本原则、编制依据 1.1.总体要求 严格贯彻执行《中华人民共和国安全生产法》及《中共中央国务院关于推进安全生产领域改革发展的意见》(中发〔2016〕32号)、等相关规章制度要求,结合XXXXXXXX有限公司实际生产安全管理标准化建设需求,制定本管理程序。 公司职能部门:生产科、XXXX等部门及人员积极按照公司部署,完成本部门、本业务范围内的风险点识别、风险分级及风险评价,对评价结果负责。 1.2.目标 根据相关法规和制度结合公司实际,完成安全生产标准化建设及企业安全生产风险分级管控与隐患排查治理体系的建设,全面实施安全管理原则,突出风险预控、关口前移,构建安全风险分级管理和隐患排查治理体系,推进事故预防工作科学化、信息化、标准化,实现把风险控制在隐患形成之前、把隐患消灭在事故前面,做到有效遏制生产安全事故的发生,保障员工生产财产安全。 1.3.基本原则 必须严格按照“安全风险分级管理、分级负责”、“管生产及业务必须管安全” 的原则,坚持统一指导、分级推进、全面实施、持续改进的基本原则,从而充分发挥各部门基层专业技术人员的主导作用。 1.4.编制依据 安委办〔2016〕11号《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》 国家安全生产监督管理总局令第70号《企业安全生产风险公告六条规定》 《江苏省防范遏制重特大事故构建双重预防机制实施办法》 《深入推进全市企业安全风险辨识管控工作方案》 《XXXX工贸企业安全风险辨识管控工作验收评分细则》 《深入推进全市企业安全风险辨识管控工作方案》 《海门市安全风险分级管控实施意见工作》 《海门市安全风险分级管控实施意见工作》 《进一步推进全区企业安全风险辨识管控工作》 江苏省安监局关于进一步加强企业安全风险分级管控和隐患排查治理的双重预
实验室风险评估与风险控制程序 1、目的 风险评估的目的就是确定实验室防护等级,建立生物安全防护机制,配备适当的防护用品,采取相应的防护措施。 2 、适用范围 实验室所有涉及到的病原微生物,以及所有与病原微生物有直接或间接接触的岗位和人员。 3、职责 医院生物安全管理工作领导小组统筹安排,实验室负责人具体实施。危害性评估始于实验室设计建造之前,实施于实验活动之中,在使用之后还需进行定期的阶段性再评估。当发生实验室意外,或新发传染病,或严重疫情时,应特别注意要安排此项工作。 4 、实验室风险评估的内容 4.1、生物因子危害评估 生物因子概念:可能引起感染、过敏或中毒的所有微小生物体,包括基因修饰的、细胞培养的和寄生于人体的。 (1)、危害评估内容包括生物因子已知或未知的特性,如生物因子的种类、来源、传染性、传播途径、易感性、潜伏期、剂量-效应关系、致病性、变异性、在环境中的稳定性、与其他生物和环境的交互作用、流行病学资料、预防和治疗方案等。 (2)、制定评估报告:各种因素的风险发生概率程度、针对这
些风险采取的预防措施以及风险发生后的补救方法。 5 、实验室风险控制措施 5.1、规范操作程序。 5.1.1 、各类医疗废物、垃圾必须分类放置,及时消毒后,再由卫生清洁人员取走。特别注意对损伤性医疗废物的及时处理。严格防止感染或致病因子外泄而污染环境。 5.1.2 、在微生物实验室内工作,要穿隔离服,戴帽子、口罩和手套。 5.1.3 、超净台内操作尽量防止各种液体飞溅,必需避免手或皮肤直接接触,若有意外污染应及时消毒、冲洗并擦干飞溅出的液体。 5.1.4 、在离心机停止转动前时,不要打开顶盖,以减少气溶胶的产生。更不要用手去使离心机减速,避免机械损伤的发生。 5.1.5、要严格规章制度,养成良好的工作习惯。 5.2、避免锐器损伤。 5.2.1 、熟练掌握锐利器械的使用,感染性的各种针管、吸管、吸头、试管、玻片等用后及时放在专用锐器盒内。 5.2.2 、锐器损伤后立即挤出伤口处的血液,用肥皂水和流水清洗伤口,2%碘伏消毒后纱布包扎,可套橡皮指套(或橡皮手套),下班前洗手再重新消毒包扎,并准确记录上报,确认损伤器械是否来自有传染性疾病的患者,以使受伤者及时得到监测和治疗。 5.3、重视手部清洁。 5.3.1 、在进行无菌操作或接触病原微生物的操作前、后用洗手
XXXXXXXXX有限责任公司信息安全风险管理程序 [XXXX-B-01] V1.0
变更履历
1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3.1 综合部 负责牵头成立风险评估小组。 3.2 风险评估小组 负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4 相关文件 《信息安全管理手册》 《商业秘密管理程序》 5 程序 5.1 风险评估前准备 5.1.1 成立风险评估小组 综合部牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划 风险评估小组制定《信息安全风险评估计划》,下发各部门。 5.2 资产赋值 5.2.1 部门赋值 各部门风险评估小组成员识别本部门资产,并进行资产赋值。 5.2.2 赋值计算 资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。 5.2.3 保密性(C)赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。 保密性分类赋值方法 5.2.4 完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 完整性(I)赋值的方法
风险管理控制程序
1. 目的 为满足医疗器械法律法规和标准的要求,依据YY/T 0316-2008/ISO 14971:2007标准,通过对产品风险的分析、控制,确保产品按预期用途使用时使患者和使用者的风险降低到可接受水平。 2. 适用范围 适用于对本公司医疗器械产品生产周期的全过程进行风险控制,并形成风险管理报告。3.定义 3.1 风险:损害发生率与该损害严重程度的结合。 3.2 风险分析:系统运用可获得资料,判定危害并估计风险。 3.3 风险评定:包括分先分析和风险评定的全过程。 3.4 风险控制:做出决策并实施措施,以便降低风险或把风险维持在规定水平的过程。 3.5 风险估计:用于对损害发生概率和该损害严重程度赋值的过程。 3.6 风险评价:将估计的风险和给定的风险准则进行比较,以决定风险可接受性的过程。3.7 风险管理:用于风险分析,评价,控制和监视工作的管理方针,程序以及其实践的系统运用。 4. 职责 4.1 总经理 4.1.1 进行风险管理策划,致力于全部风险可接受。 4.1.2 负责提供适当的资源和人员。 4.1.3 规定风险管理的职责和权限,确定风险小组成员。 4.1.4 制定本公司风险可接受性准则方针。 4.2 管理者代表 4.2.1 确保公司风险管理制度的建立,实施和保持。 4.2.2 对风险管理过程的实施和效果进行监督。 4.2.3 主持评审产品风险管理过程。 4.3 研发部:负责组织相关部门实施风险控制,并形成风险管理报告;
4.4 品质部:参与风险管理,负责保存风险管理报告,保存期限为最后一批产品出厂后的一个寿命期,或法规要求中的最长者。 4.5 各部门负责风险控制和生产后信息反馈的管理。 5. 工作程序 5.1 风险管理方针 5.1.1 对所有的医疗器械进行风险管理,只有全部剩余风险和综合剩余风险符合公司可接受性准则,并未产生新的危害,或者产生的新的危害通过进一步采取控制措施又符合可接受性准则的产品,才可接受。 5.1.2 对不能估计损害发生概率的风险,应根据损害的性质评价风险,如果估计损害的风险的严重程度是可忽略的,则风险是可接受的,对于能产生严重后果的风险,必须采取降低风险措施,将分先降低到可接受水平。 5.1.3 可接受的风险应是 5.1.3.1 损害发生的概率,即损害发生的经常性,用Pi表示,i=1.2.3.4.5.6。 5.1.3.2 损害的后果,即它的严重性,用Si来表示,其中i=1.2.3.4.5。 5.1.3.3 可接受风险用Ac来表示,Ac=Pi*Si。Ac≤4为可接受风险。 5.1.4 对根据风险可接受准侧判定为不可接受的风险,而进一步的风险控制又不可的风险,应进行风险/收益分析,只有受益大于风险时,才可考虑判定为可接受的可行性。 5.1.5 根据风险可接受准则判定为可接受的,但风险又没有小到可忽略程度的风险,只要可行,应进一步采取措施降低风险。 5.2 风险可接受性准则 5.2.1 风险的严重水平分级