安徽省餐饮服务单位风险分级监督管理登记表
【2016年度】
企业名称:社会信用代码:
登记机关:
安徽省食品药品监督检查表
(餐饮服务单位)
编号:名称:类别:法人/负责人:社会信用代码/注册号:许可/登记证号:
经营地址:
检查类别:检查机关:检查人:
安徽省食品药品监督检查表(续表第2页)
(餐饮服务单位)
安徽省食品药品监督检查表(续表第3页)
(餐饮服务单位)
编号:
等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 B、风险评估 基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信
编制说明 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、操作规程、安全技术措施等相关信息,从神华集团神朔铁路分公司K174+800~K178+200技术改造工程基本建设项目特点及工程安全生产事故发生机理着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识。 一、工程概况: 本段技术改造工程线路平面从神朔线三岔站东端K174+800引出,与既有上行线保持5m线间距并行向东,而后用半径为1000m的曲线左转并设中桥一座(16m+20m+16m)上跨209国道,同时通过第一个1000m半径曲线后,线间距由站端的5m逐渐拉大到15m,而后线路保持与既有上行线15m间距东行,于DK176+310处设二道河中桥(3-32m)上跨二道河,过二道河后线路用一半径为2000m的曲线左转,线间距由15m渐变为4m,接入既有下行线DK178+200处,新建下行线长,比既有上行线长。 本标段总投资约元人民币。 二、风险评估小组: 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立档案和管理台帐。 组长:项目经理 副组长:副经理兼安全总监、总工程师、安质部长 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人员 组长职责:1. 全面负责本项目施工危险源辨识和风险评估工作; 2. 依据体系规定的风险评估方法,定期进行风险评估; 3. 组织风险评估小组评估重大风险,确定风险控制措施; 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核;
xx煤业有限责任公司 安全风险评估方式方法 一、定性评估法 也称经验评估法,是按生产系统或生产工艺过程,对系统中存在的各种危险危害因素进行定性的分析、研究、评估,得出定性评估结论的评估方法。 本方法通常采用安全评估表,根据经验将需要检查评估的内容以列表的方式逐项列出,现场逐条对应评估。安全评估表内容还可根据项目危险程度,将评估项目内容划分为安全否决项(不可控危险)和可控项(中等或可控危险)两部分,存在否决项时,停止评估,向上一级管理层报告;不存在否决项时,对可控项进行赋值,得分不低于规定的临界值,定性为具备安全生产条件; 可控项得分低于临界值,停止作业,制定措施进行整改,整改完毕后再进行重新评估。 本方法适用于简单系统、大型装备,工作条件和环境相对稳定的区队开工和岗位的评估。 二、专家评估法 是指集体检查分析、专家综合评估或两者相结合的评估方式,依据现场条件、检测结果、临界指标,运用类比分析等方法,对系统运行环境、设备设施、工艺和人员技术能力、安全措施、制度、管理水平等方面进行评估的方法。 本方法适用于复杂的系统、工艺、装置以及“四新”试验应用等
方面的评估。 三、危险与可操作性分析(HAZOP)法 是通过分析生产运行过程中工艺状态参数的变动和操作控制中可能出现的偏差,以及这些变动与偏差对系统的影响及可能导致的后果,找出出现变动及偏差的原因,明确装置或系统内及生产过程中存在的主要危险、危害因素,并针对变动与偏差产生的后果提出应对安全措施的评估方法。 本方法主要分析步骤是: 1. 建立研究组,确定任务、研究对象。一是建立一个有多方面专家组成的研究组,研究组的人员应包括设计、管理、使用和监察等各方面人员。二是明确研究组的任务,如研究的最终目的是解决系统安全问题,还是产品问题、环境问题,或者是综合问题。三是充分了解分析对象,准备有关资料。 2. 划分单元,明确功能。将分析对象划分为若干单元,明确各单元的功能,说明其运行状态和过程。在连续过程中单元应以管道为主,在间歇过程中单元应以设备为主。 3. 定义关键词表,按关键词,逐一分析每个单元可能产生的偏差。 4. 分析发生偏差的原因及后果。 5. 制定对策。 本方法适用于地面生产及工艺作业线、化工工艺装置等评估。 四、预先危险分析(PHA)法
等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
附件五半定量评估风险分级 利用SEP法进行的风险评估,可以按照风险值高低将风险分为表1所示的3个级别。 表1发电企业安全生产风险分级 序号风险等级风险值(R)控制要求 1 高风险200≤R 考虑停止、停用,立即采取处置措施 3 中风险20≤R<200 需要采取措施进行纠正 4 低风险R<20 需要进行关注 SEP 分值如下: 序号后果分值 1 安全 可能造成死亡≥3人;或重伤≥10人; 可能造成设备或财产损失≥1000万元。 100 健康 可能造成3~9例无法复原的严重职业病; 可能造成9例以上很难治愈的职业病。 环保产生的环保事件后果严重,潜在影响构成环保事故及以上等级 2 安全 可能造成1~2人死亡;或重伤3~9人。 可能造成设备或财产损失在100万元到1000万元之间。 50 健康 可能造成1~2例无法复原的严重职业病; 可能造成3~9例以上很难治愈的职业病。 环保 产生的环保事件对周围居民造成恶劣的影响,企业受到居民投诉,被迫停产进行限期治理(对人的影响) 3 安全 可能造成重伤1~2人; 可能造成设备或财产损失在10万元到100万元之间。 25 健康 可能造成1~2例难治愈或造成3~9例可治愈的职业病; 可能造成9例以上与职业有关的疾病。 环保主要环保设施发生故障致使机组停运、紧急抢修恢复后方可继续生产 4 安全 可能造成轻伤3人以上; 可能造成设备或财产损失在1万元到10万元之间。 15 健康 可能造成1~2例可治愈的职业病; 可能造成3~9例与职业有关的疾病。 环保 产生的污染物超过国家、地方标准或消耗的资源高于同行业最低水平需要投入大量资金进行专项改造才可达标 5 安全 可能造成轻伤1~2人; 可能造成设备或财产损失在1000元到1万元之间。 5 健康 可能造成1~2例与职业有关的疾病; 可能造成3~9例有影响健康的事件。
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 1)识别组织面临的各种风险; 2)评估风险概率和可能带来的负面影响;
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 ............................................... 错误!未定义书签。 1.1工程项目概况......................................................... 错误!未定义书签。 1.1.1 建设项目基本信息............................................ 错误!未定义书签。 1.1.2 建设单位基本信息............................................ 错误!未定义书签。 1.1.3承建单位基本信息 ........................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。 二、风险评估活动概述 ............................................... 错误!未定义书签。 2.1风险评估工作组织管理 ......................................... 错误!未定义书签。 2.2风险评估工作过程................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。 2.4保障与限制条件..................................................... 错误!未定义书签。 三、评估对象 .............................................................. 错误!未定义书签。 3.1评估对象构成与定级 ............................................. 错误!未定义书签。 3.1.1 网络结构 ........................................................... 错误!未定义书签。 3.1.2 业务应用 ........................................................... 错误!未定义书签。 3.1.3 子系统构成及定级............................................ 错误!未定义书签。 3.2评估对象等级保护措施 ......................................... 错误!未定义书签。 3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。 3.2.2子系统N的等级保护措施............................... 错误!未定义书签。
安全风险分级管控管理制度 公司所属各部门: 为进一步规范我公司安全管理工作,全面体现预防为主的思想,落实双重预防工作机制要求,实现对风险的超前预控,筑牢安全防线,有效防范和遏制事故的发生,特制定本制度。 一、组织机构 为切实加强我矿安全风险管控管理工作的开展,矿成立以矿长全面负责、分管负责人分管负责的安全风险管控管理,成员负责开展落实此项工作,各部门或队组协调、配合完成。 组长:矿长 副组长:安监处长、总工程师、生产副矿长、机电副矿长、通风区长。 成员:安通部、生产技术部、经营管理部、综合办公室、人力资源部、工会主要负责人。 领导组下设办公室,办公室设在安监队,要专人组成工作组,负责安全风险管控方案完善,明确任务、时间、步骤,认真组织开展风险排查、评估、分级工作,负责考核奖惩工作。 二、安全风险辨识范围 矿井安全风险分级管控范围涉及采、掘专业系统、辅助
运输系统、机电管理系统、“一通三防”系统和“地测防治水”系统、地面及井下各岗位和施工作业场所,重点辨识评估瓦斯、水、火、粉尘、顶板、提升运输系统、民爆物品等容易导致群死群伤事故的安全风险。 三、安全风险管控职责分工 矿长是安全风险分级管控第一责任人,对安全风险管控工作全面负责; 各副矿级领导负责实施本人分管业务、系统范围内的安全风险分级管控工作; 生产副总牵头,生产技术部负责采煤系统的安全风险管控工作,重点辨识评估容易导致采煤系统出现事故的安全危险; 生产技术部负责掘开、辅助运输专业系统的安全风险管控工作,重点辨识评估容易导致掘开工作面及运输系统出现事故的安全危险; 机电副矿长牵头,机电、运输副部长负责机电管理系统的安全风险管控工作,重点辨识评估容易导致电气事故和提升运输事故的安全风险; 总工程师牵头,通风队负责“一通三防”系统的安全风险管控工作,重点辨识评估容易导致瓦斯爆炸和火灾事故和煤尘方面的安全风险; 总工程师牵头,生产技术部地测组负责“地测防治水”
实用文档编制说 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、作规程、安全技术措施等相关信息,从神华集团神朔铁路分公K174+80K178+20技术改造工程基本建设项目特点及工程安全生产事故发生机着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识 一工程概况 本段技术改造工程线路平面从神朔线三岔站东K174+80引出,与既有上行线保5线间距并行向东,而后用半径1000的曲线左转并设桥一座16m+20m+16)上20国道,同时通过第一1000半径曲线后,线间距由站端5逐渐拉大15m而后线路保持与既有上行15距东行,DK176+31处设二道河中桥3-32)上跨二道河,过二道河后线路用一半径2000的曲线左转,线间距15渐变4,接入既有行DK178+20处,新建下行线3405.42,比既有上行线5.42 本标段总投资4742900元人民币 二风险评估小组 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立案和管理台帐组长:项目经 副组长:副经理兼安全总监、总工程师、安质部 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人 组长职责1.全面负责本项目施工危险源辨识和风险评估工作 2.依据体系规定的风险评估方法,定期进行风险评估 3.组织风险评估小组评估重大风险,确定风险控制措施 . 实用文档 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核; 5. 组织制定危险源因素清单,并讨论生成风险评估报告落实重大隐患的整改措施,掌握具体活动开展的时间和进度。 副组长职责:1. 组织危险辨识和风险评估的培训工作,指导各岗位人员进行危险源识别和风险评估活动; 2. 协调危险源辨识和风险评估工作所需的人力和物力支持,为落实风险控制措施提供必要的人力和物力支持; 3. 对职责范围内的物料、场所、活动、人员、机械设备进行危险源辨识和风险评估,并对其进行分级和动态管理。 成员职责: 1. 配合项目部做好各岗位危险源辨识和风险评估的参与活动; 2. 具体实施危险源辨识和风险评估活动的各项步骤; 3. 负责收集整理各岗位工种危险源辨识和风险评估活动参与记录,并收集成册; 4. 展开培训,提高员工风险辨识能力,使其风险辨识意识具有主动性和前瞻性;
1等级保护FAQ3 什么是等级保护、有什么用?3 信息安全等级保护制度的意义与作用?3 等级保护与分级保护各分为几个等级,对应关系是什么?3 等级保护的重要信息系统(8+2)有哪些?4 等级保护的主管部门是谁?4 国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 等级保护的政策依据是哪个文件?4 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 等级保护是否是强制性的,可以不做吗?5 等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 哪些单位可以做等级保护的测评?6 做了等级测评之后,是否会给发合格证书?6 是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6等级保护检查的责任单位是谁?7 2分级保护FAQ7 分级保护是什么?7 分级保护的主管部门是谁?7 分级保护定级到哪里备案?7 分级保护的政策依据是哪个文件?7 分级保护与等级保护的适用对象分别是什么?7 分级保护有关信息安全的标准相互关系是什么?8 分级保护与等级保护的定级依据有何区别?8 分级保护的建设依据、方案设计、测评分别依据哪些标准?8 分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 分级保护系统测评的作用是什么,是否必须做?9 哪些单位可以做分级保护的测评,有什么资质要求?9 分级保护对涉密系统中使用的安全保密产品有哪些要求?9 涉密系统分级保护多长时间需进行一次安全保密检查?9
各级保密局与各单位保密办的关系是什么?10 分级保护的系统集成对厂商的资质有什么要求?10 分级保护的安全建设是否必须监理,对监理资质有什么要求?10 分级保护的哪些具体工作对厂商有单项资质的要求?10 3综合问题11 等保与分保的本质区别是什么?11 等保与分保各有几种级别?11 等级保护/分级保护什么区别哪些部门在管理,怎么做?11 企业出现泄密事件上报那些单位?11 等保定级备案是依据单位还是系统?12 风险评估和等级保护的关系?12 方案设计阶段及实施前是否需要报批?12 对于等保中产品使用及密码产品是否有要求?12 等级保护/分级保护FAQ 1 等级保护FAQ 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年6 6号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
XXX地铁建设工程 安全风险等级划分指导标准 一、编制依据 依据XXX下发的《XXX城市轨道交通工程重点建设环节质量安全管理办法(试行)》(建技[XXX]XXX号)文件的有关规定,参照《城市轨道交通地下工程建设风险管理规范》(GB50652-2011)、《XXX轨道交通地下工程质量安全风险控制指导书》的有关标准,同时结合XXX地铁以往的地下工程经验,制定本标准。 二、风险分类及分级 城市轨道交通地下工程设计风险因素应从地下工程自身风险以及周边环境两方面等考虑,归纳为自身风险和环境风险两类。 根据风险事件发生的可能性和风险损失、社会影响等,将风险源的等级由高至低分为Ⅰ、Ⅱ、Ⅲ、Ⅳ级。 三、自身风险 地下工程的自身风险是指由于地下工程自身建设要求或施工活动所导致的风险。自身风险等级主要考虑地质条件、工程埋深、工艺特点、结构特性(如地下结构层数、跨度、断面形式、覆土厚度)等风险因素。其中,明挖法和盖挖法可按地质条件、基坑深度作为分级参考依据;盾构法以隧道相互之间的空间位置关系、连续掘进长度等作为分级参考依据;暗挖结构根据隧道的长度、地质复杂程度、环境条件等作为分级参考依据。 (一)基坑工程安全风险分级:Ⅰ、Ⅱ、Ⅲ、Ⅳ级 Ⅰ级: 明(盖)挖法基坑开挖深度H≥25m; Ⅱ级: 明(盖)挖法的基坑开挖深度20m≤H<25m; Ⅲ级: 明(盖)挖法的基坑开挖深度14m≤H<20m; Ⅳ级:明(盖)挖法的基坑开挖深度5m≤H<14m。 注:当水文地质和工程地质条件复杂时,风险等级可上调一级。 (二)盾构隧道安全风险分级:Ⅰ、Ⅱ、Ⅲ级 1、Ⅰ级 (1)处于非常接近状态(距离≤0.3D)的并行或交叠盾构隧道; (2)较长范围(长度≥100m)浅埋(盾构覆土厚度≤0.7D)的盾构隧道;
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
附件: 信息系统 信息安全风险评估报告格式项目名称: 项目建设单位: 风险评估单位: 年月日 目录
一、风险评估项目概述工程项目概况 1.1.1 建设项目基本信息 1.1.2 建设单位基本信息 工程建设牵头部门 1.1.3承建单位基本信息
风险评估实施单位基本情况 二、风险评估活动概述 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 风险评估工作过程 工作阶段及具体工作内容. 依据的技术标准及相关法规文件 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象 评估对象构成与定级 3.1.1 网络结构 文字描述网络构成情况、分区情况、主要功能等,提供网络拓扑图。 3.1.2 业务应用 文字描述评估对象所承载的业务,及其重要性。 3.1.3 子系统构成及定级 描述各子系统构成。根据安全等级保护定级备案结果,填写各子系统的安全保护等级定级情况表: 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 3.2.2子系统N的等级保护措施 四、资产识别与分析 资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
附件: 信息系统 信息安全风险评估报告格式 项目名称:__________________________________________ 项目建设单位:______________________________________ 风险评估单位:______________________________________ 年月曰 目录 一、风险评估项目概述 ........................ 1.1工程项目概况............................ 1.1.1建设项目基本信息....................... 1.1.2建设单位基本信息 (1) 1.1.3承建单位基本信息....................... 1.2风险评估实施单位基本情况..................... 二、风险评估活动概述 ........................ 2.1风险评估工作组织管理....................... 2.2风险评估工作过程......................... 2.3依据的技术标准及相关法规文件................... 2.4保障与限制条件...........................
三、评估对象 ............................. 3.1评估对象构成与定级....................... 3.1.1网络结构............................ 3.1.2业务应用............................ 3.1.3子系统构成及定级........................ 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施................... 3.2.2子系统N的等级保护措施 .................. 四、资产识别与分析 (4) 4.1资产类型与赋值........................... 4.1.1资产类型............................ 4.1.2资产赋值............................ 4.2关键资产说明........................... 五、威胁识别与分析 ......................... 5.1威胁数据采集............................ 5.2威胁描述与分析.......................... 5.2.1威胁源分析............................ 5.2.2威胁行为分析......................... 5.2.3威胁能量分析................ 错误!未定义书签。 5.3威胁赋值.............................. 六、脆弱性识别与分析 ........................
等级爱护、风险评估和安全测评三者之间的区不与联系 刚接触安全测试这项工作的时候,对等级爱护、风险评估和安全测评三者之间的联系专门不清晰,常常会弄混淆。幸得有如此一篇文章,详细介绍了三者的概念区不以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大伙儿一起分享。 一、三者的差不多概念和工作背景 A、等级爱护 差不多概念:信息安全等级爱护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护,对信息系统中使用的安全产品实行按等级治理,对信息系统中发生的信息安全事件等等级响应、处置。那个地点所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全爱护条例》2规定:计算机信息系统实行安全等级爱护,安全等级的划分标准和安全等级爱护的具体方法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全爱护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全爱护能力的五个等级,即:第一级:用户自主爱护级;第二级:系统审计爱护级;第三级:安全标记爱护级;第四级:结构化爱护级;第五级:访问验证爱护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全爱护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又公布实施五个GA新标准,分不是:GA/T 387-2002《计算机信息系统安全等级爱护网络技术要求》、GA 388-2002 《计算机信息系统安全等级爱护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级爱护数据库治理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级爱护通用技术要求》、GA 391-2002 《计算机信息系统安全等级爱护治理要求》。这些标准是我国计算机信息系统安全爱护等级系列标准的一部分。《关于信息安全等级爱护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全爱护等级划分为五级,即:第一级:自主爱护级;第二级:指导爱护级;第三级:监督爱护级;第四级:强制爱护级;第五级:专控爱护级。特不强调的是:66号文中的分级要紧是从信息和信息系统的业务重要性及遭受破坏后的阻碍动身的,是系统从应用需求动身必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
个人投资者风险承受能力调查问卷 填写须知 1.以下问题可在您选择合适的产品前,协助评估您的风险承受能力、理财方式及投资目标。下文将投资者的风险承受能力大小由低到高依次划分为:保守型、谨慎型、稳健型、积极型、激进型。如果您放弃接受该问卷调查,您的风险等级默认为“保守型”。 2.您需认知、了解并同意,如您提供不准确及/或不完整的资料,及/或不提供特定资料,则可能对您投资风险承受能力的评估带来影响。 3.风险提示:投资需承担各类风险(如市场风险、信用风险、流动性风险等),可能遭受资金损失。 本人已经认真阅读了上述调查问卷填写须知,并决定: 1.接受问卷调查□ 2.放弃问卷调查□ 投资者风险承受能力调查问卷 Q1:您的年龄? ① 25到40岁()②40到50岁() ③50到60岁()④ 60岁以上() Q2:您计划投资多久? ① 3年以上()② 1至3年() ③ 6个月至1年()④半年以下() Q3:通过我行投资基金的规模,预计占您金融性总资产的比例为多少? ①低于30% ()② 30%至50%() ③ 50%至75%()④高于70% () Q4:以下哪项描述正确反映了您的投资经验? ①丰富(5年以上),且希望自主理财()②熟悉(3至5年),但希望专业人士协助() ③一般(1至3年),有一些理财意识()④非常有限,不具备投资经验() Q5:您感觉目前负担的经济压力? ①非常轻松,完全没有压力()②一般,基本没有压力() ③较大,但尚能承受()④很大,还贷等负担较重() Q6:您在投资时最看重的是什么? ①每年获得稳定收益,获得长期收益()②获得短期的高收益() ③在通货膨胀时资产不贬值()④保住本金() Q7:如果短期内您的投资遭受一些损失,您的心理状态是? ①习以为常,也许是跟进的好机会()②司空见惯,只当是积累经验,但不再追加投资() ③对情绪有一定影响,继续观望()④对情绪影响很大,想立即退出() Q8:以下哪项是您可接受的投资价值波动程度? ①投资成长并赚取最高回报潜力,能接受长期(3年以上)的负面波动,包括损失本金() ②寻求较高收益和成长性的最佳结合,愿意接受2-3年的负面波动,以使回报显著高于定期存款利息() ③保守投资,但可以接受低于2年的少许负面波动,以使回报显著高于定期存款利息() ④不希望投资本金承担风险,投资回报与定期存款利息持平即可() 通过对您问卷调查的综合评定,我行将您的风险等级评估为:__________ 投资者。 个人投资者确认:_________
信息安全等级保护与风险 评估 This model paper was revised by the Standardization Office on December 10, 2020
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安 全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发 的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。
风险等级确定标准表 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 控制效果等级评定使用如下控制效果等级确定标准: 控制效果等级确定标准表
备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 控制效果等级确定标准表 备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制
的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性
×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 感谢您的支持与配合,我们会努力把内容做得更好!
信息系统安全评测与风险评估试题及答案 Document number:BGCG-0857-BTDO-0089-2022
信息系统安全评测与风险评估试题 姓名分数 一:填空题(36分) 1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。 3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。 4.资产识别包括资产分类和()两个环节。 5.威胁的识别可以分为重点识别和() 6.脆弱性识别分为脆弱性发现()脆弱性验证和() 7.风险的三个要素是资产()和() 8.应急响应计划应包含准则,()预防和预警机制 ()()和附件6个基本要素。
二:问答题:(64分) 1.什么是安全域目前中国划分安全域的方法大致有哪些(10分) 2.数据安全评测是主要应用哪三种方法进行评测你如何理解(10 分) 3.国家标准中把主机评测分为哪八个环节你如何理解(10分)
4.什么是资产和资产价值什么是威胁和威胁识别什么是脆弱性(14 分) 5.什么是风险评估如何进行风险计算(20分)
答案 一:填空题答案: 1.科学精神工作作风 2.保密性备份 3.硬件人员信息载体和信息环境 4.资产赋值 5.全面识别 6.脆弱性分类脆弱性赋值 7.脆弱性威胁 8.角色及职责应急响应流程 二:问答题答案: 1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一 起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。 2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测 试”这三种方法进行评测。