4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核;
5. 组织制定危险源因素清单,并讨论生成风险评估报告落实重大隐患的整改措施,掌握具体活动开展的时间和进度。副组长职责:1. 组织危险辨识和风险评估的培训工作,指导各岗位人员进行危险源识别和风险评估活动;
2. 协调危险源辨识和风险评估工作所需的人力和物力支持,为落实风险控制措施提供必要的人力和物力支持;
3. 对职责范围内的物料、场所、活动、人员、机械设备进行危险源辨识和风险评估,并对其进行分级和动态管理。成员职责: 1. 配合项目部做好各岗位危险源辨识和风险评估的参与活动;
2. 具体实施危险源辨识和风险评估活动的各项步骤;
3. 负责收集整理各岗位工种危险源辨识和风险评估活动参与记录,并收集成册;
4. 展开培训,提高员工风险辨识能力,使其风险辨识意识具有主动性和前瞻性;
5. 做好隐患整改、变更、正常活动的风险辨识的动态管理;
6. 负责将危险源清单及各控制措施、管理方案告知员工,并与员工进行广泛沟通。
三、编制依据:
《中华人民共和国安全生产法》《重大危险源辩识》
《安全生产管理培训办法》《企业职工伤亡事故分类》
《铁路工程基本作业施工安全技术规程》《建筑施工工具式脚手架安全技术规范》
《铁路桥涵工程施工安全技术规程》《建筑施工模板安全技术规范》
《铁路营业线施工安全管理办法》《建筑施工高处作业安全技术规范》
《铁路工务安全规则》《施工现场临时用电安全技术规范》
《铁路技术管理规程》《高温作业分级》
《建筑机械使用安全技术规程》《高处作业分级》
精选范本
等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 B、风险评估 基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信
编制说明 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、操作规程、安全技术措施等相关信息,从神华集团神朔铁路分公司K174+800~K178+200技术改造工程基本建设项目特点及工程安全生产事故发生机理着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识。 一、工程概况: 本段技术改造工程线路平面从神朔线三岔站东端K174+800引出,与既有上行线保持5m线间距并行向东,而后用半径为1000m的曲线左转并设中桥一座(16m+20m+16m)上跨209国道,同时通过第一个1000m半径曲线后,线间距由站端的5m逐渐拉大到15m,而后线路保持与既有上行线15m间距东行,于DK176+310处设二道河中桥(3-32m)上跨二道河,过二道河后线路用一半径为2000m的曲线左转,线间距由15m渐变为4m,接入既有下行线DK178+200处,新建下行线长,比既有上行线长。 本标段总投资约元人民币。 二、风险评估小组: 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立档案和管理台帐。 组长:项目经理 副组长:副经理兼安全总监、总工程师、安质部长 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人员 组长职责:1. 全面负责本项目施工危险源辨识和风险评估工作; 2. 依据体系规定的风险评估方法,定期进行风险评估; 3. 组织风险评估小组评估重大风险,确定风险控制措施; 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核;
等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
3.7.1.1中[A]高危患者入院时跌倒坠床的风险评估率≥95% 2013年第一季度美罗湾医院护理风险评估率统计一览表 科室年月防跌倒、坠床(人次)防压疮(人次)防导管脱落(人次) 应评人数实评人数评估率应评人数实评人数评估率应评人数实评人数评估率内一科2013.01 0 0 0 0 内二科2013.01 1 1 0 0 0 0 外科2013.01 0 0 0 0 0 0 0 内一科2013.02 0 0 0 0 内二科2013.02 1 0 0 0 0 外科2013.02 0 0 0 0 0 0 内一科2013.03 0 0 0 0 内二科2013.03 0 0 0 0 0 0 0 外科2013.03 0 0 0 0 0 0 0 第一季度小结 总结分析持续改进记录: 2013年第一季度,全院护理风险评估率达到%,符合要求,但检查中也有很多评估,告知方面的问题,现总结如下:问题:1.普遍存在护士为患者记录防跌倒、坠床监管记录不及时现象。 分析原因:护士工作不细致,没有按要求巡视,并记录。 整改措施:1.加强护士护理安全风险评估意识的培养。 2.护士长加强科内日常监管工作,护理部加强抽检和日常督导检查工作。 分析评价记录人:2013.04
3.7.1.1中[A]高危患者入院时跌倒坠床的风险评估率≥95% 2013年第二季度美罗湾医院护理风险评估率统计一览表 科室年月防跌倒、坠床(人次)防压疮(人次)防导管脱落(人次) 应评人数实评人数评估率应评人数实评人数评估率应评人数实评人数评估率内一科2013.04 0 0 0 0 内二科2013.04 1 1 0 0 0 0 外科2013.04 0 0 0 0 0 0 内一科2013.05 0 0 0 0 内二科2013.05 1 0 0 0 0 外科2013.05 1 1 0 1 1 内一科2013.06 0 0 0 0 内二科2013.06 0 0 1 1 100% 0 0 外科2013.06 5 5 0 0 1 1 第二季度小结 1 1 100% 总结分析持续改进记录: 2013年第二季度,全院护理风险评估率达到100%,符合要求,但检查中也存在不足。 问题:1.评估不及时现象时有发生,护理部要求患者入院24小时完成,但仍存在入院24小时之后补记的现象。 2.评估后护理项目告知项目不全或漏项,容易造成患者家属不知情,造成纠纷。 分析原因:1.跌倒坠床评估单有漏签名现象。2.护士再次评估有评估不及时,评估不细致的现象。 整改措施:1.加强护士护理安全风险评估意识的培养。 2.护士长加强科内日常监管工作,护理部加强抽检和日常督导检查工作。 分析评价记录人:2013.07
新产品开发中的风险评估 新产品开发是一个复杂的、动态的、连续的过程,其中涉及到大量的信息收集、分析、筛选及传递,各种模式方案的选择与确定,各种要素资源的投入与配置,新产品生产及营销战略制定等一系列的工作.这些工作都不同程度地存在不确定性,从而导致企业新产品开发风险的发生。因此,要成功进行新产品开发,就必须加强对新产品开发中的风险分析与评估。 风险辩识。对企业新产品开发风险评估,首先必须找出可能影响新产品开发成功的风险因素,研究各种风险因素会对新产品开发造成什么样的后果,该阶段一般被称为风险辩识,是进行任何风险评估的前提和基础。企业新产品开发中的风险评估主要包括以下风险因素:技术风险。指企业在新产品开发过程中,因技术因素导致新产品开发失败的可能性。技术风险大小由下列因素决定:技术成功的不确定性;技术前景的不确定性;技术效果的不确定性;技术寿命的不确定性。 市场风险。指新产品的相对竞争优势的不确定性,市场接受的时间、市场寿命及市场开发所需资源投入强度等难以确定,而导致新产品开发失败的可能性。新产品开发出来以后,价格往往较贵,同时人们对新产品的质量、性能及其稳定性往往要观望一段时间,或等别人使用后再购买,这就阻碍了新产品快速渗透并占领市场。若新产品不能在短时间内占领市场,则很可能失败夭折。因为若这项技术也被竞争对手看中,他们很可能模仿并加以改进,在短时间内追赶上来,且其产品更具优势。这时,刚刚被引导出来的市场,很可能被竞争对手占领。 资金风险。指因资金不能适时供应而导致新产品开发失败的可能性。若不能及时供应资金,会使新产品开发活动停顿,其技术价值随着时间的推移不断贬值,甚至被后来的竞争对手超越,初始投入也就付之东流。此外通货膨胀也会引起资金风险。 环境风险。指新产品开发由于所处的社会环境、政策环境、法律环境等变化或由于自然灾害而造成新产品开发失败的可能性。因此,新产品开发,必须重视环境风险的分析和预测,采取有效的对策和措施,把环境风险减少到最小限度。 生产风险。指在新产品开发过程中,由于生产系统中的有关因素及其变化的不确定性而导致新产品开发失败的可能性。如难以实现大批量生产、生产周期过长、工艺不合理、设备和仪器损坏、检测手段落后、产品质量难以保证、可靠性差、供应系统无法满足批量生产的要求等。 管理风险。指在新产品开发过程中,由于管理失误而导致新产品开发失败的可能性。如组织协调不力、其他部门配合不好、高层领导关注不够、调研不充分、市场信息失真、市场定位不准、营销组合失误、风险决策机制不健全、研发过程不协调等。
新产品风险评估控制程序 1. 目的 为保证产品质量体系有效运行,识别产品危险源的因素,以实施有效控制。 2. 适用范围 适用于本公司所有的产品设计和生产过程实现所有活动的危害源的识别、控制。 3. 定义 3.1产品安全风险:可能导致产品存在重大的安全风险从而给公司和客户的财产损失造成严重的损失和给消费者造成严重的人身伤害。 3.2风险:某一特定情况发生的可能性和后果的组合。 4. 职责 4.1 管理者代表负责提供重大风险控制的资源以及产品安全识别、评价的组织领导工作, 并确认和批准; 4.2 技术研发部负责产品风险的识别和控制方案的制定; 4.3 各生产部门负责具体活动信息收集和风险控制方案的实施; 5. 工作程序和控制要点 5.1产品风险评估分为产品生产过程风险评估和产品设计风险评估; 5.2评估人员 产品风险评估由技术研发部牵头项目工程师、技术经理、品管经理及相关人员进行;参加风险评估人员进行相关风险评估专业知识的培训和对相关开发产品性能、结构、质量要求、生产工艺等熟悉,才能胜任。 5.3风险评估时机 设计风险评估在产品开发项目确立、设计开发前进行,生产过程风险评估在产品开发完成、批量试生产前进行;
5.4评估方法 5.4.1风险识别(风险严重度) 5.4.1.1根据产品的部件组成和功能、过程特点和作用等,分析可能产生的产品、过程的潜在失效模式和失效后果; 5.4.1.2通常失效分为两大类:一、不能完成规定的功能;二、产生了有害的非期望功能;并站在顾客或品质控制的角度来发现或经历的情况描述失效的后果,再通过严重度数表打分形式来判断风险失效的严重程度和确定产品关键、重要等风险分类; 5.4.2失效原因分析(风险发生率)列出失效模式下所有想象可能的失效产生原因,注意有时一个失效模式有多种原因造成,并通过风险发生机率表打分形式来判断每个风险失效原因可能产生的频率; 5.4.3设计控制方法(探测难度) 针对每个产品设计和过程的失效原因分析,现行设计此类问题时所采取的具体措施,以防止失效发生或减少失效发生的频次;并针对每个产品设计和过程的失效原因,现行确定使用的测试手段和方法的检测;再通过探测难度数表打分形式来判断风险失效由设计或过程控制可探测的可能性; 5.4.4失效模式及后果分析风险顺序数(PRN)风险顺序数RPN是对设计或过程风险的度量,RPN=S*O*D,应关注RPN较高的项目;当RPN相近的情况下,应先考虑S大的失效模式,以及S和D都较大的失效模式;当RPN值很高(>64)时设计人员必须采取纠正措施,同时S ≥8时也需要特别关注; 5.4.5 改进措施(改进后的风险顺序数)失效模式风险评估的结果就是是否采取措施、采取哪些措施和采取措施的结果是否降低的产品或过程的风险度,采取措施的目的就是降低潜在失效风险,即降低风险失效模式的严重度S、频率O、探测度D。根据风险顺序数(RPN)提出建议采取措施以减少RPN,并确立专人和具体时限完成,对采取措施后的风险顺序数再次进行计算,以验证采取的措施是否有效、RPN值是否降低。 5.5评审结果 根据产品评审的结果确定产品所需的测试和重要、关键生产控制岗位,进行重点控制和测试。
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 1)识别组织面临的各种风险; 2)评估风险概率和可能带来的负面影响;
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 ............................................... 错误!未定义书签。 1.1工程项目概况......................................................... 错误!未定义书签。 1.1.1 建设项目基本信息............................................ 错误!未定义书签。 1.1.2 建设单位基本信息............................................ 错误!未定义书签。 1.1.3承建单位基本信息 ........................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。 二、风险评估活动概述 ............................................... 错误!未定义书签。 2.1风险评估工作组织管理 ......................................... 错误!未定义书签。 2.2风险评估工作过程................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。 2.4保障与限制条件..................................................... 错误!未定义书签。 三、评估对象 .............................................................. 错误!未定义书签。 3.1评估对象构成与定级 ............................................. 错误!未定义书签。 3.1.1 网络结构 ........................................................... 错误!未定义书签。 3.1.2 业务应用 ........................................................... 错误!未定义书签。 3.1.3 子系统构成及定级............................................ 错误!未定义书签。 3.2评估对象等级保护措施 ......................................... 错误!未定义书签。 3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。 3.2.2子系统N的等级保护措施............................... 错误!未定义书签。
实用文档编制说 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、作规程、安全技术措施等相关信息,从神华集团神朔铁路分公K174+80K178+20技术改造工程基本建设项目特点及工程安全生产事故发生机着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识 一工程概况 本段技术改造工程线路平面从神朔线三岔站东K174+80引出,与既有上行线保5线间距并行向东,而后用半径1000的曲线左转并设桥一座16m+20m+16)上20国道,同时通过第一1000半径曲线后,线间距由站端5逐渐拉大15m而后线路保持与既有上行15距东行,DK176+31处设二道河中桥3-32)上跨二道河,过二道河后线路用一半径2000的曲线左转,线间距15渐变4,接入既有行DK178+20处,新建下行线3405.42,比既有上行线5.42 本标段总投资4742900元人民币 二风险评估小组 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立案和管理台帐组长:项目经 副组长:副经理兼安全总监、总工程师、安质部 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人 组长职责1.全面负责本项目施工危险源辨识和风险评估工作 2.依据体系规定的风险评估方法,定期进行风险评估 3.组织风险评估小组评估重大风险,确定风险控制措施 . 实用文档 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核; 5. 组织制定危险源因素清单,并讨论生成风险评估报告落实重大隐患的整改措施,掌握具体活动开展的时间和进度。 副组长职责:1. 组织危险辨识和风险评估的培训工作,指导各岗位人员进行危险源识别和风险评估活动; 2. 协调危险源辨识和风险评估工作所需的人力和物力支持,为落实风险控制措施提供必要的人力和物力支持; 3. 对职责范围内的物料、场所、活动、人员、机械设备进行危险源辨识和风险评估,并对其进行分级和动态管理。 成员职责: 1. 配合项目部做好各岗位危险源辨识和风险评估的参与活动; 2. 具体实施危险源辨识和风险评估活动的各项步骤; 3. 负责收集整理各岗位工种危险源辨识和风险评估活动参与记录,并收集成册; 4. 展开培训,提高员工风险辨识能力,使其风险辨识意识具有主动性和前瞻性;
危险源识别、评价和预控一览表 工程名称: 北京市*************涉及电力工程工程(L1线、L3线) 注:1、判别依据:Ⅰ、不符合法律、法规及其他要求;Ⅱ、曾发生事故,仍未采取有效措施;Ⅲ、相关方合理要求; Ⅳ、直接观察到的危险;Ⅴ、作业条件危险性评价法(LEC法)。
要注意;<20(1级危险),可以接受。 3、控制措施包括:培训;施工组织设计、施工方案;安全、技术交底;监督、指挥、检查;规程、规范、标准、管理制度;管理方案等。 危险源识别、评价和预控一览表 Ⅳ、直接观察到的危险;Ⅴ、作业条件危险性评价法(LEC法)。
要注意;<20(1级危险),可以接受。 3、控制措施包括:培训;施工组织设计、施工方案;安全、技术交底;监督、指挥、检查;规程、规范、标准、管理制度;管理方案等。 危险源识别、评价和预控一览表 注:1、判别依据:Ⅰ、不符合法律、法规及其他要求;Ⅱ、曾发生事故,仍未采取有效措施;Ⅲ、相关方合理要求; Ⅳ、直接观察到的危险;Ⅴ、作业条件危险性评价法(LEC法)。
要注意;<20(1级危险),可以接受。 3、控制措施包括:培训;施工组织设计、施工方案;安全、技术交底;监督、指挥、检查;规程、规范、标准、管理制度;管理方案等。 危险源识别、评价和预控一览表 Ⅳ、直接观察到的危险;Ⅴ、作业条件危险性评价法(LEC法)。
要注意;<20(1级危险),可以接受。 3、控制措施包括:培训;施工组织设计、施工方案;安全、技术交底;监督、指挥、检查;规程、规范、标准、管理制度;管理方案等。 危险源识别、评价和预控一览表 工程名称: 北京市*************涉及电力工程工程(L1线、L3线)
1等级保护FAQ3 什么是等级保护、有什么用?3 信息安全等级保护制度的意义与作用?3 等级保护与分级保护各分为几个等级,对应关系是什么?3 等级保护的重要信息系统(8+2)有哪些?4 等级保护的主管部门是谁?4 国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 等级保护的政策依据是哪个文件?4 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 等级保护是否是强制性的,可以不做吗?5 等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 哪些单位可以做等级保护的测评?6 做了等级测评之后,是否会给发合格证书?6 是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6等级保护检查的责任单位是谁?7 2分级保护FAQ7 分级保护是什么?7 分级保护的主管部门是谁?7 分级保护定级到哪里备案?7 分级保护的政策依据是哪个文件?7 分级保护与等级保护的适用对象分别是什么?7 分级保护有关信息安全的标准相互关系是什么?8 分级保护与等级保护的定级依据有何区别?8 分级保护的建设依据、方案设计、测评分别依据哪些标准?8 分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 分级保护系统测评的作用是什么,是否必须做?9 哪些单位可以做分级保护的测评,有什么资质要求?9 分级保护对涉密系统中使用的安全保密产品有哪些要求?9 涉密系统分级保护多长时间需进行一次安全保密检查?9
各级保密局与各单位保密办的关系是什么?10 分级保护的系统集成对厂商的资质有什么要求?10 分级保护的安全建设是否必须监理,对监理资质有什么要求?10 分级保护的哪些具体工作对厂商有单项资质的要求?10 3综合问题11 等保与分保的本质区别是什么?11 等保与分保各有几种级别?11 等级保护/分级保护什么区别哪些部门在管理,怎么做?11 企业出现泄密事件上报那些单位?11 等保定级备案是依据单位还是系统?12 风险评估和等级保护的关系?12 方案设计阶段及实施前是否需要报批?12 对于等保中产品使用及密码产品是否有要求?12 等级保护/分级保护FAQ 1 等级保护FAQ 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年6 6号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
XXXXXX阀门制造有限公司 产品风险评估表 页码:共3 页第1 页XXX/R-162-01 合同编号产品名称型号规格交货期 评估小组 审批(日期)质保部技术部生产部 人力行政 部 供配部销售部 序号风险识 别和评 估范围 责任部 门 措施前 主要因素表现重大和一般风险采取的措施 执行 情况 措施后发生 频率 (A) 产生 后果 (B) 危害 等级 (C) 发生 频率 (A) 产生 后果 (B) 危害 等级 (C) 1 产品交 付 供配部 4 20 80 重大 1.供方设备能力,检测能力和质 保体系能力工艺合理性 2.交货及时性 1.尽可能选择有资质的供方,对特殊过 程的供方应提供相应工艺评定和检 测试验设备检定证书,人员资格证书 和及时更新 2.每月统计供方交付业绩 已执 行 2 10 20 略微技术部 3 20 60 一般 1.图纸和工艺文件到位 2.材料可采购性 3.设计失效 1.尽可能使用绘图软件和采用比较成 熟的工艺方法 2.在设计中尽可能的选择常用的材料 3.要求对产品设计进行风险评估 1 10 10 稍微生产部 4 20 80 重大 1.生产设备加工能力和完成特 殊工序能力 2.操作和维护保养规程 3.生产过程中突发事件(设备重 大故障,材料批量不合格,加 工批量不合格等) 1.当加工和完成特殊工序能力不足时, 按照外协控制程序执行; 2.制定关键设备的操作规程和维护保 养规定和做好保养记录 3.制定突发事件应急措施 1 10 10 稍微质保部 3 20 60 一般 试验设备精度,测试范围能力 当检验和试验和理化试验能力不足时,可 采购和及时检定,或按照外协控制程序控 制 1 10 10 稍微市场部 3 10 30 一般 1.交付前的沟通 2.产品运输 1.当出现交付延期,应及时与客户沟通 2.及时联系运输公司安排装运
****有限公司风险评估分析表 序号部门风险项目风险描述 风险评估 风险控制目标 应对的基本措施 可能性(频 率) 损失影响 程度 回 避 降 低 分 担 承 受 小中大低中高 1 计划物流部 采购价格的风险 因供应商市场价格波动,判断失误,询价方法不 当导致采购价格偏高,存货不足、库存积压等损 失 采购计划的风险 因需求数量计划失误,导致断货、库存积压或采 购成本增加,因库存量过大,导致资金占用生产 过程中断。 采购质量的风险 因供应商选择失误或验收把关失误,导致采购件 不能正常使用。 采购材料中断风险 因供应商原因、运输原因到货不及时导致供应中 断影响生产。 发货安全风险 因填写单据时人员信息填写错误,发货过程中的 运输、包装出现的安全风险 2 生产部生产计划失误风险生产计划失误造成缺货或库存积压的风险设备故障风险 因设备故障或因设备选型与生产工艺不符,造成 资源浪费、费用增加; 停电风险因外部原因停电导致生产中断,不能按期交付 安全问题媒体风险 因发生安全事故或其它公共安全事件被媒体曝 光产生负面影响 生产安全风险 因生产操作不当、设备使用不正确出现的漏洞使 员工人身安全受到威胁,发生事故造成财产损失 和人身伤亡。 财产丢失和损坏的 风险 因发生财产被盗或管理不当发生丢失和损坏不 能按期投产交付 生产管理体制风险管理层的决策能力、管理能力导致决策失误 *****有限公司风险评估分析表
序号部门风险项目风险描述 风险评估 风险控制目标 应对的基本措施 可能性(频 率) 损失影响 程度 回 避 降 低 分 担 承 受 小中大低中高 3 质量保证部 原材料质量风险 因验收标准偏差或把关失误,造成成品批量质量 事故或才、造成对市场的恶劣影响生产控制风险 因产品包装标识不清或错误、缺货、烂袋、破 损导致的质量问题 外协质量风险 因原材料厂家没有检测报告或报告不真实生产 使用造成产品不合格。 计量器具风险 因计量器具失效、漏检或检验员检验失误出具不 合格的检验报告对检验结果不准导致出现不合 格的产品 原材料紧急放行、特 许放行使用的风险 因原材料检验不合格而特许放行使用或检验结 果未出紧急放行使用,造成产品品质不合格 产成品特许放行的 风险 因检验不合格而特许放行,造成不合格成品交付 使用 工艺编制失误的风 险 因工艺设计、工艺维护出现失误以及设备出现偏 差造成批次成品偏差或严重偏差 4 综合部驾驶员安全风险 因司机无证驾驶、酒后驾驶、疲劳驾驶违规行驶 等原因造成交通事故 接待工作风险 日常接待中的工作失误造成对公司整体形象的 不良影响。 印章管理风险 因缺乏印章管理和使用权限制度,造成错用等风 险 机密泄露风险 因人为或控制措施失误,公司重要商业机密或技 术机密外泄,给公司带来较大损失 *****有限公司风险评估分析表
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
3.7.1.1 中[ A] 高危患者入院时 险评 估率≥95% 床的风 跌倒坠 一 览 表 估率统 计 2013年第一季度美罗 湾医院护 理风 险评 管脱落(人次) 疮(人次)防导 科室年月防跌倒、坠床(人次)防压 评人数实 评人数评 估率 估率应 人数实评人数评 评人数评 估率应 应评 评人数实 内一科2013.01 0 0 0 0 内二科2013.01 1 1 0 0 0 0 外科2013.01 0 0 0 0 0 0 0 内一科2013.02 0 0 0 0 内二科2013.02 1 0 0 0 0 外科2013.02 0 0 0 0 0 0 内一科2013.03 0 0 0 0 内二科2013.03 0 0 0 0 0 0 0 外科2013.03 0 0 0 0 0 0 0 第一季度小结 记录 改进 : 总结 分析持续 , 现 总结 题 如下: 估率达到%,符合要求,但检查中也有很多评估,告知方面的问 理风 2013年第一季度,全院护 险评 管记 录不及时 现象。 床监 患者记 问题 录防跌倒、坠 :1.普遍存在护 士为 。 录 分析原因:护士工作不细 致,没有按要求巡视,并记 估意识的培养。 理安全风 险评 护 整改措施:1.加强 士 抽检 工作。 理部加强 和日常督导检查 加强 管工作,护 士长 2.护 科内日常监 录人:2013.04 分析评 价记
3.7.1.1 中[ A] 高危患者入院时 险评 估率≥95% 床的风 跌倒坠 一 览 表 估率统 计 2013年第二季度美罗 湾医院护 理风 险评 管脱落(人次) 疮(人次)防导 科室年月防跌倒、坠床(人次)防压 估率应 评人数实 评人数评 评人数评 估率 评人数实 人数实评人数评 应评 估率应 内一科2013.04 0 0 0 0 内二科2013.04 1 1 0 0 0 0 外科2013.04 0 0 0 0 0 0 内一科2013.05 0 0 0 0 内二科2013.05 1 0 0 0 0 外科2013.05 1 1 0 1 1 内一科2013.06 0 0 0 0 内二科2013.06 0 0 1 1 100% 0 0 外科2013.06 5 5 0 0 1 1 第二季度小结1 1 100% : 记录 总结 改进 分析持续 估率达到100%,符合要求,但检查中也存在不足。 险评 2013年第二季度,全院护理风 之后补 完成,但仍存在入院24 小时 记 象。 现 的 理部要求患者入院24 小时 现 问题 生,护 :1.评 估不及时 有发 时 象 纷 。 目不全或漏项,容易造成患者家属不知情,造成纠 理项 目告知项 估后护 2.评 估不及时 ,评 致的现象。 士再次评 估不细 估有评 分析原因:1.跌倒坠 象。 2.护 床评 估单 名现 有漏签 险评 理安全风 估意识的培养。 士 整改措施:1.加强 护 理部加强 抽检 工作。 和日常督导检查 管工作,护 科内日常监 士长 2.护 加强 录人:2013.07 分析评 价记
附件: 信息系统 信息安全风险评估报告格式项目名称: 项目建设单位: 风险评估单位: 年月日 目录
一、风险评估项目概述工程项目概况 1.1.1 建设项目基本信息 1.1.2 建设单位基本信息 工程建设牵头部门 1.1.3承建单位基本信息
风险评估实施单位基本情况 二、风险评估活动概述 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 风险评估工作过程 工作阶段及具体工作内容. 依据的技术标准及相关法规文件 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象 评估对象构成与定级 3.1.1 网络结构 文字描述网络构成情况、分区情况、主要功能等,提供网络拓扑图。 3.1.2 业务应用 文字描述评估对象所承载的业务,及其重要性。 3.1.3 子系统构成及定级 描述各子系统构成。根据安全等级保护定级备案结果,填写各子系统的安全保护等级定级情况表: 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 3.2.2子系统N的等级保护措施 四、资产识别与分析 资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
附件: 信息系统 信息安全风险评估报告格式 项目名称:__________________________________________ 项目建设单位:______________________________________ 风险评估单位:______________________________________ 年月曰 目录 一、风险评估项目概述 ........................ 1.1工程项目概况............................ 1.1.1建设项目基本信息....................... 1.1.2建设单位基本信息 (1) 1.1.3承建单位基本信息....................... 1.2风险评估实施单位基本情况..................... 二、风险评估活动概述 ........................ 2.1风险评估工作组织管理....................... 2.2风险评估工作过程......................... 2.3依据的技术标准及相关法规文件................... 2.4保障与限制条件...........................
三、评估对象 ............................. 3.1评估对象构成与定级....................... 3.1.1网络结构............................ 3.1.2业务应用............................ 3.1.3子系统构成及定级........................ 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施................... 3.2.2子系统N的等级保护措施 .................. 四、资产识别与分析 (4) 4.1资产类型与赋值........................... 4.1.1资产类型............................ 4.1.2资产赋值............................ 4.2关键资产说明........................... 五、威胁识别与分析 ......................... 5.1威胁数据采集............................ 5.2威胁描述与分析.......................... 5.2.1威胁源分析............................ 5.2.2威胁行为分析......................... 5.2.3威胁能量分析................ 错误!未定义书签。 5.3威胁赋值.............................. 六、脆弱性识别与分析 ........................