信息安全风险评估报告格式

附件：

信息安全风险评估报告格式

项目名称：

项目建设单位：

风险评估单位：

年月日

目录

一、风险评估项目概述 (1)

1.1工程项目概况 (1)

1.1.1 建设项目基本信息 (1)

1.1.2 建设单位基本信息 (1)

1.1.3承建单位基本信息 (2)

1.2风险评估实施单位基本情况 (2)

二、风险评估活动概述 (2)

2.1风险评估工作组织管理 (2)

2.2风险评估工作过程 (2)

2.3依据的技术标准及相关法规文件 (2)

2.4保障与限制条件 (3)

三、评估对象 (3)

3.1评估对象构成与定级 (3)

3.1.1 网络结构 (3)

3.1.2 业务应用 (3)

3.1.3 子系统构成及定级 (3)

3.2评估对象等级保护措施 (3)

3.2.1XX子系统的等级保护措施 (3)

3.2.2子系统N的等级保护措施 (3)

四、资产识别与分析 (4)

4.1资产类型与赋值 (4)

4.1.1资产类型 (4)

4.1.2资产赋值 (4)

4.2关键资产说明 (4)

五、威胁识别与分析 (4)

5.2威胁描述与分析 (5)

5.2.1 威胁源分析 (5)

5.2.2 威胁行为分析 (5)

5.2.3 威胁能量分析 (5)

5.3威胁赋值 (5)

六、脆弱性识别与分析 (5)

6.1常规脆弱性描述 (5)

6.1.1 管理脆弱性 (5)

6.1.2 网络脆弱性 (5)

6.1.3系统脆弱性 (5)

6.1.4应用脆弱性 (5)

6.1.5数据处理和存储脆弱性 (6)

6.1.6运行维护脆弱性 (6)

6.1.7灾备与应急响应脆弱性 (6)

6.1.8物理脆弱性 (6)

6.2脆弱性专项检测 (6)

6.2.1木马病毒专项检查 (6)

6.2.2渗透与攻击性专项测试 (6)

6.2.3关键设备安全性专项测试 (6)

6.2.4设备采购和维保服务专项检测 (6)

6.2.5其他专项检测 (6)

6.2.6安全保护效果综合验证 (6)

6.3脆弱性综合列表 (6)

七、风险分析 (6)

7.1关键资产的风险计算结果 (6)

7.2关键资产的风险等级 (7)

7.2.1 风险等级列表 (7)

7.2.3 基于脆弱性的风险排名 (7)

7.2.4 风险结果分析 (7)

八、综合分析与评价 (7)

九、整改意见 (7)

附件1：管理措施表 (8)

附件2：技术措施表 (9)

附件3：资产类型与赋值表 (11)

附件4：威胁赋值表 (11)

附件5：脆弱性分析赋值表 (12)

一、风险评估项目概述

1.1 工程项目概况

1.1.1 建设项目基本信息

1.1.2 建设单位基本信息

1.1.3承建单位基本信息

1.2 风险评估实施单位基本情况

二、风险评估活动概述

2.1 风险评估工作组织管理

描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2 风险评估工作过程

工作阶段及具体工作内容.

2.3 依据的技术标准及相关法规文件

2.4 保障与限制条件

需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。

三、评估对象

3.1 评估对象构成与定级

3.1.1 网络结构

文字描述网络构成情况、分区情况、主要功能等，提供网络拓扑图。

3.1.2 业务应用

文字描述评估对象所承载的业务，及其重要性。

3.1.3 子系统构成及定级

描述各子系统构成。根据安全等级保护定级备案结果，填写各子系统的安全保护等级定级情况表：

3.2 评估对象等级保护措施

按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。

根据需要，以下子目录按照子系统重复。

3.2.1XX子系统的等级保护措施

根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。

根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。

3.2.2子系统N的等级保护措施

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

填写《资产赋值表》。

资产赋值表

4.2 关键资产说明

在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：

五、威胁识别与分析

对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性，威胁主体的能力水平等进行列表分析。

5.1 威胁数据采集

5.2 威胁描述与分析

依据《威胁赋值表》，对资产进行威胁源和威胁行为分析。

5.2.1 威胁源分析

填写《威胁源分析表》。

5.2.2 威胁行为分析

填写《威胁行为分析表》。

5.2.3 威胁能量分析

5.3 威胁赋值

填写《威胁赋值表》。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。

6.1 常规脆弱性描述

6.1.1 管理脆弱性

6.1.2 网络脆弱性

6.1.3系统脆弱性

6.1.4应用脆弱性

6.1.5数据处理和存储脆弱性

6.1.6运行维护脆弱性

6.1.7灾备与应急响应脆弱性

6.1.8物理脆弱性

6.2脆弱性专项检测

6.2.1木马病毒专项检查

6.2.2渗透与攻击性专项测试

6.2.3关键设备安全性专项测试

6.2.4设备采购和维保服务专项检测

6.2.5其他专项检测

包括：电磁辐射、卫星通信、光缆通信等。

6.2.6安全保护效果综合验证

6.3 脆弱性综合列表

填写《脆弱性分析赋值表》。

七、风险分析

7.1 关键资产的风险计算结果

填写《风险列表》

风险列表

7.2 关键资产的风险等级

7.2.1 风险等级列表

填写《风险等级表》

7.2.2 风险等级统计

7.2.3 基于脆弱性的风险排名

7.2.4 风险结果分析

八、综合分析与评价

九、整改意见

附件1：管理措施表

附件2：技术措施表

附件3：资产类型与赋值表

针对每一个系统或子系统，单独建表

附件4：威胁赋值表

11

附件5：脆弱性分析赋值表

12

13

14

风险评估报告模板

企业改制稳定风险评估报告 一、企业基本情况 安阳市***有限公司的前身是***公司，组建于1965年9月，。40多年来，为安阳的建设作出了较大的贡献。随着市场经济的发展，原企业市场竞争力逐步下降，企业的包袱越来越重，存在的问题和矛盾越来越突出。企业逐年亏损，累计亏损达5000万元，从1995年以来停产至今。 （一）企业资产、负债、所有者权益情况 截止2003年6月30日止，经资产评估企业总资产为万元（其中：待处理财产损失万元），负债万元，扣除待处理财产损失后净资产为万元。 （二）企业职工情况 职工总人数3988名。其中：1、截止2003年12月31日，

离退休人员1972名，其中退休1966名，离休6名。2、2004年1月1日至2008年12月31日将达到退休年龄的职工256名。3、其他在册职工1760名，其中：工伤人员9名。4、有275名死亡职工供养直系亲属315人。 （三）企业改制基本情况 1、按市委、市政府的要求和市规划和建设局的安排部署，自2003年初启动了进一步深化企业改革工作。在清产核资的基础上进行资产评估，同年7月根据市企改办、市建设局的安排，由河南中联资产评估有限公司对该公司的资产作了全面评估，2004年6月12日评估结束，并以中联评报字（2004）53号文出具了资产评估报告书。 2、严格规范改制程序。2004年6月初在得到大多数职工支持和广泛听取职工意见的基础上，拟定了安阳市***有限公司的改

革方案，提交于2004年6月22日召开的第七届职工代表大会讨论，得到了全体职工代表的一致认可，大会应到职工代表94人，实到代表81人，并全票通过。公司于2004年6月24日上报市规划和建设局，经主管部门审核同意后转报市政府国企改革领导小组审批，6月30日通过并以安企改组〔2004〕20号文件批复。同意安阳市***有限公司整体改制，原则同意安阳市***有限公司深化企业改革实施方案和资产（债权）、债务处置方案以及职工安置方案，并按安委发〔2002〕18号、安委办〔2003〕13号、安企改组〔2004〕8号文精神实施企业改制，按政策规定一次性解除职工的国有身份，妥善安置职工后，由解除劳动关系的职工自愿出资认股重新组建民营企业。 （四）实施改制方案的基本情况 依法依规做好职工安置。截止2006年3月31日，离退休人

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

风险评估报告格式要求

中国石化境外项目 公共安全风险评估报告内容与格式 一、公共安全风险评估报告内容 1.项目基本情况 （1）业主和甲方情况； （2）项目所在地理位置，应附项目办公地、营地、施工现场位置图； （3）招投标情况，包括主要业务量、项目预计起止时间、预计使用人员及大约金额； （4）其他情况。 2.项目所在国（地区）安全形势 （1）所在国政治、经济、宗教、民族和社会问题基本情况； （2）与周边国家的关系； （3）所在国反政府武装、恐怖组织活动情况； （4）有组织犯罪情况和趋势，指暴力犯罪、抢劫、绑架等社会治安形势； （5）政府的控制力； （6）当地部落、社区情况； （7）自然灾害情况，如地震、山洪、台风、海啸等； （8）交通安全状况，如航空、车辆、海上运输等； （9）流行疾病和医疗水平；

（10）以往项目实施的安全状况； （11）其他。 3.项目所在地及周边的安全形势 （1）当地安全局势； （2）当地反政府武装、恐怖组织活动情况； （3）以往发生的重大安全事件； （4）政府对当地的控制力，包括项目附近军警部署情况及军警作战能力； （5）业主和甲方对该地区的分析及采取的安保措施； （6）当地公共卫生状况； （7）当地雇员和社区关系； （8）其他公司情况； （9）使馆评价； （10）其他。 4.拟采取的安全制度和安全措施 （1）公共安全体制机制建立情况； （2）应急机制及应急预案；应急机制及应急预案应包括公共安全管理组织体系、营地管理、行程管理、车辆管理、公共安全培训、应急预案及演练计划、紧急撤离预案等。 （3）甲方提供的安全保卫措施； （4）我方的安全防护措施； （5）其他。 5.对项目所在国（地区）安全形势总体评价 6.附件：1.项目突发事件应急预案； 2.其他内容。

信息安全系统风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的性问题提出要求，对安全的评估只限于性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。

银行风险评估报告

运行风险状况评估报告 分行运行管理部： 按照总会计岗位职责要求，分理处对运行管理业务核算质量情况，业务运行质量及风险控制能力进行了评估，现将评估情况报告如下： 一、运行业务质量分析 （一）监督中心查询查复情况 监督中心下发的查询查复总计笔，均在规定的时限内核实后查复。其中交易真实性核实笔，错帐冲正业务笔。 （二）错帐冲正及反交易情况 本期差错内容多数是凭证审核及记账信息核对方面的问题。今后应针对存在的问题，认真做好风险分析工作；针对本行实际情况，组织学习培训活动，提高网点业务经办及主管人员的业务素质，减少错账冲正及反交易等风险事件的发生概率，防范风险事件的发生。 （三）本行日常检查情况 通过报表系统及业务运行风险管理系统的监测，会计科目使用、账户管理中不存在问题。不存在私设会计科目现象，不存在串用、错用会计科目现象。 经查我行能够正确使用表内、表外科目。1-2月份未开立表内、

表外户。核对内部对账，返传报表中上存备付金户、一般借款户余额与清算中心每日下发余额核对表逐日勾挑相符。 开立对公和个人结算帐户能够严格执行实名制和反洗钱制度要求，柜员对大额存取款业务能够按照反洗钱制度规定进行仔细甄别和确认，每日总会计登陆风险监控系统对大额交易、可疑交易进行甄别补录，无逾期数据。 二、执行制度及内控管理情况 （一）运行管理专业内控制度建设情况 通过对各项业务操作的现场监督检查情况分析，分理处在各项业务的开展上，基本上能够认真执行相关制度规定，严格按操作规程进行各项业务处理，无重大差错事故及经济案件发生。但在具体业务操作上，还存在一些问题。一是习惯代替制度、重营销轻核算的问题，存在不规范操作现象；二是个别柜员业务操作不细致的问题，特别是办理业务时对凭证内容与机内录入信息未进行认真审查核对，一直出现差错问题频次较多，在各级业务检查时总会出现这样或那样的问题，核算质量有待进一步提高。 （二）运行管理人员履职情况 经检查，分理处的营业经理能够做到按规定履行监督授权职责，在进行业务审核授权时无论多忙都能认真审核每一笔业务，切实履行事中监督授权、守关把口的职责。 各级管理人员应加强重要业务事项的检查，按照规定的频次

风险评估报告书模板

附件： 信息系统 信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位：

年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (4) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (5)

5.1威胁数据采集 (5) 5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (6) 6.1.1 管理脆弱性 (6) 6.1.2 网络脆弱性 (6) 6.1.3系统脆弱性 (6) 6.1.4应用脆弱性 (6) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (7) 7.1关键资产的风险计算结果 (7) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

农商银行年度合规风险评估报告

**农商银行**年度合规风险评估报告 **年，**农商银行以加快业务发展为主题，以落实各项制度为基础，以加强合规风险管理为重点，全行业务运行稳健，各项业务经营情况呈良性发展态势。现将我行**年度合规风险评估情况报告如下： 对 **个支行。共有员工**人，其中在岗**人、内退**人、退休**人、劳务派遣**人、工勤人员**人、实习生**人。各岗位能做到互相补充与监督，整体风险控制机制基本健全，风险控制能力较好。 二、主要业务指标 （一）各项存款。截止**月末，全行各项存款余额达 **亿

元，较年初净增**亿元，增幅**%，高于全市平均增幅 **个百分点，增幅居全市农商（合）银行机构第一位。 （二）各项贷款。**月末，全行各项贷款余额 **亿元，较年初净增**亿元，增幅** %，高于全市平均增幅 **个百分点，增幅排名全市农商（合）银行机构第三位。存贷占比为**%。 （三）到期贷款。**月末，全行**年当年到期贷款总额** 类行社，风险水平测评步入全省一流水平。①2005年以来新放贷款不良率控制在**%以下，不良贷款总比率控制在**%以下；②到期贷款收回率达到**%；③贷款向下迁徒率控制在**%以内；④贷款分类偏离度控制在**%指标内。 （八）尽职合规目标基本实现。一是尽职调查质量明显提高，违规问题明显减少，单项产品调查时限有效压缩；二是尽职审查

合规率达到**%，审查时限**%达标；三是限制性条款落实面达到**%；四是核准上帐执行面达到**%；五是贷后管理履职到位及贷后检查合规率达到**%；六是当年外部监管问题库整改率达到**%。 三、主要风险指标分析评价 （一）盈利能力分析。 ， 逾期90天以上贷款总额为**万元，与不良贷款差额为**万元，逾期90天以上贷款与不良贷款比例为**%，优于目标值**个百分点。 全行全部关联客户集中度为**%，单一客户贷款集中度为**%、单一行业贷款集中度为**%，均控制在目标值内。本行最大十家农户贷款余额**万元、占资本净额的**%，占全部贷款余额

风险评估报告(模板) (1)

XXX风险评估报告 单位领导： 根据财政部《行政事业单位内部控制规范（试行）》、《关于全面推进行政事业单位内部控制建设的指导意见》和我单位《内部控制实施工作方案》有关规定，我们组织开展了对我单位各科室的风险评估活动，现将结果报告如下： 一、风险评估活动组织情况 （一）工作机制 此次风险评估活动，是在我单位内部控制领导小组的领导下，由XXX科具体组织实施。为完成工作，经单位领导同意，XXX科从XXX 科、XXX科、XXX科抽调相关工作人员组成风险评估工作小组，专门从事此次风险评估活动。 （二）风险评估内容和范围 此次风险评估所涉及的业务范围分为：单位外部风险和单位内部风险。 1.单位外部风险 法律政策风险：对法律法规、国家政策理解不够，盲目实施。 经济风险：财力不足，无法满足在建项目、战略发展目标实施的需要。 社会风险：行政处理过程不规范、行政管理责任心不强。 自然灾害、环境状况等自然环境因素以及其他因素产生的风险。

2.单位内部风险 3.风险评估涉及的科室范围 主责部门：内部控制领导小组。 配合部门：XXX科、XXX科、XXX科、XXX科、XXX科等相关部门。（三）风险评估管理程序

1.风险评估程序 风险评估工作小组先研究制定了风险评估工作计划，明确风险评估的目标和任务；其次组织召开了由各科室负责人参加的动员会，对风险评估活动做出了动员和安排，设计并下发《风险评估与应对措施表》，要求各科室先行开展自查，查找风险点，研究整改措施，向风险评估工作小组汇报自查情况；再次，风险评估工作小组根据各科室的自查情况，选择关键科室和自查风险点少的科室进行重点检查，对其他科室也进行快速检查；最后，根据各科室自查情况和填写的《风险评估与应对措施表》工作底稿和收集到的其他资料，进行风险分析，组织编写风险评估报告。 2.风险评估方法 本次风险评估活动，采用了风险评估与应对措施清单法、文件审查、实地检查法、流程图法、财务报表分析法以及小组讨论和访谈等方法以识别风险；采用了概率分析法、情景分析法和风险坐标图法以分析风险。 （四）收集的资料和证据等情况 支持本《风险评估报告》的主要有《风险评估与应对措施表》工作底稿，相关文件、会计凭证、账本复印件，以及各科室的自查情况等。 二、风险评估活动发现的风险因素 （一）单位外部风险因素 1.部分科室对国家推进内部控制体系建设的有关政策了解不够，

信息安全风险评估报告

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月

1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

风险评估报告-模版

风险评估报告 一、评估说明 本评估报告评估的对象是**银行总行大厦。评估的范围仅仅包括跟安保相关的风险因素。评估报告由北京首卫保安服务有限公司，**银行总行大厦参考使用二、评估对象简介 （一）**银行简况 **银行是国内唯一一家具有百年历史的国有控股银行。业务遍布五大洲，尤其以海外业务居五大国有控股银行之首。 **银行为副部级单位，由董事长、行长、监事长组成主要管理层，**银行总行大厦是**银行总行七大办公区之中规模最大的一个，内有员工5000余人。（二）项目概况 **银行总行大厦于2001年10月15日正式启用，是中行七大总行办公区之中规模最大的一个。 总行大厦总建筑面积174896平方米，使用面积141000平方米，地上15层地下4层。总高度59米大堂挑高45米；大厦首层共有14个出入口，大厦内约有5000余人办公。 （三）项目格局设计 ?G层 vip大厅、北分营业厅、自助银行、卸货平台 ?二层至十四层 办公室、会议室、培训室、医务室、行史馆 ?F1层 北分对公营业厅 ?B1层 员工餐厅、商品部、机票订购点、洗衣房 ?B2层 咖啡厅、员工餐厅、多功能会议厅 ?P1、P2、P3层地下停车场 三、主要风险隐患

（一）主要风险 1、G层大厅有对外开放的营业厅但是通往楼上对内办公的电梯口也位于G层，经常有上访人员想法混入或冲闯电梯厅岗 2、大厦全面禁烟但经常有员工在内吸烟造成烟感报警。 （二）主要隐患 1、货物或保洁所用垃圾车较长时间堆放在消防通道，消防栓打开没有水，一旦出现火情，都会直接影响施救； 2、总行大厦经常有大规模上访人员，他们经常想法混入或闯入大厦办公区； 3、西、北货台车位有限经常造成送货车辆拥挤在西、北货台外； 4、地下停车场专门对内部员工开放但是经常有外部车辆误闯； 5、大厦不是全封闭的办公场所内设有对外开放的营业厅经常有流浪人员在营业厅逗留； 6、地下停车场摄像头未全覆盖，一旦有剐蹭或偷盗难以取证； 7、尽管各层都设有较多疏散通道，但引导指示不够清晰 四、现有控制措施待改进 1、对上访人员与安保人员的冲突，致安保人员受伤，大厦缺乏相关的制度安排； 2、对大厦内部员工带领自己的亲属进入大厦办公区没有明确的限制措施； 3、地下内部专用车位少，但是员工多经常造成车位抢占现象； 五、上述情况发生的概率 1、上访人员与保安冲突：经常； 2、营业厅有流浪人员滞留：偶尔； 3、内部员工物品丢失流失：较频繁； 4、上访人员与大厦工作人员冲突：偶尔； 5、地下车库员工因车位抢占发生冲突：经常。 六、后果及影响 1、上访人员与保安冲突甚至对殴，个别时候导致保安员受伤，既影响保安员的形象，也在一定程度上影响大厦的正面形象； 2、上访人员经常滞留在营业厅影响营业厅的正常营业秩序 3、电梯困人，易造成恐慌情绪，导致员工不敢乘电梯；

信息安全风险评估报告

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

农商银行合规风险评估报告

农商银行合规风险 评估报告

**农商银行**年度合规风险评估报告 **年，**农商银行以加快业务发展为主题，以落实各项制度为基础，以加强合规风险管理为重点，全行业务运行稳健，各项业务经营情况呈良性发展态势。现将我行**年度合规风险评估情况报告如下： 一、基本情况 今年以来，全行经过人员调整、机构整合，全面完成了管理重构，各项基础工作得到进一步夯实。经过开展案件防控、不规范经营整治、风险排查及风险经理派驻制等活动，风险管控能力持续提升；经过完善绩效考核办法、劳动用工制度、与政府合作机制等，使体制机制发生了质的变化并焕发出新的活力。今年，全行对各部门职责，员工岗位职责进行了一次全面清理规范；对全行管理制度进行了一次清理，流程银行工作正有序进行。 当前本行组织架构基本清晰,董事会下设提名与薪酬委员会、风险管理与关联交易控制委员会；监事会下设审计委员会；经营管理层、全行部门、营业网点协同经营管理，各项工作有效开展，截止**年**月底，**农商银行下设*个部门、**个中心、**个支行。共有员工**人，其中在岗**人、内退**人、退休**人、劳务派遣**人、工勤人员**人、实习生**人。各岗位能做到互相补充与监督，整体风险控制机制基本健全，风险控制能力较好。

二、主要业务指标 （一）各项存款。截止**月末，全行各项存款余额达**亿元，较年初净增**亿元，增幅**%，高于全市平均增幅**个百分点，增幅居全市农商（合）银行机构第一位。 （二）各项贷款。**月末，全行各项贷款余额**亿元，较年初净增**亿元，增幅** %，高于全市平均增幅**个百分点，增幅排名全市农商（合）银行机构第三位。存贷占比为**%。 （三）到期贷款。**月末，全行**年当年到期贷款总额**亿元，到期未收回贷款余额**亿元，收回到期贷款**亿元，当年到期贷款综合收回率**%。 （四）控新降旧。**月末，全行不良贷款余额**万元，比年初下降**万元,不良贷款占比为**%,较年初下降了**个百分点，累计清收已置换、核销表外不良贷款**万元。 （五）经营效益。**月末，全行各项收入**万元，其中实现利息收入**万元，中间业务收入**万元；各项支出**万元，实现账面盈余 23400万元，同比增盈 2647万元。 （六）电子银行。全行累计福卡发行**张，其中当年新发行**张；新增网银客户**户；新增签约短信银行客户**户；新增手机银行客户**户；新增卡乐付终端**户；新增电话银行**户。 （七）风险管理目标基本达标。省联社信贷等级评价步入二类行社，风险水平测评步入全省一流水平。① 以来新放贷款不良

科技信息风险评估报告

科技信息风险评估 报告

XX农商银行关于科技信息 业务风险评估报告 根据《XXX农村信用社联合社关于印发XX农村信用社 - 规划的通知》）及《XX银行内控合规工作实施细则》的要求，风险合规部对我行科技信息部的相关业务进行了风险评估，现将评估情况情况报告如下： 一、总体情况 风险合规部于 12月1日至 12月5日对我行科技信息业务的风险状况进行了评估，主要从组织领导、制度管理、岗位管理、员工培训、安全设施等业务开展情况进行了检查，结合检查结果进行风险评估。 二、工作开展情况 （一）科技信息组织领导 经过查阅科技信息部考核办法和相关责任状，我行董事会设置了科技信息管理委员会，经营班子设置了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等领导组织，组织机构组建齐全。 （二）信息科技制度建设 经过查阅出台的信息科技制度、流程及办法，信息科技部组织制定了各项规章制度，并结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类，及时修改相关制度办法，

使其具有系统性、可操作性和全新性。 （三）信息科技管理部门及岗位 我行现已设立独立的科技管理工作部门并配有符合条件的科技人员，结合自身实际设立科技管理岗、主机系统维护岗、设备维护岗、设备保管岗、档案管理岗、风险控制及安全岗等必要的岗位，每个岗位配备2人以上操作维护人员，重要系统均配备A\B角，并定期轮换，制定相应的岗位职责。 （四）员工学习培训 经过查阅培训计划及资料、员工岗位轮换表、强制休假安排及审计报告，科技信息部年内组织开展了计算机知识的普及和应用轮训培训工作，严格落实上岗资格考试、岗位轮换和强制休假制度。 （五）设备管理和维护 经过查阅登记簿和检查记录，科技人员能够按照规定对计算机进行必要的设备日常监测、检查、记录，并及时掌握设备的运行状况。经过查阅运维综合管理平台，部门能够及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单，并对其认真审核后，及时提交相关部门处理；对营业网点上报的网络故障信息及时给予电话或现场指导。 （六）机房网络安全及消防设施 经过查看网络机房现场，安置地点无有害气体和有放腐蚀、易燃易爆物体，而且避开强磁场、震动电源、噪音及潮湿的环

风险评价报告样板

风险评价报告样板公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Q J B40-024-2006上海高桥分公司炼油事业部 HSE风险评价报告 编写人：汤国莲 审核人：陈闵 批准人：陶旭海 日期：2006年9月 一、评估目的 对炼油事业部作业活动中存在的职业健康危害因素、对前两年风险识别中遗漏的作业及设备设施、对采用的新工艺、新设备、新生产操作方式、对重点控制点、受控设备及对各种变更进行危害识别和风险评价，确定重大危害和重要环境因素，并提出适当的控制措施，以进一步提高员工的风险意识，有效控制各种风险，提升炼油事业部的HSE绩效。 二、评估范围 本次评估的部门包括作业一区、作业二区、作业三区、作业四区、作业五区、给排水、储运部、油三车间、油四车间、分析中心、综合管理部、党群工作部、生产运行部、设备动力部、技术与开发部、市场部、核算部等。 三、评估依据 ——国家有关HSE的法律、法规和标准； ——行业的设计规范和技术标准；

——中石化管理标准和技术标准； ——其它相关要求； 四、评估时间和人员 1.评估时间：2006年2月20日——5月31日 2.评估人员： 事业部HSE管理办公室、各部门领导、管理（工艺、设备）人员、班组长及班组成员。 五、评估方法 本次风险评价遵照公司2006年HSE管理体系推行计划的要求，各部门（车间）运用JHA或SCL表对作业活动中的职业健康危害因素、对前两年风险识别中遗漏的作业及设施、对各种变更、对新工艺、新设备、新生产操作方式、对重点控制点及受控设备进行危害识别和风险评价；运用HAZOP（危害与可操作性分析）方法对装置/作业区进行分析；采用环境因素识别评价表等方法进行环境因素识别和评价，以确定重大危害和重要环境因素并采取相应的控制改进措施。 六、评估实施 1、2月20日——4月30日，事业部对各部门开展危害识别和风险评价工作进行布置，各部门成立风险评价工作小组，制定本部门的作业活动清单和设备设施清单，采用JHA、SCL及HAZOP分析方法对上述作业活动和设备设施进行风险评价；采用环境因素识别评价表、ISO14001体系中规定的方法进行环境因素识别和评价。 2、4月30日——5月10日，各部门汇总上述风险评价表，形成部门重大危害清单和重要环境因素清单，并在此基础上编制部门风险评价报告；将作业

风险评估报告

风 险 评 估 报 告 瑞华专审字[2017]53090001号 云南铝业股份有限公司： 我们接受委托，审核了云南冶金集团财务有限公司（以下简称“冶金财务公 司”）管理层对2016年12月31日与其经营资质、业务和风险状况相关的风险 评估说明。提供真实、合法、完整的资料，建立健全并合理设计各项内部控制制 度并保持其有效性，是冶金财务公司管理层的责任。我们的责任是对冶金财务公 司所做的与其经营资质、业务和风险状况相关的风险评估说明发表意见。 我们在审核过程中，实施了包括了解、测试和评价冶金财务公司与其经营资 质、业务和风险状况相关的各项内部控制制度设计的合理性和执行情况，以及我 们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。 经审核，我们认为： 一、冶金财务公司具有合法有效的《金融许可证》、《企业法人营业执照》； 二、未发现冶金财务公司存在违反中国银行业监督管理委员会颁布的《企业 集团财务公司管理办法》规定的情况，冶金财务公司的各项监管指标符合该办法 第三十四条的规定要求。 本报告仅供云南铝业股份有限公司上报中国证券监督管理委员会云南证监 局和深圳证券交易所交易所审核使用。未经书面许可，不得用作任何其他的目的。 通讯地址：北京市东城区永定门西滨河路8号院7号楼中海地产广场西塔5-11层 Office Address:5-11/F,West Tower of China Overseas Property Plaza, Building 7,NO.8,Yongdingmen Xibinhe Road, Dongcheng District, Beijing 邮政编码（Post Code ）：100077 电话（Tel ）：+86(10)88095588 传真（Fax ）：+86(10)88091199

业务系统信息安全风险评估方案

第3章业务系统信息安全风险评估方案 3.1 风险评估概述 3.1.1 背景 该业务系统风险评估的目标是评估业务系统的风险状况，提出风险控制建议，同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。 需要指出的是，本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况，反映的是系统当前的安全状态。 3.1.2 范围 该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。 3.1.3 评估方式 信息系统具有一定的生命周期，在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。 本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。 资产划分是风险评估的基础，在所有识别的系统资产中，依据资产在机密性、完整性和可用性安全属性的价值不同，综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。 对于列为重要及以上等级的资产，分析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面，采取人工访谈。现场核查。扫描检测。渗透性测试等方式，找出系统所存在的脆弱性和安全隐患。 对重要资产已识别的威胁、脆弱性，根据其可能性和严重性，综合评估其安全风险。 3.2 该业务系统概况 3.2.1 该业务系统背景 近年来，由于数据量迅速增加，业务量也迅速增长，原先的硬件系统、应用系统和模式已渐渐不适应业务的需求，提升IT管理系统已经成为刻不容缓的事情。 经过仔细论证之后，信息决策部门在IT管理系统升级上达成如下共识：更换新的硬件设备，使用更先进和更强大的主机；在模式上为统一的集中式系统；在系统上用运行和维护效率较高的单库结构替换原有多库系统；在技术上准备使用基于B/S架构的J2EE中间件技术，并且实施999.999%的高可靠性运行方式；在业务上用新型工作流作为驱动新一代业务系统的引擎，真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率，从而降低成本、提高核心竞争力以应对外部的竞争。 3.2.2 网络结构与拓扑图 该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络，通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网，两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。

内控风险评估报告

【经典资料，WORD文档，可编辑修改】 【经典考试资料，答案附后，看后必过，WORD文档，可修改】 兴业银行股份有限公司董事会 关于2011年度内部控制的自我评估报告 兴业银行股份有限公司（以下简称“公司”或“本公司”）董事会及全体董 事保证本报告内容没有任何虚假记载、误导性陈述或者重大遗漏,并对报告内容 的真实性、准确性和完整性承担个别及连带责任。 建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与 实施内部控制进行监督；高级管理层负责组织领导公司内部控制的日常运行。 公司内部控制的目标是：确保国家法律法规和公司内部规章制度的贯彻执 行；确保公司发展战略和经营目标的全面实施和充分实现；确保公司风险管理体 系的有效性；确保公司业务记录、财务信息和其他管理信息的及时、真实和完整；确保公司资产安全。 由于内部控制存在固有局限性，故仅能对实现上述目标提供合理保证。 一、内部控制评估工作基本情况 （一）内部控制评估依据 报告期内，本公司遵照财政部等五部委出台的《企业内部控制基本规范》及配套指引，按照《商业银行内部控制指引》、《上海证券交易所上市公司 内部控制指引》等有关规定，组织本公司所有职能部门、分支机构进行了内部控 制自我评估。在此基础上，本公司内部审计部门按照《兴业银行内部控制评级管 理办法》和《兴业银行内部控制评级实施细则》，对本公司所有分支机构实施了 内部控制评价工作。

专题调研和专项检查，充分有效履行监事会基本职责。 (2)制度建设方面 本公司不断健全制度建设，持续提高全行管理水平。公司通过制度的规划立 项、起草会商、法律合规性审核、审批发布等流程控制，引导总分行逐步推进日 常制度管理工作的标准化和规范化，并加强新出台制度的合规性、操作性、规范 性与统一性审查，实现从源头上规范内规的生成质量。同时，积极开展存量制度 的清理与整合，厘清了全行各类规范性文件的数量及其分布状况。目前，公司已 建立了较为完善的制度体系，制订出台的规章制度覆盖了公司主要业务经营管理领域。 (3)人力资源管理方面 报告期内，本公司进一步完善人力资源管理。一是为实现各项业务健康快速发展，本公司根据实际需要积极吸纳优秀经营管理人才，修订了《兴业银行员工 招聘实施细则(2011年5月修订)》，进一步规范员工招聘工作。公司员工聘用、培训、辞退、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策体现了本公司可持续发展的要求，对于关键岗位的员工执行强制休假和定期岗位轮换制度。 二是建立健全内部激励约束机制，将各责任单位和员工实施内部控制的情况纳入 绩效考核体系，进一步改进绩效考核工作，加强考核结果的运用，强化绩效考核对于全员的激励约束作用。同时，本公司以市场为导向，建立了科学的薪酬管理 4 和福利保障体系，充分发挥薪酬在公司治理和风险管控中的导向作用，促进公司 稳健经营和可持续发展。三是通过编制各项业务培训教材、组织多层次多形式的员工培训、鼓励员工积极开展在职及继续教育等措施，不断提升员工专业素质、 职业操守及合规意识，确保员工的岗位胜任能力。

安全生产风险评估报告范本

目录 安全风险评估小组成立通知 (2) 生产安全事故风险评估报告明编制说明 (3) 生产安全事故风险评估报告 (3) 一、评估目的 (3) 二、评估原则 (3) 三、评估组织 (3) 四、评估过程 (4) 五、风险评估范围 (4) 六、危险源辨识 (5) 七、评估结果 (11) 1、火灾 (11) 2、机械伤害 (11) 3、触电伤害 (12) 4、自然灾害 (12) 八、预防控制措施 (13) 九、评估结论 (13)

X责X任公司文件 X X限 XXXX有 关于成立安全风险评估及应急资源调查小组的 通知 安（2018）10号 公司各单位： 为了贯彻落实《中华人民共和国安全生产法》、《中华人民共和国突发事件应对法》保护公司员工的生命安全， 减少财产损失，使事故发生后能够快速、有效、有序地实 施应急救援，根据国家安全生产监督管理总局发布实施的 《生产安全事故应急预案管理办法》（国家安监总局令第 88号）和河南省《生产安全事故应急预案管理办法》实施 细则（豫安委[2009]第15号）、《河南省突发事件应急预 案管理办法》豫政办〔2017〕141号的相关要求，公司成立 安全风险评估及应急资源调查小组。 组长：XXX 副组长：XXXXXX 成员：XXXXXXXXXXXXXXXXXX 特此通知。 XXXXXXXXXXX有限责任公司 2018年11月10日

生产安全事故风险评估报告明编制说明 根据《安全生产法》、《生产安全事故应急预案管理办法》（国家安全监管总局令第88号）和《生产经营单位生产安全事故应急预案 编制导则》（GB/T29639-2013）等有关规定，公司根据企业生产的实 际情况，对生产过程中存在的危险因素和事故风险进行分析、评估， 通过对危险因素分析和事故风险评估，查找生产过程中潜在的危险、 危害因素，分析可能造成生产安全事故的触发条件，为编制生产安 全事故应急预案提供技术支持。公司成立了以总经理为组长的生产 安全事故风险评估小组，在应急预案编制前，对各类危险因素、生 产安全事故的类型、原因、事故易发生的场所、事故发生的征兆进 行分析和评估，为编制应急预案采取防范措施和应急救援措施获取 详细的第一手资料。 生产安全事故风险评估报告 一、评估目的 生产安全事故风险评估是生产安全事故应急预案管理工作的重 要环节，是应用安全系统工程及安全控制论的原理和方法，查找、 分析和预测系统存在危险、有害因素及可能导致的事故危险、危害 后果和程度，提出合理可行的应急救援对策和措施，识别和分析生 产安全作业中的危险有害因素，消除或减少事故危害，确保安全作 业并保证事故发生时能迅速、有序、有效地开展应急救援工作，控 制或消除事故，最大限度地减少人员伤亡、财产损失和环境污染等 后果，在事故后尽快恢复正常的生产经营活动。为此由公司风险评 价小组进行风险评估。 二、评估原则 ⑴坚持客观公正原则。在组织评估和撰写评估报告等各个环节，都从思想和形式上力求做到实事求是，确保评估结果的可信、可用。

外包风险评估报告

XX银行服务外包 风险评估及应对措施 注意：风险评估内容应包括但不限于下列内容，根据外包活动不同各机构应详细识别外包活动中相应风险并提出应对措施，最后在风险防范措施中进行总结性归纳。 一、服务外包概况 。。。。。。。 二、服务外包风险识别分析与评估 下面对使用服务可能产生的风险进行识别分析和评估。 （一）战略风险的识别、分析 技术战略的失误导致技术开发失败。 针对上述风险，有如下应对措施： 建立和运行《质量目标管理程序》并定期检讨战略实 施情况,及时采取战略调整计划; 综上，战略风险是可控的。 （二）依赖性风险的识别、分析 技术对人员的依赖风险 针对上述风险，有如下应对措施： 公司做好技术人员培养，并且制定对应的薪酬管理制 度留住核心技术人员。 综上，依赖性风险是可控的。 （三）合规风险的识别、分析 公司劳动合同或规章制度违反《中华人民共和国劳动

法》,导致罢置、监管部门重大经济处罚等后果。 针对上述风险，有如下应对措施： 1.建立和完善公司规章制度; 2.努力提高员工待遇; 3.由公司法律顾问对规章制度进行合规性评审; 综上，合规性风险是可控的。 （四）成本与收益风险的识别、分析 因产品价格客户不能接受导致客户无法合作，或者因产 品价格过低导致项目失败。 针对上述风险，有如下应对措施： 与客户充分沟通,采取价值工程分析法,与客户共同采 取措施以降低成本。同时，应该保持价格在合理的区间，否则价格过低会导致公司成本无法维持。 综上，成本与收益风险是可控的。 （五）知识和技能风险的识别、分析 因新员工或转岗人员的能力不够,导致产品不合格。 针对上述风险，有如下应对措施： 1.建立和运行《生产提供控制程序》与《人力资源管 理程序》、《不合格输出控制程序》,确保员工经考核合 格后方可上岗; 2.增加不合格品展示板和制作“岗位技能培训教材” 综上，知识和技能风险是可控的。 （六）业务连续性的风险识别、分析 1.线路故障 采用主备线路双线通讯，如果有线路故障会启动紧急预