ISM规则中的风险评估

ism规则公司管理制度一、组织结构与职责根据ISM规则，公司必须确立清晰的组织结构，明确各级人员的职责与权力。

公司应设立安全管理体系的领导机构，如安全管理委员会，由高层管理人员组成，负责制定安全管理政策和目标。

同时，指定一名或多名安全管理人员，负责日常的安全管理工作。

二、安全管理政策公司需制定一套全面的安全管理政策，包括安全承诺、方针和目标。

这些政策应当得到全体员工的理解和执行，并定期进行评审和更新，以确保其有效性和适应性。

三、风险评估与控制风险管理是ISM规则的核心内容之一。

公司应建立风险评估程序，识别潜在的安全风险，并采取相应的控制措施。

这包括对船舶的操作、维护、检验等各个方面的风险进行分析，确保所有的风险都能被有效控制。

四、安全操作程序为了确保操作的安全性，公司需要制定一系列详细的安全操作程序。

这些程序应当涵盖所有关键操作领域，如航行、货物装卸、机械维护等，并且要定期进行审查和更新。

五、应急准备应对突发事件的能力是检验一个公司安全管理水平的重要标准。

因此，公司必须制定应急预案，包括紧急疏散、火灾应对、人员伤亡处理等情况。

同时，定期进行应急演练，确保所有员工都了解应急程序。

六、性能指标与监控为了衡量安全管理体系的效果，公司应设定一系列的性能指标，并进行定期监控。

这些指标可以是事故发生率、船员培训完成率、设备维护合格率等。

通过数据分析，公司可以及时发现问题并采取改进措施。

七、内部审计与管理复查内部审计是检查安全管理体系是否得到有效实施的关键手段。

公司应定期进行内部审计，并对审计结果进行管理复查。

这有助于公司发现体系中的不足，并及时进行修正。

八、持续改进ISM规则强调了持续改进的重要性。

公司应鼓励员工提出改进建议，不断优化安全管理体系的各个环节，以适应不断变化的外部环境和内部需求。

深圳市ABC有限公司信息安全风险管理程序编号：ISMS-B-01版本号：V1.0编制：AAA 日期：2023-11-01 审核：BBB 日期：2023-11-01 批准：CCC 日期：2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。

船舶风险评估程序和“险情”报告制度如何有效建立和运行前言：众所周知，最近一段时间，我们在积极推进船舶Near Miss报告以及船舶风险评估报告。

但从最近船舶反馈回来的一些信息表明，部分船舶由于以前没有进行过相关知识培训，以前没有进行过船舶风险评估的经验，因此，对船舶反馈回来的船舶Near Miss报告以及船舶风险评估报告，公司将在认真核对并经仔细修改后将再次发船，以供船舶参考。

同时，为使船舶更好的熟悉并正确使用船舶风险评估程序，自今日起，公司计划将分三次简要介绍船舶风险评估的方法，希望会对大家有所帮助。

从古至今，历来我们把航海定性为高风险行业，这个结论是基于航海风险的复杂性、多发性以及风险因素的不确定性甚至是不可控性（例如自然灾害）的基础之上。

其实我们非常清楚，在航海事故至今不能根断的背后，船舶遇到的“险情”可能比航海事故更多,也更宽泛。

那么我在展开本文之前，就有必要对“险情”下一个定义，即:所谓“险情”，我们由字面的解读可以理解为“危险的情况”；但从公司安全管理体系文件的角度则把“险情”明确定义为：系指如果进一步发展会造成事故的情况（事故前兆）。

亦指导致或可能导致事故的情况。

一、在此我们先来探讨航海“险情”的由来以及相关要点的简要评述并概况为如下几个因素：1) 外界自然因素：例如：台风、地震、海啸、大风浪、浓雾、暴雨、强流等等，这些自然因素对航海造成的风险和破坏力是很大的，不少船舶的事故和险情由此造成。

随科学技术的日益成熟和进步，对上述自然因素，其中的大部分我们是可以预测的，并在事先采取了相应措施的前提下，很多的险情、事故同样也是可以避免的。

关键的问题是船舶对所获相关信息的及时性、重视程度以及所采取的相对预防措施落实情况，否则同样的信息、同样的时间、同样的区域和状况对不同的船舶可能会形成完全不同的结果。

例如避台、雾航、大风浪航行等等。

2) 通航环境因素：随世界经济的发展，各国间贸易往来与日俱增，而海上运输又几乎承担了世界贸易总量的85%。

ISMS-4025—信息安全风险评估报告1 前言本次风险评估的目的为：分析公司信息系统的安全状况，针对重要的信息资产进行安全影响、威胁、脆弱性及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法达到降低风险、消除风险、转移风险、接受剩余风险的目的。

全面了解和掌握业务过程、应用系统和网络面临的信息安全威胁和风险，为全面建设安全保障体系服务，为确立安全策略、制定安全规划、开展安全建设提供决策建议，为完善和加强公司的信息安全保护奠定基石。

2 整体安全状态公司在信息安全保障方面的相关工作处于深化阶段,已经从物理安全、网络安全、系统安全、应用安全和管理安全多个方面采取了一系列有效的措施。

初步建立起信息安全体系框架，根据标准要求建立了一整套管理体系文件，并卓有成效，为业务和系统的正常运行提供了一定的安全保障。

需要引起注意的是：整个信息系统的安全保障体系建设还需要进一步完善，最重要的是在下一步工作中如何能确保措施和制度能有效的落实下去，确保全体员工切实执行，来进一步满足安全保障的要求,实施阶段将是信息安全工作最关键的环节。

3 资产识别3.1 资产识别结果信息安全工作小组对公司的信息资产进行了非常详尽的识别，对公司的各类资产已经有了全面的了解和掌握。

这些信息资产包括以下7类资产：1)硬件:计算机设备、服务器设备、安全设备、通讯设备、存储设备和其他设备.2)软件:应用软件、系统软件、开发工具和各种管理系等.3)数据:业务数据、源代码、数据库数据、备份数据、系统文档、日志、运行管理规程、计划、报告、用户手册等。

4)服务:IT服务、培训服务、租赁服务、公用设施（能源、电力）、保安保洁等.5)文档：纸质的各种文件、传真、电报、财务报告、发展计划、宣传文件等。

6)人员：人员的资格、技能和经验；涉密的主要领导、关键技术人员和重要岗位人员等。

7)其他（无形资产）：组织的声誉、商标、形象。

具体结果详见：各部门《ISMS—4021—信息资产识别评价表》.3。

ISMS信息安全风险评估
ISMS建设过程中，信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。

在信息安全领域，信息安全风险评估也形成了诸多国际标准和国内标准。

本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。

以下就相关内容做一个简要描述。

信息安全风险评估包括四个主要方面的内容，即资产识别、威胁识别、脆弱性识别和风险评估。

它们之间的关系如图2.3所示：
在图2.3中，风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。

下面就其含义作一个简介：
①资产识别
安全的目的始终都是保障组织业务的正常运行。

因此，资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够科学的把握组织的业务安全需求及其变化。

资产识别包括资产分类和资产赋值两个环节。

②威胁识别
与资产识别相类似，威胁识别分为威胁分类和威胁赋值两个环节。

威胁识别的方法形象地讲就是“植树、剪枝、统计”，见图2.4：
③脆弱性识别
与资产识别和威胁识别略有不同，脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。

表2.1是脆弱性分类表。

第一节国际安全管理规则
ISM规则的主要目的是确保船舶所有人、运营者及相关管理人员，在船舶的运营过程中，严格遵守国际海事法规和相关标准，保障船舶及其船员的安全，防止发生意外事故，减少环境污染。

ISM规则适用于所有载客量超过12人或不可携带12人但装载货物的商船。

ISM规则包括一系列的要求和指南，要求船舶所有人和运营者建立一套完整的安全管理体系，并确保其有效实施和持续改进。

具体来说，ISM 规则要求船舶所有人和运营者：
1.制定安全管理体系：制定并实施一套符合ISM规则要求的安全管理体系，包括制定安全政策、分配职责、确定通讯和报告程序等。

2.设立安全职位：指定船舶和公司的安全职位，负责监督安全管理体系的实施和维护。

3.进行风险评估：对船舶运营中的各项风险进行评估，发现可能存在的安全问题，并采取相应的措施进行管理和控制。

4.进行内部审查：定期进行内部审查，确保安全管理体系的有效性和合规性，并及时发现和纠正存在的问题。

5.行业培训和宣传：组织和提供必要的培训和宣传，确保船舶的管理人员和船员能够理解和履行他们的安全职责。

ISM规则的实施需要船舶所有人和运营者配合，并且需要得到相关国家和国际认可机构的认可和监督。

若船舶经营者无法证明其船舶已按照ISM规则履行安全管理职责，将被禁止进入国际港口，严重影响船舶的运营和商业利益。

总之，ISM规则是国际海事组织为确保全球海上航运的安全和环境保护而制定的重要标准。

船舶所有人和运营者必须严格遵守ISM规则，建立完善的安全管理体系，从而确保船舶及其船员的安全，减少事故和环境污染的发生，提高海上航运的整体安全水平。