风险评估表

作业活动清单风险评价记录标准表格.docx

作业活动清单单位： ***********公司序号作业岗位作业活动 1维修电工电气检修维护 2维修电工倒闸操作 3维修电工停送电操作 4维修电工临时用电 5 6 7 8 9 10 11 12 13 14 制表：庾海审核：唐文波填表日期： 2016年1月4日

工作危害分析记录表（ JHA ）单位：生产保运部工作岗位：维修电工工作任务：检修维护危害或以往发生频率及现有安全控制措施序工作潜在危主要员工害（作业偏差发生安全设 L S R 建议改正措施号步骤后果管理措施胜任环境、人频率施程度物管理）损坏加强检查，按检安全帽、严格执行检修检修设备偶尔规程，加强安全 1 碰伤修步骤进行操胜任防护手 2 3 电机人身发生过 6 作. 套齐全教育，提高防范伤害意识检修损坏加强检查，加强设备做好隔加强安全教育， 2 开关触电未发生过监护胜任 2 3 人身离 6 柜提高防范意识伤害电机人身偶尔发生加强检查 , 加强安全帽、加强安全教育， 3 碰伤防护手 2 3 补油伤害过监护胜任 6 套齐全提高防范意识 4 5 6

---

工作危害分析记录表（JHA ）单位：生产保运部工作岗位：维修电工工作任务：倒闸操作以往发生频率及现有安全控制措施序工作危害或潜主要偏差员工安全设L S R 建议改正措施号步骤在危害后果发生管理措施胜任施频率程度上级指不清楚指导偶尔加强安全教育， 1发生重复确认口令胜任无133令上级指令错误提高防范意识过造成偶尔严格执行操作填写倒填写不完严格按照操作规矩，加强安全2误操发生胜任无133闸票善规程审核执行教育，提高防范作过意识人身偶尔安全帽、严格执行操作倒闸操伤害，防护绝规矩，加强安全3触电发生加强劳动防护胜任133作设备缘手套教育，提高防范过损坏齐全意识4133

(完整版)质量风险评估表

质量风险评估二O一五年

目录一、公司基本经营情况--------------------------------------------------------------3 二、质量管理体系--------------------------------------------------------------------4 三、人员与培训-----------------------------------------------------------------------7 四、电子计算机系统------------------------------------------------------------------9 五、设施设备-------------------------------------------------16 六、温湿度监测系统-------------------------------------------21 七、验证与校准-----------------------------------------------23 八、药品采购-------------------------------------------------26 九、收货与验收-----------------------------------------------29 十、储存与养护-----------------------------------------------33十一、出库与运输-------------------------------------------37十二、销售与售后服务---------------------------------------

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告我们单位名日期

报告编写人: 日期：批准人：日期：版本号：第一版本日期第二版本日期终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

内部控制风险评估报告

风险评估报告内部控制建设领导小组：根据财政部《行政事业单位内部控制规范（试行）》和我局《内部控制手册》和《内部控制管理制度实测》的有关规定，我们组织开展了对我局各科室的风险评估工作，现将结果报告如下：一、风险评估活动组织情况（一）工作机制本次风险评估活动，是在我局内部控制工作领导小组的领导下，由风险评估小组具体组织实施。为顺利完成风险评估工作，经局领导同意，财务科从各科室抽调相关工作人员组成内风险评估小组，专门从事此次风险评估活动。（二）风险评估范围 1、单位层面风险单位层面风险主要包括组织架构风险、经济决策风险及关键岗位人员风险、会计体系风险、信息系统风险等。（1）组织架构风险：内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险。（2）经济决策风险：经济活动决策机制不科学，决策程序不合理或未执行等情况导致的风险。（3）关键岗位人员风险：岗位职责不明确、关键岗位胜任能力不足等情况导致的风险。

（4）会计体系风险：会计机构和岗位设置不健全、会计制度不完善、会计业务处理不合规等情况导致的风险。（5）信息系统风险。信息系统的选型不科学、日常维护不及时、输入系统数据不准确和不完整等情况导致的风险。 2、业务层面风险经济活动业务层面的风险主要包括预算管理风险、收支管理风险、政府采购管理风险、资产管理风险、建设项目管理风险、合同管理风险以及其他风险。（三）风险评估的程序和方法 1、风险评估程序（1）风险评估工作由财务科牵头组织，风险评估小组根据经内部控制建设领导小组、局长办公会审批通过的本年度风险评估工作计划具体实施风险评估工作。（2）各科室按负责风险信息收集、风险识别和科室内部评估并提出相应的风险应对策略建议。（3）风险评估小组负责对风险评估过程中出现的各类问题进行解释与指导，确保各科室及时完成本科室的风险评估工作。风险评估小组完成对科室风险评估结果的汇总整理并形成单位年度风险评估工作报告草案。（4）风险评估小组各成员应对风险评估工作报告草案认真分析研究，并以召开会议的形式对报告草案提出正式审议意见，审议不通过的由责任部门重新修订后再次报审，审议通过的应当出具会议决议，提请内部控制建

XXX系统安全风险评估调查表完整

XX系统安全风险评估调查表系统名称：申请单位：申请日期：

填写说明 1.申请表一律要求用计算机填写，内容应真实、具体、准确。 2.如填写内容较多，可另加附页或以附件形势提供。 3.申报资料份数为纸版和电子版各一份。

目录填写说明................................................................................................ I I 目录............................................................................................................... I 一、申请单位信息 (2) 二、系统评估委托书 .....................................................错误！未定义书签。三、信息系统基本情况调查表 (4) 四、信息系统的最新网络拓扑图 (6) 五、根据信息系统的网络结构图填写各类调查表格。 (7) 表3-1. 第三方服务单位基本情况 (9) 表3-2. 项目参与人员名单 (10) 表3-3. 信息系统承载业务（服务）情况调查 (11) 表3-4. 信息系统网络结构（环境）情况调查 (12) 表3-5. 外联线路及设备端口（网络边界）情况调查 (13) 表3-6. 网络设备情况调查 (14) 表3-7. 安全设备情况调查 (15) 表3-8. 服务器设备情况调查 (16) 表3-9. 终端设备情况调查 (17) 表3-10. 系统软件情况调查 (18) 表3-11. 应用系统软件情况调查 (19) 表3-12. 业务数据情况调查 (20) 表3-13. 数据备份情况调查 (21) 表3-14. 应用系统软件处理流程调查（多表） (22) 表3-15. 业务数据流程调查（多表） (23) 表3-16. 管理文档情况调查 (24) 六、信息系统安全管理情况 (25) 七、信息系统安全技术方案 (25)

活动策划书风险评估

**市重大活动社会稳定风险评估实施细则第一章总则第一条为深入推进重大活动社会稳定风险评估工作，切实增强重大活动稳评工作的规范化、制度化、常态化，增强稳评机制的针对性、科学性和实效性，预防和减少重大活动组织过程中涉稳事件的发生，确保重大活动安全顺利地组织实施，根据《**市社会稳定风险评估实施细则》等相关规定，制定本实施细则。第二章评估范围第二条重大活动是指参与人数众多的文化、体育演出比赛活动，各种节会演出、开放型宗教活动，以及展览、展销、招聘、现场开奖等活动。第三章评估主体第三条重大活动的组织部门负责该项活动的社会稳定风险评估。 - 1 - 党委政府组织实施的重大活动，由党委、政府指定的部门进行社会稳定风险评估。多部门联合组织实施的重大活动，由牵头部门或指定的部门商其他部门进行社会稳定风险评估。社会组织组织的重大活动，由相关主管审批部门负责该项活动的社会稳定风险评估。第四条重大活动的组织部门在向主管部门提交《重大活动工作方案》时，一并提交《社会稳定风险评估报告》，未提交稳评报告的，主管部门一律不予审核、批准。重大活动需公安机关提供安保工作的，要向公安机关提交稳评报告，未提交稳评报告的，公安机关一般不组织安保工作。第四章评估内容第五条重大活动社会稳定风险评估，主要就该项活动实施过程中可能存在的影响社会稳定的风险及化解、管控风险的措施进行深入分析和评估，做出低风险准予实施、中风险暂缓实施、高风险不予实施的结论。第六条重大活动社会稳定风险评估，重点从重大活动组织实施的合法性、合理性、可行性、可控性四个方面进行评估。（一）合法性评估 1.该活动的内容、形式及组织实施是否符合国家的相关法律 - 2 - 法规。 2.主管部门对活动的组织是否具有批准权。（二）合理性评估 1.该活动的组织实施是否会给群众带来过重的经济负担或者对群众的生产生活造成过多不便。 2.该活动的组织实施是否对社会有负面效应。 3.该活动的组织实施拟采取的安保措施和手段是否必要、适当。（三）可行性评估 1.该活动的组织实施是否具备相应的人力物力财力。 2.该活动的组织实施是否得到大多数群众的支持。 3.该活动的组织实施是否会引发人员拥挤踩踏、火灾、治安案件等事件。 4.该项活动组织实施是否存在爆炸等恐怖袭击风险。 5.活动场地使用的水、电、气、热等方面是否存在安全风险。 6.活动场地临时搭建设施是否存在安全隐患。 7.天气等其它因素是否对活动安全造成影响。 8.活动场地周边环境是否存在安全隐患。

风险等级划分风险评估表

编制说明依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准，公司内部的管理体系文件、规章制度、作业规程、操作规程、安全技术措施等相关信息，从神华集团神朔铁路分公司K174+800～K178+200技术改造工程基本建设项目特点及工程安全生产事故发生机理着手，针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识。一、工程概况：本段技术改造工程线路平面从神朔线三岔站东端K174+800引出，与既有上行线保持5m线间距并行向东，而后用半径为1000m的曲线左转并设中桥一座（16m+20m+16m）上跨209国道，同时通过第一个1000m半径曲线后，线间距由站端的5m逐渐拉大到15m,而后线路保持与既有上行线15m间距东行，于DK176+310处设二道河中桥（3-32m）上跨二道河，过二道河后线路用一半径为2000m的曲线左转，线间距由15m渐变为4m，接入既有下行线DK178+200处，新建下行线长3405.42m，比既有上行线长 5.42m。本标段总投资约47429006元人民币。二、风险评估小组：风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源，分析危险程度，制订相应的控制和应急措施，并建立档案和管理台帐。组长：项目经理副组长：副经理兼安全总监、总工程师、安质部长成员：工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人员组长职责：1. 全面负责本项目施工危险源辨识和风险评估工作； 2. 依据体系规定的风险评估方法，定期进行风险评估； 3. 组织风险评估小组评估重大风险，确定风险控制措施；

内部控制风险评估报告

内部控制风险评估报告Prepared on 21 November 2021

（5）信息系统风险。信息系统的选型不科学、日常维护不及时、输入系统数据不准确和不完整等情况导致的风险。 2、业务层面风险经济活动业务层面的风险主要包括预算管理风险、收支管理风险、政府采购管理风险、资产管理风险、建设项目管理风险、合同管理风险以及其他风险。（三）风险评估的程序和方法 1、风险评估程序（1）风险评估工作由财务科牵头组织，风险评估小组根据经内部控制建设领导小组、局长办公会审批通过的本年度风险评估工作计划具体实施风险评估工作。（2）各科室按负责风险信息收集、风险识别和科室内部评估并提出相应的风险应对策略建议。（3）风险评估小组负责对风险评估过程中出现的各类问题进行解释与指导，确保各科室及时完成本科室的风险评估工作。风险评估小组完成对科室风险评估结果的汇总整理并形成单位年度风险评估工作报告草案。（4）风险评估小组各成员应对风险评估工作报告草案认真分析研究，并以召开会议的形式对报告草案提出正式审议意见，审议不通过的由责任部门重新修订后再次报审，审议通过的应当出具会议决议，提请内部控制建设领导小组、局长办公会批准后，作为完善内部控制的依据。 2、风险评估方法

2017年内控制度风险评估报告2017

2017年内控制度风险评估报告2017-05-09 15:11 | #2楼中支公司办公室：根据总公司文件精神，财险部对总公司文件进行了认真的学习，也组织专人对总公司《****办发[2017]3号》文件进行了细致的落实，现将办公室上报总公司汇总文件中财险部应提供部分进行了整理，请查阅：一、评价目标与原则为了全面评价****保险公司**中心支公司财险部2017年度内部控制运行情况，查找非农险部门对内控制度运行方面是否存在缺陷，揭示和防范风险，根据《保险公司内部控制基本准则》、《企业内部基本规范》、《内部控制评价办法》的相关规定，结合公司实际，并遵循总公司文件要求的全面性原则、重要性原则、客观性原则。展开自查。二、财险部内部控制评价范围本次内控评价的机构范围：**中心支公司财险部及其下属各分支机构的非农险业务部门或业务。时间范围为：2017年度公司的运行。三、内部控制评价的内容根据《保险公司内部控制基本准则》、《企业内部基本规范》以及公司内部控制制度，围绕非农险业务承保工作中的风险评估、业务质量进行评价。具体对以下重要控制活动进行评价： 1、销售控制：主要从销售人员和机构控制、销售过程和品质控制等方面进行评价。 2、运营控制：承保控制、收费控制、业务单证控制、反洗钱控制等方面进行评价。（三）对非农险部门业务进行数据真实性控制和监督检查。四、组织领导财险部内部控制评价工作领导小组：组长：***

副组长：***。成员：** *** 领导小组设在公司审计监察部，相关部门指定专人负责此项工作，各分支公司由综合办公室的合规管理岗负责此项工作。五、时间安排内部控制评价工作分为三个阶段。第一阶段为内部控制自查评价阶段，由财险部进行，汇总自查结果，出具评价报告，在2017年3月5日前完成；第二阶段为汇总评价结果，依据评价结果进行检查测试阶段。第三阶段为根据测试结果汇总评价出具报告阶段，在2017年3月20日前完成。五、财险部自查评价情况根据总公司文件精神和中支公司办公室要求，本次自查评价涵盖以下几个方面： 1、**中心支公司财险部在本次自查评价活动中，多次督促基层各部门，要求各分公司、营销部、保险社严格执行内控制度，对所有承保风险进行排查，本次排查涵盖了机动车险、商业性财险保险、大棚保险等非农险业务全部险种，实现了风险及内控制度排查全面覆盖。 2、**中心支公司财险部对所属各各分公司、营销部、保险社内控制度执行的情况进行了督查，并对制度执行的可靠性、合理性进行的监督检查，确认各部门内控制度落实比较到位，不存在严重的执行漏洞。 3、财险部在本次自查和评价过程中对公司内部控制设计和运行的组织是否有效，人员配备、职责分工和授权等是否合理进行了认真的筛查，分析，确认在非农险岗位上，各部门能够各司其职，完成本职工作。 4、**中心支公司财险部对所属各各分公司、营销部、保险社内控制度执行情况进行了督查，多次发通知，要求各部门严格执行内控制度，有利于促进各项内部控制落实到位的措施和机制。 5、**中心支公司财险部对所属各各分公司、营销部、保险社在2017年度发生的违规行为和风险的事件及时进行了处理和整改，其中承保资料不全的4笔业务，已经要求承办单位补齐资料，2笔承保车辆行驶证过期的业务已经要求投保人检车并进行及时的资料更正。 6、**中心支公司财险部对所属各各分公司、营销部、保险社进行了关于内控制度的调查，各部门一致认为我公司内控制度健全合理，流程严谨，适宜业务健康发展，无其他整改意见。 **中心支公司财险部

行政事业单位内控风险评价报告

风险评估报告单位领导：根据财政部《行政事业单位内部控制规范（试行）》和单位《内部控制实施办法》有关规定，我们组织开展了对单位各部门的风险评估活动，现将结果报告如下：一、风险评估活动组织情况（一）工作机制本次风险评估活动，是在单位内部控制工作领导小组的领导下，由财务科具体组织实施的。为完成工作，经单位领导同意，财务科从办公室、人事科、监察室抽调相关工作人员组成内部控制风险评估小组，专门从事此次风险评估活动。（二）风险评估范围 1、本次风险评估所涉及的业务范围分为：单位层面风险和业务活动层面风险。 ①单位层面风险主要包括以下三个方面：组织架构风险：单位内部机构设置不合理、部门职责不清晰、内部控制管理机制不健全等情况导致的风险；经济决策风险：单位经济活动决策机制不科学，决策程序不合理或未执行导致的风险；人力资源风险：单位岗位职责不明确、关键岗位胜任能力不足等导致的风险。． ②业务活动层面风险。本单位经济活动业务层面的风险主要包括预算

管理风险、收支管理风险、政府采购管理风险、资产管理风险、建设项目管理风险、合同管理风险以及其他风险。 2、本次风险评估所涉及的部门范围主责部门：内部控制工作领导小组。配合部门：财务科、办公室、人事科、监察室等相关部门。（三）风险评估的程序和方法 1、风险评估程序本次风险评估活动，风险评估小组先研究制定了风险评估工作计划，明确风险评估的目标和任务；其次组织召开了由各科室负责人参加的动员会，对风险评估活动做出了动员和安排，要求各科室先进行自查，查找风险点，研究整改措施，向风险评估小组汇报自查情况；再次，风险评估领导小组根据各科室的自查情况，选择关键科室和自查风险点少的科室进行重点检查，对其他科室也进行了快速检查；最后，根据各科室自查情况和现场检查的工作底稿和收集到的资料，进行风险分析，组织编写风险评估报告。 2、风险评估方法本次风险评估活动，采用了风险清单法、文件审查、实地检查法、流程图法、财务报表分析法以及小组讨论和访谈等方法以识别风险；采用了概率分析法、情景分析法和风险坐标图法以分析风险。（四）收集的资料和证据等情况支持本风险评估报告的主要有风险评估工作底稿，相关文件、会计凭证、账本复印件，以及各科室的自查情况等。．

信息安全风险评估报告模板

XXXXXXXX信息系统信息安全风险评估报告模板项目名称：项目建设单位：风险评估单位： ****年**月**日

目录一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

活动现场安全风险预测和评估报告

活动现场安全风险预测和评估报告本次活动项目位置在西单大悦城一层中庭一、大型活动安全风险评估依据和评估内容对大型活动进行安全风险评估的主要法律依据有:《北京市大型社会活动安全管理条例》及大型社会活动安全管理的相关规定;北京市公安局有关大型社会活动风险评估标准;北京市消防局有关大型社会活动消防安全管理规定。二、大型活动安全风险评估工作程序为了保证风险评估的效果,应该根据举办大型活动的内容、性质和各方面因素,对受理安全风险评估的大型活动区别对待;进行风险评估工作必须严格执行一套工作程序,规范管理。 (一)接待受理公司在业务开展受理风险评估项目过程中,始终按照《条例》规定,对举办活动单位提供相关材料初步核准,详细了解活动的有关情况后,双方签定协议书,明确安全风险评估的相关事项和工作时限。 (二)查勘场地根据举办活动的情况,对举办的大型活动的现场进行实地查勘,主要了解活动现场安全设施配备的具体情况,以及应急出入口、消防设施等重点部位。 (三)分析论证结合所举办大型活动的具体特点和活动涉及到的人、地、物、事以及其他可能涉及到的各方面的安全因素,进行综合分析论证,提出意见和建议。

(四)出具安全风险评估报告在分析论证举办活动的可行性后,出具安全风险评估意见,逐级审核批准后,形成报告交主办单位。安全风险评估结论分为一至五级五个档次。在评估工作中遇到的难点和问题,我们会及时请教公司的专家和顾问,具体问题具体分析。三、安全风险评估的主要方法根据《条例》及北京市公安局、北京市消防局有关大型社会活动安全管理,结合受理的举办活动的具体情况,按照举办活动的类型,分别进行安全风险评估。 (一)详尽了解举办活动的情况大型活动安全风险评估是按照《条例》规定,在允许范围内,详细了解举办活动的人、地、物、事及其他因素等具体情况,分别对主办单位、场地情况进行询问和实地查勘,为准确进行风险预测、安全评估提供条件。1.主办单位提供有关情况(1)申请举办大型活动的材料符合《条例》规定。包括批准文件、申请报告、资质证明、安全保卫方案、安全检查的设施设备证明材料、活动使用的证件和门票等全部申报材料。(2)主办单位的基本情况,包括主办单位性质及隶属关系、举办活动的具体内容等。活动的安全责任人和现场负责人。(3)举办活动的情况。活动性质属国内、国际或者全国性,活动对社会的影响程度,其他还包括:参加活动单位情况、活动现场搭建设施情况、活动具体内容、观众群体类别等。2.提供场地单位提供有关情况(1)提供场地单位的基本情况,包括单位性质及隶属关系、举办活动的场地条件,

风险评估报告模板

附件：信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

信息安全风险评估报告

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

活动现场安全风险预测和评估报告

内控风险评估报告

【经典资料，WORD文档，可编辑修改】【经典考试资料，答案附后，看后必过，WORD文档，可修改】兴业银行股份有限公司董事会关于2011年度内部控制的自我评估报告兴业银行股份有限公司（以下简称“公司”或“本公司”）董事会及全体董事保证本报告内容没有任何虚假记载、误导性陈述或者重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；高级管理层负责组织领导公司内部控制的日常运行。公司内部控制的目标是：确保国家法律法规和公司内部规章制度的贯彻执行；确保公司发展战略和经营目标的全面实施和充分实现；确保公司风险管理体系的有效性；确保公司业务记录、财务信息和其他管理信息的及时、真实和完整；确保公司资产安全。由于内部控制存在固有局限性，故仅能对实现上述目标提供合理保证。一、内部控制评估工作基本情况（一）内部控制评估依据报告期内，本公司遵照财政部等五部委出台的《企业内部控制基本规范》及配套指引，按照《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》等有关规定，组织本公司所有职能部门、分支机构进行了内部控制自我评估。在此基础上，本公司内部审计部门按照《兴业银行内部控制评级管理办法》和《兴业银行内部控制评级实施细则》，对本公司所有分支机构实施了内部控制评价工作。

专题调研和专项检查，充分有效履行监事会基本职责。 (2)制度建设方面本公司不断健全制度建设，持续提高全行管理水平。公司通过制度的规划立项、起草会商、法律合规性审核、审批发布等流程控制，引导总分行逐步推进日常制度管理工作的标准化和规范化，并加强新出台制度的合规性、操作性、规范性与统一性审查，实现从源头上规范内规的生成质量。同时，积极开展存量制度的清理与整合，厘清了全行各类规范性文件的数量及其分布状况。目前，公司已建立了较为完善的制度体系，制订出台的规章制度覆盖了公司主要业务经营管理领域。 (3)人力资源管理方面报告期内，本公司进一步完善人力资源管理。一是为实现各项业务健康快速发展，本公司根据实际需要积极吸纳优秀经营管理人才，修订了《兴业银行员工招聘实施细则(2011年5月修订)》，进一步规范员工招聘工作。公司员工聘用、培训、辞退、辞职、薪酬、考核、晋升与奖惩等有关人力资源的政策体现了本公司可持续发展的要求，对于关键岗位的员工执行强制休假和定期岗位轮换制度。二是建立健全内部激励约束机制，将各责任单位和员工实施内部控制的情况纳入绩效考核体系，进一步改进绩效考核工作，加强考核结果的运用，强化绩效考核对于全员的激励约束作用。同时，本公司以市场为导向，建立了科学的薪酬管理 4 和福利保障体系，充分发挥薪酬在公司治理和风险管控中的导向作用，促进公司稳健经营和可持续发展。三是通过编制各项业务培训教材、组织多层次多形式的员工培训、鼓励员工积极开展在职及继续教育等措施，不断提升员工专业素质、职业操守及合规意识，确保员工的岗位胜任能力。

信息安全风险评估报告

XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2

3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。二. 风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。六. 风险评估概况欢迎下载 3

欢迎下载 4 如下： 1. 2017-9-10 ~ 2017-9-10，风险评估培训； 2. 2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3. 2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4. 2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS 工作组内审核； 5. 2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS 工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风险115个，不可接受风险42个.

计算机系统风险评估表

HPLC 操作软件系统风险评估表使用部门：QC 安装地点：QC仪器室 Code Category Question Possible points Remarks 序号类别问题关键点备注 1 计算机系统的GXP 1.1 计算机系统是否和 GLP、GSP、是否该项目如果选择否，不用属性GDP、GMP 相关？进行以下项目 2.1 GAMP 第一类 2.2 GAMP 第二类选择第一类和第二类，不 2 计算机系统的分类需要进行4、5、6、7的 2.3 GAMP 第三类问答 2.4 GAMP 第四类 3.1 独立的软件系统是 3 计算机系统的性质/ 3.2 集成于设备的 PLC 系统是否选择是的，进入5的确4 计算机系统验证 4.1 是否需要进行计算机系统验证是否认，选择否的，直接进入 6 的选择。 5.1 IQ 测试是否包括以下内容 5.1.1 检查软件的硬件配置符合最是否集成于设备的PLC系统低配置要求不需要回答此项5.1.2 证明硬件的安装环境符合硬是否/ 件的使用要求 5.1.3 检查安装的软件和软件说明是否/ 书上的版本号一致 5.1.4 检查软件已经正确安装在指是否集成于设备的PLC系统定的路径不需要回答此项5 计算机系统验证 5.1.5 软件说明书、手册或其他相是否/ 关资料齐全 5.2 OQ 测试是否包括以下内容 5.2.1 软件安全性验证 5.2.1.1 软件的密码保护，不同级别是否/ 的人员拥有不同的账号和密码 5.2.1.2 软件的权限保护，是否对于是否不同的级别的人员，设置了不同的/ 权限 5.2.2 软件的备份与恢复

序号类别问题关键点备注 5.2.2.1 软件有硬件备份及硬件备是否/ 份的存放地点 5.2.2.2 卸载软件后，使用备份，重是否集成于设备的PLC系统新安装软件不需要回答此项 5.2.2.3 软件产生的数据拷贝后，使是否集成于设备的PLC系统用软件能查看拷贝的数据不需要回答此项5.2.3 灾难恢复 5.2.3.1 是否进行了灾难恢复测试是否/ 5.2.4 软件的功能测试 5.2.4.1 是否进行了报警功能测试是否/ 5.2.4.2 是否进行了软件的功能测是否PLC 系统，进行 PLC 的试功能测试5.2.5 审计追踪 5.2.5.1 是否进行了审计追踪功能是否/ 的测试 5.2.6 业务连续性 5.2. 6.1 是否有业务连续性计划是否/ 6 计算机系统文件 6.1 是否建立了计算机系统管理的是否如果答案为否，下面的回 SOP？答可以不进行6.2 对应的 SOP 编号 6.3 软件产生的数据电子记录如回答纸质记录，可不需要6.6和6.8，单纯电子纸质记录记录，不需要回答6.9 电子和纸质共存 6.4 SOP 中是否包含权限管理的要是否/ 求 6.5 SOP 中是否包含密码管理的要是否/ 求 6.6 SOP 中是否包含了数据备份的是否/ 要求 6.7 SOP 中，是否规定了软件备份是否/ 的要求 6.8 SOP 中，是否规定了软件产生是否/ 数据的管理要求