RBA6.0風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)措施2019

1、CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 1 of 34 Feb 2010 Risk assessment and control measures風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)措施負(fù)責(zé)部門范圍序號(hào)風(fēng)險(xiǎn)現(xiàn)有的管控措施嚴(yán)重度（S）發(fā)生頻率（O）Mitigation降低風(fēng)險(xiǎn)措施殘余可能性（D）評(píng)定結(jié)果安全部廠界安全1非法闖入辦公區(qū)域在公共區(qū)域有門禁限制,24小時(shí)保安值班崗。CCTV，報(bào)警系統(tǒng)。11保安24小時(shí)巡邏，門禁卡及刷卡記錄每月檢查。112非法闖入倉(cāng)庫(kù)區(qū)域24小時(shí)*7天的安全控制，所有進(jìn)入倉(cāng)庫(kù)區(qū)域的人員設(shè)置權(quán)限和門禁，所有開(kāi)口CCTV

2、監(jiān)控，訪客人員有管理人員陪同。11所有窗戶有堅(jiān)固的防護(hù)網(wǎng)，門禁加裝破門進(jìn)入報(bào)警及未關(guān)門報(bào)警。113盜或故意破壞保安由保安公司配備，安全部統(tǒng)一管理，定期更換工作崗位，另外所有保安崗位都有攝像頭管控。11所有保安身份，均在公安機(jī)關(guān)備案，做過(guò)背景調(diào)查。所有保安的巡邏路線都有規(guī)劃和監(jiān)控，且檢查記錄實(shí)名登記。114來(lái)訪者-偷盜或故意破壞來(lái)訪者進(jìn)入辦公區(qū)域或者倉(cāng)庫(kù)須進(jìn)行身份登記、說(shuō)明來(lái)由等、及當(dāng)面聯(lián)系受訪人核實(shí)，被批準(zhǔn)后來(lái)訪者需佩戴發(fā)放的訪客證方能進(jìn)入，其在公司內(nèi)部活動(dòng)時(shí)需有相關(guān)的公司職員全程陪同。11有訪客制度、訪客陪同要求，要求全程佩戴訪客證，且保安值班崗有緊急警報(bào)按鈕。涉及機(jī)密、重要區(qū)域不予接觸。1

3、15新項(xiàng)目信息泄露1 內(nèi)部的公共盤設(shè)有權(quán)限控制；敏感項(xiàng)目需要與相關(guān)人員簽署保密協(xié)議；2. 所有使用相關(guān)文檔文件資料，無(wú)人在的情況下必須放在柜子里并及時(shí)上鎖，作廢時(shí)必須經(jīng)過(guò)碎紙機(jī)處理；3 公司電腦設(shè)有開(kāi)機(jī)密碼保護(hù)設(shè)置，公司設(shè)置電腦自動(dòng)鎖定。且要求辦公室員工離開(kāi)座位及時(shí)鎖電腦.111.關(guān)于信息安全保護(hù)制度和政策，定期與人員進(jìn)行培訓(xùn)，增強(qiáng)員工的安全防護(hù)意識(shí)和技能；2.信息安全部門定期提供社會(huì)場(chǎng)景案例，發(fā)布應(yīng)對(duì)措施；3.公司信息安全部門對(duì)電腦安裝防病毒軟件，且定期殺毒，經(jīng)理以上及工作需要崗位需開(kāi)通外網(wǎng)權(quán)限必須提交審批流程；4.對(duì)電腦使用媒介進(jìn)行限制，對(duì)軟件安裝或外存設(shè)有限制。116信息盜竊-未授權(quán)訪問(wèn)

4、及濫用公司信息每個(gè)員工電腦都有用戶名和密碼保護(hù)。系統(tǒng)會(huì)提示用戶定期更改密碼。 根據(jù)每個(gè)人的工作授予訪問(wèn)權(quán)限系統(tǒng)權(quán)限。如有員工離職，郵箱將會(huì)立即被凍結(jié)并取消。公司端及客戶端均設(shè)有防火墻保護(hù)。111.關(guān)于信息安全保護(hù)制度和政策，定期培訓(xùn)，增強(qiáng)員工的安全防護(hù)意識(shí)和技能；2.電子郵件內(nèi)部使用權(quán)限，對(duì)于工作需要需開(kāi)通發(fā)送外部郵箱，需經(jīng)流程結(jié)點(diǎn)審批。117病毒侵襲1.公司只開(kāi)通內(nèi)部網(wǎng)絡(luò)和系統(tǒng)，不允許登陸與工作無(wú)關(guān)的網(wǎng)站；2.所有電腦在安裝初始狀態(tài)統(tǒng)一安裝殺毒軟件，且設(shè)置保護(hù)。111.公司信息安全部門對(duì)電腦安裝防病毒軟件，且定期殺毒，并設(shè)置權(quán)限，不得卸載；2.經(jīng)理以上及工作需要崗位需開(kāi)通外網(wǎng)權(quán)限必須提交審批

5、流程；3.對(duì)電腦使用媒介進(jìn)行限制，如無(wú)法使用USB接口。118數(shù)據(jù)備份失敗1.公司有完善的系統(tǒng)開(kāi)發(fā)及備份流程，操作內(nèi)數(shù)據(jù)能有效進(jìn)行保護(hù)和備份；2.且每天IT人員會(huì)對(duì)備份狀態(tài)進(jìn)行檢查。111.有完善的信息安全政策；2.重要數(shù)據(jù)備份功能119內(nèi)部員工偷盜保安管控，有攝像頭監(jiān)控，有安檢門及金屬探測(cè)器。窗戶有鐵絲網(wǎng)防護(hù)。111.所有員工有背景調(diào)查和檔案記錄；2.所有進(jìn)入倉(cāng)庫(kù)區(qū)域的人員設(shè)置權(quán)限和門禁；3.公司有嚴(yán)密的封閉式管理制度，進(jìn)出倉(cāng)庫(kù)等區(qū)域需接受檢查；4.倉(cāng)庫(kù)內(nèi)所有位置有監(jiān)控錄像，有自動(dòng)報(bào)警響應(yīng)裝置1110裝卸貨區(qū)域的偷盜所有裝卸貨區(qū)域裝卸貨時(shí)都有的保安跟蹤監(jiān)督，有CCTV監(jiān)控。11封閉式管理制度

6、、誠(chéng)信準(zhǔn)則價(jià)值觀要求，裝卸貨區(qū)域準(zhǔn)入管理制度。1111火災(zāi)-對(duì)貨物的影響/引起的偷盜/人身傷害 1.公司配置先進(jìn)且全面的消防系統(tǒng)和設(shè)備，設(shè)有煙霧探測(cè)器，即時(shí)警報(bào)；2.季度和年度定期舉行消防演習(xí)，每個(gè)區(qū)域有滅火器及消防栓以防止火勢(shì)蔓延，所有人員會(huì)使用消防器材；3. 禁止在吸煙區(qū)以外任何區(qū)域吸煙,所有打火機(jī)和火柴不能被帶入倉(cāng)庫(kù)；4.有嚴(yán)謹(jǐn)?shù)幕馂?zāi)事故處理制度及事故應(yīng)急小組，進(jìn)行人群疏散及急救以降低人身和物品傷害。11所有區(qū)域不得明火，所有消防設(shè)施定期更新和檢查；有消防應(yīng)急逃生通道，有明確區(qū)域逃生指示圖。1112計(jì)劃外停電有備用電源及發(fā)電機(jī)可以支持?jǐn)z像頭,燈光,門禁及電腦11有應(yīng)急聯(lián)絡(luò)方式和斷電處理流

7、程制度11EHS自然災(zāi)害13（臺(tái)風(fēng)的影響） 看到天氣預(yù)報(bào)后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時(shí)間，甚至特殊調(diào)休以規(guī)避自然災(zāi)害。11安全部門及時(shí)下發(fā)天氣預(yù)報(bào)，并做好提前預(yù)防措施，有應(yīng)急預(yù)案，指導(dǎo)各部門預(yù)防措施； 至今尚沒(méi)有洪水影響的記錄。1114（洪水的影響） 看到天氣預(yù)報(bào)后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時(shí)間，甚至特殊調(diào)休以規(guī)避自然災(zāi)害。11安全部門及時(shí)下發(fā)天氣預(yù)報(bào)，并做好提前預(yù)防措施，有應(yīng)急預(yù)案，指導(dǎo)各部門預(yù)防措施； 至今尚沒(méi)有洪水影響的記錄。11EHS法律法規(guī)15 法律法規(guī)沒(méi)有及時(shí)更新1.搜集相關(guān)法律法規(guī)并定期去相關(guān)網(wǎng)站查有無(wú)更新2. 要求內(nèi)部部門確保內(nèi)部操作符合法律

8、法規(guī)要求11建立內(nèi)部法律機(jī)構(gòu)，根據(jù)政府新法規(guī)法律要求，及時(shí)更新內(nèi)部對(duì)應(yīng)政策。11人事部人事16丟失重要的供應(yīng)商1建立供應(yīng)商名單2. 保持跟供應(yīng)商的密切溝通，了解供應(yīng)商的狀況及滿意度11定期對(duì)供應(yīng)商進(jìn)行評(píng)價(jià)1117關(guān)鍵人員的流失1.建立崗位輪換機(jī)制，同一崗位員工不能同時(shí)休假。111.有關(guān)鍵崗位工作要求及培訓(xùn)，每季度績(jī)效考核；2.根據(jù)崗位不同，權(quán)限和福利也設(shè)有不同；3.定期與員工面談、進(jìn)行績(jī)效回顧，切實(shí)了解員工的工作狀態(tài)。1118聘任誠(chéng)信風(fēng)險(xiǎn)要求招聘部門在填寫(xiě)招聘需求時(shí)寫(xiě)清楚基本要求，管理部進(jìn)行基本要求核對(duì)后，由用人部門面試考核。11大專以上學(xué)歷應(yīng)聘者畢業(yè)證書(shū)必須上網(wǎng)查證，發(fā)現(xiàn)造假者一律不得錄用。

9、對(duì)發(fā)現(xiàn)未成年人，進(jìn)行保護(hù)1119績(jī)效評(píng)估風(fēng)險(xiǎn)按照公司績(jī)效考核流程進(jìn)行評(píng)估11績(jī)效評(píng)估完成后，進(jìn)行試運(yùn)行多部門共同討論，評(píng)審可行后再實(shí)施。11財(cái)務(wù)部財(cái)務(wù)狀況20合同簽訂風(fēng)險(xiǎn)經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后進(jìn)行簽約111、建立合同評(píng)審制度，每次合同簽訂前必須經(jīng)過(guò)相關(guān)部門和責(zé)任員會(huì)簽，減少合同簽訂風(fēng)險(xiǎn)。11CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 2 of 34 Feb 201021營(yíng)業(yè)執(zhí)照及其他授權(quán)證、照被吊銷風(fēng)險(xiǎn)錄入證照有效期系統(tǒng)11由管理部每年定期進(jìn)行年檢，財(cái)務(wù)部進(jìn)行監(jiān)督。022勞務(wù)風(fēng)險(xiǎn)新員工必須進(jìn)行入職培訓(xùn)后才能上崗；111、每年至少進(jìn)行

10、一次入職培訓(xùn)；2、公司存在的安全隱患進(jìn)行檢查和監(jiān)督，發(fā)現(xiàn)違反安全現(xiàn)象及時(shí)糾正；3、對(duì)已發(fā)生的安全事故（包括輕微）進(jìn)行分析和糾正，并將安全事故進(jìn)行通報(bào)，讓員工時(shí)刻重視生產(chǎn)安全；023審計(jì)信息泄露風(fēng)險(xiǎn)專人負(fù)責(zé)并簽訂保密協(xié)議111、按正規(guī)審計(jì)流程實(shí)施。2、審計(jì)前對(duì)相關(guān)人員進(jìn)行通告配合。0EHS勞工健康安全24（罷工的影響）建立舉報(bào)機(jī)制，員工代表收集員工意見(jiàn)和建議,如果合理,會(huì)反映給管理層并協(xié)商解決方案. 公司遵守國(guó)家法律，盡力改善員工福利.11有積極的員工福利政策和活動(dòng)，有建議信箱，定期召開(kāi)員工座談會(huì)和滿意度調(diào)查1125過(guò)度性體力勞動(dòng)規(guī)范各崗位工作規(guī)范11增加休息時(shí)間1126強(qiáng)迫勞動(dòng)的風(fēng)險(xiǎn)制定強(qiáng)迫性

11、勞工管理控制程序111、定期對(duì)人事部進(jìn)行培訓(xùn)不雇傭任何形式被強(qiáng)迫的員工1127使用童工的風(fēng)險(xiǎn)制定未成年人工控制程序111、人事部在招聘崗位時(shí)發(fā)現(xiàn)未成年員工進(jìn)行登記，并按照規(guī)定進(jìn)行對(duì)未成年員工的保護(hù)1128懷孕女工未得到相應(yīng)的保護(hù)的風(fēng)險(xiǎn)制定女職工保護(hù)控制程序111、對(duì)懷孕的女進(jìn)行登記，并安排輕松的崗位及休息時(shí)間1129工時(shí)超時(shí)的風(fēng)險(xiǎn)制定工作時(shí)間管理控制程序111、嚴(yán)格按照公司工作時(shí)間管理實(shí)行，對(duì)新員工發(fā)布公司員工手冊(cè)1130工資福利支付不到位的風(fēng)險(xiǎn)工資福利理控制程序111、發(fā)布員工手冊(cè)并嚴(yán)格按照工資福利待遇執(zhí)行1131未得到人道待遇的風(fēng)險(xiǎn)懲戒性措施管理控制程序111、發(fā)現(xiàn)不人道行為進(jìn)行調(diào)查記錄并

12、按照規(guī)定采取懲戒措施1132被歧視的風(fēng)險(xiǎn)制定歧視管理控制程序111、定期組織培訓(xùn)1133非自由結(jié)社的風(fēng)險(xiǎn)自由和集體談判的權(quán)利管理程序111、對(duì)宗教信仰進(jìn)行問(wèn)卷調(diào)查，給有宗教信仰的員工提供集會(huì)場(chǎng)所或參加集會(huì)的時(shí)間11道德34非廉潔經(jīng)營(yíng)的風(fēng)險(xiǎn)制定反賄賂控制程序111、公司有匿名的意見(jiàn)箱，組織實(shí)施和監(jiān)督檢查，公司各級(jí)領(lǐng)導(dǎo)干部是組織實(shí)施的主要責(zé)任人，人事部協(xié)調(diào)組織，其他部門分工實(shí)施。各級(jí)領(lǐng)導(dǎo)干部和員工廉潔從業(yè)情況作為選拔任用考察、考核的重要內(nèi)容和任免的必要依據(jù)。1135不正當(dāng)收益的風(fēng)險(xiǎn)制定反賄賂控制程序111136員工共謀勾結(jié)禁止共謀勾結(jié)程序111137信息不公開(kāi)的風(fēng)險(xiǎn)核實(shí)渠道管理控制程序111138

13、未保護(hù)知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)知識(shí)產(chǎn)權(quán)保護(hù)控制程序111139非公平交易的風(fēng)險(xiǎn)公平竟?fàn)幙刂瞥绦?11140身份泄露的風(fēng)險(xiǎn)保護(hù)檢舉人管理程序111、不公開(kāi)檢舉人信息，并對(duì)檢舉人實(shí)行保護(hù)措施11EHS應(yīng)急準(zhǔn)備41消防許可、執(zhí)照不在有效期內(nèi)風(fēng)險(xiǎn)所有證照、文件、記錄設(shè)有管控程序。11EHS部每年等級(jí)所有證照并提前一個(gè)月提醒相關(guān)部門在有效期前更新并追蹤進(jìn)度。1142所有消防證書(shū)、檢測(cè)報(bào)告及應(yīng)急預(yù)案，證書(shū)不在有效期內(nèi)的風(fēng)險(xiǎn)所有證照、文件、記錄設(shè)有管控程序。11EHS部每年等級(jí)所有證照并提前一個(gè)月提醒相關(guān)部門在有效期前更新并追蹤進(jìn)度。1143火災(zāi)探測(cè)、報(bào)警和滅火系統(tǒng)不足的風(fēng)險(xiǎn)公司配有充足的消防栓、滅火器并每月點(diǎn)檢、維

14、護(hù)11公司配有充足的消防栓、滅火器并每月點(diǎn)檢、維護(hù)1144沒(méi)有緊急事件的風(fēng)險(xiǎn)評(píng)估及設(shè)立應(yīng)急預(yù)案得風(fēng)險(xiǎn)公司有應(yīng)急準(zhǔn)備及響應(yīng)程序，風(fēng)險(xiǎn)評(píng)估報(bào)告。11增加應(yīng)急預(yù)案，并對(duì)應(yīng)急響應(yīng)風(fēng)險(xiǎn)重新評(píng)估。1145安全出口、緊急出口及通道不充足風(fēng)險(xiǎn)公司設(shè)有兩個(gè)安全出口，通道順暢，每個(gè)月檢查。11更新應(yīng)急準(zhǔn)備及響應(yīng)程序，設(shè)立消防安全制度，把消防標(biāo)識(shí)、疏散圖及消防設(shè)備的點(diǎn)檢維護(hù)做了具體規(guī)定，并將審核發(fā)現(xiàn)的硬件不符合項(xiàng)做了糾正。1146沒(méi)有火災(zāi)疏散演練及應(yīng)急響應(yīng)全員培訓(xùn)的風(fēng)險(xiǎn)公司做了應(yīng)急演習(xí)，并有培訓(xùn)記錄，應(yīng)急準(zhǔn)備及響應(yīng)也有培訓(xùn)記錄。11更新應(yīng)急準(zhǔn)備及響應(yīng)程序，設(shè)立消防安全制度，對(duì)于疏散演練進(jìn)行了總結(jié)及不符合分析糾正。1

15、147沒(méi)有應(yīng)急小組得風(fēng)險(xiǎn)公司成立了應(yīng)急小組，由EHS經(jīng)理陸淑蓉?fù)?dān)任組長(zhǎng)。11對(duì)應(yīng)急小組進(jìn)行了應(yīng)急事件準(zhǔn)備相應(yīng)培訓(xùn)，應(yīng)急小組成員佩戴袖標(biāo)作為身份識(shí)別。1148沒(méi)有對(duì)應(yīng)急小組成員配備勞保用品并進(jìn)行年度培訓(xùn)得風(fēng)險(xiǎn)公司配備了應(yīng)急勞保用品，但對(duì)于消防員沒(méi)有配備消防裝備，應(yīng)急小組成員沒(méi)有袖標(biāo)等作為身份辨識(shí)標(biāo)志。11配備了消防員全套裝備，應(yīng)急小組成員佩戴不同袖標(biāo)作為身份辨別標(biāo)志。11EHS環(huán)境491.日常對(duì)重要環(huán)境因素污染物（固廢、廢水、噪音）檢查工作不到位；2.制定的相關(guān)應(yīng)急預(yù)案和預(yù)案培訓(xùn)不到位或缺失，預(yù)案演練不能按計(jì)劃進(jìn)行；3.消防設(shè)施配備不到位或失效；4.隱患排查有疏漏；5.固體廢棄物廢棄沒(méi)有按規(guī)定管

16、控6.產(chǎn)品的報(bào)廢檢查時(shí)可以發(fā)現(xiàn)111.定期進(jìn)行重要環(huán)境因素檢查；2.定期組織對(duì)應(yīng)急預(yù)案進(jìn)行演練；3.定期組織對(duì)消防設(shè)施、滅火器進(jìn)行檢查；4.與固體廢棄物處置單位簽訂協(xié)議，進(jìn)行合規(guī)處置，并建立回收處置記錄。5.報(bào)廢的產(chǎn)品引導(dǎo)客戶遵守當(dāng)?shù)叵嚓P(guān)環(huán)保法規(guī)，按照當(dāng)?shù)胤ㄒ?guī)處理11501.法律法規(guī)收集不全；2.法律法規(guī)收集不及時(shí)；3.法律法規(guī)變化不了解。法律法規(guī)合規(guī)性程序，定期對(duì)法規(guī)實(shí)施合規(guī)性評(píng)價(jià)。111.建立對(duì)相關(guān)法律法規(guī)的更新信息的渠道；2.實(shí)施對(duì)公司的適宜的法律法規(guī)更新；1151對(duì)供應(yīng)商的施加環(huán)境影響要求沒(méi)有實(shí)現(xiàn)；嚴(yán)格按照供應(yīng)商的管理程序定期對(duì)供應(yīng)商做評(píng)估11加強(qiáng)對(duì)供方相關(guān)施加影響；1152沒(méi)有滿足顧

17、客環(huán)境方面的要求；11加強(qiáng)與相關(guān)的管理部門的聯(lián)系；1153沒(méi)有及時(shí)獲取政府管理部門與環(huán)境有關(guān)的公告、通知、提示等文件；11加強(qiáng)文件的管理。1154政府環(huán)境法律法規(guī)變化新要求。加強(qiáng)法規(guī)關(guān)注度，嚴(yán)格考核供方運(yùn)輸配送能力11加強(qiáng)相關(guān)法規(guī)的關(guān)注度1155貨物運(yùn)輸途中因惡劣天氣條件導(dǎo)致對(duì)貨物的損害及到貨對(duì)物流公司的管控11運(yùn)輸?shù)呢浳镔?gòu)買安全運(yùn)輸保險(xiǎn)11EHS體系56體系未通過(guò)審核，造成證書(shū)不能使用設(shè)立專門部門負(fù)責(zé)體系維護(hù)和推進(jìn)。11指定各體系負(fù)責(zé)人定期對(duì)體系要求及時(shí)關(guān)注并學(xué)習(xí)1157管理層責(zé)任職責(zé)不明確管理層責(zé)任任命書(shū)11制定管理層責(zé)任程序1158法律要求客戶要求未及時(shí)了解法律法規(guī)要求程序11定期更新符

18、合法律法規(guī)的要求11財(cái)務(wù)部財(cái)務(wù)狀況CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 3 of 34 Feb 201059沒(méi)有定期對(duì)存在的安全隱患風(fēng)險(xiǎn)評(píng)估和管理風(fēng)險(xiǎn)評(píng)估管理程序11定期對(duì)存在的風(fēng)險(xiǎn)源進(jìn)行評(píng)估1160對(duì)年度內(nèi)審存在的問(wèn)題沒(méi)有改進(jìn)計(jì)劃，沒(méi)有糾正措施存在的風(fēng)險(xiǎn)按照年度內(nèi)審計(jì)劃對(duì)各部門進(jìn)行檢查11管理層嚴(yán)格對(duì)各部門檢查存在的問(wèn)題進(jìn)行監(jiān)督糾正1161未對(duì)員工培訓(xùn)的風(fēng)險(xiǎn)按照年度培訓(xùn)計(jì)劃定期給員工進(jìn)行培訓(xùn)11培訓(xùn)后進(jìn)行考核評(píng)分，對(duì)考核不合格的重新進(jìn)行培訓(xùn)，直到合格為止。1162沒(méi)有對(duì)員工溝通，給員工反饋參與及投訴的機(jī)會(huì)員工反饋及舉報(bào)程序111、公司組織都應(yīng)當(dāng)鼓勵(lì)和支持員工和供應(yīng)商依法投訴、舉報(bào)。任何部門和個(gè)人不得以任何借口打