RBA6.0風險評估及應對措施2019

1、CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 1 of 34 Feb 2010 Risk assessment and control measures風險評估及應對措施負責部門范圍序號風險現(xiàn)有的管控措施嚴重度（S）發(fā)生頻率（O）Mitigation降低風險措施殘余可能性（D）評定結(jié)果安全部廠界安全1非法闖入辦公區(qū)域在公共區(qū)域有門禁限制,24小時保安值班崗。CCTV，報警系統(tǒng)。11保安24小時巡邏，門禁卡及刷卡記錄每月檢查。112非法闖入倉庫區(qū)域24小時*7天的安全控制，所有進入倉庫區(qū)域的人員設置權(quán)限和門禁，所有開口CCTV

2、監(jiān)控，訪客人員有管理人員陪同。11所有窗戶有堅固的防護網(wǎng)，門禁加裝破門進入報警及未關(guān)門報警。113盜或故意破壞保安由保安公司配備，安全部統(tǒng)一管理，定期更換工作崗位，另外所有保安崗位都有攝像頭管控。11所有保安身份，均在公安機關(guān)備案，做過背景調(diào)查。所有保安的巡邏路線都有規(guī)劃和監(jiān)控，且檢查記錄實名登記。114來訪者-偷盜或故意破壞來訪者進入辦公區(qū)域或者倉庫須進行身份登記、說明來由等、及當面聯(lián)系受訪人核實，被批準后來訪者需佩戴發(fā)放的訪客證方能進入，其在公司內(nèi)部活動時需有相關(guān)的公司職員全程陪同。11有訪客制度、訪客陪同要求，要求全程佩戴訪客證，且保安值班崗有緊急警報按鈕。涉及機密、重要區(qū)域不予接觸。1

3、15新項目信息泄露1 內(nèi)部的公共盤設有權(quán)限控制；敏感項目需要與相關(guān)人員簽署保密協(xié)議；2. 所有使用相關(guān)文檔文件資料，無人在的情況下必須放在柜子里并及時上鎖，作廢時必須經(jīng)過碎紙機處理；3 公司電腦設有開機密碼保護設置，公司設置電腦自動鎖定。且要求辦公室員工離開座位及時鎖電腦.111.關(guān)于信息安全保護制度和政策，定期與人員進行培訓，增強員工的安全防護意識和技能；2.信息安全部門定期提供社會場景案例，發(fā)布應對措施；3.公司信息安全部門對電腦安裝防病毒軟件，且定期殺毒，經(jīng)理以上及工作需要崗位需開通外網(wǎng)權(quán)限必須提交審批流程；4.對電腦使用媒介進行限制，對軟件安裝或外存設有限制。116信息盜竊-未授權(quán)訪問

4、及濫用公司信息每個員工電腦都有用戶名和密碼保護。系統(tǒng)會提示用戶定期更改密碼。 根據(jù)每個人的工作授予訪問權(quán)限系統(tǒng)權(quán)限。如有員工離職，郵箱將會立即被凍結(jié)并取消。公司端及客戶端均設有防火墻保護。111.關(guān)于信息安全保護制度和政策，定期培訓，增強員工的安全防護意識和技能；2.電子郵件內(nèi)部使用權(quán)限，對于工作需要需開通發(fā)送外部郵箱，需經(jīng)流程結(jié)點審批。117病毒侵襲1.公司只開通內(nèi)部網(wǎng)絡和系統(tǒng)，不允許登陸與工作無關(guān)的網(wǎng)站；2.所有電腦在安裝初始狀態(tài)統(tǒng)一安裝殺毒軟件，且設置保護。111.公司信息安全部門對電腦安裝防病毒軟件，且定期殺毒，并設置權(quán)限，不得卸載；2.經(jīng)理以上及工作需要崗位需開通外網(wǎng)權(quán)限必須提交審批

5、流程；3.對電腦使用媒介進行限制，如無法使用USB接口。118數(shù)據(jù)備份失敗1.公司有完善的系統(tǒng)開發(fā)及備份流程，操作內(nèi)數(shù)據(jù)能有效進行保護和備份；2.且每天IT人員會對備份狀態(tài)進行檢查。111.有完善的信息安全政策；2.重要數(shù)據(jù)備份功能119內(nèi)部員工偷盜保安管控，有攝像頭監(jiān)控，有安檢門及金屬探測器。窗戶有鐵絲網(wǎng)防護。111.所有員工有背景調(diào)查和檔案記錄；2.所有進入倉庫區(qū)域的人員設置權(quán)限和門禁；3.公司有嚴密的封閉式管理制度，進出倉庫等區(qū)域需接受檢查；4.倉庫內(nèi)所有位置有監(jiān)控錄像，有自動報警響應裝置1110裝卸貨區(qū)域的偷盜所有裝卸貨區(qū)域裝卸貨時都有的保安跟蹤監(jiān)督，有CCTV監(jiān)控。11封閉式管理制度

6、、誠信準則價值觀要求，裝卸貨區(qū)域準入管理制度。1111火災-對貨物的影響/引起的偷盜/人身傷害 1.公司配置先進且全面的消防系統(tǒng)和設備，設有煙霧探測器，即時警報；2.季度和年度定期舉行消防演習，每個區(qū)域有滅火器及消防栓以防止火勢蔓延，所有人員會使用消防器材；3. 禁止在吸煙區(qū)以外任何區(qū)域吸煙,所有打火機和火柴不能被帶入倉庫；4.有嚴謹?shù)幕馂氖鹿侍幚碇贫燃笆鹿蕬毙〗M，進行人群疏散及急救以降低人身和物品傷害。11所有區(qū)域不得明火，所有消防設施定期更新和檢查；有消防應急逃生通道，有明確區(qū)域逃生指示圖。1112計劃外停電有備用電源及發(fā)電機可以支持攝像頭,燈光,門禁及電腦11有應急聯(lián)絡方式和斷電處理流

7、程制度11EHS自然災害13（臺風的影響） 看到天氣預報后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時間，甚至特殊調(diào)休以規(guī)避自然災害。11安全部門及時下發(fā)天氣預報，并做好提前預防措施，有應急預案，指導各部門預防措施； 至今尚沒有洪水影響的記錄。1114（洪水的影響） 看到天氣預報后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時間，甚至特殊調(diào)休以規(guī)避自然災害。11安全部門及時下發(fā)天氣預報，并做好提前預防措施，有應急預案，指導各部門預防措施； 至今尚沒有洪水影響的記錄。11EHS法律法規(guī)15 法律法規(guī)沒有及時更新1.搜集相關(guān)法律法規(guī)并定期去相關(guān)網(wǎng)站查有無更新2. 要求內(nèi)部部門確保內(nèi)部操作符合法律

8、法規(guī)要求11建立內(nèi)部法律機構(gòu)，根據(jù)政府新法規(guī)法律要求，及時更新內(nèi)部對應政策。11人事部人事16丟失重要的供應商1建立供應商名單2. 保持跟供應商的密切溝通，了解供應商的狀況及滿意度11定期對供應商進行評價1117關(guān)鍵人員的流失1.建立崗位輪換機制，同一崗位員工不能同時休假。111.有關(guān)鍵崗位工作要求及培訓，每季度績效考核；2.根據(jù)崗位不同，權(quán)限和福利也設有不同；3.定期與員工面談、進行績效回顧，切實了解員工的工作狀態(tài)。1118聘任誠信風險要求招聘部門在填寫招聘需求時寫清楚基本要求，管理部進行基本要求核對后，由用人部門面試考核。11大專以上學歷應聘者畢業(yè)證書必須上網(wǎng)查證，發(fā)現(xiàn)造假者一律不得錄用。

9、對發(fā)現(xiàn)未成年人，進行保護1119績效評估風險按照公司績效考核流程進行評估11績效評估完成后，進行試運行多部門共同討論，評審可行后再實施。11財務部財務狀況20合同簽訂風險經(jīng)領(lǐng)導批準后進行簽約111、建立合同評審制度，每次合同簽訂前必須經(jīng)過相關(guān)部門和責任員會簽，減少合同簽訂風險。11CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 2 of 34 Feb 201021營業(yè)執(zhí)照及其他授權(quán)證、照被吊銷風險錄入證照有效期系統(tǒng)11由管理部每年定期進行年檢，財務部進行監(jiān)督。022勞務風險新員工必須進行入職培訓后才能上崗；111、每年至少進行

10、一次入職培訓；2、公司存在的安全隱患進行檢查和監(jiān)督，發(fā)現(xiàn)違反安全現(xiàn)象及時糾正；3、對已發(fā)生的安全事故（包括輕微）進行分析和糾正，并將安全事故進行通報，讓員工時刻重視生產(chǎn)安全；023審計信息泄露風險專人負責并簽訂保密協(xié)議111、按正規(guī)審計流程實施。2、審計前對相關(guān)人員進行通告配合。0EHS勞工健康安全24（罷工的影響）建立舉報機制，員工代表收集員工意見和建議,如果合理,會反映給管理層并協(xié)商解決方案. 公司遵守國家法律，盡力改善員工福利.11有積極的員工福利政策和活動，有建議信箱，定期召開員工座談會和滿意度調(diào)查1125過度性體力勞動規(guī)范各崗位工作規(guī)范11增加休息時間1126強迫勞動的風險制定強迫性

11、勞工管理控制程序111、定期對人事部進行培訓不雇傭任何形式被強迫的員工1127使用童工的風險制定未成年人工控制程序111、人事部在招聘崗位時發(fā)現(xiàn)未成年員工進行登記，并按照規(guī)定進行對未成年員工的保護1128懷孕女工未得到相應的保護的風險制定女職工保護控制程序111、對懷孕的女進行登記，并安排輕松的崗位及休息時間1129工時超時的風險制定工作時間管理控制程序111、嚴格按照公司工作時間管理實行，對新員工發(fā)布公司員工手冊1130工資福利支付不到位的風險工資福利理控制程序111、發(fā)布員工手冊并嚴格按照工資福利待遇執(zhí)行1131未得到人道待遇的風險懲戒性措施管理控制程序111、發(fā)現(xiàn)不人道行為進行調(diào)查記錄并

12、按照規(guī)定采取懲戒措施1132被歧視的風險制定歧視管理控制程序111、定期組織培訓1133非自由結(jié)社的風險自由和集體談判的權(quán)利管理程序111、對宗教信仰進行問卷調(diào)查，給有宗教信仰的員工提供集會場所或參加集會的時間11道德34非廉潔經(jīng)營的風險制定反賄賂控制程序111、公司有匿名的意見箱，組織實施和監(jiān)督檢查，公司各級領(lǐng)導干部是組織實施的主要責任人，人事部協(xié)調(diào)組織，其他部門分工實施。各級領(lǐng)導干部和員工廉潔從業(yè)情況作為選拔任用考察、考核的重要內(nèi)容和任免的必要依據(jù)。1135不正當收益的風險制定反賄賂控制程序111136員工共謀勾結(jié)禁止共謀勾結(jié)程序111137信息不公開的風險核實渠道管理控制程序111138

13、未保護知識產(chǎn)權(quán)的風險知識產(chǎn)權(quán)保護控制程序111139非公平交易的風險公平竟爭控制程序111140身份泄露的風險保護檢舉人管理程序111、不公開檢舉人信息，并對檢舉人實行保護措施11EHS應急準備41消防許可、執(zhí)照不在有效期內(nèi)風險所有證照、文件、記錄設有管控程序。11EHS部每年等級所有證照并提前一個月提醒相關(guān)部門在有效期前更新并追蹤進度。1142所有消防證書、檢測報告及應急預案，證書不在有效期內(nèi)的風險所有證照、文件、記錄設有管控程序。11EHS部每年等級所有證照并提前一個月提醒相關(guān)部門在有效期前更新并追蹤進度。1143火災探測、報警和滅火系統(tǒng)不足的風險公司配有充足的消防栓、滅火器并每月點檢、維

14、護11公司配有充足的消防栓、滅火器并每月點檢、維護1144沒有緊急事件的風險評估及設立應急預案得風險公司有應急準備及響應程序，風險評估報告。11增加應急預案，并對應急響應風險重新評估。1145安全出口、緊急出口及通道不充足風險公司設有兩個安全出口，通道順暢，每個月檢查。11更新應急準備及響應程序，設立消防安全制度，把消防標識、疏散圖及消防設備的點檢維護做了具體規(guī)定，并將審核發(fā)現(xiàn)的硬件不符合項做了糾正。1146沒有火災疏散演練及應急響應全員培訓的風險公司做了應急演習，并有培訓記錄，應急準備及響應也有培訓記錄。11更新應急準備及響應程序，設立消防安全制度，對于疏散演練進行了總結(jié)及不符合分析糾正。1

15、147沒有應急小組得風險公司成立了應急小組，由EHS經(jīng)理陸淑蓉擔任組長。11對應急小組進行了應急事件準備相應培訓，應急小組成員佩戴袖標作為身份識別。1148沒有對應急小組成員配備勞保用品并進行年度培訓得風險公司配備了應急勞保用品，但對于消防員沒有配備消防裝備，應急小組成員沒有袖標等作為身份辨識標志。11配備了消防員全套裝備，應急小組成員佩戴不同袖標作為身份辨別標志。11EHS環(huán)境491.日常對重要環(huán)境因素污染物（固廢、廢水、噪音）檢查工作不到位；2.制定的相關(guān)應急預案和預案培訓不到位或缺失，預案演練不能按計劃進行；3.消防設施配備不到位或失效；4.隱患排查有疏漏；5.固體廢棄物廢棄沒有按規(guī)定管

16、控6.產(chǎn)品的報廢檢查時可以發(fā)現(xiàn)111.定期進行重要環(huán)境因素檢查；2.定期組織對應急預案進行演練；3.定期組織對消防設施、滅火器進行檢查；4.與固體廢棄物處置單位簽訂協(xié)議，進行合規(guī)處置，并建立回收處置記錄。5.報廢的產(chǎn)品引導客戶遵守當?shù)叵嚓P(guān)環(huán)保法規(guī)，按照當?shù)胤ㄒ?guī)處理11501.法律法規(guī)收集不全；2.法律法規(guī)收集不及時；3.法律法規(guī)變化不了解。法律法規(guī)合規(guī)性程序，定期對法規(guī)實施合規(guī)性評價。111.建立對相關(guān)法律法規(guī)的更新信息的渠道；2.實施對公司的適宜的法律法規(guī)更新；1151對供應商的施加環(huán)境影響要求沒有實現(xiàn)；嚴格按照供應商的管理程序定期對供應商做評估11加強對供方相關(guān)施加影響；1152沒有滿足顧

17、客環(huán)境方面的要求；11加強與相關(guān)的管理部門的聯(lián)系；1153沒有及時獲取政府管理部門與環(huán)境有關(guān)的公告、通知、提示等文件；11加強文件的管理。1154政府環(huán)境法律法規(guī)變化新要求。加強法規(guī)關(guān)注度，嚴格考核供方運輸配送能力11加強相關(guān)法規(guī)的關(guān)注度1155貨物運輸途中因惡劣天氣條件導致對貨物的損害及到貨對物流公司的管控11運輸?shù)呢浳镔徺I安全運輸保險11EHS體系56體系未通過審核，造成證書不能使用設立專門部門負責體系維護和推進。11指定各體系負責人定期對體系要求及時關(guān)注并學習1157管理層責任職責不明確管理層責任任命書11制定管理層責任程序1158法律要求客戶要求未及時了解法律法規(guī)要求程序11定期更新符

18、合法律法規(guī)的要求11財務部財務狀況CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 3 of 34 Feb 201059沒有定期對存在的安全隱患風險評估和管理風險評估管理程序11定期對存在的風險源進行評估1160對年度內(nèi)審存在的問題沒有改進計劃，沒有糾正措施存在的風險按照年度內(nèi)審計劃對各部門進行檢查11管理層嚴格對各部門檢查存在的問題進行監(jiān)督糾正1161未對員工培訓的風險按照年度培訓計劃定期給員工進行培訓11培訓后進行考核評分，對考核不合格的重新進行培訓，直到合格為止。1162沒有對員工溝通，給員工反饋參與及投訴的機會員工反饋及舉報程序111、公司組織都應當鼓勵和支持員工和供應商依法投訴、舉報。任何部門和個人不得以任何借口打