RBA6.0風(fēng)險評估及應(yīng)對措施2019

1、CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 1 of 34 Feb 2010 Risk assessment and control measures風(fēng)險評估及應(yīng)對措施負(fù)責(zé)部門范圍序號風(fēng)險現(xiàn)有的管控措施嚴(yán)重度（S）發(fā)生頻率（O）Mitigation降低風(fēng)險措施殘余可能性（D）評定結(jié)果安全部廠界安全1非法闖入辦公區(qū)域在公共區(qū)域有門禁限制,24小時保安值班崗。CCTV，報警系統(tǒng)。11保安24小時巡邏，門禁卡及刷卡記錄每月檢查。112非法闖入倉庫區(qū)域24小時*7天的安全控制，所有進(jìn)入倉庫區(qū)域的人員設(shè)置權(quán)限和門禁，所有開口CCTV

2、監(jiān)控，訪客人員有管理人員陪同。11所有窗戶有堅固的防護(hù)網(wǎng)，門禁加裝破門進(jìn)入報警及未關(guān)門報警。113盜或故意破壞保安由保安公司配備，安全部統(tǒng)一管理，定期更換工作崗位，另外所有保安崗位都有攝像頭管控。11所有保安身份，均在公安機(jī)關(guān)備案，做過背景調(diào)查。所有保安的巡邏路線都有規(guī)劃和監(jiān)控，且檢查記錄實名登記。114來訪者-偷盜或故意破壞來訪者進(jìn)入辦公區(qū)域或者倉庫須進(jìn)行身份登記、說明來由等、及當(dāng)面聯(lián)系受訪人核實，被批準(zhǔn)后來訪者需佩戴發(fā)放的訪客證方能進(jìn)入，其在公司內(nèi)部活動時需有相關(guān)的公司職員全程陪同。11有訪客制度、訪客陪同要求，要求全程佩戴訪客證，且保安值班崗有緊急警報按鈕。涉及機(jī)密、重要區(qū)域不予接觸。1

3、15新項目信息泄露1 內(nèi)部的公共盤設(shè)有權(quán)限控制；敏感項目需要與相關(guān)人員簽署保密協(xié)議；2. 所有使用相關(guān)文檔文件資料，無人在的情況下必須放在柜子里并及時上鎖，作廢時必須經(jīng)過碎紙機(jī)處理；3 公司電腦設(shè)有開機(jī)密碼保護(hù)設(shè)置，公司設(shè)置電腦自動鎖定。且要求辦公室員工離開座位及時鎖電腦.111.關(guān)于信息安全保護(hù)制度和政策，定期與人員進(jìn)行培訓(xùn)，增強(qiáng)員工的安全防護(hù)意識和技能；2.信息安全部門定期提供社會場景案例，發(fā)布應(yīng)對措施；3.公司信息安全部門對電腦安裝防病毒軟件，且定期殺毒，經(jīng)理以上及工作需要崗位需開通外網(wǎng)權(quán)限必須提交審批流程；4.對電腦使用媒介進(jìn)行限制，對軟件安裝或外存設(shè)有限制。116信息盜竊-未授權(quán)訪問

4、及濫用公司信息每個員工電腦都有用戶名和密碼保護(hù)。系統(tǒng)會提示用戶定期更改密碼。 根據(jù)每個人的工作授予訪問權(quán)限系統(tǒng)權(quán)限。如有員工離職，郵箱將會立即被凍結(jié)并取消。公司端及客戶端均設(shè)有防火墻保護(hù)。111.關(guān)于信息安全保護(hù)制度和政策，定期培訓(xùn)，增強(qiáng)員工的安全防護(hù)意識和技能；2.電子郵件內(nèi)部使用權(quán)限，對于工作需要需開通發(fā)送外部郵箱，需經(jīng)流程結(jié)點審批。117病毒侵襲1.公司只開通內(nèi)部網(wǎng)絡(luò)和系統(tǒng)，不允許登陸與工作無關(guān)的網(wǎng)站；2.所有電腦在安裝初始狀態(tài)統(tǒng)一安裝殺毒軟件，且設(shè)置保護(hù)。111.公司信息安全部門對電腦安裝防病毒軟件，且定期殺毒，并設(shè)置權(quán)限，不得卸載；2.經(jīng)理以上及工作需要崗位需開通外網(wǎng)權(quán)限必須提交審批

5、流程；3.對電腦使用媒介進(jìn)行限制，如無法使用USB接口。118數(shù)據(jù)備份失敗1.公司有完善的系統(tǒng)開發(fā)及備份流程，操作內(nèi)數(shù)據(jù)能有效進(jìn)行保護(hù)和備份；2.且每天IT人員會對備份狀態(tài)進(jìn)行檢查。111.有完善的信息安全政策；2.重要數(shù)據(jù)備份功能119內(nèi)部員工偷盜保安管控，有攝像頭監(jiān)控，有安檢門及金屬探測器。窗戶有鐵絲網(wǎng)防護(hù)。111.所有員工有背景調(diào)查和檔案記錄；2.所有進(jìn)入倉庫區(qū)域的人員設(shè)置權(quán)限和門禁；3.公司有嚴(yán)密的封閉式管理制度，進(jìn)出倉庫等區(qū)域需接受檢查；4.倉庫內(nèi)所有位置有監(jiān)控錄像，有自動報警響應(yīng)裝置1110裝卸貨區(qū)域的偷盜所有裝卸貨區(qū)域裝卸貨時都有的保安跟蹤監(jiān)督，有CCTV監(jiān)控。11封閉式管理制度

6、、誠信準(zhǔn)則價值觀要求，裝卸貨區(qū)域準(zhǔn)入管理制度。1111火災(zāi)-對貨物的影響/引起的偷盜/人身傷害 1.公司配置先進(jìn)且全面的消防系統(tǒng)和設(shè)備，設(shè)有煙霧探測器，即時警報；2.季度和年度定期舉行消防演習(xí)，每個區(qū)域有滅火器及消防栓以防止火勢蔓延，所有人員會使用消防器材；3. 禁止在吸煙區(qū)以外任何區(qū)域吸煙,所有打火機(jī)和火柴不能被帶入倉庫；4.有嚴(yán)謹(jǐn)?shù)幕馂?zāi)事故處理制度及事故應(yīng)急小組，進(jìn)行人群疏散及急救以降低人身和物品傷害。11所有區(qū)域不得明火，所有消防設(shè)施定期更新和檢查；有消防應(yīng)急逃生通道，有明確區(qū)域逃生指示圖。1112計劃外停電有備用電源及發(fā)電機(jī)可以支持?jǐn)z像頭,燈光,門禁及電腦11有應(yīng)急聯(lián)絡(luò)方式和斷電處理流

7、程制度11EHS自然災(zāi)害13（臺風(fēng)的影響） 看到天氣預(yù)報后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時間，甚至特殊調(diào)休以規(guī)避自然災(zāi)害。11安全部門及時下發(fā)天氣預(yù)報，并做好提前預(yù)防措施，有應(yīng)急預(yù)案，指導(dǎo)各部門預(yù)防措施； 至今尚沒有洪水影響的記錄。1114（洪水的影響） 看到天氣預(yù)報后提前提醒內(nèi)部部門關(guān)好門窗或者推遲或提前上下班時間，甚至特殊調(diào)休以規(guī)避自然災(zāi)害。11安全部門及時下發(fā)天氣預(yù)報，并做好提前預(yù)防措施，有應(yīng)急預(yù)案，指導(dǎo)各部門預(yù)防措施； 至今尚沒有洪水影響的記錄。11EHS法律法規(guī)15 法律法規(guī)沒有及時更新1.搜集相關(guān)法律法規(guī)并定期去相關(guān)網(wǎng)站查有無更新2. 要求內(nèi)部部門確保內(nèi)部操作符合法律

8、法規(guī)要求11建立內(nèi)部法律機(jī)構(gòu)，根據(jù)政府新法規(guī)法律要求，及時更新內(nèi)部對應(yīng)政策。11人事部人事16丟失重要的供應(yīng)商1建立供應(yīng)商名單2. 保持跟供應(yīng)商的密切溝通，了解供應(yīng)商的狀況及滿意度11定期對供應(yīng)商進(jìn)行評價1117關(guān)鍵人員的流失1.建立崗位輪換機(jī)制，同一崗位員工不能同時休假。111.有關(guān)鍵崗位工作要求及培訓(xùn)，每季度績效考核；2.根據(jù)崗位不同，權(quán)限和福利也設(shè)有不同；3.定期與員工面談、進(jìn)行績效回顧，切實了解員工的工作狀態(tài)。1118聘任誠信風(fēng)險要求招聘部門在填寫招聘需求時寫清楚基本要求，管理部進(jìn)行基本要求核對后，由用人部門面試考核。11大專以上學(xué)歷應(yīng)聘者畢業(yè)證書必須上網(wǎng)查證，發(fā)現(xiàn)造假者一律不得錄用。

9、對發(fā)現(xiàn)未成年人，進(jìn)行保護(hù)1119績效評估風(fēng)險按照公司績效考核流程進(jìn)行評估11績效評估完成后，進(jìn)行試運行多部門共同討論，評審可行后再實施。11財務(wù)部財務(wù)狀況20合同簽訂風(fēng)險經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后進(jìn)行簽約111、建立合同評審制度，每次合同簽訂前必須經(jīng)過相關(guān)部門和責(zé)任員會簽，減少合同簽訂風(fēng)險。11CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 2 of 34 Feb 201021營業(yè)執(zhí)照及其他授權(quán)證、照被吊銷風(fēng)險錄入證照有效期系統(tǒng)11由管理部每年定期進(jìn)行年檢，財務(wù)部進(jìn)行監(jiān)督。022勞務(wù)風(fēng)險新員工必須進(jìn)行入職培訓(xùn)后才能上崗；111、每年至少進(jìn)行

10、一次入職培訓(xùn)；2、公司存在的安全隱患進(jìn)行檢查和監(jiān)督，發(fā)現(xiàn)違反安全現(xiàn)象及時糾正；3、對已發(fā)生的安全事故（包括輕微）進(jìn)行分析和糾正，并將安全事故進(jìn)行通報，讓員工時刻重視生產(chǎn)安全；023審計信息泄露風(fēng)險專人負(fù)責(zé)并簽訂保密協(xié)議111、按正規(guī)審計流程實施。2、審計前對相關(guān)人員進(jìn)行通告配合。0EHS勞工健康安全24（罷工的影響）建立舉報機(jī)制，員工代表收集員工意見和建議,如果合理,會反映給管理層并協(xié)商解決方案. 公司遵守國家法律，盡力改善員工福利.11有積極的員工福利政策和活動，有建議信箱，定期召開員工座談會和滿意度調(diào)查1125過度性體力勞動規(guī)范各崗位工作規(guī)范11增加休息時間1126強(qiáng)迫勞動的風(fēng)險制定強(qiáng)迫性

11、勞工管理控制程序111、定期對人事部進(jìn)行培訓(xùn)不雇傭任何形式被強(qiáng)迫的員工1127使用童工的風(fēng)險制定未成年人工控制程序111、人事部在招聘崗位時發(fā)現(xiàn)未成年員工進(jìn)行登記，并按照規(guī)定進(jìn)行對未成年員工的保護(hù)1128懷孕女工未得到相應(yīng)的保護(hù)的風(fēng)險制定女職工保護(hù)控制程序111、對懷孕的女進(jìn)行登記，并安排輕松的崗位及休息時間1129工時超時的風(fēng)險制定工作時間管理控制程序111、嚴(yán)格按照公司工作時間管理實行，對新員工發(fā)布公司員工手冊1130工資福利支付不到位的風(fēng)險工資福利理控制程序111、發(fā)布員工手冊并嚴(yán)格按照工資福利待遇執(zhí)行1131未得到人道待遇的風(fēng)險懲戒性措施管理控制程序111、發(fā)現(xiàn)不人道行為進(jìn)行調(diào)查記錄并

12、按照規(guī)定采取懲戒措施1132被歧視的風(fēng)險制定歧視管理控制程序111、定期組織培訓(xùn)1133非自由結(jié)社的風(fēng)險自由和集體談判的權(quán)利管理程序111、對宗教信仰進(jìn)行問卷調(diào)查，給有宗教信仰的員工提供集會場所或參加集會的時間11道德34非廉潔經(jīng)營的風(fēng)險制定反賄賂控制程序111、公司有匿名的意見箱，組織實施和監(jiān)督檢查，公司各級領(lǐng)導(dǎo)干部是組織實施的主要責(zé)任人，人事部協(xié)調(diào)組織，其他部門分工實施。各級領(lǐng)導(dǎo)干部和員工廉潔從業(yè)情況作為選拔任用考察、考核的重要內(nèi)容和任免的必要依據(jù)。1135不正當(dāng)收益的風(fēng)險制定反賄賂控制程序111136員工共謀勾結(jié)禁止共謀勾結(jié)程序111137信息不公開的風(fēng)險核實渠道管理控制程序111138

13、未保護(hù)知識產(chǎn)權(quán)的風(fēng)險知識產(chǎn)權(quán)保護(hù)控制程序111139非公平交易的風(fēng)險公平竟?fàn)幙刂瞥绦?11140身份泄露的風(fēng)險保護(hù)檢舉人管理程序111、不公開檢舉人信息，并對檢舉人實行保護(hù)措施11EHS應(yīng)急準(zhǔn)備41消防許可、執(zhí)照不在有效期內(nèi)風(fēng)險所有證照、文件、記錄設(shè)有管控程序。11EHS部每年等級所有證照并提前一個月提醒相關(guān)部門在有效期前更新并追蹤進(jìn)度。1142所有消防證書、檢測報告及應(yīng)急預(yù)案，證書不在有效期內(nèi)的風(fēng)險所有證照、文件、記錄設(shè)有管控程序。11EHS部每年等級所有證照并提前一個月提醒相關(guān)部門在有效期前更新并追蹤進(jìn)度。1143火災(zāi)探測、報警和滅火系統(tǒng)不足的風(fēng)險公司配有充足的消防栓、滅火器并每月點檢、維

14、護(hù)11公司配有充足的消防栓、滅火器并每月點檢、維護(hù)1144沒有緊急事件的風(fēng)險評估及設(shè)立應(yīng)急預(yù)案得風(fēng)險公司有應(yīng)急準(zhǔn)備及響應(yīng)程序，風(fēng)險評估報告。11增加應(yīng)急預(yù)案，并對應(yīng)急響應(yīng)風(fēng)險重新評估。1145安全出口、緊急出口及通道不充足風(fēng)險公司設(shè)有兩個安全出口，通道順暢，每個月檢查。11更新應(yīng)急準(zhǔn)備及響應(yīng)程序，設(shè)立消防安全制度，把消防標(biāo)識、疏散圖及消防設(shè)備的點檢維護(hù)做了具體規(guī)定，并將審核發(fā)現(xiàn)的硬件不符合項做了糾正。1146沒有火災(zāi)疏散演練及應(yīng)急響應(yīng)全員培訓(xùn)的風(fēng)險公司做了應(yīng)急演習(xí)，并有培訓(xùn)記錄，應(yīng)急準(zhǔn)備及響應(yīng)也有培訓(xùn)記錄。11更新應(yīng)急準(zhǔn)備及響應(yīng)程序，設(shè)立消防安全制度，對于疏散演練進(jìn)行了總結(jié)及不符合分析糾正。1

15、147沒有應(yīng)急小組得風(fēng)險公司成立了應(yīng)急小組，由EHS經(jīng)理陸淑蓉?fù)?dān)任組長。11對應(yīng)急小組進(jìn)行了應(yīng)急事件準(zhǔn)備相應(yīng)培訓(xùn)，應(yīng)急小組成員佩戴袖標(biāo)作為身份識別。1148沒有對應(yīng)急小組成員配備勞保用品并進(jìn)行年度培訓(xùn)得風(fēng)險公司配備了應(yīng)急勞保用品，但對于消防員沒有配備消防裝備，應(yīng)急小組成員沒有袖標(biāo)等作為身份辨識標(biāo)志。11配備了消防員全套裝備，應(yīng)急小組成員佩戴不同袖標(biāo)作為身份辨別標(biāo)志。11EHS環(huán)境491.日常對重要環(huán)境因素污染物（固廢、廢水、噪音）檢查工作不到位；2.制定的相關(guān)應(yīng)急預(yù)案和預(yù)案培訓(xùn)不到位或缺失，預(yù)案演練不能按計劃進(jìn)行；3.消防設(shè)施配備不到位或失效；4.隱患排查有疏漏；5.固體廢棄物廢棄沒有按規(guī)定管

16、控6.產(chǎn)品的報廢檢查時可以發(fā)現(xiàn)111.定期進(jìn)行重要環(huán)境因素檢查；2.定期組織對應(yīng)急預(yù)案進(jìn)行演練；3.定期組織對消防設(shè)施、滅火器進(jìn)行檢查；4.與固體廢棄物處置單位簽訂協(xié)議，進(jìn)行合規(guī)處置，并建立回收處置記錄。5.報廢的產(chǎn)品引導(dǎo)客戶遵守當(dāng)?shù)叵嚓P(guān)環(huán)保法規(guī)，按照當(dāng)?shù)胤ㄒ?guī)處理11501.法律法規(guī)收集不全；2.法律法規(guī)收集不及時；3.法律法規(guī)變化不了解。法律法規(guī)合規(guī)性程序，定期對法規(guī)實施合規(guī)性評價。111.建立對相關(guān)法律法規(guī)的更新信息的渠道；2.實施對公司的適宜的法律法規(guī)更新；1151對供應(yīng)商的施加環(huán)境影響要求沒有實現(xiàn)；嚴(yán)格按照供應(yīng)商的管理程序定期對供應(yīng)商做評估11加強(qiáng)對供方相關(guān)施加影響；1152沒有滿足顧

17、客環(huán)境方面的要求；11加強(qiáng)與相關(guān)的管理部門的聯(lián)系；1153沒有及時獲取政府管理部門與環(huán)境有關(guān)的公告、通知、提示等文件；11加強(qiáng)文件的管理。1154政府環(huán)境法律法規(guī)變化新要求。加強(qiáng)法規(guī)關(guān)注度，嚴(yán)格考核供方運輸配送能力11加強(qiáng)相關(guān)法規(guī)的關(guān)注度1155貨物運輸途中因惡劣天氣條件導(dǎo)致對貨物的損害及到貨對物流公司的管控11運輸?shù)呢浳镔徺I安全運輸保險11EHS體系56體系未通過審核，造成證書不能使用設(shè)立專門部門負(fù)責(zé)體系維護(hù)和推進(jìn)。11指定各體系負(fù)責(zé)人定期對體系要求及時關(guān)注并學(xué)習(xí)1157管理層責(zé)任職責(zé)不明確管理層責(zé)任任命書11制定管理層責(zé)任程序1158法律要求客戶要求未及時了解法律法規(guī)要求程序11定期更新符

18、合法律法規(guī)的要求11財務(wù)部財務(wù)狀況CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 3 of 34 Feb 201059沒有定期對存在的安全隱患風(fēng)險評估和管理風(fēng)險評估管理程序11定期對存在的風(fēng)險源進(jìn)行評估1160對年度內(nèi)審存在的問題沒有改進(jìn)計劃，沒有糾正措施存在的風(fēng)險按照年度內(nèi)審計劃對各部門進(jìn)行檢查11管理層嚴(yán)格對各部門檢查存在的問題進(jìn)行監(jiān)督糾正1161未對員工培訓(xùn)的風(fēng)險按照年度培訓(xùn)計劃定期給員工進(jìn)行培訓(xùn)11培訓(xùn)后進(jìn)行考核評分，對考核不合格的重新進(jìn)行培訓(xùn)，直到合格為止。1162沒有對員工溝通，給員工反饋參與及投訴的機(jī)會員工反饋及舉報程序111、公司組織都應(yīng)當(dāng)鼓勵和支持員工和供應(yīng)商依法投訴、舉報。任何部門和個人不得以任何借口打