RBA6.0风险评估及应对措施2019

1、CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 1 of 34 Feb 2010 Risk assessment and control measures风险评估及应对措施负责部门范围序号风险现有的管控措施严重度（S）发生频率（O）Mitigation降低风险措施残余可能性（D）评定结果安全部厂界安全1非法闯入办公区域在公共区域有门禁限制,24小时保安值班岗。CCTV，报警系统。11保安24小时巡逻，门禁卡及刷卡记录每月检查。112非法闯入仓库区域24小时*7天的安全控制，所有进入仓库区域的人员设置权限和门禁，所有开口CCTV

2、监控，访客人员有管理人员陪同。11所有窗户有坚固的防护网，门禁加装破门进入报警及未关门报警。113盗或故意破坏保安由保安公司配备，安全部统一管理，定期更换工作岗位，另外所有保安岗位都有摄像头管控。11所有保安身份，均在公安机关备案，做过背景调查。所有保安的巡逻路线都有规划和监控，且检查记录实名登记。114来访者-偷盗或故意破坏来访者进入办公区域或者仓库须进行身份登记、说明来由等、及当面联系受访人核实，被批准后来访者需佩戴发放的访客证方能进入，其在公司内部活动时需有相关的公司职员全程陪同。11有访客制度、访客陪同要求，要求全程佩戴访客证，且保安值班岗有紧急警报按钮。涉及机密、重要区域不予接触。1

3、15新项目信息泄露1 内部的公共盘设有权限控制；敏感项目需要与相关人员签署保密协议；2. 所有使用相关文档文件资料，无人在的情况下必须放在柜子里并及时上锁，作废时必须经过碎纸机处理；3 公司电脑设有开机密码保护设置，公司设置电脑自动锁定。且要求办公室员工离开座位及时锁电脑.111.关于信息安全保护制度和政策，定期与人员进行培训，增强员工的安全防护意识和技能；2.信息安全部门定期提供社会场景案例，发布应对措施；3.公司信息安全部门对电脑安装防病毒软件，且定期杀毒，经理以上及工作需要岗位需开通外网权限必须提交审批流程；4.对电脑使用媒介进行限制，对软件安装或外存设有限制。116信息盗窃-未授权访问

4、及滥用公司信息每个员工电脑都有用户名和密码保护。系统会提示用户定期更改密码。 根据每个人的工作授予访问权限系统权限。如有员工离职，邮箱将会立即被冻结并取消。公司端及客户端均设有防火墙保护。111.关于信息安全保护制度和政策，定期培训，增强员工的安全防护意识和技能；2.电子邮件内部使用权限，对于工作需要需开通发送外部邮箱，需经流程结点审批。117病毒侵袭1.公司只开通内部网络和系统，不允许登陆与工作无关的网站；2.所有电脑在安装初始状态统一安装杀毒软件，且设置保护。111.公司信息安全部门对电脑安装防病毒软件，且定期杀毒，并设置权限，不得卸载；2.经理以上及工作需要岗位需开通外网权限必须提交审批

5、流程；3.对电脑使用媒介进行限制，如无法使用USB接口。118数据备份失败1.公司有完善的系统开发及备份流程，操作内数据能有效进行保护和备份；2.且每天IT人员会对备份状态进行检查。111.有完善的信息安全政策；2.重要数据备份功能119内部员工偷盗保安管控，有摄像头监控，有安检门及金属探测器。窗户有铁丝网防护。111.所有员工有背景调查和档案记录；2.所有进入仓库区域的人员设置权限和门禁；3.公司有严密的封闭式管理制度，进出仓库等区域需接受检查；4.仓库内所有位置有监控录像，有自动报警响应装置1110装卸货区域的偷盗所有装卸货区域装卸货时都有的保安跟踪监督，有CCTV监控。11封闭式管理制度

6、、诚信准则价值观要求，装卸货区域准入管理制度。1111火灾-对货物的影响/引起的偷盗/人身伤害 1.公司配置先进且全面的消防系统和设备，设有烟雾探测器，即时警报；2.季度和年度定期举行消防演习，每个区域有灭火器及消防栓以防止火势蔓延，所有人员会使用消防器材；3. 禁止在吸烟区以外任何区域吸烟,所有打火机和火柴不能被带入仓库；4.有严谨的火灾事故处理制度及事故应急小组，进行人群疏散及急救以降低人身和物品伤害。11所有区域不得明火，所有消防设施定期更新和检查；有消防应急逃生通道，有明确区域逃生指示图。1112计划外停电有备用电源及发电机可以支持摄像头,灯光,门禁及电脑11有应急联络方式和断电处理流

7、程制度11EHS自然灾害13（台风的影响） 看到天气预报后提前提醒内部部门关好门窗或者推迟或提前上下班时间，甚至特殊调休以规避自然灾害。11安全部门及时下发天气预报，并做好提前预防措施，有应急预案，指导各部门预防措施； 至今尚没有洪水影响的记录。1114（洪水的影响） 看到天气预报后提前提醒内部部门关好门窗或者推迟或提前上下班时间，甚至特殊调休以规避自然灾害。11安全部门及时下发天气预报，并做好提前预防措施，有应急预案，指导各部门预防措施； 至今尚没有洪水影响的记录。11EHS法律法规15 法律法规没有及时更新1.搜集相关法律法规并定期去相关网站查有无更新2. 要求内部部门确保内部操作符合法律

8、法规要求11建立内部法律机构，根据政府新法规法律要求，及时更新内部对应政策。11人事部人事16丢失重要的供应商1建立供应商名单2. 保持跟供应商的密切沟通，了解供应商的状况及满意度11定期对供应商进行评价1117关键人员的流失1.建立岗位轮换机制，同一岗位员工不能同时休假。111.有关键岗位工作要求及培训，每季度绩效考核；2.根据岗位不同，权限和福利也设有不同；3.定期与员工面谈、进行绩效回顾，切实了解员工的工作状态。1118聘任诚信风险要求招聘部门在填写招聘需求时写清楚基本要求，管理部进行基本要求核对后，由用人部门面试考核。11大专以上学历应聘者毕业证书必须上网查证，发现造假者一律不得录用。

9、对发现未成年人，进行保护1119绩效评估风险按照公司绩效考核流程进行评估11绩效评估完成后，进行试运行多部门共同讨论，评审可行后再实施。11财务部财务状况20合同签订风险经领导批准后进行签约111、建立合同评审制度，每次合同签订前必须经过相关部门和责任员会签，减少合同签订风险。11CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 2 of 34 Feb 201021营业执照及其他授权证、照被吊销风险录入证照有效期系统11由管理部每年定期进行年检，财务部进行监督。022劳务风险新员工必须进行入职培训后才能上岗；111、每年至少进行

10、一次入职培训；2、公司存在的安全隐患进行检查和监督，发现违反安全现象及时纠正；3、对已发生的安全事故（包括轻微）进行分析和纠正，并将安全事故进行通报，让员工时刻重视生产安全；023审计信息泄露风险专人负责并签订保密协议111、按正规审计流程实施。2、审计前对相关人员进行通告配合。0EHS劳工健康安全24（罢工的影响）建立举报机制，员工代表收集员工意见和建议,如果合理,会反映给管理层并协商解决方案. 公司遵守国家法律，尽力改善员工福利.11有积极的员工福利政策和活动，有建议信箱，定期召开员工座谈会和满意度调查1125过度性体力劳动规范各岗位工作规范11增加休息时间1126强迫劳动的风险制定强迫性

11、劳工管理控制程序111、定期对人事部进行培训不雇佣任何形式被强迫的员工1127使用童工的风险制定未成年人工控制程序111、人事部在招聘岗位时发现未成年员工进行登记，并按照规定进行对未成年员工的保护1128怀孕女工未得到相应的保护的风险制定女职工保护控制程序111、对怀孕的女进行登记，并安排轻松的岗位及休息时间1129工时超时的风险制定工作时间管理控制程序111、严格按照公司工作时间管理实行，对新员工发布公司员工手册1130工资福利支付不到位的风险工资福利理控制程序111、发布员工手册并严格按照工资福利待遇执行1131未得到人道待遇的风险惩戒性措施管理控制程序111、发现不人道行为进行调查记录并

12、按照规定采取惩戒措施1132被歧视的风险制定歧视管理控制程序111、定期组织培训1133非自由结社的风险自由和集体谈判的权利管理程序111、对宗教信仰进行问卷调查，给有宗教信仰的员工提供集会场所或参加集会的时间11道德34非廉洁经营的风险制定反贿赂控制程序111、公司有匿名的意见箱，组织实施和监督检查，公司各级领导干部是组织实施的主要责任人，人事部协调组织，其他部门分工实施。各级领导干部和员工廉洁从业情况作为选拔任用考察、考核的重要内容和任免的必要依据。1135不正当收益的风险制定反贿赂控制程序111136员工共谋勾结禁止共谋勾结程序111137信息不公开的风险核实渠道管理控制程序111138

13、未保护知识产权的风险知识产权保护控制程序111139非公平交易的风险公平竟争控制程序111140身份泄露的风险保护检举人管理程序111、不公开检举人信息，并对检举人实行保护措施11EHS应急准备41消防许可、执照不在有效期内风险所有证照、文件、记录设有管控程序。11EHS部每年等级所有证照并提前一个月提醒相关部门在有效期前更新并追踪进度。1142所有消防证书、检测报告及应急预案，证书不在有效期内的风险所有证照、文件、记录设有管控程序。11EHS部每年等级所有证照并提前一个月提醒相关部门在有效期前更新并追踪进度。1143火灾探测、报警和灭火系统不足的风险公司配有充足的消防栓、灭火器并每月点检、维

14、护11公司配有充足的消防栓、灭火器并每月点检、维护1144没有紧急事件的风险评估及设立应急预案得风险公司有应急准备及响应程序，风险评估报告。11增加应急预案，并对应急响应风险重新评估。1145安全出口、紧急出口及通道不充足风险公司设有两个安全出口，通道顺畅，每个月检查。11更新应急准备及响应程序，设立消防安全制度，把消防标识、疏散图及消防设备的点检维护做了具体规定，并将审核发现的硬件不符合项做了纠正。1146没有火灾疏散演练及应急响应全员培训的风险公司做了应急演习，并有培训记录，应急准备及响应也有培训记录。11更新应急准备及响应程序，设立消防安全制度，对于疏散演练进行了总结及不符合分析纠正。1

15、147没有应急小组得风险公司成立了应急小组，由EHS经理陆淑蓉担任组长。11对应急小组进行了应急事件准备相应培训，应急小组成员佩戴袖标作为身份识别。1148没有对应急小组成员配备劳保用品并进行年度培训得风险公司配备了应急劳保用品，但对于消防员没有配备消防装备，应急小组成员没有袖标等作为身份辨识标志。11配备了消防员全套装备，应急小组成员佩戴不同袖标作为身份辨别标志。11EHS环境491.日常对重要环境因素污染物（固废、废水、噪音）检查工作不到位；2.制定的相关应急预案和预案培训不到位或缺失，预案演练不能按计划进行；3.消防设施配备不到位或失效；4.隐患排查有疏漏；5.固体废弃物废弃没有按规定管

16、控6.产品的报废检查时可以发现111.定期进行重要环境因素检查；2.定期组织对应急预案进行演练；3.定期组织对消防设施、灭火器进行检查；4.与固体废弃物处置单位签订协议，进行合规处置，并建立回收处置记录。5.报废的产品引导客户遵守当地相关环保法规，按照当地法规处理11501.法律法规收集不全；2.法律法规收集不及时；3.法律法规变化不了解。法律法规合规性程序，定期对法规实施合规性评价。111.建立对相关法律法规的更新信息的渠道；2.实施对公司的适宜的法律法规更新；1151对供应商的施加环境影响要求没有实现；严格按照供应商的管理程序定期对供应商做评估11加强对供方相关施加影响；1152没有满足顾

17、客环境方面的要求；11加强与相关的管理部门的联系；1153没有及时获取政府管理部门与环境有关的公告、通知、提示等文件；11加强文件的管理。1154政府环境法律法规变化新要求。加强法规关注度，严格考核供方运输配送能力11加强相关法规的关注度1155货物运输途中因恶劣天气条件导致对货物的损害及到货对物流公司的管控11运输的货物购买安全运输保险11EHS体系56体系未通过审核，造成证书不能使用设立专门部门负责体系维护和推进。11指定各体系负责人定期对体系要求及时关注并学习1157管理层责任职责不明确管理层责任任命书11制定管理层责任程序1158法律要求客户要求未及时了解法律法规要求程序11定期更新符

18、合法律法规的要求11财务部财务状况CTS Threat AssessmentCTS Threat AssessmentVersion 1.5Page 3 of 34 Feb 201059没有定期对存在的安全隐患风险评估和管理风险评估管理程序11定期对存在的风险源进行评估1160对年度内审存在的问题没有改进计划，没有纠正措施存在的风险按照年度内审计划对各部门进行检查11管理层严格对各部门检查存在的问题进行监督纠正1161未对员工培训的风险按照年度培训计划定期给员工进行培训11培训后进行考核评分，对考核不合格的重新进行培训，直到合格为止。1162没有对员工沟通，给员工反馈参与及投诉的机会员工反馈及举报程序111、公司组织都应当鼓励和支持员工和供应商依法投诉、举报。任何部门和个人不得以任何借口打