突发事件风险识别管控管理规定

突发事件风险识别管控管理规定第一章总则1.1目的为在突发事件发生前完成风险识别、评估、分级、预警、处置、复盘全周期闭环管理，最大限度降低人员伤亡、财产损失及声誉影响，特制定本规定。1.2适用范围本规定适用于××公司（以下简称“公司”）全球范围内所有办公区、生产园区、仓储中心、施工现场、员工宿舍、商务差旅及线上业务系统。1.3法规依据《中华人民共和国突发事件应对法》《生产安全事故应急条例》《信息安全技术网络安全事件分类分级指南》（GB/T20986-2023）等现行国家法律法规、行业标准及公司《安全生产责任制管理办法》《信息安全管理办法》等内部制度。1.4术语定义1.4.1突发事件：突然发生，造成或可能造成人员伤亡、财产损失、环境破坏、信息泄露、业务中断及舆情危机，需要采取应急处置措施予以应对的自然灾害、事故灾难、公共卫生事件和社会安全事件。1.4.2风险识别：通过系统方法发现潜在危险源、脆弱点、威胁场景并建立清单的过程。1.4.3风险分级：采用定量或半定量模型将风险划分为红、橙、黄、蓝四级，红色为最高。1.4.4管控措施：为降低风险至可接受水平而采取的技术、管理、应急、培训、保险等手段的组合。第二章组织与职责2.1突发事件风险识别管控委员会（以下简称“风控委”）主任：公司总经理副主任：分管安全、IT、运营、人力资源、供应链的副总经理成员：安全环保部、信息技术部、生产运营部、行政后勤部、法务合规部、财务部、采购部、人力资源部、品牌公关部、内审部、各事业部负责人职责：a)审批年度风险识别计划、预算及重大风险清单；b)决定红色级风险停产、停业、系统下线等强制措施；c)组织Ⅰ级突发事件应急响应；d)审议风险管控考核结果及奖惩方案。2.2风控委办公室（设在安全环保部）职责：a)编制、更新本规定及配套细则；b)建立并维护“风险识别管控信息系统”（RCIS）；c)每季度向风控委提交风险分析报告；d)监督各部门风险管控措施落实情况。2.3部门风险责任人（RRO）每个部门设专职或兼职RRO一名，职级不低于部门副经理，职责：a)组织本部门月度风险自查；b)在RCIS中维护风险清单及管控措施；c)收到预警后10分钟内完成内部通报并启动现场处置；d)24小时内向风控委办公室提交事件初步报告。2.4岗位风险管理员（RWA）生产一线、仓库、实验室、机房等高风险区域按班次设RWA，职责：a)班前5分钟“风险点口述确认”；b)实时上报新增风险至部门RRO；c)参与周演练、月复盘。第三章风险识别方法与流程3.1识别周期a)全面识别：每年1月、7月各一次；b)专项识别：新工艺、新设备、新系统上线前必须完成；c)动态识别：事故发生后48小时内、重大法规变更后7日内、气象部门发布红色预警后2小时内。3.2识别技术组合3.2.1现场观察法使用《风险观察记录表》（附件1），由两名以上RWA交叉记录，重点观察“人的不安全行为、物的不安全状态、环境的不良因素、管理的缺失”。3.2.2故障树分析法（FTA）对可能导致Ⅰ级事件的顶事件（如“反应釜爆炸”）向下分解至基本事件，最小割集数量≥3的必须单独建账。3.2.3危险与可操作性研究（HAZOP）针对工艺流程，以“引导词+参数”方式（如“无+流量”）进行节点分析，偏差后果严重性评分≥7分的列入橙色以上风险。3.2.4信息安全基线扫描采用公司统一采购的“灵眼V8.0”漏洞扫描系统，对全部IP资产每两周扫描一次，CVE评分≥9.0的漏洞直接列为红色风险。3.2.5供应链穿透式尽调对关键供应商（占采购金额≥5%或不可替代）使用“三维问卷+现场审核+暗访问”模式，识别其上游二级、三级厂商的劳工、环保、地缘政治风险。3.3识别输出a)风险代码：统一格式“R-年份-部门-序号”，如R-24-PRO-001；b)风险描述：采用“主语+谓语+后果”结构，≤100字；c)风险类别：自然灾害、火灾爆炸、化学品泄漏、信息安全、舆情、公共卫生、供应链中断、合规处罚、财务舞弊、劳资冲突共10类；d)风险源坐标：物理资产填写经纬度及海拔，信息资产填写IP、URL、云实例ID；e)初步风险值（R0）：按“发生可能性L×后果严重性C”计算，L与C均采用1-10分制。第四章风险评估与分级4.1评估模型采用“修正风险值R1=R0×暴露系数E×现有控制措施系数M”，其中E=1-0.1×（每日暴露小时数/24），M取值0.5-1.0，按措施有效性打分表（附件2）评定。4.2分级阈值红色：R1≥40；橙色：24≤R1＜40；黄色：8≤R1＜24；蓝色：R1＜8。4.3评估小组由安全环保部牵头，成员至少包含生产、设备、工艺、IT、法务、工会代表，人数5-7人，组长具备注册安全工程师或CISSP资质。4.4评估时限自收到完整资料起，5个工作日内完成现场复核，7个工作日内出具《风险评估报告》，经部门负责人、风控委办公室、分管领导三级签字确认后生效。4.5异议申诉责任部门对分级结果有异议的，可在报告生效后2个工作日内向风控委提交《风险分级申诉表》，风控委在3个工作日内组织专家复议，结论为终局。第五章风险管控措施制定5.1措施层级顺序消除→替代→工程控制→管理控制→个体防护→应急准备→财务转移。5.2红色风险管控a)立即停产、停机、下线或停用相关设施；b)24小时内成立“红色风险攻坚组”，由分管副总任组长；c)7日内完成可行性研究报告，30日内完成整改并通过第三方验收；d)整改期间每日向风控委书面汇报进展。5.3橙色风险管控a)制定《橙色风险专项管控方案》，明确责任人、资金、节点；b)每两周召开一次推进会；c)60日内完成主要整改，风险值降至黄色以下方可销号。5.4黄色风险管控a)纳入部门月度检查重点；b)3个月内完成整改或降级；c)未按期完成即自动升级为橙色。5.5蓝色风险管控a)纳入岗位级日常巡查；b)每季度回顾一次，无需单独销号。5.6信息安全专项a)红色漏洞：2小时内打临时补丁，24小时内完成正式修复；b)橙色漏洞：72小时内修复；c)所有生产系统必须开启基线加固脚本，禁止默认口令、禁止SMBv1、禁止数据库公网暴露。5.7供应链专项a)关键物料安全库存≥30天用量；b)建立“双源+一备份”机制，单一供应商份额≤70%；c)对地缘政治高风险国家供应商，额外签订不可抗力分担条款，预付比例≤10%。第六章预警与监测6.1预警等级对应风险分级，预警分红、橙、黄、蓝四级，由RCIS自动推送至责任人企业微信、短信、邮件。6.2监测数据源a)气象：接入国家气象局API，台风、暴雨、暴雪、寒潮、沙尘暴；b)地震：接入中国地震台网，震级≥4.0自动触发；c)舆情：采购“知微情V7.0”系统，关键词包含公司名、品牌名、高管姓名，负面情感值≥0.7即预警；d)网络：SOC平台实时监测，发现异常流量、暴力破解、挖矿、勒索软件特征立即升级；e)生产：DCS、SCADA系统阈值报警接入RCIS，液位、温度、压力、流量、有毒气体浓度任一指标达到联锁值即红色预警。6.3预警响应时限红色：立即（0分钟），橙色：10分钟，黄色：30分钟，蓝色：60分钟。6.4预警解除由发起部门提出，经风控委办公室现场验证或数据核验，确认风险值已降至阈值以下，报风控委副主任审批后发布解除公告。第七章应急预案与演练7.1预案体系公司级综合预案1份，专项预案12份（火灾爆炸、化学品泄漏、信息安全、舆情、公共卫生、供应链中断、地震、台风、财务舞弊、劳资冲突、食物中毒、班车交通事故），现场处置方案（OTS）覆盖全部红色风险点。7.2预案编制格式采用“1+4”模板：目的+风险分析、应急机构及职责、监测预警、处置流程、物资清单，每份预案≤20页，附带流程图、联络表、物资卡。7.3演练频次a)公司级综合演练：每年至少1次，实战拉动，时长≥4小时；b)专项演练：每半年1次；c)现场处置方案演练：每月1次，采用“四不两直”方式（不提前通知、不打招呼、不听汇报、不用陪同接待、直奔基层、直插现场）；d)信息安全和舆情演练：每季度1次，红蓝对抗。7.4演练评估使用《演练评估表》（附件3），从“响应及时、指挥有序、操作规范、协同高效、物资到位、通信畅通、舆情管控、恢复快速”8个维度打分，总分＜80分即为不合格，10日内完成整改并二次演练。第八章培训与能力验证8.1培训矩阵岗位入职培训、年度再培训、专项提升培训三类，采用“线上+线下+VR”混合模式。8.2培训时长a)新员工：入职首月内完成8学时风险识别基础课；b)RWA：每年不少于16学时，其中4学时VR火灾逃生、化学品泄漏模拟；c)RRO：每年不少于24学时，含HAZOP主持人资格培训；d)高管：每年不少于4学时，以案例教学为主，必须亲自参与一次无脚本演练。8.3能力验证a)理论考试：满分100分，80分合格；b)实操考核：现场随机抽取1个风险点，15分钟内完成识别、分级、临时管控措施制定；c)未通过者补考一次，仍不合格调离高风险岗位。第九章信息报告与沟通9.1报告时限a)Ⅰ级事件：立即电话报告，30分钟内书面初报，2小时内书面详报；b)Ⅱ级事件：1小时内书面初报，6小时内书面详报；c)Ⅲ级事件：2小时内书面报告；d)Ⅳ级事件：24小时内书面报告。9.2报告路径现场人员→RWA→RRO→部门负责人→风控委办公室→风控委主任→政府监管部门。9.3沟通语言内部统一使用简体中文，涉外机构可同步使用英文，但中文版本为准。9.4记录保存所有报告、邮件、录音、视频保存期限不少于3年，红色风险及Ⅰ级事件记录永久保存。第十章监督考核与奖惩10.1考核周期季度小考、年度大考，结果纳入部门绩效，权重占年度KPI的20%。10.2考核指标a)风险识别完成率≥98%；b)红色风险整改关闭率100%；c)橙色风险整改关闭率≥90%；d)演练评估合格率100%；e)培训覆盖率100%；f)瞒报、迟报、漏报事件0起。10.3评分细则采用百分制，每下降1个百分点扣2分，瞒报1起直接扣50分。10.4奖励a)年度考核前3名部门授予“风险管控卓越奖”，奖励额度为部门工资总额的2%；b)个人发现红色风险并避免重大损失的，经风控委认定，给予3-10万元现金奖励，并优先晋升。10.5处罚a)未按期完成红色风险整改的，部门负责人就地免职，分管副总扣减年度绩效50%；b)瞒报、谎报、迟报导致事态扩大的，移交纪检监察部门，给予行政记过直至解除劳动合同，涉嫌犯罪的移送司法机关；c)未按演练计划执行或评估不合格的，部门负责人罚款5000元，并在公司周例会通报批评。第十一章持续改进11.1复盘机制事件结束后5个工作日内完成《突发事件复盘报告》，采用“5Why+鱼骨图”双工具，输出改进措施并指定责任人。11.2数据驱动RCIS每月自动生成《风险趋势分析报告》，包含风险数量、等级分布、整改逾期率、重复发生率等12项指标，风控委办公室组织专题会，识别系统性缺陷。11.3外部审核每年委托具备国家认可资质的第三方机构进行一次全面审核，覆盖现场、文件、系统、人员，审核结论分为“A足够有效、B需改进、C严重不足”，出现C级事项30日内必须完成整改。11.4版本更新本规定由风控委办公室负责解释，每两年全面修