风险概率等级表
FOR-17-03A
等级保护、风险评估、安全测评三者的内在联系及实施建议 赵瑞颖 前言 自《国家信息化领导小组关于加强信息安全保障工作的意见》1出台后,等级保护、风险评估、系统安全测评(或称系统安全评估,简称安全测评)都是当前国家信息安全保障体系建设中的热点话题。本文从这三者的基本概念和工作背景出发,分析了三者相互之间的内在联系和区别并作了基本判断。本文还结合信息系统的开发生命周期模型(简称SDLC),本着“谁主管谁负责、谁运行谁负责”的原则,从发起实施主体的角度给出了三者在SDLC 过程中的实施建议。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。 B、风险评估 基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。 工作背景:风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信
编制说明 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、操作规程、安全技术措施等相关信息,从神华集团神朔铁路分公司K174+800~K178+200技术改造工程基本建设项目特点及工程安全生产事故发生机理着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识。 一、工程概况: 本段技术改造工程线路平面从神朔线三岔站东端K174+800引出,与既有上行线保持5m线间距并行向东,而后用半径为1000m的曲线左转并设中桥一座(16m+20m+16m)上跨209国道,同时通过第一个1000m半径曲线后,线间距由站端的5m逐渐拉大到15m,而后线路保持与既有上行线15m间距东行,于DK176+310处设二道河中桥(3-32m)上跨二道河,过二道河后线路用一半径为2000m的曲线左转,线间距由15m渐变为4m,接入既有下行线DK178+200处,新建下行线长,比既有上行线长。 本标段总投资约元人民币。 二、风险评估小组: 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立档案和管理台帐。 组长:项目经理 副组长:副经理兼安全总监、总工程师、安质部长 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人员 组长职责:1. 全面负责本项目施工危险源辨识和风险评估工作; 2. 依据体系规定的风险评估方法,定期进行风险评估; 3. 组织风险评估小组评估重大风险,确定风险控制措施; 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核;
等级保护、风险评估和安全测评三者之间的区别与联系 刚接触安全测试这项工作的时候,对等级保护、风险评估和安全测评三者之间的联系很不清楚,常常会弄混淆。幸得有这样一篇文章,详细介绍了三者的概念区别以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大家一起分享。 一、三者的基本概念和工作背景 A、等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。 工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》2规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又发布实施五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。《关于信息安全等级保护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是:66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
附件五半定量评估风险分级 利用SEP法进行的风险评估,可以按照风险值高低将风险分为表1所示的3个级别。 表1发电企业安全生产风险分级 序号风险等级风险值(R)控制要求 1 高风险200≤R 考虑停止、停用,立即采取处置措施 3 中风险20≤R<200 需要采取措施进行纠正 4 低风险R<20 需要进行关注 SEP 分值如下: 序号后果分值 1 安全 可能造成死亡≥3人;或重伤≥10人; 可能造成设备或财产损失≥1000万元。 100 健康 可能造成3~9例无法复原的严重职业病; 可能造成9例以上很难治愈的职业病。 环保产生的环保事件后果严重,潜在影响构成环保事故及以上等级 2 安全 可能造成1~2人死亡;或重伤3~9人。 可能造成设备或财产损失在100万元到1000万元之间。 50 健康 可能造成1~2例无法复原的严重职业病; 可能造成3~9例以上很难治愈的职业病。 环保 产生的环保事件对周围居民造成恶劣的影响,企业受到居民投诉,被迫停产进行限期治理(对人的影响) 3 安全 可能造成重伤1~2人; 可能造成设备或财产损失在10万元到100万元之间。 25 健康 可能造成1~2例难治愈或造成3~9例可治愈的职业病; 可能造成9例以上与职业有关的疾病。 环保主要环保设施发生故障致使机组停运、紧急抢修恢复后方可继续生产 4 安全 可能造成轻伤3人以上; 可能造成设备或财产损失在1万元到10万元之间。 15 健康 可能造成1~2例可治愈的职业病; 可能造成3~9例与职业有关的疾病。 环保 产生的污染物超过国家、地方标准或消耗的资源高于同行业最低水平需要投入大量资金进行专项改造才可达标 5 安全 可能造成轻伤1~2人; 可能造成设备或财产损失在1000元到1万元之间。 5 健康 可能造成1~2例与职业有关的疾病; 可能造成3~9例有影响健康的事件。
风险和机遇评价及应对措施表JL/SXDR-119-N0 内外风险及机遇的识别 风险及机 遇的评估 序号部 因 素 因素/ 过程风险和机遇 严 重 度 频 度 风 险 等 风险及机遇应对措施 控制措 施有效 性评价 级 1 内文件管理过 程 失效文件不能及时隔离。 1 2 2 失效文件及时撤回销毁,如需留档必须加盖“作废暂存”印章或标识。有效 外来文件识别不全,不能及时更新。 1 4 4 建立外来文件清单,及时更新。有效 2 内记录管理过 程 记录模板内容不适宜或缺失。 1 2 2 使用前审批,及时修订。有效 记录缺失、失真、不全面。 1 3 3 对人员进行培训教育考核。有效 3 内信息交流、 沟通过程 沟通渠道不畅,致信息收集不全。 1 4 4 相关部门建立良好沟通渠道。有效 信息不真实,致不能针对性改进或与相关方建立诚信友好的关系获得真实信息;提高员工诚信意识,反馈 1 2 2 有效决策失误。真实有效信息。 策划不到位,输入不充分。 1 2 2 总经理亲自策划、主持,结合公司各种总结计划共同实施。有效 4 内管理评审过 程 改进措施未落实,有效性差。 1 1 1 严格管理输入内容,质检部对各部门汇报总结审核。有效 走形式,结论失真,改进决议无实 1 2 2 总经理与企业的实际相结合确定改进方向。有效 际意义。 策划不到位,影响内审有效性。 1 2 2 审核能力强的内审员担任组长,对审核进行策划。有效 5 内内审过程内审人员能力不足,影响内审深度 和有效性。 1 2 2 外培内审员并取证。有效 抽样不均衡,致内审结果有效性、 符合性结论失真。 1 3 3 合理均衡抽样。有效 6 内改进过程内审员的选择没有独立性,影响内 审有效性。 1 1 2 禁止内审员审核自已的工作。有效内审不合格整改不到位,未验证内 审不合格整改效果差,有效性差。 1 2 2 由开具不符合的内审员或审核组长验证。有效不合格/ 不符合,未按规定要求整改 1 3 3 责任部门对问题认真整改,负责人亲自复查,主控部门监督检查。有效
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。 从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 风险评估的主要任务包括: 1)识别组织面临的各种风险; 2)评估风险概率和可能带来的负面影响;
等级保护安全风险评估报告模版
附件: 信息安全等级保护风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 ............................................... 错误!未定义书签。 1.1工程项目概况......................................................... 错误!未定义书签。 1.1.1 建设项目基本信息............................................ 错误!未定义书签。 1.1.2 建设单位基本信息............................................ 错误!未定义书签。 1.1.3承建单位基本信息 ........................................... 错误!未定义书签。 1.2风险评估实施单位基本情况 ................................. 错误!未定义书签。 二、风险评估活动概述 ............................................... 错误!未定义书签。 2.1风险评估工作组织管理 ......................................... 错误!未定义书签。 2.2风险评估工作过程................................................. 错误!未定义书签。 2.3依据的技术标准及相关法规文件 ......................... 错误!未定义书签。 2.4保障与限制条件..................................................... 错误!未定义书签。 三、评估对象 .............................................................. 错误!未定义书签。 3.1评估对象构成与定级 ............................................. 错误!未定义书签。 3.1.1 网络结构 ........................................................... 错误!未定义书签。 3.1.2 业务应用 ........................................................... 错误!未定义书签。 3.1.3 子系统构成及定级............................................ 错误!未定义书签。 3.2评估对象等级保护措施 ......................................... 错误!未定义书签。 3.2.1XX子系统的等级保护措施 .............................. 错误!未定义书签。 3.2.2子系统N的等级保护措施............................... 错误!未定义书签。
第一节施工风险分析与应对措施 风险管理是本工程建设项目管理中的重要内容之一。 工程项目风险是指所有影响该项目目标实现的不确定因素的综合,任何一项工程从项目立项及各种分析、研究、设计、计划等都是基于对未知因素预测之上的,基于正常的技术、管理、组织之上的。而在工程施工过程中这些预测的因素有可能发生变化,这些变化使得原定的方案受到干扰。我们把这些事先不能确定的内部和外部的干扰因素称之为风险。天津西站交通枢纽配套市政工程具有规模大、基坑深、技术新颖、施工时间长、参建单位多、与周边接口复杂等特点,因而本工程施工中风险比较大,在工程实施前编制应急预案和快速反应机制是十分必要的。 第一小节 4.2.1 工程项目风险的概念 1 工程项目风险 是指工程项目在可行性研究设计、施工等各个阶段可能遭到的风险。这些风险所涉及的当事人,主要是工程项目的业主/项目法人、工程承包商和工程咨询人/设计人/监理人。 2 风险具备的要素 风险发生的不确定性、风险的后果、风险发生的原因和环境,构成风险的要素,具体见图4.2.1-1所示。 图4.2.1-1 风险具备的要素内容 第二小节 4.2.2 工程项目风险分类 1 土建主承建单位的风险
土建主承建是业主的合作者,但在各自的利益上又是对应的双方,即双方既有共同利益,双方各自又有风险;土建主承建单位的行为对业主构成风险,业主的举动也会对承建单位的利益构成威胁;其中土建主承建单位的风险,具体内容见表4.2.1-2所示。 第三小节 4.2.3 工程项目风险管理 1 工程项目风险管理的概念及特点 1)工程项目风险管理的概念 是指项目主体通过风险识别、风险估计和风险评价等来分析工程项目的风险,并以此为基础,使用多种方法和手段,对项目活动涉及风险实行有效的控制,尽量扩大风险事件的有利结果,妥善地处理风险事件造成不利后果全过程的总称。 2)工程项目风险管理的特点 (1)工程项目风险管理,必须与该项目的特点相联系,一起考虑,包括项目复杂性、系统性、规模、新颖性、工艺的成熟程度等;项目的类型,项目所在领域;项目所处的地域,如环境条件等。 (2)风险管理需要大量地占有信息、了解情况,要对项目系统及系统环境有十分
实用文档编制说 依据国内相关法律、法规、规程、规范、条例、标准和其他相关的事故案例、技术标准,公司内部的管理体系文件、规章制度、作业规程、作规程、安全技术措施等相关信息,从神华集团神朔铁路分公K174+80K178+20技术改造工程基本建设项目特点及工程安全生产事故发生机着手,针对工程基本作业、安全文明施工等方面进行了全面的危险源辨识 一工程概况 本段技术改造工程线路平面从神朔线三岔站东K174+80引出,与既有上行线保5线间距并行向东,而后用半径1000的曲线左转并设桥一座16m+20m+16)上20国道,同时通过第一1000半径曲线后,线间距由站端5逐渐拉大15m而后线路保持与既有上行15距东行,DK176+31处设二道河中桥3-32)上跨二道河,过二道河后线路用一半径2000的曲线左转,线间距15渐变4,接入既有行DK178+20处,新建下行线3405.42,比既有上行线5.42 本标段总投资4742900元人民币 二风险评估小组 风险评估小组全体成员根据项目实际情况采取适当方法及时辨识出所存在的各种危险源,分析危险程度,制订相应的控制和应急措施,并建立案和管理台帐组长:项目经 副组长:副经理兼安全总监、总工程师、安质部 成员:工程部长、物资部长、财务部长、计划部长、办公室主任、专职安全员、施工队长和施工作业人 组长职责1.全面负责本项目施工危险源辨识和风险评估工作 2.依据体系规定的风险评估方法,定期进行风险评估 3.组织风险评估小组评估重大风险,确定风险控制措施 . 实用文档 4. 根据风险评估结果确定重大危害因素,提出风险控制措施及管理方案,提交小组审核; 5. 组织制定危险源因素清单,并讨论生成风险评估报告落实重大隐患的整改措施,掌握具体活动开展的时间和进度。 副组长职责:1. 组织危险辨识和风险评估的培训工作,指导各岗位人员进行危险源识别和风险评估活动; 2. 协调危险源辨识和风险评估工作所需的人力和物力支持,为落实风险控制措施提供必要的人力和物力支持; 3. 对职责范围内的物料、场所、活动、人员、机械设备进行危险源辨识和风险评估,并对其进行分级和动态管理。 成员职责: 1. 配合项目部做好各岗位危险源辨识和风险评估的参与活动; 2. 具体实施危险源辨识和风险评估活动的各项步骤; 3. 负责收集整理各岗位工种危险源辨识和风险评估活动参与记录,并收集成册; 4. 展开培训,提高员工风险辨识能力,使其风险辨识意识具有主动性和前瞻性;
1等级保护FAQ3 什么是等级保护、有什么用?3 信息安全等级保护制度的意义与作用?3 等级保护与分级保护各分为几个等级,对应关系是什么?3 等级保护的重要信息系统(8+2)有哪些?4 等级保护的主管部门是谁?4 国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 等级保护的政策依据是哪个文件?4 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 等级保护是否是强制性的,可以不做吗?5 等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 哪些单位可以做等级保护的测评?6 做了等级测评之后,是否会给发合格证书?6 是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6等级保护检查的责任单位是谁?7 2分级保护FAQ7 分级保护是什么?7 分级保护的主管部门是谁?7 分级保护定级到哪里备案?7 分级保护的政策依据是哪个文件?7 分级保护与等级保护的适用对象分别是什么?7 分级保护有关信息安全的标准相互关系是什么?8 分级保护与等级保护的定级依据有何区别?8 分级保护的建设依据、方案设计、测评分别依据哪些标准?8 分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 分级保护系统测评的作用是什么,是否必须做?9 哪些单位可以做分级保护的测评,有什么资质要求?9 分级保护对涉密系统中使用的安全保密产品有哪些要求?9 涉密系统分级保护多长时间需进行一次安全保密检查?9
各级保密局与各单位保密办的关系是什么?10 分级保护的系统集成对厂商的资质有什么要求?10 分级保护的安全建设是否必须监理,对监理资质有什么要求?10 分级保护的哪些具体工作对厂商有单项资质的要求?10 3综合问题11 等保与分保的本质区别是什么?11 等保与分保各有几种级别?11 等级保护/分级保护什么区别哪些部门在管理,怎么做?11 企业出现泄密事件上报那些单位?11 等保定级备案是依据单位还是系统?12 风险评估和等级保护的关系?12 方案设计阶段及实施前是否需要报批?12 对于等保中产品使用及密码产品是否有要求?12 等级保护/分级保护FAQ 1 等级保护FAQ 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年6 6号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
XXX地铁建设工程 安全风险等级划分指导标准 一、编制依据 依据XXX下发的《XXX城市轨道交通工程重点建设环节质量安全管理办法(试行)》(建技[XXX]XXX号)文件的有关规定,参照《城市轨道交通地下工程建设风险管理规范》(GB50652-2011)、《XXX轨道交通地下工程质量安全风险控制指导书》的有关标准,同时结合XXX地铁以往的地下工程经验,制定本标准。 二、风险分类及分级 城市轨道交通地下工程设计风险因素应从地下工程自身风险以及周边环境两方面等考虑,归纳为自身风险和环境风险两类。 根据风险事件发生的可能性和风险损失、社会影响等,将风险源的等级由高至低分为Ⅰ、Ⅱ、Ⅲ、Ⅳ级。 三、自身风险 地下工程的自身风险是指由于地下工程自身建设要求或施工活动所导致的风险。自身风险等级主要考虑地质条件、工程埋深、工艺特点、结构特性(如地下结构层数、跨度、断面形式、覆土厚度)等风险因素。其中,明挖法和盖挖法可按地质条件、基坑深度作为分级参考依据;盾构法以隧道相互之间的空间位置关系、连续掘进长度等作为分级参考依据;暗挖结构根据隧道的长度、地质复杂程度、环境条件等作为分级参考依据。 (一)基坑工程安全风险分级:Ⅰ、Ⅱ、Ⅲ、Ⅳ级 Ⅰ级: 明(盖)挖法基坑开挖深度H≥25m; Ⅱ级: 明(盖)挖法的基坑开挖深度20m≤H<25m; Ⅲ级: 明(盖)挖法的基坑开挖深度14m≤H<20m; Ⅳ级:明(盖)挖法的基坑开挖深度5m≤H<14m。 注:当水文地质和工程地质条件复杂时,风险等级可上调一级。 (二)盾构隧道安全风险分级:Ⅰ、Ⅱ、Ⅲ级 1、Ⅰ级 (1)处于非常接近状态(距离≤0.3D)的并行或交叠盾构隧道; (2)较长范围(长度≥100m)浅埋(盾构覆土厚度≤0.7D)的盾构隧道;
一、信息系统安全等级保护建设的必要性 信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。 国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。 中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了“老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。 公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。 二、确定综合经营管理系统的保护级别 根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国
附件: 信息系统 信息安全风险评估报告格式项目名称: 项目建设单位: 风险评估单位: 年月日 目录
一、风险评估项目概述工程项目概况 1.1.1 建设项目基本信息 1.1.2 建设单位基本信息 工程建设牵头部门 1.1.3承建单位基本信息
风险评估实施单位基本情况 二、风险评估活动概述 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 风险评估工作过程 工作阶段及具体工作内容. 依据的技术标准及相关法规文件 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
三、评估对象 评估对象构成与定级 3.1.1 网络结构 文字描述网络构成情况、分区情况、主要功能等,提供网络拓扑图。 3.1.2 业务应用 文字描述评估对象所承载的业务,及其重要性。 3.1.3 子系统构成及定级 描述各子系统构成。根据安全等级保护定级备案结果,填写各子系统的安全保护等级定级情况表: 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 3.2.2子系统N的等级保护措施 四、资产识别与分析 资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
附件: 信息系统 信息安全风险评估报告格式 项目名称:__________________________________________ 项目建设单位:______________________________________ 风险评估单位:______________________________________ 年月曰 目录 一、风险评估项目概述 ........................ 1.1工程项目概况............................ 1.1.1建设项目基本信息....................... 1.1.2建设单位基本信息 (1) 1.1.3承建单位基本信息....................... 1.2风险评估实施单位基本情况..................... 二、风险评估活动概述 ........................ 2.1风险评估工作组织管理....................... 2.2风险评估工作过程......................... 2.3依据的技术标准及相关法规文件................... 2.4保障与限制条件...........................
三、评估对象 ............................. 3.1评估对象构成与定级....................... 3.1.1网络结构............................ 3.1.2业务应用............................ 3.1.3子系统构成及定级........................ 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施................... 3.2.2子系统N的等级保护措施 .................. 四、资产识别与分析 (4) 4.1资产类型与赋值........................... 4.1.1资产类型............................ 4.1.2资产赋值............................ 4.2关键资产说明........................... 五、威胁识别与分析 ......................... 5.1威胁数据采集............................ 5.2威胁描述与分析.......................... 5.2.1威胁源分析............................ 5.2.2威胁行为分析......................... 5.2.3威胁能量分析................ 错误!未定义书签。 5.3威胁赋值.............................. 六、脆弱性识别与分析 ........................
等级爱护、风险评估和安全测评三者之间的区不与联系 刚接触安全测试这项工作的时候,对等级爱护、风险评估和安全测评三者之间的联系专门不清晰,常常会弄混淆。幸得有如此一篇文章,详细介绍了三者的概念区不以及联系,澄清了他们之间的关系。好文章不敢独享,特在此和大伙儿一起分享。 一、三者的差不多概念和工作背景 A、等级爱护 差不多概念:信息安全等级爱护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护,对信息系统中使用的安全产品实行按等级治理,对信息系统中发生的信息安全事件等等级响应、处置。那个地点所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
工作背景:1994年国务院颁布的《中华人民共和国计算机信息系统安全爱护条例》2规定:计算机信息系统实行安全等级爱护,安全等级的划分标准和安全等级爱护的具体方法,由公安部会同有关部门制定。1999年公安部组织起草了《计算机信息系统安全爱护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全爱护能力的五个等级,即:第一级:用户自主爱护级;第二级:系统审计爱护级;第三级:安全标记爱护级;第四级:结构化爱护级;第五级:访问验证爱护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全爱护技术能力等级的划分。2002年7月18日,公安部在GB17859的基础上,又公布实施五个GA新标准,分不是:GA/T 387-2002《计算机信息系统安全等级爱护网络技术要求》、GA 388-2002 《计算机信息系统安全等级爱护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级爱护数据库治理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级爱护通用技术要求》、GA 391-2002 《计算机信息系统安全等级爱护治理要求》。这些标准是我国计算机信息系统安全爱护等级系列标准的一部分。《关于信息安全等级爱护工作的实施意见的通知》3(简称66号文)将信息和信息系统的安全爱护等级划分为五级,即:第一级:自主爱护级;第二级:指导爱护级;第三级:监督爱护级;第四级:强制爱护级;第五级:专控爱护级。特不强调的是:66号文中的分级要紧是从信息和信息系统的业务重要性及遭受破坏后的阻碍动身的,是系统从应用需求动身必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
个人投资者风险承受能力调查问卷 填写须知 1.以下问题可在您选择合适的产品前,协助评估您的风险承受能力、理财方式及投资目标。下文将投资者的风险承受能力大小由低到高依次划分为:保守型、谨慎型、稳健型、积极型、激进型。如果您放弃接受该问卷调查,您的风险等级默认为“保守型”。 2.您需认知、了解并同意,如您提供不准确及/或不完整的资料,及/或不提供特定资料,则可能对您投资风险承受能力的评估带来影响。 3.风险提示:投资需承担各类风险(如市场风险、信用风险、流动性风险等),可能遭受资金损失。 本人已经认真阅读了上述调查问卷填写须知,并决定: 1.接受问卷调查□ 2.放弃问卷调查□ 投资者风险承受能力调查问卷 Q1:您的年龄? ① 25到40岁()②40到50岁() ③50到60岁()④ 60岁以上() Q2:您计划投资多久? ① 3年以上()② 1至3年() ③ 6个月至1年()④半年以下() Q3:通过我行投资基金的规模,预计占您金融性总资产的比例为多少? ①低于30% ()② 30%至50%() ③ 50%至75%()④高于70% () Q4:以下哪项描述正确反映了您的投资经验? ①丰富(5年以上),且希望自主理财()②熟悉(3至5年),但希望专业人士协助() ③一般(1至3年),有一些理财意识()④非常有限,不具备投资经验() Q5:您感觉目前负担的经济压力? ①非常轻松,完全没有压力()②一般,基本没有压力() ③较大,但尚能承受()④很大,还贷等负担较重() Q6:您在投资时最看重的是什么? ①每年获得稳定收益,获得长期收益()②获得短期的高收益() ③在通货膨胀时资产不贬值()④保住本金() Q7:如果短期内您的投资遭受一些损失,您的心理状态是? ①习以为常,也许是跟进的好机会()②司空见惯,只当是积累经验,但不再追加投资() ③对情绪有一定影响,继续观望()④对情绪影响很大,想立即退出() Q8:以下哪项是您可接受的投资价值波动程度? ①投资成长并赚取最高回报潜力,能接受长期(3年以上)的负面波动,包括损失本金() ②寻求较高收益和成长性的最佳结合,愿意接受2-3年的负面波动,以使回报显著高于定期存款利息() ③保守投资,但可以接受低于2年的少许负面波动,以使回报显著高于定期存款利息() ④不希望投资本金承担风险,投资回报与定期存款利息持平即可() 通过对您问卷调查的综合评定,我行将您的风险等级评估为:__________ 投资者。 个人投资者确认:_________
信息安全等级保护与风险 评估 This model paper was revised by the Standardization Office on December 10, 2020
信息安全等级保护与风险评估 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。 等级保护基本要求的内容分技术和管理两大部分,其中技术部分分为:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类,管理部分分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类。 按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。 由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合发出的66号文《关于信息安全等级保护工作的实施意见的通知》将信息和信息系统的安 全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。 66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发 的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。 风险评估就是量化评判安全事件带来的影响或损失的可能程度。
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载 解除合同的风险分析及应对措施 甲方:___________________ 乙方:___________________ 日期:___________________
《劳动合同法》第四十条规定:有下列情形之一的,用人单位提前三十日以书面形式通知劳动者本人或者额外支付劳动者一个月工资后,可以解除劳动合同:(一)劳动者患病或者非因工负伤,在规定的医疗期满后不能从事原工作,也不能从事由用人单位另行安排的工作的;(二)劳动者不能胜任工作,经过培训或者调整工作岗位,仍不能胜任工作的;(三)劳动合同订立时所依据的客观情况发生重大变化,致使劳动合同无法履行,经用人单位与劳动者协商,未能就变更劳动合同内容达成协议的。 【风险分析】 1、在用人单位确实需要解除劳动合同时,上述两种解除方式经济成本相同:提前30日以书面形式通知的,劳动合同30日届满后解除,这30日内用人单位仍需支付工资,和额外支付一个月工资成本一样。但二者风险不同:第一种 方式下,30日可发生很多事情,劳动者在这30日内仍存在工伤、患病、怀孕、意外伤害的风险,有这些情形之一的,用人单位将不能解除劳动合同。第二种方式下,用人单位支付了一个月工资后可立即解除劳动合同,解除后不会再产生用工风险。 2、在解除劳动合同时需遵循其程序,比如不能胜任工作的,不能直接解除, 需先培训或调岗,仍不能胜任工作的才可解除,违反该程序的,将承担违法解除劳动合同的风险,支付二倍经济补偿金。 【应对策略】 1、想办法由员工主动提出辞职(书面的辞职报告),并双方协商一致解除劳动合同,那么用人单位也无需支付经济补偿金(最佳选择)。 2、要翻看该员工在公司的历史记录,是否存在违纪行为,多次的处理行为是否已经构成企业规章制度中的严重违法劳动纪律行为,如果已经构成的,那么直接可以依法随时通知与其解除劳动合同,而无需支付经济补偿金。 另外需要指出的是,实践中经常涉及到双方均违约并且都可以随时解除劳动合同的情况,如用人单位未给员工缴纳社保,而该员工持续旷工或者严重违纪,而双方的争议发生已在眉睫,那么此时看谁能够更快占有先机,先提出解
风险等级确定标准表 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 备注:风险指数的确定:对风险出现的可能性、严重性和可检测性根据上表分别进行打分,确定风险指数RPN=出现的可能性×结果严重性×风险的可识别性,风险级别:得分小于20分为低风险,20-30分为中等风险,大于30分为高风险。RPN为20分以下为合理可接受风险。 控制效果等级评定使用如下控制效果等级确定标准: 控制效果等级确定标准表
备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 控制效果等级确定标准表 备注:控制效果指数的确定:对受控制的可能性、残余风险的严重性和控制
的彻底性根据上表分别进行打分,确定控制效果指数RPN=受控制的可能性×残余风险的严重性
×控制的彻底性,控制效果级别:得分≤25分为低风险,得到较好控制,26-59分为中等风险,得到一般控制,大于60分为高风险,得到较差控制。RPN为25分以下为的可接受风险,部分待内审检查确认风险等级的,应依据内审结果判定可接受性。 感谢您的支持与配合,我们会努力把内容做得更好!