新版供应商风险评估.pdf
供应商风险评估的步骤
供应商风险评估与管理的步骤如下。
1.制定供应商风险评估表
评估供应商风险,首先要制定供应商风险评估表,如表1所示。
表1 供应商风险评估表
内容标准评分
供应商规模是否少于200人
是:1分
否:0分资本额是否少于500万元人民币
是:1分
否:0分是否为全球500强企业
是:1分
否:0分
供应商的环保管理体系是否设有化学分析实验室
是:1分
否:0分是否通过ISO14000环境管理体系认证
是:1分
否:0分环保意识是否强烈是:1分
否:0分生产物料是否含有有毒物质
是:1分
否:0分废物排放量是否达标
是:1分
否:0分资源利用效率是否较高
是:1分
否:0分
供应商的物料风险控制能力高危物料存在的数目是否巨大
是:1分
否:0分高危物料的控制情况是否良好
是:1分
否:0分供应商的环保物料检测结果是否达标
是:1分
否:0分过去5年中是否由于物料而发生生产事故
是:1分
否:0分
供应商的生产控制系统有无产品设计部门
是:1分
否:0分是否跟踪客户抱怨
是:1分
否:0分
是:1分投产前供应商是否通过生产件批准程序(PPAP)
否:0分
是:1分是否取得QC080000认证
否:0分
是:1分是否有证据显示生产控制能力在不断提高
否:0分
是:1分客户与供应商是否有明确的沟通方式
否:0分
是:1分是否有证据显示平衡了生产时间和制造的"JIT"
否:0分
是:1分过去两年是否发生客户投诉事件
否:0分
是:1分是否有文件化的程序来控制、校准和保养检验、测量和试验设备
否:0分
是:1分对合格品、返工、报废品是否有专用的箱子隔离
否:0分
是:1分有无产品追溯
否:0分是否适当标识有疑问的物料是:1分
否:0分为保证产品质量,供应商内部是否对包装箱进行审核
是:1分
否:0分操作工是否可以掌握生产速度
是:1分
否:0分
供应商的物料管理系统有无运输经验
是:1分
否:0分有无规定运输方式、路线和考核指标
是:1分
否:0分库存材料是否存储在专用场所
是:1分
否:0分是否有正式的管理评审和汇报物料管理的方法
是:1分
否:0分供应商是否具备使用条形码的能力
是:1分
否:0分物料在存储、应用过程中是否得到有效的标识
是:1分
否:0分为了保证产品质量,原材料的搬运和存储方式是否有具
是:1分
否:0分
生产使用前,是否提前知道物料的检验结果
是:1分
否:0分
注:QC080000是对目前ISO9000质量管理体系的补充,与ISO9000架构一致,都是全面、系统和透明的管理体系,主要用于对生产制程中的有害物质进行管控。
2.制定供应商风险等级管理措施
供应商风险等级的管理措施,如表2所示。
表2 供应商风险等级的管理措施
供应商风险等级管理措施
高风险◇每批次物料需严格进行检验
◇每种物料需提供有效化学测试报告,且最长不超过6个月◇每年至少对供应商进行1次实地考察
中风险◇对每批次物料进行检验
◇每种物料需提供有效化学测试报告,且最长不超过12个月◇每年对供应商进行1次实地考察或书面审查
低风险
◇对每批次物料进行检验,若供应商的历史交货质量状况良好,可降低抽样检测频率
◇每年提交有效的化学测试报告1次
◇必要时,可对供应商每年执行1次书面审查
3.评定供应商风险等级
由品质工程师根据以上要求,执行最终的风险等级评定,并填写风险评估表;必要时,可根据评估的结果,建立高风险物料清单。
根据表 3.30对供应商进行评分,将供应商分为以下高、中、低3个等级。
高风险(红色)。风险评分为25分以上。
中风险(黄色)。风险评分为15~24分。
低风险(绿色)。风险评分为15分以下。
供应商风险评估体系的构建
折叠编辑本段
1.评估体系的设置原则
为保证评估结果的科学合理,在建立风险指标体系时,应遵循以下原则:
l)科学性原则。评价指标体系的设计应包含一定数量和层次的指标,各指标之间的关系应能准确反映事物之间的相互联系,这是实现正确、科学评价的前提和基础。
2)完备性原则。评价指标体系必须全面、准确地反映涉及企业风险的各个方面,不但能反映企业的历史业绩及现状,而且还能体现企业的合作能力和未来的发展潜力。
3)简明性原则。在全面反映企业综合水平的基础上,评价指标体系还必须做到简洁明了。指标体系过大、过细,层次过多,不仅会增加数据采集的成本及操作过程的复杂性,而且势必会将企业的注意力集中到细小的问题上,不利于对企业整体的综合评价。
4)可比性原则。评价指标体系应反映所有评价对象的共同属性,并尽可能的选用可量化的指标,对于定性指标,则可以通过专家打分或者其他方法给出较合理的定量化的数据,以保证评价结果的可比性。
5)灵活性原则。评价指标体系应具有足够的灵活性和可操作性,以使企业能够根据自身的特点及其生产经营的实际情况灵活运用。
6)可扩充性原则。评价指标体系应具有一定的可拓展性,不仅能够反映企业目前的发展水平,而且还能随着企业的发展而不断扩充、延展。
2.供应商风险评估指标体系
国外对供应商评价指标问题研究比较早且影响比较大的是DicksonG.W.,他通过对170份调查结果的分析与研究,最终识别出了23个供应商选择准则,从中发现了三个重要的选择标准:产品的质量,成本和交货行为的历史;Hatheran在对制药业调查之后,总结出了评价及选择供应商的8项准则,其中排在前三位的是质量、价格、服务。Yahya与Kingaman运用层次分析法,对供应商的选择建立了评价准则体系,其中交货、质量、设施所占的比重较大。
在国内,由华中理工大学管理学院CIMS-SCM(现代集成制造系统一供应链管理)课题组的调查统计数据可知,目前我国企业在选择供应商时,主要的标准是产品质量,其次是价格,另外就是交货提前期。林勇、马士华将影响合作伙伴选择的评价指标分为四类:企业业绩、业务结构与生产能力、质量系统和企业环境。在总结现有研究成果并咨询相关专家经验的基础上,按照风险评估体系设置的原则,建立了如表3所示的指标体系。主要从企业经营环境、企业资质、服务水平、合作兼容性、供货情况这五个方面对供应商进行评价。
表3 供应商风险评估指标体系
风险因素内部风险因素关联风险因素
子指标指标子指标指标子指标
经营环境A1 政治法律环境a1
社会文化环境a2
经济技术环境a3
自然地理环境a4
企业资质A2
人力资源a5
财务状况a6
生产装备a7
研发能力a8
管理水平a9
合作兼容性A4
企业文化兼容性a16
组织管理兼容性a17
战略目标兼容性a18
信息系统兼容性a19
产品标准化程度a20
无形资产a10 企业信誉a11 环保水平a12
服务水平A3 快速响应能力a13
服务满意度a14
信息沟通通畅性a15
供货情况A5
产品合格率a21
产品价格a22
采购成本a23
时间柔性a24
数量柔性a25
品种柔性a26
1)外部风险因素
主要是对企业经营环境的评估,该指标包括政治法律环境、社会文化环境、经济技术环境与自然地理环境。
政治法律环境和社会文化环境:主要在选择不同国家或地区的供应商时考虑。政治和法律方面的因素关系到投资环境安全性的问题,主要从政治是否
稳定、政府对企业的优惠政策以及法律体制的完善与否等方面考察;社会文化在无形中影响着企业的行为与决策,从人口素质、宗教制度、社会风俗以及对外来经济的排斥性等方面考察。
自然地理环境:主要考察地理位置、气候、自然资源及交通运输等情况,特别考虑供应商所在地与企业之间的交通距离与运输时间。距离和时间直接
影响运输费用、库存量以及订货机动性等。
经济技术环境:一个国家或地区的经济发展水平制约着供应商本身的发展,主要从市场开放及完善程度、企业竞争状况、基础设施建设、科技发展水平、经济发展前景等方面考察。
2)内部风险因素
主要从两个方面进行评估:企业资质与服务水平。企业资质主要包括人力资源、财务状况、生产装备、研发能力、管理水平、无形资产、企业信誉及
环保水平等。服务水平主要从快速响应能力、服务满意度以及信息沟通通畅性来描述。
人力资源:主要从人员整体素质(学历构成)、技术开发人员比重、人员培训时间、培训费用等方面考虑。
财务状况:反映企业财务状况的因素很多,重点是是否有足够的资金开展生产、是否有足够的盈利能力及经营安全度等,可从资产的负债率、总资产
周转率、资产收益率等方面考虑。
生产装备:主要考虑供应商生产设备、工艺的先进程度及利用程度。
研发能力:供应商的研发能力是供应链创新的原动力,可从科研费用投入、新产
品开发周期及成功率、新产品的销售、发明专利申请数量等方面衡量。
管理水平:主要从供应商在质量管理水平、成本控制水平、库存控制水平这三个角度考察。质量管理水平主要考察质量保障体系运行情况;成本控制方面按投入产出原理考察成本的有效性;库存控制水平主要从库存周转率方面考虑。
无形资产:主要考察供应商的商标价值、商誉、技术秘密等方面。
企业信誉:企业的信誉问题是企业长远发展的大问题。包括合同执行率、合作历史情况、外界满意度、企业道德水准、还贷信誉等。
环保水平:考察供应商产品制造、使用以及回收过程中对环境的影响。
快速响应能力:基本前提是准确性,主要从快速决策能力、信息集成水平、应变能力、整体协作水平、满足个性化需求的能力等方面考虑。
服务满意度:考察供应商服务态度、服务内容及标准、服务响应时间以及售后服务质量等。
信息沟通通畅性:良好的沟通是合作成功的前提,可以从信息通讯与交流能力、信息发布状况、信息共享水平、信息反馈能力、信息处理等方面描述。
3)关联风险因素
从合作兼容性和供货情况两个指标考虑。由于与供应商是深层次、多方面的长期合作,所以必须考虑对供应商合作能力的评价。合作兼容性包括企
业文化兼容性、组织管理兼容性、企业战略兼容性、信息系统兼容性以及产品标准化程度。供货情况主要从产品合格率、产品价格、采购成本、时间柔
性、数量柔性、产品柔性等考察。
企业文化兼容性:企业文化是企业在长期生产经营活动中,逐步形成的为全体员工普遍认可和共同遵循的价值观念和行为规范的总称。企业文化是一
种无形的约束,只有相近的文化才能进行良好的沟通合作。
组织管理兼容性:组织管理是通过建立组织结构,规定职务或职位,明确责权关系,以使组织中的成员互相协作、共同劳动,有效实现组织目标的过
程。主要考虑组织结构、管理体制等方面的兼容性。
战略目标兼容性:企业的战略目标决定着企业的发展方向,是企业生产管理活动的指导性方针。与供应商的战略目标同步有利于供应链的协调发展。
如果战略目标发生冲突,采取的行动就会不一致,摩擦会不断出现,合作关系也会不断恶化,最后走向决裂。
信息系统兼容性:信息合作与交换是取得双赢的关键。信息系统的兼容程度关系着信息传递速度、传递准确性等方面。具体是指信息内容、载体形式、传递渠道、存储媒介、处理方式等的兼容。
产品标准化程度:从产品的标准化程度考虑产品的兼容性。产品标准化是指对产品/零件的类型、性能、规格、质量、工艺装备、原材料及检验方法等
统一规定,制成各种标准,并使之贯彻实施的过程。
产品合格率:主要从产品质量角度考虑。产品质量是企业生存之本,产品价值是以产品质量为基础的。产品合格率指供应商的产品质量满足企业需求
的程度。
产品价格:是指购买每一单位产品所需付出的成本。通过供应商提供产品的价格,可以反映在同行业产品中该价格是否有竞争力。产品价格不再是选择供应商时考虑的首要因素,但仍是一个重要因素。
采购成本:是指企业在采购过程中所支付的各项费用,包括材料的运输费、装卸费、包装费、保险费等等。良好的合作关系可以节省采购费用。
时间柔性、数量柔性及品种柔性:主要考虑供应商提供的产品在时间、数量、品种上的变更能力,满足交货时间、数量、品种要求的能力。柔性反映一个企业对市场和客户需求变化的反应能力。
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
物料供应商风险评估报告
物料供应商风险评估报 告 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
【最新资料,WORD文档,可编辑修改】 目录 1、概述 2、目的 3、风险评估 3.1、风险识别 3.2、风险评价 3.3、风险评价 4、风险等级确认 5、风险控制 6、结论 1、概述: 1.1、供应商评估是保证物料采购的关键过程,通过对物料供应商的资质文件审核、供应商GMP法规的执行情况、质量风险管理体系、人员、设施设备、投诉、调查、变更管理、与企业沟通、环保健康安全、运输管理等一系列过程控制;是保证物料进厂合格的管理过程,是有效降低物料采购风险的控制方法。 1.2、根据物料对产品质量影响风险程度,结合公司产品确定物料的安全级别,其A级物料如下: 对直接影响药品质量的主要原辅料,经风险分析后定为A级。 原料有氯化钠、葡萄糖、甲硝唑、XXXX、XXXX、氟罗沙星、XXXX、XXX、中药材及中药饮片。
辅料有盐酸、氢氧化钠、乳酸、枸橼酸、依地酸钙钠、盐酸半胱氨酸、焦亚硫酸钠、磷酸二氢钠、磷酸氢二钠、空心胶囊、硬脂酸镁、药用糊精、药用淀粉、蔗糖、滑石粉、微晶纤维素、包衣粉。 2、目的: 建立A级物料供应商存在和可能发生的风险进行评估,确定风险等级;并采取措施将风险控制在可接受范围内。 3、物料供应商风险评估: 3.1、风险识别: A级物料是影响产品质量的关键物料,其物料供应商存在的风险程度直接影响物料产品质量风险程度。是物料供应商风险评估的重点。 根据对物料产品的质量影响情况和其他风险影响分析物料供应供应商可能存在的风险点如下: 3.2、对物料供应供应商风险点进行分析,以上风险点存在风险因素: 3.3、风险分析: 用定量分级RPN风险优先数量等级判定(危害 :存在风险项目较多,并且不能有效控制风险,从而影响其物料质量,最终影响到我公司产品的质量。) 用数值范围表示高,中,低等级的风险
供应商风险评估方案报告
目的 确认供应商审计的围及程度,识别供应商及物料采购选择质量风险,对风险进行分级,根据等级大小,进行分析、评估,确保关键风险要素能够得到有效控制,以降低供应商带来的质量风险,并为及时更换供应商提供依据。 围 公司生产品种所涉及的原辅料、包材的供应商均在此风险评估的围,重点是评估供应商的质量管理体系和所采购物料的风险等级。 责任 质量管理部、供销部 容 1供应商风险评估:包括质量保证能力评估、供货历史评估、维护性评估。 2采购物料风险评估:分为关键性物料、影响产品质量物料、不影响产品质量物料等三级质量风险评估。 3风险评估小组组员及职责
4风险评估程序 风 险 管 理 工 具 启动质量风险管理
5 供应商质量风险评估项目、风险分析原则及标准: 一、项目确定原则: 1.供应商系统设计性能检测项目 2.生产工艺设计储存条件对系统的要求 3.《洁净厂房设计规》GB50073-2001 4. 《药品生产质量管理规》2010版 二、评估标准: 根据我公司生产所用的供应商,对供应商相关资质、机构与人员、厂房和设施设备、物料管理、生产管理、质量管理、运输与交货七个重点项目用帕累托图分析法进行分析。分析供应商所存在的问题,分为3类,A类属于关键问题,累计分数在0~80%;B类问题属于次要问题,累计分数在80%~90%;C类问题属于一般问题,累计分数在90%~100%。 年月日至年月日,风险评估小组人员对供应商系统按照重点项目进行风险评估,各关键要素的风险分析,评估及结果见下表: 评分标准 0分-------- 未有文件 ; 1分 -------- 手写的程序或文件(未受控) ; 2 分-------- 不足夠,需要改善 ; 3 分-------- 备注,需要关注; 4分-------------- 满意; N/A ------------- 不适用. 风险评估表
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
新供应商评估表格模板
供 应 商 评 审 表 供应商名称: 主要供货产品: 评审日期 供应商代码(评估合格后填写): 供应商评审表 一、供应商资料填写
以上项目由相关责任人评定 二、供应商须提供的资料 1、营业执照复印件; 2、税务登记证复印件; 3、公司介绍(或相关资料) 4、认证体系证书复印件; 5、公司(工厂)机器设备清单; 6、代理商(贸易商)需提供代理证书 供应商考核要素与权重评价表
四、评审结果 附表一 附表二
附表三 附表四 附表5 附表6 附表7 附表8 供应商评审操作流程图
供应商基本资料表 否 是 否 是A 类物料 否 是 是 否 采购部人员根据各分、子公司 制定的《供应商选择准则》。 进行相应供应商的资料搜集 ★采购部 采购部向进有合作意向的供应商发送供应商发《供应商基本 资料表》。 ☆相关厂商 采购部门组织相关部门进行评审填写的《供应商评估报告表》 ★采购部★生产部 ★技术部★品控部 相关部门判断是否满足我司要求,不满足不考虑该厂商资格。 ★采购部★生产部 ★技术部★品控部 采购部组织使用部、品控部、、和技术部根据《供应商评估报 告表》确定供应商初选名单。 ★采购部☆品控部 ☆技术部☆生产部 满足采购部联系供应商送样。 ★采购部 品控部和技术部对所送样品进行检验给出结论,如样品不合格,则不再考虑该厂商资格。 ★技术部★品控部 ☆供应商 检验合格A 类物料采购部联系供应商提供小批量试产。不是A 类物料直接成为准合格供应商 ★采购部★使用部 ☆供应商 使用部门、技术部与品控部对该物料进行两次小批量试产及记录试产情况。合格则该供应商成为准合格供应商;不合格则不考虑该厂商资格,相关资料由采购部存档。 ★技术部★品控部 ★使用部 根据物料供应商分类是否为A 类物料。 ★品控部★采购部 由采购部、品控部、技术人员对供应商现场审核。评审通过成为该供应商进行下一步;否则暂不考虑该厂商资格,相关资料由供应部存档。 ★品控部★采购部★技术人员 将上述各阶段记录作为附件,由采购部组织相关部门对其进行会议评审。评审通过成为该供应商列入合格供应商名单;否则暂不考虑该厂商资格,相关资料由供应部存档。 ★品控部★采购部★技术部★使用部 采购部将合格供应商名单让管理者代表进行审核后。再交由各分、子公司总经理审批。 ★采购部 采购部把该供应商列入合格供应商档案,品控部建立供应商质量档案。 ★品控部☆采购部 一、目的 对供应商进行评审和选择保证本厂采购的原材料、包装材料及其它辅料等以确保其为公司提供合格的产品。 本程序适用于为我司提供产品的供应商的评定和控制。 二、定义 1 采购产品指购买本厂生产所需的原材料、半成品、包装材料及其它辅料等。 是 符合 是 不符合 不符合 符合 确定初选名单 供应商评估 满足要求 提供样品 是否合格 准合格供应商 提供两次小批量试产 是否合格 合格供应商名单 管理者代表审核 各分、子公司总经理审批 合格供应商名录 不考虑该 厂商资格 合格供应商日常管理及考核 是B 类C 类 物料 采购部根据《供应商选择准则》 A 类物料 现场审核 会议评审
物料及供应商风险评估程序
有限公司
物料及供应商风险评估程 序
版次 A0 修订章节 修订内容/原因
文件编号: 制订单位: -QP-12 品管部 文件版本: 制订日期: A0 1
修订
审核
批准
修订日期
诚信
务实
团结
奉献
页码
第 1 页 共 3 页
有限公司
物料及供应商风险评估程 序
文件编号: 制订单位: -QP-12 品管部 文件版本: 制订日期: A0 1
1.目的: 明确公司物料及供应商风险,确保公司对供应商及其提供的物料进行分级管理。 2.适用范围: 本公司所有 HSF 物料及供应商均适用之。 3.权责权限: 3.1 品管部:负责对 HSF 产品中有关危害物质含量的验证,负责对危害物质允许标准的修订和 更新。 3.2 业务部:负责获取最新的国际上国家法律法规和客户有关危害物质允许标准的最新信息。 3.3 采购部:负责与供应厂商沟通公司内有关危害物质政策。确保供应厂商所提供的原材料、 辅料、包材等符合公司相关的 HSF 产品中危害物质含量的标准。 4.内容: 4.1 材料因子评估: 根据有害物质调查表分析,针对原料、辅料及包材中有害物质含量的多少,测试数据的统 计数据的分析,公司把所有原料、辅料及包材进行评价后评定为以下三个级别: 风险级别 高风险 材料类别 包装材料 胶料类 化工类 塑胶配件 中风险 五金配件 外购件 辅料类 低风险 / 材料名称 包装袋(PVC、PE)、包装箱、工字 针、纸盒等 PS、尼龙等 油漆 子母扣、塑胶夹等 铁夹等 客户提供的混包配件等 热熔胶类 暂无 备注
4.2 供应商风险因子评估: 4.2.1 对提供 HSF 供应商进行风险评估,风险评估指标包括以下方面: 1) 公司规模; 2) 公司注册资本; 3) 公司产能水平; 4) 供应商有害物质管控体系情况; 5) 过去一年交货品质及有害物质管控情况。
诚信
务实
团结
奉献
页码
第 2 页 共 3 页
供应商风险评估报告资料
目的识别供应商及物料采购选择质量确认供应商审计的范围及程度,风险,对风险进行分级,根据等级大小,进行分析、评估,确保关键并为及风险要素能够得到有效控制,以降低供应商带来的质量风险,时更换供应商提供依据。范围包材的供应商均在此风险评估的公司 生产品种所涉及的原辅料、范围内,重点是评估供应商的质量管理体系和所采购物料的风险等级。责任质量管理部、供销部
内容供应商风险评估:包括质量保证能力评估、供货历史评估、维1 护性评估。采购物料风险评估:分为关键性物料、影响产品质量物料、不2 影响产品质量物料等三级质量风险评估。风险评估小组组员及职责3 1 第页共14页 风险评估程序4启动质量风险管理
风险管理工具 2 第页共14页 供应商质量风险评估项目、风险分析原则及标准:5 一、项目确定原则:供应商系统设计性能检测项目1. 生产工艺设计储存条件对系统的要求2.GB50073-2001 《洁净厂房设计规范》3. 版《药品生产质量管理规范》20104. 二、评估标准:根据我公司生产所用的供应商,对供应商相关资质、机构与人员、厂房和设施设备、物料管理、生产管理、质量管理、运输与交货七个重点项目用帕累托图分析类属于关键问题,累计分数A3类,法进行分析。分析供应商所存在的问题,分为类问题属于一般问题,;C类问题属于次要问题,累计分数在80%~90%0在~80%;B 100%。累计分数在90%~ 风险评估小组人员对供应商系统按照重点项目日,年月月日至年进行风险评估,各关键要素的风险分析,评估及结果见下表: 评分标准 0分--------未有文件; 分1 --------手写的程序或文件(未受控) ; 2 分--------; ,需要改善不足夠-------- 3 分备注,需要关注;-------------- 4分;满意 N/A ------------- .
信息安全风险评估报告
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
新版供应商风险评估.pdf
供应商风险评估的步骤 供应商风险评估与管理的步骤如下。 1.制定供应商风险评估表 评估供应商风险,首先要制定供应商风险评估表,如表1所示。 表1 供应商风险评估表 内容标准评分 供应商规模是否少于200人 是:1分 否:0分资本额是否少于500万元人民币 是:1分 否:0分是否为全球500强企业 是:1分 否:0分 供应商的环保管理体系是否设有化学分析实验室 是:1分 否:0分是否通过ISO14000环境管理体系认证 是:1分 否:0分环保意识是否强烈是:1分
否:0分生产物料是否含有有毒物质 是:1分 否:0分废物排放量是否达标 是:1分 否:0分资源利用效率是否较高 是:1分 否:0分 供应商的物料风险控制能力高危物料存在的数目是否巨大 是:1分 否:0分高危物料的控制情况是否良好 是:1分 否:0分供应商的环保物料检测结果是否达标 是:1分 否:0分过去5年中是否由于物料而发生生产事故 是:1分 否:0分 供应商的生产控制系统有无产品设计部门 是:1分 否:0分是否跟踪客户抱怨 是:1分 否:0分
是:1分投产前供应商是否通过生产件批准程序(PPAP) 否:0分 是:1分是否取得QC080000认证 否:0分 是:1分是否有证据显示生产控制能力在不断提高 否:0分 是:1分客户与供应商是否有明确的沟通方式 否:0分 是:1分是否有证据显示平衡了生产时间和制造的"JIT" 否:0分 是:1分过去两年是否发生客户投诉事件 否:0分 是:1分是否有文件化的程序来控制、校准和保养检验、测量和试验设备 否:0分 是:1分对合格品、返工、报废品是否有专用的箱子隔离 否:0分 是:1分有无产品追溯 否:0分是否适当标识有疑问的物料是:1分
供应商风险评估分析报告
供应商风险评估报告
————————————————————————————————作者:————————————————————————————————日期:
文件名称供应商及物料采购选择风险评估报告 文件编号SMP.QA-ZG-017 起草人起草日期年月日审核人审核日期年月日 批准人批准日期年月日执行日期年月日 颁发部门质量管理部版本号01 分发号 分发部门质管化验生产车间办公财务供销设备分发数量 2 0 0 0 0 0 1 0 目的 确认供应商审计的范围及程度,识别供应商及物料采购选择质量风险,对风险进行分级,根据等级大小,进行分析、评估,确保关键风险要素能够得到有效控制,以降低供应商带来的质量风险,并为及时更换供应商提供依据。 范围 公司生产品种所涉及的原辅料、包材的供应商均在此风险评估的范围内,重点是评估供应商的质量管理体系和所采购物料的风险等级。 责任 质量管理部、供销部 内容 1供应商风险评估:包括质量保证能力评估、供货历史评估、维护性评估。 2采购物料风险评估:分为关键性物料、影响产品质量物料、不影响产品质量物料等三级质量风险评估。 3风险评估小组组员及职责
成员 姓名 部门 职务 职责 组长 质量部 部长 质量保证能力的评估。 组员 质量部 QA 供应商有效资质的评估。。 组员 质量部 QA 供货历史的评估。 组员 供销部 采购员 与供应商联系,为质量部评估提供保障。 4风险评估程序 风险识别 风险分析 风险评价 风险降低 接受风险 风 险 信 息 沟 通 回顾风险管理过程 质量风险管理过程的结果 风 险 管 理 工 具 风险 评估 风险 控制 风险 回顾 不 启动质量风险管理
信息安全风险评估报告51753
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与 服务的企业。 3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。主要工作过程如下: 1.2017-9-10 ~ 2017-9-10,风险评估培训; 2.2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;
信息安全风险评估服务
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产,任对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息保密阶段1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个面;逐步形成了风险评估、自评估、认证认可的工作思路。
物料供应商风险评估报告
物料供应商风险评估报告 This model paper was revised by the Standardization Office on December 10, 2020
【最新资料,WORD文档,可编辑修改】 目录 1、概述 2、目的 3、风险评估 、风险识别 、风险评价 、风险评价 4、风险等级确认 5、风险控制 6、结论 1、概述:
、供应商评估是保证物料采购的关键过程,通过对物料供应商的资质文件审核、供应商GMP法规的执行情况、质量风险管理体系、人员、设施设备、投诉、调查、变更管理、与企业沟通、环保健康安全、运输管理等一系列过程控制;是保证物料进厂合格的管理过程,是有效降低物料采购风险的控制方法。 、根据物料对产品质量影响风险程度,结合公司产品确定物料的安全级别,其A级物料如下: 对直接影响药品质量的主要原辅料,经风险分析后定为A级。 原料有氯化钠、葡萄糖、甲硝唑、XXXX、XXXX、氟罗沙星、XXXX、XXX、中药材及中药饮片。 辅料有盐酸、氢氧化钠、乳酸、枸橼酸、依地酸钙钠、盐酸半胱氨酸、焦亚硫酸钠、磷酸二氢钠、磷酸氢二钠、空心胶囊、硬脂酸镁、药用糊精、药用淀粉、蔗糖、滑石粉、微晶纤维素、包衣粉。 2、目的: 建立A级物料供应商存在和可能发生的风险进行评估,确定风险等级;并采取措施将风险控制在可接受范围内。 3、物料供应商风险评估: 、风险识别: A级物料是影响产品质量的关键物料,其物料供应商存在的风险程度直接影响物料产品质量风险程度。是物料供应商风险评估的重点。
根据对物料产品的质量影响情况和其他风险影响分析物料供应供应商可能存在的风险点如下: 、政策法规 、产品质量 、对物料供应供应商风险点进行分析,以上风险点存在风险因素: 、政策法规影响的风险因素 、资质批准文件 、产品质量标准 、经营授权书 、产品质量影响的风险因素 、人员与机构 、厂房和设施、设备 、物料管理 、生产管理 、质量控制管理 、产品包装与运输 、质量管理体系
信息安全风险评估方案DOC
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
新供应商评估表格模板
供 应商 评 审 表 供应商名称: 主要供货产品: 评审日期 供应商代码(评估合格后填写): 供应商评审表 一、供应商资料填写
以上项目由相关责任人评定 二、供应商须提供的资料 1、营业执照复印件; 2、税务登记证复印件; 3、公司介绍(或相关资料) 4、认证体系证书复印件; 5、公司(工厂)机器设备清单; 6、代理商(贸易商)需提供代理证书供应商考核要素与权重评价表
四、评审结果 附表一 附表二
附表三 附表四 附表5 附表6 附表7 附表8 供应商评审操作流程图
是 否 是A 类物料 否 是 是 否 相关部门判断是否满足我司要求,不满足不考虑该厂商资格。 ★采购部★生产部 ★技术部★品控部 采购部组织使用部、品控部、、和技术部根据《供应商评估报 告表》确定供应商初选名单。 ★采购部☆品控部 ☆技术部☆生产部 满足采购部联系供应商送样。 ★采购部 品控部和技术部对所送样品进行检验给出结论,如样品不合格,则不再考虑该厂商资格。 ★技术部★品控部 ☆供应商 检验合格A 类物料采购部联系供应商提供小批量试产。不是A 类物料直接成为准合格供应商 ★采购部★使用部 ☆供应商 使用部门、技术部与品控部对该物料进行两次小批量试产及记录试产情况。合格则该供应商成为准合格供应商;不合格则不考虑该厂商资格,相关资料由采购部存档。 ★技术部★品控部 ★使用部 根据物料供应商分类是否为A 类物料。 ★品控部★采购部 由采购部、品控部、技术人员对供应商现场审核。评审通过成为该供应商进行下一步;否则暂不考虑该厂商资格,相关资料由供应部存档。 ★品控部★采购部★技术人员 将上述各阶段记录作为附件,由采购部组织相关部门对其进行会议评审。评审通过成为该供应商列入合格供应商名单;否则暂不考虑该厂商资格,相关资料由供应部存档。 ★品控部★采购部★技术部★使用部 采购部将合格供应商名单让管理者代表进行审核后。再交由各分、子公司总经理审批。 ★采购部 采购部把该供应商列入合格供应商档案,品控部建立供应商质量档案。 ★品控部☆采购部 一、目的 对供应商进行评审和选择保证本厂采购的原材料、包装材料及其它辅料等以确保其为公司提供合格的产品。 本程序适用于为我司提供产品的供应商的评定和控制。 二、定义 1 采购产品指购买本厂生产所需的原材料、半成品、包装材料及其它辅料等。 2 供应商评定实地到供应商处所或供应商提供的资料、电话、传真等方式进行对厂房、生产设备、产品 检验等各项要求是否满足本厂的要求。 3 评审人员负责本公司供应商评审考核的评定人员。 4 供应商评估因环境因素而无法进行实际评审时可用样品方式进行检测评估。 三、职责 1 供应部负责原材料、包装材料及其它辅料的供应商开发资格初审、工作方法考评和供应商档案的建立。 符合 是 不符合 不符合 符合 确定初选名单 提供样品 是否合格 准合格供应商 提供两次小批量试产 是否合格 合格供应商名单 管理者代表审核 各分、子公司总经理审批 合格供应商名录 合格供应商日常管理及考核 是B 类 C 类物料 A 类物料 现场审核 会议评审
供应商风险评估实施报告
目的 确认供应商审计的范围及程度,识别供应商及物料采购选择质量风险,对风险进行分级,根据等级大小,进行分析、评估,确保关键风险要素能够得到有效控制,以降低供应商带来的质量风险,并为及时更换供应商提供依据。 范围 公司生产品种所涉及的原辅料、包材的供应商均在此风险评估的范围内,重点是评估供应商的质量管理体系和所采购物料的风险等级。 责任 质量管理部、供销部 内容 1供应商风险评估:包括质量保证能力评估、供货历史评估、维护性评估。 2采购物料风险评估:分为关键性物料、影响产品质量物料、不影响产品质量物料等三级质量风险评估。 3风险评估小组组员及职责
4风险评估程序 风 险 管 理 工 具 启动质量风险管理
5 供应商质量风险评估项目、风险分析原则及标准: 一、项目确定原则: 1.供应商系统设计性能检测项目 2.生产工艺设计储存条件对系统的要求 3.《洁净厂房设计规范》GB50073-2001 4. 《药品生产质量管理规范》2010版 二、评估标准: 根据我公司生产所用的供应商,对供应商相关资质、机构与人员、厂房和设施设备、物料管理、生产管理、质量管理、运输与交货七个重点项目用帕累托图分析法进行分析。分析供应商所存在的问题,分为3类,A类属于关键问题,累计分数在0~80%;B类问题属于次要问题,累计分数在80%~90%;C类问题属于一般问题,累计分数在90%~100%。 年月日至年月日,风险评估小组人员对供应商系统按照重点项目进行风险评估,各关键要素的风险分析,评估及结果见下表: 评分标准 0分-------- 未有文件 ; 1分 -------- 手写的程序或文件(未受控) ; 2 分-------- 不足夠,需要改善 ; 3 分-------- 备注,需要关注; 4分-------------- 满意; N/A ------------- 不适用. 风险评估表
信息安全风险评估需求方案
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风
险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件
物料供应商风险评估
物料供应商风险评估报告编号:QR12-0008
目录 1、目的 (2) 2、风险评估小组成员与分工 (2) 3、范围 (2) 4、可接受标准 (2) 5、物料供应商分级 (2) 6、物料供应商风险评定及控制..................................................................... 错误!未定义书签。 6.1风险识别................................................................................................ 错误!未定义书签。 6.2风险分析 ............................................................................................... 错误!未定义书签。 6.3风险评估................................................................................................ 错误!未定义书签。 6.4风险控制................................................................................................ 错误!未定义书签。 6.5风险控制措施的确认及剩余风险的确认 (5) 6.6偏差及处理 (6) 6.7风险的沟通和审核 (6) 7、结论 (6) 8、风险评估报告的审批 (7)
供应商评估表(详细版)
供应商评估表(详细版)
供应商评估表供应商: 项次评审内容评审标准分 数评审结果 1.经营及业务管理(评估得分/14*20=本项评估结果) 1.1 公司应有一个 时期的发展规 划没有具体的发展规 划 有意向的发展规划, 但没有具体规划表 1 发展规划已有具体 的计划表,并在实施 中 2 1.2 公司应有各项 工作发展的具 体目标公司没有策划各项 工作的目标 公司的各项工作目 标有制定,单没有进 过管理评审 1 公司的各项工作目 标都已经过管理评 审而形成 2 1.3 须具有具体的没有目标实施改进0
目标实施改进计划计划 有目标实施改进计划,但完全未跟踪实 施 1 有目标试试改进计 划且完全依此实施 中 2 1.4 企业应重视人 才资源,且统计 人员的稳定性, 并实施改进企业对人才重视不够,不统计人员的稳 定性 企业重视人才资源, 但人员的稳定性统 计不够完善 1 企业充分利用人员 的稳定性统计结果, 并实施改进,以重视 人才资源 2 1.5 公司在接到客 户订单时,应经 过评审来确定 是否接受客户 订单接到订单不经过评审,也不反馈是否接 受订单意见给客户 订单经评审,但评审 结果并未及时反馈 1
给客户 客户订单经评审,且 评审结果及时反馈 给客户,保持与客户 沟通 2 1.6 公司具有专职 的部门及多种 与客户沟通的 方法以保证与 客户自建的沟 通及时0 1 2 1.7 公司应编写一 份完整的公司 简介,应包括公 司的基本概况 (名称、地点、 法人代表、注册 资金、经营范 围、厂房面积、 成立时间等)、 公司平面意识 图、公司组织架没有公司简介0 有公司简介,但简介 的内容过于简单,无 法获取有效信息 1 公司简介简洁全面 2
信息安全风险评估管理办法
信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动,适用本办法。 第三条本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。 第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。 检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
信息安全风险评估报告模板
XXXXXXXX信息系统 信息安全风险评估报告模板 项目名称: 项目建设单位: 风险评估单位: ****年**月**日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)