信息安全风险评估管理办法

1、书山有路勤为径，学海无涯苦作舟。信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。 第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保

2、密性、完整性和可用性等安全属性进行评价的活动。第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。第五条风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目

3、录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。 第十条本省行政区域内信息系统应当定期开展风险评估，其中

4、重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统，可以不再进行自评估。 第十一条县以上信息化主管部门委托符合条件的风险评估服务机构，对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估，应当签订风险评估协议；信息化主管部门委托开展检查评估，受委托的风险评估服务机构应当与被评估单位签订风险评估协议。 对于评估活动可能影响信息系统正常运行的，风险评估服务机构应当事先告知被评估单位，并协助其采取相应的预防措施。 第十三条风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

5、 风险评估服务机构出具的自评估报告，应当经被评估单位认可，并经双方部门负责人签署后生效。 风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。第十四条自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。 接受检查评估的单位应当自收到检查评估报告之日起30日内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。 受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。第十五条信息化主管部

6、门应当定期公布已开展自评估、检查评估单位备案名单，督促未备案单位开展自评估。 第十六条未发生重大变更的重要信息系统再次进行风险评估的，可以参考前次评估结果，重点评估以下内容： （一）前次风险评估发现的主要问题及整改情况； （二）核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后，可能出现的安全隐患； （三）新的信息技术可能对信息系统安全造成的影响； （四）其他需要重点评估的内容。第三章风险评估机构 第十七条在本省行政区域内从事自评估服务的社会机构，应当具备下列条件，并报经其所在地省辖市信息化主管部门备案： （一）依法在中国境内注册成立并在本省设有机构，由中国公民、法人投资

7、或者由其它组织投资； （二）从事信息安全检测、评估相关业务两年以上，无违法记录； （三）专业评估人员不少于10人且均为中国公民，接受并通过相关培训考核，无违法记录；其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立实施风险评估的技术能力; （四）评估使用的技术装备、设施符合国家信息安全产品要求； （五）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度； （六）法律法规规定的其它条件。 第十八条在本省从事检查评估的社会机构，除具备第十七条规定条件外，还应当同时具备下列条件，并经其所在地省辖市信息化主管部门审核后，报省信

8、息化主管部门备案： （一）具有国家权威机构认定的信息安全服务资质； （二）评估人员不少于20人，其中主要评估人员4人以上，具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。 第十九条省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内，告知备案结果，并定期向社会公布本行政区域内风险评估服务机构备案名单，对其服务进行管理、监督。 第二十条从事风险评估服务的机构，应当履行下列义务： （一）遵守国家有关法律法规和技术标准，提供科学、安全、客观、公正的评估服务，保证评估的质量和效果； （二）保守在评估活动中知悉的国家秘密、商业秘密和个人隐私，防范安全风险，不得私自占有、

9、使用或向第三方泄露相关技术数据、业务资料等信息和资源； （三）对服务人员进行安全保密教育，签订服务人员安全保密责任书，并负责检查落实。第四章监督管理 第二十一条违反本办法，有以下行为之一的，由信息化主管部门责令其限期改正，逾期不改正的，予以通报；对直接责任人员，由所在单位或上级主管部门视情给予行政处分： （一）违反第九条、第十条规定，信息系统的建设、运营或者使用单位未按照规定开展自评估；重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的； （二）违反第十四条规定，自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的； （三）违

10、反第八条规定，信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估，并造成不良后果的。第二十二条违反本办法第十二条规定，风险评估服务机构未事先告知被评估单位、协助其采取预防措施的，由信息化主管部门责令限期改正，并给予警告；造成不良后果的，可视情暂停其备案1年，直至取消其备案。 第二十三条违反本办法第二十条规定，风险评估服务机构未经许可向第三方提供被评估单位相关信息的，或者从事影响评估客观、公正的活动的，由信息化主管部门视情暂停其备案一年，直至取消其备案。造成被评估单位经济损失的，应予合理赔偿；从中不当获利的，应予退还；构成犯罪的，应依法追究其刑事责任。 第二十四条信息化主管部门或其

11、他有关部门工作人员有下列行为之一的，由其监察部门或上级主管部门视情对相关责任人员给予行政处分；构成犯罪的，依法追究刑事责任： （一）利用职权索取、收受贿赂，或者玩忽职守、滥用职权的； （二）泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章附则 第二十五条本办法自发布之日起施行，由省信息化主管部门负责解释。 第二篇：国家电网公司信息安全风险评估管理暂行办法国家电网公司信息安全风险评估 管理暂行办法 第一章总则 第一条为加强和规范国家电网公司（以下简称公司）信息安全风险评估工作，加强公司信息安全的全过程动态管理，进一步提高公司信息安全水平，根据国家网络与信息安全协调小组关于

12、开展信息安全风险评估工作的意见，特制定本办法。 第二条公司信息安全风险评估是对公司一体化企业级信息系统的潜在威胁、薄弱环节、防护措施等进行分析评估，以识别信息安全风险，发现信息网络、信息系统的脆弱性和薄弱环节，提出有针对性的信息安全整改工作建议，提高信息系统整体防护水平。 第三条公司一体化企业级信息系统包括一体化企业级信息集成平台和八大业务应用。一体化企业级信息集成平台（简称“一体化平台”）包含信息网络、数据交换、数据中心、应用集成和企业门户；八大业务应用包括财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。 第四条本办法适用于公司总部，各

13、区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位） -1-信息安全风险评估工作。 第二章职责分工 第五条信息工作办公室（以下简称信息办）是公司信息安全风险评估工作的归口管理部门，主要职责： （一）负责贯彻落实国家有关部门要求，制定公司信息安全风险评估工作规范等文件； （二）负责统筹制定公司一体化企业级信息系统安全风险评估工作计划； （三）负责对各单位实施信息安全风险评估工作落实情况进行监督、检查； （四）负责组织以中国电力科学研究院和国网南京自动化研究院为主，公司有关人员参加的信息安全风险评估工作队伍/技术支撑单位，统筹开展公司各单位信息安全风险评估工作。 第六条各单位负责

14、本单位范围内信息网络和信息系统安全风险评估的具体实施工作，主要职责： （一）细化本单位信息安全风险评估实施计划，落实工作组织机构； （二）具体委托公司信息安全风险评估工作队伍/技术支撑单位，开展本单位范围内信息安全风险评估实施工作； （三）根据评估结果提出信息安全加固与整改工作计划 -2-报信息办批准后组织实施。 第七条中国电力科学研究院和国网南京自动化研究院为公司信息安全风险评估工作队伍/技术支撑单位，主要职责： （一）协助信息办制定和完善公司信息安全风险评估工作规范等文件编制工作； （二）根据信息办要求，接受各单位委托，开展信息安全风险评估工作，承担具体信息安全风险评估任务； （三）会同各

15、单位完成信息安全风险评估报告。 第三章内容和过程 第八条信息安全风险评估包括资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。 第九条各单位的信息安全风险评估实施总体分为启动准备、风险要素评估、风险计算分析建议、安全整改等四个阶段。 第四章组织实施 第十条公司信息安全风险评估分为自评估和检查评估。信息安全风险自评估工作周期为两至三年；等级保护级 -3-别高的信息系统，按照国家有关部门要求开展信息安全风险自评估工作。检查评估工作根据国家有关部门要求，结合公司信息安全实际情况，不定期组织开展。 第十一条 各单位根据信息安全风险评估周期要求，结合本单位实

16、际情况，于每年10月前提出下一年度信息安全风险自评估工作计划并报信息办。信息办结合公司各单位信息安全情况，统筹考虑并确定公司下一年度信息安全风险评估工作计划。 第十二条 对于纳入下一年度信息安全风险评估计划的单位要按照具体的时间要求，提前落实工作负责人，落实经费，联系风险评估技术支撑单位，细化工作计划，做好各项准备工作。 第十三条 各单位的信息安全风险评估工作要依据公司信息安全风险评估工作规范等文件，严格按照信息安全风险评估工作步骤、环节、内容，坚持信息安全风险评估标准，保证信息安全风险评估工作的科学性、规范性、客观性和实效性。 第十四条 各单位在开展信息安全风险评估工作时，对在线运行信息系统

17、实施有关测试，要事前建立应急预案，落实应急措施，确保信息系统安全、可靠运行。对于因进行信息安全风险评估工作导致信息系统运行异常和故障的情况，要认真分析原因，提出改进措施，避免类似事件再次发生。 第十五条各单位要高度重视信息安全风险评估专业 -4-人员培养工作，加强自身专业人员技术培训，认真做好技术支撑单位服务工作的配合、督促和评价工作。 第十六条 各单位计划内信息安全风险评估工作要于当年完成，并形成信息安全风险评估安全自评估报告、工作报告、技术报告、风险分析报告，整改建议报告，并报信息办。 第十七条 各单位要本着实事求是的原则开展安全整改，对于信息安全风险评估发现的安全风险如果不需要增加新的安

18、全技术手段和安全项目解决的问题，如通过修改配臵和加载补丁的安全加固等，应立即着手组织实施；对于需要通过安全项目解决的问题，各单位要选择重点，在整改建议报告中提出项目规模、内容、实施时间和有关建议。 第十八条 各单位要加强评估过程的保密管理。评估单位和评估实施单位对评估的信息负有保密责任，不得对外泄露。 第十九条 中国电力科学研究院、国网南京自动化研究院要按照信息安全风险评估工作常态化、延续性和保密性要求，建立持续、稳定的信息安全风险评估工作技术支撑队伍，加强技术支撑能力与服务能力建设，完善评估工具，切实承担起信息安全风险评估服务与指导工作任务。 第二十条 在业务流程、系统状况发生重大变化需进行

19、计划外信息安全风险评估时，各单位要及时报公司信息办，信息办将根据实际情况组织实施。 -5-第二十一条各单位要按照公司统一制定的信息安全风险评估费用测算办法，根据实际情况认真核算工作量与评估费用，与公司信息安全风险评估技术支撑单位签订信息安全风险评估技术服务委托合同或协议。 第五章附则 第二十二条本规定由国家电网公司信息工作办公室负责解释并监督执行。 第二十三条本规定自印发之日起执行。 -6- 第三篇：安全风险信息报送管理办法乌鲁木齐轨道交通工程 安全风险信息报送管理办法 _乌京基础设施建设管理有限公司 第一章 总 则 第一条 为加强乌鲁木齐市轨道交通工程施工阶段安全风险监控信息报送管理，进一步

20、明确各参建单位的监控信息报送内容、对象、方式和程序，特制定本办法。 第二条 本办法主要针对施工过程中风险监控信息报送，其它信息的报送按照相关管理办法要求执行。 第三条 _乌京基础设施建设管理有限公司（以下简称乌京建管公司）风险监测部为安全风险监控信息管理部门。 第四条 本办法由乌京建管公司风险监测部负责组织编写、修订并解释。 第二章 一般规定 第五条 监控信息包括一般监控信息、预警信息及消警信息。其中，一般监控信息包括监测信息、巡视信息及监控成果报告；预警信息包括监测预警、巡视预警和综合预警信息；监控成果报告包括监控日小结、周报、月报、阶段报告、年报，总结报告、建设单位要求的风险工程专项监测报

21、告等。 第六条 监控信息报送形式主要是通过“乌市轨道交通工程施工安全风险监控管理系统”（以下简称安全风险监控系统）报送、电话通知和书面报送。 第七条 各级监控实施或管理主体除向上级监控或管理主体上报监控信息外，还应对其信息进行分析，并及时反馈下级监控或管理主体，以有效指导施工。 2第八条 参建单位中任何一方发布巡视预警后，其他单位不再发布同一部位、同一类别、同一等级的巡视预警。 第九条 当预判风险工程可能达到红色综合预警状态或发生重大风险事件时，应首先组织先期处置，并以电话等快捷和可追溯的形式及时向相关单位进行快报。 第十条 对预警状态的风险事务处理结束后，预警发布单位应及时进行消警处理。 第

22、十一条 预警及消警事务的处置要求，具体参见安全风险预警、处置及消警管理办法。 第三章 管理结构与职责 第十二条 管理结构 （一）安全风险监控信息报送实行三级管理。 1、乌京建管公司领导层：乌京建管公司总经理、安全总监； 2、乌京建管公司：乌京建管公司风险监测部（依托第三方监测总体咨询单位或安全风险咨询单位）； 3、项目实施单位。施工单位、监理单位、第三方监测单位组成。 （二）项目实施各单位均应建立自身的监控信息报送管理体系，安排专人进行监控信息管理。 第十三条 参建单位职责 （一）乌京建管公司领导层 1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。 2、向风险

23、监测部、第三方监测、监理、施工单位反馈监督指导意见。 3、参与单项红色预警、综合橙色、综合红色预警审批及消警审批。 （二）风险监测部是乌市轨道交通工程风险监控信息报送的管理主体 1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。 2、依托安全风险咨询单位和第三方监测单位开展乌市轨道交通工程安全风险状况咨询评价工作，并向监理、施工单位反馈监督指导意见。 3、依托安全风险咨询单位或第三方监测单位发布综合橙色、红色预警。 4、负责施工监测阶段单项黄色、橙色、综合黄色预警的消警报告审批。 （三）第三方监测单位 负责实施乌市轨道交通工程施工监控信息的汇总、分析、评价、报送

24、与咨询服务和“安全风险监控系统”等维护工作，其主要职责为： 1、第三方监测总体咨询服务 （1）统一全线第三方监测工点、监理及施工单位信息报送内容及格式，编制第三方监测总体日小结、周报、月报、年报等全线信息，协助风险监测部汇总编制风险监测部的日小结、周报、月报、年报等 4全线信息，并负责上报公司主管领导层； （2）负责指导并督促第三方监测工点、施工、监理单位上报日小结、周报、月报、年报等全线信息；负责督促第三方监测工点单位及时编制阶段监测报告、工点监测总结报告等，并负责上报风险监测部。 （3）汇总全线的监控信息（主要指日常的汇报资料、日小结、周报、月报等）上报安全风险咨询单位或风险监测部。 （4

25、）督促第三方监测、施工、监理单位上传安全风险监控系统所需工程资料，并负责审批； （5）按照风险监测部的要求、第三方监测工点单位会商成果等，建立第三方监测总体单位的各类风险管理台账，并负责监督第三方监测工点单位的台账建立。 （6）施工阶段针对第三方监测工点单位上报的监控信息或反馈的信息，及时向安全风险咨询单位及乌京建管公司风险监测部提出风险评估和处置措施建议。 （7）针对工点单位的预警，第三方监测总体单位要及时跟踪响应，提出风险评估和处理意见。 （8）对全线监测红色预警、巡视预警、综合预警进行跟踪响应，提出咨询意见，直至风险消警。 （9）统一制定全线施工单位监测总结报告及第三方监测阶段报告、总结

26、报告内容及格式，督促各第三方监测工点单位及时编制以上报告并负责审核，上报风险监测部。 5（10）负责乌京建管公司要求的其他信息上报工作。 2、第三方监测工点 （1）收集本标段勘察、设计、施工、第三方监测等单位“安全风险监控系统”所需基础资料，并负责上传相关基础资料（含gis图）、监测数据及巡视信息等。 （2）编写第三方监测工点单位的日小结、周报、月报、年报等，并负责向风险监测部、第三方监测总体上报，同时抄送所辖标段的施工、监理单位。 （3）负责配合安全风险咨询单位或风险监测部对所辖标段施工、监理单位“安全风险监控系统”权限的开通。 （4）依据第三方监测工点单位现场巡视和监测情况提出第三方监测工

27、点单位标段的综合预警建议。 （5）参与消警（监测、巡视）报告审批，通过“安全风险监控系统”上传阶段监测消警及综合预警消警资料进行消警。 （6）协助乌京建管公司不定期对施工、监理单位的风险监控信息报送情况、“安全风险监控系统”使用情况进行指导及检查。 （7）第三方监测工点单位应及时编制阶段监测报告、工点监测总结报告等，并报第三方监测总体审批，报风险监测部备案。 （8）按照风险监测部、安全风险咨询单位、第三方监测总体单位的要求，负责第三方监测工点单位风险台账的建立。 （四）监理单位 实施现场巡视信息报送等工作，其主要职责为： 1、通过“安全风险监控系统”报送日小结、周报、月报、年报、巡视信息等报告

28、。 2、依据现场巡视情况发布巡视预警，结合监测情况报送综合预警建议。 3、负责对监理标段的施工监测和第三方监测数据及巡视信息对比、分析，及时形成对比报告，发现异常及时向施工、第三方监测单位反馈，并督促相关单位采取相应措施。 4、参与施工监测预警、巡视预警、综合预警的消警报告审批。 （五）施工单位 实施现场监测、巡视信息报送等工作，其主要职责为： 1、通过“安全风险监控系统”报送日小结、周报、月报、年报等监控成果报告。 2、依据现场巡视情况发布巡视预警，结合监测情况提出综合预警建议。 3、根据预警处置情况，达到消警条件后，提出消警申请。 第四章 一般监控信息报送 第十四条 信息报送流程 一般监控

29、信息应通过“安全风险监控系统”或书面形式逐层上报，总体报送流程如图4-1所示。 城轨集团总经理城轨集团、五中心领导层五中心总经理安全综合评价、监督指导意见等城轨集团安全副总经理监控管理日报、周报、月报、年报安全综合评价、监督指导意见等安全综合评价、监督指导意见等五中心书记、安全副总经理监控管理日报、周报、月报、年报监控管理部门安全评价信息、监督指导意见等城轨集团安质部、五中心安全质量部（第三方监测总体单位）安全评价信息、监督指导意见等监测信息、巡视信息、日报、周报、月报、年报巡视信息、日报、周报、月报、年报安全评价信息、监督指导意见等汇总后的监测信息、巡视信息、监测日报、周报、月报、年报项目实

30、施单位施工单位（施工监控）0 1、02标所辖标段日报、周报、月报监测信息、巡视信息、日报、周报、月报、年报监理单位安全评价信息、监督指导意见等0 1、02标所辖标段日报、周报、月报第三方监测01标（工点）监测信息、巡视信息、监控管第三方监测02标（工点）安全评价信息、监督指导意见等理日报、周报、月报、年报第三方监测01标（总体）第三方监测01标（工第三方监测点）02标（工点）监控管理日报、周报、月报、年报安全评价信息、监督指导意见等 图4-1施工安全风险一般监控信息报送流程图第十五条 施工单位信息报送 （一）信息报送主要内容 （1）监测数据。施工影响范围内周边环境及围（支）护结构监测数据。 （

31、2）巡视信息。包括周边环境巡视信息、围（支）护体系巡视信息、开挖面巡视（地质状况观察及描述）信息等。 （3）日小结。包括当日工程进度、监测成果、巡视信息（附照片）、预警信息及分析、风险工程安全状态评价等。 （4）周报 8本周施工工况统计信息。包括本周具体施工进度，风险工程通过情况等。 本周监测及巡视作业情况。包括监测项目、巡视内容、完成监测和巡视工作量等。 本周监测巡视异常信息及预警情况。包括工点风险状况、工点监测、巡视预警情况的统计说明，监测数据及巡视信息综合分析情况等。 本周风险事务处理情况。包括对各方反馈意见落实情况及风险事务处理、效果、变化趋势、存在问题、下一步风险处理建议等。 下周风

32、险管控重点。主要涵盖风险预告（可细化到各风险因素关注或管控内容，施工组织与管理等）。 相关附图、附表。包括各监测项目监测布点图、本周施工监测数据汇总成果表、巡视照片、监测时程曲线等图表。 （5）月报、年报。主要包括近一月、近一年内所辖标段风险工程通过情况、安全风险概述、安全风险评价及下一月、年度安全风险管控重点及建议，具体内容要求参见周报。 （二）信息报送途径、对象和时间要求 （1）监测数据及巡视信息。应于当日通过“安全风险监控系统”上传。 （2）日小结、周报：应分别于当日18：30前及每周四18：30前通过“安全风险监控系统”上报风险监测部、第三方监测总体单位，同时抄送监理单位，上报前须报监

33、理单位审核。 9（3）月报、年报。应分别于每月24号前及每年12月15日前通过“安全风险监控系统”上报风险监测部（安全风险咨询单位）、第三方监测总体单位，抄送监理单位。以上信息还应以书面形式上报风险监测部，书面信息报告可相应的延迟上报，但最迟不能超过7天时间。 （三）反馈信息处理要求 应及时落实乌京建管公司领导、风险监测部、监理单位的反馈意见，及时采取处置措施。 第十六条 监理单位信息报送 （一）信息报送主要内容 （1）巡视信息。具体包括周边环境巡视信息、围（支）护体系巡视信息、开挖面巡视信息、施工工艺巡视信息及施工组织管理与作业状况巡视信息等。 （2）日小结。包括当日现场巡视信息、施工单位风

34、险事务的处置落实、施工监测与第三方监测数据的比对分析、各类预警信息的分析、综合预警建议、现场安全风险状态评价等。 （3）周报 本周巡视作业情况：包括本周巡视内容、完成巡视工作量等。本周监测、巡视异常信息及预警情况：包括工点风险状况、工点巡视预警情况统计说明、施工监测、巡视信息及自身巡视信息的综合分析情况。 本周监督、核查情况：包括本周对施工单位报送信息的核查，监督施工单位对各方反馈意见的落实情况、风险事务处理的落实情 10况，对施工工艺设备、施工组织管理与作业状况的监督检查情况、相关例会情况及存在问题。 下周风险管控重点。主要涵盖下周工点风险因素的关注或管控措施要点、风险预告等。 （4）月报、

35、年报。主要包括近一月、近一年内所辖标段风险工程通过情况、安全风险评价及下一月、下一年度安全风险管控重点及建议等。 （二）信息报送途径、对象和时间要求 （1）巡视信息：应于当日通过“安全风险监控系统”上传。（2）日小结、周报：应于当日及每周四18：30前通过“安全风险监控系统”直接上报风险监测部（安全风险咨询单位）、第三方监测总体单位，并抄送施工单位、第三方监测工点单位。 （3）月报、年报。应分别于每月24号前、每年12月15日前以书面形式和通过“安全风险监控系统”上报风险监测部（安全风险咨询单位）、第三方监测总体单位。以上书面信息报告可相应的延迟上报，但最迟不能超过7天时间。 （三）反馈信息处

36、理要求 应及时落实乌京建管公司领导、风险监测部的反馈意见，及时向施工单位反馈，并加强对施工单位执行反馈意见的监督。 第十七条 第三方监测（总体、工点）单位信息报送 （一）信息报送主要内容 （1）监测数据：施工影响范围内周边环境及围（支）护结构等 11监测数据。 （2）巡视信息。包括周边环境巡视信息、围（支）护体系巡视信息、开挖面巡视信息、施工工艺巡视信息等（具体以风险管理体系要求为准）。 （3）日小结：详见第三方监测管理办法。（4）周报：详见第三方监测管理办法。（5）月报、年报：详见第三方监测管理办法。 （二）信息报送途径、对象和时间要求。 （1）监测数据及巡视信息：应于当日上传“安全风险监控

37、系统”。（2）日小结：第三方监测工点单位应于当日19：00前通过“安全风险监控系统”直接上报风险监测部（安全风险咨询单位）、第三方监测总体单位，并抄送所辖标段施工单位、监理单位。 第三方监测总体单位还应汇总全线第三方监测工点单位、施工单位的日小结信息，形成全线的日小结（内容除满足第十七条第 （一）部分的要求外，还应满足第十八条要求），通过“安全风险监控系统”上报乌京建管公司相关领导。 （3）周报、月报、年报：第三方监测工点单位应分别于每周四19：00前、每月24日前及每年12月15日前通过“安全风险监控系统”上报风险监测部（安全风险咨询单位）、第三方监测总体单位，同时抄送施工和监理单位。 第三

38、方监测总体单位还应汇总全线第三方监测工点单位、施工单位、监理单位的周报、月报、年报等信息，形成全线的周报、月报、 12年报等信息（内容除满足第十七条第 （一）部分的要求外，还应满足第十八条要求），并通过“安全风险监控系统”上乌京建管公司相关领导。月报、年报还应以书面形式上报风险监测部，书面信息报告可相应的延迟上报，但最迟不能超过7天时间。 （三）反馈信息处理要求 第三方监测总体、工点单位应及时落实乌京建管公司领导、风险监测部的反馈意见等、跟踪施工单位处置情况，风险监测部负责监督、检查。 第十八条 风险监测部信息报送 （一）安全评价及监督指导意见 对乌市轨道交通工程各工点风险工程安全评价及对风险

39、工程的处置监督指导意见，具体内容及要求为： （1）乌市轨道交通工程一般监控信息的汇总、处理、评价等。包括全线第三方监控信息、施工监控信息与监理巡视信息等，依托安全风险咨询单位或第三方监测总体单位完成。 （2）乌市轨道交通工程安全风险组织管理的监督及安全评价。包括全线第三方监测单位和各标段监理、施工单位的安全风险组织管理情况、监测实施、风险处理及反馈意见的执行情况等进行监督指导、检查，并评价全线安全状况，依托安全风险咨询单位或第三方监测总体单位完成。 （3）相关指导意见通过“安全风险监控系统”、工作联系单等形式反馈或回复。 （二）信息报送内容 风险监测部报送的一般监控信息包括乌市轨道交通工程风险

40、评估及综合预警发布和安全状况评价信息，报送方式有日小结、周报、月报和年报。主要内容包括： （1）日小结：针对现场监控各方的日小结情况，对当日安全风险状况经会商或简短分析后形成全线日小结，主要内容包括：新发生预警原因分析，建议、实施工程应对措施，分析现存预警的发展趋势，评价现场安全风险状态。 （2）周报 本周工作概况。本周全线风险工程通过情况、综合预警、风险跟踪及处理情况的总体汇总、说明等。 本周全线安全风险概述。本周现场监控各方的综合预警建议及落实综合预警情况的统计、自身发布综合预警及消警的统计及本周全线安全风险状况等。 本周全线安全风险评价。本周对现场监控各方在信息报送的准确性、及时性及落实

41、预警意见等情况的评价、信息平台运行情况、视频监控中心和工点控制中心的视频监控运行情况、与上周安全风险的比较及分析。对需要重点说明的风险，应加强其风险评价、原因分析、发展趋势预测及提出现场施工风险控制的建议等。 下周安全风险管控重点及建议。下周需要重点关注的工点、风险预告及全线安全风险的管控建议等。 （3）月报、年报：主要包括近一月、近一年内全线风险工程通 14过情况、安全风险概述、安全风险评价及下一月、年度安全风险管控重点及建议等。 （三）信息报送途径、对象和时间要求 （1）日小结、周报：应于当日19：30前通过“安全风险监控系统”直接上报乌京建管公司相关领导。 （2）月报、年报。应分别于每月

42、24号前和每年12月25日前通过“安全风险监控系统”直接上报乌京建管公司相关领导。 （四）信息报送相关要求 （1）风险监测部会同安质部组织第三方监测单位（工点、总体）、施工单位、监理单位等参加安全质量风险管控例会，并监督第三方监测单位（工点、总体）单位编制周报、月报、年报等信息。 （2）风险监测部对监控管理信息反馈。将风险预警信息、安全评价信息、乌京建管公司相关领导反馈的各种意见等及时反馈第三方监测（总体、工点）、监理、施工等单位。 第五章 预警及消警信息报送 第十九条 预警信息报送流程 预警信息通过“安全风险监控系统”逐层上报，总体报送流程见图5-1所示。 15决策层安全综合评价、综合预警信

43、息、风险处理意见等乌京建管公司相关领导综合预警发布监控中心风险处理意见等建管公司风险监测部（安全风险咨询单位或第三方监测单位）预警信息、风险处理意见等巡视预警、综合预警建议巡视预警、综合预警建议风险监控、处理意见巡视预警、综合预警建议监测预警、巡视预警、综合预警建议等现场实施层施工单位（施工监控）监理单位监理巡视及安全评价信息、监督指导意见等第三方监测单位 图5.1施工安全风险预警信息报送流程图 第二十条 监测预警 监测预警由“安全风险监控系统”依据设定的预警标准及第三方监测单位上传的监测数据进行对比后自动发布。 第二十一条 巡视预警 （一）巡视预警由施工、监理及第三方监测工点单位根据当天现场

44、巡视情况，经综合判定达到预警状态后通过“安全风险监控系统”及时发布。 （二）巡视预警内容包括。预警工程部位、现场风险状况、监测情况、初步原因分析、可能诱发的风险事件、处置建议等，并附相关工程照片。 16第二十二条 黄色、橙色综合预警 （一）黄色、橙色综合预警内容包括。施工风险状况描述（主要含监测、巡视等内容）、原因分析、可能导致的风险事件、处置建议等，并附相关工程照片。 （二）在预警建议或综合预警判定中，必要时应通知设计单位，以加强技术沟通和共同参与预警分析。 （三）黄色、橙色综合预警的判定及报送（1）黄色综合预警 施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为黄色综合预警时起应

45、立即通过“安全风险监控系统”或书面形式上报风险监测部。 风险监测部（依托安全风险咨询单位或第三方监测总体单位）自收到黄色综合预警建议，经现场确认后，立即向乌京建管公司领导汇报，征得领导同意后当日通过“安全风险监控系统”发布综合预警信息，必要时以书面形式反馈各相关单位。 （2）橙色综合预警 施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为橙色综合预警时起应立即通过“安全风险监控系统”或书面形式上报风险监测部。 风险监测部（依托安全分析咨询单位或第三方监测总体单位）自收到橙色综合预警建议，经现场确认后，立即向乌京建管公司领导汇报，征得领导同意后当日通过“安全风险监控系统”发布综合预警信

46、 17息（对于特级风险工程应在第一时间内完成预警信息发布），必要时以书面形式反馈各相关单位。 第二十三条 红色综合预警 （一）当各项目实施单位判定风险工程为红色综合预警状态或可能发生重大风险事件时，应先采取有关措施并立即上报。接到信息的各管理部门或单位应及时组织分析、处理和往下反馈。报送流程见图5-2所示。 乌京建管公司相关领导决策、组织处理如发生突发风险事件红色综合预警加强监控、监督检查乌京建管公司风险监测部（安全风险咨询单位或第三方监测单位）综合预警综合预警红色预警建议综合预警红色预警建议现场情况、处置建议综合预警第三方监测单位设监理单位综合预警现场情况、处置建议计单位红色预警建议施工单位

47、（施工监控）现场情况、处置建议 图5-2红色综合预警快报流程图 （二）施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为红色综合预警时立即上报风险监测部，同时告知设计单位，以加强技术沟通和共同预警分析，并应通过“安全风险监控系统” 18或书面预警快报形式报告。 （三）预警快报报送内容主要包括风险时间、地点、风险概况、监测情况、巡视情况、原因初步分析、变化趋势、风险处理建议等。其中监理单位快报给施工单位时，还应下达整改通知书、停工令等先期处理方式。 （四）风险监测部自收到红色综合预警建议后，应立即进行现场确认及综合判定，判定为红色综合预警后，及时上报乌京建管公司领导，征得领导同意后，第

48、一时间通过“安全风险监控系统”发布红色综合预警消息，并以电话等快捷、有效方式立即通知各相关部门及设计单位等，做好风险应对工作。 第二十四条 消警信息报送 （一）监测预警阶段消警。监测预警处理并达到安全风险预警、处置及消警管理办法阶段消警条件，由施工单位提出消警申请（附报告），第三方监测、监理、安全风险咨询单位等相关单位审核确定，书面报告风险监测部，由所辖标段第三方监测工点单位在“安全风险监控系统”上进行消警。 （二）巡视预警消警。预警处理结束，由施工单位提出消警申请（附报告），第三方监测、监理等相关单位审核确定，书面报告风险监测部，预警发布单位在“安全风险监控系统”上进行消警。 （三）黄色综合

49、预警消警：预警处理结束，由施工单位提出消警申请（附报告），第三方监测、监理、安全风险咨询单位等相关单位审核确定，书面报告风险监测部审定，同时征求乌京建管公司领导的 19意见，由风险监测部（依托安全风险咨询单位或第三方监测总体单位）在“安全风险监控系统”上进行消警。 （四）橙色综合预警消警。预警处理结束，由施工单位提出消警申请（附报告），第三方监测、监理、安全风险咨询单位等相关单位审核确定，书面报告风险监测部审定，同时征得乌京建管公司领导意见，由风险监测部（依托安全风险咨询单位或第三方监测总体单位）在“安全风险监控系统”上进行消警。 （五）红色综合预警消警。风险处理结束，由施工单位提出消警申请（

50、附报告），第三方监测、监理、安全风险咨询单位等相关单位审核确定，书面报告风险监测部审定，同时征得乌京建管公司领导意见，由风险监测部（依托安全风险咨询单位或第三方监测总体单位）在“安全风险监控系统”上进行消警。以风险监测部为主体的消警报送流程见图5-3所示。 乌京建管公司分管领导如发生突发风险事件红色综合预警加强监控、监督检查决策、组织处理风险监测部（安全风险咨询单位或第三方监测单位）橙、红色消警判定橙、红色预警的消警建议橙、红色消警判定监理单位设计单位黄色消警判定各色预警的消警建议施工单位 图5.3消警信息报送流程图 21 第四篇：信息安全风险评估服务1、风险评估概述 1.1风险评估概念 信息

51、安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于it领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的bs779 9、iso1779 9、国家标准信息系统安全等级评测准则等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能

52、对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在

53、美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（mitie）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障

54、的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展 2021年在863计划中首次规划了系统安全风险分析和评估方法研究课题 2021年8月至2021年在国信办直接指导下，组成了风险评估课题组 20212021年，国家信息中心风险评估指南，风险管理指南年全国风险评估试点 在试点和调研基础上，由国信办会同公安部，安全部，等起草了关于开展信息安全风险评估工作的意见征求意见稿 2021年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作 2021年，国家能源局根据电力监控系统安全防护规定（国家发展和改革委员会令2021年第14号）制定