BRC脆弱性评估表

合集下载

脆弱性评估表

产品质量是否稳定 □是 □否
脆弱性评价
□高 □中 □低
结论
评估人:批准人：年月日
□ 供应商自有物流车辆 □ 供应商外包物流车辆
难易程度
□困难 □适中 □容易
识别掺假的复杂性
□ 目测 □公司实验室自检 □外部实验室检测
复杂程度
□复杂 □适中 □简单
产品性质
□ 植物制品
□ 化工制品
□ 动物制品
供应商评审
是否为合格供方 □是 □否
是否有过掺假欺诈行为 □是 □否
是否合作两年以上 □是 □否
脆弱性评估表
产品名称
原材料
供应商
脆弱性评估
评估结论及控制措施
以往证据
□ 以往未发生过掺假情况
□ 以往听说过有掺假情况
□ 有证据表明有过掺假情况
信息来源
□行业协会□新闻媒体□行业同Fra bibliotek□政府部门□自有资源中心
经济因素
□ 掺假成本低
□ 掺假成本高
掺假收益
□高 □中 □低
供应链接触难易程度
□ 公司自有物流车辆 □ 公司外包物流车辆

妇产科脆弱性分析表

40
大出血>800ml
4
2
3
24
妊娠合并高血压
4
2
2
16
羊水栓塞
1
3
4
12
子宫破裂
0
3
3
0
会阴裂伤>II度
4
1
2
8
新生儿死亡
2
4
4
32
产伤
3
2
3
18
宫外孕破裂
4
1
1
4
疑难人流取环
2
1
3
6
院感类
3例以上同源性医源性切口感染
1
2
3
6
服务后勤保障类
呼叫帮助应对延迟
4
2
4
32
医患沟通不及时
3
3
5
45
用药差错
潜在风险/问题
可能性（A）
风险/影响（B）
现有系统和准备(C)
得分
非常可能
很可能
可能
很少
从不
严重损失
较重损失
中等损失
较小损失
极小损失
无
很少
一般
良好
很好
分值
4
3
2
1
0
5
4
3
2
1
5
4
3
2
1
突发公共安全火灾12 Nhomakorabea2
4
水灾
2
1
1
2
停电
3
1
1
3
医闹
2
3
4
24
突发公共卫生事件
传染病
0

风险脆弱性分析评价表

1=高
2=中
3=低/无
0=未知
1=高
2=中
3=低/无
0=未知
1=高
2=中
3=低/无
0-100
%
三、事故灾难
13.后勤、基建突发事件
-
建筑工程重大安全危害事件
注：（1）低/无（低风险度/无风险1-3分）、中（中等风险度4-6分）、高（高等风险度7-10分）
（2）要求参与评分的人员要求：部门领导2位，业务骨干3-5位。
医院事故灾难脆弱性分析-评价结果概要表
危险事件
可能性
严重性（损失-风险）
相对
风险
合计分数
发生概率
人员伤亡
财产损失
声誉影响
认知情况
防范准备
内部反应
外部反应
脆弱度
得分
0=未知
1=低
2=中
3=高
0=未知
1=低
2=中
3=高
0=未知ห้องสมุดไป่ตู้
1=低
2=中
3=高
0=未知
1=低
2=中
3=高
0=未知
1=高
2=中
3=低/无
0=未知

灾难性脆弱性分析评分表

在评价内部反应的能力时，要考虑到做出有效反应所需要的时间、目前的物资种类和数量能否满足需要、工作人员掌握相关技能的情况、对事件严重程度和持续时间的预计、有无后备机制、上一级应急预案的要求等。
在评价外部支持时，要考虑国家和本地的应急反应能力、有关机构签订相互援助协议的情况、与其他同类医院协调的情况、社区志愿者的情况、与物资供应机构签订的应急供应计划或合同的情况等。
针刺伤感染
职业暴露事件
住院患者事件（跌倒、坠床、压疮、烫伤等）
药物过敏性反应
输血反应事件
急救接诊事件
平均分
后勤类
供电故障
供水故障
污水系统故障
供暖故障
电梯故障
水管爆裂、跳电事件
通信故障
信息系统故障
火灾
水灾
爆炸物危害
供应短缺
极端天气（高温、强降雨、雨雪等）
平均分
人员类伤害
跳楼意外事件
遭遇暴徒非法分子事件
估计财产损失时，要计算重建或改造更新的费用、建立临时替代设施的费用、维修的费用、恢复正常所需要的时间等。
要关注正常工作的中断、关键物资供应和外部服务的中断、职员的减员、不能履约的情况、可能的法律纠纷、公共声誉和形象的损失、财政负担的增加等。
要注意应急预案是否完善、是否经常开展应急演练、是否对工作人员进行了必要的培训、应急物资的情况、应急支援的情况等。
医疗纠纷
群体伤害事件（外伤）
群体性食物中毒
平均分
0-30%低风险
0-6ห้องสมุดไป่ตู้%中风险
60-100%高风险。
得分
0=未知
1=低
2=中
3=高
0=未知
1=低
2=中
3=高

BRC供应商风险评估、脆弱性评估(含附属excel全套资料)

Matrix Zonal Parameters矩阵带状参数
Likelihood of Occurrence
SSESSMENT, 5X5脆弱性评估，5X5
V.High:1 / High:2 / Medium:3 / Low:4 / V.Low:5
Matrix Zonal Parameters矩阵带 12.00 8.00 1.00
Overall Testing Overall Testing Likelihood of Method Likelihood of Occurrence Sophistication/ Method (=Average)发 Capability测试 Frequency测 Detection 生的总体可能方法复杂化/ 试方法频率 (=Average) 性（＝平均） 2.14 2.14 2.00 2.14 0.00 能力 5 3 3 3 3 3 3 3 4.00 3.00 3.00 3.00 0.00
V.HIGH (1) V.LOW (5) LOW (4) Low Low Low Low Low V.LOW (1) Medium Medium Low Low Low LOW (2) High High Medium Low Low MEDIUM (3) High High High Medium Low HIGH (4) High High High Medium Low V.HIGH (5)
VULNERABILITY ASSESSMENT, 5X5脆弱
V.High:5 / High:4 / Medium:3 / Low:2 / V.Low:1 高：5 /高：4 /中等：3 /低：2 / V：低：1
Nature Fraud Economic Ease of Supplier Raw history舞 factor经济 Access易 History供 Material天 Ingredient 弊史因素访问性应商历史然原料成分

妇幼保健院超声科灾害脆弱性分析表

2＝中
3＝低
0＝无/不适用
1＝高
2＝中
3＝低
0＝无/不适用
1＝高
2＝中
3＝低
0~100%
自然灾害类
地震
0
0
0
0
0
0
0
0
火灾
3
3
2
3
1
1
1
11.11
雷电灾害
0
0
0
0
0
0
0
0
冰雪灾害
1
1
1
1
1
1
1
11.11
城市内涝
0
0
0
0
0
0
0
0
人员伤害类事故
职业暴露
1
1
1
0
1
1
1
9.26
医院感染
1
1
1
0
1
1
1
9.26
重大传染疫情
1
1
1
1
1
1
1
11.11
恶性医闹和伤医事件
1
1
1
1
1
1
1
11.11
食品安全
1
1
1
0
1
1
1
9.26
患者自杀事件
1
2
1
2
1
1
1
14.81
突发救治事件
1
1
1
0
1
1
1
9.26
医疗纠纷、事故
3
3
3
3
2
2
2
83.33
施工安全意外

信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》

服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。

项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能：——凡需进入操作系统的用户，应先进行标识（建立账号）；——操作系统用户标识应使用用户名和用户标识（UID），并在操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID 等之间的一致性；b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能：——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别，并在每次用户登录系统时进行鉴别；——鉴别信息应是不可见的，在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求，用加密方法进行安全保护；——过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。

c) 对注册到操作系统的用户，应按以下要求设计和实现用户-主体绑定功能：——将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；——将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的要求者用户。

自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问。

b) 设置默认功能，当一个主体生成一个客体时，在该客体的访问控制表中相应地具有该主体的默认值；c) 有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。

对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予；d) 自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任；e) 客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体；f) 定义访问控制属性，并保护这些属性。

脆弱性评估记录-只针对原料

评估人：张馨允
10
重度
影响大
影响大
有影响，无法测试辨别
无影响
15
严重
影响大
影响大
有影响，无法测试辨别
有影响
30
结论：经评估，原料采购过程存在掺假的风险较小：1、原料为农产品，已检查和识别，在原料采购过程中，采购人员、质检人员、库管人员应对我公司原料的特性非常熟悉，在采购过程中，农残超标、腐烂、有病虫害、规格不符的原料严禁收入。措施：1、在原料验收的时候，质检人员和库管对原料的感官严格控制把关，严禁掺假的原料入库；2、添加剂采购过程中每一批的生产日期、有效期和检验报告都要严格控制，严禁掺假的入库
5
严重度（S）评分S=利益驱动影响+市场行情影响+掺假鉴别测试技术的影响+原料性质的影响
项目
利益驱动影响
市场行情影响
掺假鉴别测试技术的影响
原料性质的影响
评分
轻微
无影响
无影响
无影响
无影响
1
轻度
有影响，但影响不大
有影响，但影响不大
无影响
无影响
5
中度
有影响，影响不大
有影响，但影响不大
有影响，影响不大
无影响
风险等级与风险控制方式
1
1
4
5
风险等级
重大风险
高度风险
中度风险
低度风险
轻微风险
等级代号
1
2345源自风险评分大于110分
90-109分
50-89分
30-49分
小于29分
风险控制
应立即做预防或并停止采购
应控制风险发生，备有相应应变措施或控制程序
连续监控，严格检验

信息安全风险评估脆弱性识别路由器脆弱性表格GBT18018

路由器应能保护已存储的审计记录，避免未经授权的删除，并能监测和防止对审计记录的修改。当审计存储耗尽、失败或受到攻击时，路由器应确保最近的审计记录在一定的时间内不会被破坏。
审计---潜在侵害分析
路由器应能监控可审计行为，并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应，如：通知管理员，向管理员提供一组遏制侵害的或采取矫正的行动。
简单网络管理协议的保护
路由器应支持SNMP V3。路由器可通过设置SNMP Community参数，采用访问控制列表（ACL）保护SNMP访问权限。路由器应支持对SNMP访问的认证功能，能够监测并阻断对管理信息模块（MIB）的非授权访问，能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时，路由器应向陷阱消息接收工作站发送认证失败消息。
c)开发者应提供路由器安全功能的低层设计。低层设计应以模块术语描述安全功能，并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块分离出来；
身份鉴别---登录历史
路由器应具有登录历史功能，为登录人员提供系统登录活动的有关信息，使登录人员识别入侵的企
图。成功通过鉴别并登录系统后，路由器应显示如下数据：
——日期、时间、来源和上次成功登录系统的情况；
——上次成功登录系统以来身份鉴别失败的情况；
——口令距失效日期的天数。
数据保护
路由器应具有数据完整性功能，对系统中的信息采取有效措施，防止其遭受非授权人员的修改、破坏和删除。
b)与一般的安装和配置有关的功能的管理；
c)路由器的安全配置参数要有初始值。路由器安装后，安全功能应能及时提醒管理员修改配置，并能周期性地提醒管理员维护配置。
审计---审计数据生成
路由器应具有审计功能，至少能够审计以下行为：

常见评估量表解读

• 0-3分低危基础预防 • ≥4分高危基础+物理+药物预防
特别提醒
• 1、在院时发生血栓要及时在医惠里填写血栓发生情况并进行一次评分。
• 2、评分时机（必评）: 手术患者：入院、术前一日、手术当日、出院化疗患者：入院、出院
转入24h内，病情变化时 Caprini0-1分、padua0-3分每周评一次 Caprini≥2分、padua≥4分每3天一次
如厕
床椅转移
行走
轮椅操作(代替步行)：
上下楼梯
评定结果
案例
术后患者
王xx，女，61岁，因卵巢癌行广泛全子宫+双附件切除+阑尾切除+大网膜切除+部分肠管切除+端端吻合术+盆腹腔淋巴结清扫术，术后回室，留置胃管，腹腔引流管，尿管，能自行翻身。
谢谢
THANK YOU FOR YOUR WATCHING
padua1分项目
• 年龄≥ 70 岁 • BMI≥30 • 心脏和（或）呼吸衰竭 • 急性心肌梗死和（或）缺血性脑卒中 • 急性感染和（或）风湿性疾病 • 正在进行激素治疗
padua2分项目
• 近期（ ≤ 1个月）创伤或外科手术
padua3分项目
• 活动性恶性肿瘤，原位或远端转移和（或）６个月内接受过化疗和放疗
有潜在问题
躯体移动乏力。或者需要一些帮助，在移动过程中，皮肤在一定程度上会碰到床单、椅子或其他设施。在床上或椅子上可保持相对好的位置。偶尔会滑落下来
5 摩擦和剪切力---3分
无明显问题
能独立在床上或椅子上移动并具有足够的肌肉力量在移动时完全抬空躯体。在床上和椅子上总是能保持良好的位置
6 营养摄取能力---1分

BRC脆弱性评估表

1、欺诈性风险——任何原、辅料掺假的风险；替代性风险——任何原、辅料替代的风险。

2、原物料特性：原物料本身特性是否容易被掺假和替代。

风险等级：高-容易被掺假和替代；中-不易被掺假和替代；低：很难被掺假和替代。

3、过往历史引用：在过去的历史中，在公司内外部，原物料有被被掺假和替代的情况记录。

风险等级：高-多次有被掺假和替代的记录；中-数次被掺假和替代的记录；低：几乎没有被掺假和替代的记录。

4、经济驱动因素：掺假或替代能达成经济利益。

风险等级：高-掺假或替代能达成很高的经济利益；中-掺假或替代能达成较高的经济利益；低：掺假或替代能达成较低的经济利益。

5、供应链掌控度：通过供应链接触到原物料的难易程度。

风险等级：高-在供应链中，较容易接触到原物料；中-在供应链中，较难接触到原物料；低：在供应链中，很难接触到原物料。

6、识别程度：识别掺假常规测试的复杂性。

风险等级：高-无法通过常规测试方法鉴别出原物料的掺假和替代；中-鉴别出原物料的掺假和替代需要较复杂的测试方法，无法鉴别出低含量的掺假和替代；低-较容易和快速的鉴别出原物料的掺假和替代，检测精度高。

注：危害性：根据发生的可能性判定分值为1～6分，其中高风险划分有（容易产生：6分较容易产生：5分），中风险划分有（一般
产生：4分轻微产生：3分），低风险划分有（基本不产生：2分不产生：1分）
等级分数评判结果判定：5-10分为低风险，11-16分为中风险，17-30分为高风险。

26、27-3.脆弱性调研表-物理环境

电缆。是否隔离铺设；
17 物理环境
电磁防护
，避免互相干扰；应对关键设备实施电磁屏蔽。
2、应核查机房内是否为关键设备配
未对关键设备实施电磁屏蔽
1
备了电磁屏蔽装置。
设备及存储介关键设备或存储介质携带出工 1、访谈核查是否具有关键设备及存未对关键设备或存储介质携带出工作
18 物理环境
作环境时，应具有行为审计和储介质出入记录文档及行为管控措施
7
物理环境
防盗及防破坏
应设置机房防盗报警系统或设置有专人值守的视频监控系统
系统或专人值守的视频监控系统；
未发现
3
2、应核查防盗报警系统或视频监控
。
系统是否启用。
8 物理Байду номын сангаас境
防雷击
应将各类机柜、设施和设备等应核查机房内机柜、设施和设备等是
通过接地系统安全接地。
否进行接地处理。
未发现
2
应采取措施防止感应雷，例如
机房未启用湿度调节功能
2
行所允许的范围之内。
2、应核查机房内温湿度是否在设备
运行所允许的范围内之内。
1、应核查是否配备UPS等后备电源系
应在机房供电线路上配置稳压统；
器和过电压防护设备；应提供
短期的备用电力供应，至少满
2、应核查供电线路上是否配置了稳压器和过电压防护设备；
未设置冗余或并行的电力电缆线路为
设置统一的设备标识
是否设置了明显且不易除去的标识。
应将通信线缆铺设在隐蔽安全 1、应核查机房内通信线缆是否铺设
6 物理环境防盗及防破坏处；电源线和通信线缆应隔离在隐蔽安全处，如桥架中等；应核查部分电源线和通信线缆未隔离铺设

产品风险分析及评估表--BRC

危害识别
危害描述
控制手段
控制频次
责任者
风险的描述
备注
不合格品出厂销售造成危害
现场品质管理项不合格：外观、规格、重量、包装、标示等项目不合格，使消费者产生抱怨等
检验员按规定方法与频次AQL标准进行检测，并由品管主管签字放行；
AQL 2或客户要求
品管部
低风险
货物与订单不符或与装箱单不符
错误的产品或数量会导致客户投诉和索赔，并引发系列问题
物流负责人
低风险
运输合同
6.监视和测量装置安全的风险评估
危害识别
危害描述
控制手段
控制频次
责任者
风险的描述
备注
温度计
温度计误差超过标准，导致测温失准
1、每月由具备资质的人员校准；
2、有效期内使用；
3、专人使用；
1次/月
品管部
生产相关负责人
低风险
探针式温度计的性能相对稳定，一个月内失准的可能性小；正常温度计检定周期为一年
风险的描述
备注
不符合产品质量的产品
加工过程中,没有按照生产工艺要求进行加工；或者没有达到规定要求；
产品的HACCP计划；
生产指令中规定要求；
每次生产时
生产部
品管部
低风险
检测偏差
检验员或检测仪器出现偏差，使检验结果出现偏差，导致不合格产品出厂
检验员持证上岗，并定期进行考核；
仪器定期外校和内部校验；
仪器根据校验周期进行外校，内部使用根据仪器情况每次或每月进行
作业过程中
班长、经理等
化
学
危
害
消毒剂
消毒剂残留
严格SSOP控制
日常
全体员工

信息资产威胁和脆弱性对应表

缺乏入侵检测软件
28
系统入侵
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
29
系统渗透
工作人员无信息保护意识
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
系统易受病毒感染
系统不易受病毒感染
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识，没有维护常识
工作人员有资产维护意识，没有维护常识
工作人员无资产维护意识，有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
位于污染严重地区，设备不易受污染
位于污染不严重地区，设备易受污染
位于污染不严重地区，设备不易受污染
7
电子干扰
位于强电子干扰地区，设备易受电子干扰
位于强电子干扰地区，设备不易受电子干扰
位于若电子干扰地区，设备易受电子干扰
8
电磁辐射
位于电子辐射严重的环境，设备易受电子辐射影响
位于电子辐射严重的环境，设备不易受电子辐射影响
建筑或房屋无访问控制
建筑或房屋弱访问控制
设备易损坏
缺乏物理安全措施
52
网络部件的技术故障
工作人员无资产维护意识，没有维护常识
工作人员有资产维护意识，没有维护常识
工作人员无资产维护意识，有维护常识