药品生产风险评估

附件4：风险评估报告格式

×××市（州）药品生产企业××××年度风险评估报告

一、药品生产企业概况

药品生产企业数量（生产、停产）；批准文号数量、常年生产的品种数量，本年度上报注册申请（含补充申请）数量，新取得批准文号数量以及分布、注册分类情况；许可证换发、变更情况；监督备案情况；委（受）托生产和检验情况；药品质量安全情况（产品偏差及处理，产品回收、退货及处理，以及质量投诉及不良反应监测情况）；经济发展指标数据（生产产值、销售收入、利税、增长率统计汇总数据，销售上千万元和上亿元的单个品种情况）

二、生产企业监管情况

1、安全监管信息（GMP认证、跟踪检查、飞行检查、专项检查、日常监督检查、驻厂监督检查等情况，发现的缺陷项目情况，信用等级初评情况，开展培训情况，药品稽查情况）；

2、药品质量信息（评价性抽检、监督抽验情况）；

三、风险分析评估及结论（药品生产企业存在主要问题、成因分析以及采取的措施，下一步监管工作建议）。

×××市州食品药品监督管理局（公章）

××××年××月××日

风险评估过程注意事项

在风险评估过程中，有几个关键的问题需要考虑。

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

第三，资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？

解决以上问题的过程，就是风险评估的过程。

进行风险评估时，有几个对应关系必须考虑：

每项资产可能面临多种威胁

威胁源（威胁代理）可能不止一个

每种威胁可能利用一个或多个弱点

风险评估的三种可行途径

在风险管理的前期准备阶段，组织已经根据安全目标确定了自己的安全战略，其中就包括对风险评估战略的考虑。所谓风险评估战略，其实就是进行风险评估的途径，也就是规定风险评估应该延续的操作过程和方式。

风险评估的操作范围可以是整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前，实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

基线评估

如果组织的商业运作不是很复杂，并且组织对信息处理和网络的依赖程度不是很高，或者组织信息系统多采用普遍且标准化的模式，基线风险评估（Baseline Risk Assessment）就可以直接而简单地实现基本的安全水平，并且满足组织及其商业环境的所有要求。

采用基线风险评估，组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：

国际标准和国家标准，例如BS 7799-1、ISO 13335-4；

行业标准或推荐，例如德国联邦安全局IT 基线保护手册；

来自其他有类似商务目标和规模的组织的惯例。

当然，如果环境和商务目标较为典型，组织也可以自行建立基线。

基线评估的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的诸多组织，基线评估显然是最经济有效的风险评估途径。当然，基线评估也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度，如果过低，可能难以达到充分的安全，此外，在管理安全相关的变化方面，基线评估比较困难。

基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合，它可以在全组织范围内实行，如果有特殊需要，应该在此基础上，对特定系统进行更详细的评估。

详细评估

详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想，即识别资产的风险并将风险降低到可接受的水平，以此证明管理者所采用的安全控制措施是恰当的。

详细评估的优点在于：

1、组织可以通过详细的风险评估而对信息安全风险有一个精确的认识，并且准确定义出组织目前的安全水平和安全需求；

2、详细评估的结果可用来管理安全变化。当然，详细的风险评估可能是非常耗费资源的过程，包括时间、精力和技术，因此，组织应该仔细设定待评估的信息系统范围，明确商务环境、操作和信息资产的边界。

组合评估

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于次实践当中，组织多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，组织首先对所有的系统进行一次初步的高级风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出组织内具有高风险的或者对其商务运作极为关键的信息资产（或系统），这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个全面系统的评估结果，而且，组织的资源和资金能够应用到最能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点：如果初步的高级风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，最终导致结果失准。

编辑本段风险评估的常用方法