人 员 系 统

《风险评估报告》

编号：QTP-004-00-2015

版号：A

编制：质管员

审核：质管部长

批准人：副总

发布日期：20##年7月12日

****药业有限公司

风险评估报告核批单

目    录

第一章    概 述

第一节   人员系统概况

第二节   风险评价报告编制的目的和依据

第二章    风险因素识别与分析

第一节   人员系统风险因素的辨识

第二节   人员系统GSP违规风险因素的分析

1、    组织机构单元风险因素的分析

2、    管理职责单元风险因素的分析

3、    人员培训单元风险因素的分析

4、    健康管理单元风险因素的分析

5、    管理文件单元风险因素的分析

第三章    风险评价方法及评价单元划分

1、    评价单元划分

2、    安全检查表法

第四章    风险定性评价

第五章　风险评价结论

第一章   概  述

公司实行股东会领导下的总经理负责制，组织机构设置为“六部四组”。分别是行政部、财务部、采购部、储运部、销售部、质管部六个部门，质量管理组、质量验收组、质量养护组、不良反应监测组四个小组。

公司现有员工总数18人，其中执业药师2人，从事质管、验收、养护工作的专职人员5人。占员工总数的27%。配设质量副总、各部门负责人及质管员、信息管理员、采购员、收货员、验收员、养护员、复核员、运输员、出纳等岗位。

第二节  风险评价报告编制的目的和依据

一、评价报告编制的目的

执行国家食品药品监督管理总局20##年6月25日第13号令《药品经营质量管理规范》，落实对药品经营企业人员系统的组织机构设置、人员配置及管理职责、培训、人员健康、管理文件等五个方面的监督要求。对****药业有限公司人员系统的风险性进行定性和定量分析。

本次评价的目的是对人员系统的潜在GSP违规风险进行定性分析和定量评价，评价其风险等级及发生改变时所承受的风险影响程度及其后果，研究其管理对策，从而为质管部门实施监督和管理提供参考依据。

二、评价报告编制的依据

1、本次评价采用的主要法律、法规及标准和规范

《中华人民共和国药品管理法》（20##年12月1日实施）

《药品经营质量管理规范》2015版（20##年6月25日起实施）

国家食药监总局2013第38号关于发布《GSP》5个附录的公告

 第三节   风险因素的识别与分析

一、人员系统GSP违规因素的辩识

附图：人员系统GSP违规因素鱼骨刺图

 

图2-1  人员系统GSP违规模式分析鱼骨刺图

2、人员系统GSP违规主要风险单元

  从以上分析图时可以看出，易造成人员系统GSP违规的主要因素主要存在于如下五个单元：

● 组织机构设置单元

● 人员配备及管理职责单元

● 人员培训单元

● 健康管理单元

● 管理文件单元

第二节  人员系统GSP违规因素分析

1、组织机构设置单元风险性分析

●组织机构图

公司组织结构是指公司全体员工实现企业目标而进行的分工协作，在职务范围、责任和权力方面所形成的结构体系。组织类型与结构有关，因为不同结构的组织可以划分出不同的类型。没有明确的组织机构并形成组织机构图，分工协作过程中职务范围、责任和权力就会混乱，最终导致公司质量目标及其它企业目标不能实现。

●质量管理机构的设立

质量管理机构是落实GSP的前提与保障，组织机构中没有质量管理机构的存在，会导致质量保证与质量控制的职责无法履行，从而偏离GSP的要求，形成严重GSP违规。

2、管理职责单元风险性分析

●人员的配备

公司企业负责人、质量负责人、质量管理机构负责人是公司的关键人员。企业负责人肩负着企业日常管理。确保企业实现质量目标并按照GSP要求生产药品，提供必要的资源，合理计划、组织和协调，保证质量管理部门独立运行的关键职责，没有配备适合的企业负责人会导致前述关键职责得不到履行，最终导致公司质量目标不能实现，形成GSP违规。

同理，没有配备适合的质量负责人、质量机构负责人，同样会导致关键职责得不到履行，最终导致公司质量目标不能实现，形成GSP违规。

新版GSP对企业负责人、质量负责人、质量管理机构负责人及采购、验收、养护、储运等相应岗位的资质、学历、工作经历都做出了明确的要求，一旦相应的资质学历达不到要求，直接导致GSP违规。

● 管理职责

管理职责是指导各岗位人员切实完成本岗位工作的指导性文件，岗位职责不明确或过于繁琐，共同职责不明确，会导致“一件事几个人做，许多事情无人做”的不良局面，会导致企业制定的管理文件形同虚设，得不到有效落实，最终会导致GSP严重违规。

3、人员培训单元风险性分析

企业如果未建立针对人员的培训系统，会导致员工素质低下，企业设计的相关岗位QP及相关控制性文件得不到有效落实，导致GSP违规。

4、健康管理单元风险性分析

●人员卫生与健康

对员工的健康管理不能得到有效落实，会导致对药品储运造成污染或交叉污染的风险。

●人员进出

人员进出仓储区域的管理如果不施行审批登记管理，不对有特殊需要进入仓储区域的外来人员进行安全指导，会导致药品被替换、被盗或污染等安全事故的发生。

5、管理文件单元风险性分析

企业如果不制订人员系统管理文件，包括组织机构与人员配备、人员卫生与健康、员工培训教育、工作服的管理、人员进出管理等相应的管理文件，会造成整个质量管理系统的缺失，导致GSP违规。

第三章  风险评价方法及评价单元划分

人员系统风险评价，是依据国家相关规范和条例，根据人员系统可能导致存在的风险因素及风险特征，应用安全检查表法，对人员系统GSP违规的风险性进行定性分析和评价。

一、评价单元划分

在评价过程中，选用了国家有关标准和国内较通用的评价方法，对人员系统进行风险性评价。为了达到评价目的，我们根据该经营过程的具体情况，在风险有害因素识别的基础上，将系统划分为5个评价单元：组织机构设置、人员配备管理职责、培训、人员健康、管理文件等五个单元。

采用安全检查表法（SCL），对以上五个单元进行分析评价。

二、评价方法简介

安全检查表法（SCL）

安全检查表（Safety Check list，缩写SCL）是系统安全工程的一种最基础、最简便、广泛应用的系统风险性评价方法。在评价中应用安全检查表方法是为了风险评价人员有效提高风险评价的质量，为评价人员设计的一种含有关标准要求及实际完成效果的检查表。

第四章  风险定性评价

本章针对各评价单元的风险程度，结合药品经营管理的特点，选用安全检查表法进行定性分析与评价。

一、定性分析

采用安全检查表法，对组织机构设置、管理职责、培训、人员健康、管理文件等单元进行定性评价。

根据分析采取以下措施可有效地防止人员系统与标准的不符合所造成的风险因素的发生。

（1）必须建立组织机构与人员配备的相关规定，设立与相适应的组织机构，并绘制组织机构图。

（2）设立质量管理机构，以履行质量保证与质量控制的职责。

（3）配备相应岗位人员，其资质、经历应符合相关要求。

（4）制订人员培训系统，以确保关于企业制定的相应管理措施能得到有效落实。

（5）建立岗位QP，并组织专项培训，管理职责应简洁、明确，共同的职责应专门制订。

（6）建立人员健康管理规定，并有效执行。

（7）建立人员进出仓储区的管理规定，以确保库内药品安全。

附表1、组织机构设置单元检查清单

附表2、人员配备及管理职责单元检查清单

附表3、人员健康管理单元检查清单

附表4、对人员培训单元检查清单

评价小结：

采用安全检查表法，与GSP标准进行比对检查，通过对人员系统系统在组织机构设置、人员配备与管理职责、培训、人员健康、管理文件等五个风险单元方面进行检查，结果符合GSP标准的要求。

第五章　风险评价结论

本次评价，根据有关资料检查和现场调研情况，结合公司经营特点，将人员系统划分为5个评价单元：组织机构设置、培元配备及管理职责、培训、人员健康、管理文件。运用安全检查表法，对这五个单元进行了定性分析。

通过分析和评价，我们得出如下结论：

一、存在的主要危险、有害因素及存在方式：

1、各项措施得不到有效实施

2、GSP违规

二、公司现有人员系统管理的规章制度比较健全，人员管理相关措施基本符合GSP要求。

三、围绕该系统所制订的相应风险防范措施应在实际管理过程中应进一步加以落实和完善。

基于以上前提，本报告认为，本次评估的所有风险均在可接受范围内，人员管理系统可以满足药品经营管理的要求。

                                     ****药业有限公司

                                               （盖章）

                                       20##年7月12日

第二篇：ISMS风险评估报告 修改

ISMS（信息安全管理体系）风险评估报告

一、实施范围和时间

本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为20##年3月16日至20##年3月20日。

二、风险评估方法

参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组

经信息中心批准，此次风险评估工作成员如下：

评估工作组组长：徐守福

评估工作组成员：李宝明、万 兵 、黄 鹏、李富强、徐欣广、赵之勇、杨雪芹

四、风险评估结果

4.1 信息资产清单

各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总

重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计

本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：

五、风险处理计划

风险处理计划见附件四

附件一：重要资产面临的威胁汇总表

表1-1：重要硬件资产威胁识别表

表1-2 重要应用系统资产威胁识别表

表1-3 重要文档和数据资产威胁识别表

表1-4 重要人力资源资产威胁识别表

附件二：重要资产面临的脆弱性汇总表

表 2-1 重要资产脆弱性汇总表

附件三：风险评估问题列表

附件四：风险处理计划

根据本次风险评估结果，对不可接受的风险进行处理。在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。