序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的安全風(fēng)險(xiǎn)評(píng)估措施樣本���,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)���,請(qǐng)盡情閱讀���。
第1篇
關(guān)鍵詞:信息安全���;風(fēng)險(xiǎn)評(píng)估���;風(fēng)險(xiǎn)分析
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一���、前言
電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全���、可靠���、高效的運(yùn)行���,該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全���、穩(wěn)定、經(jīng)濟(jì)運(yùn)行���,因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1���,2]���。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作���,逐漸過渡到目前普遍采用BS7799���、OCTAVE���、ISO13335���、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法���,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)���,以威脅為觸發(fā)���,以技術(shù)���、管理���、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]���。
二���、信息安全風(fēng)險(xiǎn)評(píng)估
在我國(guó)���,風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段���、標(biāo)準(zhǔn)草案編制階段和全國(guó)試點(diǎn)工作階段,國(guó)信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4](簡(jiǎn)稱《指南》)得到了較好地實(shí)踐���。本文設(shè)計(jì)的工具是基于《指南》的���,涉及內(nèi)容包括:
(一)風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)���、威脅、脆弱性和安全措施這些基本要素展開���,在對(duì)基本要素的評(píng)估過程中���,需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求���、安全事件���、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類屬性���。
(二)風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值���;威脅的屬性可以是威脅主體���、影響對(duì)象���、出現(xiàn)頻率���、動(dòng)機(jī)等���;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度���。
(三)風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備���、資產(chǎn)識(shí)別���、威脅識(shí)別���、脆弱性識(shí)別、已有安全措施確認(rèn)���、風(fēng)險(xiǎn)分析���、風(fēng)險(xiǎn)消減[5]���。
三���、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)���,設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0���,Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具���。系統(tǒng)采用C/S結(jié)構(gòu)���,是一個(gè)多專家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫(kù)管理端���、信息庫(kù)管理端���、系統(tǒng)評(píng)估端、評(píng)估管理端���。其中前兩個(gè)工具用于更新知識(shí)庫(kù)和信息庫(kù)。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體���。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹:
(一)評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度���,綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果���。具體表現(xiàn)在:開啟評(píng)估任務(wù)���;分配風(fēng)險(xiǎn)評(píng)估專家���;對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段���、威脅識(shí)別階段���、脆弱性識(shí)別階段、已有控制措施識(shí)別階段���、風(fēng)險(xiǎn)分析階段���、選擇控制措施階段這七個(gè)階段多個(gè)專家的評(píng)估進(jìn)行確認(rèn)���,對(duì)多個(gè)專家的評(píng)估數(shù)據(jù)進(jìn)行綜合���,得到綜合評(píng)估結(jié)果。
(二)系統(tǒng)評(píng)估端���。系統(tǒng)評(píng)估端由多個(gè)專家操作���,同時(shí)開展評(píng)估���。系統(tǒng)評(píng)估端要經(jīng)歷如下階段:a.準(zhǔn)備階段:評(píng)估系統(tǒng)中CIA的相對(duì)重要性���;b.資產(chǎn)識(shí)別階段���;c.威脅識(shí)別階段;d.脆弱性識(shí)別階段���;e.已有控制措施識(shí)別階段���;f.風(fēng)險(xiǎn)分析階段���;g.控制措施選擇階段���。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后,和評(píng)估管理端一樣���,可以瀏覽���、導(dǎo)出���、打印評(píng)估的結(jié)果―風(fēng)險(xiǎn)評(píng)估報(bào)表系列。
(三)信息庫(kù)管理端���。信息庫(kù)管理端由資產(chǎn)管理,威脅管理,脆弱點(diǎn)管理���,控制措施管理四部分組成。具體功能是:對(duì)資產(chǎn)大類���、小類進(jìn)行管理���;對(duì)威脅列表進(jìn)行管理;對(duì)脆弱點(diǎn)大類、列表進(jìn)行管理���;對(duì)控制措施列表進(jìn)行管理���。
(四)知識(shí)庫(kù)管理端���。知識(shí)庫(kù)的管理分為系統(tǒng)CIA問卷管理���,脆弱點(diǎn)問卷管理,威脅問卷管理���,資產(chǎn)屬性問卷管理���,控制措施問卷管理,控制措施損益問卷管理六部分���。
四���、總結(jié)
信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域���,本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上,詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述���。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別���,分析出已有控制措施的實(shí)施效果,為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)���。
參考文獻(xiàn):
[1]Huisheng Gao,Yiqun Sun���,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問題的認(rèn)識(shí)[J].計(jì)算機(jī)安全,2004,7:64-66
第2篇
一、指導(dǎo)思想
以科學(xué)發(fā)展觀為指導(dǎo)���,堅(jiān)持“安全第一���、預(yù)防為主、綜合治理”方針,通過開展風(fēng)險(xiǎn)評(píng)估���,摸清底數(shù)���、明確責(zé)任、強(qiáng)化措施���、精準(zhǔn)防治���,有效控制事故風(fēng)險(xiǎn)���,及時(shí)消除安全隱患���,規(guī)范基層風(fēng)險(xiǎn)管理,落實(shí)“一案三制”���,提升全市事故災(zāi)難應(yīng)急處置能力���,為建設(shè)宜居幸福的現(xiàn)代化國(guó)際城市營(yíng)造良好的安全環(huán)境。
二���、工作目標(biāo)
鎮(zhèn)街的風(fēng)險(xiǎn)評(píng)估完成率達(dá)到90%以上���;各有關(guān)部門對(duì)本行業(yè)(領(lǐng)域)進(jìn)行風(fēng)險(xiǎn)評(píng)估���,重點(diǎn)行業(yè)(領(lǐng)域)完成率達(dá)到80%以上。重點(diǎn)風(fēng)險(xiǎn)目標(biāo)得到有效防控���,安全隱患及時(shí)進(jìn)行整治���,基層應(yīng)急管理進(jìn)一步規(guī)范,應(yīng)急處置能力得到提升���。
三���、工作內(nèi)容
各級(jí)各部門要結(jié)合本地區(qū)、本行業(yè)(領(lǐng)域)的安全生產(chǎn)實(shí)際���,按照《基層安全生產(chǎn)風(fēng)險(xiǎn)評(píng)估導(dǎo)則》(見附件1)要求���,做好風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。
(一)前期準(zhǔn)備
各級(jí)各部門應(yīng)制定風(fēng)險(xiǎn)評(píng)估工作方案���,分區(qū)域���、分行業(yè)落實(shí)責(zé)任單位和人員���,明確評(píng)估對(duì)象與范圍,確定方法程序和時(shí)限要求���,組建評(píng)估組���;收集相關(guān)法規(guī)、標(biāo)準(zhǔn)和事故案例等資料���。
(二)風(fēng)險(xiǎn)評(píng)估
各級(jí)各部門按照確定的評(píng)估程序開展風(fēng)險(xiǎn)評(píng)估,認(rèn)真梳理地區(qū)���、行業(yè)(領(lǐng)域)的風(fēng)險(xiǎn)類型和級(jí)別��,明確防控目標(biāo)�,核查應(yīng)急資源���。
識(shí)別風(fēng)險(xiǎn)類型���。在合理劃分評(píng)估單元的基礎(chǔ)上���,梳理危險(xiǎn)有害因素,明確危險(xiǎn)點(diǎn)���,識(shí)別風(fēng)險(xiǎn)類型���。上級(jí)網(wǎng)格要以鎮(zhèn)街、行業(yè)���、主要生產(chǎn)經(jīng)營(yíng)單位等下一級(jí)網(wǎng)格為基礎(chǔ)�,結(jié)合評(píng)估對(duì)象所在地理位置��、自然條件���、行業(yè)特點(diǎn)���、危險(xiǎn)有害因素分布及狀況等劃分評(píng)估單元;從廠址���、總平面布置���、建構(gòu)筑物���、物質(zhì)、生產(chǎn)工藝與設(shè)備���、公用工程及其輔助設(shè)施���、作業(yè)環(huán)境、安全管理等方面進(jìn)行危險(xiǎn)有害因素辨識(shí)���。
分析風(fēng)險(xiǎn)程度���。加強(qiáng)事故隱患較多單位、危險(xiǎn)源較集中區(qū)域���、高危行業(yè)的風(fēng)險(xiǎn)分析,重點(diǎn)做好風(fēng)險(xiǎn)承受能力與控制能力的分析���。依據(jù)同類(或相近)企業(yè)發(fā)生的事故案例進(jìn)行類比分析���,對(duì)高危行業(yè)采用重大事故模擬分析���,并結(jié)合危險(xiǎn)、有害因素及周邊情況進(jìn)行定性���、定量分析���,根據(jù)分析結(jié)果,確定可能受影響的周邊單位和人員���。風(fēng)險(xiǎn)承受能力的分析可從風(fēng)險(xiǎn)影響范圍內(nèi)人群的心理素質(zhì)���、防災(zāi)應(yīng)急知識(shí)、經(jīng)濟(jì)能力���,設(shè)施的承受能力等方面進(jìn)行���,可采用情況報(bào)告、專家分析和專項(xiàng)調(diào)研等方法���。風(fēng)險(xiǎn)控制能力的分析可從預(yù)警預(yù)測(cè)能力���、應(yīng)急預(yù)案���、應(yīng)急組織體系、應(yīng)急處置能力���、應(yīng)急資源保障水平等方面進(jìn)行���。可選擇安全檢查表法���、預(yù)先危險(xiǎn)性分析���、作業(yè)條件危險(xiǎn)性評(píng)價(jià)法、事故后果模擬分析法等定性�����、定量評(píng)價(jià)方法��。
評(píng)定風(fēng)險(xiǎn)等級(jí)�����。評(píng)估風(fēng)險(xiǎn)因素導(dǎo)致事故發(fā)生的可能性及其嚴(yán)重程度���,可利用LSR等方法判定風(fēng)險(xiǎn)級(jí)別���。
形成評(píng)估結(jié)論。提出危險(xiǎn)有害因素引發(fā)各類事故的可能性及其嚴(yán)重程度的預(yù)測(cè)性結(jié)論���,給出評(píng)估對(duì)象在評(píng)估條件下是否與國(guó)家有關(guān)法律法規(guī)���、標(biāo)準(zhǔn)、規(guī)章��、規(guī)范的符合性結(jié)論�����。明確評(píng)估對(duì)象可能存在的主要事故類型和危害程度���,確定重點(diǎn)防控目標(biāo)���。
(三)風(fēng)險(xiǎn)控制
各級(jí)各部門針對(duì)評(píng)估中梳理出的隱患風(fēng)險(xiǎn),要加強(qiáng)整改防控并積極落實(shí)相關(guān)應(yīng)對(duì)措施���。
加強(qiáng)防控���,及時(shí)預(yù)警���。各級(jí)各部門要指導(dǎo)督促企業(yè)結(jié)合安全隱患自查自糾和風(fēng)險(xiǎn)監(jiān)控點(diǎn)上報(bào),明確風(fēng)險(xiǎn)目標(biāo)并加強(qiáng)防控���;對(duì)于新發(fā)現(xiàn)的重大危險(xiǎn)源���,要按規(guī)定程序立即報(bào)區(qū)市安全監(jiān)管等部門;對(duì)于重大隱患���,要立即采取必要的預(yù)警防控措施���,并在第一時(shí)間報(bào)至上級(jí)有關(guān)部門核實(shí)。
落實(shí)責(zé)任���,及時(shí)整改���。各級(jí)各部門要對(duì)評(píng)估分析出的安全隱患和風(fēng)險(xiǎn)實(shí)施分級(jí)管理,落實(shí)屬地安全管理責(zé)任���、部門監(jiān)管責(zé)任以及安全隱患和風(fēng)險(xiǎn)點(diǎn)單位的主體責(zé)任���,各級(jí)領(lǐng)導(dǎo)要加強(qiáng)對(duì)基層定點(diǎn)單位的監(jiān)督檢查。針對(duì)安全隱患和風(fēng)險(xiǎn)���,要及時(shí)制定整改防控措施并積極落實(shí)���。
完善預(yù)案,核實(shí)資源���。針對(duì)評(píng)估中核實(shí)的隱患和風(fēng)險(xiǎn)���,制定科學(xué)應(yīng)對(duì)措施,調(diào)整完善有關(guān)應(yīng)急預(yù)案���;依據(jù)應(yīng)急能力與風(fēng)險(xiǎn)相適應(yīng)的原則���,落實(shí)各類應(yīng)急資源;規(guī)范基層應(yīng)急管理���,提升應(yīng)急處置能力���。
(四)評(píng)審總結(jié)
各級(jí)各部門按期完成評(píng)估報(bào)告的編制并報(bào)至上級(jí)主管部門���。上級(jí)主管部門要組織專家對(duì)評(píng)估報(bào)告進(jìn)行評(píng)審。各級(jí)各部門完成評(píng)估后���,要及時(shí)在網(wǎng)格化監(jiān)管平臺(tái)提報(bào)評(píng)估報(bào)告及工作總結(jié)���。
四、工作步驟
結(jié)合我市安全生產(chǎn)工作安排���,年風(fēng)險(xiǎn)評(píng)估工作按“準(zhǔn)備���、評(píng)估、評(píng)審���、總結(jié)”四個(gè)階段進(jìn)行:
(一)準(zhǔn)備階段(時(shí)間:4月30日前)
各級(jí)各部門制定風(fēng)險(xiǎn)評(píng)估工作方案���,落實(shí)責(zé)任人員,明確評(píng)估對(duì)象與范圍�,確定方法程序和時(shí)限要求,組建評(píng)估組���;收集相關(guān)法規(guī)���、標(biāo)準(zhǔn)等資料和相關(guān)事故案例等內(nèi)容���。
(二)評(píng)估階段(5月1日至6月10日)
各鎮(zhèn)街應(yīng)在5月15日前完成本轄區(qū)風(fēng)險(xiǎn)評(píng)估,并將風(fēng)險(xiǎn)評(píng)估報(bào)告提報(bào)至市政府安委會(huì)辦公室���;各有關(guān)部門于5月25之前完成本行業(yè)(領(lǐng)域)的風(fēng)險(xiǎn)分析;在6月10日之前完成本網(wǎng)格的風(fēng)險(xiǎn)評(píng)估��,形成風(fēng)險(xiǎn)評(píng)估報(bào)告�����,并上報(bào)市政府安委會(huì)辦公室��。
(三)評(píng)審階段(6月11日到6月30日)
市政府安委會(huì)將于6月底前組織有關(guān)部門及專家完成對(duì)各鎮(zhèn)街及各有關(guān)部門的風(fēng)險(xiǎn)評(píng)估報(bào)告的評(píng)審工作���。
(四)總結(jié)階段(7月1日到7月10日)
各鎮(zhèn)街及各有關(guān)部門要結(jié)合評(píng)審意見對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行修改完善���。各級(jí)各部門須于7月3日前通過網(wǎng)格化系統(tǒng)提報(bào)本網(wǎng)格的風(fēng)險(xiǎn)評(píng)估報(bào)告和工作總結(jié)。
五���、保障措施
(一)加強(qiáng)領(lǐng)導(dǎo)���,落實(shí)責(zé)任���。各鎮(zhèn)街及各有關(guān)部門要高度重視,成立風(fēng)險(xiǎn)評(píng)估工作領(lǐng)導(dǎo)小組���。在組織領(lǐng)導(dǎo)本級(jí)網(wǎng)格風(fēng)險(xiǎn)評(píng)估工作的同時(shí)���,指導(dǎo)督促下一級(jí)網(wǎng)格落實(shí)風(fēng)險(xiǎn)評(píng)估責(zé)任,鼓勵(lì)引導(dǎo)社區(qū)級(jí)網(wǎng)格開展風(fēng)險(xiǎn)評(píng)估���。
(二)統(tǒng)一部署���,分級(jí)實(shí)施。各級(jí)各部門要制定工作方案���,統(tǒng)一部署風(fēng)險(xiǎn)評(píng)估工作���。根據(jù)本地區(qū)、本行業(yè)(領(lǐng)域)的特點(diǎn)���、企業(yè)類型���、危險(xiǎn)有害因素分布及狀況等情況���,做好分級(jí)實(shí)施的工作安排,合理分配任務(wù)���,逐級(jí)負(fù)責(zé)落實(shí)���,有計(jì)劃���、有組織���、有步驟地開展評(píng)估工作。
(三)完善機(jī)制���,鞏固提升���。各鎮(zhèn)街及各有關(guān)部門要從實(shí)際情況出發(fā),切實(shí)推進(jìn)評(píng)估工作長(zhǎng)效機(jī)制建設(shè)���,總結(jié)制定適合本地區(qū)���、本行業(yè)的評(píng)估實(shí)施方案���,確定每年年底前完成基層安全生產(chǎn)風(fēng)險(xiǎn)評(píng)估,為制定下一年度的安全生產(chǎn)工作計(jì)劃提供支撐���,推動(dòng)安全生產(chǎn)重點(diǎn)工作的深入開展���,消除隱患,防范風(fēng)險(xiǎn)���,落實(shí)應(yīng)急措施���,促進(jìn)安全生產(chǎn)應(yīng)急能力大幅提升。
第3篇
關(guān)鍵詞 信息工程安全系統(tǒng) 風(fēng)險(xiǎn)評(píng)估 控制
中圖分類號(hào):X92 文獻(xiàn)標(biāo)識(shí)碼:A
對(duì)項(xiàng)目風(fēng)險(xiǎn)管理來說���,風(fēng)險(xiǎn)評(píng)估是對(duì)信息工程安全資產(chǎn)所面臨的威脅���、存在的弱點(diǎn)、造成的影響及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估���。作為項(xiàng)目風(fēng)險(xiǎn)管理的基礎(chǔ)���,風(fēng)險(xiǎn)評(píng)估是確定信息工程安全需求的一個(gè)重要途徑���,屬于信息工程安全管理體系策劃的過程。
1 風(fēng)險(xiǎn)評(píng)估概述
風(fēng)險(xiǎn)評(píng)估是在綜合考慮成本效益的前提下���,通過安全措施控制風(fēng)險(xiǎn)���,使殘余風(fēng)險(xiǎn)降低到可以控制的程度。因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)���,所謂安全信息系統(tǒng)���,實(shí)際上指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估以后做出了風(fēng)險(xiǎn)控制���,仍然存在殘余風(fēng)險(xiǎn)是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)���。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評(píng)估,就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估���。
風(fēng)險(xiǎn)評(píng)估的主要任務(wù)包括:(1)識(shí)別面臨的各種風(fēng)險(xiǎn)���。(2)評(píng)估風(fēng)險(xiǎn)概率和可能帶來的負(fù)面影響���。(3)確定承受風(fēng)險(xiǎn)的能力。(4)確定風(fēng)險(xiǎn)消減和控制的優(yōu)先等級(jí)���。(5)推薦風(fēng)險(xiǎn)消減對(duì)策���。
1.1 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估概述
信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)管理是圍繞信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)而展開的評(píng)估、處理和控制的活動(dòng)���。其中最重要的基本要素是風(fēng)險(xiǎn)評(píng)估���,因?yàn)榛陲L(fēng)險(xiǎn)評(píng)估可以對(duì)政府部門信息工程安全系統(tǒng)項(xiàng)目有系統(tǒng)全面的了解,找出潛在問題���,分析原因���,判斷嚴(yán)重性和相關(guān)影響,以此確定信息工程安全系統(tǒng)建設(shè)的需求���。項(xiàng)目是一個(gè)過程���,從項(xiàng)目的開始到結(jié)束���,風(fēng)險(xiǎn)評(píng)估要求風(fēng)險(xiǎn)評(píng)估貫穿到信息系統(tǒng)的整個(gè)生命周期提出了三個(gè)環(huán)節(jié)要進(jìn)行風(fēng)險(xiǎn)評(píng)估:一是信息系統(tǒng)規(guī)劃設(shè)計(jì)階段,二是系統(tǒng)驗(yàn)收階段���,三是信息系統(tǒng)運(yùn)維階段���。管理的不確定性,有限的資源和千變?nèi)f化的危險(xiǎn)和漏洞���,使得所有的風(fēng)險(xiǎn)不可能完全緩解���。一個(gè)信息系統(tǒng)的項(xiàng)目專業(yè)人員必須要協(xié)同用戶、項(xiàng)目經(jīng)理對(duì)信息系統(tǒng)各種潛在的影響進(jìn)行評(píng)估���,使其達(dá)到一個(gè)合理水平。
由于種種原因���,信息安全系統(tǒng)存在著很多漏洞及缺陷���,如黑客攻擊或系統(tǒng)本身的原因���,會(huì)造成系統(tǒng)安全事件,給系統(tǒng)帶來不好的影響���。因此���,要對(duì)項(xiàng)目的信息安全風(fēng)險(xiǎn)進(jìn)行相應(yīng)的評(píng)估,評(píng)估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負(fù)面影響���,根據(jù)相應(yīng)的等級(jí)來進(jìn)行劃分���,評(píng)估出可能發(fā)生的安全風(fēng)險(xiǎn)。
1.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)評(píng)估過程
一般來說���,系統(tǒng)信息工程安全項(xiàng)目風(fēng)險(xiǎn)評(píng)估分為四個(gè)不同的階段���。
第一個(gè)階段:風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段。
(1)根據(jù)相應(yīng)的風(fēng)險(xiǎn)評(píng)估準(zhǔn)則���,調(diào)研項(xiàng)目的實(shí)際情況���,然后制定風(fēng)險(xiǎn)評(píng)估的計(jì)劃表���。按照實(shí)際操作來看,計(jì)劃通常要由三個(gè)重要的表格組成���,這三個(gè)表分別是:《信息工程安全系統(tǒng)的描述報(bào)告》���、《信息工程安全系統(tǒng)的分析報(bào)告》和《信息工程安全系統(tǒng)的安全要求報(bào)告》。通過這些表格及具體的計(jì)劃表���,要對(duì)項(xiàng)目的風(fēng)險(xiǎn)評(píng)價(jià)進(jìn)行計(jì)劃���。計(jì)劃的內(nèi)容一般要設(shè)計(jì)如下范圍:目的、范圍���、目標(biāo)���、組織架構(gòu)、經(jīng)費(fèi)預(yù)算���、進(jìn)度安排���。制定好計(jì)劃書后要及時(shí)匯報(bào)給決策層。如果決策層有異議���,應(yīng)該及時(shí)根據(jù)意見加以修改���。只有獲得決策層的審核和同意后,計(jì)劃書才能獲得批準(zhǔn)���,才能夠獲得相應(yīng)的資源加以執(zhí)行���。
(2)結(jié)合項(xiàng)目的具體實(shí)際,對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估流程加以確定���。不同的項(xiàng)目風(fēng)險(xiǎn)評(píng)估流程是不一樣的���,必須要結(jié)合具體的項(xiàng)目實(shí)際對(duì)評(píng)估的流程加以確定,如何工作���,如何評(píng)估���,評(píng)估結(jié)果如何衡量等���。這個(gè)步驟,通常應(yīng)該形成一個(gè)書面的《風(fēng)險(xiǎn)評(píng)估程序》���,便于后面工作人員的具體操作���。
(3)根據(jù)項(xiàng)目具體實(shí)際,選擇特定的風(fēng)險(xiǎn)評(píng)估方法和工具���。風(fēng)險(xiǎn)評(píng)估方法和工具千差萬別���,具體的某個(gè)項(xiàng)目,有針對(duì)性地 選擇成本低���,效果好���,結(jié)合項(xiàng)目實(shí)際的具體方法和工具。
第二個(gè)階段:風(fēng)險(xiǎn)因素識(shí)別���。
(1)對(duì)所有需要保護(hù)的信息資產(chǎn)加以清點(diǎn)���。根據(jù)上文確定的三個(gè)相關(guān)報(bào)告���,對(duì)單位或項(xiàng)目所有的資產(chǎn)加以清點(diǎn)���,找出重要的���、對(duì)安全有重大影響的信息資產(chǎn)并造冊(cè),形成書面的《需要保護(hù)的資產(chǎn)清單》���。(2)結(jié)合相關(guān)工具���,識(shí)別出可能面臨的威脅。一般來說���,目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫(kù)���,結(jié)合這些數(shù)據(jù)庫(kù),對(duì)單位的具體資產(chǎn)進(jìn)行詳細(xì)的清點(diǎn)和評(píng)估���,就能找出可能面臨的威脅���,編制書面的《威脅列表》���。(3)根據(jù)上面的工作,參照漏洞庫(kù)���,可以對(duì)整個(gè)單位信息資產(chǎn)面臨的脆弱性加以評(píng)估���,形成書面的《脆弱性列表》。
第三個(gè)階段:風(fēng)險(xiǎn)程度分析���。
(1)確認(rèn)單位目前已經(jīng)采用的安全防范措施���。通過書面形式,對(duì)單位目前已經(jīng)有的具體防范措施加以總結(jié)���,填寫到《已有安全措施分析報(bào)告》���。(2)對(duì)可能面臨的威脅的動(dòng)機(jī)加以分析。面臨的威脅的動(dòng)機(jī)一般分為:涉及利益者的攻擊���、對(duì)系統(tǒng)好奇���、對(duì)自己的技術(shù)自負(fù)等���,要形成書面的《威脅動(dòng)機(jī)分析報(bào)告》。(3)分析單位可能面臨的威脅行為的能力���。這一步主要是對(duì)可能面臨威脅的具體評(píng)估���,包括強(qiáng)度���、廣度���、深度等。(4)分析信息資產(chǎn)的價(jià)值���。信息自查的價(jià)值主要從以下幾個(gè)方面來評(píng)估:關(guān)鍵性���,價(jià)格,敏感性等���。(5)分析可能面臨的影響的程度���。具體包括:資產(chǎn)損失���,任務(wù)妨害,人員傷亡等���。
第四個(gè)階段:風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)階段���。
(1)對(duì)威脅的動(dòng)機(jī)加以評(píng)價(jià),采用五級(jí)劃分���,分別是:“很高���、較高、中等���、較低���、很低”。(2)對(duì)威脅的行為能力加以評(píng)價(jià)���,采用五級(jí)劃分���,分別是:“很高���、較高、中等���、較低���、很低”。(3)對(duì)系統(tǒng)脆弱性加以評(píng)價(jià)���,采用五級(jí)劃分,分別是:“很高���、較高���、中等、較低���、很低”���。(4)對(duì)資產(chǎn)價(jià)值加以評(píng)估���,采用五級(jí)劃分,分別是:“很高���、較高���、中等、較低���、很低”���。(5)對(duì)影響程度加以評(píng)價(jià),采用五級(jí)劃分���,分別是:“很高���、較高、中等���、較低���、很低”���。(6)對(duì)所有因素加以綜合評(píng)價(jià),采用五級(jí)劃分���,分別是:“很高���、較高、中等���、較低���、很低”。
一般來說���,有公認(rèn)的具體算法。但各單位具體實(shí)際情況不一而足���。所以���,對(duì)于公認(rèn)的算法可以進(jìn)行修改,或者提出自己認(rèn)為更符合實(shí)際情況的算法。
2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制
2. 1 風(fēng)險(xiǎn)控制概述
風(fēng)險(xiǎn)評(píng)估的目的是進(jìn)行風(fēng)險(xiǎn)控制���,進(jìn)而最大可能排除系統(tǒng)面臨的風(fēng)險(xiǎn)���。所以,在信息風(fēng)險(xiǎn)評(píng)估之后���,就要進(jìn)行風(fēng)險(xiǎn)控制���,其目的是為了盡可能降低系統(tǒng)面臨的風(fēng)險(xiǎn)和漏洞。而系統(tǒng)的風(fēng)險(xiǎn)和漏洞���,是不可能完全排除的���,不論下多么大的成本。只能在一定范圍內(nèi)���,盡可能控制在可以接受的范圍���。一般來說,為了控制可能發(fā)生的風(fēng)險(xiǎn)���,主要采用以下幾種方式:(1)規(guī)避風(fēng)險(xiǎn)���。規(guī)避就是避免使用���。例如有一些信息資產(chǎn)面臨很大的風(fēng)險(xiǎn),如果完全消除風(fēng)險(xiǎn)���,需要很大的成本���,需要更多的經(jīng)濟(jì)投入等。那么���,一個(gè)比較可行的辦法就是避免使用這樣的資產(chǎn)���,或者一些敏感的、需要保密的數(shù)據(jù)���,不在這些資產(chǎn)上使用���,從而規(guī)避掉可能發(fā)生的風(fēng)險(xiǎn)���。(2)轉(zhuǎn)移風(fēng)險(xiǎn)���。這種方式的思路���,就是將已經(jīng)面臨風(fēng)險(xiǎn)的資產(chǎn)轉(zhuǎn)移到風(fēng)險(xiǎn)較低,或者沒有風(fēng)險(xiǎn)的資產(chǎn)上���。如某單位需要處理技術(shù)上足夠復(fù)雜���,沒有能力處理的業(yè)務(wù)時(shí),可以通過尋求外包給第三方專業(yè)機(jī)構(gòu)的形式���,要求對(duì)方做好風(fēng)險(xiǎn)處理���,從而達(dá)到轉(zhuǎn)移風(fēng)險(xiǎn)的目的。(3)降低風(fēng)險(xiǎn)���。降低風(fēng)險(xiǎn)就是在資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)���,通過各種手段和方法來降低其面臨的風(fēng)險(xiǎn)。
2.2 信息工程安全系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)控制過程
在信息工程安全項(xiàng)目管理中���,風(fēng)險(xiǎn)控制可以劃分為四個(gè)階段���,分別是:現(xiàn)有風(fēng)險(xiǎn)判斷���、確定風(fēng)險(xiǎn)控制目標(biāo)、采取選擇和實(shí)施具體的風(fēng)險(xiǎn)控制措施���。
在不同的階段���,進(jìn)行不同的工作流程和具體內(nèi)容,分別如下:
第一階段:預(yù)備階段���。在本階段���,主要是對(duì)單位現(xiàn)有的信息資產(chǎn)激進(jìn)型識(shí)別、編號(hào)���、評(píng)估并造冊(cè)���,形成書面報(bào)告。
第二階段:現(xiàn)存風(fēng)險(xiǎn)判斷���。在本階段���,通過各種工具和方法,對(duì)系統(tǒng)信息資產(chǎn)面臨的風(fēng)險(xiǎn)加以評(píng)級(jí)���。一般來說���,風(fēng)險(xiǎn)的評(píng)級(jí)主要分為兩種:可接受的系統(tǒng)風(fēng)險(xiǎn)和不可接受的系統(tǒng)風(fēng)險(xiǎn)。然后���,對(duì)系統(tǒng)目前存在的一些風(fēng)險(xiǎn)加以判斷���,到底是否能夠接受。
第三階段:確定風(fēng)險(xiǎn)控制目標(biāo)���。本階段主要的工作流程和內(nèi)容包括:(1)分析風(fēng)險(xiǎn)控制需求���。針對(duì)上面提出的不可接受的風(fēng)險(xiǎn),分析其具體需求���;并分析哪些是可以做到���,哪些不能做到���;如果做到,需要具體的成本和措施等���。(2)確立風(fēng)險(xiǎn)控制目標(biāo)���。完全搞清楚其具體需求后,就可以確定風(fēng)險(xiǎn)控制的目標(biāo)���。
第四階段:控制措施選擇與實(shí)施���。
控制措施選擇階段的工作流程和內(nèi)容如下:(1)選擇風(fēng)險(xiǎn)控制方式。確定目標(biāo)后���,就可以采用具體的風(fēng)險(xiǎn)控制方式���。選擇方式時(shí)必須考慮到單位的具體情況,能否實(shí)現(xiàn)以及經(jīng)濟(jì)投入成本���、投入產(chǎn)出比等���。(2)選擇風(fēng)險(xiǎn)控制措施���。控制措施實(shí)施階段的工作流程和內(nèi)容如下:①制定風(fēng)險(xiǎn)控制實(shí)施計(jì)劃:選擇好相應(yīng)的風(fēng)險(xiǎn)控制方式后���,即可制定具體的實(shí)施計(jì)劃。實(shí)施計(jì)劃必須為書面���,便于后面的審查以及對(duì)照���。②實(shí)施風(fēng)險(xiǎn)控制措施:采用規(guī)避、降低���、轉(zhuǎn)移等具體方式來控制���。實(shí)施過程應(yīng)該遵循相應(yīng)的工作流程和標(biāo)準(zhǔn),并書面記錄在案���。
3 結(jié)語
當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速���,任何信息系統(tǒng)都會(huì)有安全風(fēng)險(xiǎn)���。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)���,對(duì)所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進(jìn)行升級(jí)完善���,以確保相關(guān)利益不受侵犯。
參考文獻(xiàn)
[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機(jī)密與解決方案[M].北京:清華大學(xué)出版社���,2006:140.
[2] 魏仕民等.信息安全概論[M].北京:高等教育出版社���,2005:40-41.
[3] 曲平.安全信息管理技術(shù)的研發(fā)與運(yùn)用[J].信息通信,2013.
第4篇
修正案突出風(fēng)險(xiǎn)評(píng)估重要性���,其中經(jīng)修訂的ISM規(guī)則1.2.2.2條要求“公司應(yīng)評(píng)估對(duì)其船舶���、人員和環(huán)境的所有已認(rèn)定的風(fēng)險(xiǎn),并規(guī)定相應(yīng)的防范措施”���,本文闡述了將風(fēng)險(xiǎn)評(píng)估的理念引入安全管理體系的具體做法和要求���,望能對(duì)各航運(yùn)公司安全體系工作略有啟益���。
關(guān)鍵詞:lSM修正案風(fēng)險(xiǎn)評(píng)估船舶操作
一、船舶風(fēng)險(xiǎn)評(píng)估要求的提出
國(guó)際海事組織于1993年11月4日通過���,并于1998年7月1日實(shí)施的《國(guó)際船舶安全營(yíng)運(yùn)和防止污染管理規(guī)則》(簡(jiǎn)稱“l(fā)SM規(guī)則”)���,要求航運(yùn)公司建立船舶安全管理體系,由主管機(jī)關(guān)進(jìn)行強(qiáng)制性監(jiān)督���,從而保證海上安全、防止人員傷亡���、避免對(duì)環(huán)境���,特別是海洋環(huán)境造成危害以及對(duì)財(cái)產(chǎn)造成的損失。十多年的實(shí)踐證明���,航運(yùn)公司通過建立安全管理體系���,明確了船岸各個(gè)崗位職責(zé),制定了各類操作規(guī)程,規(guī)范了各項(xiàng)管理活動(dòng)���,并通過體系固有的自我完善機(jī)制和主管機(jī)關(guān)的定期監(jiān)管���,使航運(yùn)公司的船舶安全管理技能和水平得到了長(zhǎng)足的提高。
然而���,由于受到眾多不易預(yù)料的自然因素和不能確定的人為因素影響���,以及船舶運(yùn)輸?shù)奶厥庑院吐殬I(yè)船員的流動(dòng)性,船舶安全管理的風(fēng)險(xiǎn)度依然很高���。如何運(yùn)用科學(xué)的管理方法���,制定并采取控制措施,有效地防范已認(rèn)定的風(fēng)險(xiǎn)和(或)將海上運(yùn)輸風(fēng)險(xiǎn)降到最低���,這是擺在航運(yùn)公司面前的一個(gè)艱巨任務(wù)���,也是值得海運(yùn)界探討的一個(gè)重大課題。為此���,國(guó)際海事組織在85屆海安會(huì)批準(zhǔn)的ISM Code修正案明確要求將風(fēng)險(xiǎn)管理方法引入安全管理體系���。
那么���,如何才能證明航運(yùn)公司已經(jīng)滿足了“公司應(yīng)評(píng)估對(duì)其船舶、人員和環(huán)境的所有已認(rèn)定的風(fēng)險(xiǎn)���,并規(guī)定相應(yīng)的防范措施”?國(guó)際船級(jí)社協(xié)會(huì)(1ACS)形成的解釋是:促使航運(yùn)公司建立正確的程序���,鼓勵(lì)采納更可靠和合理的方法進(jìn)行風(fēng)險(xiǎn)評(píng)估;航運(yùn)公司必須確保其相關(guān)風(fēng)險(xiǎn)評(píng)估政策已經(jīng)文件化���,明確相關(guān)部門的職責(zé)和權(quán)力���,對(duì)船岸員工依據(jù)其在風(fēng)險(xiǎn)評(píng)估過程中所擔(dān)任職責(zé)的情況給予了培訓(xùn)和指導(dǎo),已經(jīng)制定所選定評(píng)估方法的程序和須知���,保持風(fēng)險(xiǎn)評(píng)估的記錄。2010年7月1日前公司必須建立書面的風(fēng)險(xiǎn)評(píng)估的操作程序���,也許并不一定已對(duì)所有的現(xiàn)有操作和活動(dòng)均進(jìn)行了風(fēng)險(xiǎn)評(píng)估���;2010年7月1日之后���,如果公司不能證明已經(jīng)開始滿足該要求(即沒有方針���、沒有明確職責(zé)和權(quán)力���、沒有程序和指導(dǎo)性文件���、沒有培訓(xùn)、沒有任何風(fēng)險(xiǎn)評(píng)估的證據(jù)���、沒有實(shí)施的計(jì)劃等)���,則將導(dǎo)致嚴(yán)重不合格���。由此可見���,航運(yùn)公司當(dāng)務(wù)之急應(yīng)逐步建立和完善船舶風(fēng)險(xiǎn)管理機(jī)制,實(shí)施船舶風(fēng)險(xiǎn)評(píng)估和控制���,這既是一次契機(jī)���,也是一個(gè)挑戰(zhàn)���。
二、風(fēng)險(xiǎn)管理的概念和評(píng)估要求
風(fēng)險(xiǎn)的定義在國(guó)際標(biāo)準(zhǔn)化組織(ISO)制定的IS031000“風(fēng)險(xiǎn)管理一原則和指南”中的表述為:不確定性對(duì)目標(biāo)的影響(風(fēng)險(xiǎn)通常用事件發(fā)生的可能性與事件發(fā)生后果的嚴(yán)重性的組合來表示)。風(fēng)險(xiǎn)管理的定義為:指導(dǎo)和控制組織風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)管理的基本流程可用下圖來表示:
ISM規(guī)則修正案中提到的風(fēng)險(xiǎn)評(píng)估,其定義在上述標(biāo)準(zhǔn)中的描述為:風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程���。風(fēng)險(xiǎn)評(píng)估過程是風(fēng)險(xiǎn)管理的核心部分,主要由風(fēng)險(xiǎn)識(shí)別���、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)步驟組成���。
風(fēng)險(xiǎn)識(shí)別的主要目的是識(shí)別風(fēng)險(xiǎn)的來源���、受影響的區(qū)域���、發(fā)生的事件、起因及其可能的后果���。風(fēng)險(xiǎn)識(shí)別應(yīng)通過適當(dāng)途徑獲取相關(guān)信息���、選擇恰當(dāng)?shù)墓ぞ?��、方法和技術(shù)���,根據(jù)公司經(jīng)營(yíng)業(yè)務(wù)范圍和特點(diǎn)進(jìn)行全面、系統(tǒng)的識(shí)別���。
風(fēng)險(xiǎn)分析旨在更好地了解風(fēng)險(xiǎn)���,并為風(fēng)險(xiǎn)評(píng)價(jià)、決定風(fēng)險(xiǎn)處置策略和方法提供依據(jù)���。風(fēng)險(xiǎn)分析的過程包括考慮風(fēng)險(xiǎn)的起因和來源���、正面或負(fù)面后果,以及這些后果發(fā)生的可能性���。還應(yīng)識(shí)別出可能影響后果和可能性的因素���。
風(fēng)險(xiǎn)評(píng)價(jià)是將風(fēng)險(xiǎn)分析中所決定的風(fēng)險(xiǎn)等級(jí)與先前訂立的風(fēng)險(xiǎn)尺度相比較���,所使用的比較標(biāo)準(zhǔn)應(yīng)該與風(fēng)險(xiǎn)分析具有相同的基礎(chǔ),風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果是篩選需要進(jìn)一步優(yōu)先處置的風(fēng)險(xiǎn)���。
風(fēng)險(xiǎn)管理過程中���,除了上述的風(fēng)險(xiǎn)評(píng)估外,還包括風(fēng)險(xiǎn)處置���、溝通與協(xié)商和監(jiān)督與評(píng)審等環(huán)節(jié)���。
風(fēng)險(xiǎn)處置是指對(duì)經(jīng)評(píng)估的風(fēng)險(xiǎn)進(jìn)行處置,包括尋找風(fēng)險(xiǎn)處置的方法���、評(píng)估風(fēng)險(xiǎn)對(duì)策���、制定風(fēng)險(xiǎn)處置措施、執(zhí)行風(fēng)險(xiǎn)處置措施和評(píng)估殘余風(fēng)險(xiǎn)���,建立風(fēng)險(xiǎn)預(yù)警機(jī)制���,直到把風(fēng)險(xiǎn)降到可容忍的范圍���。
溝通與協(xié)商要求公司建立信息與溝通制度���,明確風(fēng)險(xiǎn)管理相關(guān)信息的收集���、處理和傳遞流程,確保風(fēng)險(xiǎn)管理信息得到及時(shí)溝通和協(xié)商���,所涉及的范圍主要分為內(nèi)部信息溝通和外部信息溝通���。
監(jiān)督與評(píng)審包括日常監(jiān)督、專項(xiàng)監(jiān)督和外部監(jiān)督���,以及公司定期組織的管理評(píng)審等���。日常監(jiān)督著重于為系統(tǒng)的風(fēng)險(xiǎn)管理提供預(yù)警機(jī)制,專項(xiàng)監(jiān)督著重于評(píng)估結(jié)果與目標(biāo)的一致性���,外部監(jiān)督著重于第三方對(duì)公司風(fēng)險(xiǎn)管理活動(dòng)進(jìn)行的檢查���、審計(jì)與審核���。管理評(píng)審的主要目的是評(píng)審風(fēng)險(xiǎn)管理體系的有效性。三���、船舶操作風(fēng)險(xiǎn)的評(píng)估
航運(yùn)公司在建立安全管理體系時(shí)���,依據(jù)ISM規(guī)則第七章的要求,結(jié)合公司的管理實(shí)際���,初步標(biāo)明了關(guān)鍵操作中的特殊操作和臨界操作���。這種關(guān)鍵操作的區(qū)分,往往采用了規(guī)則指南或行業(yè)傳統(tǒng)所作的羅列���,并沒有運(yùn)用風(fēng)險(xiǎn)管理原理對(duì)操作風(fēng)險(xiǎn)進(jìn)行評(píng)估���,從而得出哪類操作為關(guān)健,哪類操作為臨界���,這種標(biāo)明也就缺乏全面性和科學(xué)性���。lSM規(guī)則修正案將風(fēng)險(xiǎn)評(píng)估要求植入船舶安全管理體系���,為航運(yùn)公司評(píng)估船舶操作和控制管理風(fēng)險(xiǎn)提供了方法。對(duì)現(xiàn)有船舶操作風(fēng)險(xiǎn)評(píng)估的步驟和要求提出我們不成熟的建議���,供參考。
由于船舶營(yíng)運(yùn)環(huán)境的復(fù)雜多變���,船舶操作風(fēng)險(xiǎn)評(píng)估應(yīng)該分為公司和船上兩個(gè)層面進(jìn)行���。公司層面根據(jù)管理現(xiàn)狀對(duì)所轄船舶在營(yíng)運(yùn)中可能遇到的風(fēng)險(xiǎn)進(jìn)行評(píng)估,得出結(jié)論并制定措施在船舶實(shí)施���。船舶層面根據(jù)當(dāng)時(shí)操作的內(nèi)外部環(huán)境���,對(duì)公司制定的風(fēng)險(xiǎn)評(píng)估情況和對(duì)策措施進(jìn)行再評(píng)估,必要時(shí)補(bǔ)充相應(yīng)的控制措施���,再實(shí)施相關(guān)操作���。(一)公司層面的風(fēng)險(xiǎn)評(píng)估1船舶操作流程分析
航運(yùn)公司應(yīng)根據(jù)船舶實(shí)際營(yíng)運(yùn)情況���,對(duì)各種操作進(jìn)行流程分析,以確定主要活動(dòng)過程���。船舶操作流程因船舶類型���、貨物種類、航行的區(qū)域的不同而存在差異���,通?��?煞譃榇昂叫星皽?zhǔn)備、進(jìn)出港和系泊���、船舶航行���、其他等幾個(gè)方面。每個(gè)方面可以按照操作順序分解成一系列的活動(dòng)���,如船舶航行前準(zhǔn)備方面可以分為貨物積載和系固���、裝卸作業(yè)���、貨物運(yùn)輸前檢查、抵離港準(zhǔn)備四個(gè)作業(yè)活動(dòng)���。
船舶操作流程分析是風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)���,其分解的詳細(xì)程度影響風(fēng)險(xiǎn)識(shí)別的充分性。2船舶操作風(fēng)險(xiǎn)識(shí)別
就航運(yùn)業(yè)而言���,風(fēng)險(xiǎn)也是指某一特定危險(xiǎn)情況發(fā)生的可能性和后果的組合,而危險(xiǎn)則是指遭受損失���、傷害���、不利或毀滅的可能性。因此���,航運(yùn)公司在組織船舶操作風(fēng)險(xiǎn)識(shí)別時(shí)���,可與原有的危險(xiǎn)源和環(huán)境因素識(shí)別活動(dòng)相結(jié)合。在每一個(gè)船舶操作流程中進(jìn)行危險(xiǎn)辨識(shí)���,需考慮自然環(huán)境影響���、外部環(huán)境干擾���、 能量(機(jī)械能、電能���、熱能���、化學(xué)能)的釋放、職業(yè)健康���、環(huán)境排放等因素���。每一類危險(xiǎn)均需考慮人的不安全行為和設(shè)備、貨物的不安全狀態(tài)���。
危險(xiǎn)源識(shí)別示例:
職業(yè)健康危害:疾病���、致癌、中毒���、精神失常自然環(huán)境危害:臺(tái)風(fēng)���、地震/海嘯���、大霧、大雨/雪���、雷電���、大
風(fēng)、高“氐溫
能量危害:危險(xiǎn)化學(xué)品/爆炸���、燃油/火災(zāi)���、物體打擊���、高空墜落���、燙傷、凍傷
環(huán)境影響危害:主輔機(jī)廢氣排放���、火災(zāi)/爆炸���、艙底水排放���、含油污水排放、燃油泄露���、固體垃圾���、危險(xiǎn)廢棄物、機(jī)器噪聲外部環(huán)境危害:罷工���、動(dòng)亂���、海盜劫持、劫持���、戰(zhàn)爭(zhēng)
航運(yùn)公司組織有關(guān)部門針對(duì)船舶各類具體操作識(shí)別出可能造成船舶財(cái)產(chǎn)損失���、人員健康安全、環(huán)境負(fù)面影響的風(fēng)險(xiǎn)事件,是船舶操作風(fēng)險(xiǎn)識(shí)別的一個(gè)有效方法���。風(fēng)險(xiǎn)事件的描述應(yīng)該是原因+后果的陳述���。風(fēng)險(xiǎn)事件描述示例:
船舶航行操作:惡劣氣候航行。在惡劣氣候���、大風(fēng)浪海況來臨時(shí)���,集裝箱、大件貨物���、備件物品等易移動(dòng)物的系固不牢���,可能導(dǎo)致貨物或物品移動(dòng),發(fā)生貨損或海損���。
3 船舶操作風(fēng)險(xiǎn)分析
在風(fēng)險(xiǎn)分析時(shí)���,可根據(jù)具體情況���,采用“3×3風(fēng)險(xiǎn)矩陣”(半定量分析方法)來進(jìn)行���。(見表一)“3×3風(fēng)險(xiǎn)矩陣”將風(fēng)險(xiǎn)發(fā)生的可能性(頻率)分為三個(gè)等級(jí)���,分別為:很可能、可能和不可能���。將風(fēng)險(xiǎn)發(fā)生的后果分為三個(gè)等級(jí)���,分別為:嚴(yán)重、中等和輕微���。在分析風(fēng)險(xiǎn)事件發(fā)生的可能性和后果的嚴(yán)重性時(shí)���,需考慮現(xiàn)有控制措施的作用。
航運(yùn)公司應(yīng)開發(fā)一套統(tǒng)一���、簡(jiǎn)易的風(fēng)險(xiǎn)分析工具���,對(duì)風(fēng)險(xiǎn)事件發(fā)生的可能性和后果的嚴(yán)重性進(jìn)行半定量的分析。
4 船舶操作風(fēng)險(xiǎn)評(píng)價(jià):
航運(yùn)公司應(yīng)在風(fēng)險(xiǎn)分析的基礎(chǔ)上���,對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)���,進(jìn)一步找出公司需要面對(duì)的關(guān)鍵風(fēng)險(xiǎn)���。航運(yùn)公司應(yīng)制定統(tǒng)一的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn),對(duì)風(fēng)險(xiǎn)事件逐一進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)���,并且對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行定義���。
風(fēng)險(xiǎn)評(píng)價(jià)利用3×3風(fēng)險(xiǎn)分析矩陣計(jì)算風(fēng)險(xiǎn)等級(jí),將風(fēng)險(xiǎn)發(fā)生的可能性與該風(fēng)險(xiǎn)發(fā)生的影響程度(后果)相乘���,得出的乘積將風(fēng)險(xiǎn)分為:不可接受的風(fēng)險(xiǎn)���、重大風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)���、可接受風(fēng)險(xiǎn)���、可忽略風(fēng)險(xiǎn)六個(gè)等級(jí)。(見表二)即:風(fēng)險(xiǎn)等級(jí)(結(jié)果)R=D×P其中���,R――為風(fēng)險(xiǎn)等級(jí)���;
D――為風(fēng)險(xiǎn)事件發(fā)生后可能的后果;
P――為風(fēng)險(xiǎn)事件發(fā)生的可能性(或幾率)���。
(二)船上層面的風(fēng)險(xiǎn)評(píng)估及控制
1 評(píng)估時(shí)機(jī)
船舶在進(jìn)行含有中度風(fēng)險(xiǎn)(風(fēng)險(xiǎn)分?jǐn)?shù)3)以上的船舶操作風(fēng)險(xiǎn)事件的操作前���,應(yīng)按照航運(yùn)公司統(tǒng)一的風(fēng)險(xiǎn)評(píng)估工具進(jìn)行船舶操作風(fēng)險(xiǎn)評(píng)估。評(píng)估應(yīng)由部門長(zhǎng)���、操作負(fù)責(zé)人及其他有專業(yè)經(jīng)驗(yàn)的人員共同進(jìn)行���。
船舶在進(jìn)行公司最近通報(bào)事故案例有關(guān)的操作時(shí),應(yīng)按照要求進(jìn)行船舶操作風(fēng)險(xiǎn)評(píng)估���。評(píng)估應(yīng)由部門長(zhǎng)���、操作負(fù)責(zé)人及其他有專業(yè)經(jīng)驗(yàn)的人員共同進(jìn)行。
船長(zhǎng)���、部門長(zhǎng)根據(jù)經(jīng)驗(yàn)認(rèn)為有必要時(shí)���,應(yīng)按照航運(yùn)公司的統(tǒng)一要求進(jìn)行船舶操作風(fēng)險(xiǎn)評(píng)估���。評(píng)估應(yīng)由部門長(zhǎng)、操作負(fù)責(zé)人及其他有專業(yè)經(jīng)驗(yàn)的人員共同進(jìn)行���。2評(píng)估要求
由于公司的風(fēng)險(xiǎn)評(píng)估僅考慮了公司基本的船型分類和通常的船舶操作���,而特定船舶在進(jìn)行具體的船舶操作時(shí),可能會(huì)識(shí)別出新的風(fēng)險(xiǎn)事件���。船舶應(yīng)按照公司統(tǒng)一制定的風(fēng)險(xiǎn)評(píng)估工具���,針對(duì)操作現(xiàn)場(chǎng)情況對(duì)風(fēng)險(xiǎn)事件發(fā)生的可能性和后果的嚴(yán)重性進(jìn)行重新評(píng)分,并劃定風(fēng)險(xiǎn)事件的風(fēng)險(xiǎn)級(jí)別���。同時(shí)���,公司的評(píng)估結(jié)果僅考慮了人員操作熟練程度、設(shè)備狀況���、作業(yè)環(huán)境的一般情況���,所以船舶在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)���,須按照實(shí)際的人員���、設(shè)備���、環(huán)境進(jìn)行風(fēng)險(xiǎn)分析。參與操作的人員的熟練程度(第一次在本船工作的人員被視為較低的熟練程度)���、操作設(shè)備的維護(hù)保養(yǎng)狀況���、操作的環(huán)境條件(風(fēng)、浪���、冷���、熱、視線等外界條件)會(huì)對(duì)風(fēng)險(xiǎn)事件發(fā)生的可能性和后果的嚴(yán)重性產(chǎn)生影響���,從而導(dǎo)致評(píng)估出的風(fēng)險(xiǎn)級(jí)別高于公司評(píng)估的結(jié)果���。
3 評(píng)估控制
船上進(jìn)行操作風(fēng)險(xiǎn)評(píng)估后���,如果船舶操作風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)級(jí)別與公司評(píng)估結(jié)果一致,則可以按照現(xiàn)有控制措施進(jìn)行操作���。如果風(fēng)險(xiǎn)級(jí)別高于公司評(píng)估的結(jié)果���,則應(yīng)在現(xiàn)有控制措施之外,增加新的控制措施���。如果通過評(píng)估發(fā)現(xiàn)了新的風(fēng)險(xiǎn)事件���,應(yīng)按照公司的統(tǒng)一要求進(jìn)行風(fēng)險(xiǎn)評(píng)估。在考慮現(xiàn)有控制措施的情況下���,風(fēng)險(xiǎn)事件經(jīng)評(píng)估其風(fēng)險(xiǎn)級(jí)別如果大于3���,則應(yīng)在現(xiàn)有控制措施之外,增加新的控制措施���。如果新增控制措施導(dǎo)致程序���、操作須知的更改���,應(yīng)連同船上船舶操作風(fēng)險(xiǎn)評(píng)估的結(jié)果一并報(bào)告航運(yùn)公司。
第5篇
關(guān)鍵詞:深化 風(fēng)險(xiǎn)評(píng)估 實(shí)踐 探索
一���、風(fēng)險(xiǎn)評(píng)估開展背景
杭州華電半山發(fā)電有限公司(以下簡(jiǎn)稱“半電公司”)是一家有著50多年歷史的發(fā)電企業(yè)���,長(zhǎng)期以來���,重視風(fēng)險(xiǎn)防范工作���,逐步建立了一系列內(nèi)控制度,加強(qiáng)風(fēng)險(xiǎn)管控���,采取一些積極措施應(yīng)對(duì)風(fēng)險(xiǎn)���,如定期召開經(jīng)濟(jì)活動(dòng)分析會(huì),對(duì)年度目標(biāo)完成情況���、預(yù)算執(zhí)行情況及面臨的燃料供應(yīng)及價(jià)格���、電價(jià)���、用電需求等經(jīng)營(yíng)形勢(shì)變化情況進(jìn)行深入、全面分析���,制訂相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施���,化解經(jīng)營(yíng)風(fēng)險(xiǎn)、降低經(jīng)營(yíng)風(fēng)險(xiǎn)���。各有關(guān)職能部門在日常工作中也注重風(fēng)險(xiǎn)管理���,及時(shí)收集相關(guān)信息,了解有關(guān)方面情況���,及時(shí)報(bào)告公司管理層���,提出一些建議供公司領(lǐng)導(dǎo)決策,并采取相關(guān)措施防范風(fēng)險(xiǎn)���。
在安全生產(chǎn)方面���,公司制訂各種安全管理制度和預(yù)案���,開展安全生產(chǎn)大檢查,防范安全風(fēng)險(xiǎn)等���;在廉潔自律方面���,開展廉潔風(fēng)險(xiǎn)防控工作,防范廉潔風(fēng)險(xiǎn)���;在內(nèi)部控制方面,建立健全內(nèi)控管理機(jī)制���,每年開展內(nèi)控評(píng)價(jià)工作���,提升內(nèi)控管理和風(fēng)險(xiǎn)管理水平。半電公司通過采取一系列措施保障安全生產(chǎn)目標(biāo)和經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)���。
但是多年來���,半電公司規(guī)范化���、常態(tài)化的風(fēng)險(xiǎn)評(píng)估機(jī)制并沒有真正建立。近年來���,公司內(nèi)外部環(huán)境不斷發(fā)生深刻變化���,面臨的形勢(shì)錯(cuò)綜復(fù)雜,存在著方方面面的風(fēng)險(xiǎn)���。在半電公司內(nèi)部���,煤機(jī)逐步淘汰或關(guān)停,燃機(jī)發(fā)電規(guī)模不斷取得新發(fā)展���,但員工總數(shù)不斷減少���,并出現(xiàn)老齡化趨勢(shì),難以滿足企業(yè)快速發(fā)展���。在經(jīng)營(yíng)上���,燃料價(jià)格���、電價(jià)、發(fā)電利用小時(shí)等影響企業(yè)效益的關(guān)鍵性因素不能得到穩(wěn)定保障���。在半電公司外部���,國(guó)家不斷深化改革,電力市場(chǎng)競(jìng)爭(zhēng)日益激烈���,政府對(duì)環(huán)保的要求越來越高���,上級(jí)公司對(duì)企業(yè)的管控越來越嚴(yán),對(duì)管理和效益提出更高的要求���,半電公司在經(jīng)營(yíng)等方面所面臨的問題和矛盾越來越突出。在這樣的復(fù)雜形勢(shì)和嚴(yán)峻環(huán)境下���,僅通過定期召開經(jīng)濟(jì)活動(dòng)分析會(huì)等方式方法���,以及缺乏對(duì)風(fēng)險(xiǎn)進(jìn)行科學(xué)化���、規(guī)范化、常態(tài)化的評(píng)估���,難以很好地識(shí)別風(fēng)險(xiǎn)���、分析風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)���,防范經(jīng)營(yíng)風(fēng)險(xiǎn)和其他面臨的種種風(fēng)險(xiǎn)���,半電公司整體風(fēng)險(xiǎn)管理水平難以顯著提高。對(duì)企業(yè)來說���,面臨的風(fēng)險(xiǎn)很多���,從大類來說,有安全風(fēng)險(xiǎn)���、經(jīng)營(yíng)風(fēng)險(xiǎn)���、廉潔風(fēng)險(xiǎn)等���,從具體來說,有法律風(fēng)險(xiǎn)���、資金風(fēng)險(xiǎn)���、人力資源風(fēng)險(xiǎn)、采購(gòu)風(fēng)險(xiǎn)等等���。因此���,從上述現(xiàn)狀看,很有必要建立健全風(fēng)險(xiǎn)評(píng)估機(jī)制���,有效開展風(fēng)險(xiǎn)評(píng)估工作���。同時(shí),對(duì)風(fēng)險(xiǎn)評(píng)估工作進(jìn)行監(jiān)督與客觀評(píng)價(jià)���,提出風(fēng)險(xiǎn)評(píng)估工作存在的問題或不足,促進(jìn)風(fēng)險(xiǎn)評(píng)估工作形成制度化���、規(guī)范化���、常態(tài)化���,從而提升風(fēng)險(xiǎn)管理水平,以達(dá)到防范風(fēng)險(xiǎn)的目的���。
二���、風(fēng)險(xiǎn)評(píng)估工作開展情況
風(fēng)險(xiǎn)評(píng)估就像有效的剎車系統(tǒng),能夠保障企業(yè)安全���、高速運(yùn)行���、基業(yè)長(zhǎng)青。公司風(fēng)險(xiǎn)評(píng)估工作實(shí)行2+1+5管理模式(2是指全覆蓋���、全流程���;1是指內(nèi)控評(píng)價(jià);5是指五道防線���,崗位���、部門���、職能部室、審計(jì)部���、風(fēng)險(xiǎn)管理委員會(huì))���,該模式從火電企業(yè)現(xiàn)實(shí)出發(fā)���,它以基于風(fēng)險(xiǎn)控制為導(dǎo)向的流程控制為核心���,將風(fēng)險(xiǎn)評(píng)估工作嵌入經(jīng)營(yíng)管理活動(dòng)中���,支持企業(yè)可持續(xù)發(fā)展。
全覆蓋是指從制度���、流程手冊(cè)���、風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)���、評(píng)價(jià)手冊(cè)等方面實(shí)現(xiàn)全覆蓋���。整個(gè)企業(yè)自上而下各相關(guān)部門通過積極參與���、互相配合、統(tǒng)籌兼顧���,全員參與���、分級(jí)負(fù)責(zé)的方式,全面復(fù)審���、修訂���、編制規(guī)章制度和流程手冊(cè),形成有效的標(biāo)準(zhǔn)制度清單���、管理流程手冊(cè)及風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)���。
全流程是指從企業(yè)整體角度審視各項(xiàng)業(yè)務(wù)和管理活動(dòng)���,對(duì)全部業(yè)務(wù)流程進(jìn)行分析、梳理和完善���,形成包含管理業(yè)務(wù)模塊和具體業(yè)務(wù)流程《管理業(yè)務(wù)流程控制手冊(cè)》���,包括控制范圍、控制目標(biāo)���、流程主要風(fēng)險(xiǎn)���、相關(guān)政策或制度依據(jù)、業(yè)務(wù)流程圖和流程說明六個(gè)部分���。管理流程是按業(yè)務(wù)順序的邏輯關(guān)系對(duì)企業(yè)制度的進(jìn)一步闡釋���,既確保了制度有效執(zhí)行,又預(yù)防了風(fēng)險(xiǎn)的發(fā)生���。
內(nèi)控評(píng)價(jià)就像給人查體看病一樣���。經(jīng)過對(duì)流程控制情況進(jìn)行評(píng)價(jià)后���,有無缺陷和剩余風(fēng)險(xiǎn)一目了然。半電公司縝密的內(nèi)部控制評(píng)價(jià)為內(nèi)部控制體系規(guī)范運(yùn)行提供了保障���,也是基于風(fēng)險(xiǎn)管理為導(dǎo)向的內(nèi)部控制運(yùn)行模式取得效果的保證。內(nèi)部控制評(píng)價(jià)是按照內(nèi)部控制五要素���,遵循風(fēng)險(xiǎn)導(dǎo)向原則對(duì)重要性業(yè)務(wù)及重要管理環(huán)節(jié)進(jìn)行評(píng)價(jià)���,最后形成內(nèi)控評(píng)價(jià)報(bào)告,內(nèi)控評(píng)價(jià)報(bào)告是內(nèi)控評(píng)價(jià)的主要成果���。
風(fēng)險(xiǎn)管理的五道防線���,企業(yè)依托內(nèi)部控制,筑牢風(fēng)險(xiǎn)管理五道防線���。這五道防線分別是:崗位���、部門、職能部室、審計(jì)部���、風(fēng)險(xiǎn)管理委員會(huì)即公司領(lǐng)導(dǎo)班子���。通過五道防線的層層防控,各類風(fēng)險(xiǎn)被有效化解���,風(fēng)險(xiǎn)可控在控���。五道防線,互相牽制���、互相促進(jìn)���,“嚴(yán)防死守”緊抓內(nèi)控牛鼻子,把風(fēng)險(xiǎn)控制在企業(yè)可承受的程度之內(nèi)���。
為全面提升風(fēng)險(xiǎn)管理水平���,推進(jìn)公司風(fēng)險(xiǎn)評(píng)估工作,有效防范和化解風(fēng)險(xiǎn)���,確保公司持續(xù)���、穩(wěn)定���、健康發(fā)展���,實(shí)現(xiàn)風(fēng)險(xiǎn)防范目的���,公司于2014年經(jīng)過充分研究和醞釀后���,決定推進(jìn)公司風(fēng)險(xiǎn)評(píng)估工作���。為使各部門學(xué)習(xí)、掌握風(fēng)險(xiǎn)評(píng)估知識(shí)���,開展好風(fēng)險(xiǎn)評(píng)估工作,總經(jīng)理工作部于2014年6月份舉辦了風(fēng)險(xiǎn)評(píng)估實(shí)務(wù)知識(shí)培訓(xùn)班,在培訓(xùn)的基礎(chǔ)上���,總經(jīng)理工作部于當(dāng)年3季度組織各職能部門開展了首次風(fēng)險(xiǎn)評(píng)估工作���。為保障風(fēng)險(xiǎn)評(píng)估工作的規(guī)范性、有效性���,審計(jì)部對(duì)風(fēng)險(xiǎn)評(píng)估工作進(jìn)行了檢查與客觀評(píng)價(jià)���,公司風(fēng)險(xiǎn)評(píng)估工作邁出了實(shí)質(zhì)性步伐。
從評(píng)估工作檢查情況看���,各職能部門雖開展了風(fēng)險(xiǎn)評(píng)估工作,評(píng)估的風(fēng)險(xiǎn)事項(xiàng)符合要求���,運(yùn)用了有關(guān)評(píng)估方法和標(biāo)準(zhǔn)���,編寫了風(fēng)險(xiǎn)評(píng)估報(bào)告���,但也存在規(guī)范性���、正確性���、準(zhǔn)確性等問題���。問題主要有以下幾個(gè):
采用的評(píng)估方式單一。在評(píng)估方式上���,僅有一個(gè)部門采用訪談方式���,其他部門均采用會(huì)議討論方式,各部門都未綜合運(yùn)用會(huì)議討論���、訪談���、問卷調(diào)查等評(píng)估方法。無論采用訪談方法還是采用會(huì)議討論方法的部門���,參與人員基本為本部門人員���。由于評(píng)估方式單一和缺乏人員參與的廣泛性,對(duì)評(píng)估結(jié)論的正確性可能產(chǎn)生一定的影響���。
界定標(biāo)準(zhǔn)不夠明確���。評(píng)估的界定標(biāo)準(zhǔn)不夠明確���,如確定“是否重大風(fēng)險(xiǎn)”沒有很明確的界定標(biāo)準(zhǔn)(即如何由風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)損失度兩個(gè)維度標(biāo)準(zhǔn)確定是否為重大風(fēng)險(xiǎn))。
評(píng)估結(jié)論的隨意性較大���。本次評(píng)估雖然采用定性方法���,但多數(shù)部門對(duì)于評(píng)估結(jié)論沒有有效結(jié)合實(shí)際或缺乏歷年發(fā)生的有關(guān)情況及歷史數(shù)據(jù)等,特別是對(duì)“風(fēng)險(xiǎn)損失度”中的直接經(jīng)濟(jì)損失的評(píng)估隨意性較大���,缺乏支撐依據(jù)���。
評(píng)估過程闡述不具體。一些部門在風(fēng)險(xiǎn)評(píng)估報(bào)告中對(duì)于風(fēng)險(xiǎn)評(píng)估情況的闡述過于簡(jiǎn)單���,沒有具體闡述風(fēng)險(xiǎn)評(píng)估過程等���。
措施���、方案不夠具體。一些部門對(duì)于主要風(fēng)險(xiǎn)的防控措施和重大風(fēng)險(xiǎn)的解決方案比較粗略或空洞,缺乏詳細(xì)的應(yīng)對(duì)措施和具體實(shí)施計(jì)劃。
明年風(fēng)險(xiǎn)評(píng)估方向不明確。個(gè)別部門在評(píng)估報(bào)告中雖然分析了一些面臨的風(fēng)險(xiǎn),但對(duì)明年的重點(diǎn)風(fēng)險(xiǎn)評(píng)估方向不夠明確。
三、總結(jié)經(jīng)驗(yàn),不斷改進(jìn),加強(qiáng)實(shí)踐
2015年3月公司繼續(xù)啟動(dòng)年度重大風(fēng)險(xiǎn)評(píng)估工作,在去年開展的基礎(chǔ)上���,不斷加以完善���,明確評(píng)估方法,根據(jù)不同方面的風(fēng)險(xiǎn)���,完善風(fēng)險(xiǎn)評(píng)估中“是否重大風(fēng)險(xiǎn)”和“風(fēng)險(xiǎn)損失度”的界定標(biāo)準(zhǔn)和依據(jù)���。本次風(fēng)險(xiǎn)評(píng)估綜合運(yùn)用多種方式,保障風(fēng)險(xiǎn)評(píng)估的真實(shí)性和評(píng)估結(jié)論的準(zhǔn)確性���。同時(shí)加強(qiáng)監(jiān)督評(píng)價(jià)工作���,形成“三道監(jiān)督防線”���,包括事前���、事中、事后的監(jiān)督���。
(一)事前監(jiān)督
評(píng)估工作實(shí)施前開展風(fēng)險(xiǎn)事項(xiàng)調(diào)查���,了解當(dāng)前面臨的關(guān)鍵性風(fēng)險(xiǎn)有哪些,在此基礎(chǔ)上分析確定各部門風(fēng)險(xiǎn)評(píng)估事項(xiàng)���,提高風(fēng)險(xiǎn)評(píng)估的實(shí)效性���。公司各相關(guān)部門認(rèn)真組織、深入研究���,根據(jù)當(dāng)前內(nèi)外部形勢(shì)變化���、生產(chǎn)實(shí)際情況���,從安全、經(jīng)營(yíng)等多角度分析識(shí)別本部門當(dāng)前重點(diǎn)面臨的風(fēng)險(xiǎn)���。各部門在分析面臨重點(diǎn)風(fēng)險(xiǎn)時(shí)���,牢牢把握準(zhǔn)確性、全面性���、時(shí)效性三項(xiàng)原則���。
本次開展風(fēng)險(xiǎn)評(píng)估信息收集工作的部門主要有總經(jīng)理工作部、財(cái)務(wù)部���、物資部���、燃料管理部、人事部���、政治部���、安保部���、生產(chǎn)營(yíng)運(yùn)部���、生產(chǎn)技術(shù)部���、基建管理部、紀(jì)委監(jiān)察辦等職能部門���。上報(bào)的風(fēng)險(xiǎn)評(píng)估信息主要包括稅務(wù)風(fēng)險(xiǎn)���、隊(duì)伍穩(wěn)定風(fēng)險(xiǎn)、維穩(wěn)風(fēng)險(xiǎn)���、廉潔風(fēng)險(xiǎn)���、泄密風(fēng)險(xiǎn)、職業(yè)危害風(fēng)險(xiǎn)���、安全監(jiān)督風(fēng)險(xiǎn)���、環(huán)境保護(hù)風(fēng)險(xiǎn)���、能耗指標(biāo)管理風(fēng)險(xiǎn)、天然氣價(jià)調(diào)險(xiǎn)���、工程質(zhì)量管理風(fēng)險(xiǎn)���、電子商務(wù)風(fēng)險(xiǎn)等。
風(fēng)險(xiǎn)評(píng)估信息的準(zhǔn)確收集���,是風(fēng)險(xiǎn)評(píng)估工作的第一步���,是做好該項(xiàng)工作的基礎(chǔ),在此之后���,才能識(shí)別和評(píng)估影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)���。并且采取必要的措施對(duì)這些風(fēng)險(xiǎn)進(jìn)行控制。通過風(fēng)險(xiǎn)評(píng)估工作���,不斷增強(qiáng)公司風(fēng)險(xiǎn)管控實(shí)效性���,深化公司風(fēng)險(xiǎn)管理工作���。
(二)事中監(jiān)督
各部門評(píng)估工作綜合運(yùn)用會(huì)議討論、訪談和問卷調(diào)查三種方法���,根據(jù)上述三項(xiàng)方法得出的結(jié)論來確定風(fēng)險(xiǎn)等級(jí)及應(yīng)對(duì)措施,避免評(píng)估工作簡(jiǎn)單化���、形式化���。
本次評(píng)估工作在去年開展的基礎(chǔ)上,不斷加以改進(jìn)���,首先參與人員廣泛���,不僅局限于本部門;其次綜合運(yùn)用三種方法���,使得評(píng)估結(jié)果更為準(zhǔn)確���。最大的亮點(diǎn)是內(nèi)控管理辦公室派員參加部門風(fēng)險(xiǎn)評(píng)估的會(huì)議討論���,加強(qiáng)過程監(jiān)督。
風(fēng)險(xiǎn)評(píng)估部門在確定好會(huì)議討論時(shí)間后���,將會(huì)議時(shí)間和地點(diǎn)報(bào)內(nèi)控管理辦公室備案���,內(nèi)控管理辦公室根據(jù)風(fēng)險(xiǎn)內(nèi)容派員參加,起到指導(dǎo)���、咨詢���、監(jiān)督作用,會(huì)后匯報(bào)討論情況���。
同時(shí)部門及時(shí)通知與會(huì)人員���,與會(huì)人員充分做好與風(fēng)險(xiǎn)討論相關(guān)的準(zhǔn)備工作。討論時(shí)���,與會(huì)人員圍繞風(fēng)險(xiǎn)產(chǎn)生的原因���、應(yīng)對(duì)措施等方面積極發(fā)言���,各部門討論會(huì)要形成規(guī)范的會(huì)議紀(jì)要。本次風(fēng)險(xiǎn)評(píng)估工作中���,內(nèi)控管理辦公室派員參加了天然氣價(jià)格調(diào)整���、安全監(jiān)督、環(huán)境保護(hù)���、信息系統(tǒng)安全、能耗指標(biāo)管理及網(wǎng)絡(luò)采購(gòu)等風(fēng)險(xiǎn)評(píng)估討論會(huì)���。
內(nèi)控管理辦公室對(duì)各部門風(fēng)險(xiǎn)評(píng)估報(bào)告及相關(guān)評(píng)估資料的規(guī)范性���、真實(shí)性等進(jìn)行審查,對(duì)不符合要求的風(fēng)險(xiǎn)評(píng)估報(bào)告予以退回���,并要求當(dāng)事部門及時(shí)糾正和完善���。
(三)事后監(jiān)督
各部門制訂的風(fēng)險(xiǎn)應(yīng)對(duì)措施、方案應(yīng)具體���、可行���,符合實(shí)際���,能起到防范風(fēng)險(xiǎn)作用,并在日常工作中予以落實(shí)���。落實(shí)措施必須形成相關(guān)材料���,總經(jīng)部和審計(jì)部組織內(nèi)控評(píng)價(jià)人員對(duì)措施落實(shí)情況進(jìn)行檢查。
建立責(zé)任追究制度���。在公司《風(fēng)險(xiǎn)評(píng)估管理辦法》中增加追究責(zé)任的規(guī)定���,對(duì)由于不認(rèn)真開展風(fēng)險(xiǎn)評(píng)估,導(dǎo)致評(píng)估結(jié)論不準(zhǔn)確���,影響公司決策���,造成公司經(jīng)濟(jì)損失或其他方面不利影響等,追究當(dāng)事部門負(fù)責(zé)人的責(zé)任。
第6篇
信息安全問題不僅是技術(shù)原因引起���,它還涉及人及社會(huì)���。從社會(huì)學(xué)的觀點(diǎn)來看,只有依靠科學(xué)有效的管理和有著良好信息安全技能的人���,實(shí)施綜合規(guī)范的保障手段���,才能取得良好的效果。而在這一過程中���,信息安全風(fēng)險(xiǎn)評(píng)估逐漸成為關(guān)鍵環(huán)節(jié)���。
人們對(duì)于信息安全概念的認(rèn)識(shí)���,經(jīng)歷了一個(gè)從保密到保護(hù)���,又發(fā)展到保障的趨近真理的發(fā)展過程。這是因?yàn)樾畔踩珕栴}不僅僅是技術(shù)原因引起的���,它還涉及到人以及社會(huì)���。因此���,只靠技術(shù)是不能有效地解決信息安全問題的。從社會(huì)學(xué)的觀點(diǎn)來看���,只有依靠科學(xué)有效的管理和有著良好信息安全技能的人���,實(shí)施綜合規(guī)范的保障手段,才能取得良好的效果���。而在這一過程中���,信息安全風(fēng)險(xiǎn)評(píng)估逐漸成為關(guān)鍵環(huán)節(jié)。
從2003年7月至今���,我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作大致經(jīng)歷了三個(gè)階段���,即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點(diǎn)工作階段���。
歷時(shí)兩年���、經(jīng)過調(diào)查研究���、標(biāo)準(zhǔn)編制和試點(diǎn)工作三個(gè)階段,目前���,我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作已取得階段性的成果���,此間也是《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》政策文件,以及《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩項(xiàng)標(biāo)準(zhǔn)歷經(jīng)醞釀���、形成到不斷完善的三個(gè)時(shí)期���。
信息安全風(fēng)險(xiǎn)是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件,并由于受損信息資產(chǎn)的重要性而對(duì)機(jī)構(gòu)造成的影響���。而信息安全風(fēng)險(xiǎn)評(píng)估���,則是指依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)���,對(duì)信息系統(tǒng)及由其存儲(chǔ)���、處理和傳輸?shù)男畔⒌臋C(jī)密性���、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過程���。通過對(duì)信息及信息系統(tǒng)的重要性���、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析���,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負(fù)面影響程度來識(shí)別信息安全的安全風(fēng)險(xiǎn)���。
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制。沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估���,將使得各個(gè)機(jī)構(gòu)無法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷���。所以,所謂安全的信息系統(tǒng)���,實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后���,仍然存在可被接受的殘余風(fēng)險(xiǎn)的信息系統(tǒng)���。因此,需要運(yùn)用信息安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范���,對(duì)信息系統(tǒng)展開全面���、完整的信息安全風(fēng)險(xiǎn)評(píng)估。
信息安全風(fēng)險(xiǎn)評(píng)估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用���。風(fēng)險(xiǎn)評(píng)估既是實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的前提���,又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風(fēng)險(xiǎn)評(píng)估���,能及早發(fā)現(xiàn)和解決問題���,防患于未然。當(dāng)前���,尤其迫切需要對(duì)我國(guó)信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全���、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估���,隨時(shí)掌握我國(guó)重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)���,及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施,為建立全方位的國(guó)家信息安全保障體系提供服務(wù)���。
第7篇
關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估;企業(yè)安全生產(chǎn);風(fēng)險(xiǎn)度判定準(zhǔn)則
中圖分類號(hào):F270文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-2374 (2010)24-0163-03
0引言
風(fēng)險(xiǎn)是指可能導(dǎo)致傷害或疾病���、財(cái)產(chǎn)損失、工作環(huán)境破壞或這些情況組合的根源或狀態(tài)���。危險(xiǎn)是可能產(chǎn)生潛在損失的征兆���。它是風(fēng)險(xiǎn)的前提,沒有危險(xiǎn)就無所謂風(fēng)險(xiǎn)。風(fēng)險(xiǎn)由兩部分組成:一是危險(xiǎn)事件出現(xiàn)的概率;二是一旦危險(xiǎn)出現(xiàn),其后果嚴(yán)重程度和損失的大小���。如果將這兩部分的量化指標(biāo)綜合,就是風(fēng)險(xiǎn)的表征,或稱風(fēng)險(xiǎn)系數(shù)���。
危險(xiǎn)是客觀存在,是無法改變的,而風(fēng)險(xiǎn)卻在很大程度上隨著人們的意志而改變,亦即按照人們的意志可以改變危險(xiǎn)出現(xiàn)或事故發(fā)生的概率和一旦出現(xiàn)危險(xiǎn),由于改進(jìn)防范措施從而改變損失的程度���。認(rèn)識(shí)存在的風(fēng)險(xiǎn)是保障生產(chǎn)安全的重要手段,安全生產(chǎn)風(fēng)險(xiǎn)評(píng)估體系是一個(gè)動(dòng)態(tài)的系統(tǒng),它是對(duì)社會(huì)經(jīng)濟(jì)組織及其生產(chǎn)經(jīng)營(yíng)活動(dòng)、生產(chǎn)經(jīng)營(yíng)場(chǎng)所的安全構(gòu)成因素的作用進(jìn)行評(píng)估量化,再經(jīng)過一定的計(jì)算方法,得出一個(gè)量化結(jié)果,這個(gè)結(jié)果既能反映企業(yè)的生產(chǎn)經(jīng)營(yíng)安全現(xiàn)狀,又能預(yù)測(cè)其一旦發(fā)生事故的后果���。
在企業(yè)生產(chǎn)領(lǐng)域,風(fēng)險(xiǎn)評(píng)估目的則是是將危險(xiǎn)轉(zhuǎn)化成為安全的過程,是將危險(xiǎn)帶來的挑戰(zhàn)作為提高安全管理水平���、防范生產(chǎn)安全事故的有效治理措施。它的最終目標(biāo)通過對(duì)風(fēng)險(xiǎn)實(shí)施有效的控制,保障人身���、財(cái)產(chǎn)安全,實(shí)現(xiàn)安全生產(chǎn)���。
風(fēng)險(xiǎn)分析技術(shù)引入企業(yè)安全生產(chǎn)工作之中,作為一種新興的預(yù)防生產(chǎn)安全事故手段,具有跨學(xué)科的特點(diǎn)。風(fēng)險(xiǎn)評(píng)估包括的內(nèi)容很廣泛,例如可靠性工程學(xué)���、失效分析���、失效預(yù)測(cè)和預(yù)防、結(jié)構(gòu)完整性評(píng)價(jià)和工業(yè)經(jīng)濟(jì)預(yù)測(cè)與決策等盡在其中���。不僅如此,由于工業(yè)領(lǐng)域危險(xiǎn)源各式各樣,危險(xiǎn)事故發(fā)生機(jī)理千差萬別,防范措施也因不同對(duì)象而異,經(jīng)濟(jì)投資和決策方式也不盡一致,風(fēng)險(xiǎn)分析技術(shù)的研究?jī)?nèi)容和方法也隨不同工業(yè)類別或工藝過程���、裝置的不同而迥異���。
風(fēng)險(xiǎn)分析技術(shù)做為企業(yè)安全生產(chǎn)工作中預(yù)防生產(chǎn)安全事故手段,有針對(duì)性地研究生產(chǎn)領(lǐng)域風(fēng)險(xiǎn)的個(gè)性問題,具有很好的應(yīng)用價(jià)值和實(shí)用價(jià)值���。
1企業(yè)安全風(fēng)險(xiǎn)評(píng)估組織的建立
安全風(fēng)險(xiǎn)評(píng)估涉及面廣,技術(shù)性強(qiáng),工作量大而且責(zé)任業(yè)大���。首先應(yīng)確定企業(yè)分級(jí)負(fù)責(zé)的安全風(fēng)險(xiǎn)評(píng)估組織機(jī)構(gòu),建立企業(yè)內(nèi)的安全風(fēng)險(xiǎn)評(píng)估組織機(jī)構(gòu)。廠級(jí)風(fēng)險(xiǎn)評(píng)估組織機(jī)構(gòu)可由企業(yè)廠長(zhǎng)或分管副廠長(zhǎng)負(fù)責(zé),生產(chǎn)���、機(jī)動(dòng)���、技術(shù)、安全等職能部門代表組成風(fēng)險(xiǎn)評(píng)估小組,負(fù)責(zé)企業(yè)內(nèi)的風(fēng)險(xiǎn)評(píng)估及危險(xiǎn)源分級(jí)工作���。其它部門或單位根據(jù)構(gòu)成情況,由具有多種知識(shí)和能力的人參與,有助于提高評(píng)估的效果���。
2企業(yè)安全生產(chǎn)工作中開展安全風(fēng)險(xiǎn)評(píng)估范圍
企業(yè)內(nèi)安全生產(chǎn)工作中風(fēng)險(xiǎn)評(píng)估的范圍應(yīng)包括:
發(fā)現(xiàn)可能造成重大事故后果的風(fēng)險(xiǎn)時(shí),應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
針對(duì)動(dòng)火作業(yè)���、進(jìn)入受限空間作業(yè)���、破土作業(yè)���、臨時(shí)用電作業(yè)、盲板抽堵作業(yè)���、設(shè)備檢修作業(yè)���、斷路作業(yè)、高處作業(yè)���、起重作業(yè)���、拆除作業(yè)、施工作業(yè)等特殊作業(yè)活動(dòng)的風(fēng)險(xiǎn)評(píng)價(jià),在作業(yè)開始前進(jìn)行���。
新建���、改建、擴(kuò)建���、技改項(xiàng)目���。
針對(duì)每一項(xiàng)檢修內(nèi)容開展的風(fēng)險(xiǎn)評(píng)估���。
針對(duì)各種變更開展的風(fēng)險(xiǎn)評(píng)估。
針對(duì)日常生產(chǎn)活動(dòng)���、異?��,F(xiàn)象處理開展的風(fēng)險(xiǎn)評(píng)估���。
針對(duì)日常管理活動(dòng)(所有進(jìn)入作業(yè)場(chǎng)所的人員活動(dòng);危險(xiǎn)化學(xué)品的裝卸���、運(yùn)輸和使用過程;作業(yè)場(chǎng)所的設(shè)施、設(shè)備���、車輛���、安全防護(hù)用品的使用、檢查和維護(hù)活動(dòng))中開展的風(fēng)險(xiǎn)評(píng)估���。
針對(duì)事故及潛在的緊急情況(包括氣候���、地震及其他自然災(zāi)害等),開展的風(fēng)險(xiǎn)評(píng)估���。
3 企業(yè)內(nèi)安全生產(chǎn)工作中幾種常用的安全風(fēng)險(xiǎn)評(píng)估方法介紹
企業(yè)內(nèi)安全生產(chǎn)工作中幾種常用的安全風(fēng)險(xiǎn)評(píng)估方法有:工作危害分析法(JHA)、安全檢查表分析法(SCL)���、作業(yè)條件危險(xiǎn)性分析法(LEC法)���、預(yù)先危險(xiǎn)分析法(PHA)等方法。
3.1工作危害分析(JHA)方法
將一項(xiàng)作業(yè)活動(dòng)分解為若干個(gè)相連的過程���。
對(duì)每個(gè)過程的所有潛在風(fēng)險(xiǎn)進(jìn)行識(shí)別���。
針對(duì)每一個(gè)風(fēng)險(xiǎn)制定控制措施。
3.2安全檢查表(SCL)分析方法
先對(duì)一個(gè)檢查對(duì)象加以分解,確定需要檢查的若干個(gè)小項(xiàng)���。
針對(duì)每一個(gè)小項(xiàng),查找有關(guān)資料,確定檢查標(biāo)準(zhǔn)���。
針對(duì)每一項(xiàng)檢查標(biāo)準(zhǔn),確定未達(dá)標(biāo)準(zhǔn)的后果。
針對(duì)每一個(gè)后果,確定現(xiàn)有的控制措施���。
針對(duì)每一項(xiàng)現(xiàn)有的控制措施,制定改進(jìn)控制措施���。
3.3作業(yè)條件危險(xiǎn)性(LEC)分析方法
(1)作業(yè)條件危險(xiǎn)性評(píng)價(jià)法認(rèn)為影響危險(xiǎn)性的三個(gè)主要因素是:發(fā)生事故或危險(xiǎn)事件的可能性,用符號(hào)L表示���。人出現(xiàn)在這種危險(xiǎn)環(huán)境的時(shí)間,用符號(hào)E表示。發(fā)生事故可能產(chǎn)生的后果,用符號(hào)C表示���。作業(yè)條件危險(xiǎn)性,用符號(hào)D表示���。其關(guān)系式如下:
D=L×E×C
D值大,說明該系統(tǒng)危險(xiǎn)性大,需要增加安全措施,或改變發(fā)生事故的可能性,或減少暴露于危險(xiǎn)環(huán)境中的頻繁程度,或減輕事故損失,或調(diào)整到允許范圍。
(2)L���、E、C的分?jǐn)?shù)值如下:
表1發(fā)生事故的可能性(L值)
發(fā)生危險(xiǎn)的可能性 分?jǐn)?shù)值
完全可以預(yù)料 10
相當(dāng)可能 6
可能,但不經(jīng)常 3
可能性小,完全意外 1
很不可能,可以設(shè)想 0.5
極不可能 0.2
實(shí)際不可能 0.1
表2暴露于危險(xiǎn)環(huán)境中的頻繁程度(E值)
出現(xiàn)于危險(xiǎn)環(huán)境的情況 分?jǐn)?shù)值
連續(xù)暴露 10
每天工作時(shí)間內(nèi)暴露 6
每周一次,或偶然暴露 3
每月一次暴露 2
每年幾次暴露 1
非常罕見地暴露 0.5
表3事故發(fā)生后可能結(jié)果的分?jǐn)?shù)(C值)
發(fā)生事故產(chǎn)生的后果 分?jǐn)?shù)值
大災(zāi)難,許多人死亡 100
災(zāi)難,數(shù)人死亡 40
非常重,一人死亡 15
嚴(yán)重,重傷 7
重大,致殘 3
引人注目,需要救護(hù) 1
(3)危險(xiǎn)性分?jǐn)?shù):根據(jù)經(jīng)驗(yàn),危險(xiǎn)性分?jǐn)?shù)在70以下的因素被認(rèn)為是低危險(xiǎn)性的,一般說來可以被人們所接受,定為4���、5級(jí)���。危險(xiǎn)性分?jǐn)?shù)為70以上,定為1、2���、3級(jí),是不可容許的風(fēng)險(xiǎn)���。危險(xiǎn)性程度分級(jí)分?jǐn)?shù)見表4:
表4危險(xiǎn)性分?jǐn)?shù)(D值)
總分 危險(xiǎn)程度 等級(jí)
320以上 極其危險(xiǎn),停止工作 1
160~319 高度危險(xiǎn),要立即整改 2
70~159 顯著的危險(xiǎn),需要整改 3
20~69 一般危險(xiǎn),需要注意 4
20以下 稍有危險(xiǎn),可以接受 5
3.4預(yù)先危險(xiǎn)分析(PHA)
找出分析對(duì)象存在的所有風(fēng)險(xiǎn)���。
分析每一個(gè)風(fēng)險(xiǎn)產(chǎn)生的原因。
針對(duì)每一個(gè)原因,確定主要后果���。
列出現(xiàn)有控制措施���。
判定風(fēng)險(xiǎn)等級(jí)(按風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則判定)。
提出建議糾正/預(yù)防措施���。
3.5風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則
風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則是判定風(fēng)險(xiǎn)大小級(jí)別的準(zhǔn)則,除作業(yè)條件危險(xiǎn)性(LEC)分析法外,工作危害分析法(JHA)���、安全檢查表分析法(SCL)、預(yù)先危險(xiǎn)分析法(PHA)等方法辨識(shí)出來的風(fēng)險(xiǎn),均需依據(jù)制定出的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則來判定風(fēng)險(xiǎn)級(jí)別,風(fēng)險(xiǎn)等級(jí)的大小用風(fēng)險(xiǎn)度來確定���。
風(fēng)險(xiǎn)度等于事件發(fā)生的可能性和事件后果嚴(yán)重性的乘積,常用R表示風(fēng)險(xiǎn)度,L表示事件發(fā)生的可能性,S表示事件后果嚴(yán)重性���。
各企業(yè)應(yīng)結(jié)合企業(yè)自身實(shí)際制定風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則,一般應(yīng)依據(jù)以下內(nèi)容制定:有關(guān)安全生產(chǎn)法律、法規(guī);設(shè)計(jì)規(guī)范���、技術(shù)標(biāo)準(zhǔn);企業(yè)的安全管理標(biāo)準(zhǔn)���、技術(shù)標(biāo)準(zhǔn);企業(yè)的安全生產(chǎn)方針和目標(biāo)等���。
通常風(fēng)險(xiǎn)等級(jí)的判別準(zhǔn)則如下例:
(1)事件發(fā)生的可能性L判別準(zhǔn)則
等級(jí) 標(biāo) 準(zhǔn)
5 現(xiàn)場(chǎng)沒有采取防范、監(jiān)測(cè)���、保護(hù)或控制措施;
或危害的發(fā)生不能夠被發(fā)現(xiàn);
或在正常情況下經(jīng)常發(fā)生此類事故或事件���。
4 現(xiàn)場(chǎng)采取防范、監(jiān)測(cè)���、保護(hù)或控制措施,但措施不當(dāng);
或危害的發(fā)生不容易被發(fā)現(xiàn);
或在異常情況下必然發(fā)生此類事故或事件���。
3 現(xiàn)場(chǎng)采取防范、監(jiān)測(cè)���、保護(hù)或控制措施,措施得當(dāng),但多數(shù)未得到執(zhí)行或執(zhí)行的偏差較大;
或危害的發(fā)生容易被發(fā)現(xiàn);
或在異常情況下可能發(fā)生此類事故或事件。
2 現(xiàn)場(chǎng)采取防范���、監(jiān)測(cè)���、保護(hù)或控制措施,措施得當(dāng),僅偶爾未得到執(zhí)行或執(zhí)行的偏差較小;
或危害的發(fā)生能夠立即被發(fā)現(xiàn);
或在過去曾發(fā)生此類事故或事件,但很少發(fā)生���。
1 現(xiàn)場(chǎng)采取防范、監(jiān)測(cè)���、保護(hù)或控制措施,措施得當(dāng),全部得到執(zhí)行且無偏差;
極不可能發(fā)生事故或事件���。
(2)事件后果嚴(yán)重性S判別準(zhǔn)則(三種情況綜合判別時(shí)取其最大值)
等級(jí) 法律、法規(guī)及其它要求 人身傷害 財(cái)產(chǎn)損失/萬元
5 違反法律法規(guī)和標(biāo)準(zhǔn) 死亡 >50
4 違反行業(yè)的標(biāo)準(zhǔn)或規(guī)定 喪失勞動(dòng)能力 >25
3 違反相關(guān)方的規(guī)定或要求 傷殘或慢性病,部分喪失勞動(dòng)能力 >10
2 違反公司的制度���、規(guī)定���、操作規(guī)程 輕微受傷,很快治愈 ≤10
1 完全符合 無傷亡 無損失
其中財(cái)產(chǎn)損失部分應(yīng)根據(jù)企業(yè)的規(guī)模、形式���、運(yùn)行方式等具體確定���。
(3)風(fēng)險(xiǎn)度R(=L×S)判定準(zhǔn)則
風(fēng)險(xiǎn)度 風(fēng)險(xiǎn)等級(jí) 應(yīng)采取的行動(dòng)和控制措施 實(shí)施期限
20~25 特大風(fēng)險(xiǎn) 在采取措施降低危害前,不能繼續(xù)作業(yè),對(duì)改進(jìn)措施進(jìn)行評(píng)估 立即
15~16 重大風(fēng)險(xiǎn) 采取緊急措施降低風(fēng)險(xiǎn),建立運(yùn)行控制程序,定期檢查、評(píng)估 立即或近期整改
9~12 中等風(fēng)險(xiǎn) 建立控制目標(biāo)和操作規(guī)程,加強(qiáng)培訓(xùn)和檢查 2年內(nèi)治理
4~8 可接受風(fēng)險(xiǎn) 可考慮建立控制目標(biāo)和操作規(guī)程,但需定期檢查 有條件時(shí)治理
1~3 可忽略風(fēng)險(xiǎn) 無需采取任何措施
(4)風(fēng)險(xiǎn)接受準(zhǔn)則���。對(duì)于風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果,人們往往認(rèn)為風(fēng)險(xiǎn)越小越好���。實(shí)際上這是一個(gè)錯(cuò)誤的概念���。減少風(fēng)險(xiǎn)是要付出代價(jià)的。無論減少危險(xiǎn)發(fā)生的概率還是采取防范措施使發(fā)生造成的損失降到最小,都要投入資金���、技術(shù)和勞務(wù)���。通常的做法是將風(fēng)險(xiǎn)限定在一個(gè)合理的、可接受的水平上,根據(jù)影響風(fēng)險(xiǎn)的因素,經(jīng)過優(yōu)化,尋求最佳的投資方案���?��!帮L(fēng)險(xiǎn)與利益間要取得平衡”、“不要接受不必須的風(fēng)險(xiǎn)”���、“接受合理的風(fēng)險(xiǎn)”等,這些都是風(fēng)險(xiǎn)接受的原則���。
制訂可接受風(fēng)險(xiǎn)準(zhǔn)則,除了考慮人員傷亡、建筑物損壞和財(cái)產(chǎn)損失外,環(huán)境污染和對(duì)人健康潛在危險(xiǎn)的影響也是一個(gè)重要因素���。如美國(guó)國(guó)家環(huán)保局和國(guó)際陌生組織頒布的致癌風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、健康手冊(cè)���、環(huán)境評(píng)價(jià)手冊(cè)���、環(huán)境保護(hù)的優(yōu)先排序和策略���、空氣清潔法的風(fēng)險(xiǎn)管理等,都是風(fēng)險(xiǎn)可接受準(zhǔn)則制訂的依據(jù)。
風(fēng)險(xiǎn)可接受程度對(duì)于不同行業(yè),根據(jù)系統(tǒng)���、裝置的具體條件,有著不同的準(zhǔn)則���。由于風(fēng)險(xiǎn)評(píng)估技術(shù)還存在不少問題。在基礎(chǔ)研究���、方法和模型的建立,可信度和特殊化學(xué)物質(zhì)數(shù)據(jù)庫(kù)的建立等都是目前各國(guó)竟相開發(fā)的領(lǐng)域���。特別值得提及的是風(fēng)險(xiǎn)規(guī)范、標(biāo)準(zhǔn)的制訂,這是大勢(shì)所趨,無疑地應(yīng)該引起重視���。
4結(jié)語
本企業(yè)自將風(fēng)險(xiǎn)評(píng)估應(yīng)用到企業(yè)安全生產(chǎn)管理以來,收到明顯效果,2009年全年計(jì)發(fā)生廠控事故13起,較2008年18起下降27.7%���。事故直接損失15.75萬元,較2008年281.85萬元下降了94.4%。事故總損失349.03萬元,較去年652.5萬元下降了46.5%。設(shè)備完好率大幅提升,故障率明顯下降,備品備件消耗從2008年的2871萬元下降到2009年的1989萬元,減少費(fèi)用800余萬元,同比降低27%���。
安全生產(chǎn),重在預(yù)防���。說明安全預(yù)防的重要性。做好企業(yè)內(nèi)安全生產(chǎn)工作中安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)提高安全生產(chǎn)的預(yù)控能力,從源頭上防范事故的發(fā)生,消除生產(chǎn)安全事故帶來的損失,實(shí)現(xiàn)安全生產(chǎn)將起到有效的促進(jìn)作用���。
參考文獻(xiàn)
[1] 羅云,等.現(xiàn)代安全管理原理[M].化學(xué)工業(yè)出版社,2010.
[2] 吳宗之.試論市場(chǎng)經(jīng)濟(jì)條件下我國(guó)重大事故預(yù)防對(duì)策[J].中國(guó)勞動(dòng),1994,(8).
第8篇
關(guān)鍵詞: 電力信息系統(tǒng)���; 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估; 風(fēng)險(xiǎn)管理���; 理論分析
中圖分類號(hào): TN915.853?34���; TP393 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2016)14?0162?04
Study on dynamic risk assessment method for electric power information system
JIN Dan1, MA Zhicheng1���, YANG Peng1���, ZHANG Xuefeng2, DING Litong2
(1. Information Communication Company���, Gansu Electronic Power Company of State Grid���, Lanzhou 730050, China���;
2. Xi’an University of Posts and Telecommunications���, Xi’an 710121, China)
Abstract: The information system risk assessment is used to assess the asset threat���, weakness and impact of information system���, and risk probability of the three items. It is the basis to implement risk management of the information system. In order to dynamically evaluate the safety of the electric power information system, the available static risk assessment algorithm was improved in combination with the impact of entity behavior on the system risk���, and a dynamic risk computing method based on electric power information system is given. The theoretical analysis and results show that the improved method can enhance the reliability and timeliness of the assessment result.
Keywords: electric power information system���; dynamic risk assessment; risk management���; theoretical analysis
0 引 言
隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)的日益普及���,信息技術(shù)與人們的日常工作���、學(xué)習(xí)和生活聯(lián)系日益緊密,越來越多的行業(yè)也開始依托信息平臺(tái)開展多種多樣的業(yè)務(wù)[1]���。電力設(shè)施作為國(guó)家的基礎(chǔ)設(shè)施���,其信息化建設(shè)工作日益重要,隨著電力企業(yè)中多種信息系統(tǒng)被廣泛使用���,行業(yè)信息化程度不斷提高���。當(dāng)前,該行業(yè)存在著多種信息系統(tǒng)并存���,安全性能亟待改善等問題���,急需綜合運(yùn)用多種安全手段,提高電力信息系統(tǒng)的安全性[2?6]���。
本文采用動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法���,通過實(shí)時(shí)對(duì)采集到的信息進(jìn)行處理���、識(shí)別,動(dòng)態(tài)地確認(rèn)系統(tǒng)的安全狀態(tài)���,計(jì)算并分析系統(tǒng)面臨的風(fēng)險(xiǎn),使得評(píng)估結(jié)果具有更好的實(shí)時(shí)性���。
1 風(fēng)險(xiǎn)評(píng)估方法
風(fēng)險(xiǎn)因素實(shí)時(shí)監(jiān)控包括日志審查���、流量監(jiān)控和系統(tǒng)掃描等多種形式。風(fēng)險(xiǎn)評(píng)估對(duì)系統(tǒng)當(dāng)前的安全現(xiàn)狀進(jìn)行評(píng)價(jià)���,具體通過資產(chǎn)的識(shí)別與賦值���、漏洞掃描、威脅判斷���、現(xiàn)有安全措施有效性監(jiān)控以及風(fēng)險(xiǎn)分析等環(huán)節(jié)���,為制定改善安全措施提供依據(jù)[7?9]���。
1.1 系統(tǒng)分析
對(duì)現(xiàn)有系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)規(guī)模���、運(yùn)行環(huán)境和用戶的安全需求進(jìn)行調(diào)查分析���。具體的調(diào)查分析內(nèi)容包括:
(1) 目標(biāo): 確定進(jìn)行風(fēng)險(xiǎn)評(píng)估的目的。
(2) 范圍和邊界:既定的風(fēng)險(xiǎn)評(píng)估可能只針對(duì)網(wǎng)絡(luò)的全部資產(chǎn)的一個(gè)子集���。
(3) 系統(tǒng)描述:進(jìn)行風(fēng)險(xiǎn)評(píng)估的一個(gè)先決條件就是對(duì)受評(píng)估系統(tǒng)的需求���、操作概念和系統(tǒng)資產(chǎn)特性有一個(gè)清晰的認(rèn)識(shí)。
(4)風(fēng)險(xiǎn)接受標(biāo)準(zhǔn):事先明確能夠接受的風(fēng)險(xiǎn)水平或等級(jí)���。
1.2 威脅分析
通過對(duì)威脅的分析���,建立相應(yīng)的威脅知識(shí)庫(kù),以便在動(dòng)態(tài)風(fēng)險(xiǎn)實(shí)時(shí)分析過程中實(shí)現(xiàn)對(duì)威脅事件的實(shí)時(shí)識(shí)別和監(jiān)控���。威脅發(fā)生的可能性需要結(jié)合威脅源的內(nèi)因���,弱點(diǎn)和控制這兩個(gè)外因來綜合評(píng)價(jià)���。對(duì)于單一威脅事件有兩種可能的情況,即發(fā)生或者不發(fā)生���;所以威脅的發(fā)生次數(shù)是一個(gè)Poisson分布���。常數(shù)[λ]可以通過類似于政府或網(wǎng)絡(luò)自身的統(tǒng)計(jì)報(bào)告獲得,則進(jìn)一步可得到某威脅在一定時(shí)期內(nèi)發(fā)生的次數(shù)���。為了準(zhǔn)確地計(jì)算威脅對(duì)信息系統(tǒng)可能造成的風(fēng)險(xiǎn),還需要考慮到威脅可能的擴(kuò)散程度���。對(duì)于不同的威脅���,其擴(kuò)散程度一般也不同,擴(kuò)散函數(shù)可以定義為一個(gè)包含時(shí)間變量的函數(shù)���。
1.3 漏洞識(shí)別和掃描
識(shí)別系統(tǒng)漏洞的途徑有很多���,在此主要通過以下兩種途徑來進(jìn)行:對(duì)信息系統(tǒng)脆弱點(diǎn)的調(diào)查分析和實(shí)時(shí)漏洞掃描。
在信息系統(tǒng)中���,漏洞主要表現(xiàn)為技術(shù)性弱點(diǎn)���,具體體現(xiàn)在以下幾個(gè)方面:網(wǎng)絡(luò)中的安全缺陷���;各種軟件自身存在的漏洞;網(wǎng)絡(luò)的結(jié)構(gòu)隱患���。
1.4 安全措施確認(rèn)
在對(duì)系統(tǒng)漏洞進(jìn)行識(shí)別的基礎(chǔ)上���,應(yīng)對(duì)信息系統(tǒng)已經(jīng)采取的安全措施的有效性進(jìn)行調(diào)研分析和掃描確認(rèn)。一般來說���,安全措施的有效性將減少系統(tǒng)技術(shù)或管理上的弱點(diǎn)���,從而降低系統(tǒng)面臨的風(fēng)險(xiǎn)。
1.5 風(fēng)險(xiǎn)計(jì)算
綜合安全事件所作用的資產(chǎn)價(jià)值及漏洞的嚴(yán)重程度���,判斷安全事件造成的損失對(duì)信息系統(tǒng)的影響���,即安全風(fēng)險(xiǎn)[10?12]。對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)計(jì)算的原理如下:
[風(fēng)險(xiǎn)值=R(A���,T���,V)=RL(T���,V),F(xiàn)(Ia���,Va)] (1)
式中:[R]表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)���;[A]表示信息系統(tǒng)的資產(chǎn)價(jià)值;[T]表示信息系統(tǒng)面臨的威脅���;[V]表示信息系統(tǒng)存在的漏洞;[Ia]表示受影響的資產(chǎn)價(jià)值���;[Va]表示信息系統(tǒng)中漏洞嚴(yán)重程度���;[L]表示威脅發(fā)生的可能性;[F]表示導(dǎo)致的損失���。
2 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型
評(píng)估動(dòng)態(tài)風(fēng)險(xiǎn)的關(guān)鍵因素是威脅對(duì)資產(chǎn)可能造成的影響和威脅發(fā)生的可能性���。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型包含三個(gè)基本集合���,具體如下:
漏洞集合:
威脅集合:
影響集合:
考慮到信息系統(tǒng)的很多威脅具有一定的擴(kuò)散性,在給出以上集合的基礎(chǔ)上���,進(jìn)一步給出威脅擴(kuò)散程度的集合:
[S(t)={S1(t)���,S2(t),…���,Sm(t)}]
式中:[Sj(t)]為[t]時(shí)刻威脅[Tj]的擴(kuò)散程度���;[m]為信息系統(tǒng)可能存在的威脅的個(gè)數(shù)。
風(fēng)險(xiǎn)評(píng)估模型的計(jì)算公式為:
3 電力信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法
電力信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)分析主要是通過歸納���、分析���、比較、綜合等方法進(jìn)行總結(jié)分析���。需根據(jù)電力信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)���,提出一種動(dòng)態(tài)風(fēng)險(xiǎn)分析方法���。
3.1 電力信息系統(tǒng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)
首先要明確電力信息系統(tǒng)采用的拓?fù)浣Y(jié)構(gòu),然后根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來計(jì)算整個(gè)電力信息系統(tǒng)面臨的綜合風(fēng)險(xiǎn)���。
3.2 主要符號(hào)及變量
電力信息系統(tǒng)的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型解釋了動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的基本過程���,同時(shí)呈現(xiàn)了風(fēng)險(xiǎn)評(píng)估所需的基本變量,變量如下:
[P={P1���,P2���,…,Pl}]:電力信息系統(tǒng)中的安全域���,即整個(gè)電力信息系統(tǒng)包含的局域網(wǎng)集合;
[T(t)={T1(t)���,T2(t)���,…���,Tm(t)}]:電力信息系統(tǒng)可能會(huì)遭受的威脅集合;
[S(t)={S1(t)���,S2(t)���,…,Sm(t)}]:威脅擴(kuò)散程度集合���;
[V(t)={V1(t)���,V2(t),…���,Vn(t)}]:電力信息系統(tǒng)可能存在的漏洞集合���;
[αk(t)]:漏洞[Vk]的取值,該取值范圍為[{0���,1}]���,通過實(shí)時(shí)掃描得到���;
[βj(t)]:威脅[Tj]的權(quán)重,取值范圍為[(0���,1)]���;
[nj]:威脅[Tj]利用漏洞的個(gè)數(shù);
[Pt(t)={Pt1(t)���,Pt2(t)���,…,Ptn(t)}]:與漏洞集合對(duì)應(yīng)的電力信息系統(tǒng)應(yīng)該采取的安全保護(hù)措施集合���;
[A(t)={A1(t)���,A2(t),…���,Al(t)}]:電力信息系統(tǒng)中的安全域?qū)?yīng)的價(jià)值;
[F0(Tj)]:[Tj]的初始發(fā)生頻率的估計(jì)值;
[F(Tj(t))]:威脅[Tj]在[t]時(shí)刻的實(shí)際發(fā)生概率���;
[Ii���,j(t)]:一個(gè)二進(jìn)制函數(shù);
[W(t)={W1(t)���,W2(t)���,…,Wm(t)}]:威脅對(duì)安全域造成的損失���;
[R(t)={R1(t)���,R2(t),…���,Rl(t)}]:電力信息系統(tǒng)中安全域在[t]時(shí)刻面臨的風(fēng)險(xiǎn)值���;
[Risk]:整個(gè)系統(tǒng)面臨的總風(fēng)險(xiǎn)值;
[B(Sk)]:實(shí)施[Sk]后帶來的利益���;
[C(Sk)]:實(shí)施安全保護(hù)措施[Sk]的成本���;
Profit:整個(gè)電力信息系統(tǒng)的效益���;
[ak]:脆弱性[vk]的級(jí)別,取值范圍為0~1之間���;
[Ef(tj���,Sk)]:安全保護(hù)措施[Sk]對(duì)威脅[tj]的初始發(fā)生頻率的降低比率;
[Ri]:系統(tǒng)中安全域[Pi]面臨的風(fēng)險(xiǎn)值���。
3.3 電力信息系統(tǒng)中威脅發(fā)生的可能性
采用以下變量來辨認(rèn)威脅:
(1) 威脅的來源(Source)
如果威脅[tj]來自系統(tǒng)之外則Source([tj])=1���;如果威脅[tj]來自系統(tǒng)的內(nèi)部則Source([tj])=0.8。
(2) 威脅要求的訪問(Access)
如果威脅[tj]的實(shí)施通過遠(yuǎn)程訪問則Access([tj])=1���; 如果威脅[tj]的實(shí)施通過內(nèi)部訪問則Access([tj])=0.6���。
(3) 威脅[tj]要求的技術(shù)水平(Skill)
無組織無技術(shù)的,Skill([tj])=1���;無組織有技術(shù)的���,Skill([tj])=0.9;有組織無技術(shù)的���,Skill([tj])=0.8���;有組織有技術(shù)的,Skill([tj])=0.25���。因此���,威脅[tj]發(fā)生的初始概率[F0(tj)]:
威脅[tj]的實(shí)際發(fā)生概率[Ftj]為:
3.4 安全事件發(fā)生后對(duì)系統(tǒng)造成的損失
威脅[Tj(t)]對(duì)安全域[Pi]造成的實(shí)時(shí)損失[W(Tj(t))]可以表示為:
式中威脅[Tj]的權(quán)重[βj]可以由漏洞的級(jí)別來表征,即:
