序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的風(fēng)險(xiǎn)評(píng)估等級(jí)如何劃分樣本�����,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�����,請(qǐng)盡情閱讀�����。
第1篇
關(guān)鍵詞:信息安全管理;ISO/IEC 27001�����;PDCA�����;資產(chǎn)識(shí)別�����;風(fēng)險(xiǎn)評(píng)估
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2011)30-0034-02
一、項(xiàng)目背景
電力工業(yè)是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)�����,電力工業(yè)的安全問(wèn)題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平�����,關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定�����。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營(yíng)管理模式和手段�����,支撐著電力生產(chǎn)�����、營(yíng)銷(xiāo)和管理的全過(guò)程�����。如何有效保障信息安全,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全�����,成為電力行業(yè)目前積極探索的新課題�����。
在這個(gè)大環(huán)境下�����,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位,大力進(jìn)行改革創(chuàng)新�����,引入國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001�����,建立了完整的信息安全管理體系�����,有效的保證了信息安全�����,取得了很好的收效�����。
二�����、ISO/IEC 27001簡(jiǎn)介
ISO/IEC 27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)�����。最初源于英國(guó)標(biāo)準(zhǔn)BS7799�����,經(jīng)過(guò)十年的不斷改版�����,終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)�����,于2005年10月15日為ISO/IEC 27001:2005�����。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施�����,保障組織的信息安全�����。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域�����、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施�����。標(biāo)準(zhǔn)采用PDCA過(guò)程方法�����,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念�����,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理�����。其正式名稱(chēng)為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》�����。
三�����、項(xiàng)目實(shí)施方法論
玉溪供電局在整個(gè)信息安全體系建設(shè)過(guò)程中,根據(jù)安全風(fēng)險(xiǎn)是相對(duì)的和動(dòng)態(tài)的基本概念�����,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論�����,見(jiàn)下圖:
四�����、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)
標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求�����,但是如何按照這些要求建立一套符合局實(shí)際情況�����,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的�����。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索�����,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求�����,認(rèn)為資產(chǎn)識(shí)別�����、風(fēng)險(xiǎn)評(píng)估�����、文件編制�����、運(yùn)行實(shí)施�����、審核等是整個(gè)過(guò)程的重要環(huán)節(jié)�����。
(一)資產(chǎn)識(shí)別
資產(chǎn)識(shí)別是信息安全管理工作的重要步驟和基礎(chǔ),信息安全就是要保證信息和資產(chǎn)的安全�����。所謂資產(chǎn)識(shí)別就是要識(shí)別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者�����,形成資產(chǎn)清單�����。玉溪供電局在資產(chǎn)識(shí)別中把資產(chǎn)分為5類(lèi):文檔和數(shù)據(jù)�����、軟件和系統(tǒng)�����、硬件和設(shè)施�����、人力資源�����、其他等�����。
(二)風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是信息安全工作的一個(gè)重要步驟�����,通過(guò)風(fēng)險(xiǎn)評(píng)估�����,找到組織在信息安全方面的差距�����,才能有針對(duì)性的制定相應(yīng)的策略和改進(jìn)措施�����。
通過(guò)風(fēng)險(xiǎn)評(píng)估,形成《風(fēng)險(xiǎn)評(píng)估表》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》�����、《風(fēng)險(xiǎn)處置計(jì)劃》等�����。為了保證風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性和可操作性�����,建立了一個(gè)定量的風(fēng)險(xiǎn)評(píng)估方法論�����。
風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級(jí)×現(xiàn)有控制措施有效性賦值�����。通過(guò)制定風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)來(lái)確定風(fēng)險(xiǎn)等級(jí)�����。將等級(jí)劃分為五級(jí)�����,等級(jí)越高�����,風(fēng)險(xiǎn)越高�����。
對(duì)于不可接受風(fēng)險(xiǎn)的確定和處理要慎重�����,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn)�����,要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的�����,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來(lái)制定風(fēng)險(xiǎn)的可接受準(zhǔn)則�����。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)�����、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)�����、接受風(fēng)險(xiǎn)�����。對(duì)于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)�����。
(三)文件編制
為了響應(yīng)云南電網(wǎng)公司的一體化管理制度�����,在信息安全建設(shè)中將針對(duì)信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理�����,對(duì)原有《信息安全管理辦法》的修編�����。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個(gè)安全領(lǐng)域的要求�����。
另外�����,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行�����,在信息安全體系建設(shè)過(guò)程中�����,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單�����,以輔助各部門(mén)能夠更好的執(zhí)行信息安全體系的要求�����,比如:《機(jī)房巡檢記錄表》�����、《防范病毒管理表》�����、《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》等�����。
(四)運(yùn)行實(shí)施
我局在信息安全體系運(yùn)行實(shí)施的過(guò)程中采取了多種措施來(lái)促進(jìn)體系的落地工作�����,比如進(jìn)行信息安全意識(shí)和知識(shí)培訓(xùn)�����,張貼宣傳海報(bào)�����,在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻�����,進(jìn)行模擬審核和安全工作檢查等,真正做到了全員參與�����。
同時(shí)我局還建立了暢通的意見(jiàn)反饋機(jī)制�����,任何人對(duì)當(dāng)前的信息安全體系有意見(jiàn)和建議�����,都可以通過(guò)局OA系統(tǒng)提交�����。信息運(yùn)營(yíng)中心會(huì)對(duì)所有提交的建議進(jìn)行整理和歸納�����,以發(fā)現(xiàn)改進(jìn)的機(jī)會(huì)�����,真正實(shí)現(xiàn)了PDCA循環(huán)�����,使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升�����。
五、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系�����,經(jīng)歷了資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估�����、體系建設(shè)和實(shí)施�����、內(nèi)審和審核,最后取得了認(rèn)證證書(shū)。在這個(gè)過(guò)程當(dāng)中�����,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)�����。
(一)領(lǐng)導(dǎo)重視
信息安全管理工作是一項(xiàng)牽扯到局各部門(mén)的工作,需要投入相應(yīng)的人力�����、物力和財(cái)力�����,所以必須有局領(lǐng)導(dǎo)的大力支持�����,才能順利的進(jìn)行和更好的實(shí)施。
(二)全員參與
安全不是某一個(gè)部門(mén)或者某一個(gè)人的事情,而是關(guān)乎全局所有部門(mén)。需要各個(gè)部門(mén)的共同努力和協(xié)調(diào)一致的工作�����,才能保證真正意義上的信息安全�����,任何一個(gè)部門(mén)出了問(wèn)題都將對(duì)局信息安全構(gòu)成威脅�����。
(三)持續(xù)改進(jìn)
信息安全工作不是一朝一夕的事情�����,需要持續(xù)改進(jìn)和不斷完善�����。而且風(fēng)險(xiǎn)也是動(dòng)態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi)�����,信息安全工作應(yīng)當(dāng)是一件長(zhǎng)期的工作�����。
(四)平衡原則
安全只是相對(duì)的�����,沒(méi)有絕對(duì)的安全�����,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資�����,可能是金錢(qián)的�����,也可能是人力資源的�����。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系�����,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>
六�����、結(jié)語(yǔ)
玉溪供電局通過(guò)ISO 27001的認(rèn)證并獲得證書(shū)�����,不僅是對(duì)前期信息安全體系建設(shè)工作的充分肯定�����,而且對(duì)后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)�����。局信息運(yùn)營(yíng)中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下�����,在以后局信息安全工作中�����,對(duì)現(xiàn)有體系進(jìn)行持續(xù)改進(jìn)�����,使本體系更加符合玉溪供電局的實(shí)際情況�����,為玉溪供電局的信息安全工作保駕
護(hù)航�����。
參考文獻(xiàn)
第2篇
關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估 評(píng)估方法 檔案館風(fēng)險(xiǎn)
風(fēng)險(xiǎn)評(píng)估是指在風(fēng)險(xiǎn)事件發(fā)生之前或之后(尚未結(jié)束)�����,對(duì)該事件給人們生活�����、生命�����、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作�����,即量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度�����。所謂檔案館安全風(fēng)險(xiǎn)評(píng)估(RiskAssessment)�����,就是對(duì)檔案實(shí)體和檔案信息資源所面臨的威脅及其可能造成影響的可能性的評(píng)估�����。
檔案館風(fēng)險(xiǎn)評(píng)估方法研究就是對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中使用和涉及到的形式和途徑進(jìn)行探索�����,為檔案館風(fēng)險(xiǎn)評(píng)估提供一種具體的�����、可行的�����、普適的理論支持和應(yīng)用基礎(chǔ)。評(píng)估方法為風(fēng)險(xiǎn)評(píng)估工作提供了量化的�����、具體的衡量指標(biāo)和尺度�����,使風(fēng)險(xiǎn)評(píng)估工作有規(guī)律可循�����、有方法可依�����,為評(píng)估工作的開(kāi)展奠定重要的基礎(chǔ)�����。
一�����、風(fēng)險(xiǎn)評(píng)估方法介紹
風(fēng)險(xiǎn)評(píng)估方法有很多種�����,在其他領(lǐng)域適用的�����,在檔案館不一定適用�����,究竟選擇哪種方法�����,一定要根據(jù)工作性質(zhì)�����、工作流程、工作對(duì)象等做出選擇�����。普遍使用的可以分為三個(gè)大類(lèi)�����,即定性評(píng)估法�����、定量評(píng)估法和定性定量結(jié)合評(píng)估法�����。
第一�����,定性評(píng)估法是指采用文字或描述性的級(jí)別說(shuō)明風(fēng)險(xiǎn)的影響程度和這些風(fēng)險(xiǎn)出現(xiàn)的可能性�����。較為典型的有經(jīng)驗(yàn)評(píng)估法。
經(jīng)驗(yàn)評(píng)估法�����,又稱(chēng)專(zhuān)家調(diào)查法�����,是以專(zhuān)家作為信息獲取的對(duì)象�����,依靠專(zhuān)家的知識(shí)和實(shí)踐經(jīng)驗(yàn)�����,由專(zhuān)家對(duì)風(fēng)險(xiǎn)程度作出判斷和預(yù)測(cè)的一種方法�����。通過(guò)專(zhuān)家的分析�����,可以識(shí)別某一事件或者對(duì)象可能遇到的絕大部分風(fēng)險(xiǎn)類(lèi)型�����,列出風(fēng)險(xiǎn)表格�����,并按等級(jí)程度進(jìn)行排列�����。例如�����,首先�����,采用查找文獻(xiàn)�����、調(diào)查檔案修復(fù)專(zhuān)業(yè)人員等方法列舉出檔案修復(fù)過(guò)程中通?����?赡艹霈F(xiàn)的風(fēng)險(xiǎn);然后�����,列出評(píng)價(jià)標(biāo)準(zhǔn)�����,根據(jù)檔案修復(fù)的經(jīng)驗(yàn)對(duì)風(fēng)險(xiǎn)因子進(jìn)行分析和評(píng)價(jià)�����,列出表格并使用等級(jí)進(jìn)行標(biāo)識(shí)�����;最后�����,將各種風(fēng)險(xiǎn)因子相結(jié)合�����,推斷出檔案修復(fù)過(guò)程中各類(lèi)風(fēng)險(xiǎn)的等級(jí)�����。
第二�����,定量評(píng)估法是指利用數(shù)量特征�����、數(shù)量關(guān)系和數(shù)量變化進(jìn)行分析的方法�����,通過(guò)對(duì)歷史記錄�����、實(shí)驗(yàn)數(shù)據(jù)�����、相關(guān)文獻(xiàn)資料�����、研究等數(shù)據(jù)的分析,來(lái)判斷風(fēng)險(xiǎn)影響程度大小和可能性的一種方式�����。具有典型代表性的是概率統(tǒng)計(jì)法�����。
概率統(tǒng)計(jì)法又稱(chēng)數(shù)理統(tǒng)計(jì)法�����,是指研究自然界中隨機(jī)現(xiàn)象出現(xiàn)規(guī)律的一種數(shù)學(xué)方法�����。風(fēng)險(xiǎn)的發(fā)生雖然具有隨機(jī)性�����,但也有著特定的規(guī)律�����,即在一定的發(fā)生頻次范圍內(nèi)�����,其出現(xiàn)概率是一個(gè)客觀存在的定值�����。概率統(tǒng)計(jì)法理論基礎(chǔ)完善�����,分析過(guò)程簡(jiǎn)單�����,無(wú)需進(jìn)行大量復(fù)雜的運(yùn)算�����,但是歷史數(shù)據(jù)的積累收集及估算則相對(duì)較為困難�����。
第三�����,定性定量結(jié)合評(píng)估法是指將定性評(píng)估法和定量評(píng)估法結(jié)合起來(lái),綜合考慮二者的優(yōu)缺點(diǎn)�����,將二者優(yōu)點(diǎn)結(jié)合而得到的一種方法�����,首先對(duì)風(fēng)險(xiǎn)因子進(jìn)行總體性質(zhì)的確定�����,然后進(jìn)行定量分析�����,在量化基礎(chǔ)上再進(jìn)行風(fēng)險(xiǎn)評(píng)估�����。常用的代表方法是風(fēng)險(xiǎn)矩陣法�����。
風(fēng)險(xiǎn)矩陣法�����,就是在矩陣的基礎(chǔ)上�����,將各個(gè)因子按類(lèi)別分別放在行和列上�����,然后用數(shù)量來(lái)描述和計(jì)算風(fēng)險(xiǎn)因子的關(guān)系�����、大小�����,確定因子相對(duì)等級(jí)的一種方法�����。風(fēng)險(xiǎn)矩陣法具有簡(jiǎn)單快捷的優(yōu)勢(shì)�����,但計(jì)算概率時(shí)需要?dú)v史數(shù)據(jù),此外由于劃分的依據(jù)是主觀的�����,依賴(lài)于人對(duì)評(píng)價(jià)風(fēng)險(xiǎn)的良好判斷力�����,不能夠?yàn)轱L(fēng)險(xiǎn)評(píng)估提供較高的精度�����。
二�����、風(fēng)險(xiǎn)評(píng)估方法在檔案部門(mén)的具體應(yīng)用
不同風(fēng)險(xiǎn)評(píng)估方法的特點(diǎn)各異�����,應(yīng)用的形式和角度也有所不同�����。如何針對(duì)不同的風(fēng)險(xiǎn)源�����,采用不同的評(píng)估方法�����,需要具體分析檔案部門(mén)不同風(fēng)險(xiǎn)類(lèi)型的情況而定�����。
1.經(jīng)驗(yàn)評(píng)估法
經(jīng)驗(yàn)評(píng)估法適用于缺乏歷史數(shù)據(jù)和具體資料�����,或者因素?zé)o法采用客觀標(biāo)準(zhǔn)進(jìn)行衡量的風(fēng)險(xiǎn)類(lèi)型�����。例如�����,在檔案修裱過(guò)程中�����,檔案面臨的風(fēng)險(xiǎn)類(lèi)型多樣,如字跡洇化�����、紙張起皺等�����。上述風(fēng)險(xiǎn)并不適宜采用精確的數(shù)字或概率來(lái)衡量�����,只可以通過(guò)經(jīng)驗(yàn)評(píng)估法來(lái)評(píng)價(jià)此類(lèi)風(fēng)險(xiǎn)的等級(jí)�����。
首先�����,列舉出檔案修裱過(guò)程中可能出現(xiàn)的風(fēng)險(xiǎn)類(lèi)型�����,并確定風(fēng)險(xiǎn)評(píng)估因子,如:字跡洇化�����、紙張起皺�����、紙張破損�����、誤揭補(bǔ)�����、誤裁剪�����。
其次�����,對(duì)“風(fēng)險(xiǎn)可能性”與“風(fēng)險(xiǎn)危害性”兩個(gè)評(píng)估因子進(jìn)行定性�����,及描述性評(píng)估�����,如表1所示:
再次�����,將風(fēng)險(xiǎn)評(píng)估的描述性語(yǔ)言進(jìn)行處理�����,根據(jù)修裱過(guò)程中不同風(fēng)險(xiǎn)的屬性進(jìn)行綜合打分�����,如表2所示:
最后�����,綜合兩個(gè)風(fēng)險(xiǎn)因子進(jìn)行分析�����,給出各風(fēng)險(xiǎn)類(lèi)型的綜合風(fēng)險(xiǎn)大小�����,1級(jí)表示風(fēng)險(xiǎn)很小�����,5級(jí)則表示風(fēng)險(xiǎn)巨大,如表3所示:
為最大程度避免專(zhuān)家評(píng)估法主觀性強(qiáng)�����、量化程度低的缺陷�����,可采用多專(zhuān)家打分求均值的方法�����。即每一位專(zhuān)家對(duì)不同風(fēng)險(xiǎn)因素的排序進(jìn)行編號(hào),再將編號(hào)相加�����,求取平均值,并按照均值大小進(jìn)行排序�����,得到的結(jié)果便是檔案修復(fù)過(guò)程中各風(fēng)險(xiǎn)的等級(jí)程度�����。此方法有效地增加了評(píng)估結(jié)果的客觀程度�����,對(duì)檔案修復(fù)風(fēng)險(xiǎn)有更加全面的認(rèn)識(shí)和評(píng)價(jià)。
2.概率統(tǒng)計(jì)法
概率統(tǒng)計(jì)法適用于具有衡量標(biāo)準(zhǔn)�����、歷史數(shù)據(jù)或者可以進(jìn)行量化的風(fēng)險(xiǎn)類(lèi)型�����,并且這些風(fēng)險(xiǎn)的有關(guān)因素可以進(jìn)行賦值運(yùn)算�����。例如:庫(kù)房日常管理中的溫度�����、濕度控制等�����。上述風(fēng)險(xiǎn)發(fā)生頻率或概率是可以量化統(tǒng)計(jì)的數(shù)值�����,則該風(fēng)險(xiǎn)等級(jí)的評(píng)估可以使用數(shù)據(jù)進(jìn)行分析�����。
首先�����,以年為單位�����,利用歷史數(shù)據(jù)確定溫度區(qū)間出現(xiàn)的概率大小�����,如表4所示�����。然后�����,估算不同溫度區(qū)間對(duì)檔案的危害性�����,如表5所示�����。
根據(jù)不同溫度區(qū)間對(duì)檔案的影響程度,對(duì)溫度區(qū)間對(duì)檔案的危害性賦值�����。按照等間距原則,在0-1范圍內(nèi)對(duì)風(fēng)險(xiǎn)的強(qiáng)度進(jìn)行賦值�����,如表6所示�����。
最后�����,綜合“溫度區(qū)間出現(xiàn)的概率”與“溫度區(qū)間對(duì)檔案的危害性”兩個(gè)風(fēng)險(xiǎn)因子�����,依據(jù)公式R(風(fēng)險(xiǎn)等級(jí))=P(風(fēng)險(xiǎn)可能性)×D(風(fēng)險(xiǎn)危害性)�����,計(jì)算出風(fēng)險(xiǎn)值最大的溫變區(qū)間�����,如表7所示:
比較風(fēng)險(xiǎn)等級(jí)的數(shù)值大小�����,將三個(gè)數(shù)值按大小順序排列(3-2-1)�����,3級(jí)風(fēng)險(xiǎn)最高�����,1級(jí)風(fēng)險(xiǎn)最低�����。每日庫(kù)房溫度檢測(cè)時(shí),當(dāng)溫度取值所屬的區(qū)間就是當(dāng)日溫度的風(fēng)險(xiǎn)等級(jí)�����,針對(duì)不同等級(jí)的風(fēng)險(xiǎn)程度采取溫度調(diào)控的措施。
3.風(fēng)險(xiǎn)矩陣法
風(fēng)險(xiǎn)矩陣法是定性評(píng)估法與定量評(píng)估法相結(jié)合的產(chǎn)物�����,具有二者的優(yōu)點(diǎn)�����,既可以用描述性語(yǔ)言定性�����,又可以采用數(shù)值定量的風(fēng)險(xiǎn)類(lèi)型�����。例如:檔案館庫(kù)房管理中的若干風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可以先使用語(yǔ)言進(jìn)行描述�����,然后再利用賦值法進(jìn)行計(jì)算�����,最后得出風(fēng)險(xiǎn)等級(jí)情況�����。
以檔案庫(kù)房管理的若干種風(fēng)險(xiǎn)為例�����,列舉出的風(fēng)險(xiǎn)類(lèi)型有:風(fēng)險(xiǎn)1是庫(kù)房管理制度不健全:風(fēng)險(xiǎn)2是消防滅火設(shè)施不齊全�����;風(fēng)險(xiǎn)3是溫濕度�����、光照等外界因素控制不當(dāng)�����;風(fēng)險(xiǎn)4是檔案滅菌殺蟲(chóng)等處理不當(dāng)。
首先�����,使用定性評(píng)估法對(duì)上述風(fēng)險(xiǎn)進(jìn)行評(píng)估,如表8所不:
然后�����,根據(jù)定性評(píng)估的描述�����,對(duì)各風(fēng)險(xiǎn)類(lèi)型進(jìn)行賦值�����,按照等間距原則,在0-1范圍內(nèi)對(duì)風(fēng)險(xiǎn)因素進(jìn)行賦值�����,如表9所示:
最后�����,利用矩陣對(duì)風(fēng)險(xiǎn)因素進(jìn)行分析�����,從而判斷風(fēng)險(xiǎn)等級(jí)�����,如圖1所示:
根據(jù)風(fēng)險(xiǎn)矩陣圖,可以查找出各風(fēng)險(xiǎn)類(lèi)型對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)值�����,即庫(kù)房管理制度不健全為等級(jí)4�����,消防滅火設(shè)施不齊全為等級(jí)3�����,溫濕度�����、光照等外界因素控制不當(dāng)為等級(jí)3�����,檔案滅菌殺蟲(chóng)等處理不當(dāng)為等級(jí)4�����。
三�����、風(fēng)險(xiǎn)評(píng)估方法
的優(yōu)缺點(diǎn)比較
綜合前述的介紹可知�����,經(jīng)驗(yàn)評(píng)估法、概率統(tǒng)計(jì)法及風(fēng)險(xiǎn)矩陣法是檔案館風(fēng)險(xiǎn)評(píng)估的三種重要方法�����。通過(guò)上述表格來(lái)看�����,以經(jīng)驗(yàn)評(píng)估法為代表的定性法不能夠精確計(jì)算風(fēng)險(xiǎn)值的大小�����,只能夠通過(guò)主觀經(jīng)驗(yàn)來(lái)推測(cè)和判斷風(fēng)險(xiǎn)發(fā)生概率及危害性程度�����;以概率統(tǒng)計(jì)法為代表的定量法可以通過(guò)絕對(duì)的數(shù)值衡量風(fēng)險(xiǎn)發(fā)生的概率,但對(duì)于風(fēng)險(xiǎn)危害程度的大小則需要通過(guò)賦值法來(lái)轉(zhuǎn)化:以風(fēng)險(xiǎn)矩陣法為代表的定性定量結(jié)合法集中了前二者的優(yōu)點(diǎn)�����,評(píng)估過(guò)程與結(jié)果清晰明了�����,但存在著誤差失真的情況�����。三類(lèi)方法相互結(jié)合�����、互為補(bǔ)充。為檔案館各類(lèi)風(fēng)險(xiǎn)的評(píng)估提供可靠的依據(jù)和參考�����,見(jiàn)表10。
第3篇
隨著油田信息化高速發(fā)展�����,大批業(yè)務(wù)系統(tǒng)集中部署在數(shù)據(jù)中心�����,信息資產(chǎn)呈現(xiàn)高度集中趨勢(shì)�����,給企業(yè)信息安全保障工作提出了新的要求。信息安全態(tài)勢(shì)日益嚴(yán)峻�����,黑客攻擊手段不斷翻新�����,利用“火焰”病毒�����、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊活動(dòng)頻現(xiàn)�����,對(duì)國(guó)家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅�����。因此,及時(shí)掌握信息系統(tǒng)保護(hù)狀況�����,持續(xù)完善系統(tǒng)安全防護(hù)體系�����,對(duì)于保證信息資產(chǎn)的安全性和油田業(yè)務(wù)系統(tǒng)的連續(xù)性具有重要的現(xiàn)實(shí)意義�����。在信息安全領(lǐng)域中�����,安全評(píng)估是及時(shí)掌握信息系統(tǒng)安全狀況的有效手段�����。而其中的信息安全風(fēng)險(xiǎn)評(píng)估是是一種通用方法�����,是風(fēng)險(xiǎn)管理和控制的核心組成部分,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提�����,也是信息系統(tǒng)等級(jí)測(cè)評(píng)的有效補(bǔ)充和完善�����。因此�����,研究建立具有油田公司特色的信息安全風(fēng)險(xiǎn)評(píng)估模型和方法�����,可以為企業(yè)科學(xué)高效地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作提供方法指導(dǎo)與技術(shù)保障�����,從而提高油田勘探開(kāi)發(fā)�����、油氣生產(chǎn)和經(jīng)營(yíng)管理等數(shù)據(jù)資產(chǎn)的安全性�����,為油田公司信息業(yè)務(wù)支撐平臺(tái)的正常平穩(wěn)運(yùn)行保駕護(hù)航�����。
1風(fēng)險(xiǎn)評(píng)估研究現(xiàn)狀
從當(dāng)前的研究現(xiàn)狀來(lái)看�����,安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的相關(guān)研究成果主要集中在標(biāo)準(zhǔn)制定上�����。不同的安全評(píng)估標(biāo)準(zhǔn)包含不同的評(píng)估方法�����。迄今為止�����,業(yè)界比較認(rèn)可的風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)主要有國(guó)際標(biāo)準(zhǔn)ISO/IECTR13335IT安全管理�����、美國(guó)NIST標(biāo)準(zhǔn)SP800-30IT系統(tǒng)風(fēng)險(xiǎn)管理指南(2012年做了最新修訂)�����、澳大利亞-新西蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理AS/NZS4360等。我國(guó)也根據(jù)國(guó)際上這些標(biāo)準(zhǔn)制定了我國(guó)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T20984-2007信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估規(guī)范以及GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南�����。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標(biāo)準(zhǔn)是最早的清晰描述安全風(fēng)險(xiǎn)評(píng)估理論及方法的國(guó)際標(biāo)準(zhǔn),其主要目的是給出如何有效地實(shí)施IT安全管理的建議和指導(dǎo)�����,是當(dāng)前安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理方面最權(quán)威的標(biāo)準(zhǔn)之一�����。ISO/IECTR13335(以下簡(jiǎn)稱(chēng)為IS013335)包括了五個(gè)部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型�����。IS013335介紹了IT安全管理中的安全要素�����,重點(diǎn)描述了:資產(chǎn)、威脅�����、脆弱性、影響�����、風(fēng)險(xiǎn)、防護(hù)措施�����、殘留風(fēng)險(xiǎn)等與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的要素�����。它強(qiáng)調(diào)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是IT安全管理過(guò)程的一部分�����,也是必不可少的一個(gè)關(guān)鍵過(guò)程。圖1表示資產(chǎn)怎樣潛在經(jīng)受若干威脅�����。[2]如圖1所示�����,某些安全防護(hù)措施在降低與多種威脅和/或多種脆弱性有關(guān)的風(fēng)險(xiǎn)方面可以是有效的�����。有時(shí)�����,需要幾種安全防護(hù)措施使殘留風(fēng)險(xiǎn)降低到可接受的級(jí)別�����。某些情況中�����,當(dāng)認(rèn)為風(fēng)險(xiǎn)是可接受時(shí),即使存在威脅也不實(shí)施安全防護(hù)措施。在其他一些情況下,要是沒(méi)有已知的威脅利用脆弱性,可以存在這種脆弱性�����。圖2表示與風(fēng)險(xiǎn)管理有關(guān)的安全要素之間的關(guān)系�����。為清晰起見(jiàn)�����,僅表示了主要的關(guān)系。任何二個(gè)方塊之間箭頭上的標(biāo)記描述了這些方塊之間的關(guān)系�����。第二部分管理和規(guī)劃IT安全(1997)主要提出了與IT安全管理和規(guī)劃有關(guān)的各種活動(dòng)�����,以及組織中有關(guān)的角色和職責(zé)�����。[2]第三部分IT安全管理技術(shù)(1998)本部分介紹并推薦用于成功實(shí)施IT安全管理的技術(shù)�����,重點(diǎn)介紹了風(fēng)險(xiǎn)分析的四種方法:基線方法�����、非正式方法、詳細(xì)風(fēng)險(xiǎn)分析和綜合方法�����。[2]第四部分安全防護(hù)措施的選擇(2000)為在考慮商業(yè)需求和安全要素的情況下選擇安全防護(hù)措施的指南�����。它描述了根據(jù)安全風(fēng)險(xiǎn)和要素及部門(mén)的典型環(huán)境�����,選擇安全防護(hù)措施的過(guò)程�����,并表明如何獲得合適的保護(hù),如何能被最基礎(chǔ)的安全應(yīng)用支持�����。[2]第五部分網(wǎng)絡(luò)的安全防護(hù)措施(2001)為關(guān)于網(wǎng)絡(luò)和通信方面的IT安全管理指南,這一指南提供了根據(jù)建立網(wǎng)絡(luò)安全需求來(lái)考慮的通信相關(guān)因素的識(shí)別和分析。[2]
1.2風(fēng)險(xiǎn)評(píng)估實(shí)施指南
SP800-30SP800-30(風(fēng)險(xiǎn)評(píng)估實(shí)施指南,2012年9月)是由NIST制定的與風(fēng)險(xiǎn)評(píng)估相關(guān)的標(biāo)準(zhǔn)之一,它對(duì)安全風(fēng)險(xiǎn)評(píng)估的流程及方法進(jìn)行了詳細(xì)的描述,提供了一套與三層風(fēng)險(xiǎn)管理框架結(jié)合的風(fēng)險(xiǎn)評(píng)估辦法�����,用于幫助企業(yè)更好地評(píng)價(jià)、管理與IT相關(guān)的業(yè)務(wù)面臨的風(fēng)險(xiǎn)。它包括對(duì)IT系統(tǒng)中風(fēng)險(xiǎn)評(píng)估模型的定義和實(shí)踐指南�����,提供用于選擇合適安全控制措施的信息。SP800-30:2012中的風(fēng)險(xiǎn)要素包括威脅、脆弱性、影響�����、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動(dòng)機(jī)和方法�����、意外利用脆弱性的位置和方法等方面進(jìn)行分析�����。(2)脆弱性和先決條件考慮脆弱性時(shí)應(yīng)注意脆弱性不僅僅存在于信息系統(tǒng)中,也可能存在于組織管理架構(gòu)�����,可能存在于外部關(guān)系�����、任務(wù)/業(yè)務(wù)過(guò)程�����、企業(yè)/信息安全體系架構(gòu)中�����。在分析影響或后果時(shí)�����,應(yīng)描述威脅場(chǎng)景�����,即威脅源引起安全事件導(dǎo)致或帶來(lái)的損害。先決條件是組織�����、任務(wù)/業(yè)務(wù)過(guò)程�����、企業(yè)體系架構(gòu)�����、信息系統(tǒng)或運(yùn)行環(huán)境內(nèi)存在的狀況�����,威脅事件一旦發(fā)起�����,這種狀況會(huì)影響威脅事件導(dǎo)致負(fù)面影響的可能性�����。(3)可能性風(fēng)險(xiǎn)可能性是威脅事件發(fā)起可能性評(píng)價(jià)與威脅事件導(dǎo)致負(fù)面影響可能性評(píng)價(jià)的組合�����。(4)影響分析應(yīng)明確定義如何建立優(yōu)先級(jí)和價(jià)值�����,指導(dǎo)識(shí)別高價(jià)值資產(chǎn)和給單位利益相關(guān)者帶來(lái)的潛在負(fù)面影響�����。(5)風(fēng)險(xiǎn)模型標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系的通用模型�����。[3]
1.3風(fēng)險(xiǎn)評(píng)估規(guī)范
GB/T20984-2007GB/T20984-2007是我國(guó)的第一個(gè)重要的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�����。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型�����,并給出了風(fēng)險(xiǎn)分析過(guò)程�����,具體如圖3所示:風(fēng)險(xiǎn)分析中涉及資產(chǎn)、威脅�����、脆弱性三個(gè)基本要素�����。首先識(shí)別出威脅�����、脆弱性和資產(chǎn)�����,然后根據(jù)威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度分析得到安全事件發(fā)生的可能性�����,再根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值分析得到安全事件造成的損失�����,最后根據(jù)安全事件發(fā)生的可能性及造成的損失分析確定風(fēng)險(xiǎn)值�����。
2信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建
結(jié)合某油田企業(yè)實(shí)際情況�����,在參考上述標(biāo)準(zhǔn)及風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析的主要內(nèi)容為:a)識(shí)別資產(chǎn)并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;b)識(shí)別威脅�����,并根據(jù)威脅出現(xiàn)的頻率給威脅賦值;c)識(shí)別脆弱性�����,并將具體資產(chǎn)的脆弱性賦為2個(gè)值�����,一個(gè)是脆弱性嚴(yán)重程度�����,一個(gè)是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導(dǎo)致的安全事件;e)分析確定出安全事件發(fā)生后帶來(lái)的影響不能被單位所接受的那些安全事件;可以接受的安全事件對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)確定為低;f)針對(duì)不可接受安全事件�����,分析相應(yīng)的威脅和脆弱性,并根據(jù)威脅以及脆弱性暴露程度�����,以及相關(guān)安全預(yù)防措施的效果計(jì)算安全事件發(fā)生的可能性;g)針對(duì)不可接受安全事件�����,根據(jù)相應(yīng)脆弱性嚴(yán)重程度及資產(chǎn)的價(jià)值�����,以及相應(yīng)預(yù)防措施的有效性計(jì)算安全事件造成的損失:的基礎(chǔ)上�����,總結(jié)形成油田企業(yè)風(fēng)險(xiǎn)要素關(guān)系模型如圖4所示�����,風(fēng)險(xiǎn)計(jì)算模型如圖5所示:h)根據(jù)不可接受安全事件發(fā)生的可能性以及安全事件發(fā)生后的損失�����,計(jì)算安全事件發(fā)生會(huì)對(duì)企業(yè)造成的影響�����,即風(fēng)險(xiǎn)值�����,并確定風(fēng)險(xiǎn)等級(jí)�����。
3模型創(chuàng)新點(diǎn)及優(yōu)勢(shì)分析
信息安全風(fēng)險(xiǎn)評(píng)估方式和方法很多�����,如何建立適合油田企業(yè)當(dāng)前安全需求的風(fēng)險(xiǎn)評(píng)估模型�����、評(píng)估要素賦值方法以及風(fēng)險(xiǎn)計(jì)算方法是本文要解決的技術(shù)難點(diǎn)和創(chuàng)新點(diǎn)�����。1)對(duì)于資產(chǎn)的賦值�����,從資產(chǎn)所支撐的業(yè)務(wù)出發(fā),結(jié)合信息系統(tǒng)安全保護(hù)等級(jí)及其構(gòu)成情況�����,提出了根據(jù)業(yè)務(wù)數(shù)據(jù)重要性等級(jí)和業(yè)務(wù)服務(wù)重要性等級(jí)確定資產(chǎn)的重要性�����,使得風(fēng)險(xiǎn)評(píng)估與業(yè)務(wù)及等級(jí)保護(hù)結(jié)合更加緊密�����。2)對(duì)于脆弱性賦值�����,將脆弱性細(xì)分為暴露程度及嚴(yán)重程度兩個(gè)權(quán)重�����。其中暴露程度與威脅賦值確定安全事件發(fā)生可能性�����,嚴(yán)重程度與資產(chǎn)價(jià)值確定安全事件造成的影響�����。3)將現(xiàn)有安全措施進(jìn)一步細(xì)化,分解為預(yù)防措施和恢復(fù)措施�����,并研究得到預(yù)防措施有效性會(huì)影響到安全事件發(fā)生可能性�����,而恢復(fù)措施有效性會(huì)影響到安全事件造成的損失�����。4)結(jié)合被評(píng)估單位的實(shí)際業(yè)務(wù)需求�����,提出了僅針對(duì)被評(píng)估單位的不可接受安全事件進(jìn)行數(shù)值計(jì)算,減少了計(jì)算工作量�����,有助于提升風(fēng)險(xiǎn)評(píng)估工作效率�����。5)根據(jù)油田企業(yè)實(shí)際需求�����,將安全事件發(fā)生可能性和安全事件造成的損失賦予不同的權(quán)重�����,從而使得風(fēng)險(xiǎn)計(jì)算結(jié)果中安全事件損失所占比重更大�����,更重視后果;并通過(guò)實(shí)例驗(yàn)證等方式歸納總結(jié)出二者權(quán)重比例分配�����。
險(xiǎn)評(píng)估模型應(yīng)用分析
4.1資產(chǎn)識(shí)別
資產(chǎn)識(shí)別主要通過(guò)現(xiàn)場(chǎng)訪談的方式了解風(fēng)險(xiǎn)評(píng)估范圍涉及到的數(shù)據(jù)�����、軟件�����、硬件�����、服務(wù)�����、人員和其他六類(lèi)資產(chǎn)相關(guān)的業(yè)務(wù)處理的數(shù)據(jù)及提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況。4.1.1資產(chǎn)重要性分析資產(chǎn)重要性分析以信息系統(tǒng)的業(yè)務(wù)為出發(fā)點(diǎn)�����,通過(guò)對(duì)業(yè)務(wù)處理的數(shù)據(jù)以及提供的服務(wù)重要性賦值的方法確定信息系統(tǒng)資產(chǎn)價(jià)值�����。業(yè)務(wù)處理的數(shù)據(jù)以及業(yè)務(wù)提供的服務(wù)的重要性分析及賦值方法具體如下�����。4.1.1.1業(yè)務(wù)數(shù)據(jù)重要性分析業(yè)務(wù)數(shù)據(jù)資產(chǎn)的重要性主要根據(jù)業(yè)務(wù)數(shù)據(jù)的安全屬性(即三性:保密性�����、完整性和可用性)被破壞對(duì)本單位造成的損失程度確定�����。油田企業(yè)各業(yè)務(wù)系統(tǒng)所處理的數(shù)據(jù)信息根據(jù)數(shù)據(jù)安全屬性被破壞后可能對(duì)油田企業(yè)造成的損失嚴(yán)重程度進(jìn)行賦值�����。一般賦值為1—5。4.1.1.2業(yè)務(wù)服務(wù)重要性分析服務(wù)資產(chǎn)的重要性根據(jù)其完整性和可用性被破壞對(duì)本單位造成的損失程度確定�����。通過(guò)與相關(guān)人員進(jìn)行訪談�����,調(diào)查了解每種業(yè)務(wù)提供的服務(wù)和支撐業(yè)務(wù)處理的硬件設(shè)備和軟件情況�����,根據(jù)服務(wù)安全屬性被破壞后可能對(duì)油田企業(yè)造成損失的嚴(yán)重程度�����,為各種業(yè)務(wù)服務(wù)重要性賦值�����。一般賦值為1—5。4.1.2資產(chǎn)賦值通過(guò)分析可以看出,六類(lèi)資產(chǎn)中數(shù)據(jù)資產(chǎn)和業(yè)務(wù)服務(wù)資產(chǎn)的重要性是決定其他資產(chǎn)重要性的關(guān)鍵要素�����,因此�����,六類(lèi)資產(chǎn)的賦值原則如下:1)數(shù)據(jù)資產(chǎn)重要性根據(jù)業(yè)務(wù)數(shù)據(jù)重要性賦值結(jié)果確定�����。2)服務(wù)資產(chǎn)重要性根據(jù)業(yè)務(wù)服務(wù)重要性賦值結(jié)果確定�����。3)軟件和硬件資產(chǎn)的重要性由其所處理的各類(lèi)數(shù)據(jù)或所支撐的各種業(yè)務(wù)服務(wù)的重要性賦值結(jié)果中的較高者決定�����。4)人員的重要性根據(jù)其在信息系統(tǒng)中所承擔(dān)角色的可信度、能力等被破壞對(duì)本單位造成的損失程度確定。5)其他資產(chǎn)重要性根據(jù)其對(duì)油田企業(yè)的影響程度確定。
4.2威脅識(shí)別
4.2.1威脅分類(lèi)對(duì)威脅進(jìn)行分類(lèi)的方式有多種�����,針對(duì)環(huán)境因素和人為因素兩類(lèi)威脅來(lái)源,可以根據(jù)其表現(xiàn)形式將威脅進(jìn)行分類(lèi)[4]�����。本論文采用GB/Z24364-2009信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南中基于表現(xiàn)形式的威脅分類(lèi)方法�����。4.2.2威脅賦值根據(jù)威脅出現(xiàn)的頻率確定威脅賦值�����,威脅賦值一般為1~5�����。對(duì)威脅出現(xiàn)頻率的判斷根據(jù)風(fēng)險(xiǎn)評(píng)估常規(guī)做法獲得�����,比如安全事件報(bào)告�����、IDS�����、IPS報(bào)告以及其他機(jī)構(gòu)的威脅頻率報(bào)告等�����。
4.3脆弱性識(shí)別
4.2.1脆弱性分類(lèi)脆弱性識(shí)別所采用的方法主要有:問(wèn)卷調(diào)查�����、配置核查�����、文檔查閱、漏洞掃描�����、滲透性測(cè)試等�����。油田企業(yè)脆弱性識(shí)別依據(jù)包括:GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的三級(jí)要求以及石油行業(yè)相關(guān)要求。4.2.2脆弱性賦值原則脆弱性賦值時(shí)分為脆弱性暴露程度和脆弱性嚴(yán)重程度�����。暴露程度根據(jù)其被利用的技術(shù)實(shí)現(xiàn)難易程度�����、流行程度進(jìn)行賦值�����。對(duì)脆弱性的暴露程度給出如下5個(gè)等級(jí)的賦值原則:脆弱性的嚴(yán)重程度根據(jù)脆弱性被利用可能對(duì)資產(chǎn)造成的損害程度進(jìn)行賦值。脆弱性的嚴(yán)重程度分為5個(gè)等級(jí),賦值為1~5。
4.4現(xiàn)有安全措施識(shí)別
4.4.1現(xiàn)有安全措施識(shí)別方法信息系統(tǒng)環(huán)境中的現(xiàn)有安全措施根據(jù)其所起的安全作用分為預(yù)防措施和恢復(fù)措施。預(yù)防措施用于預(yù)防安全事件的發(fā)生(例如入侵檢測(cè)�����、網(wǎng)絡(luò)訪問(wèn)控制�����、網(wǎng)絡(luò)防病毒等)�����,可以降低安全事件發(fā)生的概率�����。因此針對(duì)每一個(gè)安全事件�����,分析現(xiàn)有預(yù)防措施是否能夠降低事件發(fā)生的概率�����,其降低發(fā)生概率的效果有多大�����。恢復(fù)措施可以在安全事件發(fā)生之后幫助盡快恢復(fù)系統(tǒng)正常運(yùn)行,可能降低安全事件的損失(例如應(yīng)急計(jì)劃�����、設(shè)備冗余�����、數(shù)據(jù)備份等)�����,因此針對(duì)每一個(gè)安全事件�����,分析現(xiàn)有恢復(fù)措施是否能夠降低事件損失�����,其降低事件損失的效果有多大�����。4.4.2現(xiàn)有安全預(yù)防措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證,針對(duì)每一個(gè)安全事件�����,分析現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并對(duì)預(yù)防措施的有效性分別給出賦值結(jié)果�����。評(píng)估者通過(guò)分析安全預(yù)防措施的效果�����,對(duì)預(yù)防措施賦予有效性因子,有效性因子可以賦值為0.1~1�����。4.4.3現(xiàn)有安全恢復(fù)措施有效性賦值原則通過(guò)識(shí)別信息系統(tǒng)現(xiàn)有安全措施及其有效性驗(yàn)證�����,針對(duì)每一個(gè)安全事件�����,分析現(xiàn)有恢復(fù)性安全措施中可能降低事件損失的情況。評(píng)估者通過(guò)分析安全恢復(fù)措施的有效性作用�����,對(duì)安全恢復(fù)措施賦予有效性因子,有效性因子可以賦值為0.1~1�����。
4.5安全事件分析
4.5.1安全事件關(guān)聯(lián)綜合識(shí)別出的脆弱性及現(xiàn)有安全措施識(shí)別出的缺陷�����,結(jié)合油田企業(yè)信息系統(tǒng)面臨的各種威脅,將各資產(chǎn)的脆弱性與威脅相對(duì)應(yīng)形成安全事件�����。分析這些安全事件一旦發(fā)生會(huì)對(duì)國(guó)家�����、單位、部門(mén)及評(píng)估對(duì)象自身造成的影響�����,分析發(fā)生這些安全事件可能造成影響的嚴(yán)重程度,從中找出部門(mén)(或單位)對(duì)發(fā)生安全事件造成影響無(wú)法容忍的那些安全事件�����,即確定不可接受安全事件。4.5.2安全事件發(fā)生可能性分析(1)計(jì)算威脅利用脆弱性的可能性針對(duì)4.5.1中分析得出的不可接受安全事件�����,綜合威脅賦值結(jié)果及脆弱性的暴露程度賦值結(jié)果,計(jì)算威脅利用脆弱性導(dǎo)致不可接受安全事件的可能性�����,采用乘積形式表明其關(guān)系�����,即安全事件發(fā)生的可能性的初始結(jié)果計(jì)算公式如下:L1(T�����,V)1=T×V1其中�����,L1(T�����,V1)代表不可接受事件發(fā)生的可能性的初始結(jié)果;T代表威脅賦值結(jié)果;V1代表脆弱性的暴露程度賦值結(jié)果。(2)分析現(xiàn)有預(yù)防措施的效果通過(guò)對(duì)企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證�����,針對(duì)4.5.1分析得到的不可接受安全事件�����,分析描述現(xiàn)有預(yù)防措施中可能降低事件發(fā)生概率的情況,并給出有效性因子賦值結(jié)果�����。(3)計(jì)算安全事件發(fā)生的可能性考慮到現(xiàn)有安全措施可能降低安全事件發(fā)生的可能性,因此安全事件發(fā)生的可能性的最終計(jì)算公式為:L2(T�����,V)1=L1(T,V1)×P1其中�����,L2(T�����,V1)為最終安全事件發(fā)生的可能性結(jié)果;L1(T,V1)為安全事件發(fā)生的可能性初始結(jié)果;P1代表安全預(yù)防措施有效性賦值結(jié)果�����。然后,形成調(diào)節(jié)后的安全事件可能性列表�����。4.5.3安全事件影響分析(1)計(jì)算脆弱性導(dǎo)致資產(chǎn)的損失將各資產(chǎn)的脆弱性(管理類(lèi)脆弱性除外,管理類(lèi)脆弱性采用定性方式進(jìn)行主觀分析)與威脅相對(duì)應(yīng)形成安全事件(4.5.1不可接受安全事件列表)�����,根據(jù)資產(chǎn)的重要性及脆弱性的嚴(yán)重程度�����,計(jì)算脆弱性可能導(dǎo)致資產(chǎn)的損失�����,即:F1(A,V2)=A×V2其中�����,F(xiàn)1(A,V2)代表安全事件可能導(dǎo)致資產(chǎn)的損失的初始計(jì)算結(jié)果;A代表資產(chǎn)價(jià)值�����,即資產(chǎn)賦值結(jié)果;V2代表脆弱性嚴(yán)重程度,即脆弱性嚴(yán)重程度賦值結(jié)果�����。(2)分析現(xiàn)有安全恢復(fù)措施的有效性通過(guò)對(duì)油田企業(yè)信息系統(tǒng)的現(xiàn)有安全措施的識(shí)別和有效性驗(yàn)證,針對(duì)4.5.1分析得到的不可接受安全事件�����,分析描述現(xiàn)有恢復(fù)措施中可能降低事件發(fā)生的概率的情況�����,并根據(jù)表9的賦值原則分別給出安全恢復(fù)措施的有效性賦值結(jié)果�����。(3)計(jì)算安全事件的損失考慮到恢復(fù)措施可能降低安全事件帶來(lái)的損失�����,因此安全事件損失可以根據(jù)安全恢復(fù)措施的有效性予以調(diào)整。采用乘積形式表明關(guān)系�����,即:F2(A,V2)=F1(A�����,V2)×P2其中,F(xiàn)2(A�����,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果;F1(A,V2)為安全事件可能造成損失的初始計(jì)算結(jié)果;P2代表安全恢復(fù)措施有效性賦值結(jié)果�����。然后,形成調(diào)節(jié)后的安全事件損失計(jì)算結(jié)果列表�����。
4.6綜合風(fēng)險(xiǎn)計(jì)算及分析
4.6.1計(jì)算風(fēng)險(xiǎn)值結(jié)合油田企業(yè)關(guān)注低可能性重性的安全事件的需求�����,參照美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估計(jì)算方法�����,采用安全事件發(fā)生的可能性以及安全事件可能帶來(lái)的損失的加權(quán)之和方式計(jì)算風(fēng)險(xiǎn)值。這種方法更加重視安全事件帶來(lái)的損失�����,使得損失在對(duì)風(fēng)險(xiǎn)值的貢獻(xiàn)中權(quán)重更大。在使用油田企業(yè)以往測(cè)評(píng)結(jié)果試用的基礎(chǔ)上�����,將安全事件可能帶來(lái)的損失的權(quán)重定為80%。具體計(jì)算公式為:R(L2�����,F(xiàn))2=L2(T�����,V)1×20%+F2(A�����,V)2×80%其中�����,R(L2,F(xiàn)2)代表風(fēng)險(xiǎn)值�����,L2(T,V1)為安全事件發(fā)生可能性的最終結(jié)果�����,F(xiàn)2(A�����,V2)為安全事件可能造成的損失的最終計(jì)算結(jié)果。4.6.2風(fēng)險(xiǎn)結(jié)果判斷計(jì)算出風(fēng)險(xiǎn)值后�����,應(yīng)對(duì)風(fēng)險(xiǎn)值進(jìn)行分級(jí)處理,將風(fēng)險(xiǎn)級(jí)別劃分為五級(jí)�����。4.6.3綜合分析根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果�����,從多個(gè)不同方面綜合匯總分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況�����。例如可從以下幾方面匯總分析:1)風(fēng)險(xiǎn)較高的資產(chǎn)統(tǒng)計(jì):匯總存在多個(gè)脆弱性可能導(dǎo)致多個(gè)中等以上風(fēng)險(xiǎn)等級(jí)安全事件發(fā)生的資產(chǎn),從資產(chǎn)角度綜合分析被評(píng)估信息系統(tǒng)存在的安全風(fēng)險(xiǎn)情況;2)引起較高風(fēng)險(xiǎn)的脆弱性統(tǒng)計(jì):匯總會(huì)給被評(píng)估信息系統(tǒng)帶來(lái)中等以上安全風(fēng)險(xiǎn)的脆弱性及其影響的資產(chǎn)及嚴(yán)重程度�����,分析可能帶來(lái)的危害后果;3)出現(xiàn)頻率較高的脆弱性統(tǒng)計(jì):匯總中等以上脆弱性在資產(chǎn)中的出現(xiàn)頻率,從而反映脆弱性在被評(píng)估系統(tǒng)中的普遍程度,出現(xiàn)頻率越高�����,整改獲取的收益越好。4)按層面劃分的風(fēng)險(xiǎn)點(diǎn)分布情況匯總:匯總網(wǎng)絡(luò)�����、主機(jī)、應(yīng)用�����、數(shù)據(jù)�����、物理、管理等各層面存在的脆弱性及其嚴(yán)重程度�����,對(duì)比分析風(fēng)險(xiǎn)在不同層面的分布情況。
5結(jié)語(yǔ)
第4篇
1 風(fēng)險(xiǎn)管理在電力生產(chǎn)管理中的應(yīng)用流程
風(fēng)險(xiǎn)管理在電力生產(chǎn)管理中有很重要的作用�����,因而如果想要保證電力生產(chǎn)管理的高效化�����,就需要完善風(fēng)險(xiǎn)管理�����,提高企業(yè)的運(yùn)營(yíng)效率。如何應(yīng)用電力生產(chǎn)企業(yè)的風(fēng)險(xiǎn)管理是電力企業(yè)必須要思考的一個(gè)重要問(wèn)題�����。電力生產(chǎn)管理中的風(fēng)險(xiǎn)管理必須要遵循一定的流程。
1.1 電力生產(chǎn)管理的目標(biāo)規(guī)劃
目標(biāo)是一個(gè)企業(yè)發(fā)展的方向�����,只有確定好了目標(biāo)才能夠保證企業(yè)未來(lái)的發(fā)展戰(zhàn)略以及風(fēng)險(xiǎn)管理具有正確性�����。電力生產(chǎn)管理中�����,如果想要完善風(fēng)險(xiǎn)管理�����,第一步就是規(guī)劃企業(yè)的目標(biāo)�����。電力生產(chǎn)管理的目標(biāo)規(guī)劃需要根據(jù)企業(yè)所處的環(huán)境來(lái)確定,企業(yè)外部環(huán)境的穩(wěn)定與否與內(nèi)部環(huán)境的協(xié)調(diào)與否都是規(guī)劃目標(biāo)重要考量標(biāo)準(zhǔn)�����。在風(fēng)險(xiǎn)管理時(shí)期內(nèi),需要考慮企業(yè)的稅收問(wèn)題�����,同時(shí)確定企業(yè)的未來(lái)發(fā)展方向、發(fā)展過(guò)程中的重心�����、發(fā)展方針�����、企業(yè)風(fēng)險(xiǎn)防控措施�����。這幾個(gè)方面決定了企業(yè)的生產(chǎn)管理的效率的高低�����。電力生產(chǎn)管理中目標(biāo)規(guī)劃需要注重企業(yè)內(nèi)外環(huán)境的因素同時(shí)還要注重目標(biāo)的可實(shí)施性�����,以及企業(yè)建設(shè)程度。
1.2 電力生產(chǎn)管理的風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別是電力生產(chǎn)管理中一項(xiàng)中心的環(huán)節(jié)�����,需要企業(yè)管理者識(shí)別不同的風(fēng)險(xiǎn),從而采取風(fēng)險(xiǎn)管理措施�����。風(fēng)險(xiǎn)識(shí)別一方面是要通過(guò)技術(shù)支持對(duì)相關(guān)專(zhuān)業(yè)內(nèi)容進(jìn)行風(fēng)險(xiǎn)識(shí)別,另一方面也需要對(duì)企業(yè)管理層面的問(wèn)題進(jìn)行風(fēng)險(xiǎn)識(shí)別�����,這兩個(gè)方面相輔相成,具有相互配合的作用�����,在電力生產(chǎn)管理的風(fēng)險(xiǎn)管理中起到了決定性的作用。
1.3 電力生產(chǎn)管理的風(fēng)險(xiǎn)等級(jí)排序
風(fēng)險(xiǎn)等級(jí)排序是指根據(jù)對(duì)企業(yè)未來(lái)會(huì)面臨的風(fēng)險(xiǎn)做出相應(yīng)的預(yù)判�����,然后評(píng)價(jià)風(fēng)險(xiǎn)的等級(jí)�����。風(fēng)險(xiǎn)等級(jí)排序所依據(jù)的因素包括風(fēng)險(xiǎn)發(fā)生的概率�����、風(fēng)險(xiǎn)產(chǎn)生的不良后果的程度等,根據(jù)這些因素我們可以確定風(fēng)險(xiǎn)的等級(jí)的高低�����,然后分別采取不同的措施。風(fēng)險(xiǎn)發(fā)生概率高�����、風(fēng)險(xiǎn)產(chǎn)生不良后果嚴(yán)重的劃分為等級(jí)高的風(fēng)險(xiǎn),風(fēng)險(xiǎn)發(fā)生概率低�����、風(fēng)險(xiǎn)產(chǎn)生不良后果較輕的劃分為等級(jí)低的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)等級(jí)排序需要真實(shí)公正的完成評(píng)估�����,減少自己主觀意愿對(duì)風(fēng)險(xiǎn)等級(jí)評(píng)估的影響�����,這樣才能確保風(fēng)險(xiǎn)等級(jí)排序科學(xué)合理�����,具有有效性�����。
1.4 電力生產(chǎn)管理的風(fēng)險(xiǎn)應(yīng)對(duì)措施
根據(jù)風(fēng)險(xiǎn)等級(jí)排序我們需要采取不同的措施來(lái)預(yù)防風(fēng)險(xiǎn)�����,對(duì)于風(fēng)險(xiǎn)等級(jí)高的風(fēng)險(xiǎn)我們要采取更多的人力和物理來(lái)減少風(fēng)險(xiǎn)的發(fā)生可能性,針對(duì)風(fēng)險(xiǎn)等級(jí)較低的風(fēng)險(xiǎn)我們可以適當(dāng)?shù)臏p小對(duì)該風(fēng)險(xiǎn)的預(yù)防投入�����,從而節(jié)約成本,風(fēng)險(xiǎn)應(yīng)對(duì)措施時(shí)風(fēng)險(xiǎn)管理中根本性的內(nèi)容�����,如何合理的應(yīng)對(duì)不同的風(fēng)險(xiǎn)是提高企業(yè)運(yùn)營(yíng)效率的重要舉措�����。我們無(wú)法做到完全的避開(kāi)風(fēng)險(xiǎn)�����,但是我們可以盡量的減少風(fēng)險(xiǎn)給我?guī)?lái)的損失�����,從而提高電力企業(yè)的盈利效率�����。
1.5 電力生產(chǎn)管理的風(fēng)險(xiǎn)管理評(píng)估
風(fēng)險(xiǎn)管理評(píng)估是對(duì)企業(yè)風(fēng)險(xiǎn)做出相應(yīng)的評(píng)價(jià)�����,電力生產(chǎn)管理中的風(fēng)險(xiǎn)評(píng)估需要從多個(gè)方面入手�����,既要同時(shí)注重風(fēng)險(xiǎn)管理之后產(chǎn)生的后果�����,也要注重管理風(fēng)險(xiǎn)所投入的人力物力的價(jià)值�����。風(fēng)險(xiǎn)管理評(píng)估是對(duì)風(fēng)險(xiǎn)預(yù)防手段與帶來(lái)經(jīng)濟(jì)效益之比的評(píng)價(jià),在完成風(fēng)險(xiǎn)評(píng)估過(guò)程中�����,可以及時(shí)的了解風(fēng)險(xiǎn)所帶來(lái)的影響,從而做出正確的判斷�����。風(fēng)險(xiǎn)管理的評(píng)估應(yīng)當(dāng)在風(fēng)險(xiǎn)管理之后及時(shí)的進(jìn)行�����,對(duì)之前發(fā)生的風(fēng)險(xiǎn)管理進(jìn)行公正的判斷�����,從而總結(jié)其中的出現(xiàn)的問(wèn)題以及較好的舉措�����,這樣的評(píng)估可以提高之后風(fēng)險(xiǎn)管理的效率�����,同時(shí)給以后的風(fēng)險(xiǎn)預(yù)防提供豐富的經(jīng)驗(yàn)指導(dǎo)�����。
2 電力生產(chǎn)管理過(guò)程中風(fēng)險(xiǎn)管理出現(xiàn)的問(wèn)題
電力生產(chǎn)管理是我國(guó)重要的經(jīng)濟(jì)項(xiàng)目,關(guān)系著國(guó)際民生�����,因而為了提高電力生產(chǎn)管理的效率就需要完善風(fēng)險(xiǎn)管理制度,從而確保電力生產(chǎn)企業(yè)可以達(dá)到良好的經(jīng)營(yíng)效率�����。但是現(xiàn)階段我國(guó)的電力生產(chǎn)管理中的風(fēng)險(xiǎn)管理制度還不夠完善�����,很多方面還存在著一定問(wèn)題�����,下面我們就分析一下電力生產(chǎn)管理過(guò)程中存在的風(fēng)險(xiǎn)管理問(wèn)題。
2.1 電力生產(chǎn)管理中風(fēng)險(xiǎn)管理的預(yù)防不夠到位
電力生產(chǎn)管理中風(fēng)險(xiǎn)管理的主要內(nèi)容就是風(fēng)險(xiǎn)預(yù)防�����,針對(duì)不同的風(fēng)險(xiǎn)�����,我們都需要打起精神�����,不可以松懈�����,但目前我國(guó)電力生產(chǎn)管理過(guò)程中普遍存在的問(wèn)題就是預(yù)防不夠到位�����,例如:我們一直強(qiáng)調(diào)電力生產(chǎn)管理要義安全為主�����,把安全意識(shí)放在第一位�����,這樣才能夠預(yù)防安全事故的發(fā)生,但是很多電力企業(yè)并沒(méi)有注意這一問(wèn)題�����,在安全方面存在僥幸心理�����,感覺(jué)安全問(wèn)題不會(huì)發(fā)生在自己身上�����,這種心理想法往往就會(huì)導(dǎo)致安全事故的發(fā)生,造成不可估量的風(fēng)險(xiǎn)損失�����。
2.2 電力生產(chǎn)管理中風(fēng)險(xiǎn)管理以偏概全
電力生產(chǎn)管理中風(fēng)險(xiǎn)管理最切忌以偏概全,電力企業(yè)大多只抓住國(guó)家要求的部分風(fēng)險(xiǎn)管理內(nèi)容�����,把局部?jī)?nèi)容拓展到全部?jī)?nèi)容中,這對(duì)企業(yè)的風(fēng)險(xiǎn)防控有著不利的影響�����。電力生產(chǎn)管理是一個(gè)有機(jī)的整體,需要管理者從整體出發(fā)�����,全方面的管理企業(yè)電力系統(tǒng)的風(fēng)險(xiǎn)預(yù)防工作,減少風(fēng)險(xiǎn)出現(xiàn)帶給企業(yè)的不良影響�����。我國(guó)電力生產(chǎn)管理中很多企業(yè)只是局部完成了風(fēng)險(xiǎn)管理,整個(gè)企業(yè)難以全面實(shí)現(xiàn)風(fēng)險(xiǎn)管理�����,這就減少了風(fēng)險(xiǎn)管理的有效性�����,損害了電力企業(yè)的利益。
第5篇
【關(guān)鍵詞】HSE管理 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)管理
1 如何進(jìn)行正確的風(fēng)險(xiǎn)分析
如果想要將系統(tǒng)中存在的風(fēng)險(xiǎn)作為一個(gè)整體進(jìn)行評(píng)價(jià)�����,就必須運(yùn)用系統(tǒng)性綜合評(píng)價(jià)法。通過(guò)對(duì)系統(tǒng)內(nèi)部所含要素進(jìn)行科學(xué)分析�����,來(lái)判明危險(xiǎn)因素的特征和該危險(xiǎn)因素可能引發(fā)的相關(guān)災(zāi)害性事故�����。先對(duì)危險(xiǎn)事故進(jìn)行定性分析,再對(duì)危險(xiǎn)事故的特征進(jìn)行定量分析�����。最后想要達(dá)到徹底消除危險(xiǎn)的目的�����,就需要通過(guò)綜合方法對(duì)危險(xiǎn)因素進(jìn)行處理。通過(guò)這一套規(guī)范化的科學(xué)流程�����,就可以大大降低系統(tǒng)事故的出現(xiàn)概率�����。
而從企業(yè)HSE角度對(duì)項(xiàng)目分析則需要另一種項(xiàng)目分析方法。
從項(xiàng)目整體入手�����,分析項(xiàng)目運(yùn)行潛在的HSE系統(tǒng)風(fēng)險(xiǎn)。這要求我們首先要熟悉和了解項(xiàng)目流程與每一個(gè)細(xì)小環(huán)節(jié)�����,在結(jié)合項(xiàng)目?jī)?nèi)部與外部環(huán)境進(jìn)行系統(tǒng)分析。比如在《中印石油管道項(xiàng)目HSE手冊(cè)》中�����,我們分析石油管道項(xiàng)目自身特征�����,可以將該施工項(xiàng)目分為5大風(fēng)險(xiǎn)分析和管理模塊:從海面上的頂管施工到海面下的定向轉(zhuǎn)穿越施工與盾構(gòu)施工等等�����。
通過(guò)風(fēng)險(xiǎn)模塊圖我們可以了解到�����,對(duì)每一個(gè)模塊進(jìn)行節(jié)點(diǎn)風(fēng)險(xiǎn)分析的時(shí)候都離不開(kāi)系統(tǒng)整體的風(fēng)險(xiǎn)分析基礎(chǔ)。而通過(guò)對(duì)每一項(xiàng)具體工作層層劃分出詳細(xì)步驟并計(jì)算出該節(jié)點(diǎn)可能出現(xiàn)的風(fēng)險(xiǎn)和潛在隱患的過(guò)程�����,就稱(chēng)之為節(jié)點(diǎn)分析。通過(guò)分析過(guò)的風(fēng)險(xiǎn)來(lái)劃分工作節(jié)點(diǎn)后�����,就可以為每一個(gè)工作節(jié)點(diǎn)制定相應(yīng)的節(jié)點(diǎn)風(fēng)險(xiǎn)科學(xué)化的對(duì)應(yīng)措施和獨(dú)有的操作程序�����。
比如盾構(gòu)施工模塊的整個(gè)施工過(guò)程關(guān)鍵節(jié)點(diǎn)只有四處�����,分別是豎井制作�����、盾構(gòu)、管道制造運(yùn)輸和管道的安裝�����。想要采取對(duì)應(yīng)的高效率對(duì)應(yīng)措施,就必須通過(guò)詳盡的節(jié)點(diǎn)分析與查出每一個(gè)關(guān)鍵點(diǎn)的危害因素。
2 如何將模糊評(píng)價(jià)法應(yīng)用到盾構(gòu)結(jié)構(gòu)的施工過(guò)程中
一般將模糊綜合評(píng)價(jià)法應(yīng)用到系統(tǒng)性風(fēng)險(xiǎn)評(píng)價(jià)中�����。以下評(píng)價(jià)就是按照模糊綜合評(píng)價(jià)法進(jìn)行的系統(tǒng)性風(fēng)險(xiǎn)評(píng)估�����。2.1 建立項(xiàng)目評(píng)價(jià)級(jí)別集合V
風(fēng)險(xiǎn)評(píng)估體系分為5級(jí)。分別為:很安全�����、較安全�����、中等、較不安全、很不安全。5等級(jí)風(fēng)險(xiǎn)評(píng)價(jià)體系的保障來(lái)自于專(zhuān)業(yè)經(jīng)驗(yàn)�����、評(píng)價(jià)標(biāo)準(zhǔn)和危害程度?����,F(xiàn)在我們將對(duì)風(fēng)險(xiǎn)評(píng)估體系進(jìn)行賦值:V(很安全)=1�����、V(較安全)=0.8�����、V(中等)=0.6�����、V(較不安全)=0.4、V(很不安全)
2.2 如何評(píng)價(jià)項(xiàng)目權(quán)向量
我們隨機(jī)挑選出盾構(gòu)施工過(guò)程中對(duì)項(xiàng)目影響較常見(jiàn)的因素26個(gè)�����。同時(shí)我們將這26個(gè)因素按照豎井制作�����、盾構(gòu)、管道運(yùn)輸、管道安裝四種施工過(guò)程分為四個(gè)大類(lèi)�����。設(shè)這4個(gè)大節(jié)點(diǎn)為U�����。則U分別等于管道制造運(yùn)輸、管道安裝�����、盾構(gòu)和豎井制作。
然后我們按照這四大類(lèi)別出現(xiàn)危害的百分比進(jìn)行加權(quán)處理�����。得出一個(gè)4*4矩陣�����,如下:
管道制造運(yùn)輸A1 1 1/2 1/4 1/2管道安裝A2 2 1 1/3 1盾構(gòu)A3 4 3 1 2豎井制作A4 2 1 1/2 1
2.3 對(duì)項(xiàng)目權(quán)向量進(jìn)行層次分析
各個(gè)單位權(quán)向量的計(jì)算就是建立在上述加權(quán)模糊矩陣以及評(píng)估等級(jí)的基礎(chǔ)上的�����。經(jīng)過(guò)算得出各個(gè)單位權(quán)向量:
W1=0.1083,W2=0.1957�����,W3=0.4794�����,W4=0.2166
2.4 確定各個(gè)項(xiàng)目分?jǐn)?shù)
如果各項(xiàng)目滿(mǎn)分為100分�����,則上述四類(lèi)大節(jié)點(diǎn)分值可以估算成豎井制作20分�����、盾構(gòu)50分、管道安裝20分、管道制造運(yùn)輸10分�����。同時(shí)還有對(duì)這四個(gè)大節(jié)點(diǎn)以下的項(xiàng)目步驟進(jìn)行賦值,比如豎井制作需要工種有:鋼筋工、起重工等等�����。其中鋼筋工的危險(xiǎn)因素為高空墜落�����,在豎井制作20分加權(quán)值中估算為3分�����,同理估算其他工種風(fēng)險(xiǎn)因素。
2.5 如何建立單一因素的專(zhuān)有關(guān)系模糊矩陣R
本文將采用多維量表法確定該模糊矩陣R.�����,根據(jù)上訴多維量表法的步驟以及各個(gè)項(xiàng)目分?jǐn)?shù)的賦值來(lái)對(duì)權(quán)向量進(jìn)行最終確認(rèn),得出模糊關(guān)系矩陣R為:
0.6 0.7 0.8 0.4 0.2 0.65 0.85 0.9 0.5 0.5 R= 0.85 0.9 0.95 0.6 0.7
0.65 0.85 0.85 0.5 0.5
得出B=(0.745�����、0.860�����、0.905�����、0.540�����、
0.570)
2.6 如何確定評(píng)價(jià)等級(jí)
采用加權(quán)平均原則確定評(píng)價(jià)等級(jí):
3.1 HSE風(fēng)險(xiǎn)運(yùn)行管理機(jī)制實(shí)際效率差�����,實(shí)行度不高
雖然在眾多前輩們的不懈努力下�����,相關(guān)行業(yè)體系規(guī)則和文件比較全面�����,但是仍然面臨著執(zhí)行力度不足�����,缺乏有效反饋機(jī)制的問(wèn)題�����。參與到HSE體系來(lái)的并不是項(xiàng)目的全部參與者�����,普遍存在敷衍檢查和考核的瀆職行為。所有�����,HSE僅僅停留在筆頭上�����,并沒(méi)有將得到很好的貫徹和落實(shí)�����。
3.2 混亂的風(fēng)險(xiǎn)管理和模糊的崗位職責(zé)
現(xiàn)在�����,越來(lái)越多的工程企業(yè)在每一個(gè)項(xiàng)目組設(shè)立了HSE工程師�����,用來(lái)作為獨(dú)立的平臺(tái)監(jiān)測(cè)項(xiàng)目本身純?cè)诘南嚓P(guān)風(fēng)險(xiǎn)�����。可是�����,容易被大家忽略的是HSE工程師與好多崗位職責(zé)劃分模糊不清�����,尤其是與項(xiàng)目經(jīng)理�����、項(xiàng)目安全員的關(guān)系�����。這就造成了管理混亂�����,產(chǎn)生了隱性的效率成本�����。并且模糊的職責(zé)分解中�����,使得HSE工程師無(wú)法有效發(fā)揮效能并開(kāi)展相關(guān)管理工作�����,使得資源配置重疊�����,安全生產(chǎn)責(zé)任制變得難以完全落實(shí)�����。
3.3 人員素質(zhì)參差不齊
當(dāng)下�����,石油企業(yè)井下作業(yè)的人員缺額嚴(yán)重�����,很多企業(yè)雇傭了份額過(guò)多的外來(lái)雇工�����,使得外來(lái)雇工人員在生產(chǎn)前線施工人員比例過(guò)大�����。外來(lái)雇工普遍存在的素質(zhì)問(wèn)題和經(jīng)驗(yàn)問(wèn)題使得其容易造成事故�����,增大了不穩(wěn)定因素�����。在工程繁忙階段,大量緊迫的工程壓力會(huì)造成工人壓力過(guò)大�����,工作時(shí)間過(guò)長(zhǎng)�����,因?yàn)檫^(guò)度疲勞而導(dǎo)致事故出現(xiàn)�����。
4 結(jié)束語(yǔ)
安全風(fēng)險(xiǎn)評(píng)價(jià)HSE管理涉及諸多學(xué)科�����,是一個(gè)比較復(fù)雜的研究課題�����。需要我們相關(guān)企業(yè)一定要安裝本企業(yè)的實(shí)際情況對(duì)安全生產(chǎn)的客觀需求進(jìn)行判斷�����,明確反饋機(jī)制�����,堅(jiān)決避免敷衍應(yīng)對(duì)的現(xiàn)象出現(xiàn)�����。只有這樣�����,HSE管理才能真正對(duì)項(xiàng)目的運(yùn)轉(zhuǎn)發(fā)揮作用�����。
參考文獻(xiàn)
第6篇
Abstract: In the market competition intense situation, the enterprise besides the dependence product quality, the price, the post-sale service, the advertisement and so on increases the market share day by day, the selling on credit is also one important method. But under traditional account receivable management pattern, many enterprises, because sells on credit besets with a crisis finance, even goes bankrupt. But uses the financial risk management some experiences to carry on the risk management to enterprise's account receivable, without doubt is reduces the risk, to avoid a crisis's efficient path.
關(guān)鍵詞:風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)評(píng)估
Key word: Risk management risk recognition risk assessment
應(yīng)收賬款的風(fēng)險(xiǎn)是應(yīng)收賬款遭受損失的不確定性�����。這個(gè)不確定性主要是指損失是否發(fā)生以及損失的大小不確定�����。應(yīng)收賬款的風(fēng)險(xiǎn)管理就是識(shí)別�����、評(píng)估與控制企業(yè)應(yīng)收賬款損失的程序。
一�����、應(yīng)收賬款的風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別,是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的基礎(chǔ)�����。在進(jìn)行風(fēng)險(xiǎn)分析時(shí),找出企業(yè)應(yīng)收賬款面臨的風(fēng)險(xiǎn)因素,并將這些風(fēng)險(xiǎn)與企業(yè)銷(xiāo)售收款業(yè)務(wù)流程聯(lián)系起來(lái),以便發(fā)現(xiàn)各種潛在的風(fēng)險(xiǎn)�����。這里示范性地列出幾條:
1. 交易雙方產(chǎn)生的貿(mào)易糾紛;
2. 客戶(hù)經(jīng)營(yíng)管理不善,無(wú)力償還到期債務(wù);
3. 交易對(duì)象有意占用企業(yè)資金;
4. 交易對(duì)象蓄意的商業(yè)欺詐�����。
對(duì)于上面的每一種原因,我們還可以繼續(xù)追究下去,找出原因中的原因�����。例如,交易雙方產(chǎn)生的貿(mào)易糾紛,我們要看是合同中的特定條款約定不明確,還是產(chǎn)品質(zhì)量的缺陷導(dǎo)致顧客不滿(mǎn)意拒絕付款;而后三種情況則是要檢討信用政策和銷(xiāo)售收款的業(yè)務(wù)流程,在賒銷(xiāo)審批時(shí),是否對(duì)客戶(hù)的信用情況進(jìn)行評(píng)估,是否對(duì)沒(méi)有資格的客戶(hù)進(jìn)行賒銷(xiāo),是否給予客戶(hù)不適當(dāng)?shù)男庞妙~度,是否發(fā)生越權(quán)審批,是否存在銷(xiāo)售人員與客戶(hù)相互勾結(jié),損害企業(yè)利益的情況�����。
風(fēng)險(xiǎn)的識(shí)別離不開(kāi)相關(guān)部門(mén)的密切配合,尤其是銷(xiāo)售部門(mén)�����?����?蛻?hù)往往會(huì)有意隱瞞一些不愿透露的信息,有些客戶(hù)甚至故意提供虛假的資信狀況信息�����。而銷(xiāo)售人員直接與客戶(hù)交往,最容易了解客戶(hù)情況,發(fā)現(xiàn)客戶(hù)的異常行為�����。像拖欠員工工資�����、頻頻更換主管�����、開(kāi)始銷(xiāo)售不動(dòng)產(chǎn)等信息對(duì)我們識(shí)別風(fēng)險(xiǎn)非常有用,如果我們能對(duì)銷(xiāo)售人員進(jìn)行一定的培訓(xùn),提高他們捕捉客戶(hù)風(fēng)險(xiǎn)信息的能力,就可以幫助企業(yè)盡早發(fā)現(xiàn)風(fēng)險(xiǎn),避免造成損失�����。
二、應(yīng)收賬款的風(fēng)險(xiǎn)評(píng)估
在損失發(fā)生前,我們要評(píng)估發(fā)生損失的可能性,而在損失發(fā)生后,我們要評(píng)估損失的大小�����。
評(píng)估工作離不開(kāi)客戶(hù)信息的搜集�����。一般說(shuō)來(lái),我們可以閱讀客戶(hù)的財(cái)務(wù)報(bào)告�����、實(shí)地訪問(wèn)或電話聯(lián)絡(luò)�����、總結(jié)以往與客戶(hù)的交易經(jīng)驗(yàn)�����、借助大眾傳播媒介或?qū)I(yè)的信用中介機(jī)構(gòu)等等�����。
高風(fēng)險(xiǎn)的客戶(hù)發(fā)生損失的可能性和損失的程度都比較高,所以,有必要對(duì)客戶(hù)進(jìn)行風(fēng)險(xiǎn)等級(jí)的劃分,在此我們的依據(jù)是客戶(hù)的信用狀況�����。什么變量能夠用來(lái)說(shuō)明客戶(hù)的信用狀況呢?二十世紀(jì)初亞歷山大?沃爾提出沃爾評(píng)分法,他選擇了流動(dòng)比率�����、存貨周轉(zhuǎn)率�����、應(yīng)收賬款周轉(zhuǎn)率等七項(xiàng)財(cái)務(wù)比率,分別規(guī)定各項(xiàng)財(cái)務(wù)指標(biāo)在該模型中的比重,綜合為100分,然后確定標(biāo)準(zhǔn)比率相比較,評(píng)出每項(xiàng)指標(biāo)的得分,匯總求得總的得分�����。得分越高,客戶(hù)的風(fēng)險(xiǎn)等級(jí)越低,依此將客戶(hù)劃分為高�����、中�����、低風(fēng)險(xiǎn)等級(jí)。這只是一種定量模型,還有其他一些定量分析和定性分析的模型,企業(yè)可以根據(jù)自身情況選擇適當(dāng)?shù)哪P?����。在進(jìn)行定量分析的時(shí)候,往往借助于客戶(hù)的財(cái)務(wù)報(bào)告,要注意報(bào)表本身的局限性,辨別其中可能存在被粉飾的情況.
在實(shí)際操作中,我們還需注意客戶(hù)的風(fēng)險(xiǎn)等級(jí)并不是一成不變的,市場(chǎng)瞬息萬(wàn)變,今天的低風(fēng)險(xiǎn)客戶(hù)明天可能就成了高風(fēng)險(xiǎn)客戶(hù),因此,要定期根據(jù)客戶(hù)的最新情況,對(duì)客戶(hù)的風(fēng)險(xiǎn)等級(jí)進(jìn)行再評(píng)定�����。
應(yīng)收賬款的損失包括逾期應(yīng)收賬款的資金成本,附加收賬費(fèi)用,壞帳損失,這些直接的損失比較顯而易見(jiàn)�����。另外,還有一些間接的損失,比如,企業(yè)賒銷(xiāo)時(shí)雖然能使企業(yè)產(chǎn)生較多的利潤(rùn), 但是并未真正使企業(yè)現(xiàn)金流入增加, 反而使企業(yè)不得不運(yùn)用有限的流動(dòng)資金來(lái)墊付各種稅金和費(fèi)用, 加速了企業(yè)的現(xiàn)金流出,主要表現(xiàn)為:
1.企業(yè)流轉(zhuǎn)稅的支出;
2. 所得稅的支出;
3.因資金周轉(zhuǎn)不靈而向銀行借債的利息費(fèi)用;
4.因拖欠供應(yīng)商貨款而無(wú)法取得購(gòu)貨的現(xiàn)金折扣,或因?yàn)橘Y信的降低而無(wú)法獲得較優(yōu)的購(gòu)貨優(yōu)惠�����。
如果同一時(shí)間發(fā)生多起損失,超出了企業(yè)對(duì)應(yīng)收賬款損失最大的承受能力,企業(yè)就可能陷入嚴(yán)重的財(cái)務(wù)危機(jī),甚至是破產(chǎn)�����。
三�����、應(yīng)收賬款的風(fēng)險(xiǎn)控制
所謂風(fēng)險(xiǎn)控制,是指在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)所存在的風(fēng)險(xiǎn)因素,積極采取控制措施,以消除風(fēng)險(xiǎn)因素或減少風(fēng)險(xiǎn)因素的危害性�����。
風(fēng)險(xiǎn)控制措施可以分為五種:避免風(fēng)險(xiǎn)�����、預(yù)防風(fēng)險(xiǎn)�����、降低損失�����、轉(zhuǎn)移風(fēng)險(xiǎn)和承擔(dān)風(fēng)險(xiǎn)�����。在損失發(fā)生前,我們可以避免�����、預(yù)防或轉(zhuǎn)移風(fēng)險(xiǎn),避免發(fā)生損失;在損失發(fā)生時(shí)和發(fā)生后,我們可以采取措施降低損失或承擔(dān)損失�����。下面依次介紹。
1�����、避免風(fēng)險(xiǎn)
避免風(fēng)險(xiǎn)又稱(chēng)規(guī)避風(fēng)險(xiǎn)�����。經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后,我們將某客戶(hù)評(píng)估為高風(fēng)險(xiǎn),那么我們可能就不給其賒銷(xiāo),這樣就規(guī)避了風(fēng)險(xiǎn)�����。不過(guò)在運(yùn)用這一措施的時(shí)候,需要注意以下三點(diǎn):
(1)當(dāng)風(fēng)險(xiǎn)很高或者管理風(fēng)險(xiǎn)的成本極高時(shí),規(guī)避風(fēng)險(xiǎn)是合適的;
(2)有些風(fēng)險(xiǎn)是不可避免的,比如自然災(zāi)害�����、瘟疫�����、經(jīng)濟(jì)危機(jī)等;
(3)不愿意承擔(dān)風(fēng)險(xiǎn),就沒(méi)有銷(xiāo)售的機(jī)會(huì),不能有風(fēng)險(xiǎn)就規(guī)避,現(xiàn)在只接受現(xiàn)金交易的企業(yè)是很少見(jiàn)的,因此,我們不能因噎廢食,應(yīng)收賬款雖然有風(fēng)險(xiǎn),但是我們可以有選擇地接受風(fēng)險(xiǎn),從而獲得與風(fēng)險(xiǎn)相匹配的收益�����。
2�����、預(yù)防風(fēng)險(xiǎn)
預(yù)防風(fēng)險(xiǎn)就是要降低發(fā)生損失的可能性。
首先,通過(guò)風(fēng)險(xiǎn)評(píng)估,我們可以劃分特定企業(yè)的風(fēng)險(xiǎn)等級(jí),如果能夠只和一些低風(fēng)險(xiǎn)的客戶(hù)交易,那么企業(yè)應(yīng)收賬款的綜合風(fēng)險(xiǎn)將會(huì)大幅度降低�����。
其次,營(yíng)銷(xiāo)管理大體上有五種觀念:生產(chǎn)觀念�����、產(chǎn)品觀念�����、推銷(xiāo)觀念�����、市場(chǎng)觀念和社會(huì)觀念�����。在我國(guó),大部分企業(yè)還停留在產(chǎn)品觀念和推銷(xiāo)觀念上,如果企業(yè)能夠采用市場(chǎng)營(yíng)銷(xiāo)觀念,把市場(chǎng)的需要放在首位,生產(chǎn)出滿(mǎn)足消費(fèi)者需求的產(chǎn)品,就能獲得較強(qiáng)的競(jìng)爭(zhēng)力,從而爭(zhēng)取到低風(fēng)險(xiǎn)的客戶(hù)�����。同時(shí),產(chǎn)品如果獲得終端消費(fèi)者的認(rèn)可,客戶(hù)也能盡快將產(chǎn)品銷(xiāo)售出去,從而使企業(yè)盡快收回貨款�����。
另外,在進(jìn)行風(fēng)險(xiǎn)識(shí)別的時(shí)候,我們發(fā)現(xiàn)很多風(fēng)險(xiǎn)其實(shí)是來(lái)源于企業(yè)銷(xiāo)售收款相關(guān)的內(nèi)部控制制度不健全,為此國(guó)家財(cái)政部出臺(tái)了《內(nèi)部控制規(guī)范―銷(xiāo)售與收款(試行)》及《財(cái)政部關(guān)于建立健全企業(yè)應(yīng)收賬款管理制度的通知》來(lái)指導(dǎo)和規(guī)范企業(yè)的銷(xiāo)售和收款行為,企業(yè)應(yīng)該在這些法規(guī)的指導(dǎo)下,建立健全相關(guān)的內(nèi)部控制制度,比如:
(1)嚴(yán)格賒銷(xiāo)審批制度�����。
在簽訂銷(xiāo)售合同前,信用部門(mén)或信用崗位要按照有關(guān)合同管理的規(guī)定,詳細(xì)審查對(duì)方的主體資格�����、經(jīng)營(yíng)范圍�����、資信及履約能力等情況,由企業(yè)法定代表人或財(cái)務(wù)經(jīng)理審閱合同文本,并由企業(yè)顧問(wèn)對(duì)合同的合法性�����、嚴(yán)密性進(jìn)行審查,確保合同規(guī)范有效,預(yù)防出現(xiàn)交易糾紛或者遭受商業(yè)欺詐�����。
(2)定期核對(duì)
財(cái)務(wù)部門(mén)定期與銷(xiāo)售部門(mén)核對(duì)回款記錄,重點(diǎn)監(jiān)控出現(xiàn)到期而沒(méi)有對(duì)方簽字的應(yīng)收賬款,并及時(shí)采取措施處理,避免出現(xiàn)不受法律保護(hù)的債權(quán)糾紛�����。
3、降低損失
當(dāng)企業(yè)有好的投資機(jī)會(huì),此時(shí)卻由于很多應(yīng)收賬款未能及時(shí)收回,沒(méi)有足夠的資金時(shí),可以利用應(yīng)收賬款進(jìn)行融資,主要有以下四條途徑:
(1)應(yīng)收賬款證券化
在我國(guó),一些外貿(mào)出口企業(yè)可實(shí)施出口應(yīng)收賬款跨國(guó)證券化,它是指將出口銷(xiāo)售形成的應(yīng)收賬款經(jīng)過(guò)組合包裝出售給國(guó)外的特殊目的載體,由其經(jīng)過(guò)信用增級(jí),從而在國(guó)際資本市場(chǎng)上發(fā)行資產(chǎn)支持債券,提前收回應(yīng)收賬款的一種融資方式�����。
(2)應(yīng)收賬款的抵借
應(yīng)收賬款的抵借是將企業(yè)的應(yīng)收賬款作為抵押品向銀行獲得借款的一種融資方式,分為整體抵借和特定抵借�����。尤其使用于中小型企業(yè),因?yàn)橹行⌒推髽I(yè)的信用地位與社會(huì)地位使其不但難以進(jìn)入直接融資市場(chǎng),間接融資也是困難重重,客觀上制約了中小企業(yè)優(yōu)勢(shì)的發(fā)揮�����。應(yīng)收賬款的抵借能夠滿(mǎn)足中小企業(yè)的資金需求,加速應(yīng)收賬款的周轉(zhuǎn)率�����。
(3) 委托專(zhuān)業(yè)機(jī)構(gòu)追討或采取仲裁�����、法律訴訟的形式
對(duì)于有能力付款卻惡意拖欠的客戶(hù),可以委托專(zhuān)業(yè)機(jī)構(gòu)追討應(yīng)收賬款,由其行使債權(quán)人的追討工作,如果還不行,就只好通過(guò)仲裁或法律訴訟來(lái)捍衛(wèi)自身的正當(dāng)權(quán)益了�����。
(4)在合同中約定所有權(quán)保留條款
根據(jù)我國(guó)《合同法》第134條規(guī)定:“當(dāng)事人可以在買(mǎi)賣(mài)合同中規(guī)定買(mǎi)受人未履行支付價(jià)款或其他義務(wù)的,標(biāo)的物所有權(quán)屬出賣(mài)人�����?����!?這樣,只有客戶(hù)在付清全部貨款時(shí),才能取得貨物的所有權(quán),即使客戶(hù)破產(chǎn)了,由于該貨物的所有權(quán)仍然屬于企業(yè),不會(huì)作為破產(chǎn)財(cái)產(chǎn),從而很大程度上保障了應(yīng)收賬款的安全�����。
4�����、轉(zhuǎn)移風(fēng)險(xiǎn)
當(dāng)企業(yè)不愿意為某些應(yīng)收賬款承擔(dān)風(fēng)險(xiǎn)時(shí),就要考慮如何將風(fēng)險(xiǎn)轉(zhuǎn)移掉,有些相關(guān)機(jī)構(gòu)以其信息資源的優(yōu)勢(shì),可以參與到企業(yè)應(yīng)收賬款的處置中來(lái),通過(guò)主動(dòng)承擔(dān)風(fēng)險(xiǎn),參與企業(yè)所創(chuàng)價(jià)值的分配,主要有以下幾種方式:
(1)應(yīng)收賬款的無(wú)追索權(quán)讓售
就是把應(yīng)收賬款作為商品賣(mài)給金融機(jī)構(gòu),從而將風(fēng)險(xiǎn)轉(zhuǎn)移掉�����。在我國(guó),一些商業(yè)銀行大都只接受有追索權(quán)的應(yīng)收賬款融資業(yè)務(wù),但相信在不久的將來(lái),我國(guó)將會(huì)出現(xiàn)一批專(zhuān)門(mén)從事應(yīng)收賬款經(jīng)營(yíng)的公司,商業(yè)銀行的業(yè)務(wù)也將不僅僅局限于有追索權(quán)的應(yīng)收賬款融資業(yè)務(wù)�����。
(2)為特定的應(yīng)收賬款上保險(xiǎn)
雖然我國(guó)的保險(xiǎn)業(yè)目前尚未開(kāi)展這項(xiàng)業(yè)務(wù),但有風(fēng)險(xiǎn)的地方就會(huì)有保險(xiǎn),保險(xiǎn)業(yè)為應(yīng)收賬款提供保險(xiǎn)是遲早的事�����。
(3)取得第三方擔(dān)保
當(dāng)某客戶(hù)被評(píng)價(jià)為高風(fēng)險(xiǎn)等級(jí)時(shí),企業(yè)一般只與其進(jìn)行現(xiàn)金的交易,但是如果有第三方愿意為其提供擔(dān)保,承擔(dān)連帶責(zé)任的話,我們也應(yīng)該考慮對(duì)其采用賒銷(xiāo),一旦發(fā)生損失,我們可以對(duì)第三方進(jìn)行追討。
5�����、承擔(dān)風(fēng)險(xiǎn)
在風(fēng)險(xiǎn)評(píng)估時(shí),企業(yè)為每個(gè)客戶(hù)評(píng)定了風(fēng)險(xiǎn)等級(jí),并設(shè)定了信用額度,這便是企業(yè)愿意對(duì)某一客戶(hù)承擔(dān)的最大的賒銷(xiāo)風(fēng)險(xiǎn)額�����。在日常業(yè)務(wù)中,企業(yè)可以連續(xù)地接受某一客戶(hù)的訂單,只要對(duì)該客戶(hù)的賒銷(xiāo)額不超過(guò)其信用額度,就可以對(duì)其辦理賒銷(xiāo)業(yè)務(wù);一旦超過(guò)信用額度,除非經(jīng)企業(yè)有關(guān)部門(mén)批準(zhǔn),否則不能再對(duì)該客戶(hù)提供賒銷(xiāo)�����。它雖然不一定能夠提高客戶(hù)付款的及時(shí)性,但它可以限制客戶(hù)不付款引起的損失�����。企業(yè)應(yīng)定期對(duì)客戶(hù)的信用額度重新加以核定,使信用額度保持在企業(yè)所能承擔(dān)的風(fēng)險(xiǎn)范圍之內(nèi)�����。
第7篇
【 關(guān)鍵詞 】 風(fēng)險(xiǎn)評(píng)估�����;風(fēng)險(xiǎn)分析�����;項(xiàng)目管理
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083�����;
2. Solid Waste Management Center�����,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務(wù)信息系統(tǒng)關(guān)系到國(guó)計(jì)民生�����,因此保障電子政務(wù)系統(tǒng)的信息安全是我國(guó)經(jīng)濟(jì)與社會(huì)信息化的先決條件之一�����,是國(guó)家信息化建設(shè)的重要內(nèi)容�����。如何保證政務(wù)信息系統(tǒng)的安全性,風(fēng)險(xiǎn)評(píng)估是一項(xiàng)很基礎(chǔ)的工作�����。通過(guò)對(duì)政務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,可以了解信息與網(wǎng)絡(luò)系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在�����,充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅與影響的程度�����,依據(jù)系統(tǒng)的風(fēng)險(xiǎn)和威脅�����,進(jìn)行針對(duì)性的防范�����,做到“對(duì)癥下藥”�����,可以有效解決政務(wù)信息系統(tǒng)的安全問(wèn)題�����。
1 政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估概述
1.1 風(fēng)險(xiǎn)評(píng)估的概念
政務(wù)系統(tǒng)的信息安全關(guān)心的是保護(hù)政務(wù)信息資產(chǎn)免受威脅�����。風(fēng)險(xiǎn)評(píng)估是有效保證信息安全的前提條件�����,也是建立在網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)�����、實(shí)施風(fēng)險(xiǎn)管理程序所開(kāi)展的一項(xiàng)基礎(chǔ)性工作�����。其工作原理是對(duì)系統(tǒng)所采用的安全策略和管理制度進(jìn)行評(píng)審�����,發(fā)現(xiàn)不合理的地方,采用模擬化攻擊的方式對(duì)系統(tǒng)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查�����,確定存在的安全問(wèn)題與風(fēng)險(xiǎn)級(jí)別�����。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告�����,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)�����。
風(fēng)險(xiǎn)評(píng)估的目的是全面�����、準(zhǔn)確地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀�����,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害�����,為后期進(jìn)一步安全防護(hù)技術(shù)的實(shí)施提供了嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)�����,為決策者制定網(wǎng)絡(luò)安全策略�����、構(gòu)架安全體系以及確定有效的安全措施�����、選擇可靠的安全產(chǎn)品�����、建立全面的安全防護(hù)層次提供了一套完整�����、規(guī)范的指導(dǎo)模型�����。
1.2 風(fēng)險(xiǎn)評(píng)估的范圍
政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的內(nèi)容與范圍需要涵蓋整個(gè)系統(tǒng),包括系統(tǒng)安全管理的狀況�����、網(wǎng)絡(luò)及安全防護(hù)技術(shù)架構(gòu)�����、通信鏈路�����、系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)加密情況�����、系統(tǒng)訪問(wèn)控制狀況等�����。在政務(wù)信息系統(tǒng)的安全防護(hù)工作中�����,“人”是關(guān)鍵要素�����,無(wú)論系統(tǒng)所采用的安全技術(shù)�����、安全策略和安全手段多么現(xiàn)代化與智能化�����,都需要“人”去操作�����、運(yùn)行和管理�����。如果信息系統(tǒng)的安全管理水平落后�����,人員素質(zhì)不高�����,那么政務(wù)信息系統(tǒng)的安全性就會(huì)減弱,安全漏洞就會(huì)增加�����。
1.3 風(fēng)險(xiǎn)評(píng)估的原則和依據(jù)
1.3.1指導(dǎo)原則
由于政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估涉及的內(nèi)容較多�����,因此在進(jìn)行評(píng)估時(shí)就需要本著多角度�����、多層面的原則�����,從軟件到硬件�����,從理論到實(shí)際�����,從技術(shù)到管理�����,從設(shè)備到人員,來(lái)具體制定詳細(xì)的評(píng)估計(jì)劃和分析步驟�����,避免遺漏�����。在評(píng)估時(shí)一般需遵循的如下幾個(gè)原則:標(biāo)準(zhǔn)性�����、可靠性�����、可控性�����、保密性�����、技術(shù)先進(jìn)和成熟性�����、全面性�����、高效性�����、持續(xù)性�����。
1.3.2相關(guān)法規(guī)和政策
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令147號(hào))�����;
《商用密碼管理?xiàng)l例》(國(guó)務(wù)院令 273號(hào))�����;
《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》;
《計(jì)算機(jī)機(jī)房場(chǎng)地安全要求》(GB9361-88)�����;
《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》( GB/T 20984—2007)�����。
2 政務(wù)信息風(fēng)險(xiǎn)評(píng)估工作流程
2.1 系統(tǒng)調(diào)查
開(kāi)展政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的第一步就是進(jìn)行系統(tǒng)調(diào)查�����。通過(guò)調(diào)查政務(wù)信息系統(tǒng)上運(yùn)行的所有應(yīng)用�����,了解系統(tǒng)主要業(yè)務(wù)的流程�����,清楚的掌握支持業(yè)務(wù)運(yùn)行的硬件基礎(chǔ)設(shè)施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀�����,收集風(fēng)險(xiǎn)評(píng)估所需的系統(tǒng)全部信息�����。在進(jìn)行系統(tǒng)調(diào)查的同時(shí)�����,還需對(duì)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的評(píng)估范圍進(jìn)行分析�����、界定�����。對(duì)系統(tǒng)邊界進(jìn)行明確定義�����,有助于防止不必要的工作�����,并對(duì)改進(jìn)風(fēng)險(xiǎn)評(píng)估的質(zhì)量都是很重要的�����。
第8篇
關(guān)鍵詞 風(fēng)險(xiǎn)評(píng)估;故障樹(shù)�����;最小割集算法�����;風(fēng)險(xiǎn)緩解
中圖分類(lèi)號(hào) TB486 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2013)011-0128-03
上海區(qū)管自動(dòng)化系統(tǒng)是支持空中交通管制的專(zhuān)用電子系統(tǒng)�����。通過(guò)該系統(tǒng)�����,空中交通管制員能夠?qū)θA東高空空域內(nèi)的航空器進(jìn)行有序的航行活動(dòng)管理�����。隨著航班量和系統(tǒng)運(yùn)行年限的增長(zhǎng)�����,自動(dòng)化系統(tǒng)的故障率不斷上升�����,如果不及時(shí)處理�����,將直接危險(xiǎn)飛行安全�����。針對(duì)該問(wèn)題�����,設(shè)備維護(hù)人員定期對(duì)自動(dòng)化系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,及時(shí)識(shí)別風(fēng)險(xiǎn)源�����,并確定應(yīng)對(duì)策略�����。
許多風(fēng)險(xiǎn)評(píng)估方法采用專(zhuān)家分析法的方式,該類(lèi)方法是基于經(jīng)驗(yàn)的�����,缺乏可靠的依據(jù)�����。而本文采用的故障樹(shù)分析法可以對(duì)系統(tǒng)故障進(jìn)行建模�����,然后通過(guò)歷史數(shù)據(jù)進(jìn)行分析�����,計(jì)算風(fēng)險(xiǎn)發(fā)生概率�����,并找出系統(tǒng)的故障模式�����,這樣得出的結(jié)果更接近實(shí)際運(yùn)行情況�����。
1 故障樹(shù)分析法簡(jiǎn)述
1.1 概述
故障樹(shù)分析法(FauIt Tree Analysis�����,F(xiàn)TA)是一種演繹分析法�����,該方法采用樹(shù)狀結(jié)構(gòu)�����,以系統(tǒng)不希望發(fā)生的頂事件作為目標(biāo)�����,從頂事件逐級(jí)向下分析�����,直至所要求的分析深度�����,最深層原因事件被稱(chēng)為底事件。該方法主要可分為定性分析法和定量分析法�����。
1.2 定性分析
故障樹(shù)的定性分析是通過(guò)求故障樹(shù)的最小割集�����,得到頂事件的全部故障模式�����,以發(fā)現(xiàn)目標(biāo)系統(tǒng)的最薄弱環(huán)節(jié)或關(guān)鍵部位�����,集中力量對(duì)最小割集所發(fā)現(xiàn)的關(guān)鍵部位進(jìn)行強(qiáng)化�����,找出控制事故的可行方案�����。在故障樹(shù)分析法中,割集是指故障樹(shù)中一些底事件的集合�����,而最小割集是指在某個(gè)割集中任意去掉一個(gè)底事件�����,余下的底事件集合無(wú)法構(gòu)成割集�����,那么這類(lèi)割集被稱(chēng)為最小割集�����。常用的方法是Fussel-Vesely算法(下行法)�����。
1.3 定量分析
故障樹(shù)的定量分析就是在給定各底事件發(fā)生概率的基礎(chǔ)上�����,計(jì)算頂事件和中間事件的發(fā)生概率�����、底事件重要度等參數(shù)�����。在具體計(jì)算時(shí)時(shí)�����,可分析的變量有很多�����,這里�����,我們只給出本文應(yīng)用的內(nèi)容�����,即如何通過(guò)最小割集算法�����,計(jì)算頂事件的發(fā)生概率,基本步驟如下:
2 上海區(qū)管自動(dòng)化系統(tǒng)簡(jiǎn)介
上海區(qū)域管制中心的自動(dòng)化系統(tǒng)為雙冗余結(jié)構(gòu)�����,系統(tǒng)具備多雷達(dá)處理�����、飛行計(jì)劃處理�����、告警處理�����、旁路雷達(dá)處理�����、記錄�����、回放等功能�����,目前已為上海區(qū)管/終端扇區(qū)�����、虹橋/浦東塔臺(tái)以及合肥地區(qū)的業(yè)務(wù)運(yùn)行提供保障�����。
3 基于故障樹(shù)分析法的上海區(qū)管自動(dòng)化系統(tǒng)風(fēng)險(xiǎn)評(píng)估應(yīng)用
整個(gè)評(píng)估流程的詳細(xì)步驟如下:1)故障樹(shù)建模:繪制故障樹(shù)�����,并在故障樹(shù)中確定底事件概率�����;2)定性分析:通過(guò)故障樹(shù)的最小割集�����,得到頂事件的全部故障模式�����,并定性分析底事件;3)定量分析:先確定底事件發(fā)生概率�����,通過(guò)最小割集算法推導(dǎo)最小割集發(fā)生概率�����,最后計(jì)算頂事件發(fā)生概率�����;4)風(fēng)險(xiǎn)評(píng)價(jià)和緩解:確定風(fēng)險(xiǎn)等級(jí)�����,制定風(fēng)險(xiǎn)減緩措施�����。
3.1 故障樹(shù)建模
上海區(qū)管自動(dòng)化系統(tǒng)故障種類(lèi)有很多�����,本文選取最典型故障作為頂事件構(gòu)建故障樹(shù)(圖1)�����,所有“底事件”(表1)�����,以此為頂事件展開(kāi)后的節(jié)點(diǎn)能夠覆蓋常用設(shè)備(元件)故障類(lèi)型�����。
進(jìn)一步�����,為了計(jì)算�����,需要確定故障率數(shù)據(jù)�����。從理論上講�����,故障發(fā)生概率應(yīng)為任一瞬間發(fā)生的可能性,是一無(wú)量綱值�����。但從工程實(shí)踐出發(fā)�����,我們采用計(jì)算頻率的辦法來(lái)代替概率的計(jì)算�����,即計(jì)算平均無(wú)故障時(shí)間(MTBF)的倒數(shù)�����。
由于歷史數(shù)據(jù)統(tǒng)計(jì)的是總故障次數(shù)�����,因此計(jì)算的底事件概率是對(duì)樣本數(shù)求均值后的結(jié)果�����。另外對(duì)于x5事件�����,由于無(wú)法計(jì)算數(shù)據(jù)�����,因此我們給定一個(gè)經(jīng)驗(yàn)值為0.05�����。
3.2 定性分析
故障樹(shù)的定性分析就是要研究系統(tǒng)故障模式(最小割集)�����。通過(guò)首先Fussel-Vesely算法我們可以求得故障樹(shù)的全部最小割集:{x1�����,x5}�����,{x1�����,x6},{x1�����,x7}�����,{x1�����,x8}�����,{x1�����,x9}�����,{x2�����,x5}�����,{x2�����,x6}�����,{x2�����,x7}�����,{x2�����,x8},{x2�����,x9}�����,{x3�����,x5}�����,{x3�����,x6}�����,{x3�����,x7}�����,{x3�����,x8}�����,{x3�����,x9}�����,{x4�����,x5},{x4�����,x6}�����,{x4�����,x7}�����,{x4�����,x8}�����,{x4,x9}�����,{x10}�����,{x11}�����。這22個(gè)最小割集代表了22種故障模式�����。其中�����,“x10”和“x11”是一階最小割集事件�����,屬于結(jié)構(gòu)重要性最高的�����。該類(lèi)事件一旦產(chǎn)生�����,將直接引起頂事件的發(fā)生�����,而其他底事件都處于二階最小割集中�����。
3.3 定量分析
定量分析主要是根據(jù)最小割集算法計(jì)算頂事件(包括中間事件)的發(fā)生概率�����。3.2節(jié)已經(jīng)求出了全部最小割集�����,接下來(lái)由公式(1)就可求得每個(gè)最小割集的概率P(yi)�����,其中,yi={x1�����,x2�����,…�����,xm}為第i個(gè)最小割集yi�����,Pi為底事件xi的發(fā)生概率�����,計(jì)算出最小割集概率值:y1~y22�����。
另一個(gè)影響單席位正常使用的重要故障是顯示設(shè)備無(wú)法提供使用�����。包括BARCO�����,EIZO顯示器�����,故障率僅次于單席位主系統(tǒng)軟/硬件故障�����。
3.4 風(fēng)險(xiǎn)評(píng)價(jià)和緩解
風(fēng)險(xiǎn)評(píng)估的主要目的不是根據(jù)故障樹(shù)分析法確定風(fēng)險(xiǎn)故障概率值的大小�����,而是通過(guò)計(jì)算概率值確定風(fēng)險(xiǎn)等級(jí)�����。本文根據(jù)計(jì)算的整體概率范圍制定了一個(gè)風(fēng)險(xiǎn)等級(jí)劃分表�����,如表4。
從表4可知�����,該風(fēng)險(xiǎn)處于第4等級(jí)�����,屬于風(fēng)險(xiǎn)程度比較高的�����,因此必須對(duì)其采取風(fēng)險(xiǎn)緩解措施�����,根據(jù)前面故障樹(shù)分析法的分析�����,可從底事件著手�����,采取相對(duì)的緩解措施:如對(duì)于DS-10硬件故障除了及時(shí)維修外�����,也可以先期更換電源和風(fēng)扇來(lái)預(yù)防故障發(fā)生�����,對(duì)軟件故障可采用安裝補(bǔ)丁等方法來(lái)降低故障率�����。
4 結(jié)束語(yǔ)
本文以上海區(qū)管自動(dòng)化系統(tǒng)最常見(jiàn)的單席位故障為案例�����,構(gòu)建相應(yīng)的故障樹(shù)�����,通過(guò)對(duì)實(shí)際的統(tǒng)計(jì)數(shù)據(jù)的整理�����,對(duì)故障樹(shù)進(jìn)行定性和定量的分析�����,最后量化地計(jì)算出相應(yīng)的風(fēng)險(xiǎn)值,并提出相應(yīng)的風(fēng)險(xiǎn)緩解措施�����。
今后�����,對(duì)該評(píng)估法的進(jìn)一步研究可以考慮這樣幾個(gè)方面:1)擴(kuò)大樹(shù)的廣度和深度�����,將其應(yīng)用于更多的故障類(lèi)型�����;2)可與過(guò)去使用的專(zhuān)家分析評(píng)估法及其他的主流評(píng)估方法進(jìn)行對(duì)比�����,評(píng)價(jià)方法的性能�����。
參考文獻(xiàn)
[1]陳文峰等.歐洲貓-X系統(tǒng)管制操作手冊(cè)[Z].上海:民航華東空管局�����,2004.
