導(dǎo)語：如何才能寫好一篇安全風(fēng)險評估措施，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞 軍工信息；安全風(fēng)險評估；控制措施

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2013）22-0130-01

信息的保密性、完整性以及可用性等重要屬性的保持是信息安全的重要內(nèi)容。20世紀(jì)末，信息保障概念被引入信息安全的觀念中，信息安全的觀念進(jìn)入全面保障階段。當(dāng)前的信息安全保障已經(jīng)不再是單純的保障硬件安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全等局部的安全，而是要保障全局的安全性。這要求我們以科學(xué)的思想為指導(dǎo)，從全局出發(fā)對系統(tǒng)的安全進(jìn)行把握，實(shí)現(xiàn)信息的“運(yùn)行安全”。

1 軍事信息安全風(fēng)險評估的方法

通常情況下，我們可以將信息系統(tǒng)的安全風(fēng)險評估分為兩大類，即定性方法與定量方法。定性方法是指評估者根據(jù)自身的知識和經(jīng)驗(yàn)進(jìn)行演繹推理，對信息系統(tǒng)的風(fēng)險性做出評估，定性方法計(jì)算簡單，并且有可能幫助相關(guān)工作人員挖掘深層次的思想。這種方法雖然簡單，但是計(jì)算方式過于粗糙，可能會造成獲得的結(jié)果不夠準(zhǔn)確。而定量方法則是對構(gòu)成風(fēng)險的要素與潛在損失進(jìn)行賦值，利用公式對數(shù)據(jù)進(jìn)行推導(dǎo)和計(jì)算，評估的結(jié)果通常是數(shù)據(jù)的形式進(jìn)行表達(dá)。這種方法雖然更加客觀、直觀，但在定風(fēng)量的過程中可能會造成一些數(shù)據(jù)的喪失或曲解?？傊瑑煞N方法各有利弊，我們在實(shí)踐中應(yīng)當(dāng)將兩者有機(jī)結(jié)合進(jìn)行評估。

最典型的綜合分析方法是“Analytic Hierarchy Process”簡稱“AHP”，我們稱其為層次分析法，它最早是二十世紀(jì)七十年代由美國專家提出的，其核心是將決策者的經(jīng)驗(yàn)等因素進(jìn)行量化處理，使定性分析和定量計(jì)算達(dá)到有機(jī)結(jié)合。這種方法能夠?yàn)闆Q策分析問題解決提供必要的依據(jù)，能夠?yàn)樵u估底層元素在總目標(biāo)中貢獻(xiàn)提供可靠依據(jù)，對一些無法完全定量分析的問題尤為適用。

但是在許多情況下，系統(tǒng)各個層次的內(nèi)部元素之間存在著依存關(guān)系，底層元素能夠?qū)Ω邔釉禺a(chǎn)生支配的作用，我們稱之為反饋。這種情況下，系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)結(jié)構(gòu)，AHP對于這種情況顯得有些無力解決。在這種情況下，我們可以采用“Analytic Network Process”（簡稱ANP，網(wǎng)絡(luò)分析法）進(jìn)行信息安全風(fēng)險評估。這種方法能夠克服AHP存在的不足，利用評估過程中各個指標(biāo)因素的依存關(guān)系和各個層次間的反饋，使之成為更加完備和科學(xué)的方法。信息系統(tǒng)存在的危險與系統(tǒng)本身的脆弱性之間也存在著網(wǎng)絡(luò)狀的關(guān)系，如圖1、圖2，因此在對信息系統(tǒng)安全進(jìn)行安全評估的過程中，網(wǎng)絡(luò)分析法是一種非常實(shí)用的方法。

圖1 控制層

圖2 網(wǎng)絡(luò)層

2 軍工信息系統(tǒng)安全風(fēng)險的控制措施

進(jìn)行軍工信息系統(tǒng)安全風(fēng)險評估的主要目的是為了以評估結(jié)果為依據(jù)制定合適的軍工信息風(fēng)險控制方案，保證軍工信息的安全性，將系統(tǒng)安全問題出現(xiàn)的可能性降低，保障軍工信息的安全可靠性。在進(jìn)行信息安全措施選擇的時候，要進(jìn)行系統(tǒng)分析，做到充分保護(hù)信息，使其免受威脅。我們經(jīng)常用到的風(fēng)險控制措施包括回避法（即遠(yuǎn)離風(fēng)險事件從而避免損害發(fā)生）、預(yù)防法（即采取預(yù)防措施降低事故產(chǎn)生的概率）、自留（進(jìn)行綜合的平衡，確定應(yīng)當(dāng)承擔(dān)的風(fēng)險）、轉(zhuǎn)移（即采取方法將風(fēng)險轉(zhuǎn)移至其他的主體）以及威懾（采取報(bào)復(fù)、追究責(zé)任等方式減少、消除威脅，進(jìn)而降低安全風(fēng)險）等。在軍工信息安全的控制上，要避免盲目性與片面性，這就要求我們有一個清晰的層次和準(zhǔn)確的定位，選擇適度的控制措施，防止設(shè)計(jì)上的漏洞，從而達(dá)到確保軍工信息整體安全的目的。同時，我們還需要注意安全設(shè)施所提供的保護(hù)、所起作用的方式以及實(shí)施成本和造成影響的不同，進(jìn)行適當(dāng)選擇。選擇中，我們要注意以下幾點(diǎn)。

1）提供的功能。在通常情況下，安全措施兼具一種或者幾種功能，能夠具備的功能越多就說明這種安全措施越具有優(yōu)越性。在進(jìn)行選擇的時候，應(yīng)該選擇具備功能較多的措施，同時實(shí)現(xiàn)各類型的功能間的平衡。這樣可以使措施得到更好地發(fā)揮，保障軍工信息的整體安全。

2）措施成本。不論是采用哪種措施，我們都需要進(jìn)行成本的考量。應(yīng)當(dāng)對措施的效果與所需成本間的比例進(jìn)行衡量，要選擇性價比較高的措施。

3）產(chǎn)生的影響。安全控制措施的采用會對系統(tǒng)產(chǎn)生不同層次的影響，如果措施操作性變差，就可能導(dǎo)致整體功能的受損甚至喪失。因此，在進(jìn)行措施選擇的過程中應(yīng)當(dāng)考慮到措施的安全性以及它會產(chǎn)生的影響。

3 結(jié)論

軍工信息的安全關(guān)系到國家的安全，在當(dāng)前國際形式下，地區(qū)沖突不斷，一個國家社會環(huán)境的長治久安需要強(qiáng)大國防力量的支持。國防力量是一個國家綜合實(shí)力的集中體現(xiàn)，而軍事信息又直接影響到國家的國防建設(shè)。因此，為了保證我國國防建設(shè)的順利進(jìn)行，保證經(jīng)濟(jì)發(fā)展有一個安全的社會環(huán)境，在國防建設(shè)中軍工信息的安全風(fēng)險評估與控制是非常重要的。這要求我們在軍隊(duì)建設(shè)中做好信息安全風(fēng)險評估工作，采取必要的控制措施，保證軍工信息安全，進(jìn)而保證國家安全。

參考文獻(xiàn)

[1]吳亞非，李新友，祿凱.信息安全風(fēng)險評估[M].北京：清華大學(xué)出版社，2007.

[2]程建華.信息安全風(fēng)險管理、評估與控制研究[D].長春：吉林大學(xué)，2008.

[3]魏國斌.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].信息安全與技術(shù)，2013（8）.

[4]鄒翔.加快信息安全法制保障體系建設(shè)與意識教育[J].信息安全與通信保密，2013（05）.

篇2

1.1靜態(tài)風(fēng)險評估

靜態(tài)風(fēng)險評估是根據(jù)傳統(tǒng)風(fēng)險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風(fēng)險進(jìn)行科學(xué)的評估，評估的整個過程并不連續(xù)，評估的對象主要選擇相對靜止的系統(tǒng)。

1.2動態(tài)風(fēng)險評估

動態(tài)風(fēng)險評估是對網(wǎng)絡(luò)進(jìn)行安全風(fēng)險的評估，并研究系統(tǒng)變化的過程和趨勢，將安全風(fēng)險與具體的環(huán)境相互聯(lián)系，從宏觀的角度了解整個系統(tǒng)存在的安全風(fēng)險，把握風(fēng)險的動態(tài)變化，風(fēng)險評估的過程是動態(tài)變化的過程。對于電信網(wǎng)絡(luò)而言，客觀準(zhǔn)確的進(jìn)行安全風(fēng)險的評估是整個電信安全管理的重要前提。風(fēng)險評估是風(fēng)險管理的初級階段，目前，我國的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評估的方式，最終對安全風(fēng)險的評估只是針對特定的時間點(diǎn)。但是，靜態(tài)風(fēng)險評估不能有效的體現(xiàn)評估風(fēng)險各種變化的趨勢，評估結(jié)果相對比較滯后。動態(tài)風(fēng)險評估加強(qiáng)了靜態(tài)風(fēng)險評估的效果，能夠反映較長時間安全風(fēng)險具體的變化情況。在動態(tài)風(fēng)險進(jìn)行評估的過程中，如果系統(tǒng)出現(xiàn)安全問題，可以及時的進(jìn)行處理，展現(xiàn)了整個風(fēng)險評估的變化過程，保證了網(wǎng)絡(luò)的安全。對電信網(wǎng)絡(luò)實(shí)施動態(tài)風(fēng)險評估，具有非常復(fù)雜的過程，評估的結(jié)果具有參考價值。

2電信網(wǎng)絡(luò)安全風(fēng)險評估具體的實(shí)施過程

對電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險評估的工作，其對象可以針對電信網(wǎng)絡(luò)的某一部門也可以是整個電信網(wǎng)絡(luò)。風(fēng)險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險的評估主要按照以下幾個步驟。

2.1風(fēng)險評估前的準(zhǔn)備工作

在進(jìn)行安全風(fēng)險評估之前，首先需要獲得各個方面對安全風(fēng)險評估的支持，相互配合，確定需要評估的具體內(nèi)容，組織負(fù)責(zé)進(jìn)行安全風(fēng)險評估的專業(yè)團(tuán)隊(duì)，做好市場的調(diào)查工作，制定評估使用的方法，只有做好一系列的準(zhǔn)備工作才能為接下來的安全風(fēng)險評估奠定基礎(chǔ)。

2.2對資產(chǎn)的識別工作

在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價值的資源，電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險評估的主要對象。資產(chǎn)存在多種形式，有無形資產(chǎn)和有形資產(chǎn)，還可以分為硬件和軟件。例如，一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況。對資產(chǎn)進(jìn)行安全風(fēng)險的評估可以綜合分析資產(chǎn)的價值以及安全狀況，還可以考慮資產(chǎn)具有的社會影響力。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素，這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計(jì)存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對威脅的動機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅，威脅識別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。

2.4脆弱性識別工作

網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點(diǎn)，包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點(diǎn)才有可能出現(xiàn)各種威脅的因素，如果沒有威脅的產(chǎn)生，網(wǎng)絡(luò)具有的脆弱性并不會損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性，使系統(tǒng)的資產(chǎn)更加安全，從而有效的較少損失。對電信網(wǎng)絡(luò)進(jìn)行脆弱性識別工作可以從技術(shù)和管理上展開，主要以資產(chǎn)的安全作為核心內(nèi)容，針對資產(chǎn)的不同特征，進(jìn)行脆弱性的識別工作。

2.5確認(rèn)具體的安全措施

對電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險評估需要做好安全措施的確認(rèn)工作，保持有明顯效果的安全措施，對失去效果的安全措施予以改正，避免內(nèi)部資產(chǎn)的浪費(fèi)，杜絕重復(fù)使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消，并制定更合理的安全措施。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性兩種。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性，保護(hù)性措施是為了減少資產(chǎn)的損失。

2.6風(fēng)險分析工作

風(fēng)險分析工作主要對電信網(wǎng)絡(luò)的資產(chǎn)識別、脆弱性識別、威脅識別以及存在風(fēng)險對資產(chǎn)造成的損失進(jìn)行綜合性的分析，最終得出準(zhǔn)確的風(fēng)險值，結(jié)合制定的安全措施。分析資產(chǎn)承受風(fēng)險的最大范圍。如果出現(xiàn)的安全風(fēng)險在資產(chǎn)承受的范圍之內(nèi)，需要繼續(xù)采取安全保護(hù)措施，如果安全風(fēng)險超出了資產(chǎn)承受的范圍，這就需要對風(fēng)險進(jìn)行控制，制定更可靠的安全措施。

2.7整理風(fēng)險評估記錄

對電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險評估工作的整個過程，需要進(jìn)行風(fēng)險評估的準(zhǔn)確記錄，包括評估的過程以及評估的最終結(jié)果，制定系統(tǒng)的安全風(fēng)險評估報(bào)告。為安全風(fēng)險評估的工作提供可靠的科學(xué)依據(jù)。

3結(jié)束語

篇3

【關(guān)鍵詞】公路施工，安全風(fēng)險，評估，標(biāo)準(zhǔn)化

中圖分類號： U41 文獻(xiàn)標(biāo)識碼： A 文章編號：

為了能夠保證公路工程施工過程中不出現(xiàn)任何安全責(zé)任事故，需要認(rèn)真落實(shí)“安全第一、預(yù)防為主”的方針，必須要對安全生產(chǎn)工作進(jìn)行深化，積極推進(jìn)公路工程施工安全標(biāo)準(zhǔn)化建設(shè)，并加強(qiáng)對安全風(fēng)險評估技術(shù)的實(shí)踐，盡可能的提前發(fā)現(xiàn)各種安全隱患。必須要立足預(yù)防，從源頭出發(fā)，做到標(biāo)本兼治，構(gòu)建起安全生產(chǎn)的長效機(jī)制，從制度出發(fā)為安全生產(chǎn)工作的落實(shí)提供保障。

一、公路工程施工安全標(biāo)準(zhǔn)化措施

（一）建立起一套完善的安全生產(chǎn)制度

要實(shí)現(xiàn)公路施工安全標(biāo)準(zhǔn)化，就必須要制定出一套完善的安全生產(chǎn)責(zé)任制度，必須要明確項(xiàng)目部、財(cái)務(wù)部、設(shè)備部材料部、辦公室以及施工隊(duì)等各個部門各自所需要承擔(dān)的安全生產(chǎn)職責(zé)。在此基礎(chǔ)上細(xì)化每一個崗位的安全生產(chǎn)責(zé)任，讓每一個人都能夠清楚的明白自己所在崗位需要承擔(dān)的安全生產(chǎn)責(zé)任。與此同時還必須要出善的安全生產(chǎn)管理制度，制定出合理的安全生產(chǎn)目標(biāo)考核制度，并且安全檢查、培訓(xùn)、防護(hù)管理等都需要有相應(yīng)的制度來作為支撐。在此基礎(chǔ)上必須要形成完善的安全生事故應(yīng)急救援方案，防止在出現(xiàn)安全生產(chǎn)事故時不能夠進(jìn)行快速有效處理的現(xiàn)象。

（二）建立安全生產(chǎn)標(biāo)準(zhǔn)化考評機(jī)制，制定獎罰措施，定期考核

必須要建立起完善的安全生產(chǎn)標(biāo)準(zhǔn)化考評機(jī)制，并制定出合理的獎懲措施，加強(qiáng)標(biāo)準(zhǔn)化考核。確定評審單位與評審人員。評審組織單位與評審單位必須要嚴(yán)格的根據(jù)想要求規(guī)定開展工作，同時各級的安全部門要對經(jīng)驗(yàn)進(jìn)行積極的總結(jié)，對安全生產(chǎn)標(biāo)準(zhǔn)化考評工作程序進(jìn)行完善，并控制好考評流程。對于評審組織單位以及評審單位都必須要進(jìn)行嚴(yán)格管理，讓考評工作能夠得到規(guī)范，把好質(zhì)量關(guān)，如果出現(xiàn)了違反規(guī)定、弄虛作假的情況，必須要嚴(yán)肅處理，如果情節(jié)嚴(yán)重，必須要取消評審資格。同時對于那些評審不能夠達(dá)到要求的必須要進(jìn)行一定的懲罰，責(zé)令限期整改。并且在評審合格之后必須要定期的進(jìn)行考核。并且需要采取法律的、經(jīng)濟(jì)的以及行政上的手段構(gòu)建起良好的獎懲機(jī)制。

二、施工安全風(fēng)險評估

對公路施工工程進(jìn)行安全風(fēng)險評估是減少施工事故的重要措施，因此必須要對施工風(fēng)險評估進(jìn)行重視。

（一）總體風(fēng)險評估

該風(fēng)險評估針對的是公路工程施工階段所存在的風(fēng)險的大小，可以采用風(fēng)險指標(biāo)體系法進(jìn)行定量評估?？傮w評估需要建立在對各種資料進(jìn)行收集整理的基礎(chǔ)上，需要由建設(shè)單位來進(jìn)行組織，施工單位、勘察設(shè)計(jì)單位、監(jiān)理單位等共同參加成立起評估小組，對總體風(fēng)險等級進(jìn)行評估?？傮w風(fēng)險評估的結(jié)論能夠作為工程相關(guān)安全簡單管理部門對公路施工風(fēng)險總體監(jiān)控的依據(jù)，并且施工單位也可以根據(jù)總體風(fēng)險評估的結(jié)論來制定出對策措施。

（二）專項(xiàng)風(fēng)險評估

該評估的對象是各種施工作業(yè)活動，其主要流程包括了風(fēng)險源辨識、風(fēng)險分析、風(fēng)險估測這三個方面。在風(fēng)險源辨識的過程中需要對參與者進(jìn)行確定，并在此基礎(chǔ)上對工程相關(guān)的基礎(chǔ)性資料進(jìn)行收集。在風(fēng)險源辨識中需要對工程建設(shè)的基本資料進(jìn)行系統(tǒng)分析，并分析工程建設(shè)的目標(biāo)、階段、活動以及周邊環(huán)境中所存在的風(fēng)險。同時還需要根據(jù)公路施工作業(yè)的基本流程，分解工程施工作業(yè)活動。在此基礎(chǔ)上，辨識并篩選風(fēng)險源，并對風(fēng)險進(jìn)行估測。

專項(xiàng)風(fēng)險估測應(yīng)該根據(jù)工程的特點(diǎn)，對工程的建設(shè)條件、施工技術(shù)方案、施工環(huán)境條件等各個階段的開展風(fēng)險評估。事故的后果主要需要考慮的是人員傷亡與直接經(jīng)濟(jì)損失，并且需要根據(jù)實(shí)際需要將環(huán)境影響、延誤工期、社會影響都作為風(fēng)險后果的考慮范圍之內(nèi)。通過專項(xiàng)風(fēng)險評估，能夠從技術(shù)可行性與經(jīng)濟(jì)合理的原則，根據(jù)風(fēng)險等級來對施工技術(shù)方案進(jìn)行完善，并做出風(fēng)險控制措施。所采用的風(fēng)險評估方法有采用定性估測、定性與定量估測結(jié)合的方法。定性與定量主要是應(yīng)用于重大風(fēng)險源風(fēng)險估測，并且往往需要采用專家調(diào)查法。

（三）公路施工安全風(fēng)險控制

公路施工安全風(fēng)險控制需要根據(jù)工程的具體特點(diǎn)、風(fēng)險評估的結(jié)果、成本效益比等多個方面的內(nèi)容對風(fēng)險控制措施進(jìn)行懸著，所選擇的應(yīng)對措施必須要具有良好的可操作性，并根據(jù)針對性與重要性對措施建議進(jìn)行分類。在選擇風(fēng)險控制措施時需要根據(jù)以下順序來進(jìn)行：（1）本質(zhì)安全措施，選擇控制措施時需要從本質(zhì)安全的角度出發(fā)，對風(fēng)險源進(jìn)行消除或者是讓風(fēng)險能夠降低到可接受的程度；（2）安全隔離貨防護(hù)，如果不能夠本質(zhì)安全對風(fēng)險進(jìn)行控制，那么就需要通過隔離或者防護(hù)的手段來讓風(fēng)險降低；（3）進(jìn)行警告或者標(biāo)示，對于通過上述措施之后還留下的風(fēng)險，必須要通過警告、標(biāo)示等輔助措施來降低風(fēng)險；（4）進(jìn)行教育培訓(xùn)，必須要將所確定安全措施在施工前通過各種方式傳遞給安全管理與施工作業(yè)人員，盡可能的減少和避免不安全行為。

三、結(jié)語

公路施工安全標(biāo)準(zhǔn)化建設(shè)與安全風(fēng)險評估對于公路安全施工有著十分重要的作用。為了能夠有效的控制公路施工安全風(fēng)險，必須要積極的開展公路施工安全標(biāo)準(zhǔn)化工作，并進(jìn)行切實(shí)有效的安全風(fēng)險評估。

【參考文獻(xiàn)】

篇4

根據(jù)以往學(xué)者研究及實(shí)踐表明，對計(jì)算機(jī)信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設(shè)。而確保其保障工作的順利展開需以信息安全的風(fēng)險評估作為核心內(nèi)容。因此對風(fēng)險評估的作用主要體現(xiàn)在：首先，信息安全保障需以風(fēng)險評估作為基礎(chǔ)。對計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風(fēng)險，并在此基礎(chǔ)上做出相應(yīng)的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風(fēng)險管理中的風(fēng)險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對ISMS的建立、實(shí)施以及維護(hù)等方面都應(yīng)充分發(fā)揮風(fēng)險評估的作用。最后，風(fēng)險評估的核查作用。驗(yàn)收信息系統(tǒng)設(shè)計(jì)安裝等是否滿足安全標(biāo)準(zhǔn)時，風(fēng)險評估可提供具體的數(shù)據(jù)參考。同時在維護(hù)信息系統(tǒng)貴過程中，通過風(fēng)險評估也可將系統(tǒng)對環(huán)境變化的適應(yīng)能力以及相關(guān)的安全措施進(jìn)行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時，風(fēng)險評估又可對其中的風(fēng)險作出分析并采取相應(yīng)的技術(shù)或管理措施。

二、計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險的評估方法分析

（一）以定性與定量為主的評估方法

計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險評估方法中應(yīng)用較為廣泛的主要為定性評估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進(jìn)行表示如高值、中值以及低值等。但這種方式無法將風(fēng)險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產(chǎn)價值進(jìn)行分析，再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進(jìn)行計(jì)算，當(dāng)完成威脅影響系數(shù)的計(jì)算后，便將三者綜合分析，最終推出計(jì)算風(fēng)險的等級。

（二）以知識和模型為基礎(chǔ)的風(fēng)險評估

以知識為基礎(chǔ)的風(fēng)險評估通常會根據(jù)安全專家的評估經(jīng)驗(yàn)為依據(jù)，優(yōu)勢在于風(fēng)險評估的結(jié)構(gòu)框架、實(shí)施計(jì)劃以及保護(hù)措施可被提供，對較為相似的機(jī)構(gòu)可直接利用以往的保護(hù)措施等便可實(shí)現(xiàn)機(jī)構(gòu)安全風(fēng)險的降低。另外以模型為基礎(chǔ)的評估方式可將計(jì)算機(jī)信息系統(tǒng)自身的風(fēng)險及其與外部環(huán)境交互過程中存在的不利因素等進(jìn)行分析，以此實(shí)現(xiàn)對系統(tǒng)安全風(fēng)險的定性評估。

（三）動態(tài)評估與分析方式

計(jì)算信息系統(tǒng)風(fēng)險管理實(shí)際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風(fēng)險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計(jì)劃、實(shí)施、檢查以及改進(jìn)實(shí)現(xiàn)了對風(fēng)險的動態(tài)管理。

（四）典型風(fēng)險評估與差距分析方法分析

典型風(fēng)險評估主要包括FTA、FMECA、Hazop等方法，對計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)中潛在的故障與薄弱之處，都可提出相應(yīng)的解決措施，以FTA故障樹分析為典型代表，在分析家算計(jì)信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進(jìn)行系統(tǒng)風(fēng)險的確定，存在的差距越大則證明存在的風(fēng)險越大。

三、結(jié)論

篇5

為加強(qiáng)精細(xì)化工企業(yè)（以下簡稱企業(yè)）安全生產(chǎn)管理，進(jìn)一步落實(shí)企業(yè)安全生產(chǎn)主體責(zé)任，強(qiáng)化安全風(fēng)險辨識和管控，提升本質(zhì)安全水平，提高企業(yè)安全生產(chǎn)保障能力，有效防范事故，現(xiàn)就加強(qiáng)精細(xì)化工反應(yīng)安全風(fēng)險評估工作提出如下指導(dǎo)意見：

一、充分認(rèn)識開展精細(xì)化工反應(yīng)安全風(fēng)險評估的意義

精細(xì)化工生產(chǎn)中反應(yīng)失控是發(fā)生事故的重要原因，開展精細(xì)化工反應(yīng)安全風(fēng)險評估、確定風(fēng)險等級并采取有效管控措施，對于保障企業(yè)安全生產(chǎn)意義重大。開展反應(yīng)安全風(fēng)險評估也是企業(yè)獲取安全生產(chǎn)信息，實(shí)施化工過程安全管理的基礎(chǔ)工作，加強(qiáng)企業(yè)安全生產(chǎn)管理的必然要求。當(dāng)前精細(xì)化工生產(chǎn)多以間歇和半間歇操作為主，工藝復(fù)雜多變，自動化控制水平低，現(xiàn)場操作人員多，部分企業(yè)對反應(yīng)安全風(fēng)險認(rèn)識不足，對工藝控制要點(diǎn)不掌握或認(rèn)識不科學(xué)，容易因反應(yīng)失控導(dǎo)致火災(zāi)、爆炸、中毒事故，造成群死群傷。通過開展精細(xì)化工反應(yīng)安全風(fēng)險評估，確定反應(yīng)工藝危險度，以此改進(jìn)安全設(shè)施設(shè)計(jì)，完善L險控制措施，能提升企業(yè)本質(zhì)安全水平，有效防范事故發(fā)生。

二、準(zhǔn)確把握精細(xì)化工反應(yīng)安全風(fēng)險評估范圍和內(nèi)容

（一）企業(yè)中涉及重點(diǎn)監(jiān)管危險化工工藝和金屬有機(jī)物合成反應(yīng)（包括格氏反應(yīng)）的間歇和半間歇反應(yīng)，有以下情形之一的，要開展反應(yīng)安全風(fēng)險評估：

1.國內(nèi)首次使用的新工藝、新配方投入工業(yè)化生產(chǎn)的以及國外首次引進(jìn)的新工藝且未進(jìn)行過反應(yīng)安全風(fēng)險評估的；

2.現(xiàn)有的工藝路線、工藝參數(shù)或裝置能力發(fā)生變更，且沒有反應(yīng)安全風(fēng)險評估報(bào)告的；

3.因反應(yīng)工藝問題，發(fā)生過生產(chǎn)安全事故的。

（二）精細(xì)化工生產(chǎn)的主要安全風(fēng)險來自于工藝反應(yīng)的熱風(fēng)險。開展精細(xì)化工反應(yīng)安全風(fēng)險評估，要根據(jù)《精細(xì)化工反應(yīng)安全風(fēng)險評估導(dǎo)則（試行）》（見附件）的要求，對反應(yīng)中涉及的原料、中間物料、產(chǎn)品等化學(xué)品進(jìn)行熱穩(wěn)定測試，對化學(xué)反應(yīng)過程開展熱力學(xué)和動力學(xué)分析。根據(jù)反應(yīng)熱、絕熱溫升等參數(shù)評估反應(yīng)的危險等級，根據(jù)最大反應(yīng)速率到達(dá)時間等參數(shù)評估反應(yīng)失控的可能性，結(jié)合相關(guān)反應(yīng)溫度參數(shù)進(jìn)行多因素危險度評估，確定反應(yīng)工藝危險度等級。根據(jù)反應(yīng)工藝危險度等級，明確安全操作條件，從工藝設(shè)計(jì)、儀表控制、報(bào)警與緊急干預(yù)（安全儀表系統(tǒng)）、物料釋放后的收集與保護(hù)，廠區(qū)和周邊區(qū)域的應(yīng)急響應(yīng)等方面提出有關(guān)安全風(fēng)險防控建議。

三、強(qiáng)化精細(xì)化工反應(yīng)安全風(fēng)險評估結(jié)果運(yùn)用，完善風(fēng)險管控措施

（一）涉及的反應(yīng)工藝危險度被確定為2級及以上的，要根據(jù)危險度等級和評估建議，設(shè)置相應(yīng)的安全設(shè)施和安全儀表系統(tǒng)；反應(yīng)工藝危險度被確定為4級及以上的，在全面開展過程危險分析（如危險與可操作性分析）基礎(chǔ)上，通過風(fēng)險分析（如保護(hù)層分析）確定安全儀表的安全完整性等級，并依據(jù)要求配置安全儀表系統(tǒng)；對于反應(yīng)工藝危險度被確定為5級的，相關(guān)裝置應(yīng)設(shè)置在由防爆墻隔離的獨(dú)立空間中，并設(shè)計(jì)超壓泄爆設(shè)施，反應(yīng)過程中操作人員不應(yīng)進(jìn)入隔離區(qū)域。企業(yè)要優(yōu)先通過開展工藝優(yōu)化或改變工藝路線降低安全風(fēng)險。

（二）企業(yè)要把反應(yīng)安全風(fēng)險評估作為安全管理的重要內(nèi)容，新建項(xiàng)目要以反應(yīng)安全風(fēng)險評估結(jié)果為依據(jù)，開展工藝設(shè)計(jì)及安全設(shè)施設(shè)計(jì)，保證各項(xiàng)安全控制措施落實(shí)到位；相關(guān)在役裝置要根據(jù)反應(yīng)安全風(fēng)險評估結(jié)果，補(bǔ)充和完善安全管控措施，及時審查和修訂操作規(guī)程。

（三）企業(yè)要保證設(shè)備設(shè)施滿足反應(yīng)工藝安全要求，根據(jù)反應(yīng)安全風(fēng)險評估情況，建立關(guān)鍵設(shè)備設(shè)施清單，定期開展檢查、維護(hù)和維修，要確保泄放、冷卻、降溫等設(shè)施和安全儀表等系統(tǒng)的完好、可用。要開展有針對性的崗位操作培訓(xùn)，保證崗位操作人員熟練掌握本崗位反應(yīng)安全風(fēng)險，嚴(yán)格執(zhí)行崗位操作規(guī)程，不斷提升操作技能。要根據(jù)反應(yīng)安全風(fēng)險評估結(jié)果，制定崗位應(yīng)急處置方案和事故專項(xiàng)應(yīng)急預(yù)案，強(qiáng)化定期演練，提高應(yīng)急處置能力。

四、工作要求

（一）反應(yīng)安全風(fēng)險評估工作專業(yè)性強(qiáng)，技術(shù)要求高，各有關(guān)企業(yè)要高度重視，聘請具備相關(guān)專業(yè)能力的機(jī)構(gòu)組織開展評估。企業(yè)要加大對工藝反應(yīng)測試分析條件的投入，培育專業(yè)工程技術(shù)人員，逐步形成自身開展反應(yīng)安全風(fēng)險評估工作的能力。

（二）有關(guān)企業(yè)要確保列入評估范圍的新建裝置在編制可行性研究報(bào)告或項(xiàng)目建議書前，完成反應(yīng)安全風(fēng)險評估。對相關(guān)在役裝置要制定計(jì)劃逐步開展，根據(jù)評估結(jié)果完善風(fēng)險控制措施，努力降低安全風(fēng)險。從2020年開始，凡列入評估范圍，但未進(jìn)行反應(yīng)安全風(fēng)險評估的精細(xì)化工生產(chǎn)裝置，不得投入運(yùn)行。

（三）地方各級安全監(jiān)管部門要結(jié)合本地區(qū)實(shí)際，指導(dǎo)和督促相關(guān)企業(yè)開展反應(yīng)安全風(fēng)險評估，積極跟蹤評估結(jié)論，掌握并研判本地區(qū)有關(guān)企業(yè)的風(fēng)險情況。積極培育具備條件的反應(yīng)安全風(fēng)險評估機(jī)構(gòu)，鼓勵具備條件的有關(guān)科研單位提供技術(shù)服務(wù)支持，加強(qiáng)技術(shù)人才隊(duì)伍培養(yǎng)，配備完善實(shí)驗(yàn)測試設(shè)施，規(guī)范服務(wù)工作，提高反應(yīng)安全風(fēng)險評估能力和質(zhì)量。

請各省級安全監(jiān)管局及時將本指導(dǎo)意見精神傳達(dá)至本轄區(qū)各級安全監(jiān)管部門及有關(guān)企業(yè)。

附件：精細(xì)化工反應(yīng)安全風(fēng)險評估導(dǎo)則（試行）

（詳見安監(jiān)總局網(wǎng)站）

篇6

目前我國已步入信息化時代，隨著國民經(jīng)濟(jì)和社會信息化進(jìn)程的全面加速，各地政府紛紛建立起基礎(chǔ)網(wǎng)絡(luò)平臺和重要的信息系統(tǒng)，這些網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，國民經(jīng)濟(jì)和社會發(fā)展對基礎(chǔ)網(wǎng)絡(luò)平臺和重要信息系統(tǒng)的依賴性也越來越大，網(wǎng)絡(luò)與信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統(tǒng)的運(yùn)行在客觀上存在著潛在風(fēng)險，信息系統(tǒng)安全的重要性更顯突出，已成為國家安全的基座。

近年來我國政府也開始重視信息安全風(fēng)險評估工作。2003年7月《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［2003］27號）文件中明確提出：要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理。

為落實(shí)中辦發(fā)[2003]27號文件要求，由國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國家保密局等單位聯(lián)合組成課題組先后對四個地區(qū)、十幾個行業(yè)的50多家單位進(jìn)行了調(diào)研考查，制定出《信息安全風(fēng)險評估指南》、《信息安全風(fēng)險管理指南》等標(biāo)準(zhǔn)和規(guī)范。

2004年6月天津市市委辦公廳、市政府辦公廳聯(lián)合轉(zhuǎn)發(fā)了《關(guān)于加強(qiáng)我市信息安全保障工作的意見》（津黨辦發(fā)［2004］15號）文件，成立了天津市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組，加強(qiáng)了對我市信息安全工作的領(lǐng)導(dǎo)和管理。

二、風(fēng)險評估工作內(nèi)容

信息安全風(fēng)險評估工作，就是從風(fēng)險管理角度入手，依據(jù)國家風(fēng)險評估管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采用適當(dāng)?shù)娘L(fēng)險評估工具，運(yùn)用定性及定量的分析方法和手段，系統(tǒng)分析信息化業(yè)務(wù)和信息系統(tǒng)資產(chǎn)所面臨的人為的或自然的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等，準(zhǔn)確了解信息系統(tǒng)安全狀況，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的風(fēng)險等因素，確定風(fēng)險等級和風(fēng)險控制順序，有針對性地幫助制定抵御威脅的安全策略和防護(hù)措施，指導(dǎo)安全建設(shè)的合理投入。

風(fēng)險評估的形式按照評估實(shí)施者的不同，可將其分為自評估和檢查評估二種形式：

自評估

自評估就是信息系統(tǒng)擁有者依靠自身力量，依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對自有網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行風(fēng)險評估的活動。該網(wǎng)絡(luò)和信息系統(tǒng)的擁有者通過自評估隨時掌握其安全狀況，不斷調(diào)整安全措施，有效地進(jìn)行安全控制。其優(yōu)點(diǎn)是有利于自身系統(tǒng)的保密性，發(fā)揮行業(yè)和本部門專業(yè)人員的業(yè)務(wù)專長，降低了風(fēng)險評估的費(fèi)用，提高了本單位風(fēng)險評估能力。

檢查評估

檢查評估通常是由政府安全主管機(jī)關(guān)或本單位的上級主管機(jī)構(gòu)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的、具有強(qiáng)制意味的檢查活動，是經(jīng)過行政手段加強(qiáng)信息安全的重要措施。其優(yōu)點(diǎn)是這種形式具有權(quán)威性。

自評估和檢查評估都可以通過信息安全風(fēng)險評估的服務(wù)機(jī)構(gòu)提供咨詢、培訓(xùn)及相關(guān)工具，目前建議主要采用自評估形式，以保證本單位信息的保密性、完整性和可用性。它也是檢查評估的基礎(chǔ)和必要條件。

按照國信辦2006年5號文件的要求，在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段，以及當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時均應(yīng)及時進(jìn)行信息安全風(fēng)險評估。

在風(fēng)險評估過程中，應(yīng)以本單位的業(yè)務(wù)為核心，圍繞相關(guān)信息資產(chǎn)（如計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等）及價值，對其所面臨的威脅、所具有的弱點(diǎn)和已有的安全控制措施展開分析工作。

風(fēng)險評估是信息安全管理體系的基礎(chǔ)，信息安全風(fēng)險管理的主要工作就是要發(fā)現(xiàn)風(fēng)險，并在有限的資源下，進(jìn)行削減風(fēng)險或控制風(fēng)險。只有建立信息安全管理體系，并有效地進(jìn)行安全風(fēng)險管理與控制，才能真正保護(hù)本單位的利益，并在安全事件發(fā)生的時候，最大限度地減少經(jīng)濟(jì)損失和負(fù)面影響。

三、目前需解決的問題

目前信息安全風(fēng)險評估工作在我國尚處于起步階段，各地開展和重視此項(xiàng)工作的程度也不盡相同，一些單位的網(wǎng)絡(luò)安全還處于亞健康狀態(tài)，需要強(qiáng)化信息安全管理意識，并注意解決以下幾方面的問題：

1．建立健全管理體制

依據(jù)國家在信息安全管理方面的法律、法規(guī)、標(biāo)準(zhǔn)和規(guī)范，建立安全管理制度，通過對安全評估和實(shí)施整改等各環(huán)節(jié)的監(jiān)督管理，層層落實(shí)安全管理責(zé)任制，形成完善的信息安全管理體系。

2．保障資金投入

努力保障信息安全資金的投入，充分發(fā)揮信息安全保障資金的使用效益，認(rèn)真分析信息安全風(fēng)險評估的結(jié)果，既要保障安全，又不能因保護(hù)過度造成資金浪費(fèi)。

3．聚集技術(shù)和管理人才

注意聚集和培養(yǎng)熟悉并有能力進(jìn)行信息安全風(fēng)險評估的技術(shù)人員，尤其是注意吸收那些既懂管理又懂技術(shù)的專業(yè)風(fēng)險評估人才，形成一支信息安全風(fēng)險評估專業(yè)隊(duì)伍。

篇7

關(guān)鍵詞：安全生產(chǎn)風(fēng)險管理體系 ， 作業(yè)風(fēng)險評估與控制 ， 安全督查 ， 電力企業(yè)

Abstract: with the southern power grid issued safety production risk management system as the basis, combined with the electric power enterprise safety supervision department management status, protecting the safety of electric analysis the problems, and to work in risk assessment and control of the introducing the basic idea, and points out that the operation risk assessment and control in power of protecting the safety of the applications of the necessity, and expounds the application of the method.

Key words: production safety risk management system and operation risk assessment and control, safety supervision, the electric power enterprise

中圖分類號： X820.4文獻(xiàn)標(biāo)識碼：A文章編號：

1引言

1.1電力安全督查現(xiàn)狀

電力企業(yè)安全監(jiān)察部門人員編制有限，但要督查的覆蓋面很廣，難以對企業(yè)的方方面面都督查到位，只能有側(cè)重、有目的地開展督查，但是沒有脫離“運(yùn)動式”、“救火式”的督查模式。

首先，安全監(jiān)察部門督查的范圍較廣，督查的內(nèi)容錯綜復(fù)雜。例如某個地市局的供電企業(yè)，安全監(jiān)察部門一般只有十來人，實(shí)際開展現(xiàn)場督查工作的一般就2-3人，但是督查范圍可能涉及到整個城市的各個角落，主要包括電力生產(chǎn)（包括輸變電、供電、調(diào)度、檢修、試驗(yàn)等）和電力建設(shè)（包括輸變電、配電工程的設(shè)計(jì)、施工、調(diào)試和監(jiān)理等）工作場所，尤其電網(wǎng)企業(yè)的外施工單位現(xiàn)場作業(yè)較多，一天甚至有幾十個施工同時開展，就算安全監(jiān)察部門全部人員出動也覆蓋不了所有的督查范圍。

其次，安全監(jiān)察部門選擇有所側(cè)重地開展安全督查，但選擇的側(cè)重點(diǎn)不合理、不科學(xué)。例如一天內(nèi)有幾十個施工現(xiàn)場，只能選擇某些施工現(xiàn)場進(jìn)行督查，但是選擇的過程更多的是憑督查人員的感覺、經(jīng)驗(yàn)，或者對外施工單位印象的好壞，沒有制定科學(xué)、合理的督查計(jì)劃。

最后，供電企業(yè)各個部門、班組的員工都普遍存在一種錯誤的認(rèn)識，認(rèn)為安全生產(chǎn)管理主要是安全監(jiān)察部門的事情，與自己無關(guān)或者關(guān)系不大。各部門不能正確樹立安全生產(chǎn)責(zé)任主體意識，對開展安全生產(chǎn)管理工作缺乏積極性、主動性，存在較大的惰性。安全生產(chǎn)更多的是停留在口頭上、會議上、文件上。相關(guān)部門、班組即使發(fā)現(xiàn)了事故隱患也心存僥幸，不愿投入精力去整改落實(shí)。最終，安全監(jiān)察部門通過督查發(fā)現(xiàn)的問題，相關(guān)部門不一定愿意配合整改；同時，部門、班組員工也不會主動去發(fā)現(xiàn)問題、整改問題。這樣，安全生產(chǎn)管理就成了“運(yùn)動式”、“救火式”的管理模式。

1.2作業(yè)風(fēng)險評估與控制的思路

風(fēng)險管理是指通過識別、衡量、分析風(fēng)險，并在此基礎(chǔ)上有效地控制風(fēng)險，用經(jīng)濟(jì)合理的方法來綜合處置風(fēng)險，實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。電網(wǎng)企業(yè)在大力推行的安全生產(chǎn)風(fēng)險管理體系，其核心就是風(fēng)險管理，通過應(yīng)用規(guī)范、動態(tài)、系統(tǒng)的方法去識別及評估企業(yè)安全生產(chǎn)過程中的風(fēng)險，制定風(fēng)險控制措施，實(shí)現(xiàn)風(fēng)險的超前控制，把風(fēng)險降低到可接受的程度。

作業(yè)風(fēng)險評估是電網(wǎng)企業(yè)風(fēng)險管理的重要組成部分，主要是針對作業(yè)任務(wù)執(zhí)行過程進(jìn)行危害辨識和風(fēng)險評估，目的是掌握危害因素在各工種的分布以及各工種面臨風(fēng)險的大小，并制定有效的風(fēng)險控制方案，避免和減少事故及其損失。風(fēng)險管理與過去的作業(yè)安全管理最大的不同在于，通過作業(yè)風(fēng)險評估實(shí)現(xiàn)了風(fēng)險的量化，將風(fēng)險進(jìn)行分級管理，對較高風(fēng)險的作業(yè)制定了風(fēng)險控制措施并開展后續(xù)整改行動。

2作業(yè)風(fēng)險評估與控制在電力安全督查中的應(yīng)用

2.1應(yīng)用的必要性

安全管理的實(shí)質(zhì)是風(fēng)險管理。建立安全生產(chǎn)風(fēng)險管理體系，是電網(wǎng)安全生產(chǎn)面臨形勢和任務(wù)的要求，是國家電網(wǎng)公司安全生產(chǎn)“三個管理體系”（安全風(fēng)險管理體系、應(yīng)急管理體系、事故調(diào)查體系）建設(shè)的重點(diǎn)，也是南方電網(wǎng)公司中長期發(fā)展戰(zhàn)略的重要內(nèi)容，對于形成安全生產(chǎn)預(yù)防機(jī)制，規(guī)避和化解安全風(fēng)險，保障電網(wǎng)安全發(fā)展，促進(jìn)電網(wǎng)企業(yè)平安和諧，具有重要的作用和意義。

傳統(tǒng)的安全管理方式是在經(jīng)驗(yàn)的基礎(chǔ)上對安全生產(chǎn)工作的一些具體的要求和規(guī)范，對安全生產(chǎn)工作沒有應(yīng)有的宏觀指導(dǎo)意義和促進(jìn)作用，只是對一個歷史階段的安全生產(chǎn)工作在經(jīng)驗(yàn)方面的具體反映，總是滯后于經(jīng)濟(jì)建設(shè)對安全生產(chǎn)工作需求，在一定程度上制約和阻礙著安全生產(chǎn)的發(fā)展。而安全生產(chǎn)風(fēng)險管理體系以風(fēng)險控制為主線，提出風(fēng)險控制與管理內(nèi)容，關(guān)注事前的風(fēng)險分析與評估，超前控制風(fēng)險，把安全防范的關(guān)口前移，實(shí)現(xiàn)動態(tài)的、主動和超前的安全生產(chǎn)風(fēng)險管理，解決安全生產(chǎn)“管什么、怎么管，做什么、怎么做”的問題，它從管理理念、內(nèi)容和方法上確保安全生產(chǎn)風(fēng)險可控、在控。

作業(yè)風(fēng)險評估與控制是安全風(fēng)險管理體系的核心內(nèi)容，是實(shí)現(xiàn)安全防范關(guān)口前移，超前控制風(fēng)險的重要方法與手段。通過引入作業(yè)風(fēng)險評估的方法，可以有效地解決電網(wǎng)企業(yè)安全監(jiān)察部門在安全管理和督查工作中的各種問題。首先，安全監(jiān)察部門督查范圍廣，難以覆蓋全面，從而選擇有所側(cè)重地開展安全督查，作業(yè)風(fēng)險評估方法可以幫助監(jiān)察部門更好的選擇督查的側(cè)重點(diǎn)。因?yàn)樽鳂I(yè)風(fēng)險評估工作要求對電網(wǎng)企業(yè)所有的作業(yè)任務(wù)進(jìn)行全面的基準(zhǔn)風(fēng)險評估，已經(jīng)全面辨識了作業(yè)過程中可能存在的危害，通過參考作業(yè)風(fēng)險評估的結(jié)果，自然能夠知道什么作業(yè)任務(wù)風(fēng)險較大，作業(yè)任務(wù)執(zhí)行過程中，存在什么危害，作業(yè)的哪些步驟風(fēng)險較大等，從而將風(fēng)險較大的作業(yè)任務(wù)作為安全督查的重點(diǎn)。其次，作業(yè)風(fēng)險評估工作強(qiáng)調(diào)全員參與，除了執(zhí)行作業(yè)任務(wù)的員工要直接參與作業(yè)風(fēng)險評估以外，員工的領(lǐng)導(dǎo)以及相關(guān)管理者也要參與風(fēng)險評估的研討，掌握面臨風(fēng)險的大小及分布。各部門通過參與風(fēng)險評估，知道風(fēng)險與自己的密切關(guān)聯(lián)，風(fēng)險并不是安全監(jiān)察部門的風(fēng)險，如果自己不主動去防范，風(fēng)險可能會給本部門和個人帶來巨大損失和傷害。所以，將作業(yè)風(fēng)險評估與控制與安全管理和督查結(jié)合起來，將會提升電網(wǎng)企業(yè)的安全管理水平，促使安全督查更富有針對性，能夠更好地對作業(yè)風(fēng)險進(jìn)行預(yù)防和控制，真正實(shí)現(xiàn)安全防范關(guān)口前移、風(fēng)險超前控制。

2.2應(yīng)用的方法

如何將作業(yè)風(fēng)險評估與控制與安全督查更好的結(jié)合起來，使作業(yè)風(fēng)險評估結(jié)果更好的為安全督查服務(wù)，是一個需要不斷摸索、探討并且逐漸深化的過程。這里根據(jù)現(xiàn)場安全督查的流程對應(yīng)用的方法做了以下探索：

（1）基于風(fēng)險制定督查計(jì)劃。安全監(jiān)察部門要收集作業(yè)風(fēng)險評估概述、相關(guān)生產(chǎn)部門的停電作業(yè)信息及相關(guān)風(fēng)險情況等，并根據(jù)收集的資料、信息制定督查計(jì)劃（年、月、周計(jì)劃），將督查的重點(diǎn)放在風(fēng)險較高的作業(yè)任務(wù)上。因督查涉及各專業(yè)現(xiàn)場工作，督查自身存在相關(guān)風(fēng)險，以及現(xiàn)場安全督查工作可能會對現(xiàn)場作業(yè)帶來新的風(fēng)險，所以督查工作還要保障督查人員的人身安全和不影響作業(yè)安全。一是制定計(jì)劃同時要結(jié)合季節(jié)性特點(diǎn)和環(huán)境開展風(fēng)險辨識與評估，重點(diǎn)落實(shí)防止交通事故、車輛突發(fā)故障、高空落物打擊、地面物體傷害、起重傷害、誤觸碰設(shè)備等措施，充分應(yīng)用到現(xiàn)場督查當(dāng)中。二是督查人員在現(xiàn)場發(fā)現(xiàn)違章行為時，要采用適當(dāng)?shù)拇胧┘m正，防止糾正行為給作業(yè)帶來新的風(fēng)險。

（2）應(yīng)用作業(yè)風(fēng)險評估的方法進(jìn)行現(xiàn)場督查。首先根據(jù)作業(yè)風(fēng)險評估的結(jié)果制定督查表格，將現(xiàn)場作業(yè)的風(fēng)險進(jìn)行排序，實(shí)行分級管理，重點(diǎn)檢查風(fēng)險較高的作業(yè)。其次，督查過程綜合運(yùn)用查人員、查資料、查設(shè)施、查現(xiàn)場等方式，通過考問、檢查、觀察和演示示范等多種形式相結(jié)合，除了對作業(yè)風(fēng)險評估結(jié)果與現(xiàn)場作業(yè)情況進(jìn)行對照驗(yàn)證外，還可以根據(jù)作業(yè)風(fēng)險評估的方法和思路對作業(yè)現(xiàn)場進(jìn)行觀察，補(bǔ)充完善作業(yè)風(fēng)險評估的實(shí)踐庫。

（3）督查發(fā)現(xiàn)問題反饋?zhàn)鳂I(yè)部門、班組，指出作業(yè)風(fēng)險評估中的不足，要求完善作業(yè)風(fēng)險評估實(shí)踐庫，以便下次作業(yè)時更好的對作業(yè)風(fēng)險進(jìn)行控制。同時要加強(qiáng)對補(bǔ)充的作業(yè)風(fēng)險的培訓(xùn)教育，讓員工充分認(rèn)識到作業(yè)存在的風(fēng)險并有意識地采取措施進(jìn)行控制。

（4）以作業(yè)風(fēng)險評估方法中對作業(yè)危害、風(fēng)險的分類方法對督查數(shù)據(jù)進(jìn)行歸類、統(tǒng)計(jì)和分析。通過統(tǒng)計(jì)分析督查過程中發(fā)現(xiàn)的問題，收集作業(yè)危害和風(fēng)險數(shù)據(jù)，作為下一年度作業(yè)風(fēng)險評估回顧修訂或者作業(yè)風(fēng)險評估動態(tài)更新的數(shù)據(jù)來源。過去督查統(tǒng)計(jì)分析更多的是關(guān)注不同類型違章的統(tǒng)計(jì)分析，沒有關(guān)注違章背后的作業(yè)風(fēng)險的分析，從而不能更好的制定風(fēng)險預(yù)控措施，實(shí)現(xiàn)風(fēng)險的超前控制。

3結(jié)語

篇8

一、如何看待安全預(yù)算

安全預(yù)算是各類企事業(yè)單位為保護(hù)信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。安全預(yù)算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢。從安全預(yù)算角度分析原因：一是預(yù)算不足；二是預(yù)算不到位。

在國外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。從風(fēng)險的角度看，就是要平衡成本與風(fēng)險之間的關(guān)系，用一百萬美金保護(hù)三十萬的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價值超過了一千萬美金，產(chǎn)生的效益就顯而易見，目前用一個量化的方法來計(jì)算信息化建設(shè)對于戰(zhàn)略發(fā)展的貢獻(xiàn)確實(shí)比較難。一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。安全預(yù)算到底夠不夠？我們可以通過宏觀的情況來分析一下風(fēng)險與成本的關(guān)系，每年全球因安全問題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計(jì)算，我國也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過幾十億美元。由此可以看出，我國整體信息化建設(shè)，安全預(yù)算不足。

一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

二、 科學(xué)制定安全預(yù)算

信息安全的預(yù)算如何制定？其實(shí)要解決的就是預(yù)算多少和怎么用的問題。說安全預(yù)算難做，一是因?yàn)樾畔踩婕暗胶芏喾矫娴膯栴}，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個方面：（1）是否“平衡”了成本與風(fēng)險的關(guān)系；（2）是否真正用于降低或者消除信息安全風(fēng)險，而不是引入了新的不可接受風(fēng)險；（3）被關(guān)注的風(fēng)險是否具有較高的優(yōu)先等級。

信息安全風(fēng)險評估恰恰解決了以上問題，通過制定科學(xué)的風(fēng)險評估方法、程序，對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評估，得出面臨的風(fēng)險，然后針對不同風(fēng)險制定相應(yīng)的處理計(jì)劃，提出所需要的資源，從而利用風(fēng)險評估輔助安全預(yù)算的制定。

三、 風(fēng)險評估過程

目前國際和國內(nèi)都有一些比較成熟的風(fēng)險評估標(biāo)準(zhǔn)及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內(nèi)的信息資產(chǎn)；（3）識別對于這些資產(chǎn)的威脅；（4）識別可能利用這些威脅的薄弱點(diǎn)；（5）識別信息資產(chǎn)的損失給單位帶來的影響；（6）識別威脅時間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計(jì)算風(fēng)險；（8）確定風(fēng)險等級及可接受風(fēng)險的等級。

篇9

關(guān)鍵詞：安全；風(fēng)險；體系；評估；控制

中圖分類號：F426.61 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2014） 12-0000-02

電力企業(yè)的安全生產(chǎn)事關(guān)國計(jì)民生。電力企業(yè)長期不懈地狠抓安全生產(chǎn)，但安全事故依然頻頻發(fā)生，始終無法根除。如何采取措施從根本上做好安全生產(chǎn)管理，已成為企業(yè)重點(diǎn)關(guān)注的焦點(diǎn)。本文在分析了當(dāng)前電力企業(yè)全文化，重點(diǎn)介紹了安全生產(chǎn)風(fēng)險管理體系的應(yīng)用，并就如何做好體系建設(shè)展開探討。

一、當(dāng)前電力企業(yè)安全文化思考

據(jù)調(diào)查，企業(yè)生產(chǎn)過程中出現(xiàn)的事故95%以上都是違章操作、違章指揮和違反勞動紀(jì)律造成的。事故調(diào)查統(tǒng)計(jì)表明，安全事故的發(fā)生與個人的行為和素質(zhì)有很大關(guān)聯(lián)，與企業(yè)安全體系是否完善息息相關(guān)。我國電力企業(yè)經(jīng)長期發(fā)展，已形成了企業(yè)內(nèi)部獨(dú)特的安全文化，由制度、正策、法規(guī)、規(guī)程、規(guī)范及標(biāo)準(zhǔn)等構(gòu)成了企業(yè)安全生產(chǎn)體系，《電業(yè)安全工作規(guī)程》和“兩票三制”成為了電力企業(yè)安全文化的基石，是指導(dǎo)電力企業(yè)安全生產(chǎn)和保障員工生命安全的法寶，但安全生產(chǎn)事故仍然接連不斷，未能從根本上防范和杜絕，這與電力企業(yè)安全體系建設(shè)不足緊密相關(guān)。

第一，電力企業(yè)安全體系不完善，安全文化尚未能充分發(fā)揮作用，在生產(chǎn)活動過程中員工未能自覺遵守規(guī)程、制度。每次發(fā)生電力安全事故后，事故防范措施才得到進(jìn)一步完善、強(qiáng)化，事故防控手段才更完備，安全處于“亡羊補(bǔ)牢”的被動局面。

第二，風(fēng)險辨識意識嚴(yán)重不足。長期以來，我們大力倡導(dǎo)提高員工安全意識，卻忽略了如何有效辨識生產(chǎn)活動過中各環(huán)節(jié)、每個作業(yè)存在或潛在的危害并形成有效的防控體系。增強(qiáng)安全意識天天講、人人喊，但在生產(chǎn)活動中，如何有效辨識各種危害，從而采取措施避免安全生產(chǎn)事故，如何保證員工的安全意識，值得深思。

第三，企業(yè)對安全文化內(nèi)涵理解不透，風(fēng)險評估及管控能力不足。長期以來，營造濃厚的安全氛圍，促使員工實(shí)行安全自主管理、規(guī)范其生產(chǎn)行為，提高安全技能，形成良好的安全生產(chǎn)環(huán)境，制度管人、流程管事、標(biāo)準(zhǔn)化作業(yè)，成為了電力企業(yè)安全文化的重要內(nèi)涵。但是，生產(chǎn)作業(yè)缺乏系統(tǒng)的風(fēng)險評估及管控，危害及風(fēng)險描述空泛、無量化，控制措施針對性不強(qiáng)。

二、為什么要建立安全生產(chǎn)風(fēng)險管理體系

電力安全風(fēng)險仍然是企業(yè)面臨的最大風(fēng)險，生產(chǎn)過程中還存在不少安全問題。風(fēng)險意識、責(zé)任意識和安全基礎(chǔ)工作還需要強(qiáng)化，管理還比較粗放，系統(tǒng)性管理不夠、標(biāo)準(zhǔn)不高、要求不嚴(yán)、管理不到位的問題依然存在。解決好這些問題，是把企業(yè)做強(qiáng)做優(yōu)、實(shí)現(xiàn)又好又快發(fā)展的重要基礎(chǔ)。安全生產(chǎn)風(fēng)險管理體系是基于目前安全生產(chǎn)管理現(xiàn)狀和企業(yè)發(fā)展要求而建立的。體系關(guān)注“五要素”（人、系統(tǒng)、設(shè)備、環(huán)境、管理）和“安健環(huán)”（安全、健康、環(huán)境），不僅要考慮人的安全，還要考慮生產(chǎn)的安全、系統(tǒng)的安全、設(shè)備的安全、環(huán)境對人的影響。從管理理念、管理內(nèi)容、管理方法等方面規(guī)范我們的安全生產(chǎn)管理，提高管理軟實(shí)力，既有現(xiàn)實(shí)意義，又有戰(zhàn)略意義。體系從風(fēng)險控制出發(fā)，提出了一套安全生產(chǎn)管理模式和方法，解決安全生產(chǎn)“管什么、怎么管，做什么、怎么做”的問題，它從管理理念、內(nèi)容和方法上確保安全生產(chǎn)風(fēng)險可控在控。

三、危害辨識與風(fēng)險評估的特點(diǎn)、作用

開展危害辨識、風(fēng)險評估與控制，是安全生產(chǎn)風(fēng)險管理體系建設(shè)的主要內(nèi)容。危害辨識滲透著全方位安全管理的思想，“人的不安全行為，物的不安全狀態(tài)、作業(yè)環(huán)境的缺陷和安全健康管理的缺陷”是應(yīng)用系統(tǒng)科學(xué)理論，在體系建立之初所做的一項(xiàng)科學(xué)、具體而且必要的工作。風(fēng)險評估是用可量化的指標(biāo)，科學(xué)評價出危害的風(fēng)險級別。

危害辨識指辨識出執(zhí)行每一步驟中存在的可能危及人員、設(shè)備和企業(yè)形象的危害。操作時應(yīng)注意一個作業(yè)步驟可能存在多個危害，危害的一般表述形式：“副詞+名詞或動名詞”；風(fēng)險評估指辨識危害引發(fā)特定事件的可能性、暴露和結(jié)果的嚴(yán)重程度，并將現(xiàn)有風(fēng)險水平與規(guī)定的標(biāo)準(zhǔn)、目標(biāo)風(fēng)險水平進(jìn)行比較，確定風(fēng)險是否可以容忍的全過程。

危害辨識與風(fēng)險評估，可以根據(jù)風(fēng)險評估結(jié)果選擇風(fēng)險管理工具，制定風(fēng)險控制計(jì)劃，實(shí)施風(fēng)險管理并評價風(fēng)險管理結(jié)果，其意義在于鑒別潛在和顯露的風(fēng)險并加以控制，以期預(yù)防損失；其次，在損失發(fā)生后采取補(bǔ)償措施，減少損失的危害性，保障安全生產(chǎn)。她能促使安全生產(chǎn)變被動管理為主動管理，將“安全第一、預(yù)防為主”理念變成了可操作的具體步驟，使安全和預(yù)防兩大任務(wù)變成現(xiàn)實(shí)。

四、如何開展危害辨識與風(fēng)險評估

如何有效地遏制事故的發(fā)生，降低事故隱患及存在的風(fēng)險，開展危害辨識與風(fēng)險評估，探索實(shí)現(xiàn)安全生產(chǎn)的風(fēng)險防范體系，從事故中汲取經(jīng)驗(yàn)教訓(xùn)，落實(shí)安全措施，已是電力企業(yè)不可回避的重要問題。

通過開展危害辨識、風(fēng)險評估，可以最經(jīng)濟(jì)合理的方式消除風(fēng)險導(dǎo)致的各種災(zāi)害后果；此外，危害辨識、風(fēng)險評估是職業(yè)安全體系建設(shè)的基礎(chǔ)。企業(yè)的安全管理體系運(yùn)行的主線是風(fēng)險防范與風(fēng)險控制的過程，其基礎(chǔ)是危害辨識、風(fēng)險評估與控制。為了控制風(fēng)險，企業(yè)必須認(rèn)真做好以下幾方面工作。

第一，要對企業(yè)所有作業(yè)活動中存在的危害加以識別，然后評價每種危害性事件的風(fēng)險等級，確定不可承受的風(fēng)險，再對不可承受的風(fēng)險予以控制。

第二，對所有辨識的各級各類風(fēng)險進(jìn)行量化，并依據(jù)規(guī)程、標(biāo)準(zhǔn)、法規(guī)、企業(yè)狀況等制訂危害和風(fēng)險防控措施，并一一匯合形成完備的安全作業(yè)防范體系。

第三，必須充分認(rèn)識到危害辨識、風(fēng)險評估對電力企業(yè)安全管理的重要作用、長期性、系統(tǒng)性，任務(wù)艱巨，必須充分發(fā)揮企業(yè)職工合力、智慧，在企業(yè)生產(chǎn)作業(yè)活動和安全管理中不斷總結(jié)、完善、長期錘煉，才能完成安全體系建設(shè)。

第四，為保證危害辨識、風(fēng)險評估能夠滿足實(shí)際需要，電力企業(yè)必須認(rèn)真做到：

（1）高層領(lǐng)導(dǎo)重視，成立領(lǐng)導(dǎo)實(shí)施組織，指定單位內(nèi)的一名高級管理人員負(fù)責(zé)督促和管理活動；

（2）集思廣益，確定具體計(jì)劃，明確責(zé)任人、完成期限、督察對象、任務(wù)分解、落實(shí)階段等具體事項(xiàng)；

（3）確定活動人員對于危害辨識、風(fēng)險評估的培訓(xùn)需求，實(shí)施適當(dāng)?shù)呐嘤?xùn)計(jì)劃；

（4）評審評價的充分性，判定評價是否合適、是否充分；

（5）將管理的具體內(nèi)容和評價的重要發(fā)現(xiàn)形成文件。

第五，明確危害辨識、風(fēng)險評估實(shí)施的基本步驟和方法，基本步驟：

（1）確定專業(yè)工種，編制作業(yè)任務(wù)；

（2）分解作業(yè)步驟：按照作業(yè)任務(wù)執(zhí)行過程的功能進(jìn)行分解、歸類為若干個功能階段。如“220kV線路停電操作”可分解為操作準(zhǔn)備、開關(guān)操作、刀閘操作、二次設(shè)備操作、安全措施布置、記錄與歸檔等幾個步驟；分解作業(yè)步驟時，一般按照完成一個功能單元進(jìn)行劃分。作業(yè)方法、作業(yè)要求、作業(yè)環(huán)境相一致的幾個功能階段也可以歸納為一個作業(yè)步驟；

（3）辨識危害：辨識與各項(xiàng)業(yè)務(wù)活動有關(guān)的主要危害?？紤]會受到傷害的對象以及如何受到傷害；

（4）確定風(fēng)險：在假定計(jì)劃或現(xiàn)有計(jì)劃的措施適當(dāng)?shù)那闆r下，對各項(xiàng)危害有關(guān)的風(fēng)險做出主觀評價。評價人員還應(yīng)考慮控制的有效性以及一旦失敗所造成的后果；

（5）確定風(fēng)險等級，進(jìn)行評分，按分值大小明確風(fēng)險是否可承受；

（6）制定風(fēng)險控制措施：編制控制措施以處理評估中發(fā)現(xiàn)的、需要重視的任何問題，組織應(yīng)確保新的和現(xiàn)行控制措施的適當(dāng)和有效；

（7）建議措施的采納：根據(jù)經(jīng)濟(jì)分析判斷結(jié)果以及現(xiàn)場的可操作性、適宜性、資源情況等綜合進(jìn)行判別后確定建議的措施是否采納；

（8）形成風(fēng)險評估報(bào)表庫：根據(jù)危害辨識與風(fēng)險評估結(jié)果，填寫“風(fēng)險評估報(bào)表”，形成單位、部門、班組級的風(fēng)險概述庫，作為班組現(xiàn)場工作、編制作業(yè)指導(dǎo)書、標(biāo)準(zhǔn)作業(yè)程序卡、工作方案的依據(jù)。

五、結(jié)束語

風(fēng)險管理建設(shè)已成為現(xiàn)代電力企業(yè)安全體系建設(shè)的重要內(nèi)容，危害辨識與風(fēng)險評估控制是風(fēng)險管理的核心，是提高企業(yè)安全健康管理水平的必然選擇，可使“安全第一、預(yù)防為主”理念變?yōu)楝F(xiàn)實(shí)，提高企業(yè)經(jīng)濟(jì)效益，保障員工在電力企業(yè)作業(yè)活動的生命安全。

參考文獻(xiàn)：

篇10

風(fēng)險評估技術(shù)常用的工具一般有滲透測試工具和脆弱性掃描工具。滲透測試工具一般常使用人工結(jié)合滲透測試工具進(jìn)行，常用的Web滲透測試工具有IBMAppScan、AWVS、HPWEBinspect，通常需對漏洞進(jìn)行人工驗(yàn)證，以確定漏洞準(zhǔn)確性。脆弱性掃描工具主要用于評估網(wǎng)絡(luò)或主機(jī)存在的系統(tǒng)漏洞，常見工具有Nessus，能對主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描并形成脆弱性報(bào)告。此外，在風(fēng)險評估過程中，除了利用上述工具來發(fā)現(xiàn)系統(tǒng)風(fēng)險外，還需要利用系統(tǒng)現(xiàn)有數(shù)據(jù)來進(jìn)行現(xiàn)狀分析和趨勢分析，這其中常用的手段有：入侵檢測日志分析、主機(jī)日志分析、應(yīng)用系統(tǒng)日志分析、主機(jī)/網(wǎng)絡(luò)檢查表等。

風(fēng)險評估流程

1總體流程

根據(jù)風(fēng)險評估中包含的各個要求，要分別進(jìn)行實(shí)施，整體的風(fēng)險評估流程如圖3所示。

2風(fēng)險評估準(zhǔn)備階段

通過做好準(zhǔn)備工作，能夠大大提升風(fēng)險評估的效果，降低項(xiàng)目實(shí)施風(fēng)險，該階段是風(fēng)險評估整個過程的重要組成部分。風(fēng)險評估準(zhǔn)備階段一般應(yīng)包含如下工作內(nèi)容：明確風(fēng)險評估范圍、確定風(fēng)險評估目標(biāo)、組建項(xiàng)目團(tuán)隊(duì)、設(shè)定系統(tǒng)性風(fēng)險評估方法、整體風(fēng)險評估方案獲得高層批準(zhǔn)。

3資產(chǎn)識別階段

資產(chǎn)識別主要針對現(xiàn)有的信息資產(chǎn)進(jìn)行分類識別和描述，在識別的基礎(chǔ)上從信息安全的角度，機(jī)密性、完整性和可用性對其進(jìn)行賦值，確定信息資產(chǎn)的價值，作為影響分析的基礎(chǔ)，典型資產(chǎn)類別可以分為：網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、安全設(shè)備、物理環(huán)境、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、文檔、組織和人員等。

4脆弱性識別

脆弱性評估常被稱作弱點(diǎn)評估，是風(fēng)險評估的重要工作，通過脆弱性評估能夠發(fā)現(xiàn)信息資產(chǎn)存在的弱點(diǎn)。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性分類可分為技術(shù)脆弱性和管理脆弱性，其中技術(shù)脆弱性又可以細(xì)分為：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全5個方面。

5威脅識別

威脅可以通過威脅主體、資源、動機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。

環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。對威脅識別的簡單方法就是對威脅進(jìn)行分類，針對不同的威脅，可以根據(jù)其表現(xiàn)形式將威脅識別分為以下幾類：軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來源，然后分析存在哪些威脅種類，最后做出威脅來源和威脅種類的交叉表進(jìn)行威脅賦值。

6風(fēng)險分析

風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性3個基本要素，每個要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

風(fēng)險評估的主要內(nèi)容

信息安全風(fēng)險評估包含的內(nèi)容涉及信息安全管理和技術(shù)，同時包括網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等不同的技術(shù)層面，但根據(jù)保險行業(yè)的特定需求，總體定位在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)方面的技術(shù)評估。主要內(nèi)容包括：

1)信息資產(chǎn)的調(diào)查，主要針對網(wǎng)絡(luò)拓?fù)?，網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備等。

2)網(wǎng)絡(luò)架構(gòu)弱點(diǎn)評估，針對目前的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行弱點(diǎn)分析。

3)網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)弱點(diǎn)評估，針對設(shè)備目前的系統(tǒng)配置進(jìn)行分析，確認(rèn)其是否達(dá)到應(yīng)有的安全效果，結(jié)合滲透測試的手段。

4)現(xiàn)有安全控制措施，通過分析目前的安全控制措施，綜合總結(jié)網(wǎng)絡(luò)架構(gòu)和設(shè)備的弱點(diǎn)。

5)整體網(wǎng)絡(luò)威脅和風(fēng)險分析，綜合分析網(wǎng)絡(luò)中面臨的威脅和可能的風(fēng)險，形成總體安全現(xiàn)狀。

6)建議安全措施和規(guī)劃。根據(jù)風(fēng)險評估的成果和建設(shè)目標(biāo)，形成建議的安全措施和時間進(jìn)度，建立1-2年的信息安全規(guī)劃。

項(xiàng)目實(shí)施成果

根據(jù)以上工作內(nèi)容，項(xiàng)目的最終成果包括：

1)信息資產(chǎn)清單和分析結(jié)果。清晰明確系統(tǒng)和網(wǎng)絡(luò)信息資產(chǎn)，明確其機(jī)密性、完整性和可用性的安全目標(biāo)，同時確定資產(chǎn)的重要類別；必要時可以建立內(nèi)部的信息資產(chǎn)庫。

2)系統(tǒng)和網(wǎng)絡(luò)脆弱性報(bào)告。明確服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備可能存在的弱點(diǎn)。

3)系統(tǒng)和網(wǎng)絡(luò)威脅報(bào)告。根據(jù)已有的弱點(diǎn)分析目前可能面臨的威脅和威脅發(fā)生后對業(yè)務(wù)、系統(tǒng)和網(wǎng)絡(luò)造成的影響。

4)安全現(xiàn)狀報(bào)告?；陲L(fēng)險的安全現(xiàn)狀總體分析報(bào)告，明確目前的網(wǎng)絡(luò)安全風(fēng)險。

5)建議安全措施和規(guī)劃。從技術(shù)和管理的角度提出后期進(jìn)行系統(tǒng)建設(shè)的安全控制措施。

結(jié)語