购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 电网安全风险管控办法范文

电网安全风险管控办法精选(九篇)

电网安全风险管控办法

第1篇:电网安全风险管控办法范文

关键词:安全生产;电网;管理水平;风险管控

一、引言

党的十以来,党中央、国务院就加强安全生产工作作出一系列重要决策部署。5次主持中央政治局常委会,22次作出重要批示,部署安全生产工作;总理7次主持国务院常务会议研究安全生产工作。党和国家领导人非常重视、一再强调安全生产的重要性。将电网建设和运营作为主营业务的电网公司,安全生产是一切工作的出发点和落脚点。安全生产是做好所有一切全部工作的基础和前提,电力安全工作规程中明确规定要保证人身、电网和设备安全,把人的生命和健康放在首位,也就是说安全生产最根本的目的是保护人的生命和健康,安全生产无论对社会、对企业还是个人都具有极其重要的意义。那么企业在自身发展过程中如何提高安全管理水平呢?

二、落实责任筑牢安全生产管理基础

1.推行职责链条式管理。结合电网企业体制改革,转变公司发展方式,厘清安全职责界面,打通专业壁垒,建立管理人员安全履职评价机制。从部门、专业室、班组三个层面分层分级管控,以流程落实责任,将指标和压力层层传递,建立起一级对一级负责的安全责任体系。制定各级安全生产委员会职责并切实履行安全职责,规范安全大检查工作流程、编制安全大检查工作提纲,细化梳理班组安全活动管理制度等,使一切与安全生产有关的管理工作有据可查、有章可循,避免了生产一线的安全管理工作流于形式。

2.深化隐患排查治理。建立重大隐患督办制度,实行隐患排查闭环管理,即用督办单、反馈单、管控表等“两单一表”的管理方法实现安全隐患排查。细化分类型、分专业、分层级的隐患排查治理机制,将排查治理目标纳入部门、分场的业绩指标按月进行督办考核。无数事故教训表明“违章就是事故之源,违章就是伤亡之源”。美国的安全研究者海因里希通过研究发现,在同一个人身上发生的330起同等事故中,300起没有造成伤害,29起造成了轻微伤害,1起造成了严重伤害。即事故严重后果分为严重伤害、轻微伤害和无伤害的事故次数之比为1:29:300,这一比例称为海因里希法则。冰冻三尺非一日之寒,事故发生也非一时之失,安全生产要防患于未燃。加强安全生产现场的反违章管理,通过预防违章、查处违章、有的放矢的安全培训、违章统计分析等一系列反违章工作,逐步实现工作现状从“查违章”到“反违章”的转变。

3.创新安全教育培训模式。采用要点理解、漫画图解、典型违章、事故案例、培训考试系统的五环学习法,即实施“两正两反一测评”安全培训模式。通过正确的培训内容,合适的培训方法,严密紧凑的组织培训形式,是否就可以达到安全培训的目的呢?有人说过,培训的最高境界就是通过培训改变了一个人的做法,否则培训就是无效的。而要改变一个人的行为,首先要改变其情感态度,从安全培训的具体做法就是着重从提高员工的安全意识入手,不断在培训中融入企业的安全文化,通过专题授课、班组安全日活动、安全经验分享等多种手段,引导员工从“要我安全、我要安全”到“我能安全、我保安全”转变,牢固树立安全生产的思想防线。

三、多措并举,强化全面风险管控能力

1.固化现场作业安全风险管控流程标准。以《典型作业风险管控卡》为依托,按照作业类型、作业流程将预控措施融入作业管控卡,确保工序风险可控。全面推行“六要七禁八步”标准化操作步骤,以标准化管控手段确保现场作业安全。所谓“六要七禁八步”指的是现场作业过程中的六要:要有考试合格并经上级领导批准公布的操作人员名单;要有明显标示、切换位置的指示以及区别电气相别的色标;要有与现场设备和运行方式符合的一次系统模拟图;要有现场运行规程、典型操作票统一的、确切的调度操作术语;要有确切的调度指令和合格的操作票;要有合格的操作工具。七禁:安全用具和设施严禁无资质人员操作;严禁无操作指令操作;严禁无操作票操作;严禁不按操作票操作;严禁失去监护操作;严禁随意中断操作;严禁随意解锁操作。八步:接受调度预令,填写操作票;审核操作票;明确操作目的,做好危险点分析和预控;接受调度正令,模拟预演;核对设备命名和状态;逐项唱票、复诵、操作并勾票;向调度汇报操作结束及时间;生产管理系统(PMS)评审、闭环。

2.加强电网运行风险闭环管控。闭环管理是一种行之有效的管理工具,安全风险管控是否形成闭环?关键看是否推行了风险识别、风险评估、风险控制、持续改进为循环单元的闭环管理模式。本地区电网企业运用电网风险预警年分析、月计划、周、执行反馈、预警解除、成效评估六个步骤,形成“调度部门控目标、专业部室定措施、安监部门抓落实”的电网运行风险联动机制,实施全过程闭环痕迹管理,做到预控措施安排及时、执行有力、监督到位。

3.构建“双控四维”立体防控网络。从电网企业内部建成了各部门协同联动机制,外部建立政企协作渠道,内外双控;从“点、线、面、体”四个维度构建多角度、多层次的电力设施立体防护格局。针对输电线路运行风险高的特点,采用针对性措施定“点”防控,差异化模型布“线”巡视,周期性专项多“面”治理,内外联动成“体”保障的模式;构筑“双控四维”电网风险防控网络,提升线路风险管控水平。建立配网接地故障数据分析库,形成“接地拉路序位表”,使用“选线信息”、“拉路序位”的“技术+管理”双手段,缩减事故停电范围。

四、结语

第2篇:电网安全风险管控办法范文

    一、电子银行业务风险的来源

    (一)银行内部风险

    银行内部风险是指银行在开展电子银行业务时由于自身的原因而导致的风险。通过加强风险防范意识、完善内控管理制度和健全风险管理体系能够大大降低此类风险的发生。这类风险主要包括三个方面:(1)来自员工的风险,主要是指银行内部员工利用工作之便盗取客户信息、诈骗客户资金的风险或由于员工知识欠缺、漫不经心导致操作失误造成的风险;(2)来自技术上的风险,主要包括银行系统失灵或系统漏洞导致的交易延迟、服务中断或账务差错的风险以及由于信息系统安全防范工作不到位,让病毒或黑客侵入银行系统导致重大错误和损失的风险;(3)来自制度上的风险,主要是指银行业务流程设计不合理导致业务存在风险漏洞或银行内部人员不执行管理制度,违规办理业务的风险。

    (二)银行外部风险

    银行外部风险是指银行经营电子银行的外部环境给电子银行业务带来的风险。银行外部风险虽不在银行控制范围之内,但往往会对电子银行业务的经营产生巨大影响。这些风险主要来源于以下几个方面:(1)客户风险,这种风险包括客户利用电子银行进行洗钱,从而使银行遭受处罚的风险以及由于风险意识淡薄,给犯罪分子可乘之机,导致资金损失的风险;(2)第三方欺诈风险,这种风险主要是指银行与客户之外的犯罪分子利用互联网本身的漏洞侵入客户的电子银行终端或对电子银行客户进行欺诈,从而盗取客户资金的风险;(3)社会环境风险,这种风险主要是指由于社会信用体系不完善,现有法律体系不健全,相关法律法规的制定严重滞后,致使互联网上很多行为游离于法律监管之外,一旦出现纠纷难以追究当事人责任,使得犯罪分子有机可乘,最终导致银行和客户遭受损失。

    二、减少电子银行业务风险的对策

    电子银行业务的风险影响广、来源多、扩散速度快、解决难度大,笔者根据多年对电子银行业务风险管理方面的经验,认为商业银行除需要加大对电子银行业务的科技投入外,还应从几个方面采取措施以减少风险。

    (一)加强内控管理,防范内部风险

    加强电子银行内控管理就是要对电子银行业务的各类风险进行识别、评估、应对,采取各种方法减少电子银行风险造成损失的可能性,并在风险事件发生后尽量减少损失。具体来说,电子银行内控管理要做好以下几个方面的工作:一是确保电子银行业务流程不存在可能产生风险的漏洞,保证业务流程的闭合和严密;二是要确保办理业务的人员按照严密的流程和规则操作,防止其通过办理电子银行业务对银行或客户造成损失;三是要确保银行开办电子银行业务符合相关法律规章的要求,消除法律和监管风险;四是要根据业务风险程度对业务办理范围进行合理限制,使业务开办和交易行为与该业务的风险程度相适应;五是要明确银行与客户建立电子银行业务关系中的权利义务,避免产生法律纠纷;六是要对客户明确业务规则,充分告知其风险,防止客户与银行产生业务纠纷。

    (二)建立快速响应机制,做好风险事件的应急处理

    快速响应机制是解决应急事件、确保业务连续运行的核心环节。由于电子银行业务的风险影响波及广、扩散速度快,这就要求对电子银行业务风险的反应比传统业务要更迅速、更及时。商业银行应在系统内建立有效的风险监控体系,在网点发现问题后,及时做好客户安抚工作,并能够在数小时,至少在当天将信息反馈到总行。总行接到报告后,应立即进行应急处理,采取有效措施解决问题,防止风险漫延。对于涉及到行业性的重大安全事件,应立即反馈到监管部门,由监管部门统一进行协调处理。

    (三)加强对客户的安全教育

    调查显示,68.6%的个人客户和63.9%的企业客户在选择网银时,最看重的因素为网银的安全性能。实际上,电子银行风险的一个主要来源就是客户的自身安全意识薄弱,因此,做好客户的安全教育工作对防范电子银行业务风险十分必要。银行在营销客户时,应在充分了解客户的基础上酌情为客户推介合适的金融产品,同时做好客户培训工作,在客户注册电子银行后给予必要的操作引导,保证客户能够正确使用电子银行。

    (四)开发电子银行业务保险市场

    保险是一种重要的风险补偿方式,银行可以通过投保来规避电子银行业务中的风险,即对电子银行交易业务本身进行承保,分散个别的分险。发达国家电子银行业务风险的一个主要解决方式就是保险,但在国内由于信息不对称,保险公司很难获得电子银行真实的风险数据,因此很难开发相应的保险产品。2006年底保监会了《关于加强和改善对高新技术企业保险服务有关问题的通知》,提出“要大力推动科技保险创新发展,逐步建立高新技术企业创新产品研发、科技成果转让的保险保障机制”。这就是要鼓励保险公司开发相应的电子银行保险品种,但是到目前为止,我国尚没有一家保险公司开发出针对电子银行业务的保险服务。

    (五)平衡风险与收益的关系,容忍一定程度的风险量

    电子银行的开放性必然使其业务系统与外界建立通道,而有通道就有漏洞,银行需要平衡填补这些漏洞的收益与损失之间的关系。银行应遵循风险收益平衡的原则,在一定程度上接受发生概率和危害都非常小的风险,制定适当的安全策略,控制风险的收益与成本达到平衡。银行自行承担这些风险损失并不是没有其他方式来处置这些风险,而是通过对期望损失和机会成本变量等因素综合考虑后,出于经济可行的目的而主动承担风险,从而为银行获取最大的利益。

第3篇:电网安全风险管控办法范文

关键词:电力企业;安全调度;风险控制

引言

近年来,社会主义市场经济发迅速发展,人民生活的质量显著提高。社会总体对电力的需求量不断加大,对其依赖性也日益加大。这是电力企业发展的机遇,但也使电力企业面对挑战,因为社会的发展对电力的安全调度和风险控制有了新的发展要求。

1 电力安全调度存在的风险

在社会生产生活中,电力安全调度与风险控制的作用是不容小觑的,关系到整个社会的健康发展,我们注意到在电力安全调度和风险控制当中还是存在一些问题,理应引起我们重视的。

1.1 电力调度人员在工作中的警惕性不强

电力企业的安全调度是由专门的电力调度员来完成,需要很高的专业素养。并且电力企业事故的发生具有随机性,很多时候根本无法预测,所以就需要电力调度人员在工作中时刻保持警惕性,防范安全隐患。不过我们在调查中可以发现,一些电力企业的电力调度人员警惕性不强,缺乏基本的安全意识,在工作中没有完全遵守调度操作规程,甚至对电力运行中的注意事项与安全操作规程都不是很清楚,在工作中出现误下调度命令的现象,这对电力企业的安全调度造成很大的隐患。同时,部分参与电力调度的人员缺乏责任心,在工作中积极性与自觉性不高,这也是导致他们容易出现错下命令的原因。还有,一部分电力调度人员不是根据系统主接线图与实际操作下命令,而是凭借自身经验和主观意识就下命令,这对电力企业的安全调度的健康发展极为不利。

1.2 电力调度人员在调度管理方面存在的问题

电力企业调度员在工作中,必须避免麻痹大意、违章以及不负责任的工作态度,因为这种工作态度在工作中会导致误送电的后果。如果调度员在工作过程中,没有严格按照电力安全操作规程来执行,或者在调度员之间工作交接不明的情况下,很容易造成误送电。同时,如果线路工作时候,组别繁杂,在工作结束的时候,就可能出现回报遗漏的现象。另外,如果用户在没有得到当班调度许可的时候,就在用户专线上进行工作,就会导致安全事故的发生。

1.3 电力调度人员对电网事故的处理不合理缺乏应急准备

电网事故在一定程度上是不可避免的,因此,对于可能发生的电网事故都应该有充足的应急管理办法。当电网突发事故的时候,电力调度员应该按照应急管理办法排出险情,确保电力系统的安全运行。不过我们注意到,在一些电网事故中,我们的电力调度员在处理危机的时候首先是不能够冷静下来,一遇到麻烦的事情就措手不及,一方面是专业知识不扎实,另一方面就是缺乏必要的应急准备。一些调度员在面对电网事故时候的愚蠢处理方式很多时候导致事故的进一步恶化,一发不可收拾,给电力企业造成重大的经济损失。

2 调度风险控制的措施

2.1 增强电力调度人员的安全意识

电力调度员要具有强烈的安全意识,并把其贯彻到工作的每一环节中去。相关部门可以组织电力调度员进行职业道德教育,促使其认识到自身的使命与责任,在工作中能够主动发现安全隐患,安全调度。并且电力调度人员在操作的时候应该严格的按照电网调度规程的内容执行,同时在工作中,实行电力调度员和自身岗位的责任制度,从根本上提高调度员的安全意识,将安全生产与各人责任与实际利益挂钩,切实保证安全调度。

2.2 提高电力调度人员的专业素质,加大技术培训力度

科学技术的发展,推动了电网设备与技术的革新,这也对调度人员的专业素质提出了新的要求。因此,电力企业相关部门要不断加大对调度人员的培训力度,增强其专业素质,促使他们不断学习新的技术,并运用到工作过程中。调度人员要掌握电网继电保护及自动装置整定方案和工作原理,并能正确使用。调度人员要有及时判断故障,并且快速排出故障的素质,尽可能低降低安全风险,并且调度人员应该对发生的电网事故进行举一反三,制定详细的事故应急处理办法。总之,调度人员要加强对新技术和新知识的学习,提高自身的专业修养。

2.3 提高管理水平,给调度创造良好的外部环境

良好的管理制度可以大大地提升员工的工作效率。电力企业应该着手解决调度员的切身困难,真正的帮助调度员解决各种问题,创造良好的工作环境,这样才能充分的调动调度员的工作积极性,让其以饱满的精神和工作热情投入运行工作中。与此同时,电力企业应该制定、完善规范标准化的作业流程中,加强检修的计划性,对设备的检修实行动态管理,对电网架构中存在的问题及早解决。

2.4 电力调度人员对电网主设备的运行状况要做到心中有数

调度人员应该随时的关注电网运行的各项数据,确保其健康状况。一旦发现电网的运行数据存在异常,应当迅速的对其进行监视和分析,制定风险应对措施,及时将故障设备险情排除。此外,在一些用电的高峰期,应当随时的监测电网的电力负荷情况,科学合理的转移电网负荷,并密切监视后续运行,确保电网运行的安全健康。

3 结束语

受主客观因素的影响,电网安全事故屡见报端,不断给国家和个人造成了财产损失,更主要是威胁到了人的生命安全,电力安全调度工作的重要性是显而易见的。电力安全调度是整个电网运行管理的指挥机构,是电网安全运行的基础,我们要正视违规操作可能带来了负面影响,将安全调度与风险控制贯彻到每一个环节中去。

参考文献

[1]靳斌.电力安全生产管理中风险控制的探讨[J].中国新技术新产品,2010,4:160.

[2]李峰.基于风险管理理论的泗水电网调度安全管理[D].北京:华北电力大学,2009.

[3]胡翔.风险识别与控制在XX电网电力调度生产运行中的应用研究[D].四川大学,2006.

[4]李聪.安全生产风险管理体系在电力系统的建设与发展[D].华南理工大学,2010.

[5]王建军.电力安全调度问题的探讨[J].科技创新导报,2011,4:129. [6]张丽英.基于风险管理理念的电网安全管理研究[D].北京:华北电力大学,2004.

第4篇:电网安全风险管控办法范文

    【论文摘 要】目前,计算机技术的不断普及使一些传统的文件载体不断消失,而计算机办公自动化正逐渐被很多企业推广运用。办公自动化最明显的标志就是信息档案的建立,这种记录信息的手段对企业来说更加方便和快捷,避免了传统的纸张档案的弊端。但是有利必有弊,计算机自身也存在着一些缺陷,导致企业在使用信息档案这一手段时也存在一些弊端,针对这个问题,企业在运用此技术时一点要做好风险的防范措施,力求使风险降到最低。基于此,本文主要对电子信息档案管理的风险控制方法进行了探讨。

    目前,人们生活中一个非常重要的,必须的工具的就是电子计算机,其具有多种多样的功能,这为企业的办公带来了巨大的变革,使企业办公变得更加方便快捷。而在信息技术时代,最新的档案方式就是电子信息档案,它对企业在高科技方面的创新发展意义重大。但是根据具体情况来看,电子信息档案并不全是优化,它也有自己的不足,比如与传统的纸张档案相比,具有更大的风险性,如果没有积极制定防范风险的措施,那么很容易导致企业的数据被盗,所以,企业在使用信息档案时一定要注意信息的安全性,积极主动的制定一些避免风险的措施,以使信息资源更加安全。

    一、避免风险的措施

    提前预防,在风险还没有出现的时候就进行遏制是规避风险最有效的方式,也是最经济的方式,对于电子档案来说,应该以其自身的潜在缺陷为根据来实施控制管理,来保证内部信息的安全可靠,主要措施有:

    1.积极引进最新技术。计算机在工作过程中要同时结合多种措施,而规避风险的最好的办法就是引进新的技术,新技术对可以使电子信息档案更加安全可靠。其中一个很重要的方法就是设置密码,这是现代操作系统最常运用的方式,在对电子信息档案实施密码设置后,要积极的训练一些计算机技术人员来实施管理控制,避免信息资源被一些外界因素干扰。

    2.制定一些制度。为了保证信息资源的安全性,那么必要的管理制度是必不可少的,所以企业要主动制定一些有针对性的制度来进行预防,也可以根据需要授权档案管理人员自己制定制度,例如:可以规定只有管理人员才能进行相关的系统操控,而无关的人员没有权利操作系统等。

    3.及时消除风险。为了确保信息档案数据的安全性,及时消除潜在的风险是非常重要的,在计算机维修期内,企业尤其要注意随时可能存在的风险,主动采取应对措施。因为计算机网络的的复杂性,使得控制风险工作也极其的不容易,不过,只要及时且做到全面看待问题,那么就可以把问题解决掉。比如,对于那种对计算机激进主义异常敏感的机构来说,为了应对潜在的危险,那么采取一定的措施是非常必要的。

    4.及时进行预防和保护。为了消除危险电子信息档案的因素,其中一个很重要的措施就是安全防护,其可以有效的避免信息数据受到外界因素的破坏,保证信息的安全可靠。

    二、缓解风险的措施

    电子信息档案在遭到外界的干扰后,为了把危险降到最小,就需要管理人员尽最大的努力把危险掌控在一定的范围内,那么管理人员应该怎么做才能使风险得到缓解?目前,许多企业开始利用风险转移的策略进行缓解,电子信息档案管理的风险缓解就是通过制定实施应变计划、灾难恢复计划、电子信息档案相关资产重新布置等手段来减小电子信息档案及相关资产价值本身或风险的后果或影响。常见的风险缓解方法包括:事前措施、事后措施。前者是指在损失发生前为减少损失程度执行的方案;后者是在损失发生后为减少损失执行的方法。需要强调的是,在进行电子信息档案的管理时如果发生危险,那么不管是什么情况,企业都要积极主动的进行及时的处理,这才是最为关键的。

    三、分散风险的措施

    在电子信息档案管理中,还有一种经常使用的规避风险的措施就是转移策略,所谓转移策略实质上是一种风险的分散,即把风险转到其他的地方,以此来把已经存在的风险降到最低,一般而言,能够从多个角度对风险转移的方法实施修正,如:修改配置模式、购买保险、外包给其他机构、或者与提供商签署服务合同等等。经过这样的处理之后,我们可以把复杂的风险问题进行简化,再对原先实施的电子信息档案管理策略优化改进,创造更加先进的电子信息档案管理系统。此外,还可以与网络供应商互相协调,让供应商的安全服务符合电子信息档案的使用需要。另外,还要强调的是,外包同样隐含着风险,如果外包人员不符合合同的标准,那么后果会很严重。所以为了预防人为因素给企业造成损失,那么那些使用电子信息档案的人员要做的就是一定要严格遵守操作标准。

    四、评估风险的措施

    当风险来临后,企业最需要做的就是积极采取措施进行处理,为了把风险造成的影响控制在最小的范围内,还要积极与其他措施相结合使用。风险评估的目的是为了能够使预防计划更加科学合理,在对电子信息档案实施全面分析的基础上,探究引起风险的因素以及其带来的后果。需要实施分析评估的基本内容是:发生危险的概率,危险带来的后果有多大,危险的成本探析,有哪些合适的控制防范办法等等。此外,企业管理者要树立风险观念,积极主动的制定一套体系完善的针对多种风险的预防计划。需要强调一点,如果机构中每个已被识别的弱点通过承认得以控制,这说明企业在安全防范工作中未能给予足够的重视。企业防范风险的最大弊端在于,许多经营管理者错误地认为电子信息档案无危险性,在使用档案资料时未采取针对性的安全管理方案,这对于电子信息档案带来了诸多不便。而对于档案管理人员来说,其在管理期间要控制好各个环节的工作,这对于档案管理是极为重点的。在进行评估中,为了确保档案信息的安全性,档案管理人员就必须要非常警觉,对于潜在的风险能够及时发现,并把其扼杀在萌芽状态,对于已经发生的风险要积极采取措施,力求使风险造成的损失最小。

    简而言之,管理者或管理部门在对电子信息档案管理时,一定要有这样的意识,即电子文件的风险不是主观的,而是客观存在的,这种风险不是确定的,而是不确定的,而且还可能带来很大的危险,所以一定要有对风险的警觉度,把预防风险看做所有工作的重中之重,积极制定风险防范办法,使电子信息档案的管理水平得以提高,这对于有效规避风险和降低损失有重要的意义。

    参 考 文 献

    [1]冯惠玲.论电子文件的风险管理[J].档案学通讯.2005(3):8~11

    [2]王兆新,裘洁.浅议电子文件信息的安全与保密[J].浙江档案.2004(1):36~37

    [3]邹生.开放网络环境下的信息安全问题[J].信息安全与通信保密.2004(4):28~29

第5篇:电网安全风险管控办法范文

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统

一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。

第6篇:电网安全风险管控办法范文

关键词 调控人员;行为规范;风险管控;考评

中图分类号 F842;F224 文献标识码 A 文章编号 1673-9671-(2013)012-0204-02

1 实施背景

规范人员行为能更好的促进安全生产。个人违章行为、没有认真执行安全规程和规章制度、工作中注意力不集中、存有饶幸心理、误操作等一系列习惯性违章对安全生产极为不利。在工作中规范自己的行为,通过不同途径来提高自己的安全意识,才能确保人身和设备的安全。

推行员工行为规范能够提高风险管控水平。通过规范员工日常工作的各种工作行为,营造安全生产的氛围,使“安全第一”、“预防为主”等安全思想、安全理念成为员工认同和接受的价值观,使法规制度、相关规程深入人心,成为员工自觉遵守的行为规范和准则,主动抵制违章指挥和违章作业,变“要我安全”为“我要安全”,变“他律”为“自律”。这样能从根本上提高员工安全意识和提前辨识安全风险的能力。

2 特色做法

调控人员行为规范从电网调度运行和设备监控运行两个专业特点出发,结合日常工作实际,从调控人员工作质量和工作行为两个方面详细梳理每一项工作、每一项流程、每一个环节并一一进行规范,现了全业务、全过程覆盖,增强了行为规范的可用性、实用性。

落实国家电网公司2012年安全工作意见,深入开展调控机构安全内控机制建设、风险辨识防范和反违章工作,调控人员行为规范融入了电网调度控制反违章管理规定和电网调度控制安全风险辨识手册中的关键风险点,真正实现了安全生产提前预控。

调控人员行为规范的推行,克服了一般企业人员行为规范宣传力度不够、推广过程不够细化、督促力度时紧时松等薄弱环节,通过组织座谈,采取全面讲解、阶段分析、总结提高等方法,使所有人在思想上进行彻底转变,愿意主动参与规范的实施,从一点一滴处规范自己的行为。

以规范调控人员日常行为为契机,营造调控人员准军事化管理环境,培养员工服从命令、严守纪律的意识,严谨务实、踏实肯干的作风,敬业奉献、敢打能拼的精神;加强调控专业队伍正规化建设,提高设备监视、倒闸操作及事故异常处理能力;打造一支“业务过硬、操作规范、作风优良、纪律严明”的员工队伍,为青海电网安全稳定运行提供坚强的支持与保障。

改变了企业员工行为规范建设工作多采用的“搞运动”形式,将规范人员行为作为管理工作中重要环节来实施,建立常态化约束及考评机制,将调控人员行为考评与个人绩效相结合,从工作规范、行为规范和培训规范对每一个人员进行细致考评,考评结果纳入调控人员晋级定岗的刚性条件,形成有效的激励约束机制。

3 主要内容和做法

3.1 立足工作实际,规范人员行为

调控人员行为规范从工作规范、行为规范、培训规范三大方面来规范人员行为,对工作行为提出了具体的要求并形成了严格的约束机制。

3.1.1 工作规范

从交接班、当班工作联系、电网运行监视、倒闸操作、事故及异常处理、技术支持系统应用、报表及信息、日常工作八个方面进行规范。

1)交接班工作要求交班人员在接班人员到岗前10分钟做好交班准备工作,要求对照背投屏幕显示按照规定顺序和内容进行相关工作交接。交接完毕,双方完成OMS系统中交接班记录签名,方可结束交接班工作。

2)当班工作联系要求调度联系要严肃认真、语言简明、使用统一规范的调度术语。严格执行倒闸操作、检修许可制度,避免没有仔细核对调度管辖范围,盲目同意,越级许可。检修工作许可前,应再次检查该许可设备确已停运,并核对调度自动化终端遥测、遥信数据与现场设备运行状态无误。检修工作结束后,确认所有的检修工作都已终结。

3)电网运行监视方面要求调控员熟知青海电网接线、电网实时运行方式、检修计划,电网运行中存在的危险点及各项规程规定等应知应会内容。对于潮流分布及流向、线路及断面正常及检修方式的稳定限额、电网薄弱断面等信息应人人清楚。

4)倒闸操作工作对电网设备倒闸操作前须充分考虑的问题、操作前、操作过程中、操作后、特殊情况时的处理原则等都做了详细的规范和要求。事故及异常处理、调度技术支持系统应用、报表及信息、日常工作等方面的规范详实、细致,具体到每一个环节和注意事项。

3.1.2 行为规范

对仪容仪表、工作礼仪、工作语言、工作纪律、办公环境、接待管理等方方面面都做了详细的规范,使日常的每一项工作和行为都有规范可依。

1)仪容仪表方面要求调控人员值班期间必须穿统一工作服、衬衣,统一穿着皮鞋,统一佩戴上岗标志牌。工作服应干净整洁,上岗标志牌应佩戴在胸前统一位置,重要场合男士应打领带。值班期间,值班调度员应站姿挺拔,坐姿端正,姿势稳健,不随意趴伏、倚靠桌面。

2)工作礼仪及工作语言方面要求值班调控员在进行调度业务联系时,必须使用普通话且声音清晰、表述简洁明了。与业务联系单位人员联系工作时,使用文明用语,禁止使用服务忌语。对内、对外协调沟通过程中,强化服务意识,遇现场人员有疑问时,耐心解答,对一时不能回答清楚的问题要诚恳说明,耐心解惑释疑。

3)工作纪律方面要求调控人员值班前及值班期间严谨饮酒,保持良好的精神状态,不得无故旷工、迟到、早退,不得私自调班等;办公环境要求严格执行物品定置管理,调度室、餐厅、休息室必须卫生良好,个人物品应放置在固定地点,摆放整齐;有上级领导及外来人员到调度室检查指导工作时,应当提前做好准备,规范化礼仪接待。

3.1.3 处室培训工作规范

每周三、周四组织所有人员进行专题学习培训,不得无故迟到早退及请假。

3.2 以规范调控人员行为为平台,提高调控人员风险辨识能力

调控中心在行为规范中融入电网调度控制反违章管理规定和电网调度控制安全风险辨识手册,提高调控人员风险辨识能力。以防止调控人员责任事故、防止大面积停电事故为主线,针对电网调控的工作流程和调控人员的工作行为,分析可能存在的危险因素,提出相应的控制措施,超前防范事故的发生,保障调控工作安全,保障电网安全运行。

风险辨识手册分析电网调度控制运行过程中存在的风险,分析辨识内容和辨识要点,制定典型控制措施。通过执行这些预控措施,将调控专业新进或者脱岗人员对电网运行带来的风险消灭在萌芽状态。风险辨识手册附带了电网调度控制运行方面的典型案例,将典型案例与风险预控的具体项目关联起来,帮助调控人员对辨识内容和措施理解学习。

3.3 建立常态化约束及考评机制

依据调控人员行为规范,制定切实可行的行为规范考评办法。以此建立调控人员行为规范考评记录,实行日检查、周通报、月考评。调度长对发电调度员、电网调度员、监控员进行考评,调控处长、中心领导对调控人员进行考评,形成标准完善的考评记录,并纳入晋级定岗重要参考依据。

4 取得的实效

通过贯彻执行调控人员行为规范,办公生活场所环境有了进一步改观,工作行为到位规范,仪表行为礼貌整洁,获得了到调控大厅参观指导工作的上级领导的高度评价,提升了调控人员整体素质,全面提升了企业形象。

调控人员的工作行为日趋熟练和规范,将调控专业纳入标准化、规范化、常态化管理,提高了工作质量及效率,形成了服务标准和管理规范,为提升调控专业的“硬”质量提供了坚实的“细”要求。

通过实施调控人员行为规范,将调控专业的大环境与个人这个小个体紧密结合起来。大环境:环境整洁,团体协作氛围良好,具有较强的凝聚力、向心力和集体意识;个人方面,精神面貌焕然一新,用语礼貌,态度谦让,具有“精”、“细”、“实”的工作作风;大环境潜移默化的影响着个人的综合素质和工作能力,个人素质的提高有从根本上提升了集体的专业管理水平。

5 结束语

通过将人员行为规范及考评办法在实际工作中的实施,发现还有能够改进的地方和需完善的方面,今后应当将贯彻落实调控人员规范工作作为管理工作的重中之重,全面贯彻落实,针对发现的问题认真组织全体调控人员讨论、分析,做好行为规范的补充和修订工作。坚持不懈的开展调控人员行为规范考评工作,提高管理效率,提高青海电网调度监控运行水平。

第7篇:电网安全风险管控办法范文

[关键词]网络环境,会计信息,内部控制

中图分类号:F232 文献标识码:A 文章编号:1009-914X(2015)22-0312-01

随着互联网技术的发展,多数企业都利用网络信息系统来控制企业的会计信息。计算机技术的发展大幅度提高信息处理速度,也使得企业的信息系统更加开放和复杂,企业在享受由此带来巨大效益的同时,内部控制也面临相应的风险。

1.网络环境下会计信息内部控制的风险

1.1 网络环境的法律风险

目前网络会计、电子商务等的迅猛发展远远超出了现有法律体系的规范,互联网是一个缺乏“警察”的信息高速公路,信息的跨地区和跨国界传输又难以公证和仲裁,网上交易愈加普遍,在不久的将来,企业的原始凭证可能全部以电子形式存在,但网络环境的法律滞后性,相应的技术和法规还不完善,因电子交易可能引发的法律争端,成为企业内部控制难以回避的问题。

1.2 内部控制方法存在风险

授权批准控制是一种基础的内部控制方法。在传统手工会计系统下,一项经济业务的各个环节一般都经过相关权限人员的同意批准、签章,才能办理。这种方法虽然效率不高,却可以有效防止舞弊。在网络环境下,权限分工的主要形式是口令授权,业务人员可利用特殊的授权口令获得某种权利,并通过运行特定程序进行业务处理。口令存放于信息系统内,一旦被泄露或被窃取,务必给企业造成损失。如果系统操作员擅自修改他人的口令或密码, 改变他人的权限, 势必造成网络系统管理的混乱。

1.3 电子数据修改的无痕化风险

计算机网络的飞速发展,计算机的存储方式是将信息存储在磁介质上,而存储在磁介质上的信息极易被篡改甚至不留任何痕迹。部分交易的“了无痕迹”给内部控制带来了一定的难度,也导致一些不法行为的产生,如通过删除部分信息、伪造、篡改、损坏客户信息、银行凭证,编造虚假交易来侵吞公款等,并且这种行为具有缺乏证据的弱点。

1.4 内部审核难度加大

会计信息系统是一个由计算机硬件、软件、操作人员和各种操作规程构成的复杂的系统。该系统将许多不相容职责相对集中,加大了舞弊的可能性。企业可能会担心内部资料暴露于外,影响其竞争能力。稽核必须运用更复杂的查核技术,将大幅度增加查核所需的时间和成本。网络环境下,后续的内部稽核和审计过程较之传统具有:步骤繁多,难度加大,不利于操作的特点。

1.5 数字化使信息安全性存在风险

网络会计的应用使原来封闭的企业内部网络转变为国际互联网,这对会计信息系统的安全提出了挑战。在网络环境下,过去以计算机机房为中心的“保险箱”式的安全措施已不适用,大量的会计信息通过开放的国际互联网传递,存在被截取、篡改、泄露等安全隐患,很难保证其真实性与完整性。国际互联网具有开放特性,这给一些恶意的访问者提供了可乘之机。黑客肆虐给网络会计带来巨大的风险。计算机病毒的猖獗给企业的信息安全带来了更大风险。在互联网上,计算机病毒可以通过E-mail或用户下载文件进行传播,其传播速度是单机的20倍,因而有效地防治计算机病毒对保障网络系统的安全至关重要。

2.解决问题的对策

2.1健全电子商务的相关法律

健全的法律法规是完善内部控制的法律保障。现行的有关电子商务的法规有6个,具体的颁布部门分别是:国务院办公厅、商务部、国家工商总局,涉及的内容主要包括电子商务模式规范、网上交易、网络商品交易和服务行为。网络环境的法律缺乏,需要相关部门加快立法的节奏,适应互联网社会的发展,为实施互联网+企业内部控制提供法律基础。

2.2 建立必要的网上公证机构

网上公证,就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控。如果每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认、进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。建立诸如“认证中心”、“网上公证”等机构势在必行,它们是身份认证和信息安全传输的有力保证。

2.3 采用加密的电子签名

在电子化的会计信息系统环境中,如果应用软件正确无误,系统传输安全可靠,则会计信息系统中派生数据的正确性、真实性和完整性完全取决于电子原始数据。电子化原始数据的审核可采取类似的方法:要注意相关业务不同数据记录之间的相互核对;要关注经办人、批准人等相关人员的电子签名。目前的多数会计核算软件中,电子签名广泛采用普通汉字或字母代码填写,很容易被摹仿或伪造。为了克服这一缺点,增强电子原始数据的防伪功能,宜采用加密进行电子签名,使其不容易被篡改或伪造。

2.4 建立风险控制机制,加强监督力度

建立严谨的组织体系。在网络环境下, 企业设置的部门主要有: 会计、业务、信息处理、内部审计、网络管理等,只有建立一个严谨的组织体系, 各部门各司其职、相辅相成,才能使网络会计信息系统有一个完善的运行机制, 在组织上得到保障。

建立严格的内部审计制度。企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组, 运用软件技术实时监控系统运行, 随时分析系统运行日志文件和各种安全检测记录, 及时发现系统的安全漏洞, 并采取相应的对策。

建立健全风险评估、控制的运行体系。建立一套风险预警指标,可以及时发现和评价出现的风险。风险控制的运行体系则是系统运行的“防火墙”, 它可以让企业在收到预警信号后采取及时有效的措施。

建立风险处理的快速反应部门。建立该部门的目的是帮助企业能迅速的对事故及故障做出反应,将事故及故障造成的损害降到最小, 达到进一步防范风险的作用。

2.5 采用信息系统安全技术体系,加强网络安全控制

信息系统安全技术体系中包括利用系统日志对操作员的登录信息和操作信息进行记录;访问控制用来控制未经授权人员的非法访问的系统内部操作。利用入侵检测和漏洞扫描技术对计算机的外部入侵进行监控,从而保证系统的安全运行。目前,控制网络安全的主要措施包括以下方面 :设置外部访问区域,明确企业内部网络的边界;建立网上交易活动的授权、确认制度, 以及相应的电子会计文件的接收、签发验证制度;建立网络资源使用、网络故障、网上交易的日志对传输的数据进行加密与数字签名等。

第8篇:电网安全风险管控办法范文

关键词:电子政务 信息安全

0 引言

随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。

1 电子政务信息安全的总体要求

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2 电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(pkc)的pki(public key infrastructure)与基于属性证书(ac)的pmi(privilege management infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据x.509标准建立基于角色pmi的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和ldap 目录服务器等实体组成,在该模型中:

2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。

2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4 ldap目录服务器:该模型中采用两个ldap目录服务器, 一个存放公钥证书(pkc)和公钥证书吊销列表(crl),另一个ldap 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表acrl。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

3 电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2 采用全面的风险评估办法 风险评估具有不同的方法。在iso/iec tr13335-3《信息技术it安全管理指南:it安全管理技术》中描述了风险评估方法的例子,其他文献,例如nist sp800-30、as/nzs 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如octave、cramm等。

电子政务信息安全建设中采用的风险评估方法可以参考iso17799、octave、cse、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4 结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

第9篇:电网安全风险管控办法范文

随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:

1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:

2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。

2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。

2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

转贴于中国论文下载中心www

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。

在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。

参考文献:

[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

[2]李波杰,张绪国,张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐