等级保护和风险评估精选(九篇)

第1篇：等级保护和风险评估范文

【关键词】 风险评估技术；精神科；安全管理

随着社会的进步和发展，人们的法治观念及自我保护意识在日益增强，医院面临的风险亦越来越大，尤其是精神疾病患者在精神症状的支配下随时可能导致自杀自伤、伤人毁物、出走等意外事件的发生。因此更要求精神科护士具有高度的责任心和风险意识，做好精神科护理安全管理。我科认真组织学习了护理风险评估技术，并较好地在临床工作中应用，切实提高了护理人员的安全预见性，保障了各项安全防范措施的有效落实，降低了精神科护理风险，现具体报告如下。

1 资料与方法

1.1 一般资料 收集2012年11月至2013年10月期间在河南省精神病医院早期干预一科、早期干预二科住院的首发精神障碍患者共520例，诊断均符合CCMD-3精神病诊断标准[1]。根据住院时间先后将2012年11月2013年4月的住院患者设为对照组，2013年5月至2013年10月的住院患者设为观察组。对照组共260例，其中男性133例，女性127例，年龄25-53岁，平均（35.98±11.34）岁。诊断分别为：精神分裂症187例，躁狂症35例，抑郁症29例，其它诊断9例。观察组共260例，其中男性128例，女性132例，年龄23-50岁，平均（34.72±12.16）岁。诊断分别为：精神分裂症189例，躁狂症30例，抑郁症31例，其它诊断10例。2组患者在性别、年龄、病种等方面进行比较，差异均无统计学意义（P>0.05）。

1.2 方法

1.2.1 对照组采用传统的护理模式，按精神科护理常规进行护理 研究组在常规护理的基础上应用护理风险评估技术，对患者进行细致的精神检查及病情观察后，再与主管医生进行充分的沟通，之后按照精神科风险程度评分表的内容进行评估，确定风险等级，再根据风险等级制定个体护理计划，实施针对性的防范措施，见表1。

1.2.2 评估标准 自杀风险评估共10项，1-7项每项分值为1分，8、9、10项分值分别为8、9、10分，风险程度：1-4分为轻度，5-7分为中度，8分及以上为重度。攻击行为风险评估共9项，1-5项每项分值为1分，6、7、8、9项分值分别为6、7、8、9分，风险程度：1-4分为轻度，5-7分为中度，8分及以上为重度。出走风险评估共4项，1项分值为2分，2项分值为4分，3项分值为6分，4项分值为8分，风险程度：2分及以下为轻度，4-6分为中度，6分及以上为重度。

1.2.3 实行三级护理评估 一级评估：患者入院后由责任护士或当班护士建立风险程度评估表进行评估，以后由责任护士每周评估1次；二级评估：在一级评估中存在有中、高风险的患者由责任护士进行动态的每日评估；三级评估：护士长24小时内对新入院患者及重点患者进行再次评估，每周带领责任护士进行总评估1次，并指导护理计划及防范措施的制定，检查措施的落实情况。

1.3 观察指标 比较2组患者住院期间自杀自伤、伤人毁物、出走等风险事件的发生率；比较应用风险评估技术前后护理人员受伤害事件的发生率。

1.4 统计学方法 本研究数据采用SPSS13.0软件进行统计学分析，计数资料采用χ2检验，以P

2 结 果

2组患者在住院期间的风险事件发生率比较见表2；应用风险评估技术前后护理人员受伤害率比较，见表3。

3 讨 论

3.1 应用护理风险评估技术有利于降低精神科风险事件发生率 精神障碍患者大脑活动异常，思维行为异常，自理能力下降，特别是在受幻觉、妄想的支配下，往往会出现危害自身和伤及他人的行为[2]，故精神科护理风险事件的发生具有偶然性和突发性，护理安全存在着极大的挑战。本研究结果显示，研究组风险事件发生率明显低于对照组（见表2），提示应用护理风险评估技术，从患者入院到出院实施连续的三级评估方法，横向全面地评估了风险程度，纵向评估了住院期间各个阶段的风险，在危险未发生前采取积极有效的防范措施，将危险控制在萌芽状态，从而降低风险的发生率[3]。

3.2 应用护理风险评估技术有利于降低精神科护士受伤害率 在精神科病房与患者接触最直接、最紧密的是护理人员，要24小时不间断的照顾患者，被患者攻击的危险性最高。虽然精神疾病患者的风险行为具有突发和难以预料的特点，但发生前大多有先兆表现，其中有严重幻觉、妄想和不服从管理的患者发生风险行为的可能性最大，因此，开展预见性护理极为关键。预见性护理是在全面了解并评估患者的病情基础上，制定有效的、防患于未然的护理，其根本在于积极认识预防以及处理并发症的发生，采取预防为主的原则，有计划有秩序有目的地给患者提供护理服务[4]。我们通过应用护理风险评估技术对新入院患者实行预见性护理，提前启动防范措施，使护士受伤害率明显下降（见表3）。同时，还有利于将护理工作由被动转为主动，调动了护士的积极性，提升了护理人员的自身价值[5]。

3.3 应用护理风险评估技术有利于保障精神科护理安全 风险评估技术对精神科护理有着重要的临床指导作用，通过对精神障碍患者实施风险评估，可以先预测出风险，指引临床护理的方向，使护理人员在临床护理中便于抓住护理的重点，这样既能使护理工作不再盲目又能提高护理安全质量[6]。同时，掌握护理风险评估技术能强化护理人员的风险意识，提高专业内涵，使其在临床工作中能有效控制风险，提高护理安全管理质量。

综上所述，安全管理是精神科临床护理工作中的重要环节，实施护理风险评估降低了风险事件的发生率和护士受伤害率，有效地保障了护理安全。因此精神科风险评估是是切实可行的精神科护理安全管理方法，具有在临床推广的价值。

参考文献

[1] 中华医学会精神科分会.中国精神障碍分类与诊断标准[M].第3版.济南：山东科学技术出版社，2001：87-89.

[2] 郝伟.精神病学[M].第6版.北京人民卫生出版社，2008.6.

[3] 邓秋雁，梁艳，谢仲英，等.住院精神病人暴力危险分级及干预的研究[J].现代医院，2008.1，8（1）：8-10.

[4] 牟秀华.预见性护理程序在骨科创伤患者护理中的应用[J].中国实用护理杂志，2012，28（14）：16-18.

第2篇：等级保护和风险评估范文

4月20日，中国银联系统瘫痪达6个小时，34万家商户POS机无法消费，6万台ATM机无法跨行取款。

尽管4天后中国银联发表声明称：此次跨行交易故障绝非“黑客攻击”，而是“系统故障”小概率事件，是由于某些设备的隐性缺陷诱发了跨行交易系统主机的缺陷，导致主机发生故障。

但是，这一小概率事件又一次将银行新业务的安全问题摆到了公众面前，如果不能有效避免，会极大地削弱公众应用新兴消费方式的热情，造成无法衡量的间接经济损失―公众对银行的信任度受损：有问题的信息产品能否抵挡日益严重的网络犯罪？

据国外调查机构数据显示，金融历来是黑客关注的焦点，在有预谋的网络犯罪中，90%以上集中在银行、证券和保险领域。日前，公安部人士在有关工作会议上透露，2005年我国用户仅银行卡被骗金额就将近1亿元，其中利用网络病毒窃取、“网络钓鱼”骗取、手机短信欺诈等已经成为银行卡诈骗的主要手段。

如同在真实的社会中一样，欺骗、病毒、入侵、盗窃甚至抢劫，在网络环境中始终存在，且愈演愈烈。2006年年初公安部出台了《信息安全等级保护办法（试行）》（以下简称《等级保护》），构建等级化保护体系，同样也成为了金融行业迫在眉睫的任务。

公安部选择了一些银行作为等级保护的试点单位，意图通过严重依赖信息化展开业务的银行试点，总结经验在全国范围内推广。时间已过半年，现状究竟怎样？本刊希望以“等级保护”为采访线索，将金融领域信息安全这一敏感话题理性呈现，为有关政策决策时提供客观依据。

进退维谷

记者在采访中发现，无论是否参与等级保护试点工作，各银行的CIO或者CSO都认为《等级保护》要落实起来难度相当大，因此绝大多数商业银行还处在观望状态，担心的问题有三点。

首先，政策是否具有延伸性？是否具有可操作性？某重要商业银行一位不愿意透露姓名的信息化主管认为，等级保护搞了十几年，一直感觉是雷声大，雨点小。譬如早在1994年，国务院就了147号令，规定计算机信息系统必须实行等级保护，但是没有相关的管理办法和等级划分标准出台，导致政策一到操作层面就执行不下去。等1998、1999年到公安部会同信息产业部、保密局、中办机要局、军队和地方的专家，正式制定了计算机信息系统等级划分标准后，整个的安全形势又发生了很大的变化，这个标准又过时了。

“我们能理解一个政策出来，需要一个逐步完善的过程。”某银行的科技部负责人认为，但是在国家层面，这个时间过长就会导致政策的实效性比较差；而相关政策配套的管理办法和管理条例的缺失或含糊，则会使政策很难操作甚至根本不可能操作。

其次，政策的管理部门太多，行政效率很低，从而导致落实政策和法规时，出现问题不知道找谁。牵头实施《等级保护》的相关部门很多，国信办、公安部、信息产业部、保密局、人民银行、银监会都在参与，但具体工作究竟该由谁指导落实，却非常模糊。

“坦率地讲，《等级保护》试点在我们银行没有太多进展。”该银行科技部负责人说，“很多事情，政府管理的部门一多，就会变得复杂理不清头绪。上面没说清楚，下面就更搞不清楚。”

据一家地方性银行的信息化主管介绍，他们是当地公安部门确定的第一批落实《等级保护》的试点单位之一，但几个月过去了，银行都还没有弄清楚该工作到底是公安部门的网监处牵头，还是由内保局来主管，因为二者都在做等级保护的相关工作。“最后的结果是，公安部门需要我们提供什么材料，我们就提供什么材料。”这位信息化主管说，“从而失去了试点工作的意义。”

再者，虽然我国银行业的网络安全意识和网络安全应用水平居于各行业之首，但“等级保护”却是一个新课题。一方面，相对来说，中国金融业基于互联网的入侵近几年才涌现，大家对风险的评估能力和安全的防护手段还处在逐步改进之中；另一方面，随着前几年银行业数据大集中的逐步完成，银行的业务系统不单单是一个软件系统，还涉及到覆盖全国的网络系统。

“我们缺乏经验，也无从下手。”某政策性银行一位主管信息安全的CSO说，“公安部出台了一些细节，指导性不强；而人民银行也没有具体的相关条例。”据了解，按照公安部门的要求：在落实《等级保护》时，系统的定级要银行自己来上报，再由公安部门来检查。

对于银行来说，评估自己的系统应该上报为几级是件相当头疼的事情。如果系统的安全级别报高了，安全措施就会要求高，从而增加银行的安全成本，影响到安全效益；如果系统的安全级别报低了，万一出了问题，谁也负担不了这个责任。

该安全主管表示，等级保护是一定要做的，但对于像我们银行这样信息化人手远远不够的单位来说，只能是借鉴试点的兄弟单位的经验来做，眼下所能做的是把相关政策、法规消化理解透彻。“这不是一两年就能做好的工作，只能是走走停停，边走边看。”

“卡”在哪儿？

虽然大多数专家认为，政府强调实施等级安全保护制度是非常英明之举，但是，当政策法规要落到行业实践时，却为何结合得如此松散呢？瓶颈究竟在哪儿？

中国信息产业商会信息安全产业分会常务副理事长、著名信息安全专家屈延文教授认为，在一定程度上讲，缺乏一个强有力的信息资产安全监管机构和一套切实可行的信息安全监管机制，是国家信息安全宏观政策无法在金融业中全面落实的重要原因。

他认为，现在出台的《等级保护》只是一个红头文件。事实上，对于信息安全，不同部门理解的角度是不同的，公安部门讲的是安全责任；银监会讲的是安全秩序; 商业银行讲的是安全效益。因此，银监会、保监会、证监会、信监会、工商会共用一个文件，一个框架虽然可行但不实际，一旦跟行业的具体问题相结合，必然存在鸿沟。

“我认为银行方面信息化的安全最终还是由银监会来管来抓比较合适，因为银行的信息安全属于操作风险，而操作风险就是属于银监会管的。我们不可能脱离银行业务来孤立地谈银行系统的安全。”

在他看来，现阶段在银行业进行《等级保护》试点工作已出现两难。

一难是，公安部并不懂得银行业务，如果强行推的话，必然会出现沟通障碍，只能就系统安全来谈安全，和业务剥离，使得商业银行因无法评估安全效益而缺乏贯彻落实《等级保护》的动力。

二难是，如果由银行业自行推，就缺乏一个强有力的监督管理机构。银监会和人民银行分开时间不长，分工不是很明确，还存在交叉。譬如银行风险、货币风险归人民银行管，操作风险归银监会管。“而这些又彼此交叉，职责的磨合需要一段时间。”

据记者了解，目前人民银行管理安全的部门隶属于人民银行科技司，对各商业银行的安全推广工作只能起到一个召集者的角色和行业信息化的指导性作用，心有余而力不足；而银监会没有对信息资产安全实施监管的机构，根本就拿不出具体的实施方案来，银监会的信息中心目前还无法替代信息资产监管的职能，它所承担的工作仍局限于银监会内部的一些信息化项目建设，如办公自动化、网络基础设施建设等等。

一些银行的信息化主管同意屈延文的部分看法，认为人民银行和银监会在信息安全监管方面可以做得更得力一些;但是，认为仅仅靠银行业内部，很难解决信息资产安全监管的机制问题。

某试点银行的信息化主管认为，文件写得怎样并不是等级保护最重要的事，关键问题是有没有操作性缺陷。从已经迈开的试点工作来看，实施等级保护的第一步――风险评估就是制约《等级保护》落实的最大短板。

首先，风险评估是一个非常复杂的问题，尤其是金融业的信息系统自身所依赖的技术复杂，涉及层面广泛，评估更是难上加难。譬如在2000年10月，银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告中，仅电子银行相关的主要风险，就列出战略风险、名誉风险、操作风险（包括安全和法律风险）以及信用、市场和流动性风险众多条。

其次，请谁进行风险评估也是一个令人头疼的问题。按照国家政策的相关规定，我国重要的信息系统进行风险评估，主要是自己评估或委托第三方进行评估。

接受采访的一些银行信息化主管认为，如果进行自评估，绝大多数银行并不具备这个实力，在系统业务繁忙的情况下，银行不可能投入大量的人力和物力去进行风险评估；即使是有评估能力的银行，也认为“内部评审权威性差，自己内部人自己评自己，说不过去”，不敢贸然行事。

如果委托第三方评估，究竟该如何判定第三方的资质又成为一个新问题。因为以前根据人民银行的要求，会委托有实力的第三方定期做信息风险评估，但并无资质这一说。“我们不敢也没有能力承担起风险的责任。”某重要商业银行地方分行的信息化主管说。

因此对金融业来说，在相关配套监管措施缺位的情况下，请第三方进行风险评估本身就蕴涵了新的风险。如果不知道系统的弱点，就不可能很好地保护系统；如果知道了系统的弱点，一旦被泄露，将会带来更大的不堪设想的风险，尤其是在安全漏洞大量存在和安全事故层出不穷的状态下。

如何前行？

尽管《等级保护》在金融行业遭遇落地难题，但被采访的几位专家和银行信息化主管都认为《等级保护》从最高层次对信息系统进行了安全角度的划分，是构建我国信息安全保障体系的核心重要环节。

金融行业将如何突破落实《等级保护》中的重重关卡，摆脱胶着状态，顺利前行呢？一位不愿意透露姓名的信息化主管认为，首先是在于上级的重视，银行信息化建设的历史充分表明，“一把手工程”才会成功。

“公安部门再怎么强调，下边的CSO再怎么努力，抵不上行长亲自发话过问。”这位信息化主管说， “2000年人民银行召开信息化安全会议，行长一发话，各个商业银行的安全处就齐唰唰地建成了。”他认为，如果银行领导也认同公安部门的看法，在实施《等级保护》时，落实责任制，层层都要有人管，从总行到各分行都有责任，很多问题就可以迎刃而解。

“一把手”工程确实能带来信息化建设的成功，可目前有几家企业的信息化建设是“一把手”工程？从当前一些银行实施软件的不成功就可以看出一二来。所以说，“一把手”工程关键还是在于落实，从组织结构上把它明确下来。“如果这个问题得不到彻底解决，一切都是白搭。”业内一资深信息化专家表示，“银行等级保护工作的实施只是一个具体问题，类似这样实施难的信息化问题还有很多。”

除了需要上级领导的高度重视，抓紧制定行业内的相关配套做事，来解决监督管理方面的问题，也是金融业当前亟需要跟进的重要环节。因为没有专门的监管机构来从事信息化的监督管理，很多事情落不到实处。

一位银行信息化主管认为，在银行内部有安全管理机关却无监督机关，这使得安全工作是弥补而非预防，许多工作处在可做可不做的状态，譬如落实《等级保护》，因为并没有谁对违反《等级保护》规定情况下的处罚标准进行界定。他赞同屈延文的看法，呼吁银监会直接成立科技监管司或信息资源监管司，来督促银行信息化安全工作的全面实施。

“目前由于监管机构的缺失，评估工作走过场和所谓的腐败问题也非常严重。” 某著名安全专家在接受记者采访时表示，就算评估工作是真实的，通过评估之后，由有关部门发放证书，证明其符合要求与标准。评估之后，被评估的工作是否还能保持评估时的标准要求，必须对被评估企业进行监管，否则，评估之后，各项工作出现倒退，评估的意义便失去了。

对于专家的说法，记者有一些同感。2004年记者有幸参加了银行重大系统的专家组验收会，对整个验收的过程有一些了解和感觉，虽说谈不上腐败，但是那种走过场和流于形式的现象还是挺有感触的。

该专家认为，评估工作正确的做法是把评估的重点放在信息资产的价值评估上，给出信息资产和风险资产价值化的评分与定价的标准。评估工作除实行价值评估外，还要实行效益或有效性的再评估。

现在的信息安全已经逐渐变成一个独立的学科，一些信息化主管认为，信息安全需要有专业人员提供服务，包括风险分析、咨询服务等。在国家尚未对安全服务进行规划化管理时，金融业可以先行一步，对提供安全服务的企业进行行业资质管理，依靠政策和市场相调控的原则，来弥补银行安全人才缺乏的短板。

就算评估工作是真实的，且在通过评估之后，由有关部门发放证书，证明其符合要求与标准。但评估之后，要使被评估的工作还能保持评估时的标准要求，就必须对被评估企业进行监管。

链接：何为等级保护？

信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。我国信息安全等级保护分五级:

第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

第三为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。

第3篇：等级保护和风险评估范文

关键词：故障库；ERP 系统；完整性；闭环化

引言

输气站场的设备是输气站安全平稳地完成正常输气活动的物质基础，同时它也是构成分公司企业生产力的基本要素。因此，加强输气站场的设备管理，对于输气站场完成正常的输气任务，保证整个输气工作的安全，乃至最终提高分公司的经济效益都有着非常重要的意义。

1.规范化设备管理制度和体系的重要性

输气站场建立完善的设备管理制度和体系，是完成设备的操作、维护保养、检修及考核标准制定的指导性文件。管理人员制定和规范所辖输气站场设备的管理标准和规定，提高设备的管理力度。依照制度建立规范的管理规定、依照管理规定建立规范的管理记录，依照管理记录建立规范的考核标准，规范设备的运行、操作和维护保养、资料记录、故障处理、备件管理等，才能不断促进设备管理的标准化、规范化和制度化。

2.设备管理分析

涵盖所有分类设备的管理制度，包含设备的选型、购买、使用、维护维修、调拨、报废等整个流程进行日常的管理。是设备管理中最重要的工作环节之一，具有工作量大、重复性强、所涉及规定和规程多的特点。

上级主管部门应加强设备管理人员技术培训，并确保设备管理人员的技术更新。输气站场设备管理由过去以人员密集型向科技密集型转变，管理方式也发生了很大变化，随着自动化控制技术在设备管理中的广泛应用，对站场设备管理人员的技术要求更高了，管理人员不仅要有很强的责任心，而且要具备专业技术素质，设备的管理说是对设备的管理，归根结底还是对人的管理，调动起人在设备管理中的积极因素，达到人与设备的和谐统一。

3.完整性设备管理方案

站场资产完整性管理如下图所示，主要工作流程包括：数据收集与整理、RBM分析、执行检测、维护或测试、对资产进行状态评估确定修复与减缓措施，进行效能评估。站场资产完整性管理是一个持续循环和不断改进的过程。

图1 站场资产完整性管理流程

制定方案以RBI、RCM、SIL分析方法为基础，依据相关法规、标准，建立基于风险的、优化的资产完整性管理方案。针对站场设备类型及工作状态，将站场设备分为承压设备、转动设备、安全仪表系统三类。每种类型的设备根据其适应的不同类型的分型方法（RBI、RCM、SIL）分别制定完整性管理方案，其中承压设备又分为站内工艺管道和压力容器两部分，其完整性管理主要以检验为主要手段，通过检测，对出现问题的部分进行维修；转动设备以故障库和状态监测为基础，以RCM风险评估技术为手段，为日常的维护和维修计划的制定提供有力支撑。由于安全仪表非设备专业，本文对仪表设备的完整性管理不进行论述。

3.1.承压设备完整性管理

承压设备的完整性管理应该通过对其基本数据以及信息进行管理和分析，并通过风险评估以及评定结果进行方案制定

评估结果应能给出每个设备项的损伤机理、风险驱动因子数值、失效可能性等级、失效后果等级、总经济风险等级和安全风险等级，并以表格的形式进行分类汇总，得出风险评估的综合结论。对失效可能性等级较高的设备项，应该出下次评估日期的检验前后可能性等级对比，以显示风险的发展趋势和检验的有效性。

3.2.压力管道完整性管理

基本数据及信息来自站场设备档案、现场实测和专家设定，数据收集应遵循数据的真实、有效、可控和可追溯的原则，保证数据及信息的准确、完整、和可靠，满足分析与评估的要求。数据包括设计建造资料、工艺操作参数、运行状况、完好情况、检维修记录和其他相关信息，如失效分析报告、安全评估报告等。

评估结果应能给出每条管道/段的损伤机理、风险驱动因子数值、失效可能性等级、失效后果等级、总经济风险等级和安全风险等级，并已表格的形式进行分类汇总，得出风险评估的综合结论。对失效可能性等会较高的设备项，应该给出下次评估日期的检验前后的可能性等级对比，以显示风险的发展趋势和检验的效应。风险评估的目的是为了制定基于风险的检验计划提供基础，故应明确定义管道/段可能涉及的损伤机理所需进行的具体检验的有效性等级划分，并相应确定针对风险评估结果实际采取的检验有效性等级。

3.3.转动设备完整性管理

转动设备的基本数据及信息来自站场设备档案、现场实测和专家设定，数据收集应遵循真实、有效、可控和可追溯的原则，保证数据及信息的准确、完整和可靠，满足分析与评估的要求。数据包括设备的设计建造资料、工艺操作参数、设备运行状况、设备完好情况和设备检维修记录和其他相关信息，如设备的失效模式、失效原因和风险结果等。

风险评估基于DNV的RCM分析方法，RCM分析是一个持续改进的维护策略程序，结合站场设备的具体情况、工艺条件的变化以及失效记录的更新等，应该考虑定期对设备风险进行重新评估，对维护保养任务等进行适当的调整。

由于目前分公司没有开展基于可靠性的风险评估（RCM），动设备的维护保养各站场仍严格执行厂家推荐或相关设备维护保养规程所要求的维护保养周期及任务。对发现隐患或故障设备的相关维护保养任务应根据实际情况对维护保养周期及任务进行相应调整。维护保养结束后，应如是填写设备维护保养记录。

4.结束语

通过对以上各类设备检验、维护、维修过程的有效性评价，不断改进完善企业的体系、制度和设备维检修工作，使设备管理更上一层楼。总而言之，作为输气管理者，应该本着对人民群众高度负责的精神，从构建社会主义和谐社会大局出发，切实做好城镇输气的相关工作，加强生产过程中的监督检查，寻找造成安全隐患的薄弱环节，运用先进的管理经验，做好设备管理和安全管理工作，以高度的责任感、事业心，健全制度，完善法规，规范操作，不断提高企业的管理水平和技术水平，坚决杜绝重大安全事故的发生。

参考文献：

第4篇：等级保护和风险评估范文

关键词：信息系统；风险；评估；管理

在当前迅猛的科技信息技术传播更新下，对于信息安全管理的工作也发生了重大的改变，其从传统单一的技术管理手段改变为技术与管理两者相结合的较全面综合管理手段；其从局部的管理模式改变到对于全局管理的系统管理模式；从最初存在较多问题的不完善经验式管理改变到目前具有着分明的安全等级科学管理模式等。在风险评估上也从评估对象的综合评估转变到个因评估、从目前的现今评估发展到对未来趋势的评估；又从静态的评估方式转变到动态评估方式；从最初的手动风险评估转变到今天的全自动技术自动评估；从信息风险的定量评估改变到定性与定量两者相结合等，以上的改变都证实了我国在信息安全管理上不断努力的成效。结合目前我国信息系统的现状来说，在现有基础上对于相关信息系统科学理论、方法的更进一步完善与创新，是势在必行的，也是确保信息系统风险评估与管理工作不断完善的必要前提。

一、信息系统风险评估方法的研究现状

1.基于专家系统的风险评估工具

这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存在的问题，以及处理办法。

2.基于定性或定量算法的风险分析工具。

风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的――也就是，他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。

二、信息系统风险评估方法

1.对于定性评估来说，其主要的评估途径是根据研究者在其所掌握的知识和所具备的经验吸取以及政策走向等非量化的资料来对信息系统的状况做出不同风险情况等级的判断。在信息系统风险的评测中，定性分析乃是被使用较多的分析方法，其特点主要是只关注那些构成危险事件可能会带来的损失，而不计算该威胁是否会发生。在实施定性评估的过程中并不使用具体的数据进行评测，而是使用指定期望值来进行评测，如，假设每一种存在的风险其风险影响度和预期风险的发生概率为低等、中等和高等，而不是确切的数字。总的来说，定性评估的优点在于其可以使评估的结果更加深入、广泛，但是很大的一个缺点在于其具有较强的主观性，因此，对于定性评估来说，对评估者自身的专业素养和分析能力的要求是非常高的。

2.其次是定量评估，它去定性评估的区别是：定量评估是使用数量指标来对风险进行评测的，它在评估过程中，重点分析风险可能发生的概率和发生的风险危害程度所形成的比值，这与定性来说是截然相反的。因此，定量评估在进行评测的同时大大增加了运行机制和各项规范、制度等紧密结合的可操作性。定量评估的特点在于其使分析评估的目标的对目标采取的补救措施更加明确，在一目了然、清晰的数据中看到直观的评测数据。美中不足的是，定量评估在其量化过程中容易将复杂的事物简单化，容易造成疏漏。

3.就目前来说，将定性评估与定量评估两者的有机结合是得到客观、公正的评估结果最合适不过的方法，而且通过其两者的相互融入，此消彼长，取长补短是非常科学的。因此，在对于信息系统的风险评估中，需要因地制宜，做到具体问题具体分析，如，在进行风险评估时，遇到关于结构化问题相对很强的时候可采用定量分析；反之，可使用定性分析；如问题的显示既兼有结构化又带有非结构化时，就可以采用定性评估与定量评估两者结合的评测；这样就能使遇到的问题复杂变简单，简单变迎刃而解。

三、信息系统动态风险管理模型与对策建议

1.基于态势评估的风险预警、防范与控制

信息系统安全风险态势评估值表示系统当前是否安全，即通过当前态势值和正常情况下的态势值比较可以判断系统是否安全;也可以提供可能收到的信息系统威胁程度有多大的信息。通过评估己能够得到过去和当前的信息系统安全状况，能给信息系统管理者预警。这些使得信息系统管理员能明确获知信息系统攻击的威胁程度，清晰的把握信息系统安全状态，从而对信息系统现实的情况做出相应的防范与控制措施。基于态势评估的信息系统风险预警、防范与控制模型图如下:

2.信息系统风险评估信息安全保障体系的建立

为有效控制信息系统面临的安全风险，确保信息系统的安全、高效和可靠运行，迫切需要构建基于信息系统风险评估的整体信息安全保障体系，建立贯穿信息系统各个应用环节的立体式安全防护，使其得到有效的安全保障，从而确保信息系统业务的顺利进行。

信息安全管理体系是组织整个管理体系的一部分，它基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。建立信息安全管理体系是“需求导向型的信息安全解决方案”的典型体现，通过体系的建设，可以有效解决组织面临的信息安全问题，提高组织的信息安全防护能力。

风险评估是等级保护的出发点，也是安全建设的出发点，风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考点，它为信息安全管理体系的控制目标和控制措施的选择提供依据，也是安全控制效果进行测量评估的主要方法。等级保护是指导我国信息安全保障体系建设的一项基本管理制度，它是安全管理体系建设的基本原则，它的核心内容是对信息系统安全分等级、按标准进行建设、管理和监督。

3.信息系统风险评估对于保护对象的有效识别

从目前国内外信息系统的安全实践看，信息系统存在许多威胁和潜在的风险。这些潜在的风险属于信息安全管理范畴的问题。实施信息系统风险评估能够有效识别需要保护的对象，知道了要保护什么，就会分析保护对象的特点、属性，分析保护对象存在的脆弱性(既包括技术脆弱性，也包括管理脆弱性)和面临的安全威胁，从而有针对性地选择控制措施来应对具体的风险，尤其对于管理脆弱性，可以通过制定相应的策略和程序来加以控制，这正适合于解决信息系统中存在的信息安全问题。

总结：

第5篇：等级保护和风险评估范文

[关键词]风险管理；安全防护；增值业务

中图分类号：X92 文献标识码：A 文章编号：1009-914X（2015）05-0092-01

1、增值业务网系统安全防护项目概述

根据电信网和互联网安全防护体系的要求，将智能网安全防护内容分为安全等级保护、

安全风险评估、灾难备份及恢复等三个部分，其中安全风险评估主要包括资产识别、脆弱性识别、威胁识别、已有安全措施的确认、安全风险分析、安全风险评估文件处理等，本标准仅对智能网进行资产分析、脆弱性分析、威胁分析，在智能网安全风险评估过程中确定各个资产、脆弱性、威胁的具体值。资产、脆弱性、威胁的赋值方法及资产价值、风险值的计算方法参见YD/T 1730-2008《电信网和互联网安全风险评估实施指南》；

2、项目风险管理

2.1风险识别与分析

风险识别就是确定风险的来源、风险产生的条件、描述其风险特征和确定哪些风险事件有可能影响项目，并将其特性记载成文的管理活动。风险识别的步骤分三步：1）收集材料，2）风险形式估计，3）根据直接或间接的症状将潜在的风险识别出来。风险识别的具体方法包括：德尔菲技术、头脑风暴法，SWOT分析法、图解技术、检查表等。

风险分析分为定性风险分析和定量风险分析。定性风险分析指通过考虑风险发生的概率，风险发生后对项目目标及其他因素的影响，对已识别风险的优先级进行评估。定性风险分析的技术方法有风险概率与影响评估法、概率和影响矩阵、风险紧迫性评估等。定量风险分析是指对定性风险分析过程中识别出的对项目需求存在潜在重大影响而排序在先的风险进行的量化分析，并就风险分配一个数值。

2.2应对风险的基本措施及风险监控

应对项目风险有多种策略，比较常见的有减轻、预防、转移、回避、接受和后备措施等。

监控风险就是为了改变项目管理组织所承受的风险程度，采取一定的风险处置措施，以最大限度地降低风险事故发生的概率和减小损失幅度的项目管理活动。IT监控项目风险就是在整个系统集成项目生命周期内跟踪已经识别的风险，监视残余风险，识别新的风险，实施风险应对计划并评估其有效性的过程。

3、项目风险管理实例

3.1项目案例场景

项目根据电信网和互联网安全防护体系的要求，对运营商增值业务系统进行安全加固，保证系统安全、稳定的运行。本次安全加固分为系统安全合规性检查和应用漏洞修复2个部分。

系统安全合规性检查：

2013年5月底，运营商下发2013年曾值业务系统合规性检查通知，要求此次合规性检查分数不低于85分，完成时间7月31日。此次合规性检查需要升级liunx系统26台，HPUNIX系统27台，网络设备18台，数据库9套，总计设备总数80个。6月底之前，运营商无法提供合规性验证系统给维护方使用，维护方只能根据运营商反馈的合规性检查结果，进行分析、加固。由于设备均为现网设备，维护方系统支撑部提供的各个系统加固方案，直接部署到现网，存在一定的风险。5月底到6月底分2批操作，每批各抽取一个系统的1-2台设备进行加固，加固后观察1-2周，观察加固效果及系统的影响，期间对LIUNX账户锁定策略及webjoin的FTP服务进行了还原。7月份，运营商提供合规性验证平台，以及前期加固系统的稳定运行。2013年7月8日到2013年7月22日经过6次加固升级，基本符合合规性检查加固预期。

应用漏洞修补：

2013年6月7日至8月23日，运营商进行了7个批次的漏洞扫描，不断的发现新的问题，累计发现漏洞16个，低危链接11个，维护方进行了8次升级操作，因不具备立即验证升级效果的条件，2次升级未达到预期效果，经过调整，最终满足了运营商的要求。其中apache struts，apache，tomcat都在一个月的时间内连续进行了2次大的版本升级。由于运营商有考核压力，不断的催促维护方尽快解决扫描出来的漏洞，仅紧急升级就进行了4次，特别是在维护方高温假期间，没有足够人员支撑的情况下，运营商强制紧急升级2次，第1次因现网环境与实验室环境差异较大，被迫导回，第二次因时间紧急，维护方研发代码修改后，未完全测试，就提交测试部，导致在测试环境下升级tomcat后网站无法正常登陆，测试无法通过。经过研发修改后，测试部同事加班测试完成，最终在升级要求结束时间内上线成功。

3.2项目的风险清单

根据案例场景分析，通过风险评价方法将识别的风险条目进行风险评价，进而生成项目风险清单，如表1所示：

第6篇：等级保护和风险评估范文

【关键词】 三级护理评估； 精神科护理； 效果

A Research on the Application of “Three-level Nursing Evaluation” for Psychiatric Nursing/YIN Yan，ZHANG Rong， ZHAN Shao－hong，et al.//Medical Innovation of China，2012，9(13)：068-070

【Abstract】 Objective：To elaborate and discuss the “three-level nursing evaluation” in psychiatric nursing. Methods：Selected in Qujing City People's Hospital from June 2010-June 2011，100 cases of hospitalized patients with schizophrenia were randomly divided into experimental and control groups by sex， with “touch the ball” method， and finally merged in two group (n = 50).The experimental group used the methods of “three-level nursing evaluation” ，while the control group only got the nursing assessment，psychiatric routine care.Percentage of patients with statistical charts compared treatment compliance and risk situations between the experimental group and control group， nurse Inpatient Observation Scale (NOSIE) hospital treatment effect of longitudinal observation to assess the patient's condition， three assessment time： patients admitted to hospital 48 hours， two weeks after treatment and before discharge. Results：48 hours of admission scores between：two groups of patients no significant difference in the score in the 6 to reflect factors(P>0.05); After two weeks of treatment score： two groups of patients with the score were changes in the experimental group patients in the personal and tidy， the total score， the total positive points score was higher than the control(P

【Keyword】：Three-level Nursing Evaluation; Psychiatric care; Effect

First-author’s address：The 3rd People's Hospital of Qujing，Qujing 655000，China

doi:10.3969/j.issn.1674-4985.2012.13.037

整体护理要求护士以现代护理观为指导，运用护理程序这一科学的工作方法，为患者提供最佳的优质护理服务[1]，而护理评估是护理程序的关键环节，是第一道大门，是确保整体护理按质按量完成及病区安全的重要组成部分[2]。本研究旨在探讨三级护理评估在精神科护理中的应用效果，即针对精神科住院患者(以精神分裂症为代表)在整个治疗过程中出现的和潜在的护理问题实行三级护理评估的工作方法，在整个护理过程中建立三级评估的护理方法，把评估的时间和人员分为三级进行24 h连续地评估，做到层层把关，以便及时发现患者的各种护理问题，调整护理措施，进而保证准确及时地给予有效的护理和预防干预，并对这种工作方法所具有的价值进行统计评价，总结出在精神科护理中组织和实施三级护理评估工作制的经验，以便推广应用。

1 资料与方法

1.1 一般资料 选择2010年6月-2011年6月入笔者所在医院精神科住院的精神分裂症患者100例，其中男60例，女40例。按性别用“摸球法”随机均分入实验组和对照组，最后合并，每组50例[3]。入组标准：⑴符合CCMD-3精神分裂症诊断标准[4]的住院患者；(2)无严重躯体合并症和药物过敏史；(3)患者及其监护人同意并签定知情同意书[5]。两组患者均为50例，男30例，女20例。实验组年龄13~54岁，平均年龄(35.52±14.68)岁，其中小于18岁2例，文化程度：大专10例，高中15例，初中及以下25例。已婚40例，未婚10例。对照组年龄15~55岁，平均年龄(36.56±14.34)岁，其中小于18岁1例，文化程度：大专12例，高中12例，初中及以下26例。已婚38例，未婚12例。两组一般资料比较差异无统计学意义(P>0.05)，具有可比性。

1.2 方法 两组患者入院后均按照精神分裂症治疗常规，选用非典型抗精神病药物利培酮治疗，观察期间未使用其他抗精神药物。利培酮治疗量为3~6 mg/d[6]，实验组(3.25±2.75)mg/d，对照组(3.55±2.45)/d。实验组用三级护理评估的工作方法进行护理，对照组只进行护理首页的评估，按以往的精神科护理常规护理。

1.2.1 护理评估的干预方法 三级护理评估由本项目组护士长主持并组织实施，项目组其他成员分工负责。实行此方法前项目组成员的全体护士集中学习培训《三级护理评估的临床实施》[7]，以取得对本研究目的、意义、操作方法理解的一致性和具体实行的规范性。三级护理评估的工作方法评估的时间、人员和具体操作上均分为三级，从精神症状、社会功能、生理状况、心理社会四个纬度进行评估[7]。具体方法如下。⑴一级护理评估：新患者入院48 h内，主要由护理班进行首次评估，此班人员从患者入院起，参与患者生命体征及体重的测量，旁听经治医师的问诊，建立护患关系，介绍医院环境，根据收集到的患者资料，提出护理问题并拟定初步护理方案。此级的主要评估内容为：①患者的住院依从性，主要评估患者的外走、外逃风险；②主要精神症状[8]及精神症状的应对方式，尤其要注意患者自杀、自伤、冲动的风险的评估；③患者服药的依从性；④患者的基本生理需求及躯体合并症，自理能力的评估；⑤心理、社会方面(如经济、婚姻、性格、人际等)的评估，根据评估提出护理问题，并采取相应的护理措施。⑵二级护理评估：患者入院2~3周，即治疗期患者的评估。主要由责任护士根据一级评估资料、病理资料和患者入院后的治疗恢复情况进行再次评估，主要评估内容为：①精神症状的改善情况(如患者的自知力、社会功能)，主要风险等级(再次评估自杀、自伤、冲动、外走的风险)；②患者服药的依从性及不良反应，尤其要注意分辨精神症状与药物不良反应；③患者的基本生理需求，针对评估出的护理问题和风险情况修改、完善护理方案，并保证实施。⑶三级护理评估，患者出院前期，即康复期患者的评估。主要由责任护士和护理班完成，主要评估内容为：①患者的自知力是否完全恢复，还存在哪些精神症状，危险性(如自杀、自伤、冲动等)是否存在；②长期服药的依从性；③心理、社会方面(如工作、人际、情感等问题)的再次评估，针对评估出的护理问题，及时修正护理干预措施，使患者更好的康复出院，回归社会。

以上三级护理评估最后均由护士长或主管护师督导检查，以确保护理问题和干预方案的正确性，以及各项护理措施的落实，并用早晨查房时间带领全体护理人员对新入院和其他高风险患者进行再次评估，提出护理问题，修改和进一步完善护理干预方案，并由小组保证实施。护理班、责任护士、护士长或主管护师的评估都是24 h动态的连续评估，评估的时间点为随时(各项护理工作中)、晨间、三班交班、周大评估。三级护理评估是连续的、动态的，是贯穿于每个护理行为中的一种工作方法，整个三级护理评估的过程也是一个护理沟通干预的实施过程。

1.2.2 评价方法 对患者采用百分统计图表比较实验组和对照组的治疗依从性[9-10]和风险情况，用护士用住院患者观察量表(NOSIE)[11]对患者病情，住院治疗效果进行纵向观察评定。NOSIE共有30项，反映6个因子，本量表为频度量表，按具体现象或症状的出现频度分为0~4分5个等级评分。其中总分、总积极分、社会能力、社会兴趣、个人整洁得分越高说明病情恢复效果越好，反之，则说明治疗康复效果差；而激惹、精神病表现、迟缓、抑郁分越高，说明病情康复效果越差，反之，则病情康复效果越好。三次评定时间为：患者入院48 h内，治疗2周后，出院前。评定均由该项目组护士进行，由于每次只由一名护士评定，故统计时评分均乘以2。评定前对参与评定的人员统一培训并进行预测评，进行一致性检验。

1.2.3 统计学处理 应用SPSS 13.0统计软件进行处理，所得数据以(x±s)表示，比较采用t检验，以P

2 结果

第一次评分比较显示：两组患者在6个因子中的得分差异不明显(P>0.05)；

第二次评分比较显示：两组患者各项评分均有变化，实验组患者在个人整洁、总分、总积极分高于参照组(P

第三次评分比较显示：实验组患者在个人整洁、社会能力、社会兴趣、总分、总积极分的得分明显高于参照组(P

图1 实验组和对照组的治疗依从性和风险情况百分比统计图

3 讨论

精神科住院患者发生自杀、自伤、冲动、毁物等是多因素作用的结果，风险主要来自于精神疾病本身，与精神病理密切相关[12]，本研究在精神科护理中实行三级护理评估的工作方法，可找出患者现存的和潜在的护理问题，以便采取相应的护理措施，给其及时的预见性干预，把安全关口前移，有效降低各类风险发生率，促进患者早日康复，是有效的护理方法。

三级护理评估实现了护患的有效沟通，建立了良好的护患关系，有效降低了各种护患纠纷的发生。在发现和帮助患者解决现存的和潜在的护理问题的过程中，护士工作的针对性、主动性、预见性都得到了很大的地提高。做好三级护理评估需要护士拥有更强的专业知识和更广的综合能力及知识素养(如人文、地理、科学、宗教等跨行业、跨专业知识)，这些需要促使护士必须努力学习，不断扩大知识面，掌握医学、心理、伦理、社会学等各方面的知识[13]，使护士的整体职业素质有了质的提升。

精神分裂症患者由于受精神症状的影响，自知力大多缺乏，存在自杀、自伤、冲动伤人、毁物等护理问题，而恢复期患者对疾病的认知、社会能力，社会兴趣的缺乏，还有出院患者存在的长期服药的依从性、生活自理、工作人际心理等护理问题都有赖于护理评估的及时发现，如何将三级护理评估更好地贯穿于临床护理行为中，怎样提高护士的对问题的评估能力，掌握更好的评估技巧，采取有效的护理干预，实现有效的沟通，让患者能更好的回归社会，以及如何能更好来评定护理效果等都有待继续探讨研究。由于本研究针对的只是精神分裂症患者，对其他精神疾病的临床效果有待更进一步研究。

参考文献

[1] 宁玉华.精神科住院病人护理评估表的设计与应用[J].中国冶金工业医学杂志，2006，23(5)：602-602.

[2] 曹红芳，唐文淑.床旁评估在精神科整体护理中的应用体会[J].中外医学研究，2009，7(13)：159.

[3] 郭细先，陈亚萍，刘堂龙，等.交往训练对慢性精神分裂症患者社会功能的影响[J].中华护理杂志，2011，46(12)：1157-1161.

[4] 中华医学会精神科分会.CCMD-3：中国精神障碍分类与诊断标准[M].第3版.济南：山东科技出版社，2001：75-78.

[5] 郭全芳，张云红.自知力教育对精神分裂症患者负性情绪的影响[J].中华护理杂志，2011，46(10)：949-952.

[6] 张继志，吉中孚.精神药物的合理应用[M].第4版.北京：人民卫生出版社，2009：94-95.

[7] 柳学华.护理评估临床实施 北京大学精神卫生研究所临床心理科 部级继续医学教育项目：精神科的实践护理管理 第六期 培训课题 项目编号：J2-11-06.

[8] 沈渔.精神病学(PSYCHIATRY)[M].第5版.北京：人民卫生出版社.2009：503-533.

[9] 许江华，王琦，梁伟雄.慢性疾病患者治疗依从性的测量[J].中国行为医学科学，2007，16(8)：763-764.

[10] 张跃兰，邢改书，张润兰，等.循证护理对住院精神分裂症患者依从性的效果研究[J].中国循证医学杂志，2007，7(12)：862-865.

[11] 张明园.精神科评定量表手册[M].湖南：科学技术出版社.1998：214-217.

[12] 张华秋，张强.护士观察量表在住院精神病患者中的应用探讨[J].上海精神医学，2006，18(5)：291-293.

第7篇：等级保护和风险评估范文

建立完善管控体系

随着信息化的发展，管理者的职能也在不断变化。对于如何加快信息化的进程来说，传统工业时代下的管理控制模式已经不能适应发展的需求，因此，需要建立更加有效的信息化管理体制，确保信息化建设有序推进，最终实现组织信息化发展的战略目标。

在信息化时代下，完善的体制架构被划分为机构协调、职能分工和运作规则等几个部分。就机构协调而言，不再是传统的金字塔模式，即信息自下而上层层传递，决策由上而下层层布置；而是采用更加扁平的组织流模式，管理趋向于文化，而不在是制度，组织的信息化水平越高，即信息传递速度越快，内容描述得越精准，管理就变得越简单，国家或企业的安全就更加可控。

实施科学风险评估

风险评估作为保障信息安全的重要措施之一，其在信息化发展方面起着至关重要的作用。随着信息化的不断发展，各种社会组织都越来越多地依赖于信息技术和信息系统来处理其信息和管理业务，从而提高自身竞争力，风险管理也随之在信息化的推进和管理中扮演越来越重要的角色。信息化作为两化融合的重要组成部分，所涉及的众多信息都具有保密性，即使安全功能再强大的网络系统，也有被非法攻击的可能性，因此，对基于两化融合思路的信息安全风险评估服务也显得更为重要。寻求完善有效的基于两化融合思路信息安全风险评估模式，是保障信息安全的有效措施，也已成为世界各国两化融合工作的新方向。

信息安全风险管理是一个包括识别风险、评估风险以及采取措施降低风险至可以接受的程度在内的全过程，其目标是要保护重要的信息系统和信息安全，帮助管理层更好地做出与管理风险相关的各种决策，帮助管理层更好地审批和建设信息系统，掌握其可能面临的风险。它从风险管理角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平。这样综合评估的结果可以帮助风险管理进行决策，即需要采取什么样的风险管理措施，优先次序是什么，以及如何落实这些风险控制措施。

进行整体安全防范

对信息网络的整体安全防范应该在风险评估的基础上进行相应的信息安全等级保护和重要信息安全保护。信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用，进而保障两化融合的顺利实施。

分析关键管理过程

第8篇：等级保护和风险评估范文

【关键词】网络终端 数据 系统功能模块 量化模型

1 引言

随着计算机网络的普及和信息化的推进，网络与信息安全问题也日益突出，我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验，IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内，更重视网络系统内部数据的安全保护，网络终端是重要文件和重要数据的存放源头，许多安全事件往往发源于网络终端，来自终端的泄密事件、安全威胁也频频显现，网络终端安全管理已成为信息安全管理体系的薄弱环节。

对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析，并评估这些风险可能带来的安全威胁及影响程度，将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力，最大程度地保护信息资产。

目前，国内关于评估网络终端安全状况还没有统一的标准，网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨，尝试量化网络终端评估系统指标，将网络终端安全风险控制在可靠水平，从而最大程度提高终端安全水平。

2 网络终端安全评估方法

选择何种安全评估方法将直接影响到评估过程的各个环节，可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。

2.1 定量风险评估

定量评估对构成风险的各个要素和潜在的损失水平赋以数值，当量度风险的所有要素都被赋值后，建立起综合评价的数学模型，从而完成风险的量化计算。定量评估数据较为直观，分析方法相对客观，但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。

2.2 定性风险评估

定性评估主要依据研究人员的知识和经验，或业界标准、历史教训、政策走向等非量化

资料对系统风险作出评估，是一种模糊分析方法。定性分析操作相对简单，结论较为全面，但主观性强，易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。

2.3 综合风险评估

综合风险分析是将定性与定量评估相结合的一种分析方法，在不容易获得准确数据的情况下使用定性分析，在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法（简称AHP），它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。

3 网络终端安全评估指标体系研究

3.1 建立评估体系的原则

我国《信息安全风险评估规范》将风险评估的基本要素定义为：资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时，需要考虑以下4大原则：（1）必须遵循国际、国内信息安全评估规范，评估指标体系还应符合业务要求及应用特点，尽量满足用户及应用环境对网络终端安全性的要求。（2）设定的指标应涵盖终端安全所有风险要素，覆盖技术、管理各个层面，也囊括主观、客观各种因素。（3）指标的含义、目标应当明确，指标体系整体条理清晰，数据收集渠道应具现实操作性，保障定量分析的可行性。（4）评估指标要独立于网络终端安全的具体内容，不与其他指标内涵发生重叠。

3.2 网络终端安全评估框架设计

本文遵循评估体系建立原则，对网络终端安全状况建立起层次评估指标体系，拟将指标体系分为四层，详见表1。

实现网络终端安全状况评估指标体系，分为三步：一是建立层次评估指标体系；二是确定评估指标；三是对各个评估指标赋予权值。指标数据有多种来源，包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后，参照终端安全评估指标体系，采用文档审查、调查表等方式获得安全状况数据，再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。

3.3 网络终端安全量化评估模型建立

本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集，对被评估事物的模糊指标进行量化，再利用模糊变换原理对各指标进行综合评价。

3.3.1 建立评价对象因素集

设层次型评估指标体系为U，把因素集U分为n组，记做U={U1，U2，…，Un}，其中Ui∩Uj≠Φ，i≠j（i，j=1，2，…，n）。设第i个子集为Ui={Ui1，Ui2，…，Uin}，其中i表示第i组的单因素个数。

3.3.2 设置评判集和分配权重系数

设V={V1，V2，…，Vn}为评判集，由不同等级的描述组成的集合。m一般取奇数，评判集适用于任一层次和任一因素的评判。

3.3.3 单级模糊综合评价

成立一个评估专家小组，由专家对每个评估指标评判，并确定评估指标属于等级评判集中哪个级别，统计评估指标被评判为相应等级的专家数，相应等级专家数占专家总人数的百分比，即得到评估指标在此等级的隶属度，进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj，利用复合运算求出子因素Ui的综合评判结果：Bi=AiΟRi=（bi1 bi2 … bim），i=1，2，…，n。

3.3.4 计算最终综合评价结果

对单因素评价结果Bi再进行高层次的模糊综合评判，由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后，对多级因素集进行综合评价，得出评判因素U的最后评价结果为：B=AΟR=（b1 b2 … bm）。可根据评估指标的层次情况循环本轮计算，直至得到最满意的综合评价结果。

3.3.5 综合评价结果分析

模糊综合评价的最终结果不是一个单值，而是一个模糊子集，这样，能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出，最底层指标需要人为做隶属度判断，所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产（A）在保密性、完整性、可用性要求的不同程度，将三个属性划分为五个等级，对不同等级赋予不同数值；根据威胁（T）出现的频率对威胁进行赋值并划分五个等级；脆弱性（V）识别针对每一项资产，同样将其划分为五个等级。对网络终端安全评估值进行五等级划分，分别是好、良、中、差、极差，等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。

根据三个基本要素的最终赋值，并结合网络终端安全评估模型（图1），分析计算出网络终端安全评估值，计算过程分四步：（1）由A、T、V及风险发生概率决定网络终端安全评估值。（2）计算威胁利用脆弱性导致终端安全事件发生的可能性P，记为P=F1（T，V），P=T+V。（3）对资产造成的损失程度和威胁值、脆弱性、资产价值有关，记为L=F2（P，A），L=PXA。（4）考虑威胁发生并对资产造成的损失与风险发生的概率R，得出终端安全评估值S，S= F（L，R） ，S=LXR。

3.4 网络终端安全评估系统的设计与实现

3.4.1 系统需求分析

安全性评估分析，重点评估风险可能造成的威胁及影响，向系统管理员提交细致可靠的分析报告，让管理员掌握策略漏洞和安全状况，并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求：（1）识别网络终端资产。（2）对网络终端进行漏洞扫描，提供准确、客观的定量评估数据。（3）动态监测网络运行的终端资源，分析可能面临的威胁及发生的可能性。（4）进行终端安全评估，得到综合量化评估结论。（5）将数据、量化评估结果以报告形式输出。（6）给出安全解决方案或加固建议等，提高网络终端安全性。（7）管理使用评估系统的用户，分配不同权限。

3.4.2 网络终端安全评估系统设计

为减少系统资源占用，本文将评估系统设计在内网一台服务器上，设软件运行环境为Windows 2002/2003 Server，服务器被要求接入核心交换机。系统架构如图2所示。

3.4.3 系统功能模块实现

网络终端安全评估系统主要分为五大模块：资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。

（1）资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息，后者从资产数据库里读取终端IP地址、用户名、密码等信息，建立主机对象，将主机对象传给回调函数。

（2）脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端，并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。

（3）威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中，资源监测模块动态监测本地、远程终端资源，获取资源状态信息。

（4）终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估；完全评估则根据建立的安全评估指标体系里的指标因素集，利用多级模糊综合评判方法进行评估。

（5）响应模块。根据评估结果，匹配响应库里定义的规则，给出解决方案或加固建议。

系统接口设计方面，将系统分为三层：用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告；逻辑处理层实现上述五大模块的各项功能；数据中间层则屏蔽数据库细节，连接系统和多个数据库。系统接口设计如图3所示。

4 结束语

本文提出一套网络终端安全评估指标体系，建立起网络终端量化评估模型，将评估项目尽可能具体量化，以减少人为主观影响。下一步可考虑根据安全评估系统，对终端安全量化评估模型做进一步探索和改进，完善系统设计并扩充评估功能。

参考文献

[1]国家质量技术监督局.GB17859-1999，计算机信息系统安全保护等级划分准则[S].1999.

[2]国家质量监督检验检疫总局.GB/Z 24367-2009，信息安全技术 信息安全风险管理指南[S].2009.

[3]吴亚飞，李新友，禄凯.信息安全风险评估[M].北京：清华大学出版社，2007（04）.

[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪，2006，5：17-19.

[5]Xiaoping Wu，Yu Fu，Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution，Communication，Control，and Management.International Colloquium，2009，4：365-369.

[6]GB/T 20984-2007，信息安全技术信息安全风险评估规范[S].2007.

作者单位

第9篇：等级保护和风险评估范文

一、高度重视雷电灾害风险评估工作

雷电灾害是“联合国国际减灾十年”公布的最严重的十种自然灾害之一。近年来，随着经济社会发展和现代化水平的提高，特别是信息技术的快速发展，城市高层建筑物日益增多，雷击事故逐年增多，雷电灾害危害程度和造成的经济损失及社会影响也越来越大。我市是雷电灾害多发区，年雷暴日数高达58天，最多时达到100天，每年由于雷击造成的人员伤亡和财产损失非常严重。雷电灾害风险评估是雷击风险处理和灾害防治的前提和基础。各级各部门要充分认识防雷减灾工作的重要性和雷电灾害多发的严峻形势，消除麻痹思想和侥幸心理，切实增强责任感和使命感，坚持“预防为主、防治结合”的方针，严格按照防雷减灾工作的有关法律法规规章要求，切实落实防雷减灾职责和雷电灾害风险评估等管理制度，保障人民生命财产安全。要建立健全雷击事故责任追究制度，对因防护措施不到位或灾害应急处置不得力造成重大事故的，要依法追究有关人员的责任。

二、明确雷电灾害风险评估工作范围

按照《防雷减灾管理办法》的有关规定，根据我市雷电环境特点以及国家雷电灾害风险评估规范标准，大型建设工程和高层建筑、重点工程、爆炸和火灾危险环境、人员密集场所等项目，应当进行雷电灾害风险评估，以确保公共安全，具体范围包括：

(一)大型企业，化工企业；

(二)石油石化、爆破器材、烟花爆竹及其他易燃易爆物品生产供应储存场所；

(三)发射塔、基站等通讯设施，机场、高铁、轻轨、隧道、索道、高速公路等交通设施；

(四)高耸观光塔(梯)、高层建(构)筑物(包括建筑面积3万平方米以上或30米以上高度的各类建〈构〉筑物)、高架桥、大型游乐设施；

(五)重点文物保护建(构)筑物；

(六)车站、医院、学校、商场、体育场馆、影剧院、居(村)民集中居住区等人员密集场所；

(七)水、电、气、风电场等能源生产供应储存设施；

(八)其他涉及公共安全或环境安全的重点防护目标。