购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 安全风险评估论文范文

安全风险评估论文精选(九篇)

安全风险评估论文

第1篇:安全风险评估论文范文

随着新疆经济的快速发展,农业实现了主要农产品的供需基本平衡,能够保证消费者的充足供应。然而,现阶段,在温饱问题已经解决的情况下,人们的消费习惯开始发生变化,对食品的消费要求不断提升,农产品质量安全已经成为国内外社会各界关注的焦点。目前,新疆农产品质量安全的现状可以用3句话概括:产品质量稳定可靠、消费安全有保障、监管能力快速提升。

1.1农产品数量安全有保障

截至2013年底,新疆粮食总产达1653.97万t,番茄、啤酒花、红花、枸杞、甜菜、油菜和酿酒葡萄等农产品产量分别占全国的90%、70%、60%、50%、30%、20%和17%;其中番茄产量居亚洲第1、世界第3。红花、枸杞和石榴产品驰名中外,出口外销到韩国、英国、西班牙和以色列等10多个国家和地区。新疆设施农业用1%的面积(5.87万hm2,总产量290万t)创造了5%的农村经济总收入,拉动全区农民实现人均纯收入420元,占农民人均纯收入的10.5%,显示了广阔的发展前景。林果面积超过106.67万hm2(1600万亩),12种优质特色林果主要品种有效株数接近8亿株,产量近600万t。羊肉、牛肉和牛奶总产分别位居全国第2位、第5位和第6位,是全国4大奶源基地之一。从数量上来讲,新疆维吾尔自治区农产品基本达到了自给自足的现状,且每年农产品出口贸易量呈逐年扩大趋势。

1.2农产品质量稳定可靠,消费安全有保障

目前,全区农产品中已有涉农产品注册商标9700多件,中国传媒商标6个,中国名牌13个,中国名牌农产品75个,新疆著名商标138个、新疆名牌49个、新疆农业名牌116个。截至2012年底,新疆全区共认证“3品1标”有效产品总数1176个,其中,无公害农产品(种植业)925个,绿色食品168个,有机食品49个,登记保护地理标志农产品34个;认定无公害农产品产地298个,面积128.86万hm2;创建全国绿色食品原料标准化生产基地37个、面积39.67万hm2。绿色食品、有机食品和无公害农产品在整个农产品消费中,发挥着主导作用,且农产品质量稳定可靠,消费者的消费安全基本有保障。

1.3法律法规不断完善,监管能力快速提升

我国社会主义市场经济虽然已逐步成熟,但是经济发展过程中仍然存在诸多问题。新疆作为多民族地区,社会稳定大于一切,只有社会和谐稳定了才能求发展。食品安全就是一个典型的例子,它会影响整个地区的稳定,对整个区域经济的发展有着至关重要的作用。国内先后出现了各类食品安全事件,极大地破坏了政府的形象和消费者的自信心,这给新疆地区农产品质量安全主管部门敲响了警钟。自2006年《农产品质量安全法》和2009年《食品安全法》两部法律颁布以来,重大农产品质量安全事件得到了有效遏制,同时,在法律修订方面,也得到不断完善。新疆维吾尔自治区政府不断贯彻落实两部法律,在农产品质量安全事件应急处置、预警和预防等方面开展了大量的工作。新疆维吾尔自治区在农产品质量安全方面投入了大量的经费和支持,在国家有关部门的领导下,正在逐步开展农产品质量安全机构建设,对农产品质量安全科学研究、新技术应用推广等方面极为重视,使得农产品质量安全监管能力得到快速提升。

2农产品质量安全存在的主要问题

近年来,诸如“瘦肉精、染色馒头、地沟油和毒豆芽”等一系列食品安全事件连续发生,社会各界普遍关注农产品质量安全,公众对农产品质量安全状况有着不同程度的担忧甚至具有某种恐慌的心理。这给新疆维吾尔自治区监管部门和科技工作者敲响了警钟,新疆维吾尔自治区特色农产品种类较多,以牛羊肉、瓜果、加工番茄、红花、甜菜和打瓜等各类特色产品为主的农产品,其生产、加工、贮藏和运输过程中也同时面临着各种安全隐患,如在农田种植或养殖过程中,会受到各种农业投入品、环境污染及人为因素等多种因素的困扰,如何控制其质量安全,必须找准关键问题所在。农产品质量安全体系包括法律法规体系、科技支撑体系、标准体系、信息公开制度体系、风险评估与预警体系等。就现阶段来看,结合当前新疆农产品质量安全水平来说,主要存在以下5个方面的问题。

2.1法律法规体系不健全

虽然新疆可参照的农产品质量安全方面的法律法规较多,但大都不成体系,法律法规之间缺乏有机的结合,仍存在着漏洞,尤其是对于农产品质量安全的细节方面缺乏具体的、可操作的相关法律法规。对农产品质量安全进行管理的约束力不够,还没有起到足够的震慑作用。在国家颁布的《农产品质量安全法》、《食品安全法》等两部法律以后,新疆维吾尔自治区应依据这两部法律进一步加强地区特色农产品保护,如库尔勒香梨、哈密瓜等地区名牌产品,不断形成如《新疆维吾尔自治区无公害农产品保护办法》等重要的地方性法规,大力推动新疆农产品生产事业健康稳步的发展。

2.2科技支撑力量比较薄弱

农产品质量安全科技力量决定着农产品质量安全的水平。就目前来看,新疆各类农产品在质量安全方面存在哪些危害因子不清楚;已知的一些危害因子中,特别是有限量标准或禁限用规定的,其危害途径、程度、形态和消除方法,也是不太清楚的;这些年例行监测和抽检高位合格率与产品实物质量安全水平的一致性到底如何,总体上也不是太清楚。且目前关注的危害因子较为单一,长期以来,农产品质量安全监管基本上关注的焦点就农药残留、兽药残留和非法添加。实际上农产品质量安全危害因子包括5个方面:重金属污染、生物毒素、病原微生物、外源添加物和尚不知道且客观存在的其他危害因子(辐照辐射残留等)。农业科研机构及部门应加强农产品质量安全科学研究的支持力度,不断为农产品质量安全监管提供科技支撑。

2.3标准体系不健全

近年来,新疆加快了农产品质量安全标准体系建设步伐。截至2010年,全区累计完成67个农产品质量安全标准体系,单从标准体系来说,已取得了一定的成绩;然而,从目前农产品质量安全发展的速度来看,某些标准还不够健全,新疆作为特色农产品大省,其农产品具有“绿色、有机、优质”等特点,通过加强特色农产品地方标准对特色农产品进行监管具有很重要的现实意义。

2.4信息公开制度体系不够完善

农产品质量安全制定信息公开制度以公平、公开和透明为原则。目前,新疆维吾尔自治区和全国其他省份一样,同样存在信息缺乏透明、公开等。公众享有知情权,在共同应对食品安全重大事件时,公开透明是提高政府公信力的体现,也是提高政府执政水平的体现。通观全局来看,新疆地区在食品安全领域要走的路还很长,需要长期下大力气去抓农产品质量安全制度体系建设,不断提高农产品质量安全水平。

2.5风险评估与预警体系不健全

用科学的手段对正在发生的或潜在的风险信息实施有效的收集、分析、研判、预警和监控,变“被动应对”为“主动预防”,形成一套科学、有序的风险应对评估预警体系,更好地服务于人民、服务于社会,已经成为质监部门当前应该思考和探索的问题。目前,在国家刚刚成立风险评估机构的大背景下,新疆维吾尔自治区应积极开展风险评估与预警体系建设,不断完善风险评估与预警体系,从科学的角度对农产品质量安全进行评估,切实为政府决定、管理及风险交流提供支撑。

3开展农产品质量安全风险评估的紧迫性和必要性

为了满足消费者日益增长和复杂的安全需求,各国都需要对风险进行相应的评估和管理。风险评估是近20年间发展起来的一种为食品安全决策提供参考的系统化、规范化方法。无论是发达国家还是发展中国家,环境污染一直以来是一个现实且棘手的问题,它不仅给消费者带来较大的健康风险,而且带来巨大的经济损失。“十二五”规划纲要提出,要“加强安全体系建设”和“保障食品药品安全”。抓好食品安全工作,是落实科学发展观的需要,是促进经济长期平稳较快发展的需要,是落实“十二五”规划纲要的需要。党中央、国务院及新疆维吾尔自治区党委、政府历来高度重视食品安全。党的十七大和十均把确保食品安全作为改善民生的重要内容做出部署,曾多次强调要把人民群众的生命安全放在至高无上的地位,要求切实做好食品安全工作。总理在十二届全国人大一次会议记者会也曾指出:食品安全是天大的事,要求有关部门加强科技攻关力度,加强食品安全检测和监测工作,确保国人“舌尖上的安全”。农业部非常重视农产品质量安全风险评估体系建设。自2012年以来,在专业产品和主产区风险评估方面,依托中国农科院、水科院、热科院和部属高等院校规划建立了蔬菜、果品、茶叶、畜禽产品、水产品、农产品贮藏保鲜及农产品加工等57个专业性农业部农产品质量安全风险评估实验室,依托各省级农科院规划建立了31个立足本地区特色产品的区域性部级风险评估实验室,与此同时,依法组建了国家农产品质量安全风险评估专家委员会,聘请了相关领域的专家作为委员,定期会商、审议各相关领域农产品质量安全方面的风险评估结果和风险评估报告,以及应急处置各类突发事件的应对,在风险评估工作推进和制度建设上,农产品质量安全风向评估所需财政专项资金已经纳入中央和地方财政的年度预算,并逐年有大幅度增加。新疆维吾尔自治区党委书记张春贤指出:新疆维吾尔自治区党委、政府一直高度重视做好食品安全工作,把保障食品安全作为实施民生工程的重要内容,不断提高群众对食品消费的安全感和满意度。此外,国务院已将食品安全纳入地方政府年度绩效考核内容(详见《国务院关于加强食品安全工作的决定》)。十一届全国人大常委会在2011年6月29日召开的第二十一次会议上建议把食品安全与金融安全、粮食安全、能源安全及生态安全等排列纳入“国家安全”体系。这足以说明食品安全风险已在国家层面上成为一个极其严峻、非常严肃的重大问题。随着新疆农产品供求基本平衡,人民生活水平不断提高及农产品国际贸易的快速发展,新疆农产品质量安全问题将会逐渐凸显出来,农产品质量安全问题已成为现阶段农村经济发展亟待解决的主要矛盾之一。作为欠发达地区的新疆,在发展经济的同时,一直面临着处理好环境污染与经济发展之间的矛盾,因而,新疆的农产品质量安全监管依然面临着严峻的挑战。当前新疆正处于经济发展和社会改革的攻坚阶段,社会矛盾易发多发,建立社会稳定风险评估机制十分及时、十分必要。农产品质量安全风险评估工作是将“矛盾发现在早、纠纷处置在小、问题解决在线”的前置动作,是与公众做好风险交流的基础,抓好农产品质量安全风险评估工作,有利于摸准真情,有利于及时发现问题、化解矛盾,有利于完善决策、凝聚共识等。通过风险评估工作的开展,可健全工作机制,完善应对策略和预案,真正从源头上预防食品安全事件的发生。

4结束语

第2篇:安全风险评估论文范文

【关键词】信息系统 安全风险评估 定性 定量

随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。

1 风险评估概述

互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。

从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。

风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。

20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。

网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。

2 信息安全风险评估方法

网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。

2.1 定性评估方法

定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。

定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。

德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。

2.2 定量评估方法

定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。

故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。

2.3 定性评估与定量评结合综合评价方法

由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。

3 信息安全风险评估过程

信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。

4 结束语

当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。

参考文献

[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.

[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.

[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用,2013(01):16-25.

第3篇:安全风险评估论文范文

关键词:大型活动

公共安全

风险评估

1.大型活动公共安全问题分析

1.1大型活动的界定及类型

所谓“大型活动”,是指由单位(社团)主办或政府组织,在特定时间内面向社会临时占用或租用公共场所举办的,由不特定的多数人参加的公共活动。

1.2公共安全的涵义与特点分析

公共安全,是指公众的安全。具体来说是指社会公众享有安全和谐的生活和工作环境以及良好的社会秩序,公众的生命财产、身心健康、民利和自我发展有安全的保障,最大限度的避免各种灾难的伤害。1

2.影响大型活动公共安全的风险因素分析

2.1对“风险”的认识

通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果。

2.2大型活动公共安全的风险因素探究

第一,大型活动的主要特点之一就是人员多,同时这些人员还处于分散状态,组织性很差,但又在一定时间内高度集中,往往使活动场地处于饱和状态。

第二,大型活动举办所使用的公共场所是人员高度集中,流动性大的城市公共场所。在建筑形式上,大型公共场所一般空间高、跨度大、面积大,多为封闭式建筑,疏散出口少,无窗和固定窗结构多。

第三,大型活动的顺利举行有赖于场所外交通的顺畅。若举办地点的交通堵塞,人群滞留,不仅影响了大型活动的正常进行,还会引发一系列的安全问题。成为影响大型活动公共安全的风险因素。

第四,周边治安环境的好坏直接影响着大型活动开展的质量。

第五,突发性事件是影响大型活动的重要因素。突发性事件因其突发性、不确定性、破坏性、紧迫性等对大型活动产生了巨大的安全隐患。

第六,当前世界上的民族冲突、地区冲突、宗教冲突、文化价值观冲突呈现尖锐态势,一些恐怖组织采取恐怖手段,扰乱社会治安、伤害无辜百姓,尤其在大型活动的举行期间,更加容易利用活动的高影响力来实施报复性的恐怖活动。

第七,人类目前面临着严重的生态环境问题,自然灾害频频发生。

3.大型活动公共安全风险评估的重要意义

第一,风险评估是实现大型活动公共安全管理社会化的关键工作,它使更多的利益主体被纳入到评估体系中来,共同解决大型活动公共安全管理问题,从而形成利益风险的共享分担合理机制。

第二,风险评估能够帮助公共安全管理科学准确地把握风险及可能出现的危机和危害,以此提高预防和处理突发安全事件的能力,为大型活动举办创造安全环境。

第三,风险评估的结果能有效的保证大型活动的顺利举行,而且还能有效的避免出现安保人员不够或者缺失的现象。

第四,风险评估顺应了大型活动公共安全管理模式改变的潮流。

4.我国大型活动公共安全风险评估工作的现状

4.1我国公共安全风险评估问题提出的背景

随着经济的发展,社会的进步,大型活动举办的规模会越来越大,涉及面也越来越广。

现今安全领域出现了公共资金短缺,资源紧张等现象,政府已经无力再管。只有引入私人资本,调动公共组织的积极性进行风险评估,才是解决各种安全问题的有效途径。

2005年9月9日北京市第12届人大常委会第22次会议审议通过了《北京市大型社会活动安全管理条例》也促进了大型活动的风险评估的发展。

4.2我国开展公共安全风险评估工作基本情况

国内现有公共安全评价活动,人口级的有自然灾害、流行疾病、交通事故、环境损失、安全生产、儿童营养监测等,项目级的有艾滋病干预、煤矿安全生产整改、消防火灾审核、食品毒物控制、生殖健康促进评估等。其中,一部分评价方法与指标已经实现国际对接,具有很好的公信力;另一部分评价方法和体系尚处于发育阶段,效果有待检测。2

4.3我国开展公共安全风险评估工作的主要问题

第一,公共安全风险评估研究不够,理论框架不完善。第二,尚未建立可以使用的大型活动灾害数据库,历史数据使用效率低。第三,风险评价指标体系建立不完善,评价方法多依赖专家打分。第四,大型活动的前期情报收集不充分。

5.大型活动公共安全风险评估的理论和方法

5.1风险管理涵义

风险管理是管理者选择与贯彻安全措施的过程,以便以可以接受的投入,使风险控制在一定的可接受的水平之内。其过程包括了对风险的识别、衡量和科学的决策。3

5.2风险评估的主要方法简介

面对着严峻的人口与社会风险问题,联合国、国际NGO、外国政府以及国外一些研究机构,基于监测、描述和解释国际社会公共安全的需要,在研究和实践中设计了一系列公共安全评估框架①。

目前常见的自动化风险评估工具包括:COBRA——COBRA(Consultative,Objective and Bi-functional Risk Analysis)风险分析工具软件、CRAMM——CRAMM(CCTA Risk Analysis and Management Method)定量风险分析工具、ASSET——ASSET(Automated Security Self-Evaluation Tool)安全风险自我评估的自动化工具、CORA——CORA(Cost-of-Risk Analysis)风险管理决策支持系统。

6.完善我国大型活动公共安全风险评估工作的设想

6.1纳入法制轨道

虽然我国现阶段出台了一些大型活动的法律法规。如公安部的《群众性文化体育活动治安管理办法》,北京市的《北京市大型社会活动安全管理条例》等。但我国大型活动公共安全的风险评估工作目前处于起始阶段,好多评估工作还不很规范,所以,建立相关的法律体系,使大型活动的风险评估不再是个别的不规范现象,而是将其纳入法律体系,确保评估有法可依,有规可循。

6.2建立健全责任体系

6.2.1行政审批

主管机关具有风险评估的行政审批权力,主要负责提出、制定并批准提出申请单位的信息安全风险管理策略,领导和组织安全评估工作。

6.2.2组织协调

大型活动的信息系统拥有者具有风险评估的组织协调权力,将负责制定安全计划,报主管机关审批;组织实施信息系统自评估工作;配合强制性检查评估或委托评估工作,并提供必要的文档等资源;向主管机关提出新一轮风险评估的建议;改善安全防护措施,提出安全保卫计划。

6.2.3措施整改

大型活动的承办方应根据风险评估结果修正安全方案,使安全方案成本合理、积极有效,并在方案中有效地控制风险,降低风险出现的几率;规范活动,减少在在活动举行阶段引入的新风险;确保大型活动的安全性得到相关机构的认证。

6.2.4具体实施

风险评估机构应提供独立的大型活动安全风险评估;对大型活动中的安全防护措施进行评估,以判断这些安全防护措施在特定运行环境中的有效性以及实现了这些措施后系统中存在的残余风险;提出调整建议,以减少或根除大型活动的脆弱性,有效对抗安全威胁,控制风险;保护风险评估中获得的敏感信息,防止被无关人员和单位获得。

6.2.5辅助支持

大型活动信息系统的相关机构为风险评估提供辅助支持,遵守安全策略、法规、合同等涉及大型活动风险的安全要求,减少安全风险;协助风险评估机构确定评估边界;在风险评估中提供必要的资源和资料。

6.3规范风险评估工作

现行的风险评估工作存在评估主体不明确,责任不清晰等问题。所以,要充分发挥中介组织的作用,成立专门的评估机构,使公共组织成为评估主体,并使之脱离政府,独立的进行公共安全的风险评估工作。

7.结论

可见,大型活动公共安全风险评估是保证大型活动顺利进行的有效途径。针对目前我国风险评估中出现的各种问题,通过本文的分析,我认为要规范大型活动风险评估工作,就要充分发挥公共组织的作用,在此基础上制定统一的评估标准,消除一场活动一个标准的不规范现象,同时,要建立起大型活动历史灾害数据库,为风险评估提供必要的参考依据。建立健全责任体系,并形成利益风险共担机制,将保险公司,保安公司纳入到评估体系之中,最大限度地发挥公安机关的指导作用和监督作用,以保证大型活动的顺利有序的开展。

参考文献:

[1]秦颖.论公共产品的本质——兼论公共产品理论的局限性[J].经济学家,2003.

[2]朱旭东.新农村建设背景下公共安全产品供给的创新[J].国家行政学院学报,2007,(2):37-40.

[3]王光,秦立强,张明.试论政府应急管理的社会合作机制[J].中国人民公安大学学报,2006,(5):118-123.

[4]刘铁.公共安全与公共管理[J].学习与探索,2004,(5):78-84.

[5]胡小炜.杭州市西湖区2002-2003年公共场所卫生检测结果[J].浙江预防医学,2005,(17):34-35.

[6]陈晋,陈志芬,黄崇福,李强著.大型公共场所风险评价研究现状与展望[J].自然灾害学报,2005,(12):16-19.

[7]北京市公安局组团赴法国、希腊考察奥运和大型活动安保工作[R].外事简报第五期,北京市局办公室外事,2004-8-2.

[8]龙亮.德国大型活动安保策略及其给我们的启示[J].北京人民警察学院学报,2006,(1):25-27.

[9]张先来.大型活动消防安全工作重在基础——从法国2003年世界田径锦标赛看北京[J].消防技术与产品信息,2004,(3):10-13.

注 释:

1.吴爱明,公共安全:公共管理不可忽视的社会问题[J].行政论坛,2004,11 (66)

第4篇:安全风险评估论文范文

论文关键词:信息安全 风险评估 风险分析

论文摘要:本文设计的信息安全风险评估辅助系统是一个多专家评估系统,主要模块分为风险评估管理端、系统评估端、信息库管理端和知识库管理端,严格按照《指南》的风险评估流程进行评估,使评估结果更全面更客观。

一、前言

电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。

二、信息安全风险评估

在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:

(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。

(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。

三、电力信息网风险评估辅助系统设计与实现

本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:

(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。

(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。

(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。

(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。

四、总结

信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。

参考文献

[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左晓栋等.对信息安全风险评估中几个重要问题的认识[J].计算机安全,2004,7:64-66

第5篇:安全风险评估论文范文

论文摘要:本文分析了火灾风险评估概念的内涵,综述了以某一系统为对象的火灾风险评估的研究及目的,介绍了国内外较新的城市区域火灾风险评估方法。 论文关键词:城市区域 火灾风险 评估 一、火灾风险评估的概念 过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(risk assessment)和风险管理(risk management)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用。 通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果。因而,火灾风险(fire risk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义。 现在,在文献中可以看到的与“火灾风险评估”相关的术语有fire risk analysis, fire risk estimation, fire risk evaluation, fire risk assessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化。 较多的人倾向于从工程角度来定义火灾危害性(fire hazard)和火灾风险(fire risk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。 从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重。 二、城市区域火灾风险评估的意义及发展概况 在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面。

第6篇:安全风险评估论文范文

关键词:信息安全;风险评估;脆弱性;威胁

一、前言

随着信息技术的飞速发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险。

二、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:

1、保密性:即信息不泄露给非授权的个人或实体。

2、完整性:即信息未经授权不能被修改、破坏。

3、可用性:即能保证合法的用户正常访问相关的信息。

4、可控性:即信息的内容及传播过程能够被有效地合法控制。

5、可审查性:即信息的使用过程都有相关的记录可供事后查询核对。

网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础,网络信息安全的风险因素主要有以下6大类:

1、自然界因素,如地震、火灾、风灾、水灾、雷电等;

2、社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;

3、网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;

4、软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;

5、人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;

6、其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

三、目前网络信息安全风险评估工作中急需解决的问题

信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。

四、信息系统风险评估解决措施

1、确诊风险,对症下药

信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。

2、夯实安全根基,巩固信息大厦

信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。

3、寻求适度安全和建设成本的最佳平衡点

安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。

4、既要借鉴先进经验,又要重视预警防范

没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。

五、结束语

综上所述,本文主要对信息安全风险评估进行了分析和探究,在今天高速的信息化环境中,信息的安全性越发显示出其重要性,风险评估可以明确信息系统的安全状况和主要安全风险基础,通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。

参考文献:

[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年

第7篇:安全风险评估论文范文

(钦州市气象局,广西 钦州 535000)

【摘要】本文介绍了雷电灾害风险评估的常用方法,并对近年来雷电灾害风险评估业务暴露出的问题阐述了改进的方案,对雷评业务未来的发展做了展望。

关键词 半定量评估方法;验收评估;现状评估;评估过程控制体系

1 雷电灾害风险评估的目的

雷电灾害风险评估(以下简称雷灾评估)的目的是查找、分析和预测工程、系统存在的雷灾危险、有害因素及可能导致的危险、危害后果的程度,提出合理可行的安全对策措施,指导危险源监控和事故预防,以达到最低事故率、最小损失和最优的安全投资效率。

2 雷电灾害风险评估业务存在的问题

近年来我国的雷电灾害风险评估业务得到了快速的发展,同时由于起步较晚,历史较短,实践有限,技术积累不足等原因导致雷评业务暴露出很多问题,主要体现在以下几点:1)技术落后,评价模型单一;2)过程控制体系不健全;3)跟踪服务不到位;4)内部审核及档案管理缺失。

我国目前的雷评模型主要采用爆炸模型,随着对不同类型的建构筑物的雷灾调查与分析发现,我国的评估人员对雷电灾害引起的火灾风险认识不足,准备不充分。同时,评估机构在评估过程中通常照搬国标推荐的定量评估方法,无法结合项目本身的特点设计评估方法与模型。其次,我国多数机构只对建筑物做投入生产使用之前的预评估,而验收评估、现状评估并没有大范围开展。业主在获得评估机构的评估报告之后往往无所适从,无法得到有益的建议和改良手段,这也暴露出我国的雷评机构并未对项目报告做出人性化、个性化的处理,只是罗列数据,缺少分析和判断的技术和能力。

3 常用的雷灾评估模型与方法的探索

对雷评方法、模型的认识与探索直接关系到评估是否准确、实用,是改善我国雷评业务现状的重中之重。常用的雷灾评估数学模型有:爆炸模型、火灾模型、电击模型;辅助使用泄露模型和中毒模型。常用的评估原理有:相关性原理、类推原理、惯性原理、量变到质变原理等。

3.1 定量风险评估方法

风险可以表征为事故发生的概率和后果的乘积。定量风险评估对这两方面均进行评估,可以将风险大小完全量化。此方法是雷灾风险评估最常用的的方法,各个风险分量可以用以下公式来表示:

RX=NX·PX·LX(1)

式(1)中:

NX:每年危险事件的次数

PX:损害概率

LX:间接损失

在计算雷灾风险评估时,可以按照损害源和损害类型对风险分量进行分组,每种风险都是其对应风险分量的总和。

3.2 预先危险分析法

预先危险分析是一项实现雷灾风险危害分析的初步或初始工作,在设计、施工和生产前,首先对系统中存在的危险性类别、出现条件、导致事故的后果进行分析,目的是识别系统中潜在的危险,确定危险等级,防止危险发展成事故。

3.3 安全检查表分析法[1]

为了检查工程、系统中各种设备设施、物料、管理和组织措施中的危险、有害因素,事先把检查对象加以分解,将大系统分割成若干小的子系统、以提问或打分的形式,将检查项目列表逐项检查,避免遗漏,这种表称为安全检查表。安全检查表法既可用于常见项目的现场勘查,也多用于没有参考先例、过往经验可供借鉴的系统,评估人员首先借鉴相类似系统的评估报告、相关工艺流程的说明和相关标准编制雷评现场勘查安全检查表,并在实践中不断改进和补充。

3.4 故障假设分析法

故障假设分析方法要求评估人员用what… if 作为开头对有关问题进行考虑,任何与雷灾风险有关的问题都可以提出并加以讨论。这些问题都记录下来,然后分门别累进行讨论。

故障假设分析方法比较简单,评估结果一般以表格形式给出,主要内容有:提出的问题,回答可能的后果、降低或消除危险性的安全措施。评估人员可将故障假设分析方法进行开发用于业主和评估人员的交流和意见的反馈。除此之外,故障假设分析方法也常用于专家评审和内部评审。

3.5 非定量评估方法

较之定量评估,定性评估和半定量评估更加简单易用,可以广泛用于验收阶段评估,评估人员在完成预评估之后可编制定性检查表,即可为验收评估做准备,也可为验收、跟踪质检人员提供详实的危险源(点)的信息,帮助验收人员排除隐患。

定性评估也可用于业主的雷灾安全自查,由于定量的雷灾评估内容较多,为保证业主在使用中达到理想的效果,可将评估内容“化整为零”,分解成定性的安全检查表,便于业主操作。

4 雷灾风险评估过程控制体系的完善

雷灾风险评估是安全生产管理的一个重要组成部分,是预测、预防事故的重要手段。要使评估工作真正发挥作用,必须要有质量保证,评估过程控制就是要使评估的质量管理工作规范化、标准化。

雷灾风险评估过程控制内容包括评估机构内部机构设置、各职能部门职责的划定、相互间分工协作的关系、评估人员及专家的配备、项目单位的选定、合同的签署、评估资料的收集、评估报告的编写、评估报告内容内部评审、评估技术档案的管理、评估信息的反馈、评估人员培训等一系列管理活动。

5 雷灾风险评估报告的内部评审的建立[2]

内部评审是保证评估报告的一个重要环节。在适当的时候,应有计划的对评估报告进行内部评审。评估报告内部评审的主要内容包括:报告的格式是否正确,报告的文字是否准确,报告的依据是否充分、有效,报告中危险源辨识是否全面,方法的选择是否适当,对策措施是否切实可行,结论是否准确等。

6 跟踪服务的建立

在合同规定的项目全部完成之后,对于评估机构而言,还应进行跟踪服务,对评估报告中提出的对策措施与建议的实施情况进行跟踪,考察其适用性及有效性,及时为其调整安全措施。对此,雷评工作人员应该开展雷灾风险现状评估和雷灾风险验收评估的业务。

7 档案管理的完善

评估项目完成后,应对评估项目涉及的所有文件进行归档,并在此基础上生成数据库,设专人管理,以便资料咨询,保证雷灾风险评估的质量。数据库在为评估项目提供支持的同时,新的评估项目反过来又不断充实数据库的内容。

8 结论

雷灾风险评估发展过程中,吸取了环境影响评价、管理体系认证等其他类似工作的许多经验、教训,但评估工作者仍然需要不断学习先进的评估模型与方法,不断充实评估体系,开拓思路,合理选择并灵活运用评估方法。同时,评估对象的发展不是过去状态的简单延续,在评估过程中,还应对客观情况进行具体细致的分析,以提高评估结果的准确度。

参考文献

[1]吴穹.安全管理学[M].北京:煤炭工业出版社,2002:45-49.

第8篇:安全风险评估论文范文

关键词:深化 风险评估 实践 探索

一、风险评估开展背景

杭州华电半山发电有限公司(以下简称“半电公司”)是一家有着50多年历史的发电企业,长期以来,重视风险防范工作,逐步建立了一系列内控制度,加强风险管控,采取一些积极措施应对风险,如定期召开经济活动分析会,对年度目标完成情况、预算执行情况及面临的燃料供应及价格、电价、用电需求等经营形势变化情况进行深入、全面分析,制订相应的风险应对措施,化解经营风险、降低经营风险。各有关职能部门在日常工作中也注重风险管理,及时收集相关信息,了解有关方面情况,及时报告公司管理层,提出一些建议供公司领导决策,并采取相关措施防范风险。

在安全生产方面,公司制订各种安全管理制度和预案,开展安全生产大检查,防范安全风险等;在廉洁自律方面,开展廉洁风险防控工作,防范廉洁风险;在内部控制方面,建立健全内控管理机制,每年开展内控评价工作,提升内控管理和风险管理水平。半电公司通过采取一系列措施保障安全生产目标和经营目标的实现。

但是多年来,半电公司规范化、常态化的风险评估机制并没有真正建立。近年来,公司内外部环境不断发生深刻变化,面临的形势错综复杂,存在着方方面面的风险。在半电公司内部,煤机逐步淘汰或关停,燃机发电规模不断取得新发展,但员工总数不断减少,并出现老龄化趋势,难以满足企业快速发展。在经营上,燃料价格、电价、发电利用小时等影响企业效益的关键性因素不能得到稳定保障。在半电公司外部,国家不断深化改革,电力市场竞争日益激烈,政府对环保的要求越来越高,上级公司对企业的管控越来越严,对管理和效益提出更高的要求,半电公司在经营等方面所面临的问题和矛盾越来越突出。在这样的复杂形势和严峻环境下,仅通过定期召开经济活动分析会等方式方法,以及缺乏对风险进行科学化、规范化、常态化的评估,难以很好地识别风险、分析风险、评估风险,防范经营风险和其他面临的种种风险,半电公司整体风险管理水平难以显著提高。对企业来说,面临的风险很多,从大类来说,有安全风险、经营风险、廉洁风险等,从具体来说,有法律风险、资金风险、人力资源风险、采购风险等等。因此,从上述现状看,很有必要建立健全风险评估机制,有效开展风险评估工作。同时,对风险评估工作进行监督与客观评价,提出风险评估工作存在的问题或不足,促进风险评估工作形成制度化、规范化、常态化,从而提升风险管理水平,以达到防范风险的目的。

二、风险评估工作开展情况

风险评估就像有效的刹车系统,能够保障企业安全、高速运行、基业长青。公司风险评估工作实行2+1+5管理模式(2是指全覆盖、全流程;1是指内控评价;5是指五道防线,岗位、部门、职能部室、审计部、风险管理委员会),该模式从火电企业现实出发,它以基于风险控制为导向的流程控制为核心,将风险评估工作嵌入经营管理活动中,支持企业可持续发展。

全覆盖是指从制度、流程手册、风险数据库、评价手册等方面实现全覆盖。整个企业自上而下各相关部门通过积极参与、互相配合、统筹兼顾,全员参与、分级负责的方式,全面复审、修订、编制规章制度和流程手册,形成有效的标准制度清单、管理流程手册及风险数据库。

全流程是指从企业整体角度审视各项业务和管理活动,对全部业务流程进行分析、梳理和完善,形成包含管理业务模块和具体业务流程《管理业务流程控制手册》,包括控制范围、控制目标、流程主要风险、相关政策或制度依据、业务流程图和流程说明六个部分。管理流程是按业务顺序的逻辑关系对企业制度的进一步阐释,既确保了制度有效执行,又预防了风险的发生。

内控评价就像给人查体看病一样。经过对流程控制情况进行评价后,有无缺陷和剩余风险一目了然。半电公司缜密的内部控制评价为内部控制体系规范运行提供了保障,也是基于风险管理为导向的内部控制运行模式取得效果的保证。内部控制评价是按照内部控制五要素,遵循风险导向原则对重要性业务及重要管理环节进行评价,最后形成内控评价报告,内控评价报告是内控评价的主要成果。

风险管理的五道防线,企业依托内部控制,筑牢风险管理五道防线。这五道防线分别是:岗位、部门、职能部室、审计部、风险管理委员会即公司领导班子。通过五道防线的层层防控,各类风险被有效化解,风险可控在控。五道防线,互相牵制、互相促进,“严防死守”紧抓内控牛鼻子,把风险控制在企业可承受的程度之内。

为全面提升风险管理水平,推进公司风险评估工作,有效防范和化解风险,确保公司持续、稳定、健康发展,实现风险防范目的,公司于2014年经过充分研究和酝酿后,决定推进公司风险评估工作。为使各部门学习、掌握风险评估知识,开展好风险评估工作,总经理工作部于2014年6月份举办了风险评估实务知识培训班,在培训的基础上,总经理工作部于当年3季度组织各职能部门开展了首次风险评估工作。为保障风险评估工作的规范性、有效性,审计部对风险评估工作进行了检查与客观评价,公司风险评估工作迈出了实质性步伐。

从评估工作检查情况看,各职能部门虽开展了风险评估工作,评估的风险事项符合要求,运用了有关评估方法和标准,编写了风险评估报告,但也存在规范性、正确性、准确性等问题。问题主要有以下几个:

采用的评估方式单一。在评估方式上,仅有一个部门采用访谈方式,其他部门均采用会议讨论方式,各部门都未综合运用会议讨论、访谈、问卷调查等评估方法。无论采用访谈方法还是采用会议讨论方法的部门,参与人员基本为本部门人员。由于评估方式单一和缺乏人员参与的广泛性,对评估结论的正确性可能产生一定的影响。

界定标准不够明确。评估的界定标准不够明确,如确定“是否重大风险”没有很明确的界定标准(即如何由风险发生可能性和风险损失度两个维度标准确定是否为重大风险)。

评估结论的随意性较大。本次评估虽然采用定性方法,但多数部门对于评估结论没有有效结合实际或缺乏历年发生的有关情况及历史数据等,特别是对“风险损失度”中的直接经济损失的评估随意性较大,缺乏支撑依据。

评估过程阐述不具体。一些部门在风险评估报告中对于风险评估情况的阐述过于简单,没有具体阐述风险评估过程等。

措施、方案不够具体。一些部门对于主要风险的防控措施和重大风险的解决方案比较粗略或空洞,缺乏详细的应对措施和具体实施计划。

明年风险评估方向不明确。个别部门在评估报告中虽然分析了一些面临的风险,但对明年的重点风险评估方向不够明确。

三、总结经验,不断改进,加强实践

2015年3月公司继续启动年度重大风险评估工作,在去年开展的基础上,不断加以完善,明确评估方法,根据不同方面的风险,完善风险评估中“是否重大风险”和“风险损失度”的界定标准和依据。本次风险评估综合运用多种方式,保障风险评估的真实性和评估结论的准确性。同时加强监督评价工作,形成“三道监督防线”,包括事前、事中、事后的监督。

(一)事前监督

评估工作实施前开展风险事项调查,了解当前面临的关键性风险有哪些,在此基础上分析确定各部门风险评估事项,提高风险评估的实效性。公司各相关部门认真组织、深入研究,根据当前内外部形势变化、生产实际情况,从安全、经营等多角度分析识别本部门当前重点面临的风险。各部门在分析面临重点风险时,牢牢把握准确性、全面性、时效性三项原则。

本次开展风险评估信息收集工作的部门主要有总经理工作部、财务部、物资部、燃料管理部、人事部、政治部、安保部、生产营运部、生产技术部、基建管理部、纪委监察办等职能部门。上报的风险评估信息主要包括税务风险、队伍稳定风险、维稳风险、廉洁风险、泄密风险、职业危害风险、安全监督风险、环境保护风险、能耗指标管理风险、天然气价调整风险、工程质量管理风险、电子商务风险等。

风险评估信息的准确收集,是风险评估工作的第一步,是做好该项工作的基础,在此之后,才能识别和评估影响目标实现的风险。并且采取必要的措施对这些风险进行控制。通过风险评估工作,不断增强公司风险管控实效性,深化公司风险管理工作。

(二)事中监督

各部门评估工作综合运用会议讨论、访谈和问卷调查三种方法,根据上述三项方法得出的结论来确定风险等级及应对措施,避免评估工作简单化、形式化。

本次评估工作在去年开展的基础上,不断加以改进,首先参与人员广泛,不仅局限于本部门;其次综合运用三种方法,使得评估结果更为准确。最大的亮点是内控管理办公室派员参加部门风险评估的会议讨论,加强过程监督。

风险评估部门在确定好会议讨论时间后,将会议时间和地点报内控管理办公室备案,内控管理办公室根据风险内容派员参加,起到指导、咨询、监督作用,会后汇报讨论情况。

同时部门及时通知与会人员,与会人员充分做好与风险讨论相关的准备工作。讨论时,与会人员围绕风险产生的原因、应对措施等方面积极发言,各部门讨论会要形成规范的会议纪要。本次风险评估工作中,内控管理办公室派员参加了天然气价格调整、安全监督、环境保护、信息系统安全、能耗指标管理及网络采购等风险评估讨论会。

内控管理办公室对各部门风险评估报告及相关评估资料的规范性、真实性等进行审查,对不符合要求的风险评估报告予以退回,并要求当事部门及时纠正和完善。

(三)事后监督

各部门制订的风险应对措施、方案应具体、可行,符合实际,能起到防范风险作用,并在日常工作中予以落实。落实措施必须形成相关材料,总经部和审计部组织内控评价人员对措施落实情况进行检查。

建立责任追究制度。在公司《风险评估管理办法》中增加追究责任的规定,对由于不认真开展风险评估,导致评估结论不准确,影响公司决策,造成公司经济损失或其他方面不利影响等,追究当事部门负责人的责任。

第9篇:安全风险评估论文范文

关键词:信息安全;风险评估;模型;层次结构;ERM框架模型

1基于层次结构的风险评估模型

1.1 基于层次结构的风险评估基本概念

基于层次结构的风险评估模型,评估方法为层次分析法。层次分析方法是一种定性和定量分析相结合的评估方法。层次分析法的关键是:将一些定性但不易量化的因素进行量化,从在评判与决策过程中有量化的参考依据。层次分析法对信息系统进行分层次、拟定量、规范化处理。主要步骤如下:

①建立层次结构模型。

②构造判断矩阵。

③数学计算。

④层次总排序。

1.2建立层次结构风险评估模型

本文采用ISO17799国际标准作为风险的分类标准。ISO17799规定了用于组织实施信息安全的管理体制,以信息管理体制为指导依据对信息系统对象进行分解,找出主要因素。ISO17799由10个控制主题组成,每个主题又由几个子类组成,子类中又规定了安全要素,以下给出了10个控制主题[4]。

①信息安全方针。

②企业组织安全。

③资产的分类和控制。

④人为因素的安全防范。

⑤实体和环境安全。

⑥通讯和操作管理。

⑦访问控制。

⑧系统开发和维护。

⑨商业连续性管理。

⑩符合性。

1.3基于层次结构的风险评估模型在制造业企业中的基本运用

制造业企业通常组织机构庞大,流程较为复杂。并且所涉及的风险的种类较也为复杂。有效的识别风险,归类风险,评估风险对于制造业企业的风险管理有着至关重要的作用。而层次结构的风险评估模型由于采用层次结构设计,并非简单地将信息系统分解成各个层次,层次间存在着紧密的联系,且每个层次的评估结果也直接影响到上下层次的评估。同时在风险评估的过程中考虑了人为因素在内的安全评估综合方法,采用了ISO17799国际标准作为风险的分类标准,并充分考虑各个安全因素之间的相互影响,引入关系矩阵,以多层分析的模糊逻辑为模型,实现了风险评估综合决策。采用三层结构将复杂的关系分解为由局部简单关系构成的递增层次结构关系。

基于层次结构的风险评估的一般步骤:

①确定评估因素集。

根据ISO17799的规定,将因素集U分为子集,再将每个子集Ui 根据安全风险评估的要求分成若干子集Ui.j即{Ui.0,Ui.1,…Ui..m},再将每个子集Ui.j,分成若干因素,Ui.j.k,。

②判断矩阵及权重。

采用了3级层次评估的方式,并将前一级的评估结果作为下一级的评估输入。

③评价集。

设V(v0,v1,v2,v3,v4)为评价集,它们分别代表“很低”、“较低”、“中等”、“较高”、“很高”,它们由低到高表示了要素5系统的安全程度。 并对这7种准则按取0或1分别打分再求和得到评价分值。

④模糊判断。

采用3级模糊评估方式,运用关系矩阵,确定隶属度,最后选取隶属度最大者所对应得评价集元素作为对系统得综合评估结果,其结果是“很低”、“较低”、“中等”、“较高”、“很高”中的任何一个。

2COSO的ERM框架模型

2.1COSO的ERM概况介绍

COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越来越广泛应用于美国及加拿大企业,但是该框架不具有实践性,没有基于企业流程,并且在执行中富有挑战性。许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引.模型代表一种逻辑和系统方法论,应用于建立风险定义、分析、评估、应对、沟通和实时监控环节.该模型是可重复进行的,能应用于公司、业务单元、服务机构及项目层面的风险管理活动。重复管理程序的时间可根据进度表决定 (如每年进行战略风险评估),或者根据事件来决定(如外部事件、标明超过风险门槛水平的报告、或被提议的项目)。

2.2COSO的ERM模型在制造业企业中的运用

2.2.1 ERM模型介绍

①ERM 模型: 建立风险评估基础

②ERM模型:识别风险和风险因素

③ERM模型:分析风险

④ERM模型:整合风险

⑤ERM 模型:评估风险

⑥ERM 模型:应对风险

2.2.2ERM模型在制造业中的运用

中国某钢铁公司是我国勘察计行业的龙头企业,拥有巨额的注册资本,公司经营范围广泛涉及冶金、建筑、房地产、市政、环境等领域的技术咨询、工程设计、工程总承包、工程监理以及相关设备成套。

对于钢铁企业来说,保守商业秘密就是一个必须重视的重要环节。从最基本的层次来说,诸如企业成本核算与控制、核心设计图纸、报价体系、集成商和商的利润激励体制、新的投资和扩张计划等等,都制约和决定着企业的竞争优势。正是高瞻远瞩地意识到了企业关键数据的重要意义,这家钢铁公司开始加强对这些核心数据的管理和科学保护。这家公司选择的是ERM体系。该公司对国内外的多家信息安全产品进行了全方位的严格测试,广泛涉及复杂网络环境应用测试、业务系统的兼容性评估、系统稳定性以及易用性考察,最终选择ERM整体解决方案因为ERM系统的高加密强度、稳定性、易用性以及可靠的系统平台能够降低信息安全管理风险,深化了企业的执行和管理力度。

ERM系统通过精准细致的数据应用权限控制、人员级别管理以及内部信息共享行为的合法性控制,有效防止了机密数据信息被窃取、外泄和破坏,同时,ERM系统的革命性扩展能力也帮助企业极大地降低了安全体系的成本花费。

2.3制造业中ERM安全备份模块

为了帮助企业保护其内部核心数据信息的完整性和安全性,提升企业重要文档的抗破坏能力, ERM安全备份模块显得尤为重要。

2.3.1 ERM安全备份模块主要功能

安全备份模块主要功能

1 任意格式电子文档(CAD、Office、PDF、JPG等)在编辑保存后均自动备份到备份服务器中;

2 所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了泄密和窃密的发生;

3 管理员通过策略可以任意指定所有机密文档的备份路径和备份模式(按版本备份、备份最后的版本),方便企业文档管理;

4 用户在离线工作模式下生成的文档,将首先自动备份在本地硬盘中,有效避免了由于各种原因造成的企业机密数据信息的破坏;

5 数据恢复过程简单、快捷。

2.3.2 ERM安全备份模块主要优势

①安全性。ERM安全备份模块以高强度的数据加密技术为依托,对企业的核心数据信息进行实时备份。任意格式电子文档(CAD、Office、PDF、JPG等)在新建后均自动备份到备份服务器中。并且所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了窃密、泄密和破坏事件的发生,充分确保了企业核心数据信息的完整性和安全性。

②稳定性。机密文件安全备份是整个信息安全管理过程中的重要一环,也是企业在面临数据毁坏这种致命安全风险时的有力保护手段。为了帮助企业保证业务流程的连续性。

③灵活性。ERM安全备份模块充分利用企业现有网络和设备,为用户定制了能够全面满足各种企业安全管理需求的备份模块。对于需要实施文件备份的企业用户,管理员可以通过策略灵活指定需要备份的文件源和文件类型。

3结语

文章提出了信息安全风险评估的两种模型,基于层次结构的风险评估模型是建立在一种定量与定性结合的风险评估方法上,通过层次的模糊综合评估来计算一个值,定义了值得范围对应的"很低"、"较低"、"中等"、"较高"、"很高"来进行风险评估。针对相应的风险程度,写改进的意见、如何改善完成整个风险评估的流程,制定风险防范措施,加强内部控制,提供解除风险的方法,减少因为相关的风险而面临的问题。ERM法是针对企业的具体情况,设定单体风险档案,通过对减值点相对应的相关风险进行描述,以问卷的形式请相关负责人员对其评分,来确定是"很高""高""中""低""很低",来确定风险。填写一些缓解措施,来相应地采取措施,应对风险、解除风险。两种模型都在制造业企业信息资产的风险评估中得到广泛运用。

参考文献:

[1]中国信息安全组织论坛[DB/OL].infosecurity.org.cn/forum/,2009-07-20.

[2]孙强,陈伟,王东红.信息安全管理——全球最佳实务与实施指南[M].北京:清华大学出版社,2004.

[3]潘宏伟.基于模糊层次分析法的信息安全风险评估研究[D].南京:南京师范大学,2007.

[4] 朱岩,杨永田,张玉清,等.基于层次结构的信息安全评估模型研究[J].计算机工程与应用,2006,(6):40-43.

[5] 黄勤,张月琴,刘益良.信息安全风险模块化层次评估方法研究[J].计算机科学,2007,(10):309-311.

[6] 杨继华,许春香.信息安全多层次综合量化评价模型研究[J].情报,2006,(9):64-66.

[7] 刘楠.信息系统规划阶段风险评估模型[D].哈尔滨:哈尔滨工业大学,2006.

[8] 赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型[J].通信学报,200,(7).

相关热门标签
相关文章阅读
精选范文推荐
相关期刊推荐