风险评估培训全文(5篇)

第1篇：风险评估培训范文

关键词：网络安全关键信息基础设施攻防演练

1引言

伴随着信息技术在社会发展中的重要性越来越高，网络空间已经成为大国博弈的新战场。网络安全攻防演练作为检验关键信息基础设施的网络安全防护、提升网络运营者应急响应水平等关键工作的重要手段，以实战和对抗的方式促进提升网络安全保障能力，具有重要意义。本文站在网络运营者视角，以参与组织的一次政府网站实战攻防演练过程为例，简述攻防演练中防守方如何开展工作，为相关单位提供组织应对经验。

2演练内容

某单位组织网络安全专业技术人员组成若干攻击队伍，对管辖范围内二级机构的官方网站及业务系统进行持续5天的安全攻击测试，验证目标系统安全防护能力的有效性，每天固定时间在统一演练平台提交防守方报告。笔者所在单位作为目标网站及业务系统运营单位，需确保目标信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络安全突发事件的危害。

3组织架构

成立防守指挥部，由网络安全主管领导担任总指挥，成员由网络安全及业务系统运营部门领导组成。指挥部下设防守工作组、监控分析组、研判处置组，总计20人。

3.1防守指挥部

统筹整体演练防守工作，负责信息系统攻击防御演练的指挥、组织协调和过程控制；下达系统停运、恢复关键操作以及对外信息报送授权指令；报告演练进展情况和总结报告，确保演练工作达到预期目的。

3.2防守工作组

负责信息系统突发事件演练的具体工作；搭建维护演练集中监控及处置环境；分析和评估信息系统突发事件对业务影响情况；收集分析信息系统突发事件处置过程中的数据信息和记录；向指挥部报告演练进展情况和事态发展情况；负责牵头开展每日的安全事件总结和分析工作；统计、筛选、提交防守方报告。

3.3监控分析组

负责攻防演练期间业务系统访问监控及网络安全态势监控，发现并识别网络攻击，做好监控过程的记录工作，并向研判处置组发出攻击预警；及时修补业务系统存在的漏洞，开展业务系统关停及恢复工作。

3.4研判处置组

演练备战阶段，负责对发现的网络安全隐患进行整改，落实各项安全防护措施。演练实战阶段，对网络攻击流量进行清洗，确保业务系统可用性；根据需要机动、灵活调配技术资源，完成技术分析与研判、实时攻击对抗、应急响应等工作。

4演练实施

按照过往演练经验，小规模的防守宜按照演练前、演练中、演练后三个阶段开展相关工作。

4.1攻防演练前

攻防演练前建立完善的保障团队。从安全技术层面建立监测预警体系，在安全制度层面建设通告预警与处置反馈机制。对本次保障范围内的信息系统进行详细的风险评估和安全加固，制定《网络安全攻防演练实施方案》，并对相关人员进行信息安全意识宣贯。4.1.1资产梳理。开展信息化资产梳理，主要梳理内容包括但不限于：梳理对外的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构；梳理网络安全设备及网络防护情况；梳理SSLVPN和IPSecVPN接入情况。4.1.2风险评估。安全保障专家结合信息化资产梳理结果进行安全风险评估。安全保障专家可使用调研问卷、人员访谈和安全技术（渗透测试、漏洞扫描、基线核查等）等方式，通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估，各部分内容可参考如下。（1）网络安全风险评估网络架构风险评估，利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。安全漏洞和安全基线风险评估，利用扫描工具对网络设备进行扫描和全面检查。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。账号、权限风险评估，检查管理员账号和权限，关闭不必要的账号，取消不合理的账号权限；保证密码强度符合安全基线要求。远程登录白名单风险评估，严格限制可以远程管理的IP地址，禁用Telnet进行远程管理。配置备份风险评估，所有网络设备全部要做好配置备份，确认备份有效可以恢复。（2）应用安全风险评估身份鉴别风险评估，评估应用系统的身份标识与鉴别功能设置和使用配置情况，应用系统对用户登录各种情况的处理，如登录失败、登录连接超时等。访问控制风险评估，评估应用系统的访问控制功能设置情况，如访问控制的策略、权限设置情况等。安全审计风险评估，评估应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等。资产暴露面风险评估，模拟黑客进行信息收集，获取资产详细信息（程序名称、版本）、开放的危险端口、业务管理后台等。应用漏洞风险评估，包括Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失补丁或版本漏洞检测。渗透测试，采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞,并再现利用该漏洞可能造成的损失，提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。（3）主机安全风险评估WebShell风险评估，对提供Web服务的系统进行WebShell后门排查，验证服务器的安全性，确保清除曾经可能被入侵遗留下的后门。恶意文件风险评估，利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查，并针对恶意文件进行行为分析，确认病毒家族及其危害。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。端口及服务风险评估，服务器只开放自身提供服务相关端口，关闭不必要的端口和对外服务。服务器防火墙风险评估，默认禁止所有主动对外访问行为，如有需要，需严格制定访问控制策略，实行服务器对外访问白名单。系统漏洞扫描风险评估，对操作系统、数据库及常见应用、协议进行漏洞扫描。（4）终端安全风险评估安全基线风险评估，对终端的操作系统进行安全配置基线检查，保证终端设备安全。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。防病毒软件风险评估，检查终端是否安装防病毒软件，安全策略是否开启。非法外联风险评估，检查终端是否配置了双网卡，是否开放或连接热点。补丁更新风险评估，检查补丁更新情况。（5）数据安全风险评估安全基线风险评估，对数据库的操作系统进行安全配置基线检查，保证数据库系统安全。数据访问控制风险评估，对数据的访问、权限设置进行评估。数据备份风险评估，检查数据备份策略、灾备情况。4.1.3安全加固。通过评估与检查的方式，分析信息化资产及重要信息系统的安全漏洞与风险，并有针对性地进行安全加固。网络设备、安全设备、安全系统等网络层面安全问题由基础网络运营部门负责加固；应用系统存在的漏洞、代码逻辑错误、管理员弱口令、中间件漏洞等主机和应用层问题由各相关系统负责人进行加固，由安全专家提供相关指导建议解决目标系统在安全评估中发现的技术性安全问题，对系统安全配置进行优化，杜绝系统配置不当而出现的弱点。4.1.4安全培训。为提升安全技术人员安全技术能力和非安全人员的信息安全意识，防守工作组定制培训课程内容，使用相关教材和实战案例等资料，帮助相关人员强化安全意识，强化信息安全攻防知识，以便更好地在演练过程中有效应对网络攻击。培训主要内容：针对安全技术人员、安全管理员进行安全意识、安全常识、Web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训；针对非安全技术人员从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。4.1.5模拟攻防。完成安全加固后，为检验安全加固的成果、检验安全防护体系的健壮性和有效性，需要组织模拟攻防演练进行安全能力检验。可邀请安全公司模拟攻击小组从外部对目标单位信息化系统进行攻击演练，检验演练目标系统的防护能力，检验演练防守团队的协作保障能力。攻击小组使用的攻击手段应不影响目标单位业务的正常开展，包括但不限于渗透测试、系统漏洞攻击、钓鱼攻击/APT综合攻击、社会工程学攻击等。4.1.6环境准备。在合适的场所搭建演练集中监控及处置环境所需电力、网络设备，根据工作任务分配接入网络，保障攻防演练期间设备正常运行。

4.2攻防演练中

防守工作组指导监控分析组及研判处置组在攻防演练过程中最大力度防御来自任何攻击方的网络攻击，实时监测目标系统的攻击情况；发生网络安全事件立刻通知到防守指挥部，实时掌握演练情况，做好安全事件的分析研判，形成分析和处置报告上报。4.2.17×24小时监测预警。监控分析组通过业务系统访问日志及网站安全监测、网络安全管理中心、网络安全态势感知等通报预警平台，实现网站安全的集中监测。指派云端专人对被监测网站安全事件进行实时研判与验证，当出现安全事件时立刻上报现场研判处置组。所有监控任务分配到人，所监测到的安全事件必须留存事件记录，做好系统备份工作和故障详细记录并进行初步诊断。4.2.2技术分析。攻防演练期间，网络攻击的数量呈指数级增长。而传统的基于黑白名单、签名和规则的安全威胁发现手段，已经不能应对演练期间不断升级且有针对性的网络威胁。因此，当互联网安全监测平台和安全态势感知监测到安全事件时，监控分析组必须立刻进行安全事件分析，定位问题并溯源。确定非误报后，将详细攻击路径、攻击IP等情况反馈研判处置组及防守工作组以便上报。结合故障描述和诊断，定位安全问题后，根据情况配合输出解决思路，反馈研判处置组。无法定位分析的问题，直接反馈给防守工作组。4.2.3专家研判与实时攻击对抗。攻防演练期间最大的安全风险来自于攻击方攻击，特别是有针对性、持续性的攻击。及早发现并遏制有针对性、持续性的攻击是规避外部风险的有效手段。演练期间也是非法黑客组织的活跃期。黑客组织可能伪装成攻击队对防守单位进行攻击，监控分析组与研判处置组需实时研判安全事件，根据事件特征，在入侵防御系统、Web应用防火墙等安全设备中添加相应防护策略，对非法攻击事件分类进行实时攻击对抗。4.2.4应急响应与业务恢复。应急响应快速处置成功的关键是根据预设流程有条不紊地解决已经发生的安全事件，以保证最大限度地减少安全事件造成的损害，降低应急处置中的风险。研判处置组当接到监控分析组的预警报告后，直接定位的问题（可用性等）可直接处置，处置前做好数据备份和处置方法论证。无法直接定位的问题，与监控分析组进行详细分析，得出详细分析结果后，制定出相应解决方案，处置前做好数据备份和处置方法论证；存在风险的处置，必须上报防守工作组，统一论证后进行。

4.3攻防演练后

第2篇：风险评估培训范文

关键词：风险评估；安全教育；实验室；研究生

高校实验室是我国培养研究生的重要阵地，他们都将活跃在科研、生产和管理的一线岗位，充分的安全意识和过硬的安全技能对他们尤为重要。近年来，媒体报道的典型高校实验室安全事件，有70%来自国内高校，52%的安全事件起因于违反实验操作规程和实验操作不慎[1]。国内高校实验室安全事故分析结果表明有80%的事故发生在科研实验过程，且引发事故的群体有89%来自学生[2]。因此，加强研究生的实验室安全教育，特别是实验过程的安全教育，使其在开展科学实验之前就掌握识别、评估和控制风险的能力，对于预防和减少实验室安全事件的发生，具有重要意义。

一国内外研究生实验室安全教育现状

高校实验室中人的不安全行为始终是高校实验室管理工作的一大难题，也是引发安全事故的主要因素。事故致因理论认为由人的不安全行为引发的安全事故占有很大比例。海因里希事故因果连锁论认为大多数的工业伤害事故都是由人的不安全行为引起的，人的不安全行为诱发了约85％-90％的安全事故[3-5]。因此，加强人的安全教育，提高实验室安全准入门槛，已成为国内外高校加强实验室安全管理的主要途径之一。国外高校和科研院所历来高度重视实验室安全教育，较早实施实验室安全学习与准入制度。美国密西根大学新生在进入实验室前必须接受一系列安全培训并通过考试，实验室有组长（一般为研究生）进行监督提醒[6]。美国佐治亚理工学院EHS部门开发了实验室与化学品安全、环境安全等安全项目，为师生提供专业的监督、咨询和培训服务[7]。加拿大材料技术研究所对通过安全学习的发放“准入卡”，限定进入实验室权限和使用设备权限，“刷卡即责”[8]。澳大利亚同步辐射中心新进人员必须通过安全培训后才能进入科研机构，中心经常组织疏散演习和实际撤离[9]。牛津大学的实验人员通过安全培训后，还要导师和实验室负责人同意，才能进入实验室[10]。我国高校实验室安全教育起步较晚，近年来随着重视度日益提高，已取得较大进步。江南大学2011年开始对全校师生实施强制性实验室安全知识考试和准入制度，并通过本科生选课、研究生毕业论文开题和新教工领取教师资格证等环节设置约束门槛，取得了良好效果[11]。清华大学化工系在2015年建立了化学实验室准入制度，在常规安全学习基础上，增加实验室安全“告知＋分析”环节，并通过门禁授权进行约束管理[12]。但是，实验室安全准入仅是安全管理的第一步，要充分保障实验室安全，还需要加强实验过程管理。

二新加坡国立大学实验室风险评估管理的优势

新加坡国立大学是新加坡首屈一指的世界级顶尖大学，一直都将安全与健康誉为其核心价值之一。本文作者之一曾在该校工程学院访学，亲历其严谨的实验室安全教育制度和培训体系，感触颇深。例如，每个实验室必须配备一名有安全资质的专职教师作为实验室安全员，监督和管理实验室活动。实验人员在开展实验项目前须填写《风险评估报告》，由实验室安全员评估通过后，方可开展相关工作。学院开展风险评估应用培训，要求人人参与，目的是让大家学会对危险源进行风险评估，并采取措施最大化降低风险等级，减少伤害。危险源识别是风险评估的第一步。首先将一项工作分解成几个连续步骤，再努力识别每个步骤中各项操作任务的可预见危险和处于潜在危险中的人，最后将每个操作任务中的危险源单独列出，并详尽描述其对应的危害后果，只有已被识别的危险源才可以得到控制。识别出危险源后，就是确定风险等级。通过审视现有的风险控制措施，评估危险源带来风险的严重程度和发生可能性，将严重性和可能性量化后进行乘积，就得到风险等级（详见表1）。确定了风险等级，最后就是采取控制措施，降低风险，并持续检查以确保风险控制的有效性。只有高风险被降低到允许或可接受的风险水平后，才能执行相应的操作任务。当风险等级等于1或2时，表明该任务属于可以接受的低风险水平，可以直接开展工作，但需要经常回顾以确保风险等级的精准；当风险等级等于3或4时，表明该任务属于中级风险水平，要对危险源进行仔细评估以确保在一定时间内能降低风险，或采取加强管理等临时性措施，才能开展工作；当风险等级在4以上时，表明该任务属于高风险水平，必须立即采取措施将高风险降至中级风险水平及以下，才能开始工作，临时性措施在此不适用，也不能过度依赖于个人防护设备。风险控制的措施或行为要具有可操作性。一般来说，控制风险最好是尝试消除危害或采用危害性更小的替代性办法。当消除及替代方案都不可行时，再选择一个较强的干预措施，其次就是建立管理机制，最后是增加个人保护装置。个人防护用品仅是应对风险的最后一道防护，不能作为首选的风险控制办法。

三风险评估在本校材料学科安全教育的借鉴与实践

南京工业大学材料学院实验室具有危险源多且复杂的特点，由于研究生招生指标限制，多数实验室存在科研任务重、科研力量不足等状况。长期以来，无论是导师还是学生，虽有安全第一的积极态度，但在实际工作中普遍存在重科研、轻安全的问题。因此，加强实验室安全教育，不仅要从学生着手，更要增加导师的积极配合和参与，充分发挥导师第一安全责任人的作用。

（一）研究生安全教育实施方案学院2013年开发实验室安全考试系统，要求所有研究生参加安全知识考试，并以考试通过作为实验室准入条件。2017年，学院借鉴新加坡国立大学实验室风险评估培训经验，对研究生开展实验室安全培训。要求研究生在通过实验室安全考试后，必须再参加学院统一组织的实验室安全培训并通过实验风险评估考核，才能获取实验室准入资格。同时，在日常实验室安全管理中，对需要购买、使用管控品的研究生，要求必须提交由导师认可的《实验风险评估报告》，方可购买并用于相关实验。

（二）研究生安全教育效果评价及改进机制学院自开展实验室安全教育以来，已对2012级起的1215名硕博士研究生组织了安全考试（详见表2）。从表2可以看出，参加实验室安全知识考试和实验室安全培训的人数比例呈稳定上升趋势，说明学生逐渐意识到参加安全学习的重要性，并做到积极参与。实验室安全知识考试通过率平均为99.6%，表明研究生对其学习领域的实验室基础安全知识掌握较好。实验风险评估考核合格率平均为82.7%，由于是人工考核，考核结果相对来说具有一定主观性，但仍能反映出整体情况有待提高。通过与师生谈话、实验室走访等途径，总结问题如下：（1）准入监管不到位：对于实验风险评估考核不通过的学生，一方面学院对准入管理没有门禁控制和人力监督，另一方面导师也无暇对不通过的学生采取准入限制，从而使风险评估考核缺乏约束力；（2）安全意识薄弱：学生自认为已通过学校实验室安全准入考试，该考试效力应高于学院考核，因此没必要再参加学院考核，并且侥幸认为实验室安全事故不会发生到自己身上；（3）科研压力大，功利性强：学生未能真正领会风险评估的重要性，“没时间”参与科研以外的各种活动。针对以上问题，学院拟采用网络技术和信息技术优化实验室安全培训和考核模式。充分利用超星系统在线建设实验室安全培训课程，设置学习时间段、考核试题和合格要求，通过系统审批和查阅考核结果。通过在线课程建设，既可以方便研究生自由选择学习培训时间，又可以节省学院安全教育的人力和时间成本。课程建设完成，还可以拓展应用到学院本科生实验室安全教育乃至全校师生实验室安全教育，增加实验室安全教育工作的有效性和连续性。

四小结

侥幸的安全不是真正的安全，“君子以思患而豫防之”,有备才能无患。高校实验室安全教育虽是老生常谈，但是安全事故仍是每年发生，轻则财物损失，重则丧失性命。因此，要确保实验室安全，必须学会评估实验活动中的潜在风险，采取相应措施降低风险水平，提高安全系数。对科研任务繁重但却疏于防范的研究生来说，开展实验风险评估，自觉规范实验操作行为，使心系安全、思考安全、行为安全成为一种安全习惯，不仅有利于实验室安全工作的开展和安全文化的传承，还利于研究生综合素质的提升，真正做到磨刀不误砍柴工，受用一辈子。

参考文献

[1]秦锋,黄强,袁久洪.高校实验室安全事件的原因浅析与管理对策[J].实验室研究与探索,2017,36(3):303-306.

[2]董继业,马参国,傅贵,等.高校实验室安全事故行为原因分析及解决对策[J].实验技术与管理,2016,3(10):258-261.

[3]黄炳辉,李勇,卜建.安全准入制度是提高高校实验室安全的重要举措[J].实验室技术与管理,2009,26(4):150-152.

[4]廖秀萍.高校实验室安全管理实践与探索[J].广西轻工业,2010(7):167-168.

[6]程敬丽,毛黎娟.美国大学化学实验室的管理与启示[J].实验室技术与管理,2012,29(7):175-178.

第3篇：风险评估培训范文

关键词：食品安全；风险交流；国际食品法典委员会；启示

1食品安全风险交流的基本特性

1．1风险交流的基本概念

“风险交流”从英文riskcommunication翻译而来。国际食品法典委员会在《食品法典委员会框架下实施风险分析工作原则》中指出，风险交流的定义是在风险分析过程中，风险评估人员、风险管理者、消费者、业界、学术界和其他有关各方之间对于风险、风险的相关因素和风险的看法，包括风险评估结果的解释和风险管理决策的基础。在国际食品法典委员会关于《现代生物技术食品安全风险分析准则》中强调了风险交流，即风险交流是用来解释如何和为什么作出决定，它明确回应利益相关方及公众提出的任何疑虑，解释为何这些问题被关注，风险交流是一个利益相关方和被影响方反复交流的过程。国际食品法典委员会列出的特性指出，在风险分析过程中应包括风险交流，它与政府组织结构紧密联系。风险交流是包含理解科学和技术风险的一门科学，分为2个主要组成部分：技术部分一般包括对风险评估过程中的危害进行科学评估，非技术部分包括政府、监管机构处理文化和社会伦理问题［3］。风险分析过程中，风险交流须在重点关注健康和环境安全的同时用一个简单综合的方式交流，避免涉及细节的技术问题，沟通的细节应着眼于确保技术安全和用户受益的各项监管过程。同时，风险交流的主要功能应该是确保所有的信息和观点有效地纳入风险管理的决策过程，这些信息与观点应包括：风险分析过程中，对具体问题的认识和理解；制定风险管理备选方案／建议中的一致性和透明度；为风险管理决策提供一个良好基础；提高风险分析的整体效益和效率；加强参与者之间的共事关系；促进公众对风险分析过程的认知，提高他们对食品供应安全的信任和信心；促进有关各方的适当参与；交换信息，以便与有关方面关注与食品相关的风险。风险交流应对风险评估政策和风险评估中的不确定性给出一个清晰的解释，相关的要求如具体的标准、相关文本、后续决策的程序须要明确解释。应指明任何制约因素、不确定性等对风险分析的影响。

1．2风险交流的形式

食品安全风险交流包括风险评估机构间的交流，也包括和公众的交流。二者有不同的目的、形式，因此也有不同的内容、方式。如风险评估机构间的交流是双向互动过程，交流信息主要包括食品、食用农产品安全风险监测信息以及食品、食用农产品安全风险评估结果等信息2个方面，其目的是政府部门间协同治理。而公众交流是指食药监部门及其他监管部门、风险评估专家委员会及技术机构食品安全风险评估结果和食品安全监管信息，并搜集利益相关者的反馈。

1．3风险交流的原则

1．3．1公开性原则无论是食品安全管理过程，还是食品安全风险分析过程，都应该让公众知道，应当公开。当相关企业、消费者及其他相关利益者拥有参与并知情时，才能真真实实参与其中，以便更好地开展下一步的工作。同时，透明性是建立在公开性之上的。1．3．2透明性原则透明性有利于各利益相关方的密切合作，提高食品安全管理体系的认同感。在遇到食品安全问题时，利益相关方都能积极发表自己的意见，让消费者及时了解相关信息，增强消费者信心，真正把相关信息透明化。1．3．3及时性原则发生突发性食品安全事件时应当及时相关信息。媒体或公众对食品安全事件都很敏感，所以应当及时相关信息以便消除疑虑。同时，相关管理部门可以根据反馈情况及时作出有效措施和整改办法，尽量把危害消除或控制到最小范围，这样无论对政府、企业或是消费者无疑都是一种最小的伤害。1．3．4应对性原则风险交流重点在于沟通，而沟通应该是双方甚至是多方的事。因此，在交流时就应根据不同的受众对象选取不同的沟通方法、策略及语言进行交流，确保沟通顺畅进行。

2食品安全风险交流的监管

风险交流监管最初是相关部门向利益相关群体告知新技术和针对特定作物技术开发项目的批准，利益相关群体包括整个食品链涉及的技术专家、农民、产品开发人员、工人、商人、零售商和消费者。从这个阶段开始，可理解的信息传递在产品开发的各个阶段，直到它到达市场。科学的风险评估必须是以适当的研究为基础的风险管理和交流活动，它的对象是消费者和媒体，通过这种方式平衡其他潜在利益和某一特定技术风险，对公共政策的发展产生积极的影响。目前的挑战是将公众的看法纳入到政策制定中，但不妨碍科学在政策制定中的主导作用。不同的参与者和不同的利益相关群体有不同的需求，所以在与他们沟通之前，重要的是要了解参与者的需求、关注、知识水平和观念，或通过协商以选择受支持的沟通方式对于沟通都是有益的。涉及到沟通者时，须要仔细考虑参与者的类型，有效的沟通者须是可靠和值得信赖的，不同的目标人群应该选择不同的沟通者，且沟通者须要有良好的语言及倾听技巧。国际食品法典委员会在《食品法典委员会框架下实施风险分析工作原则》中指出，在各个阶段的风险评估和风险管理中，有效的风险交流是必不可少的。这是一个互动的过程，涉及所有利益相关方，包括政府、工业界、学术界、媒体和消费者［3］。风险交流应该包括透明的安全评估和风险管理决策过程，这些过程的各个阶段应当详细记录并开放接受公众监督，同时尊重对保障商业和工业信息保密的正当关切。其中，安全性评估报告和其他方面的决策过程应提供给利益相关的各方。有效的风险交流应包括协商过程，协商过程应该是互动的，应征求所有有关各方的意见，在风险分析过程中应注重在协商过程中提出的食品安全和营养问题。风险交流管理旨在评估和管理风险，提供有关监管架构和流程设计的信息，如政策制定、应用过程、利益相关者参与、特定产品的决定等用于监管决策的信息。为了避免实际或可能的利益冲突，许多监管机构只承担监管风险交流的活动，为其他利益相关者群体留出更多技术或产品沟通空间，尽可能多地收集和反馈意见并对外提供。风险交流管理者须要有效地制定适当的机制，以接收反馈信息，分析信息，并使用这些信息来修改和完善他们的对外联络沟通。获得利益相关者的反馈，可使监管者和风险评估者了解利益相关群体的关注。用简单的语言讲述技术过程可以在沟通中建立信任，过程中所涉及的具体科学技术和监管程序可以用观点的方式来解释［4］。

3食品安全风险交流的注意事项

3．1了解参与者

在制定风险交流信息前应对参与者进行分析，了解他们的动机和意见，要知道参与者的社会身份，以群体和个人的角度去了解他们的关切和感受，并与他们保持开放的沟通渠道。聆听所有有关各方的意见是风险交流的一个重要组成部分［5］。

3．2让技术专家参与

技术专家作为风险评估过程的参与者，必须能够清楚地解释风险评估的概念和过程。他们要能够解释评估过程，解释假设和主观判断所依据的科学数据，以便风险管理人员和其他有关各方清楚地了解风险。技术专家还必须能够清楚地沟通，并解释相关的风险评估过程的不确定性，同时，风险管理人员必须能够解释风险管理决策的过程和依据［6］。

3．3沟通的专业知识

成功的风险交流须要将专业知识的理解和有用的信息传达给所有利益相关各方，风险管理人员和技术专家可能没有时间或经验来执行复杂的风险交流工作，如应对各种参与者（公众、行业、媒体等）的需求并准备有效的信息。因此，应尽早让具有专门风险交流知识的人参与风险交流的过程，也须要对风险管理人员和技术专家进行沟通知识培训，相关专业知识也会随着培训和经验积累而发展。

3．4可靠的信息来源

可靠来源的信息更可能影响公众对于食品安全风险的认知。对于不同参与者其可信度可能会有所不同，主要是因为风险属性、个人文化、社会和经济地位以及其他因素的影响。如果一致的消息是从多个来源收到，那么消息的可信度增强。影响来源可信度的因素包括认知能力、专业知识、个人及单位诚信、公正与否等因素，如消费者相信程度较高的因素包括事实、专业知识、专家、公益事业和诚实良好的纪录，所以必须培养信任和信誉，它会因为无效或不适当的沟通被削弱。有研究表明，消费者对于夸张、扭曲、有既得利益倾向的信息不相信或相信度较低，遗漏、歪曲和利己的观点从长远来看会损害公信力。有效的沟通包括承认当前的问题和困难，及时公开相关的内容和方法，消息的及时性是最重要的，因为许多争论最后都围绕“为什么你不尽早告诉我们？”这个提问，而不是问题的本身。

3．5分担责任

国家、区域和地方各级政府的监管机构在风险交流方面应承担基本责任，当风险管理决策涉及政府监管或当政府决定不采取行动时，公众希望政府在公共卫生风险管理中发挥主导作用，此时食品安全风险交流对于解释为何不采取任何行动仍是最好的选择。为了了解公众的关注并确保风险管理决策以适当的方式回应这些担忧，政府须要确定哪些市民知道有关的风险，公众正在考虑什么方式来管理这些风险。媒体在沟通过程中起着至关重要的作用，可以分担相关责任。业内人士也有责任进行风险交流，尤其是当风险是由于他们的产品或过程导致的［7］。在风险交流过程中所涉及的所有各方如政府、行业、媒体都有责任促进沟通有结果，尽管各方可能代表不同群体利益。同时，科学是决策的基础，在风险交流过程中所涉及的所有各方应该知道沟通的基本原则、支持风险评估的数据和风险管理决策遵照的相关政策。

3．6区分科学与价值判断

在考虑风险管理的选择时，关键是要分开“价值”和“事实”，在实际操作层面，报告已知的事实和报告风险管理决策或实施过程中所涉及的不确定性一样重要。食品安全风险交流者有责任去解释什么是已知的，哪些方面受到知识的限制。公众可接受的风险程度包含价值判断，因此，风险交流者应该能够向公众证明风险可接受的水平，很多人认为“安全食品”意味着零风险的食品，但零风险往往是遥不可及的，实际上，“安全食品”通常意味着是“足够安全”的食物，这一点是风险交流的一个重要功能。

3．7保证透明度

为使公众能接受风险评估的过程和结果，整个过程必须是公开透明的，在尊重正当保密要求的情况下，风险分析的透明度包括过程的公开和相关群体的审议。风险管理者、公众和其他有关各方之间有效的双向沟通是风险管理的重要组成部分和实现透明度的一个关键因素。

4CAC框架下食品安全风险交流机制对我国的启示

我国的食品安全风险交流机制建设处于起步阶段，在借鉴CAC的经验下，可重点加强食品安全风险交流制度建设，包括食品安全风险机构设置、信息专业人士培训、信息方式等。同时，依据我国实际情况，须收集和分析网络、电视等媒体关注的食品安全风险相关舆情信息，及时掌握公众对食品安全风险事件的认知情况，及早发现食品安全风险事件的关键因素，通过完善的风险交流机制把食品安全风险事件造成的负面影响降到最低［8］。

4．1明确风险交流主体的定位

在食品安全风险交流中，风险评估机构、风险交流机构、风险管理机关、公众、媒体等利益相关方只有各司其职，才能提高风险交流的效率。目前，很多发达国家都是由风险评估机构主导风险交流工作。该模式的特点在于可借助风险评估机构的独立性，使其在风险交流中能够准确、有效地传递风险评估的相关信息，并能统一决定食品安全方针和风险管理措施的实施。此外，还应增加与公众、媒体保持的良好互动，发挥媒体的引领作用。

4．2建立风险交流公众参与机制，搭建多样化信息沟通平台

让公众参与食品安全风险交流的对话，实行“双向沟通”是各国食品安全风险交流发展的新趋势。针对公众参与，我国在新修订的《食品安全法》第23条规定：“县级以上人民政府食品药品监督管理部门和其他有关部门、食品安全风险评估专家委员会及其技术机构，应当按照科学、客观、及时、公开的原则，组织食品生产经营者、食品检验机构、认证机构、食品行业协会、消费者协会以及新闻媒体等，就食品安全风险评估信息和食品安全监督管理信息进行交流沟通。”通过法律保障公众参与食品安全风险交流的权利。加快公众参与制度的建设，丰富信息公开的内容，拓宽公众参与的渠道，完善公众参与食品安全风险交流的管理机制。并强化中央与地方、专家与消费者等不同层面的风险交流，以满足日常、紧急情况下不同类型受众对于风险信息的需求［9］。

4．3推进风险交流的国际合作

第4篇：风险评估培训范文

查找信息资产存在的漏洞，结合现有控制措施，分析这些威胁被利用的可能性和造成的影响，根据可能性和影响评估风险的大小，提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程（简称27号文），提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神，进一步识别信息系统存在的风险，并对其进行控制，很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目，有其自身的特点。

2信息安全风险评估项目的过程管理

可以从五个方面解释信息安全风险评估项目的生命周期，即数据收集、计划准备、数据分析、项目验收、报告撰写，其中一三五是风险评估的主要实施阶段。

2.1计划准备阶段

（1）制定项目章程。在信息安全风险评估项目中，应尽早确认并任命项目经理，最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程，而该章程则具有授权的作用，即它能够使得经理能够运用组织资源来进行项目的实施。显而易见，项目经理是被授权的一方，必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源，他们能够参与章程的编制。

（2）确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能，例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等，甚至一些人为的因素也是重要的参考。

（3）明确风险评估成果。在信息安全风险评估项目中，应该在项目开始之前，与客户将项目提交的成果及要求确定下来。明确风险评估成果之后，在项目执行过程中，该目标也应该作为项目验收的标准。

（4）制定项目实施方案。项目实施方案是项目活动实施的具体流程，主要用来为项目实施提供技术指导。

（5）制定项目管理计划。如果想要计划实施过程一切顺利，或者说对定义等计划行动的过程需要记录的话，就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余，相反应该极其精炼，但是精炼并不意味着简单，相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。

（6）组建项目团队。一个优秀的项目团队是完成项目所必不可少的，是一种必须的人力资源。在项目开始时，一般而言，由项目经理来决定优秀团队的组成，并且在组建团队时应该注意谈判技巧。

（7）召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作，是一个项目的启动阶段，在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。

（8）风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训，以便项目能顺利实施。

2.2数据收集阶段

主要包括收集资料、现场技术评估、现场管理评估三项任务。

（1）收集资料。数据收集阶段最开始的步骤肯定是收集资料，简而言之，收集资料就是采取一切可行的方法，尽可能详细地获得和项目相关的一些信息，例如客户的行为习惯、客户业务相关的文档，甚至信息安全系统、信息化流程等信息都要尽量详细化。

（2）现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。

（3）现场管理评估。现场管理评估是最后一个步骤，但是却非常重要，它不仅关系着此次项目运行成功与否，还关系到以后项目效率的改进，现场评估需要对项目进展的流程进行综合分析，找出不足之处，寻出与优秀的项目管理之间的差距，归纳总结，从而完善管理程序。

2.3数据分析阶段

收集数据阶段已经收集了很多的数据存量，想要发现数据的内在规律，从而发现有用的东西，就必须对数据进行详细分析，只有仔细分析数据，才能够发现项目的风险所在，从而确定风险的大小，找出其资产、弱点、风险。

2.4报告撰写阶段

对收集到的数据进行了详细分析，得到初步的结论以后，就到了报告撰写阶段，即在数据分析的基础上，制作一份报告，论述项目的风险问题。

（1）撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来，让管理层清楚地了解当前信息系统存在的风险。

（2）撰写整改报告。整改报告则是根据风险评估的结果，提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。

2.5项目验收阶段

在完成了以上的步骤以后，理论上就可以对项目进行验收了，项目验收即对前期风险评估成果的检验，一般包括三项内容，即报告的评审、组织会议讨论验收事宜以及内部项目总结。

（1）报告评审报告评审就是对风险评估报告及整改报告进行评审。

（2）召开项目验收会即对项目的成果进行汇报。

（3）内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾，还是一个经验总结的过程，回顾过去，把握现在，争取在以后的项目中不再犯同样的错误。

3信息安全风险评估项目的重点领域管理

信息安全问题影响深远，其风险评估应根据项目的特点及具体过程，且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。

3.1项目沟通管理

为了达到项目目标，项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持；其次，为了获得客户的支持与配合，提高项目满意度，项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望，首先应该识别干系人，识别他们的需求与期望，制定沟通计划，在项目实施过程中管理干系人的需求与期望。

（1）识别干系人。很显然，与项目的相关程度不同，不同的人对项目信息安全风险具有不同的影响，作为客户方与项目实施方，其公司企业的信息安全风险是不一样的，一般而言客户方具有最大的影响力，公司方则次之，干系人对项目的态度也是影响项目信息安全风险的重要因素，态度一般分为无关、支持和反对三个。

（2）了解干系人的需求与期望。应该在充分了解项目背景的基础上，运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书，甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的，一般而言会分成很多的情况，比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求，然后通过换位思考、沟通交流等手段，进一步确认干系人的需求与期望。

（3）制定沟通计划。信息安全风险评估项目需要沟通，所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划，而应该详细地分析相关的影响因素，重点关注利益相关者的沟通情况，从而降低影响，提高效率。

（4）管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理，最重要的是要明确期望与需求，进行类别的划分。可分为A、B、C三类：A类：必须做（need），这一类如不做，将难以通过验收；B类：应该做（want），这一类如不做，会影响验收效果；C类：可以做（wish），这一类是可做可不做的，做了客户会更加满意，不做也不会影响验收。其次，在管理干系人的需求与期望时，应该遵循80/20规则，即完成20%的任务实现80%的价值，这部分任务必须作为重点。另外，可能还有20%的任务花费80%的成本，在资源及时间允许的情况下处理此类需求与期望。再次，在管理干系人的需求与期望时也可以根据干系人的职权（权力）进行管理。①在第一象限中的干系人权力高，但对项目关注程度低，采用令其满意的管理策略。②在第二象限中的干系人权力高，且对项目关注程度高，要对其重点管理，优先满足其需要与期望。③第三象限的人员对项目关注程度高，但权力较低，采用随时告知的策略，尽量不要影响其个人利益。④第四象限的人权力低，且对项目不关注，要监督他们对项目的反应，不引起负面影响。最后，为了满足干系人的需求与期望，需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。

3.2项目范围管理

范围是一个空间的范畴，一个项目管理的范围规定了一个项目的权限范围，规定了项目可以做哪些事情，而哪些事情是不能做的，实际上是对必要工作的坚持和对不必要工作的摒弃。

（1）明确风险评估范围。项目计划准备时就要考虑风险评估范围，在这一阶段就应该定义项目范围的广泛性以及纵深等内容，并且考虑客户的需求，从而明确项目管理范围。项目范围的确定不是一方所能够决定的，相反这是一个博弈的过程，应该照顾各方的利益，制定出一个符合各方利益的项目管理范围。

（2）明确风险评估成果。应该在项目开始之前，与客户将项目提交的成果及要求确定下来。一是在项目执行过程中，以此为目标；二是设定一个验收项目的标准。

（3）创建工作分解结构。顾名思义，创建工作分解结构即将解构分解，即把项目的最后结果和其工作流程明细化，从而使得每一步变得简单，更加容易操作。在信息安全风险评估项目中，第一层一般就放置项目成果，而第二层则更加侧重中间成果。显而易见，分解工作结构并不是一件简单的事情，也不是只有一种方法，各层次都是可以相互变化的。

（4）风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程：首先不能明确拒绝，然后要分析客户变更的原因及目的，快速反应变更所需要的人工及预算对时间和质量的影响，然后再做出决定。

（5）风险评估成果核实。风险评估成果核实过程应该严谨而且细心，因为这是一个正式验收项目的过程，需要由客户和项目的执行人一起认真核实项目的最终结果。

（6）取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果，以保证一切均已正确无误且令人满意地完成。

3.3项目时间管理

时间管理至关重要，因为优秀的时间管理保证项目能够不延期交付。

（1）定义活动。定义活动从字面上理解就是一个识别的过程，定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。

（2）排列活动顺序。活动顺序涉及到的是一个排列的问题，指的是一种依赖关系，即识别和记录项目活动的依赖关系，是一种逻辑的过程。一般而言，这里所指的依赖关系指的是信息安全风险评估项目中，各个活动之间所具有的特性，如强制性、选择性和外部依赖性。确定完活动之间的依赖关系，就可以对他们进行排序了，可以采用网络图的方法来表达他们之间的顺序，常有三种关系，即完成-开始，开始-开始，结束-结束。

（3）估算活动持续时间。估算活动持续时间是一个时间上的范畴，指的是估计资源运用和消耗，以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意，应该具有严格的依据。工时估算时，常采用三点估算法。即估算工时=（最乐观时间+4×最可能时间+最悲观时间）/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析，从而确定活动的顺序，并且在时间和空间上确定一个相对准确的点，估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情，而是极其复杂的过程，在这期间需要一遍又一遍分析，从而确定一个合适的时间跨度，并且对项目结果有一个合适的预期。即使制订了进度计划，也不是一成不变的，而是要根据相关审查部门的意见适当地修改计划，从而使得计划在时间和资源应用上更加合理。只有审查通过以后，这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂，很多因素无论是内部的还是外部的，都对项目有很大的影响，并且鉴于有限的项目组成员，所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程，这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序：一般分为四个步骤，即先要分析一个项目所散发的状态信息；然后如果需要调整进度，就要调整影响进度的相关参数；再次分析以后，要确定一个项目是否在原定的轨道上；如果进度脱离了轨道，就要进行相应的管理。

3.4项目成本管理

成本管理包括估算成本、制定预算、控制成本三项任务。

（1）估算成本。对成本的估算需要囊括整个项目的进程，时间跨度和空间跨度上均要全面。成本估算是在某特定时点，根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本，因为人工成本占了所有成本的一大部分，所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提，即进度计划是准确的，从而对团队成员的人工估算做到精确。项目成本即使估算出来了，也不一定是准确的，需要时时修正，因为越到了项目的后期，需要估计的越少，影响估算准确性的因素也越少，所以成本估算需要不断进行。

（2）制定预算。制定预算也是一个估算的过程，是对一个项目的所有方面进行一个全面的评估，从而为以后资金的拨付制订了基础和基准。只有制定预算，才能够根据预算的需求来划拨资金，并且影响到了项目的实施全过程和成果评估部分。

（3）控制成本。成本的控制一般而言指的是成本不应该超出预算，控制成本是一个动态的过程，是监督项目状态，从而获得有用信息以更新项目预算。项目成本控制包括：找出影响项目成本的因素，并作相应的修改；保证修改项目参数能够成功；在修改成功以后，要随时动态地监督；控制成本，使得成本控制在预算的范围之内，甚至应该精确到每一项开支；分析成本与预算成本基准之间的差距；对照资金支出，监督工作绩效；严格禁止不相关的支出，使得每一项成本都合情合理；向有关干系人汇报项目进展和成本控制的工作；即使项目超支了，也要尽量减少成本。

3.5人力资源管理

人力资源管理在一个项目执行时包括很多方面的内容，例如管理组织一个实施团队、人员分工等。

（1）制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划，并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长，因此需要更加有效的团队，这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂，可采用责任分配矩阵（RAM），这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同，制定不同层次的矩阵。

（2）组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程，需要了解人力资源的各种特性，从而组建最合适的管理团队，在组建团队时需要注意：项目经理所要做的是积极地与人力资源人员进行交流，充分掌握各方面的信息，从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源，而是会受到如经济等其他项目对资源的占用等因素的影响，从而制约了项目的实施，作为替代，项目经理可能不可避免地使用不合适的人力资源。

（3）管理项目团队。管理项目团队是选出来运营项目的人所组成的团队，他们具有多样化的目标，例如继续学习，提高团队成员的专业技能，增强团队的执行能力从而保证项目结果的按时交付；以最低的成本完成最高质量的项目；按时完成项目，团队成员之间相互协作，增加团队效率，丰富团队成员的知识，增强其跨学科运作能力，提高团队的凝聚力，无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作，增加项目绩效，在团队出现问题时，分析导致问题的原因，然后解决问题。团队建设一般要经过5个阶段：①形成阶段，这个阶段是团队形成的最初阶段，团队成员只是互相认识，并没有相应的合作。②震荡阶段，指的是团队已经开始运作，但是成员之间需要磨合的阶段。③规范阶段，过了磨合期以后，团队成员彼此之间逐渐适应了彼此的节奏，能够进行初步合作了，团队开始有成为一个有效整体的趋向。④成熟阶段，这一阶段团队成员之间已经能够精诚合作，互补余缺，相互学习，团队效率较高。⑤解散阶段，即当项目完成以后，各成员完成了职责，从而脱离团队。因为各种各样的原因，例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等，会造成项目环境的冲突。如果项目经理能有效管理，则意见分歧能够转变为团队的多样化管理，不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当，团队之间的分歧没有得到解决，就可能会加大团队成员之间的鸿沟，从而对项目的实施产生负面的影响。要建设高效的项目团队，项目经理需要获得高层管理者的支持，获得团队成员的承诺，采用适当的奖励和认可机制，创建团队认同感，有效管理冲突，团队成员间增进信任和开放式沟通，特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括：①人际关系技能。通过了解项目团队成员的感情来预测其行动，了解其后顾之忧，并尽力帮助解决问题，项目管理团队可大大减少麻烦并促进合作。②培训。旨在提高项目团队成员能力的全部活动，培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。③制定管理规范，对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则，可减少误解，提高生产力。规则一旦建立，全体项目团队成员都必须遵守。④认可与奖励。如果想要提高项目团队的效率，使得每个人更加尽心和更加富有责任感，就应在团队建设过程中引进相应的激励机制，在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中，团队成员的奖励不是随意而发的，而是通过项目绩效评价，以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。

3.6项目风险管理

项目风险管理旨在降低风险，或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化，对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目，所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。

（1）识别风险。识别风险是风险管理的前提，是一个信息处理的过程，在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。

（2）评价风险。对于信息安全风险评估项目，评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。

（3）规划风险应对。规划风险应对是风险管理最重要的步骤，其规划的是项目的目标及降低风险的步骤。对于消极风险，常有回避、转移、减轻、接受四种方式；对于积极风险，常有开拓、分享、提高、接受四种方式。

（4）监控风险。监控风险是风险管理的最后一步，也是第一步，因为它是贯穿在整个项目之中，是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。

4结语

第5篇：风险评估培训范文

（一）控制环境方面，内控文化、激励约束机制、会计组织结构、会计人员素质等均存在不同程度的缺陷

1.内控文化存在欠缺。人民银行以行政管理为主，内部控制设计、运行的有效性有待进一步提高。部分员工把内部控制与规章制度等同，认为内部控制就是建章建制而忽视了内部控制的本质内涵。有的缺乏内部控制具体的执行落实，内部控制执行不到位。

2.激励约束机制不足。目前人民银行由于体制问题，存在一定的“大锅饭”现象。考核奖惩制度及力度远不如商业银行健全；会计人员在培训、晋升等职业发展上的机遇相对较小，导致部分人员情绪懈怠，少部分人产生机会主义倾向；另外，由于县支行的前景长期不清，人员日趋老化，造成员工思想茫然，缺乏归属感。

3.会计组织过于分散。目前人民银行的会计核算与管理分散于会计财务、货币金银、国库、营业等多个部门，要求各不相同，标准难以统一。在编制全行会计报表时，由于需要汇总多个部门的数据，报表容易出现偏差。

4.会计人员素质有待提高。近年来人民银行会计核算和支付清算都发生了巨大的变化，呈现电子化、网络化、集中化的发展趋势，会计分工日趋细化，许多会计人员仅对自己从事的某一小类业务熟悉，缺乏对于整体业务的认知。

（二）风险评估方面，重制度，轻风险评估的倾向存在在内部控制“五要素”中，风险评估是控制活动的前提和基础，是保证内部控制动态有效性的关键要素。在人民银行，制度观念已经深入人心，“按制度办事、靠制度管人、用制度规范行为”的长效管理机制正在逐步建立与不断完善。制度的风险控制效果与风险评估具有紧密的联系：当某项业务运行前，需要进行详细的风险评估来制定完善的规章制度；当该项业务运行后，仍然需要定期与不定期的风险评估来不断修改完善制度。但现实中，人民银行在制度制定后往往忽视风险评估，仅仅强调制度的执行与落实。制度制定时，也许就当时的情况而言针对各种风险的考虑设计比较全面，但是，随着内外部环境的变化，风险的产生范围和表现形式都会发生变化，如果不进行及时的风险评估，并根据评估结果对制度进行及时完善，制度的风险控制效果必然会大打折扣。

（三）控制活动方面，制度执行不到位问题仍然存在，岗位制约有待加强与商业银行相比，人民银行部门间相互约束控制的有效性差，控制活动方面，制度执行不到位问题仍然存在，岗位制约有待加强。

（四）信息与沟通方面，多个会计核算系统相互独立，信息沟通渠道不畅。

1.多个会计核算系统并存，风险点成倍扩散。由于会计业务分散在多个部门，在推广会计核算电子化的过程中，各部门纷纷开发各自业务的会计核算系统，造成系统众多，每个系统都有相似的风险点，风险点成倍扩散，风险控制的工作量和工作难度都成倍增加。并且，这些系统的业务需求由各业务主管部门负责，独立闭环设计，许多系统之间缺少数据转换接口，互不支持，会计信息相互割裂。

2.多个会计核算部门并存，横向信息沟通不畅。由于存在多个会计核算部门，这些部门都以条线管理为主，同级行各部门间缺乏有效的协调和沟通，信息相对封闭，会计信息资源得不到有效利用。虽然许多分支机构都制定会计联席会议制度，但是该机制主要是就重大会计工作进行协调，日常会计信息缺乏制度性、常规性的沟通渠道。

3.会计内部控制信息缺乏报告制度，纵向信息不对称。在打击会计舞弊、保障财务报告质量过程中，人们逐渐认识到内部控制信息报告与披露的重要性。通过内部控制信息报告与披露，可以降低报告主体与报告接受方的信息不对称，促进报告主体定期对会计业务进行风险评估，从而相应采取更有效的内部控制措施。但是，迄今为止，人民银行还没有会计内部控制信息报告制度，上下级单位之间在会计内部控制信息上存在信息不对称。

二、加强人民银行会计内部控制的思考

会计内部控制建设不能仅仅是“头痛医头、脚痛医脚”，应当在《中国人民银行分支机构内部控制指引》的指导下，按照有效性、全面性、及时性、合理性的原则进行系统性建设。同时，会计内部控制作为会计管理的一部分，应当纳入“大会计”管理框架，由会计部门牵头，国库、支付、营业、发行、事后监督等部门参加，各部门相互配合，通力合作，共同建设。同时，内审部门作为全行内部控制建设的牵头部门，应当负责对会计内部控制的合理性与有效性进行监督与评价。因此，针对人民银行会计内部控制存在的问题，结合内部控制理论研究成果与实践，笔者提出以下思考。

（一）加强会计人员教育，强化激励约束机制，提高会计人员的责任心、职业操守和履职能力

会计内部控制关键靠“人”，要坚持以人为本，积极构建学习型队伍，加强员工的思想、作风和能力建设，加强金融法律法规和内部规章的教育和培训，培养员工形成良好的道德风尚、正确的价值观念、严谨的思维方式和行为方式，增强员工的风险防范能力，促使员工能够自觉堵塞业务流程漏洞，实现员工的自觉行为与制度约束的有机结合。加强会计人员的岗位培训与考核。定期进行岗位知识测试，培养员工学习新业务、新知识的自觉性；对于会计主管及其B角，应当定期进行全面业务考核，在一个部门内至少培养两位全面型会计业务能手。强化激励约束机制。建立科学合理的奖惩制度和明确的奖惩措施，制定问题整改和责任追究制度；尽快对县支行定位进行明确，提高县支行员工的归属感与荣誉感；在奖优评先、职称评定等方面向会计类岗位适当倾斜，激发广大会计人员的工作积极性和创造性。

（二）改革会计组织机构，会计核算“横向集中”，实现由“部门会计”到“流程会计”的转变

为改变会计核算业务分散在各个部门造成的会计管理困难、风险可控性差的弊端，以民生银行、浦发银行等股份制商业银行为先驱，国内商业银行近年来纷纷开展业务流程改造，将会计业务集中处理，分离前后台核算业务，实现由“部门银行”到“流程银行”的转变，这一经验做法值得人民银行借鉴。人民银行近年来进行了上下级行会计核算业务的“纵向集中”，但是并未进行同级行会计核算业务的“横向集中”，这直接导致了上文中罗列的一系列问题。从长远改革目标来看，“横向集中”必须实现，为此应当进行相应的会计组织机构改革，将目前分散在各职能部门的会计核算业务统一剥离出来，设立集中处理所有会计业务的综合运营中心和集中监督所有会计业务的会计监督中心，实现“一部基本制度，一套核算系统，一本账簿报表，一个监督平台，一个窗口服务”，加强会计统一管理，增强风险可控性。

（三）重视风险评估，加强信息沟通渠道建设，建立会计内部控制信息报告制度

风险评估之所以受到的重视程度不够，原因在于员工的风险意识不强，缺乏激励引导机制和有效的反映渠道。无论是操作者还是检查者，严格按照制度办事就可以几乎完全免责，员工缺乏动力去进行风险评估，即使发现了一些问题也缺乏能够引起重视的反映渠道。因此，要加强风险评估，首要工作就必须增强员工的风险意识，采取恰当的激励措施鼓励员工进行风险评估，如在考核指标中专设“风险评估”一项内容，对于提出有效建议的单位与个人进行奖励。同时，要拓宽信息沟通渠道，促使会计内部控制信息沟通的制度化。比如，分行在对外《金融运行报告》、《金融稳定报告》、《金融服务报告》三大报告的基础上，可以增加对内《风险评估报告》，由各相关部门轮流主编，按季度，通过该载体，促进在全行形成重视风险评估的良好氛围，增加风险评估的有效沟通渠道。在同级行各部门之间，以会计工作联席会议为纽带，由会计部门牵头组织各参与部门之间的沟通，在定期召开的会计工作联席会议上增加“风险评估”的固定议题，由各部门报告交流各自在上一时期的风险评估状况；在上下级行之间，建立会计内部控制信息报告制度，下级行定期向上级行报告会计内部控制建设情况，以定期报告这种制度要求促进各级行加强风险评估工作。此外，还须加强突发风险事件的快速反应能力，建立突发事件信息快速通道，提高应急管理水平。

（四）紧抓制度落实，加强相互制约，构建多层次、全方位的监控体系

严格执行各项规章制度仍然是会计内部控制的第一要求。要根据内部牵制的原则，合理定岗定责，在岗位设置上切合业务范围和业务处理需要，体现“责、权、利”相结合，坚持不相容岗位相分离，杜绝违规兼岗、替岗现象，加强岗位交流轮换，对于人员紧缺的县支行可以试行异地轮岗制度。要规范业务操作，实行流程控制，通过制定严谨的业务处理流程来控制业务处理环节中的风险重点，不允许会计人员逆程序或省程序操作，业务处理在相关岗位和相关部门之间传递时，实行权责对等，确保流程控制的有效性。要合理设置各个部门、各级岗位的职责权限，严格实行一般事项分级审批、重大事项集体决策。在目前集中采购、公务活动管理信息通报制度的基础上，合理加大公务信息公开的范围与力度，将相关决策过程和结果阳光化，以阳光化来抑止违规行为。要构建以核算部门内部监督、会计部门检查监督、内审部门审计监督、纪检部门党内监督、人民群众民主监督等为内容的多层次、全方位的监控体系。整合监督资源，完善监督机制，合理确定各部门监督职责与范围，统一编制监督计划，统一调配监督人员，根据监督内容联合部署，实施多部门联合检查，减少重复检查次数，提高监督效率与效果。