序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估范文���。如果您需要更多原創(chuàng)資料����,歡迎隨時(shí)與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識(shí)�!
篇1
1引言
近年來��,地區(qū)地方經(jīng)濟(jì)的快速發(fā)展��,用戶負(fù)荷需求水平不斷創(chuàng)出新高,電網(wǎng)規(guī)模也隨之不斷擴(kuò)大�,直接導(dǎo)致地區(qū)電網(wǎng)結(jié)構(gòu)和運(yùn)行方式更加復(fù)雜,對(duì)電網(wǎng)安全運(yùn)行提出更高的要求�����,給調(diào)控中心工作人員的日常工作帶來巨大挑戰(zhàn)����。為防止人工進(jìn)行運(yùn)行方式評(píng)估造成遺漏,開展電網(wǎng)運(yùn)行安全評(píng)估技術(shù)的研究與應(yīng)用��,開發(fā)一套“電網(wǎng)運(yùn)行風(fēng)險(xiǎn)評(píng)估與輔助決策系統(tǒng)”(下稱評(píng)估系統(tǒng))�����,為電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)評(píng)估及輔助決策提供科學(xué)決策依據(jù)�。
2系統(tǒng)技術(shù)路線
評(píng)估系統(tǒng)采用面向?qū)ο蠹夹g(shù)和模塊化思想,基于IEC61970�、SVG標(biāo)準(zhǔn)構(gòu)建電網(wǎng)模型,并實(shí)現(xiàn)數(shù)據(jù)的同步更新及電網(wǎng)運(yùn)行方式的圖形化操作�����、人機(jī)交互等功能�����。通過深入研究電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)有關(guān)規(guī)程規(guī)范及風(fēng)險(xiǎn)評(píng)估理論,建立一套較為完整的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系和風(fēng)險(xiǎn)評(píng)估模型��,對(duì)電網(wǎng)元件和系統(tǒng)的風(fēng)險(xiǎn)水平進(jìn)行合理的風(fēng)險(xiǎn)分級(jí)����。基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的樹搜索法和風(fēng)險(xiǎn)評(píng)估模型�����,快速搜索當(dāng)前電網(wǎng)的薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn)���,對(duì)電網(wǎng)運(yùn)行可能存在的事故風(fēng)險(xiǎn)進(jìn)行預(yù)警,以圖形界面的形式友好直觀展示出來���,同時(shí)依據(jù)電力系統(tǒng)安全穩(wěn)定控制相關(guān)規(guī)定和導(dǎo)則���,構(gòu)建專家系統(tǒng)規(guī)則知識(shí)庫及啟發(fā)式規(guī)則,運(yùn)用基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的啟發(fā)式搜索算法���,結(jié)合電網(wǎng)負(fù)載分布情況��,對(duì)電網(wǎng)可能發(fā)生的事故風(fēng)險(xiǎn)提出相應(yīng)的防范措施及事故風(fēng)險(xiǎn)恢復(fù)供電預(yù)案���,并提交電網(wǎng)安全運(yùn)行風(fēng)險(xiǎn)評(píng)估及輔助決策報(bào)告�����。
3主要研究?jī)?nèi)容
(1)收集���、分析電網(wǎng)的網(wǎng)架架構(gòu)、統(tǒng)調(diào)及未統(tǒng)調(diào)電源����、各類用戶負(fù)荷,電網(wǎng)大���、小運(yùn)行方式等全面數(shù)據(jù)���,研究國家電網(wǎng)、安徽省電力公司���、蚌埠供電公司關(guān)于電網(wǎng)調(diào)度運(yùn)行安全風(fēng)險(xiǎn)評(píng)估相關(guān)技術(shù)文件和地方規(guī)定�。(2)研究基于IEC61970CIM模型標(biāo)準(zhǔn)化技術(shù)和可復(fù)用公共圖形標(biāo)準(zhǔn)SVG,設(shè)計(jì)電網(wǎng)靜態(tài)模型(設(shè)備臺(tái)帳��、物理連接��、電網(wǎng)圖形)的準(zhǔn)實(shí)時(shí)同步方法�����,研究IEC104遠(yuǎn)動(dòng)通信規(guī)約����,設(shè)計(jì)運(yùn)行數(shù)據(jù)實(shí)時(shí)獲取方案,達(dá)到調(diào)度自動(dòng)化高級(jí)應(yīng)用功能的“即插即用”與少維護(hù)�����,保護(hù)資源�。(3)研究電網(wǎng)風(fēng)險(xiǎn)評(píng)估理論及電網(wǎng)風(fēng)險(xiǎn)評(píng)估指標(biāo)體系���,構(gòu)建風(fēng)險(xiǎn)等級(jí)指標(biāo)庫����,對(duì)風(fēng)險(xiǎn)評(píng)估指標(biāo)進(jìn)行量化分級(jí)����。(4)量化評(píng)估電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)�����,科學(xué)確定電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)級(jí)別�����,更好地指導(dǎo)開展電網(wǎng)安全風(fēng)險(xiǎn)評(píng)估工作����,研究電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)的量化評(píng)估和等級(jí)確定的具體方法����。(5)研究地區(qū)電網(wǎng)運(yùn)行方式風(fēng)險(xiǎn)評(píng)估模型,電網(wǎng)運(yùn)行方式風(fēng)險(xiǎn)評(píng)估主要包括:系統(tǒng)風(fēng)險(xiǎn)指標(biāo)體系和風(fēng)險(xiǎn)分析模塊�。系統(tǒng)風(fēng)險(xiǎn)指標(biāo)體系主要從電網(wǎng)分區(qū)、重要用戶��、電壓等級(jí)�、負(fù)荷分布及損失等方面對(duì)電網(wǎng)運(yùn)行風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分。風(fēng)險(xiǎn)分析模塊���,負(fù)責(zé)對(duì)電網(wǎng)運(yùn)行風(fēng)險(xiǎn)進(jìn)行分析�����,給出電網(wǎng)在正常運(yùn)行方式下某設(shè)備故障(停運(yùn))后引起風(fēng)險(xiǎn)事故造成的風(fēng)險(xiǎn)級(jí)別��,該模塊分風(fēng)險(xiǎn)辨識(shí)和風(fēng)險(xiǎn)估計(jì)兩個(gè)方面��。風(fēng)險(xiǎn)辨識(shí)主要對(duì)正常運(yùn)行方式下某設(shè)備進(jìn)行預(yù)設(shè)故障(檢修/停運(yùn))進(jìn)行風(fēng)險(xiǎn)評(píng)估����,結(jié)合設(shè)備的保護(hù)措施,以影響停電區(qū)域最小為目標(biāo)最終確定該設(shè)備故障(檢修/停運(yùn))造成的停電風(fēng)險(xiǎn)事故��。風(fēng)險(xiǎn)估計(jì)通過對(duì)后果進(jìn)行分析�,給出該設(shè)備造成風(fēng)險(xiǎn)事故過程中開關(guān)變位、二次設(shè)備動(dòng)作信息的情景分析���,參照風(fēng)險(xiǎn)指標(biāo)體系給出事故后果造成的停電區(qū)域���、減供負(fù)荷�����、重要用戶停電等損失分析�����。風(fēng)險(xiǎn)評(píng)估模型根據(jù)損失分析結(jié)果最終給出該設(shè)備故障(檢修/停運(yùn))引起電網(wǎng)運(yùn)行風(fēng)險(xiǎn)最高等級(jí)及風(fēng)險(xiǎn)報(bào)告。(6)研究電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn)的快速搜索算法�,基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的安全運(yùn)行風(fēng)險(xiǎn)管控措施及事故風(fēng)險(xiǎn)分析恢復(fù)供電輔助決策方法,研究輔助決策功能設(shè)計(jì)和實(shí)現(xiàn)方案��。(7)研究可視化圖形操作模擬�����、人機(jī)交互以及自動(dòng)報(bào)告技術(shù)��。通過模擬環(huán)境對(duì)一次指令的操作和防誤校核��,同步基于專家系統(tǒng)�����、外放式策略庫��,進(jìn)行操作所帶來的電網(wǎng)狀態(tài)信息變化判斷�,啟動(dòng)風(fēng)險(xiǎn)評(píng)估與輔助決策,自動(dòng)生成風(fēng)險(xiǎn)評(píng)估報(bào)告�。
4應(yīng)用效益
評(píng)估系統(tǒng)具有顯著的特點(diǎn):(1)實(shí)現(xiàn)電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn)的快速搜索、風(fēng)險(xiǎn)定級(jí)與輔助決策(預(yù)案)的自動(dòng)化與智能化��。(2)提出基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的恢復(fù)供電輔助決策方法。(3)風(fēng)險(xiǎn)辨識(shí)過程中引入保護(hù)措施進(jìn)行風(fēng)險(xiǎn)修正�����,提高風(fēng)險(xiǎn)定級(jí)的準(zhǔn)確性����。評(píng)估系統(tǒng)的實(shí)現(xiàn),提高電網(wǎng)運(yùn)行的智能化水平��,為工作人員在日常電網(wǎng)運(yùn)行中風(fēng)險(xiǎn)控制����、應(yīng)急預(yù)案管理、智能方式安排提供多種高效的輔助決策����。提升風(fēng)險(xiǎn)評(píng)估的完整性與準(zhǔn)確性,提高電網(wǎng)供電可靠性����。同時(shí),為設(shè)備檢修�����、電網(wǎng)規(guī)劃等提供輔助決策信息��,挖掘電網(wǎng)元件可靠運(yùn)行潛力�����,優(yōu)化電網(wǎng)運(yùn)行方式�,提升電網(wǎng)安全運(yùn)行水平,實(shí)現(xiàn)顯著的經(jīng)濟(jì)效益和社會(huì)效益���。
篇2
一��、電子文件風(fēng)險(xiǎn)評(píng)估的意義
(一)風(fēng)險(xiǎn)評(píng)估是電子文件安全管理的前提和基礎(chǔ)�。由于自身的特點(diǎn)��,電子文件的風(fēng)險(xiǎn)始終客觀存在��。檔案工作者的努力目標(biāo)就是利用一切先進(jìn)的技術(shù)和方法���,把風(fēng)險(xiǎn)降到最低�,把損失控制在最小的范圍內(nèi)�����。運(yùn)用風(fēng)險(xiǎn)管理的理念和方法,對(duì)電子文件進(jìn)行風(fēng)險(xiǎn)評(píng)估��,能夠?qū)﹄娮游募M(jìn)行科學(xué)���、全面的分析�����,查找可能威脅電子文件的風(fēng)險(xiǎn)����,在風(fēng)險(xiǎn)發(fā)生之前作出判斷�,采取措施,及時(shí)應(yīng)對(duì)�����。因此���,風(fēng)險(xiǎn)評(píng)估對(duì)檔案工作具有重大意義�����,是傳統(tǒng)檔案管理方法的有益補(bǔ)充��。
(二)風(fēng)險(xiǎn)評(píng)估是進(jìn)一步完善電子文件安全管理的關(guān)鍵環(huán)節(jié)���。它能夠利用科學(xué)的量化標(biāo)準(zhǔn),對(duì)風(fēng)險(xiǎn)發(fā)生的概率及其可能造成的損失進(jìn)行預(yù)測(cè)和分析���,并在此基礎(chǔ)上對(duì)存在風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行改進(jìn)和完善��。電子文件安全管理實(shí)行風(fēng)險(xiǎn)評(píng)估能夠使管理者全面����、清晰地把握電子文件存在的危險(xiǎn)和不足��,有利于進(jìn)一步改進(jìn)管理方法��,理清管理思路�,完善管理制度,全面提升電子文件管理水平�。
(三)風(fēng)險(xiǎn)評(píng)估是實(shí)施電子文件安全等級(jí)保護(hù)的必然要求。要對(duì)各類電子文件實(shí)施安全等級(jí)保護(hù)��,就要在電子文件安全管理中開展風(fēng)險(xiǎn)評(píng)估��,對(duì)電子文件安全管理體系中存在的風(fēng)險(xiǎn)進(jìn)行安全預(yù)測(cè)��,科學(xué)定級(jí),分級(jí)管理��。
(四)風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)電子文件管理國際化的重要途徑�����。隨著信息安全工作的發(fā)展��,風(fēng)險(xiǎn)管理在電子文件管理中的作用越來越得到人們的認(rèn)可�,信息安全風(fēng)險(xiǎn)評(píng)估也從單一的技術(shù)手段發(fā)展成為一種科學(xué)的管理體系,科學(xué)統(tǒng)一的技術(shù)規(guī)范和評(píng)定依據(jù)逐漸成為風(fēng)險(xiǎn)評(píng)估的必需�。由于信息安全事關(guān)國家利益,大部分發(fā)達(dá)國家都制訂了電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�����,并將之作為行業(yè)的技術(shù)性法規(guī)�����。電子文件管理廣泛開展風(fēng)險(xiǎn)評(píng)估�,有利于推廣信息技術(shù)安全保護(hù)標(biāo)準(zhǔn)化,有利于促進(jìn)國際間技術(shù)交流合作��,是實(shí)現(xiàn)電子文件管理國際化的重要途徑。
二���、電子文件風(fēng)險(xiǎn)評(píng)估工作的困境
(一)風(fēng)險(xiǎn)認(rèn)識(shí)存在偏差����。電子文件已經(jīng)成為檔案產(chǎn)生�����、保存和管理的主要形式��,由于其自身特點(diǎn)���,各種各樣的危險(xiǎn)始終緊隨著電子文件,但許多人對(duì)電子文件風(fēng)險(xiǎn)的認(rèn)識(shí)卻存在不同偏差���。有的風(fēng)險(xiǎn)意識(shí)薄弱�,認(rèn)為傳統(tǒng)紙質(zhì)檔案對(duì)保存環(huán)境要求條件高�,需要預(yù)防微生物、蟲害�、嚙齒動(dòng)物等的損害,還要時(shí)刻注意光照��、溫度、濕度�、灰塵等因素,而電子文件只需要一臺(tái)計(jì)算機(jī)就能解決所有問題�����,而且保存簡(jiǎn)單�����、利用方便�����,一勞永逸��。也有的認(rèn)為電子文件作為信息技術(shù)的產(chǎn)物�����,必然面臨不可讀����、失真���、黑客等威脅�,且一旦造成損失,往往是蕩然無存又無法挽救��,其風(fēng)險(xiǎn)無可避免����。也有的認(rèn)為現(xiàn)代信息技術(shù)十分先進(jìn),只要建立科學(xué)的管理體系���,采納先進(jìn)的管理技術(shù),絕對(duì)能夠避免電子文件的風(fēng)險(xiǎn)���。正是因?yàn)榇嬖趯?duì)風(fēng)險(xiǎn)認(rèn)識(shí)的各種偏差���,導(dǎo)致管理者和利用者沒有科學(xué)、正確地認(rèn)識(shí)電子文件的風(fēng)險(xiǎn)��,或者麻痹大意��,或者失去信心���,或者陷入一味追求絕對(duì)安全的誤區(qū)����。正是因?yàn)榇嬖诟鞣N對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)的偏差,目前我國電子文件風(fēng)險(xiǎn)管理水平較低��,尤其缺乏必要的風(fēng)險(xiǎn)評(píng)估活動(dòng)����。
(二)安全風(fēng)險(xiǎn)評(píng)估工作滯后。一是沒有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍����。電子文件風(fēng)險(xiǎn)評(píng)估是一項(xiàng)專業(yè)化非常強(qiáng)的工作,我國有一些風(fēng)險(xiǎn)意識(shí)較強(qiáng)的已經(jīng)嘗試開展風(fēng)險(xiǎn)管理�,但仍然沒有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍。二是評(píng)估標(biāo)準(zhǔn)亟待完善�����。根據(jù)國家信息安全等級(jí)保護(hù)“自主定級(jí)����,自主保護(hù)”的原則,應(yīng)該根據(jù)自身情況制訂科學(xué)的定級(jí)標(biāo)準(zhǔn)��,嚴(yán)格執(zhí)行����,確保電子文件安全管理�。但我國大部分目前尚未制訂信息安全保護(hù)等級(jí)標(biāo)準(zhǔn)�����,沒有真正執(zhí)行電子文件等級(jí)保護(hù)的規(guī)定��。三是風(fēng)險(xiǎn)管理缺乏系統(tǒng)性����。電子文件風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)工作,包括風(fēng)險(xiǎn)管理規(guī)劃�����、風(fēng)險(xiǎn)評(píng)估�、風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控等四個(gè)基本環(huán)節(jié)���。風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)管理的基礎(chǔ)性工作��,但評(píng)估的結(jié)果必須與風(fēng)險(xiǎn)管理的其他環(huán)節(jié)緊密結(jié)合��,特別是要具體指導(dǎo)風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控活動(dòng)����。由于電子文件風(fēng)險(xiǎn)管理剛剛起步,還沒有建立系統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制����,無法真正實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估“有理可依,有據(jù)可循”�����。
(三)電子文件管理停留在傳統(tǒng)安全保護(hù)階段�。電子文件是檔案管理的特殊對(duì)象,一些檔案工作者沒有認(rèn)識(shí)到電子文件既是“檔案”又是“電子信息”的特點(diǎn)����,管理停留在傳統(tǒng)安全保護(hù)階段,沒有采取先進(jìn)的風(fēng)險(xiǎn)管理方法�,給電子文件管理遺留下不少安全隱患。一是管理過程缺乏全程性��,認(rèn)為保護(hù)是電子文件歸檔后的任務(wù)����,沒有意識(shí)到電子文件形成和利用中存在的風(fēng)險(xiǎn)。二是安全管理停留在靜態(tài)�、被動(dòng)階段��,沒有根據(jù)電子文件的發(fā)展和單位管理體系內(nèi)部情況的變化實(shí)施動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)���。三是大多數(shù)沒有積極引入遠(yuǎn)程技術(shù)、異地備份�����、云計(jì)算等先進(jìn)的技術(shù)加強(qiáng)電子文件安全管理��。
(四)信息資產(chǎn)安全形勢(shì)嚴(yán)峻����。信息資產(chǎn)的安全保護(hù)和開發(fā)利用是提高辦學(xué)效益、提升影響力的重要途徑�����。電子文件已經(jīng)逐步取代紙質(zhì)文件成為主要的檔案載體�����,儲(chǔ)存著數(shù)量龐大的數(shù)據(jù)資產(chǎn)�、軟件資產(chǎn)�、師生信息�����、科研資料等�。由于電子文件的特點(diǎn)�����,信息資產(chǎn)存在著高風(fēng)險(xiǎn)性����,往往一被泄漏就失去資產(chǎn)包含的價(jià)值。許多資產(chǎn)管理者和檔案工作者低估信息資產(chǎn)的價(jià)值��,忽視電子文件信息保護(hù)��,導(dǎo)致信息資產(chǎn)安全面臨著嚴(yán)峻的形勢(shì)��。
三�����、基于風(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系
(一)以風(fēng)險(xiǎn)管理規(guī)劃完善安全管理體系����。風(fēng)險(xiǎn)管理規(guī)劃能夠?qū)﹄娮游募芾砉ぷ鬟M(jìn)行統(tǒng)籌規(guī)劃�,有利于今后電子文件管理的持續(xù)�、有序、順利開展����。應(yīng)根據(jù)電子文件管理的需要,制訂電子文件風(fēng)險(xiǎn)規(guī)劃��,將電子文件安全管理的實(shí)施目標(biāo)����、構(gòu)建原則、構(gòu)建方法��、工作內(nèi)容建成一個(gè)基本框架�,進(jìn)而確立和完善電子文件安全管理體系。
(二)以風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)規(guī)范安全管理策略����。電子文件安全管理策略就是針對(duì)電子文件安全管理的全局性、基礎(chǔ)性����、系統(tǒng)性問題所制定的政策和措施����,是對(duì)電子文件安全管理的總體思路和指導(dǎo)方針�����。電子文件安全管理策略是否科學(xué)��、合理����、適宜����,關(guān)系著電子文件管理目標(biāo)和任務(wù)能否順利實(shí)現(xiàn)。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是電子文件風(fēng)險(xiǎn)評(píng)估的工具�����,直接決定了安全評(píng)估的結(jié)果���,為風(fēng)險(xiǎn)管理的具體工作提供了操作性指導(dǎo)��,因此也影響著電子文件安全管理策略的制定�。電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定既要建立在國際組織和國家政府頒布的信息安全管理標(biāo)準(zhǔn)的基礎(chǔ)上,又要結(jié)合電子文件信息安全的具體情況�����,兼顧定性分析和定量分析的方法��,從而達(dá)到對(duì)電子文件安全管理策略的戰(zhàn)略指導(dǎo)和操作規(guī)范��。
(三)以風(fēng)險(xiǎn)評(píng)估結(jié)果引導(dǎo)安全管理工作���。電子文件風(fēng)險(xiǎn)評(píng)估之所以能夠發(fā)揮作用�����,最主要是評(píng)估的結(jié)果對(duì)整個(gè)風(fēng)險(xiǎn)管理工作的指導(dǎo)意義�。風(fēng)險(xiǎn)評(píng)估能夠初步識(shí)別出電子文件安全管理工作中的存在風(fēng)險(xiǎn)及造成因素�,并根據(jù)風(fēng)險(xiǎn)因素的危害程度確定風(fēng)險(xiǎn)等級(jí),提出應(yīng)對(duì)措施�,引導(dǎo)今后的管理工作。
篇3
檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法
檔案信息安全風(fēng)險(xiǎn)評(píng)估的核心問題之一是風(fēng)險(xiǎn)評(píng)估方法的選擇�,風(fēng)險(xiǎn)評(píng)估方法包括總體方法和具體方法?��?傮w方法是從宏觀的角度確定檔案信息安全風(fēng)險(xiǎn)評(píng)估大致方法��,包括:風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)確定方法����;風(fēng)險(xiǎn)評(píng)估中資產(chǎn)��、威脅和脆弱性的識(shí)別方法���;風(fēng)險(xiǎn)評(píng)估輔助工具使用方法及風(fēng)險(xiǎn)評(píng)估管理方法等����。事實(shí)上��,信息安全風(fēng)險(xiǎn)評(píng)估方法經(jīng)歷了一個(gè)不斷發(fā)展的過程��,“經(jīng)歷了從手動(dòng)評(píng)估到工具輔助評(píng)估的階段����,目前正在由技術(shù)評(píng)估到整體評(píng)估發(fā)展,由定性評(píng)估向定性和定量相結(jié)合的方向發(fā)展�����,由基于知識(shí)(或經(jīng)驗(yàn))的評(píng)估向基于模型(或標(biāo)準(zhǔn))的評(píng)估方法發(fā)展����?!?�。隨著信息安全技術(shù)與安全管理的不斷發(fā)展����,目前信息安全風(fēng)險(xiǎn)評(píng)估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的�����、借用工具輔助評(píng)估的整體評(píng)估方法����。檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法應(yīng)采用目前最先進(jìn)方法,即采用依據(jù)合適風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�、定性與定量結(jié)合、借助評(píng)估工具或軟件來實(shí)現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評(píng)估��,而且進(jìn)行檔案信息安全管理評(píng)估的整體評(píng)估方法��。
1 檔案信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要分為國際國外標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)�����。國際國外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實(shí)施指南》����、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理指南》系列標(biāo)準(zhǔn)等�,這些標(biāo)準(zhǔn)在國外已得到廣泛使用,而我國信息安全風(fēng)險(xiǎn)評(píng)估起步較晚���,在吸取國外標(biāo)準(zhǔn)且根據(jù)我國國情的基礎(chǔ)上于2007年制定了國家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,并在全國范圍內(nèi)推廣�。國家發(fā)展改革委員會(huì)、公安部���、國家保密局于2008年了“關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技[2008]2071號(hào))”����,該文件要求國家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡(jiǎn)稱電子政務(wù)項(xiàng)目)�,應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》����。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng),檔案信息安全風(fēng)險(xiǎn)評(píng)估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)�����。
2 檔案信息安全風(fēng)險(xiǎn)評(píng)估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法,需要憑借評(píng)估者的知識(shí)����、經(jīng)驗(yàn)和直覺,為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)��。定性分析法操作相對(duì)容易���,但也可能因?yàn)榉治鼋Y(jié)果過于主觀性�����,很難完全反映安全現(xiàn)實(shí)情況�。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額��,最后得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果�。
定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過程�����,整個(gè)信息系統(tǒng)又是一個(gè)龐大的系統(tǒng)工程���,需要考慮的安全因素眾多�����,而完全量化這些因素是不切實(shí)際的�����,因此完全量化評(píng)估是很難實(shí)現(xiàn)的��。
定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算����,根據(jù)需要分別采取定性和定量的方法����,將定性分析方法和定量分析方法有機(jī)結(jié)合起來,共同完成信息安全風(fēng)險(xiǎn)評(píng)估��。檔案信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)采取定性與定量相結(jié)合的方法��,在檔案信息系統(tǒng)資產(chǎn)重要度�、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法����。具體脆弱性測(cè)試軟件可得出定量的數(shù)據(jù)���,最后得出風(fēng)險(xiǎn)值,并判斷哪些風(fēng)險(xiǎn)可接受和不可接受等���。
3 檔案信息安全風(fēng)險(xiǎn)評(píng)估需借用輔助評(píng)估工具
目前信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的出現(xiàn)���,改變了以往一切工作都只能手工進(jìn)行的狀況,這些工作包括識(shí)別重要資產(chǎn)����、威脅和弱點(diǎn)發(fā)現(xiàn)、安全需求分析����、當(dāng)前安全實(shí)踐分析、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等��。其工作量巨大����,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測(cè)等無法用手工完成,因此目前國內(nèi)外均使用相應(yīng)的評(píng)估輔助工具�����,如漏洞檢測(cè)軟件和風(fēng)險(xiǎn)評(píng)估輔助軟件等����。檔案信息安全風(fēng)險(xiǎn)評(píng)估也需借助相應(yīng)的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測(cè)試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》開發(fā)的風(fēng)險(xiǎn)評(píng)估輔助軟件��,將來可開發(fā)專門的檔案信息安全風(fēng)險(xiǎn)評(píng)估輔助工具軟件���。
4 檔案信息安全風(fēng)險(xiǎn)評(píng)估需整體評(píng)估
信息安全風(fēng)險(xiǎn)評(píng)估不僅需進(jìn)行安全技術(shù)評(píng)估���,更重要的需進(jìn)行安全管理等評(píng)估,我國已將信息系統(tǒng)等級(jí)保護(hù)作為一項(xiàng)安全制度��,對(duì)不同等級(jí)的信息系統(tǒng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)確定安全等級(jí)并采取該等級(jí)對(duì)應(yīng)的基本安全措施�,其中包括安全技術(shù)措施和安全管理措施����,因此評(píng)估風(fēng)險(xiǎn)時(shí)同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險(xiǎn)評(píng)估,檔案信息安全風(fēng)險(xiǎn)評(píng)估同樣如此�����。
檔案信息安全風(fēng)險(xiǎn)評(píng)估具體方法
根據(jù)檔案信息安全風(fēng)險(xiǎn)評(píng)估原理。從資產(chǎn)識(shí)別到風(fēng)險(xiǎn)計(jì)算�����,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險(xiǎn)評(píng)估要求選擇合適的具體方法����,包括:資產(chǎn)識(shí)別方法、威脅識(shí)別方法�、脆弱性識(shí)別方法、現(xiàn)有措施識(shí)別法和風(fēng)險(xiǎn)計(jì)算方法等���。
1 資產(chǎn)識(shí)別方法
檔案信息資產(chǎn)識(shí)別是對(duì)信息資產(chǎn)的分類和判定其價(jià)值����,因此資產(chǎn)識(shí)別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法�����。
(1)資產(chǎn)分類方法
在風(fēng)險(xiǎn)評(píng)估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn)����,但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類;任何資產(chǎn)只能有唯一的類相對(duì)應(yīng)。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類�����、按資產(chǎn)安全級(jí)別分類和按資產(chǎn)的功能分類等��。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中����,對(duì)資產(chǎn)按其表現(xiàn)形式進(jìn)行分類,即分為數(shù)據(jù)���、軟件��、硬件���、服務(wù)、人員及其他(主要指組織的無形資產(chǎn))�����。這種分類方法的優(yōu)點(diǎn)為:資產(chǎn)分類清晰�����、資產(chǎn)分類詳細(xì)�����,其缺點(diǎn)為:資產(chǎn)分類與其安全屬性無關(guān)�、資產(chǎn)分類過細(xì)造成評(píng)估極其復(fù)雜,因?yàn)槟壳按蟛糠诛L(fēng)險(xiǎn)評(píng)估
都以資產(chǎn)識(shí)別作為起點(diǎn)�,一項(xiàng)資產(chǎn)面臨多項(xiàng)威脅,—項(xiàng)威脅又與多項(xiàng)脆弱性有關(guān)�,最后造成針對(duì)某一項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估就十分復(fù)雜,缺乏實(shí)際可操作性�����。這種分類方法比較適合于初次風(fēng)險(xiǎn)評(píng)估單位對(duì)所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計(jì)�。
風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量,所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān)��,即依據(jù)信息資產(chǎn)對(duì)安全要求的高低進(jìn)行分類�,這種方法同時(shí)也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求。任何一個(gè)檔案信息資產(chǎn)無論是硬件�、軟件還是其他,其均有安全屬性����,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中要求:“資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性�����、完整性和可用性上的賦值等級(jí)��,經(jīng)過綜合評(píng)定得出”�����?���?蛇x擇每個(gè)資產(chǎn)在上述三個(gè)安全屬性中最重要的安全屬性等級(jí)作為其最后重要等級(jí)����。但檔案信息安全屬性應(yīng)該更多,除上述屬性外還包括:真實(shí)性����、不可否認(rèn)性(抗抵賴)、可控性和可追溯性�,所以可以根據(jù)檔案信息的七個(gè)安全屬性中最重要屬性的等級(jí)作為該資產(chǎn)等級(jí)。
目前信息資產(chǎn)安全屬性等級(jí)如保密性等級(jí)可分為:很高����、高����、中等�、低���、很低���,因此信息資產(chǎn)按安全等級(jí)也可分為:很高、高���、中等��、低���、很低,即如果此信息資產(chǎn)保密性等級(jí)為“中”���,完整性等級(jí)為“中”�,可用性等級(jí)為“低”��,則取此信息資產(chǎn)安全等級(jí)最高的“中”級(jí)����。
按信息資產(chǎn)安全級(jí)別分類法符合風(fēng)險(xiǎn)評(píng)估要求����,因?yàn)轶w現(xiàn)了安全要求越高其資產(chǎn)價(jià)值越高的宗旨����,在統(tǒng)計(jì)資產(chǎn)時(shí)也可按表現(xiàn)形式和安全等級(jí)結(jié)合的方法進(jìn)行,如下表1所示�。“類別”為按第一種分類方法中的類別�,重要度為第二種方法中的五個(gè)等級(jí)。
但如果風(fēng)險(xiǎn)評(píng)估時(shí)按表1進(jìn)行資產(chǎn)分類時(shí)��,每個(gè)檔案信息系統(tǒng)將具有很多資產(chǎn)�,這樣針對(duì)每一項(xiàng)資產(chǎn)進(jìn)行評(píng)估的時(shí)間和精力對(duì)于評(píng)估方都難以接受。因此��,在《信息安全風(fēng)險(xiǎn)評(píng)估——概念���、方法和實(shí)踐》一書中提出:“最好的解決辦法應(yīng)該是面對(duì)系統(tǒng)的評(píng)估”����,信息資產(chǎn)安全等級(jí)分類的起點(diǎn)可以認(rèn)為是系統(tǒng)(或子系統(tǒng))�,這樣可以在資產(chǎn)統(tǒng)計(jì)時(shí)用資產(chǎn)表現(xiàn)形式進(jìn)行分類���,在資產(chǎn)安全等級(jí)分類時(shí)按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類,即同一個(gè)系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級(jí)相同��,這樣滿足了組織進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)“用最少的時(shí)間找到主要風(fēng)險(xiǎn)”的思想�。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價(jià)值與安全等級(jí)有關(guān)����,因此對(duì)資產(chǎn)賦值應(yīng)與“很高、高����、中等、低���、很低”相關(guān)�����,但這是定性的方法��,結(jié)合定量方法為對(duì)應(yīng)“5���、4�、3����、2、1”五個(gè)值����,同時(shí)將此值稱為“資產(chǎn)等級(jí)重要度”。
2 威脅識(shí)別方法
(1)威脅分類方法
對(duì)檔案信息系統(tǒng)的威脅可從表現(xiàn)形式��、來源����、動(dòng)機(jī)、途徑等多角度進(jìn)行分類��,而常用的為按來源和表現(xiàn)形式分類�����。按來源可分為:環(huán)境因素和人為因素��,人為因素又分為惡意和無意兩種���?����;诒憩F(xiàn)形式可分為:物理環(huán)境影響����、軟硬件故障、無作為或操作失誤���、管理不到位、惡意代碼�、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊����、物理攻擊、泄密�����、篡改和抵賴等��。由于威脅對(duì)信息系統(tǒng)的破壞性極大���,所以應(yīng)以分類詳細(xì)為宗旨���,按表現(xiàn)形式方法分類較為合適����。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的�����,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷�����,綜合考慮三個(gè)方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計(jì)�,實(shí)踐中檢測(cè)到的威脅頻率統(tǒng)計(jì)、近期國內(nèi)外相關(guān)組織的威脅預(yù)警”��。����。可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化賦值��,即為:“很高�、高�、中等��、低�����、很低”�,相應(yīng)的值為:“5、4��、3�、2、1”�����。
3 脆弱性識(shí)別方法
脆弱性的識(shí)別可以以資產(chǎn)為核心�����,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)�,識(shí)別可能被威脅利用的弱點(diǎn)�,同時(shí)結(jié)合已有安全控制措施,對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估�。脆弱性識(shí)別時(shí)來自于信息資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等�����,并對(duì)脆弱性識(shí)別途徑主要有:?jiǎn)柧碚{(diào)查��、工具檢測(cè)���、人工核查�����、文檔查閱���、滲透性測(cè)試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性����。資產(chǎn)本身的脆弱性可以通過測(cè)試或漏洞掃描等途徑得到,屬于技術(shù)脆弱性����。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用��,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進(jìn)行��。技術(shù)脆弱性涉及物理層�、網(wǎng)絡(luò)層、系統(tǒng)層���、應(yīng)用層等各個(gè)層面的安全問題�����,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面���。
(2)脆弱性賦值方法
根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度),采用等級(jí)方式可對(duì)已經(jīng)分類并識(shí)別的脆弱性進(jìn)行賦值�����。如果脆弱性被威脅利用將對(duì)資產(chǎn)造成完全損害,則為最高等級(jí),共分五級(jí):“很高�����、高�����、中等、低����、很低”,相應(yīng)的值為:“5���、4���、3、2����、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級(jí)�����,將暴露等級(jí)“5����、4、3�����、2、1”可轉(zhuǎn)化為對(duì)應(yīng)的暴露系數(shù):100%�����、80%�、60%、40%��、20%���,再將“脆弱性”與“資產(chǎn)重要度等級(jí)”聯(lián)系����,計(jì)算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級(jí)�。
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度
4 已有控制措施識(shí)別方法
(1)識(shí)別方法
在識(shí)別脆弱性的同時(shí)應(yīng)對(duì)已經(jīng)采取的安全措施進(jìn)行確認(rèn),然后確定安全事件發(fā)生的容易度���。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況��,也就是威脅的五個(gè)等級(jí):“很高、高�、中等�、低��、很低”��,相應(yīng)的取值為:“5����、4、3����、2、1”���,“5”為最容易發(fā)生安全事故�。
同時(shí)安全事件發(fā)生的可能性與已有控制措施有關(guān)�����,評(píng)估人員可以根據(jù)對(duì)系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值���,賦值等級(jí)可分為0-5級(jí)����,
“0”為控制措施基本有效,“5”為控制措施基本無效��。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計(jì)算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險(xiǎn)計(jì)算方法
風(fēng)險(xiǎn)計(jì)算方法有很多種���,但其必須與資產(chǎn)安全等級(jí)�����、面臨威脅值�����、脆弱性值���、暴露等級(jí)值、容易度值���、已有控制措施值等有關(guān)��,計(jì)算出風(fēng)險(xiǎn)評(píng)估原理圖中的影響等級(jí)和發(fā)生可能性值��。目前一般而言風(fēng)險(xiǎn)計(jì)算公式如下:
風(fēng)險(xiǎn)=影響等級(jí)×發(fā)生可能性
綜上所述����,可將信息資產(chǎn)、面臨威脅��、可利用脆弱性���、暴露、容易度���、控制措施�����、影響�����、可能性�����、風(fēng)險(xiǎn)值構(gòu)成表2����,最終計(jì)算出風(fēng)險(xiǎn)值。下表以某數(shù)字檔案館為例��,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心�����,評(píng)估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點(diǎn)���,并只以部分威脅����、脆弱性列出并計(jì)算風(fēng)險(xiǎn)�。
上表中暴露等級(jí)值體現(xiàn)了脆弱性,容易度體現(xiàn)了威脅�,以表2第一行為例計(jì)算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險(xiǎn)值,過程如下:
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
篇4
中圖分類號(hào):TU74 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
0引言
澳門大學(xué)過海隧道西起于澳門大學(xué)橫琴校區(qū)規(guī)劃路��,東至澳門路環(huán)蓮花海濱大馬路�,是為服務(wù)于澳門大學(xué)橫琴新校區(qū)而新建的專用過海通道。工程的線性為“Z”字型�����。隧道建筑長(zhǎng)度為1.5km����,其中隧道全封閉段長(zhǎng)度約1km[1]�����。
為深入了解施工中存在的風(fēng)險(xiǎn)并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)�����,進(jìn)而規(guī)避和減緩風(fēng)險(xiǎn),減少施工達(dá)到風(fēng)險(xiǎn)控制和管理的目的���,對(duì)澳門大學(xué)橫琴校區(qū)過海隧道工程分別按照橫琴岸上段����、海中圍堰明挖暗埋段和澳門岸上段(包括附屬結(jié)構(gòu)和周邊建筑物�、構(gòu)筑物、管線��、道路等環(huán)境保護(hù)對(duì)象)三部分�,根據(jù)本工程特點(diǎn),開展施工安全風(fēng)險(xiǎn)評(píng)估研究�����。
1風(fēng)險(xiǎn)評(píng)估方法
風(fēng)險(xiǎn)評(píng)估是指首先確定衡量風(fēng)險(xiǎn)水平的指標(biāo),然后采取科學(xué)的方法將辨識(shí)出并經(jīng)分類的風(fēng)險(xiǎn)事件按照其風(fēng)險(xiǎn)量估計(jì)的大小予以排序���,進(jìn)而根據(jù)給定的風(fēng)險(xiǎn)等級(jí)評(píng)定準(zhǔn)則���,對(duì)各個(gè)風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分的過程。通過風(fēng)險(xiǎn)評(píng)估��,可根據(jù)明確的風(fēng)險(xiǎn)等級(jí)����,制定相應(yīng)的風(fēng)險(xiǎn)對(duì)策,有針對(duì)����、有重點(diǎn)地管理好風(fēng)險(xiǎn)。
本文主要采用層次分析法與專家打分法相結(jié)合的綜合集成法�����,不僅利用專家打分法便于操作�、能夠充分利用專家系統(tǒng)的優(yōu)點(diǎn),而且在風(fēng)險(xiǎn)量估計(jì)的基礎(chǔ)上��,引入風(fēng)險(xiǎn)指數(shù)的概念����,利用層次分析法(AHP)中各層次風(fēng)險(xiǎn)權(quán)重的排序���,在風(fēng)險(xiǎn)發(fā)生可能性、風(fēng)險(xiǎn)發(fā)生后后果以及風(fēng)險(xiǎn)重要性權(quán)重三個(gè)方面來衡量風(fēng)險(xiǎn)水平的大小�����,并對(duì)風(fēng)險(xiǎn)重要性權(quán)重的排序進(jìn)行一致性的科學(xué)檢驗(yàn)�,彌補(bǔ)了單純專家打分法主觀性較強(qiáng)的缺陷和不足。
2風(fēng)險(xiǎn)源及應(yīng)對(duì)措施
采用綜合集成法對(duì)與工程相關(guān)的風(fēng)險(xiǎn)事件和風(fēng)險(xiǎn)因素以及風(fēng)險(xiǎn)事件的應(yīng)對(duì)措施進(jìn)行詳細(xì)的分析���,限于篇幅,不一一列舉����,圖1為橫琴岸上段風(fēng)險(xiǎn)構(gòu)成框架圖。
圖1橫琴岸上段風(fēng)險(xiǎn)構(gòu)成框架圖
3風(fēng)險(xiǎn)評(píng)估結(jié)果
風(fēng)險(xiǎn)等級(jí)與風(fēng)險(xiǎn)指數(shù)評(píng)估說明見表1��,工程風(fēng)險(xiǎn)分析結(jié)果見圖2����。
圖2 工程風(fēng)險(xiǎn)分析柱狀圖
表1 風(fēng)險(xiǎn)等級(jí)與風(fēng)險(xiǎn)指數(shù)評(píng)估表
4 工程風(fēng)險(xiǎn)評(píng)價(jià)及建議
(1)海中段施工風(fēng)險(xiǎn)>澳門岸上段>橫琴岸上段,
(2)其中施工過程中的旋噴樁止水帷幕和支撐體系風(fēng)險(xiǎn)最大�����,其次為降水作業(yè)和SMW工法樁的施工風(fēng)險(xiǎn)較大,鑒于車站施工可能對(duì)其造成不良影響�,應(yīng)給與足夠的關(guān)注。
(3)澳門段存在過境施工的影響����,同時(shí)地下管線非常重要,加強(qiáng)工程背景資料的收集�����,對(duì)施工場(chǎng)地進(jìn)行詳實(shí)踏勘��,保證對(duì)地質(zhì)條件及施工環(huán)境的充分了解�,加強(qiáng)與澳門當(dāng)?shù)毓芾聿块T溝通,滿足當(dāng)?shù)馗黜?xiàng)標(biāo)準(zhǔn)及規(guī)范要求��,提早準(zhǔn)備��,保證工期及質(zhì)量����,設(shè)備材料提早準(zhǔn)備,提前安排入場(chǎng)�����。
篇5
1.1基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫��、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵����,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞��。
1.2數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò)��,保密數(shù)據(jù)的泄密將直接帶來政府機(jī)構(gòu)以及國家利益的損失�。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。
1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下�����,只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)�,并且能明確地限定其訪問范圍��,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要�����。
1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障��、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失����。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份����,并且最好是異地備份。
2電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來講����,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上,同時(shí)具有完備的安全管理機(jī)制�,并針對(duì)物理安全,數(shù)據(jù)存儲(chǔ)安全���,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面�,核心是要解決好權(quán)限控制問題�����。為了解決授權(quán)訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結(jié)合起來進(jìn)行安全性設(shè)計(jì)���,然而由于一個(gè)終端用戶可以有許多權(quán)限����,許多用戶也可能有相同的權(quán)限集��,這些權(quán)限都必須寫入屬性證書的屬性中�,這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間,從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度���。為了解決這個(gè)問題����,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型���。該模型由客戶端�����、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器���、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實(shí)體組成�,在該模型中:
2.1終端用戶:向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書,并與服務(wù)器雙向驗(yàn)證����。
2.2驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問控制,是安全模型的關(guān)鍵部分�����。
2.3應(yīng)用服務(wù)器:與資源數(shù)據(jù)庫連接���,根據(jù)驗(yàn)證通過的用戶請(qǐng)求��,對(duì)資源數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行處理�,并把處理結(jié)果通過驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求����。
2.4LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器,一個(gè)存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)���,另一個(gè)LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL���。
安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段����,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理��。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí)����;安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理��。
轉(zhuǎn)貼于中國論文下載中心www
3電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國家安全�����、經(jīng)濟(jì)安全���、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度���。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集����。
3.1信息系統(tǒng)的安全定級(jí)信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)���、監(jiān)督保護(hù)級(jí)���、強(qiáng)制保護(hù)級(jí)、?����?乇Wo(hù)級(jí)五個(gè)安全等級(jí)��。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義����,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開銷等因素���,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全����。
3.2采用全面的風(fēng)險(xiǎn)評(píng)估辦法風(fēng)險(xiǎn)評(píng)估具有不同的方法��。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子���,其他文獻(xiàn)�����,例如NISTSP800-30����、AS/NZS4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法,另外���,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具�����,例如OCTAVE���、CRAMM等。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799�����、OCTAVE���、CSE��、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南��,從資產(chǎn)評(píng)估���、威脅評(píng)估、脆弱性評(píng)估�、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中����,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析�����,主要從保密性���、完整性����、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估��,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估�����,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)�����,主要對(duì)安全措施防范威脅�、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過綜合分析評(píng)估后的資產(chǎn)信息、威脅信息��、脆弱性信息����、安全措施信息,最終生成風(fēng)險(xiǎn)信息�����。
在確定風(fēng)險(xiǎn)評(píng)估方法后�����,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則��,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別�。
4結(jié)語
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別���,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同���,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化���、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同�,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別���。在電子政務(wù)的信息安全管理中����,要抓住其特點(diǎn)���,從技術(shù)����、管理�、策略角度設(shè)計(jì)完整的信息安全模型并通過科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的�����。
參考文獻(xiàn):
[1]范紅,馮國登���,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.
篇6
風(fēng)險(xiǎn)管理方法已廣泛應(yīng)用于新加坡建筑現(xiàn)場(chǎng)安全管理��,成為項(xiàng)目管理的重要組成部分��。通過新加坡所采取的各種措施來看��,采用風(fēng)險(xiǎn)管理對(duì)現(xiàn)場(chǎng)安全事故的發(fā)生起到了有效預(yù)防作用�����。因此對(duì)我國而言�,有必要也將風(fēng)險(xiǎn)管理運(yùn)用到施工現(xiàn)場(chǎng)���。
1����、安全管理的原則
1.1從管理事故轉(zhuǎn)變到要在事故發(fā)生前識(shí)別出危險(xiǎn)并將其消滅在萌芽狀態(tài)���,即從源頭上控制事故的發(fā)生���。
1.2主動(dòng)規(guī)劃�����,積極采取預(yù)防措施來營(yíng)造安全的工作環(huán)境����,改變以遵守法律為準(zhǔn)繩的被動(dòng)管理�。
1.3對(duì)于糟糕的現(xiàn)場(chǎng)安全管理采取高額罰款來阻止事故的發(fā)生,讓管理者意識(shí)到糟糕的現(xiàn)場(chǎng)安全管理所付出的代價(jià)比事故發(fā)生后所付出的代價(jià)還要高��。
1.4將安全管理的概念融入到建筑產(chǎn)業(yè)鏈的各個(gè)環(huán)節(jié)中去�����,強(qiáng)調(diào)從發(fā)展商����、設(shè)計(jì)者�、主承包商、分承包商���、現(xiàn)場(chǎng)安全管理人員���、技術(shù)人員到生產(chǎn)人員各個(gè)環(huán)節(jié)貫徹安全管理的概念���。
2、安全管理中引入風(fēng)險(xiǎn)管理的程序
現(xiàn)場(chǎng)安全管理引入了全套風(fēng)險(xiǎn)管理的方法����,主要內(nèi)容包括: (1)現(xiàn)場(chǎng)工作活動(dòng)的風(fēng)險(xiǎn)評(píng)估; (2)控制及監(jiān)控風(fēng)險(xiǎn)��; (3)把風(fēng)險(xiǎn)傳達(dá)到現(xiàn)場(chǎng)所有人員��。其中風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理中最為重要的環(huán)節(jié)��,也是現(xiàn)場(chǎng)安全管理的核心內(nèi)容�����。風(fēng)險(xiǎn)評(píng)估的基本程序如圖1所示�����。
圖1風(fēng)險(xiǎn)評(píng)估程序
風(fēng)險(xiǎn)評(píng)估的方法多種多樣�����,但都包括了3個(gè)基本步驟,即危險(xiǎn)識(shí)別����、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)評(píng)估的最終結(jié)果就是要找到有效的風(fēng)險(xiǎn)控制措施���。所有控制措施均以“層級(jí)控制方法”為原則�。
2.1準(zhǔn)備工作
準(zhǔn)備工作主要包括:研究現(xiàn)場(chǎng)平面布置圖����、作業(yè)流程;列出現(xiàn)場(chǎng)所有工作活動(dòng)��;列出現(xiàn)場(chǎng)所用到的化學(xué)藥品�����;列出使用的機(jī)械設(shè)備和工具����;學(xué)習(xí)相關(guān)法律法規(guī)�;查找以往事故記錄;學(xué)習(xí)相關(guān)技術(shù)規(guī)范;查找檢查記錄����;學(xué)習(xí)現(xiàn)場(chǎng)風(fēng)險(xiǎn)控制的方法;準(zhǔn)備安全及健康審計(jì)報(bào)告����;研究從員工、客戶����、供應(yīng)商及其他人員方面得到的安全反饋信息;建立安全工作程序����;準(zhǔn)備其它信息(如產(chǎn)品手冊(cè));準(zhǔn)備以往相關(guān)安全評(píng)估報(bào)告��。
2.2危險(xiǎn)識(shí)別
危險(xiǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估中最為重要的環(huán)節(jié)�,因?yàn)橹挥惺紫茸R(shí)別出了危險(xiǎn),才能談到如何控制危險(xiǎn)���。危險(xiǎn)識(shí)別要考慮到以下4個(gè)方面的內(nèi)容:
2.2.1現(xiàn)場(chǎng)危險(xiǎn)�����,按性質(zhì)不同可分為:化學(xué)品危險(xiǎn)(如酸�����、堿和溶劑)����,生物危險(xiǎn)(如細(xì)菌、真菌和病毒)�,電器危險(xiǎn)(破損的電線),人體機(jī)能損傷(重復(fù)工作�、單一工作姿勢(shì),長(zhǎng)期站立等)����,機(jī)械危險(xiǎn)(使用已損壞的設(shè)備、叉車�����、吊車����、動(dòng)力擠壓設(shè)備等)��,物理危險(xiǎn)(噪音、熱及輻射等)����,人為造成的危險(xiǎn)(超時(shí)工作、監(jiān)督不善)�����。
2.2.2現(xiàn)場(chǎng)危險(xiǎn)的識(shí)別���,從下列方面進(jìn)行考慮:工作方法����,使用的機(jī)電設(shè)備����、工具,人工加工材料�����,化學(xué)品的使用(在現(xiàn)場(chǎng)應(yīng)有化學(xué)品安全技術(shù)說明書MSDS)�����,使用的機(jī)械設(shè)備,臨時(shí)結(jié)構(gòu)�����,工作環(huán)境條件�����,設(shè)備的布置和擺放�����。
2.2.3釀成的事故或?qū)】档膿p害���,主要有:高空跌落��,高空墜物��,水平滑倒���,電擊,窒息�����,溺水��,噪音致耳聾��,皮膚病���,結(jié)構(gòu)倒塌�����,火患和爆炸���,物體撞擊,軟組織受傷等�����。
2.2.4危險(xiǎn)可能對(duì)4類人造成傷害:現(xiàn)場(chǎng)直接生產(chǎn)工人員�,現(xiàn)場(chǎng)非生產(chǎn)人員,到訪人員和公眾�。
2. 3風(fēng)險(xiǎn)評(píng)價(jià)
風(fēng)險(xiǎn)評(píng)價(jià)主要是對(duì)風(fēng)險(xiǎn)等級(jí)和接受程度進(jìn)行評(píng)價(jià),這是控制現(xiàn)場(chǎng)危險(xiǎn)�����,保證工作安全和健康的基礎(chǔ),風(fēng)險(xiǎn)評(píng)價(jià)包括4個(gè)方面的內(nèi)容:
2.3.1現(xiàn)有風(fēng)險(xiǎn)控制措施的評(píng)價(jià)���,如現(xiàn)場(chǎng)人員配帶基本安全裝備(安全帽���、安全鞋、安全背帶���、防護(hù)服等)�,要對(duì)這些基本安全裝備的有效性���、可造成的后果及可釀成的事故進(jìn)行評(píng)價(jià)�。
2.3.2評(píng)價(jià)潛在危險(xiǎn)的嚴(yán)重程度����,按危險(xiǎn)造成傷害的程度劃分為3個(gè)等級(jí)。具體可分為輕度(低)�����、中度(中)���、高度(高)���。
2.3.3判斷危險(xiǎn)發(fā)生的機(jī)率
危險(xiǎn)發(fā)生的機(jī)率分為3種�����,包括:罕見(發(fā)生的機(jī)率極少);偶爾(可能或有時(shí)會(huì)發(fā)生)����;經(jīng)常(時(shí)常發(fā)生)。判斷危險(xiǎn)發(fā)生的機(jī)率應(yīng)考慮到以往事故記錄�、現(xiàn)場(chǎng)經(jīng)驗(yàn)判斷及公開的信息3個(gè)方面因素。
2.3.險(xiǎn)等級(jí)
一旦確定風(fēng)險(xiǎn)嚴(yán)重程度和發(fā)生機(jī)率后����,我們可以判定其風(fēng)險(xiǎn)等級(jí),根據(jù)不同的風(fēng)險(xiǎn)等級(jí)��,采用不同的方法予以消除����。
2.險(xiǎn)控制
確定現(xiàn)場(chǎng)活動(dòng)風(fēng)險(xiǎn)等級(jí)后,就可以采取相應(yīng)的風(fēng)險(xiǎn)控制措施將危險(xiǎn)降低到可以接受的程度���,這主要通過減少風(fēng)險(xiǎn)的嚴(yán)重程度和發(fā)生機(jī)率來實(shí)現(xiàn)����,如表1所示。
表1風(fēng)險(xiǎn)種類及控制措施
風(fēng)險(xiǎn)等級(jí) 接受程度 推薦措施
低等風(fēng)險(xiǎn) 接受 不必采取額外的控制措施����,但需要經(jīng)常檢查確認(rèn)定義的風(fēng)險(xiǎn)等級(jí)是否確切,保證風(fēng)險(xiǎn)等級(jí)不會(huì)隨著時(shí)間的推移而升高
中等風(fēng)險(xiǎn) 可以接受 要對(duì)危險(xiǎn)進(jìn)行詳細(xì)的評(píng)估����,確保風(fēng)險(xiǎn)等級(jí)被降到在規(guī)定的時(shí)間內(nèi)最低
高等風(fēng)險(xiǎn) 不接受 工作開始前,至少要將高等風(fēng)險(xiǎn)降至中等風(fēng)險(xiǎn)��;特點(diǎn)是:沒有臨時(shí)風(fēng)險(xiǎn)控制措施����,也不能僅依靠個(gè)人保護(hù)配備來控制危險(xiǎn);如有需要,應(yīng)在工作開始前���,將其消除���;工作開始后,要立即采取管理措施來阻止危險(xiǎn)發(fā)生
風(fēng)險(xiǎn)控制的最基本原則就是從危險(xiǎn)產(chǎn)生的源頭上消除或降低危險(xiǎn)���。危險(xiǎn)的控制或降低應(yīng)按照“層級(jí)控制方法”來實(shí)施���,可歸納為5種方法:消除��、替代�、工程措施�、管理措施和個(gè)人保護(hù)配備。以上各種方法一般不可交互使用���,除非是工程措施和管理措施可在一起使用。具體的“層級(jí)控制方法”介紹如下:
2.4.1消除
消除是指將可能發(fā)生的危險(xiǎn)或事故徹底根除���,從而將已識(shí)別出的可能發(fā)生的事故變?yōu)椴豢赡馨l(fā)生����,這是一種永久的解決措施�,也是應(yīng)首先考慮使用的控制措施。一旦危險(xiǎn)被根除�,其它的風(fēng)險(xiǎn)管理措施也就不需要了,例如:現(xiàn)場(chǎng)監(jiān)控���、監(jiān)督�����、培訓(xùn)�����、安全審計(jì)��、過往記錄參考等���。
2.4.2替代
替代是指用風(fēng)險(xiǎn)等級(jí)較低的控制措施來替代較高等級(jí)的風(fēng)險(xiǎn)�����,如:用非石棉材料取代石棉材料����,用溶劑性油漆替代水基油漆���。
2.4.3工程措施
工程措施是采取物理的方法來限制危險(xiǎn)的發(fā)生���,包括改變工作環(huán)境及工作程序、隔離危險(xiǎn)等�����。
2.4.4管理措施
管理措施主要是指通過建立工作程序、說明�、規(guī)章制度等來減少或消除可能發(fā)生的危險(xiǎn),強(qiáng)調(diào)在施工的各工序�、工作步驟間做好文件記錄,適時(shí)判斷分析�����,以采取適當(dāng)安全措施�。例如:在工地建立工作準(zhǔn)入系統(tǒng),進(jìn)行職業(yè)健康及安全(OSH)培訓(xùn)����,張貼海報(bào)��、警告標(biāo)識(shí)���,工作培訓(xùn)等��。
2.4.5個(gè)人保護(hù)配備
篇7
Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.
Keywords: construction; Safety risk; classification
中圖分類號(hào):TU74文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
引言:由于地鐵工程的特殊性研究地鐵施工安全就成了一項(xiàng)緊迫而意義重要的事情�。我們一定要在認(rèn)識(shí)我國地鐵施工安全存在的問題和隱患的基礎(chǔ)上結(jié)合地鐵工程特點(diǎn)及施工難點(diǎn)提出積極而有效地對(duì)策有助于減少地鐵安全事故的發(fā)生最大限度地保障人民生命財(cái)產(chǎn)安全從而促進(jìn)城市的可持續(xù)發(fā)展���。
1.開展安全風(fēng)險(xiǎn)評(píng)估的必要性
1)我國近期規(guī)劃建設(shè)線路里程約合達(dá)到1500公里�����。新建地鐵短期內(nèi)集中上馬���,有經(jīng)驗(yàn)的勘察�、設(shè)計(jì)和施工力量明顯不足����,使地鐵工程建設(shè)過程中的風(fēng)險(xiǎn)大大增加。
2)地鐵工程相關(guān)技術(shù)標(biāo)準(zhǔn)不夠完善����,潛在技術(shù)風(fēng)險(xiǎn)不容忽視。
3)各地對(duì)于重大的安全和技術(shù)問題實(shí)行專家論證會(huì)制度�,在一定程度上避免了決策失誤和安全事故的發(fā)生。但專家論證是針對(duì)某一點(diǎn)或一段進(jìn)行���,還沒有形成“工點(diǎn)---線路--線網(wǎng)” 全面性論證和全過程參與的機(jī)制���,缺乏從系統(tǒng)性上解決安全問題的理念和手段。
4)地鐵土建工程事故為我們敲響了安全的警鐘�。
2. 風(fēng)險(xiǎn)源(因素)辨識(shí)的方法
本文風(fēng)險(xiǎn)源辨識(shí)的思路是:依據(jù)在建線路地質(zhì)勘察報(bào)告�、各方人員調(diào)研和現(xiàn)場(chǎng)踏勘情況�,針對(duì)初步設(shè)計(jì)或施工圖設(shè)計(jì)、施工方(工)法對(duì)工程安全性及其周邊環(huán)境(建構(gòu)筑物�、既有線、管線等)的影響�����,從風(fēng)險(xiǎn)的角度�,參考國內(nèi)外各地特別是已修建地鐵的案例風(fēng)險(xiǎn),結(jié)合國家�、省及現(xiàn)行有關(guān)規(guī)范和標(biāo)準(zhǔn)要求,綜合風(fēng)險(xiǎn)調(diào)查法�����、專家調(diào)查法和經(jīng)驗(yàn)數(shù)據(jù)法�����,識(shí)別風(fēng)險(xiǎn)源或風(fēng)險(xiǎn)事件���。
3. 風(fēng)險(xiǎn)評(píng)估方法
選擇風(fēng)險(xiǎn)矩陣法進(jìn)行風(fēng)險(xiǎn)評(píng)估。該方法綜合考慮風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)后果�����,給出風(fēng)險(xiǎn)等級(jí),用R=P×C表示��,其中:R表示風(fēng)險(xiǎn)����;P表示風(fēng)險(xiǎn)因素發(fā)生的概率;C表示風(fēng)險(xiǎn)因素發(fā)生時(shí)可能產(chǎn)生的后果��。P×C不是簡(jiǎn)單意義的相乘����,而是表示風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)因素產(chǎn)生后果的級(jí)別的組合。R=P×C定級(jí)法是一種定性與定量相結(jié)合的方法�����,是目前國內(nèi)外比較推崇的風(fēng)險(xiǎn)評(píng)估方法之一���。
4.風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)探討
有關(guān)風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)����,目前國內(nèi)外還沒有一個(gè)適應(yīng)性強(qiáng)、便于實(shí)際操作的標(biāo)準(zhǔn)�,例如:風(fēng)險(xiǎn)矩陣法考慮風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)后果,給出了風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)����,但因缺乏明確的條件和過大的劃分區(qū)間,而使實(shí)際問題的等級(jí)劃分難以操作�����。
4.1基本風(fēng)險(xiǎn)分級(jí)
風(fēng)險(xiǎn)隨基坑深度�,或者說土壓力的增大而增大。按照土壓力隨基坑深度的變化規(guī)律����,對(duì)基坑風(fēng)險(xiǎn)的影響分級(jí),定為四個(gè)等級(jí)(Ⅰ~Ⅳ)����,見表1。
表1 按基坑深度劃分的風(fēng)險(xiǎn)等級(jí)
風(fēng)險(xiǎn)等級(jí) Ⅰ Ⅱ Ⅲ Ⅳ
基坑深度 h≤20m 20m
注:h為基坑深度�。
4.2風(fēng)險(xiǎn)分級(jí)修正
4.2.1考慮擾動(dòng)影響的風(fēng)險(xiǎn)級(jí)別修正
基坑工程對(duì)周圍環(huán)境的擾動(dòng)不盡相同。把基坑周圍地段按其受基坑工程擾動(dòng)的程度劃分為三個(gè)區(qū)��,其中���,Ⅰ區(qū)為基本不受擾動(dòng)區(qū)�,Ⅱ區(qū)為受擾動(dòng)較小區(qū)��,Ⅲ區(qū)為受擾動(dòng)最大區(qū)����。
在基坑基本風(fēng)險(xiǎn)分級(jí)基礎(chǔ)上,考慮基坑周圍地段受基坑工程擾動(dòng)的程度�����,進(jìn)行風(fēng)險(xiǎn)等級(jí)修正����,見表3。
表3基坑工程擾動(dòng)的修正
基本風(fēng)險(xiǎn)等級(jí) Ⅰ Ⅱ Ⅲ Ⅳ
受
擾
動(dòng)
程
度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ
Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ
4.2.2考慮環(huán)境條件的風(fēng)險(xiǎn)級(jí)別修正
基坑工程周圍環(huán)境差異性大�����,環(huán)境條件各不相同�����,根據(jù)影響程度將環(huán)境條件分為4個(gè)級(jí)別��。見表4
環(huán)境條件的分級(jí)
表4環(huán)境條件的分級(jí)
環(huán)境條件分級(jí) 環(huán)境條件
Ⅰ 符合下列情況之一時(shí):
1.農(nóng)田和植被;
2.距離江�����、河���、湖���、水道>200m。
Ⅱ 符合下列情況之一時(shí):
1.一般性的建(構(gòu))筑物等
2.一般性的道路等�;
3.一般性的地下管線等;
4.距離江��、河��、湖���、水道100~200m�����。
Ⅲ 符合下列情況之一時(shí):
1.較重要的或?qū)Φ鼗冃蚊舾械慕ǎ?gòu))筑物等��,包括各種結(jié)構(gòu)型式的建(構(gòu))筑物�����、需保護(hù)的陳舊建(構(gòu))筑物��、高架橋等��。
2.較重要的道路���、鐵路、地下鐵道�;
3.較重要的地下管線,包括煤氣�、上下水、通訊電纜���、高壓電纜等
4.距離江���、河、湖�、水道50~100m;
Ⅳ 符合下列情況之一時(shí):
1.重要建(構(gòu))筑物����,包括國家保護(hù)建(構(gòu))筑物�����、高架橋��、人防工程等���。
2.重要的道路、鐵路��、地下鐵道���;
3.重要地下管線���,包括煤氣管道、上下水管道�����、通訊電纜���、高壓電纜等����;
4.距離江、河��、湖�����、水道
(2)環(huán)境影響的修正
根據(jù)周圍環(huán)境對(duì)基坑變形的敏感程度和基坑工程對(duì)周圍環(huán)境可能造成的危害程度�����,修正基坑環(huán)境風(fēng)險(xiǎn)等級(jí)���,如表5。
表5環(huán)境影響的修正
基本風(fēng)險(xiǎn)等級(jí) Ⅰ Ⅱ Ⅲ Ⅳ
環(huán)
境
分
級(jí) Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ
Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
篇8
在職業(yè)衛(wèi)生現(xiàn)狀評(píng)價(jià)過程中��,通過對(duì)企業(yè)現(xiàn)場(chǎng)職業(yè)病危害因素的識(shí)別��,結(jié)合工藝流程�����、生產(chǎn)情況和勞動(dòng)定員的調(diào)查�����,評(píng)價(jià)人員需要綜合考慮職業(yè)危害的可能性(接觸時(shí)間和接觸強(qiáng)度)、危害的嚴(yán)重性(健康效應(yīng))以及接觸人數(shù)和防護(hù)措施的情況����。我國相關(guān)學(xué)者在參考英國職業(yè)健康安全管理體系和美國職業(yè)接觸的評(píng)估和管理策略的基礎(chǔ)上,結(jié)合自身的實(shí)際特點(diǎn)��,建立了工作場(chǎng)所職業(yè)健康風(fēng)險(xiǎn)評(píng)估公式:風(fēng)險(xiǎn)指數(shù)=2健康效應(yīng)等級(jí)×2暴露比值×作業(yè)條件等級(jí)����,其中健康效應(yīng)等級(jí)劃分標(biāo)準(zhǔn)見表1;暴露比值=平均實(shí)測(cè)值/職業(yè)接觸限值;作業(yè)條件等級(jí)=(暴露時(shí)間等級(jí)×暴露人數(shù)等級(jí)×工程防護(hù)措施等級(jí)×個(gè)體防護(hù)措施等級(jí))1/4,等式右邊各項(xiàng)劃分標(biāo)準(zhǔn)見表2��。職業(yè)危害風(fēng)險(xiǎn)指數(shù)大小劃分為5級(jí)�,分別是無危害(~6)、輕度危害(~11)��、中毒危害(~23)���、高度危害(~80)和極度危害(>80)��。企業(yè)現(xiàn)場(chǎng)職業(yè)危害風(fēng)險(xiǎn)級(jí)別以風(fēng)險(xiǎn)指數(shù)最高的為準(zhǔn)���。
職業(yè)病危害現(xiàn)狀評(píng)價(jià)中抵消風(fēng)險(xiǎn)因素
風(fēng)險(xiǎn)抵消因素是通過防護(hù)設(shè)施、管理手段等減輕危害的因素�,即企業(yè)的職業(yè)衛(wèi)生管理����。
結(jié)合國內(nèi)相關(guān)學(xué)者在廣州市制定的企業(yè)職業(yè)衛(wèi)生管理質(zhì)量評(píng)分體系��,對(duì)企業(yè)職業(yè)衛(wèi)生管理的現(xiàn)狀進(jìn)行評(píng)價(jià)�����。企業(yè)職業(yè)衛(wèi)生管理質(zhì)量評(píng)分體系����,初步擬定為組織管理�����、預(yù)防措施�����、監(jiān)督檢測(cè)和健康監(jiān)護(hù)4類共18項(xiàng)����,采用的是層次分析法(analytichierarchyprocess)確定因素的權(quán)重。通過計(jì)算權(quán)重對(duì)企業(yè)的職業(yè)衛(wèi)生管理進(jìn)行分級(jí)��,以0.6、0.7���、0.8和0.9為界將職業(yè)衛(wèi)生管理質(zhì)量劃分為不及格�、及格����、一般、良好����、優(yōu)秀5組,見表3���。
職業(yè)病危害現(xiàn)狀風(fēng)險(xiǎn)綜合評(píng)估
以職業(yè)病危害現(xiàn)狀評(píng)價(jià)中固有風(fēng)險(xiǎn)因素的分級(jí)作為橫坐標(biāo)�,分別是無危害(~6)��、輕度危害(~11)����、中毒危害(~23)、高度危害(~80)和極度危害(>80);職業(yè)病危害現(xiàn)狀評(píng)價(jià)中抵消風(fēng)險(xiǎn)因素的分級(jí)作為縱坐標(biāo)�����,不及格、及格��、一般��、良好�、優(yōu)秀5組,建立職業(yè)病危害現(xiàn)狀評(píng)價(jià)分級(jí)綜合判斷表�,見表4。表中A代表輕微危害;B代表一般危害;C代表較嚴(yán)重危害;D代表嚴(yán)重危害�����。
篇9
The importance and exploration of methods on the risk assessment at landfill
Huang Fengwei, Jiang Xiaoming, Chen Lin
Jingmen City Appearance and Environmental Sanitation Management Bureau, Jingmen Hubei 448000, China
Abstract:Based on the importance of risk assessment, combining the reality of jingmen landfill, this article clarified the procedures and methods of the risk assessment at landfill in detail, and finally put forward workable plans and Corresponding measures. It can be served as a reference for reducing the risk of landfill work, eliminating potential safety hazards and improving the level of operation and management of landfill.
Keywords: risk assessment; procedure; method; workable
中圖分類號(hào):X820.4 文獻(xiàn)標(biāo)識(shí)碼:A
垃圾填埋場(chǎng)是一個(gè)特殊的施工作業(yè)場(chǎng)所�,長(zhǎng)期以來,如何科學(xué)有效的保障在崗職工的健康安全卻一直困擾著運(yùn)營(yíng)管理者�,而對(duì)垃圾場(chǎng)各工作場(chǎng)所和崗位進(jìn)行風(fēng)險(xiǎn)評(píng)估則可以預(yù)測(cè)風(fēng)險(xiǎn)危害性程度和發(fā)生可能性的幾率��,確定風(fēng)險(xiǎn)等級(jí)���,從而有針對(duì)性的采取措施��,盡最大限度地消除安全隱患�,減少事故發(fā)生的危害程度。
1風(fēng)險(xiǎn)評(píng)估概述
1.1什么是風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過程�����,任何系統(tǒng)的安全性都可以通過風(fēng)險(xiǎn)的大小來衡量���,科學(xué)分析系統(tǒng)的安全風(fēng)險(xiǎn)�,綜合平衡風(fēng)險(xiǎn)和代價(jià)的過程就是風(fēng)險(xiǎn)評(píng)估�����。對(duì)垃圾填埋場(chǎng)而言�����,風(fēng)險(xiǎn)就是指暴露在危險(xiǎn)下并造成傷害的可能性�;風(fēng)險(xiǎn)評(píng)估應(yīng)評(píng)估所有工作過程中可能出現(xiàn)的風(fēng)險(xiǎn),并且對(duì)特別區(qū)域進(jìn)行更詳細(xì)的“特定”評(píng)估���。
1.2風(fēng)險(xiǎn)評(píng)估的必要性
對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)不僅是仔細(xì)檢查工作場(chǎng)所對(duì)人帶來的可能傷害�,更重要的是權(quán)衡預(yù)防措施是否滿足要求或者是否必要進(jìn)一步完善預(yù)防措施�,其目的是將風(fēng)險(xiǎn)消除或減少到可接受的水平。風(fēng)險(xiǎn)評(píng)估對(duì)于管理工作場(chǎng)所存在的潛在危險(xiǎn)非常重要�,可根據(jù)評(píng)估等級(jí)的大小作出相應(yīng)預(yù)案,告知作業(yè)工作人員并建立切實(shí)可行的方案,可很大程度上降低安全事故的發(fā)生率�����。
1.3風(fēng)險(xiǎn)評(píng)估的主體
原則上講�����,那些熟悉工作區(qū)域和工作實(shí)際操作過程的個(gè)人應(yīng)參與風(fēng)險(xiǎn)評(píng)估的全過程����;安全監(jiān)督員應(yīng)負(fù)責(zé)制定所負(fù)責(zé)區(qū)域內(nèi)的風(fēng)險(xiǎn)評(píng)估計(jì)劃,并依據(jù)計(jì)劃完成評(píng)估��;最后由安全健康顧問編寫風(fēng)險(xiǎn)評(píng)估報(bào)告和方案�����;填埋場(chǎng)的行政直管部門對(duì)于確保完成風(fēng)險(xiǎn)評(píng)估負(fù)有最終管理責(zé)任����。
1.4完成風(fēng)險(xiǎn)評(píng)估的時(shí)間
風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)每年至少進(jìn)行一次�����,且在此期間填埋場(chǎng)運(yùn)營(yíng)條件沒有發(fā)生改變。如果工作環(huán)境或者操作方式發(fā)生了改變�,應(yīng)盡快進(jìn)行新的風(fēng)險(xiǎn)評(píng)估,而且最好在條件改變之前完成風(fēng)險(xiǎn)預(yù)評(píng)估�。
2如何進(jìn)行風(fēng)險(xiǎn)評(píng)估
2.1風(fēng)險(xiǎn)評(píng)估步驟
合理的風(fēng)險(xiǎn)評(píng)估需八個(gè)步驟:開展識(shí)別活動(dòng)、識(shí)別危險(xiǎn)源�、風(fēng)險(xiǎn)存在區(qū)域、評(píng)估風(fēng)險(xiǎn)����、找出風(fēng)險(xiǎn)控制重點(diǎn)、檢查控制措施裝置�����、作評(píng)估記錄和定期檢查�����。
2.2如何評(píng)估風(fēng)險(xiǎn)等級(jí)
風(fēng)險(xiǎn)等級(jí)以編號(hào)的形式進(jìn)行分類��。每一種風(fēng)險(xiǎn)危害性程度并與這些風(fēng)險(xiǎn)可能會(huì)發(fā)生的概率相乘�����,如以下公式所示:
風(fēng)險(xiǎn)等級(jí)=危害程度 × 發(fā)生的可能性大小
第一步危險(xiǎn)程度的確定
給每一種危險(xiǎn)的嚴(yán)重程度打分���,如下表所示:
表1 危險(xiǎn)的嚴(yán)重程度及分值劃分
例如:如果滑倒在樓梯上(危險(xiǎn))����,可能導(dǎo)致死亡或傷殘的,那么它必須劃為等級(jí)4或等級(jí)5�。
第二步危險(xiǎn)發(fā)生可能性的確定
危險(xiǎn)程度確定后,接下來需考慮每一種危險(xiǎn)多久可能發(fā)生一次��,即發(fā)生的可能性�,其可能性及分值如下表所示:
表2 危險(xiǎn)的可能性及分值劃分
例如:如果滑倒在樓梯上(危險(xiǎn))是很可能發(fā)生的事,那么它必須劃為等級(jí)3�����。
第三步風(fēng)險(xiǎn)等級(jí)的確定
即將風(fēng)險(xiǎn)程度值和風(fēng)險(xiǎn)可能性大小相乘就能得到風(fēng)險(xiǎn)等級(jí)���。此數(shù)據(jù)應(yīng)記入風(fēng)險(xiǎn)評(píng)估文本�。
例如:滑倒在樓梯上的風(fēng)險(xiǎn)等級(jí)值為
5(危害程度) x 3(發(fā)生的可能性) = 15
第四步根據(jù)風(fēng)險(xiǎn)等級(jí)值大小確定采取措施的實(shí)施順序
如危害的風(fēng)險(xiǎn)等級(jí)值在22-25之間�,必須立即采取措施降低風(fēng)險(xiǎn);如危害的風(fēng)險(xiǎn)等級(jí)值在16-22之間��,在當(dāng)天工作結(jié)束之前必須告知其直接管理人員���;如危害的風(fēng)險(xiǎn)等級(jí)值在1-15之間�,需考慮實(shí)際情況��,適當(dāng)采取相應(yīng)措施�����。
2.3風(fēng)險(xiǎn)評(píng)估實(shí)施內(nèi)容
風(fēng)險(xiǎn)評(píng)估員應(yīng)保留完整的風(fēng)險(xiǎn)評(píng)估正式文本并將其副本提交給填埋場(chǎng)管理人員����;風(fēng)險(xiǎn)評(píng)估報(bào)告必須告知給所有相關(guān)人員,并且必須不斷更新��;附加的信息清單附在此文檔的后面����,可以幫助完成文檔某些內(nèi)容。如果可行的話��,需添加評(píng)估員的分類范疇以確保滿足填埋場(chǎng)實(shí)際要求�����。
2.4被評(píng)估的風(fēng)險(xiǎn)
以下簡(jiǎn)單羅列垃圾場(chǎng)在運(yùn)營(yíng)過程中出現(xiàn)的風(fēng)險(xiǎn):
由起火引起的燃燒(進(jìn)場(chǎng)垃圾車的燃燒�����,填埋場(chǎng)火災(zāi),填埋場(chǎng)氣體引起的燃燒以及設(shè)備��、電力設(shè)施的燃燒)���;煙霧的吸入(由上述列舉的燃燒引起的煙霧以及重型設(shè)備燃燒引起的大量煙霧)�;被設(shè)備割傷(鋒利的設(shè)施設(shè)備)����;碎玻璃割傷(在填埋場(chǎng)對(duì)垃圾分類,玻璃等分離)��;與化學(xué)物品接觸(危險(xiǎn)廢物���、藥劑以及化學(xué)藥品如硫酸�、鹽酸等酸類或者氯酸鈉以及在滲瀝液處理中將會(huì)用到的物品)��;在有障礙物或濕滑地面跌倒(填埋表面���、斜坡處或辦公樓處于潮濕時(shí))����;在樓梯上跌倒(垃圾壩�、辦公樓里的樓梯��,滲瀝液處理站的反應(yīng)器�、生物濾池�、消毒車間和穩(wěn)定塘所用到的樓梯/扶梯)��;自行處理傷口感染(對(duì)日常需要人工操作的職工而言)�����;與設(shè)備掛扯(工作服與設(shè)備����、電纜與設(shè)備);飲水水質(zhì)安全及病原體(填埋場(chǎng)供水系統(tǒng))���;落水及溺水(滲瀝液存儲(chǔ)設(shè)備����、中間調(diào)節(jié)池���、生物濾池�、污泥池)�����;因物體墜落而砸傷(如卡車卸料,高空作業(yè))��;從高處跌落(重型設(shè)備�、大樓、檢修孔��、井��、垃圾壩����、溝渠);在隔離區(qū)工作感染細(xì)菌(大型機(jī)械修理車間���、中間調(diào)節(jié)池����、生物濾池����、污泥池、消毒車間、滲瀝液調(diào)節(jié)池以及地下水監(jiān)測(cè)井)���;填埋作業(yè)機(jī)械的使用(挖掘機(jī)���、推土機(jī)、裝載機(jī)等)��;危險(xiǎn)物品及溢出物的處理(滲瀝液處理站�、消泡劑�����、除臭劑管理)等��。
2.5風(fēng)險(xiǎn)評(píng)估年度審查
每年或者發(fā)生一些重大改變時(shí)必須進(jìn)行評(píng)估審查�����。比如有可能導(dǎo)致新危害的新儀器�、材料、措施���、作業(yè)程序等�����。所有安全評(píng)估應(yīng)至少一年復(fù)審一次����,并且當(dāng)質(zhì)疑現(xiàn)有評(píng)估可能無效時(shí)要立即復(fù)審。復(fù)審的詳細(xì)資料要記錄在安全評(píng)估控制表上�,且需著重考慮一下幾點(diǎn):(1)所有場(chǎng)內(nèi)設(shè)備符合工作目的和工作地點(diǎn)的要求(2)建立完善的設(shè)備維護(hù)系統(tǒng)(3)職工要對(duì)其使用的設(shè)備有全面的了解,熟知操作方法并接受了專業(yè)技能培訓(xùn)(4)確保職工使用的設(shè)備符合法定檢測(cè)部門要求�����,建立文檔記錄設(shè)備運(yùn)營(yíng)中的使用狀況:包括設(shè)備自身信息�����、設(shè)備評(píng)估信息��、減少危害措施方法等����。
3填埋場(chǎng)危害及部分評(píng)估結(jié)果
雖然各垃圾填埋場(chǎng)的實(shí)際運(yùn)營(yíng)情況不同,但大同小異�,基于此,經(jīng)過探究和分析���,按照風(fēng)險(xiǎn)評(píng)估的程序和方法對(duì)部分崗位和區(qū)域進(jìn)行了評(píng)估���,并在現(xiàn)有控制手段的基礎(chǔ)上提出了相應(yīng)的預(yù)防措施����。以下僅以填埋場(chǎng)的幾項(xiàng)危害為例演示評(píng)估的具體過程���。
3.1與垃圾接觸的危害:病原體����、細(xì)菌�����、病毒���、寄生蟲感染
受危害人群:垃圾檢驗(yàn)員、第三方協(xié)助人員�����,公眾�,緊急救援人員
現(xiàn)存的控制手段:用藥劑定期消殺,口罩、手套���、工作服�����、防護(hù)鞋等進(jìn)行防護(hù)
風(fēng)險(xiǎn)等級(jí)值:3 x 4=12
推薦的控制手段:(1)進(jìn)行安全急救培訓(xùn)�����,告知填埋垃圾的感染性危害及被感染后如何處理等�����,指導(dǎo)員工按照安全的方式操作(2)填埋場(chǎng)的運(yùn)營(yíng)應(yīng)分為白色(清潔)區(qū)和黑色(臟)區(qū)(3)白色區(qū)應(yīng)建有洗澡間���、更衣室,并提供熱水和肥皂����,能夠讓職工下班后去除污漬(4)對(duì)于黑色區(qū)與白色區(qū)的使用過程實(shí)施監(jiān)管(5)對(duì)于與生物活性物質(zhì)如有機(jī)垃圾,滲瀝液��,污泥��,垃圾填埋氣體或冷凝液接觸的工作崗位應(yīng)提出嚴(yán)格的工作防護(hù)要求(6)進(jìn)入填埋場(chǎng)的有害物質(zhì)必須隔離和臨時(shí)安全存儲(chǔ),確定危害及處理方式后�,再行單獨(dú)處理。
3.2化學(xué)藥品的危害:接觸�����、吸入或攝入化學(xué)品
受危害的人群:消殺人員�����、在消殺區(qū)域的現(xiàn)場(chǎng)操作人員���、化驗(yàn)人員
現(xiàn)存的控制手段:消除�����、指導(dǎo)�����、防護(hù)服
危險(xiǎn)等級(jí):4 x 4=16
推薦的控制手段:(1)在隔離區(qū)域嚴(yán)格禁止職工單獨(dú)使用危險(xiǎn)化學(xué)品(2)當(dāng)處理濃酸、腐蝕性化學(xué)物質(zhì)前�,確認(rèn)救援設(shè)備有效性,如緊急淋浴和眼睛沖洗瓶的存在/已安裝/可用(3)減小吸引害蟲和飛鳥的區(qū)域/工作面�����。使用臨時(shí)覆蓋物或土層覆蓋,盡量減少化學(xué)藥劑的使用量(4)選擇少用農(nóng)藥/免費(fèi)的病蟲害防治方法(5)所有化學(xué)品必須在初次使用前進(jìn)行評(píng)估�,并編寫產(chǎn)品的具體數(shù)據(jù)/注意事項(xiàng)(6)確保每位職工在處理有害物時(shí)必須穿戴防護(hù)服及其他必要防護(hù)用具(7)化學(xué)品儲(chǔ)存區(qū)位置必須做標(biāo)記,并在消防方案中標(biāo)明(8)確保職工完成化學(xué)藥劑的操作后�����,有足夠的衛(wèi)生設(shè)施(如溫水)淋浴等�����。
3.3落水及溺水的危害:掉入隔離區(qū)域的水池���、污泥池
受危害的人群:?jiǎn)T工�、緊急救援人員
現(xiàn)存的控制手段:防護(hù)欄����、游泳圈、繩子等
危險(xiǎn)系數(shù):5 x 3=15
推薦的控制手段:(1)安裝必要的警報(bào)設(shè)備�����,方便在緊急情況下報(bào)警(2)在隔離區(qū)域?qū)嵭械怯?����、返回記錄程序?)為在隔離區(qū)域工作的員工提供細(xì)致的工作建議,確保在隔離區(qū)域不單獨(dú)工作(4)盡可能的在污水池�、堰塘、大型容器周圍各種救援裝備�����,以便及時(shí)自救(5)確保工作區(qū)域中有足夠的個(gè)人防護(hù)裝備�����,安全和救援設(shè)備����。
3.4摔倒的危害:在有障礙物或濕滑地面、階梯等處
受危害的人群:?jiǎn)T工�����、參觀人員�����、緊急救援人員
現(xiàn)存的控制手段:配備防滑功能的防護(hù)鞋��,道路����、樓梯定期維護(hù)
危險(xiǎn)系數(shù):4 x 3=12
推薦的控制手段:(1)進(jìn)行地板清潔的工作人員應(yīng)在剛清潔完地板有水時(shí),使用警示牌告知(2)保持各個(gè)通道區(qū)域應(yīng)有清潔的1米寬的通道走廊�����,并安排專人每日檢查(3)所有樓梯��、階梯處必須設(shè)有扶手�����。
4 結(jié)論及建議
正在運(yùn)行的大多數(shù)生活垃圾衛(wèi)生填埋場(chǎng)存在安全隱患���,有肉眼看得見有形的�,也有潛在的藏于無形的����,很多運(yùn)營(yíng)管理者疏忽考慮或苦惱找不到合適的解決辦法,未能多方位考慮工作人員的健康安全����。為了提高填埋場(chǎng)的運(yùn)營(yíng)管理水平和保護(hù)職工的身心健康����,建議實(shí)施時(shí)進(jìn)一步細(xì)化各工作區(qū)域和崗位并進(jìn)行必要的安全風(fēng)險(xiǎn)評(píng)估�����,進(jìn)而采取切實(shí)可行的措施和方案����,以減少、轉(zhuǎn)移或避免風(fēng)險(xiǎn)��,把風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)�����。
參考文獻(xiàn)
[1]李嫻�����,蔡勛江等.東莞市典型農(nóng)村飲用水水源地風(fēng)險(xiǎn)評(píng)估. [J]環(huán)境衛(wèi)生工程��,2012,20 34-36
[2]陳輝�����,劉勁松�����,曹宇等.生態(tài)風(fēng)險(xiǎn)評(píng)價(jià)研究進(jìn)展.生態(tài)學(xué)報(bào).2006���,26(5):1558-1566
[3]毛小苓���,劉陽生.國內(nèi)外環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)研究進(jìn)展.應(yīng)用基礎(chǔ)與工程利學(xué)學(xué)報(bào).2001,11(3):266-273
[4]朱琳��,佟玉潔.中國生態(tài)風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)用探討.安全與環(huán)境學(xué)報(bào).2001��,3(3):22-24
[5]李自珍�,何俊紅.生態(tài)風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)決策模型及應(yīng)用一以河西走廊荒漠綠洲開發(fā)為例.蘭州大學(xué)學(xué)報(bào)(自然科學(xué)版) .1999,35(3):149-156
[6]殷浩文.生態(tài)風(fēng)險(xiǎn)評(píng)價(jià).上海:華東理工人學(xué)出版社.2001����,1-155
[7]韓關(guān)根,吳平谷.鄰苯二甲酸酯對(duì)城鎮(zhèn)供水的污染及再生水處理工藝凈化效果的評(píng)價(jià).環(huán)境與健康雜志���,2001���,18(3):155-156
[8]WalkerR, LandisW, Brown P. 2001. Developing aregional ecological risk assessment: A case study of a Tasmania agricultural catchment.Human and Ecological Risk Assessment,7: 431-44225.
[9]Ming F, Thongsri T, Axe L. 2005. Using a probabilistic approach in an ecological risk assessment simulation too:lTest case for depleted uranium.Chemosphere, 60: 111-125.
[10]MoraesR, MolanderS. 2004. A procedure for ecological tiered assessment of risks (PETAR).Human andEcologicalRiskAssessment,10: 349.
篇10
摘 要:本文分別從財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)源辨識(shí)���、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)���、制定風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)和措施�、確定關(guān)鍵風(fēng)險(xiǎn)預(yù)警指標(biāo)����、組織評(píng)價(jià)及持續(xù)改進(jìn)等方面,簡(jiǎn)要介紹了如何開展財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)評(píng)估與管控����。
關(guān)鍵詞 :財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評(píng)估管控
中圖分類號(hào):F235文獻(xiàn)標(biāo)志碼:A文章編號(hào):1000-8772(2015)19-0165-03
收稿日期:2015-06-12
作者簡(jiǎn)介:金環(huán)(1973-),女����,山東省平度市人,業(yè)務(wù)主管��,研究方向:企業(yè)內(nèi)控與風(fēng)險(xiǎn)管理����。
財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管控貫穿于公司的會(huì)計(jì)核算����、財(cái)務(wù)報(bào)告����、資金管理�����、資產(chǎn)財(cái)務(wù)管理���、成本費(fèi)用管理��、擔(dān)保管理等財(cái)務(wù)相關(guān)的各項(xiàng)工作���,是實(shí)現(xiàn)財(cái)務(wù)管理全過程真實(shí)性、合法性����、效益性的有效手段。加強(qiáng)財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)評(píng)估與管控對(duì)公司管理而言就顯得尤為重要��,下面就如何開展風(fēng)險(xiǎn)評(píng)估與控管進(jìn)行重點(diǎn)闡述�����。
一、相關(guān)定義
1.風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估由風(fēng)險(xiǎn)源辨識(shí)��、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)步驟構(gòu)成�,其中:
風(fēng)險(xiǎn)源辨識(shí)是通過辨識(shí)財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)源���、影響范圍、事件及其原因潛在的后果等�,形成財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)事件庫。
風(fēng)險(xiǎn)分析是根據(jù)獲得的信息數(shù)據(jù)和資源�,采用定性的�����、定量的�、定性和定量相結(jié)合的方法進(jìn)行分析���。
風(fēng)險(xiǎn)評(píng)價(jià)是將風(fēng)險(xiǎn)分析的結(jié)果與公司財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)控制策略、控制標(biāo)準(zhǔn)/措施比較�,或者在各種風(fēng)險(xiǎn)的分析結(jié)果之間進(jìn)行比較,確定風(fēng)險(xiǎn)等級(jí)����,作為制定風(fēng)險(xiǎn)應(yīng)對(duì)策略的重要依據(jù)����。
二、財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評(píng)估
(一)風(fēng)險(xiǎn)源辨識(shí)
(1)收集風(fēng)險(xiǎn)資料
由公司財(cái)務(wù)領(lǐng)域的主責(zé)部門即財(cái)務(wù)部牽頭收集本業(yè)務(wù)領(lǐng)域的風(fēng)險(xiǎn)資料����,包括公司年度經(jīng)營(yíng)計(jì)劃�、行業(yè)資料����、行業(yè)分析報(bào)告、行業(yè)風(fēng)險(xiǎn)數(shù)據(jù)等���。
(2)辨識(shí)風(fēng)險(xiǎn)源
由公司財(cái)務(wù)部門根據(jù)公司風(fēng)險(xiǎn)評(píng)估計(jì)劃安排,組織本部門及相關(guān)管理人員�����、業(yè)務(wù)骨干通過專題研討會(huì)或其他風(fēng)險(xiǎn)源辨識(shí)方法,基于已收集的風(fēng)險(xiǎn)資料���,辨識(shí)可能影響財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)源。
由于各公司經(jīng)營(yíng)活動(dòng)范圍的不同�����,財(cái)務(wù)領(lǐng)域的涉及業(yè)務(wù)范圍也不盡相同���,從大的方面來說,可能包括會(huì)計(jì)核算與管理����,稅務(wù)管理,資金管理����,資產(chǎn)財(cái)務(wù)管理、收入�����、成本與費(fèi)用管理���、擔(dān)保管理等等�。而每個(gè)方面里又會(huì)涉及到多個(gè)具體的環(huán)節(jié),如資金管理中又會(huì)涉及資金管理制度�、資金賬戶管理、資金支付���、銀行賬戶管理�����、現(xiàn)金日常管理����、票據(jù)管理等�,各環(huán)節(jié)中又會(huì)涉及到不同的風(fēng)險(xiǎn)源��。
結(jié)合某家煤炭公司的經(jīng)營(yíng)活動(dòng)范圍�,財(cái)務(wù)領(lǐng)域涉及到會(huì)計(jì)核算與管理、稅務(wù)管理����、資金管理等七項(xiàng)內(nèi)容,86個(gè)風(fēng)險(xiǎn)源����。其中核算與會(huì)計(jì)管理制度涉及21個(gè)風(fēng)險(xiǎn)源�����;預(yù)算管理涉及7個(gè)風(fēng)險(xiǎn)源�����;稅務(wù)管理涉及5個(gè)風(fēng)險(xiǎn)源����;資金管理涉及13個(gè)風(fēng)險(xiǎn)源�����;資產(chǎn)財(cái)務(wù)管理涉及24個(gè)風(fēng)險(xiǎn)源����;收入、成本與費(fèi)用管理涉及10個(gè)風(fēng)險(xiǎn)源����;擔(dān)保管理涉及6個(gè)風(fēng)險(xiǎn)源。
(3)建立風(fēng)險(xiǎn)事件庫
風(fēng)險(xiǎn)事件是風(fēng)險(xiǎn)的具體表現(xiàn),只有當(dāng)風(fēng)險(xiǎn)事件發(fā)生�����,才能使?jié)撛诘奈kU(xiǎn)轉(zhuǎn)化成為現(xiàn)實(shí)的損失��。公司財(cái)務(wù)部門針對(duì)已辨識(shí)出的風(fēng)險(xiǎn)源�,結(jié)合收集到的本行業(yè)財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)事件,建立了《風(fēng)險(xiǎn)事件庫》���,包括共226項(xiàng)風(fēng)險(xiǎn)事件����,以及風(fēng)險(xiǎn)產(chǎn)生的原因及造成的影響����。如稅務(wù)管理中稅務(wù)籌劃風(fēng)險(xiǎn)事件:稅收籌劃不合理,未能實(shí)現(xiàn)最優(yōu)稅務(wù)成本�,給公司造成經(jīng)濟(jì)損失、缺少針對(duì)稅務(wù)政策變化等對(duì)公司財(cái)務(wù)狀況有影響事項(xiàng)的分析評(píng)價(jià)工作�����,可能導(dǎo)致財(cái)務(wù)分析評(píng)估不足�;關(guān)鍵崗位管理風(fēng)險(xiǎn)事件:資金管理人員和加遠(yuǎn)礦區(qū)財(cái)務(wù)崗位未定期輪換、未建立強(qiáng)制休假制度對(duì)無法進(jìn)行輪崗情況進(jìn)行補(bǔ)償控制�����。
風(fēng)險(xiǎn)事件庫的建立對(duì)今后公司有效的進(jìn)行財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)管控提供了重要依據(jù)�。
(二)風(fēng)險(xiǎn)分析
在對(duì)公司財(cái)務(wù)領(lǐng)域進(jìn)行風(fēng)險(xiǎn)分析時(shí),要考慮導(dǎo)致公司風(fēng)險(xiǎn)產(chǎn)生的原因和風(fēng)險(xiǎn)源����、風(fēng)險(xiǎn)事件發(fā)生的可能性、風(fēng)險(xiǎn)發(fā)生對(duì)公司可能造成的影響����。在風(fēng)險(xiǎn)分析中,應(yīng)考慮公司的風(fēng)險(xiǎn)承受度�����,并適時(shí)與公司管理層進(jìn)行溝通�����。具體程序:
(1)開展風(fēng)險(xiǎn)分析工作
風(fēng)險(xiǎn)評(píng)估主要通過問卷調(diào)查法����、專題研討會(huì)法等方式開展財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)分析工作。
(2)確定風(fēng)險(xiǎn)分析方法
一般可采用定性和定量相結(jié)合的方法,定性分析��,主要是運(yùn)用流程分析法���、問卷調(diào)查法��、專題研討法����、專家咨詢法等���,對(duì)照風(fēng)險(xiǎn)評(píng)分標(biāo)準(zhǔn)來評(píng)價(jià)風(fēng)險(xiǎn)的重要程度����。定量分析�,可以通過事件樹分析、失效模式與影響分析等估計(jì)出風(fēng)險(xiǎn)后果及其姓可能性的實(shí)際數(shù)值���,并產(chǎn)生風(fēng)險(xiǎn)等級(jí)的數(shù)值�。計(jì)算公式為:
風(fēng)險(xiǎn)等級(jí)的數(shù)值=風(fēng)險(xiǎn)發(fā)生的可能性評(píng)分*風(fēng)險(xiǎn)影響程度評(píng)分
(3)分析風(fēng)險(xiǎn)發(fā)生可能性
指假定不采取任何措施去影響經(jīng)營(yíng)管理進(jìn)程的情況下���,對(duì)風(fēng)險(xiǎn)發(fā)生的概率大小或者頻繁程度進(jìn)行分析,依據(jù)下面評(píng)分標(biāo)準(zhǔn),可能性可細(xì)分為低���、中���、高等3個(gè)等級(jí)。
風(fēng)險(xiǎn)發(fā)生可能性評(píng)分標(biāo)準(zhǔn):一般情況下不會(huì)發(fā)生或極少情況下才發(fā)生(如今后5-10年內(nèi)可能發(fā)生1次)�����,就定為低風(fēng)險(xiǎn)��;某些情況下發(fā)生(今后2-5年內(nèi)可能發(fā)生1次)����,就定為中等風(fēng)險(xiǎn);較多情況下發(fā)生(今后1年內(nèi)可能發(fā)生1次)�����,就定為高風(fēng)險(xiǎn)���。
(4)分析風(fēng)險(xiǎn)影響程度
主要針對(duì)風(fēng)險(xiǎn)對(duì)目標(biāo)實(shí)現(xiàn)的負(fù)面影響程度進(jìn)行分析��。通過假設(shè)特定事件�、情況或環(huán)境已經(jīng)出現(xiàn),確定某個(gè)風(fēng)險(xiǎn)事件可能會(huì)產(chǎn)生的影響程度�����。依據(jù)以下評(píng)分標(biāo)準(zhǔn)�,影響程度可細(xì)分為低、中���、高等3個(gè)等級(jí)���。
(5)形成風(fēng)險(xiǎn)分析結(jié)果
風(fēng)險(xiǎn)分析工作完成后,形成對(duì)財(cái)務(wù)領(lǐng)域各項(xiàng)風(fēng)險(xiǎn)分析結(jié)果的一致意見����,作為確定風(fēng)險(xiǎn)等級(jí)���、制定風(fēng)險(xiǎn)應(yīng)對(duì)策略的依據(jù)。
(三)風(fēng)險(xiǎn)評(píng)價(jià)
通過財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)分析��,評(píng)估風(fēng)險(xiǎn)對(duì)公司實(shí)現(xiàn)目標(biāo)的影響程度�,公司便可根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果制定防范風(fēng)險(xiǎn)的應(yīng)對(duì)策略。一是確定風(fēng)險(xiǎn)應(yīng)對(duì)策略����。包括某個(gè)風(fēng)險(xiǎn)是否需要應(yīng)對(duì)、風(fēng)險(xiǎn)應(yīng)對(duì)優(yōu)先次序��、是否應(yīng)開展某項(xiàng)應(yīng)對(duì)活動(dòng)�����、應(yīng)采取哪種途徑進(jìn)行應(yīng)對(duì)等���。二是公司財(cái)務(wù)部根據(jù)風(fēng)險(xiǎn)應(yīng)對(duì)策略��,繪制風(fēng)險(xiǎn)應(yīng)對(duì)示意圖���。
三���、財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管控
風(fēng)險(xiǎn)評(píng)估完成后,公司財(cái)務(wù)部根據(jù)自身?xiàng)l件和外部環(huán)境����,圍繞發(fā)展戰(zhàn)略��,結(jié)合風(fēng)險(xiǎn)偏好�、風(fēng)險(xiǎn)承受度,選擇風(fēng)險(xiǎn)承擔(dān)��、風(fēng)險(xiǎn)規(guī)避�、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)轉(zhuǎn)換�、風(fēng)險(xiǎn)對(duì)沖�����、風(fēng)險(xiǎn)補(bǔ)償、風(fēng)險(xiǎn)控制等適合的風(fēng)險(xiǎn)管控策略��。
(一)控制標(biāo)準(zhǔn)與措施
1.控制標(biāo)準(zhǔn)、控制措施的基本內(nèi)容
控制標(biāo)準(zhǔn)是財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管理的規(guī)范和指南�����,是在充分考慮公司對(duì)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)偏好���,以及法律��、法規(guī)和其他方面要求的基礎(chǔ)上形成的��。從人員�����、技術(shù)����、環(huán)境���、管理和制度五個(gè)方面來提煉確定,通過具體的預(yù)控措施����、可量化的風(fēng)險(xiǎn)指標(biāo)及標(biāo)準(zhǔn)��,將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)�����。
控制措施是對(duì)控制標(biāo)準(zhǔn)的進(jìn)一步細(xì)化,詳細(xì)闡述了財(cái)務(wù)領(lǐng)域管理過程中的每一個(gè)重要的風(fēng)險(xiǎn)管控步驟如何操作,為各級(jí)崗位開展風(fēng)險(xiǎn)管理提供具有指導(dǎo)性���、操作性的依據(jù)��,主要包括不相容職務(wù)分離控制��、授權(quán)審批控制��、會(huì)計(jì)系統(tǒng)控制�、財(cái)產(chǎn)保護(hù)控制、預(yù)算控制��、績(jī)效考評(píng)控制等。通過制定控制措施�����,明確管理職責(zé)���,使每個(gè)業(yè)務(wù)人員明白自己應(yīng)該如何執(zhí)行和操作��。
如公司財(cái)務(wù)部基建科會(huì)計(jì)風(fēng)險(xiǎn)管控職責(zé)會(huì)涉及到往來賬務(wù)管理���、資金支付、在建工程入賬的會(huì)計(jì)處理�、在建工程轉(zhuǎn)固定資產(chǎn)的會(huì)計(jì)處理�、存貨(甲供材)出入庫會(huì)計(jì)處理、在建工程差值評(píng)估與會(huì)計(jì)處理等�����。每項(xiàng)管控職責(zé)中還要具體到執(zhí)行操作程序��,如在資金支付中,執(zhí)行操作是“根據(jù)完整和工程驗(yàn)收資料編制《基建辦付款聯(lián)簽表》���,裂本期工程完成金額����,現(xiàn)金預(yù)算金額�����,支付審批金額,以及借款���、預(yù)付款�、材料款、電費(fèi)���、保證金等需從施工方扣除的金額��,并計(jì)算出實(shí)際應(yīng)支付金額并簽字確認(rèn);然后編制內(nèi)部銀行賬戶付款會(huì)計(jì)憑證”
3.制定控制標(biāo)準(zhǔn)與措施的程序
(1)制定控制標(biāo)準(zhǔn)
公司財(cái)務(wù)部根據(jù)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)應(yīng)對(duì)策略�,將較抽象的風(fēng)險(xiǎn)源從人員、技術(shù)��、環(huán)境�����、管理和制度五個(gè)方面進(jìn)行提煉�,形成具體管理對(duì)象。充分考慮源公司對(duì)風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)偏好�,以及國家相關(guān)經(jīng)濟(jì)法律法規(guī)、規(guī)章制度�����、集團(tuán)及公司內(nèi)部制度的基礎(chǔ)上���,制定針對(duì)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)的控制標(biāo)準(zhǔn)���。如在資金管理方面,公司財(cái)務(wù)應(yīng)制(修)訂資金收付���、銀行賬戶管理、票據(jù)管理�����、現(xiàn)金管理等相關(guān)管理制度,傳達(dá)集團(tuán)公司的相關(guān)制度��,明確資金收付�����、銀行賬戶管理�、票據(jù)管理、現(xiàn)金管理等管理辦法��、工作程序����。
(2)制定控制措施
公司財(cái)務(wù)部根據(jù)業(yè)務(wù)領(lǐng)域控制標(biāo)準(zhǔn)����,對(duì)業(yè)務(wù)領(lǐng)域的流程進(jìn)行梳理�����,厘清相關(guān)管理職責(zé)劃分,詳細(xì)描述業(yè)務(wù)領(lǐng)域管理過程中的每一步驟如何操作,形成業(yè)務(wù)領(lǐng)域控制措施�,為各級(jí)崗位開展風(fēng)險(xiǎn)管理提供具有指導(dǎo)性�、操作性的依據(jù)��。如:銀行賬戶管理控制措施��,公司財(cái)務(wù)部資金科每年不定期通過財(cái)務(wù)檢查工作對(duì)全公司范圍內(nèi)銀行賬戶進(jìn)行檢查����,對(duì)全公司范圍的銀行賬戶情況進(jìn)行統(tǒng)計(jì)���,并對(duì)公司所有銀行賬戶的性質(zhì)�����,銀行賬戶未達(dá)賬項(xiàng)����,是否與銀行簽訂補(bǔ)充協(xié)議,賬戶用途等是否合規(guī)���,賬戶是否進(jìn)入賬套��,是否經(jīng)過批準(zhǔn)等內(nèi)容進(jìn)行文字記載�,是否存在資金挪用��,是否存在“小金庫”等情況進(jìn)行檢查�,并形成書面報(bào)告。
(二)建立風(fēng)險(xiǎn)預(yù)警指標(biāo)/閾值
1.確定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)
是財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)變化情況并可定期監(jiān)控的統(tǒng)計(jì)指標(biāo)����。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可用于監(jiān)測(cè)可能造成損失事件的各項(xiàng)風(fēng)險(xiǎn)及控制措施,并作為反映風(fēng)險(xiǎn)變化情況的早期預(yù)警指標(biāo)(公司管理層可據(jù)此迅速采取措施)���。具體指標(biāo)可能包括:固定資產(chǎn)盤點(diǎn)差異率����、材料配件盤點(diǎn)差異率��、煤炭盤點(diǎn)差異率、七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率����、發(fā)現(xiàn)賬外資金金額、資金錯(cuò)誤支付率�����、預(yù)付工程款借款賬期�����、預(yù)付賬款賬期�、在建工程轉(zhuǎn)固定資產(chǎn)會(huì)計(jì)處理及時(shí)性�、壞賬率、現(xiàn)金預(yù)算完成金額占比等�����。
同時(shí)����,對(duì)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行詳細(xì)設(shè)計(jì),包括名稱�、說明����、監(jiān)控部門�、監(jiān)控頻率、計(jì)算公式�、指標(biāo)數(shù)據(jù)來源等。例如七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率����,該指標(biāo)是反映七項(xiàng)費(fèi)用預(yù)算與實(shí)際執(zhí)行之間的偏差,主要是用來檢查財(cái)務(wù)資產(chǎn)部費(fèi)用辦科長(zhǎng)是否定期進(jìn)行相關(guān)數(shù)據(jù)的收集����、統(tǒng)計(jì),若達(dá)到預(yù)警級(jí)別�����,是否進(jìn)行相應(yīng)的預(yù)警措施�����。計(jì)算公式是七項(xiàng)費(fèi)用實(shí)際完成金額/七項(xiàng)費(fèi)用預(yù)算金額*100%�,預(yù)警頻率是每月一次。
2.確定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的閾值
關(guān)鍵風(fēng)險(xiǎn)指標(biāo)確定后��,根據(jù)歷史數(shù)據(jù)分析、管理目標(biāo)以及風(fēng)險(xiǎn)偏好和承受度等�����,確定每一個(gè)指標(biāo)不同風(fēng)險(xiǎn)狀態(tài)的臨界值����,即閾值。根據(jù)風(fēng)險(xiǎn)上升趨勢(shì)將指標(biāo)的閾值分為三級(jí):輕度預(yù)警����、中度預(yù)警和高度預(yù)警,其中:
1)輕度預(yù)警代表低風(fēng)險(xiǎn)���,表示該領(lǐng)域存在較輕的風(fēng)險(xiǎn),財(cái)務(wù)部應(yīng)知悉��,并對(duì)該風(fēng)險(xiǎn)保持關(guān)注�。
2)中度預(yù)警代表中風(fēng)險(xiǎn),表示該領(lǐng)域存在一定的風(fēng)險(xiǎn)���,應(yīng)該引起財(cái)務(wù)部的重視��。
3)高度預(yù)警代表高風(fēng)險(xiǎn)���,表示該領(lǐng)域面臨嚴(yán)重的風(fēng)險(xiǎn)���,應(yīng)該引起財(cái)務(wù)部的高度重視,并及時(shí)采取必要措施����。
如上面所述七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率,根據(jù)綜合分析�����,確定了三個(gè)閾值�����,并將指標(biāo)按閾值分為三級(jí)�,當(dāng)指標(biāo)≥90%為輕度預(yù)警,>100%≤105%是中度預(yù)警��,>105%為高度預(yù)警����。
(3)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)控
財(cái)務(wù)部對(duì)本部門的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行監(jiān)控,根據(jù)預(yù)警頻率�,定期統(tǒng)計(jì)分析相關(guān)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的數(shù)據(jù)����。針對(duì)異常情況����,應(yīng)及時(shí)進(jìn)行調(diào)查,提出相應(yīng)的管理要求和應(yīng)對(duì)建議����,并組織實(shí)施應(yīng)對(duì)措施。
四�����、組織評(píng)價(jià)與持續(xù)改進(jìn)�����,實(shí)現(xiàn)閉環(huán)管理�����,不斷提升財(cái)務(wù)管理質(zhì)量和水平
財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估與管控是一個(gè)周而復(fù)始的管理過程�����,需要通過組織評(píng)價(jià)分析�、比較已實(shí)施的風(fēng)險(xiǎn)管理方法、措施的結(jié)果與預(yù)期目標(biāo)的契合程度來評(píng)判風(fēng)險(xiǎn)管理方法���、措施的科學(xué)性���、適應(yīng)性和收益性,并根據(jù)檢查結(jié)果對(duì)風(fēng)險(xiǎn)管理方法�、措施進(jìn)行修正完善。
1.組織評(píng)價(jià)
全面評(píng)價(jià)與重點(diǎn)評(píng)價(jià)相結(jié)合�。由于財(cái)務(wù)業(yè)務(wù)領(lǐng)域較多,各業(yè)務(wù)環(huán)節(jié)不同時(shí)期在公司經(jīng)濟(jì)活動(dòng)中的重要程度也不盡相同����,如公司存在大規(guī)模基建項(xiàng)目時(shí)����,基本建設(shè)管理與核算就會(huì)面臨較多的風(fēng)險(xiǎn),就需要對(duì)其進(jìn)行高度關(guān)注��,重點(diǎn)進(jìn)行管控和評(píng)價(jià)�。因此在日常管控評(píng)價(jià)中必須遵循全面性和重要性相結(jié)合的原則,使得評(píng)價(jià)活動(dòng)既能夠全面評(píng)價(jià)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)控管情況,又能夠顧及重點(diǎn)業(yè)務(wù)領(lǐng)域評(píng)價(jià)的充分性����。
2.持續(xù)改進(jìn)
篇11
CISP的核心在于將保障貫穿于整個(gè)知識(shí)體系。保障應(yīng)覆蓋整個(gè)信息系統(tǒng)生命周期�����,通過技術(shù)����、管理、工程過程和人員�����,確保每個(gè)階段的安全屬性(保密性�����、完整性和可用性)得到有效控制��,使組織業(yè)務(wù)持續(xù)運(yùn)行�。IT作為保障業(yè)務(wù)的重要手段和工具成為傳統(tǒng)保障目的的核心��。由于風(fēng)險(xiǎn)會(huì)影響業(yè)務(wù)的正常運(yùn)行��,因此,降低風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響是保障的主要目標(biāo)(如圖)��。在建立保障論據(jù)的過程中��,首先應(yīng)該考慮的是組織業(yè)務(wù)對(duì)IT的依賴程度��;其次要考慮風(fēng)險(xiǎn)的客觀性����;第三要考慮風(fēng)險(xiǎn)消減手段的可執(zhí)行度。CISP從體系結(jié)構(gòu)上提供了信息安全規(guī)劃設(shè)計(jì)的良好思路和方法論��,在整個(gè)課程體系中涵蓋了從政策(戰(zhàn)略層)到模型���、標(biāo)準(zhǔn)�、基線(戰(zhàn)術(shù)層)的縱向線條���,同時(shí)在兼顧中國國情的情況下�,系統(tǒng)介紹國際常用評(píng)估標(biāo)準(zhǔn)���、管理標(biāo)準(zhǔn)和國家相關(guān)信息安全標(biāo)準(zhǔn)與政策�。
根據(jù)CISP知識(shí)體系建立安全規(guī)劃設(shè)計(jì)
安全規(guī)劃是信息安全生命周期管理的起點(diǎn)和基礎(chǔ),良好的規(guī)劃設(shè)計(jì)可以為組織帶來正確的指導(dǎo)和方向����。根據(jù)國家《網(wǎng)絡(luò)安全法》“第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能�,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)���、同步使用�����?����!?/p>
1.通過保障的思想建立安全規(guī)劃背景
信息安全規(guī)劃設(shè)計(jì)可以根據(jù)美國信息保障技術(shù)框架(IATF)ISSE過程建立需求�����,本階段可對(duì)應(yīng)ISSE中發(fā)掘信息保護(hù)需求階段��。根據(jù)“信息安全保障基本內(nèi)容”確定安全需求�,安全需求源于業(yè)務(wù)需求���,通過風(fēng)險(xiǎn)評(píng)估��,在符合現(xiàn)有政策法規(guī)的情況下�����,建立基于風(fēng)險(xiǎn)與策略的基本方針�。因此����,安全規(guī)劃首先要熟悉并了解組織的業(yè)務(wù)特性,在信息安全規(guī)劃背景設(shè)計(jì)中�����,應(yīng)描述規(guī)劃對(duì)象的業(yè)務(wù)特性�����、業(yè)務(wù)類型���、業(yè)務(wù)范圍以及業(yè)務(wù)狀態(tài)等相關(guān)信息���,并根據(jù)組織結(jié)構(gòu)選擇適用的安全標(biāo)準(zhǔn)�����,例如國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全需要建立在信息安全等級(jí)保護(hù)基礎(chǔ)之上�����、第三方支付機(jī)構(gòu)可選CISP知識(shí)域簡(jiǎn)圖擇PCI-DSS作為可依據(jù)的準(zhǔn)則等����。信息系統(tǒng)保護(hù)輪廓(ISPP)是根據(jù)組織機(jī)構(gòu)使命和所處的運(yùn)行環(huán)境���,從組織機(jī)構(gòu)的策略和風(fēng)險(xiǎn)的實(shí)際情況出發(fā)�,對(duì)具體信息系統(tǒng)安全保障需求和能力進(jìn)行具體描述��。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估可以基于GB/T20984《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》執(zhí)行具體的評(píng)估�,評(píng)估分為技術(shù)評(píng)估與管理評(píng)估兩部分。從可遵循的標(biāo)準(zhǔn)來看�,技術(shù)評(píng)估通過GB/T22240—2008《信息安全等級(jí)保護(hù)技術(shù)要求》中物理安全、網(wǎng)絡(luò)安全�����、系統(tǒng)安全���、應(yīng)用安全及數(shù)據(jù)安全五個(gè)層面進(jìn)行評(píng)估���;管理安全可以選擇ISO/IEC27001:2013《信息技術(shù)信息安全管理體系要求》進(jìn)行���,該標(biāo)準(zhǔn)所包含的14個(gè)控制類113個(gè)控制點(diǎn)充分體現(xiàn)組織所涉及的管理風(fēng)險(xiǎn)����。在工作中,可以根據(jù)信息系統(tǒng)安全目標(biāo)來規(guī)范制定安全方案���。信息系統(tǒng)安全目標(biāo)是根據(jù)信息系統(tǒng)保護(hù)輪廓編制��、從信息系統(tǒng)安全保障的建設(shè)方(廠商)角度制定的信息系統(tǒng)安全保障方案��。根據(jù)組織的安全目標(biāo)設(shè)計(jì)建設(shè)目標(biāo)�,由于信息技術(shù)的飛速發(fā)展以及組織業(yè)務(wù)的高速變化��,一般建議建設(shè)目標(biāo)以1-3年為宜�����,充分體現(xiàn)信息安全規(guī)劃設(shè)計(jì)的可實(shí)施性����,包括可接受的成本��、合理的進(jìn)度����、技術(shù)可實(shí)現(xiàn)性��,以及組織管理和文化的可接受性等因素�。
2.信息系統(tǒng)安全保障評(píng)估框架下的概要設(shè)計(jì)
概要設(shè)計(jì)的主要任務(wù)是把背景建立階段中所獲得的需求通過頂層設(shè)計(jì)進(jìn)行描述。本階段可對(duì)應(yīng)ISSE中定義信息保護(hù)系統(tǒng)�����,通過概要設(shè)計(jì)將安全規(guī)劃設(shè)計(jì)基于GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》進(jìn)行模塊化劃分�����,并且描述安全規(guī)劃設(shè)計(jì)的組織高層愿景與設(shè)計(jì)內(nèi)涵�;在概要設(shè)計(jì)中,還應(yīng)該描述每個(gè)模塊的概要描述與設(shè)計(jì)原則�。設(shè)計(jì)思路是從宏觀上描述信息安全規(guī)劃設(shè)計(jì)的目的、意義以及最終目標(biāo)并選擇適用的模型建立設(shè)計(jì)原則��。本部分主要體現(xiàn)信息安全保障中信息系統(tǒng)安全概念和關(guān)系����。根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定���,頂層設(shè)計(jì)可以建立在信息安全等級(jí)保護(hù)的基礎(chǔ)上,綜合考慮諸如建立安全管理組織�����、完善預(yù)警與應(yīng)急響應(yīng)機(jī)制���、確保業(yè)務(wù)連續(xù)性計(jì)劃等方面GB/T20274-1:2006《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架第一部分:簡(jiǎn)介和一般模型》提供了一個(gè)優(yōu)秀的保障體系框架。該標(biāo)準(zhǔn)給出了信息系統(tǒng)安全保障的基本概念和模型���,并建立了信息系統(tǒng)安全保障框架�����。該標(biāo)準(zhǔn)詳細(xì)給出了信息系統(tǒng)安全保障的一般模型����,包括安全保障上下文��、信息系統(tǒng)安全保障評(píng)估���、信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的生成���、信息系統(tǒng)安全保障描述材料�;信息系統(tǒng)安全保障評(píng)估和評(píng)估結(jié)果�����,包括信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)的要求����、評(píng)估對(duì)象的要求、評(píng)估結(jié)果的聲明等��。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中��,通過對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析���,制定并執(zhí)行相應(yīng)的安全保障策略��,從技術(shù)��、管理�����、工程和人員等方面提出安全保障要求��,確保信息系統(tǒng)的保密性�、完整性和可用性,降低安全風(fēng)險(xiǎn)到可接受的程度�����,從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命����。策略體現(xiàn)的是組織的高層意旨,模型與措施作為戰(zhàn)術(shù)指標(biāo)分別為中層和執(zhí)行層提供具體的工作思路和方法���,以完成設(shè)計(jì)的具體實(shí)現(xiàn)。當(dāng)信息安全滿足所定義的基本要素后���,為每個(gè)層面的設(shè)計(jì)提出概要目標(biāo)�,并在具體的設(shè)計(jì)中將其覆蓋整個(gè)安全規(guī)劃中���。
3.實(shí)現(xiàn)建立在宏觀角度的合規(guī)性通用設(shè)計(jì)
通用設(shè)計(jì)可對(duì)應(yīng)ISSE中設(shè)計(jì)系統(tǒng)體系結(jié)構(gòu)���,本階段是整個(gè)安全規(guī)劃設(shè)計(jì)的核心部分�,本階段必須全面覆蓋背景建立階段所獲得的安全需求�,滿足概要設(shè)計(jì)階段所選擇的模型與方法論,全面�����、系統(tǒng)的描述安全目標(biāo)的具體實(shí)現(xiàn)��。通用安全設(shè)計(jì)是建立在宏觀角度上的綜合性設(shè)計(jì)�,設(shè)計(jì)首先將各個(gè)系統(tǒng)所產(chǎn)生的共同問題及宏觀問題統(tǒng)一解決,有效降低在安全建設(shè)中的重復(fù)建設(shè)和管理真空問題���。在通用設(shè)計(jì)中���,重點(diǎn)針對(duì)組織信息安全管理體系和風(fēng)險(xiǎn)管理過程的控制元素,從系統(tǒng)生命周期考慮信息安全問題�。(1)管理設(shè)計(jì)在信息安全管理體系ISMS過程方法論中,可遵循的過程方法是PDCA四個(gè)階段:首先�����,需要在P階段解決信息系統(tǒng)安全的目標(biāo)�����、范圍的確認(rèn),并且獲得高層的支持與承諾���。安全管理的實(shí)質(zhì)就是風(fēng)險(xiǎn)管理�,管理設(shè)計(jì)應(yīng)緊緊圍繞風(fēng)險(xiǎn)建立�����,所以���,本階段首要的任務(wù)是為組織建立適用的風(fēng)險(xiǎn)評(píng)估方法論����。其次�����,管理評(píng)估中所識(shí)別的不可接受風(fēng)險(xiǎn)是本階段主要設(shè)計(jì)依據(jù)���。通過D環(huán)節(jié),需要解決風(fēng)險(xiǎn)評(píng)估的具體實(shí)施以及風(fēng)險(xiǎn)控制措施落實(shí)�����,風(fēng)險(xiǎn)評(píng)估僅能解決當(dāng)前狀態(tài)下的安全風(fēng)險(xiǎn)問題,因此���,必須建立風(fēng)險(xiǎn)管理實(shí)施規(guī)范��,當(dāng)組織在一定周期(例如1年)或者組織發(fā)生重大變更時(shí)重新執(zhí)行風(fēng)險(xiǎn)評(píng)估��,風(fēng)險(xiǎn)評(píng)估可以是自評(píng)估����,也可以委托第三方進(jìn)行�。本環(huán)節(jié)的設(shè)計(jì)必須涵蓋管理風(fēng)險(xiǎn)中所有不可接受風(fēng)險(xiǎn)的具體處置,從實(shí)現(xiàn)而言�����,重點(diǎn)關(guān)注管理機(jī)構(gòu)的設(shè)置與體系文件的建立和落實(shí)�。第三個(gè)環(huán)節(jié)是建立有效的內(nèi)審機(jī)制和監(jiān)測(cè)機(jī)制,沒有檢測(cè)就沒有改進(jìn)���,通過設(shè)計(jì)審計(jì)體系完成對(duì)信息安全管理體系的動(dòng)態(tài)運(yùn)行���。第四個(gè)環(huán)節(jié)����,即A環(huán)節(jié)����,是在完成審計(jì)之后針對(duì)組織是否有效執(zhí)行糾正措施的落實(shí)設(shè)計(jì)審計(jì)跟蹤和風(fēng)險(xiǎn)再評(píng)估過程。A環(huán)節(jié)既是信息安全管理體系的最后一個(gè)環(huán)節(jié)����,也是新的PDCA過程的推動(dòng)力。(2)技術(shù)設(shè)計(jì)技術(shù)設(shè)計(jì)主要是建立在組織平均安全水平基礎(chǔ)上�,應(yīng)可適用于組織所有的系統(tǒng)和通用的技術(shù)風(fēng)險(xiǎn)。設(shè)計(jì)可遵循多種技術(shù)標(biāo)準(zhǔn)體系���,首先建立基于信息安全等級(jí)保護(hù)的五個(gè)層面技術(shù)設(shè)計(jì)要求��。通過美國信息保障技術(shù)框架建立“縱深防御”原則����,其具體涉及在訪問控制技術(shù)和密碼學(xué)技術(shù)支撐下的物理安全��、網(wǎng)絡(luò)安全����、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全��。技術(shù)設(shè)計(jì)可在原有的技術(shù)框架下建立云安全�����、大數(shù)據(jù)安全等專項(xiàng)技術(shù)安全設(shè)計(jì)�����,也可在網(wǎng)絡(luò)安全中增加虛擬網(wǎng)絡(luò)安全設(shè)計(jì)等方式��,應(yīng)對(duì)新技術(shù)領(lǐng)域的安全設(shè)計(jì)�����。技術(shù)設(shè)計(jì)可以包括兩個(gè)主要手段:第一���,技術(shù)配置�。技術(shù)配置是在現(xiàn)有的技術(shù)能力下通過基于業(yè)務(wù)的安全策略和合規(guī)性基線進(jìn)行安全配置����。常見的手段包括補(bǔ)丁的修訂、安全域的劃分與ACL的設(shè)計(jì)�、基于基線的系統(tǒng)配置等手段���;第二,技術(shù)產(chǎn)品�。技術(shù)產(chǎn)品是在現(xiàn)有產(chǎn)品不能滿足控制能力時(shí)通過添加新的安全產(chǎn)品結(jié)合原有的控制措施和產(chǎn)品統(tǒng)一部署、統(tǒng)一管理��。在技術(shù)設(shè)計(jì)中����,必須明確的原則是產(chǎn)品不是安全的唯一,產(chǎn)品也不是解決安全問題的靈丹妙藥��,有效的安全控制是通過對(duì)產(chǎn)品的綜合使用和與管理���、流程�、人員能力相互結(jié)合����,最終形成最佳的使用效果。(3)工程過程設(shè)計(jì)工程過程設(shè)計(jì)重點(diǎn)考慮基于生命周期每個(gè)階段的基于安全工程考慮的流程問題���,在信息系統(tǒng)生命周期的五個(gè)層面�����。信息安全問題應(yīng)該從計(jì)劃組織階段開始重視�����,在信息系統(tǒng)生命周期每個(gè)階段建立有效的安全控制和管理��。工程過程包括計(jì)劃組織�����、開發(fā)采購�、實(shí)施交付���、運(yùn)行維護(hù)和廢棄五個(gè)階段���,本階段的設(shè)計(jì)主要通過在每個(gè)階段建立相應(yīng)的流程,通過流程設(shè)計(jì)控制生命周期各個(gè)階段的安全風(fēng)險(xiǎn)���。在計(jì)劃組織(需求分析)階段���,體現(xiàn)信息安全工程中明確指出的系統(tǒng)建設(shè)與安全建設(shè)應(yīng)“同步規(guī)劃、同步實(shí)施”���,體現(xiàn)《網(wǎng)絡(luò)安全法》中“三同步”的要求�。在開發(fā)采購階段,通過流程設(shè)計(jì)實(shí)現(xiàn)軟件安全開發(fā)的實(shí)現(xiàn)和實(shí)現(xiàn)供應(yīng)鏈管理����。實(shí)施交付階段,關(guān)注安全交付問題����,應(yīng)設(shè)計(jì)安全交付流程和安全驗(yàn)收流程。運(yùn)行維護(hù)階段要體現(xiàn)安全運(yùn)維與傳統(tǒng)運(yùn)維差異化���,安全運(yùn)維起于風(fēng)險(xiǎn)評(píng)估�,應(yīng)更多關(guān)注預(yù)防事件的發(fā)生����,事前安全檢查的基線設(shè)計(jì)、檢查手段及工具的選擇和使用根據(jù)設(shè)備的不同重要程度建立不同的檢查周期�����;當(dāng)系統(tǒng)產(chǎn)生缺陷或者漏洞時(shí)���,設(shè)計(jì)合理的配置管理����、變更管理及補(bǔ)丁管理等流程解決事中問題;當(dāng)事件已經(jīng)產(chǎn)生影響時(shí)�,可以通過預(yù)定義的應(yīng)急響應(yīng)機(jī)制抑制事件并處置事件;當(dāng)事件造成系統(tǒng)中斷�����、數(shù)據(jù)丟失以及其他影響業(yè)務(wù)連續(xù)性后果時(shí)����,能夠通過規(guī)劃中的災(zāi)難恢復(fù)及時(shí)恢復(fù)業(yè)務(wù)�����。廢棄階段通過流程控制用戶系統(tǒng)在下線�����、遷移��、更新過程中對(duì)包含有組織敏感信息的存儲(chǔ)介質(zhì)建立保護(hù)流程和方法�,明確廢棄過程中形成的信息保護(hù)責(zé)任制,并根據(jù)不同的敏感采取不同的管理手段和技術(shù)手段對(duì)剩余信息進(jìn)行有效處置。(4)人員設(shè)計(jì)人員安全是信息安全領(lǐng)域不可或缺的層面�,長(zhǎng)期以來,過于關(guān)注IT技術(shù)的規(guī)劃設(shè)計(jì)而忽略了人的安全問題�����,內(nèi)部人員安全問題構(gòu)成了組織安全的重要隱患���,人為的無意失誤造成的損害往往遠(yuǎn)大于人為的惡意行為��。人員設(shè)計(jì)重點(diǎn)關(guān)注人員崗位���、技術(shù)要求、背景以及培訓(xùn)與教育�����,充分體現(xiàn)最小特權(quán)�����、職責(zé)分離及問責(zé)制等原則�����。根據(jù)《網(wǎng)絡(luò)安全法》第四章要求,關(guān)鍵基礎(chǔ)設(shè)施應(yīng)建立信息安全管理機(jī)構(gòu)�����,并設(shè)置信息安全專職人員��。在人員設(shè)計(jì)中還應(yīng)充分考慮到第三方代維人員的管理及供應(yīng)商管理等新問題的產(chǎn)生���。
