導語：如何才能寫好一篇安全風險評估措施，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞 軍工信息；安全風險評估；控制措施

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-7597（2013）22-0130-01

信息的保密性、完整性以及可用性等重要屬性的保持是信息安全的重要內(nèi)容。20世紀末，信息保障概念被引入信息安全的觀念中，信息安全的觀念進入全面保障階段。當前的信息安全保障已經(jīng)不再是單純的保障硬件安全、計算機安全、網(wǎng)絡安全等局部的安全，而是要保障全局的安全性。這要求我們以科學的思想為指導，從全局出發(fā)對系統(tǒng)的安全進行把握，實現(xiàn)信息的“運行安全”。

1 軍事信息安全風險評估的方法

通常情況下，我們可以將信息系統(tǒng)的安全風險評估分為兩大類，即定性方法與定量方法。定性方法是指評估者根據(jù)自身的知識和經(jīng)驗進行演繹推理，對信息系統(tǒng)的風險性做出評估，定性方法計算簡單，并且有可能幫助相關(guān)工作人員挖掘深層次的思想。這種方法雖然簡單，但是計算方式過于粗糙，可能會造成獲得的結(jié)果不夠準確。而定量方法則是對構(gòu)成風險的要素與潛在損失進行賦值，利用公式對數(shù)據(jù)進行推導和計算，評估的結(jié)果通常是數(shù)據(jù)的形式進行表達。這種方法雖然更加客觀、直觀，但在定風量的過程中可能會造成一些數(shù)據(jù)的喪失或曲解。總之，兩種方法各有利弊，我們在實踐中應當將兩者有機結(jié)合進行評估。

最典型的綜合分析方法是“Analytic Hierarchy Process”簡稱“AHP”，我們稱其為層次分析法，它最早是二十世紀七十年代由美國專家提出的，其核心是將決策者的經(jīng)驗等因素進行量化處理，使定性分析和定量計算達到有機結(jié)合。這種方法能夠為決策分析問題解決提供必要的依據(jù)，能夠為評估底層元素在總目標中貢獻提供可靠依據(jù)，對一些無法完全定量分析的問題尤為適用。

但是在許多情況下，系統(tǒng)各個層次的內(nèi)部元素之間存在著依存關(guān)系，底層元素能夠?qū)Ω邔釉禺a(chǎn)生支配的作用，我們稱之為反饋。這種情況下，系統(tǒng)呈現(xiàn)出網(wǎng)絡結(jié)構(gòu)，AHP對于這種情況顯得有些無力解決。在這種情況下，我們可以采用“Analytic Network Process”（簡稱ANP，網(wǎng)絡分析法）進行信息安全風險評估。這種方法能夠克服AHP存在的不足，利用評估過程中各個指標因素的依存關(guān)系和各個層次間的反饋，使之成為更加完備和科學的方法。信息系統(tǒng)存在的危險與系統(tǒng)本身的脆弱性之間也存在著網(wǎng)絡狀的關(guān)系，如圖1、圖2，因此在對信息系統(tǒng)安全進行安全評估的過程中，網(wǎng)絡分析法是一種非常實用的方法。

圖1 控制層

圖2 網(wǎng)絡層

2 軍工信息系統(tǒng)安全風險的控制措施

進行軍工信息系統(tǒng)安全風險評估的主要目的是為了以評估結(jié)果為依據(jù)制定合適的軍工信息風險控制方案，保證軍工信息的安全性，將系統(tǒng)安全問題出現(xiàn)的可能性降低，保障軍工信息的安全可靠性。在進行信息安全措施選擇的時候，要進行系統(tǒng)分析，做到充分保護信息，使其免受威脅。我們經(jīng)常用到的風險控制措施包括回避法（即遠離風險事件從而避免損害發(fā)生）、預防法（即采取預防措施降低事故產(chǎn)生的概率）、自留（進行綜合的平衡，確定應當承擔的風險）、轉(zhuǎn)移（即采取方法將風險轉(zhuǎn)移至其他的主體）以及威懾（采取報復、追究責任等方式減少、消除威脅，進而降低安全風險）等。在軍工信息安全的控制上，要避免盲目性與片面性，這就要求我們有一個清晰的層次和準確的定位，選擇適度的控制措施，防止設計上的漏洞，從而達到確保軍工信息整體安全的目的。同時，我們還需要注意安全設施所提供的保護、所起作用的方式以及實施成本和造成影響的不同，進行適當選擇。選擇中，我們要注意以下幾點。

1）提供的功能。在通常情況下，安全措施兼具一種或者幾種功能，能夠具備的功能越多就說明這種安全措施越具有優(yōu)越性。在進行選擇的時候，應該選擇具備功能較多的措施，同時實現(xiàn)各類型的功能間的平衡。這樣可以使措施得到更好地發(fā)揮，保障軍工信息的整體安全。

2）措施成本。不論是采用哪種措施，我們都需要進行成本的考量。應當對措施的效果與所需成本間的比例進行衡量，要選擇性價比較高的措施。

3）產(chǎn)生的影響。安全控制措施的采用會對系統(tǒng)產(chǎn)生不同層次的影響，如果措施操作性變差，就可能導致整體功能的受損甚至喪失。因此，在進行措施選擇的過程中應當考慮到措施的安全性以及它會產(chǎn)生的影響。

3 結(jié)論

軍工信息的安全關(guān)系到國家的安全，在當前國際形式下，地區(qū)沖突不斷，一個國家社會環(huán)境的長治久安需要強大國防力量的支持。國防力量是一個國家綜合實力的集中體現(xiàn)，而軍事信息又直接影響到國家的國防建設。因此，為了保證我國國防建設的順利進行，保證經(jīng)濟發(fā)展有一個安全的社會環(huán)境，在國防建設中軍工信息的安全風險評估與控制是非常重要的。這要求我們在軍隊建設中做好信息安全風險評估工作，采取必要的控制措施，保證軍工信息安全，進而保證國家安全。

參考文獻

[1]吳亞非，李新友，祿凱.信息安全風險評估[M].北京：清華大學出版社，2007.

[2]程建華.信息安全風險管理、評估與控制研究[D].長春：吉林大學，2008.

[3]魏國斌.淺析計算機網(wǎng)絡安全防范措施[J].信息安全與技術(shù)，2013（8）.

[4]鄒翔.加快信息安全法制保障體系建設與意識教育[J].信息安全與通信保密，2013（05）.

篇2

1.1靜態(tài)風險評估

靜態(tài)風險評估是根據(jù)傳統(tǒng)風險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風險進行科學的評估，評估的整個過程并不連續(xù)，評估的對象主要選擇相對靜止的系統(tǒng)。

1.2動態(tài)風險評估

動態(tài)風險評估是對網(wǎng)絡進行安全風險的評估，并研究系統(tǒng)變化的過程和趨勢，將安全風險與具體的環(huán)境相互聯(lián)系，從宏觀的角度了解整個系統(tǒng)存在的安全風險，把握風險的動態(tài)變化，風險評估的過程是動態(tài)變化的過程。對于電信網(wǎng)絡而言，客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段，目前，我國的電信網(wǎng)絡仍然采用傳統(tǒng)靜態(tài)評估的方式，最終對安全風險的評估只是針對特定的時間點。但是，靜態(tài)風險評估不能有效的體現(xiàn)評估風險各種變化的趨勢，評估結(jié)果相對比較滯后。動態(tài)風險評估加強了靜態(tài)風險評估的效果，能夠反映較長時間安全風險具體的變化情況。在動態(tài)風險進行評估的過程中，如果系統(tǒng)出現(xiàn)安全問題，可以及時的進行處理，展現(xiàn)了整個風險評估的變化過程，保證了網(wǎng)絡的安全。對電信網(wǎng)絡實施動態(tài)風險評估，具有非常復雜的過程，評估的結(jié)果具有參考價值。

2電信網(wǎng)絡安全風險評估具體的實施過程

對電信網(wǎng)絡進行安全風險評估的工作，其對象可以針對電信網(wǎng)絡的某一部門也可以是整個電信網(wǎng)絡。風險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡管理的安全問題。技術(shù)安全主要包括網(wǎng)絡安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對電信網(wǎng)絡實施安全風險的評估主要按照以下幾個步驟。

2.1風險評估前的準備工作

在進行安全風險評估之前，首先需要獲得各個方面對安全風險評估的支持，相互配合，確定需要評估的具體內(nèi)容，組織負責進行安全風險評估的專業(yè)團隊，做好市場的調(diào)查工作，制定評估使用的方法，只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。

2.2對資產(chǎn)的識別工作

在電信網(wǎng)絡中的資產(chǎn)主要包括具有一定使用價值的資源，電信網(wǎng)絡的資產(chǎn)也是進行安全風險評估的主要對象。資產(chǎn)存在多種形式，有無形資產(chǎn)和有形資產(chǎn)，還可以分為硬件和軟件。例如，一些網(wǎng)絡的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況。對資產(chǎn)進行安全風險的評估可以綜合分析資產(chǎn)的價值以及安全狀況，還可以考慮資產(chǎn)具有的社會影響力。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網(wǎng)絡內(nèi)部資產(chǎn)存在破壞的各種因素，這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡自身存在的設備故障或者是網(wǎng)絡的設計存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對威脅的動機以及發(fā)生幾率描述網(wǎng)絡存在的各種威脅，威脅識別工作的重要任務就是判斷出現(xiàn)威脅的可能性。

2.4脆弱性識別工作

網(wǎng)絡資產(chǎn)本身具有脆弱性的特點，包括網(wǎng)絡存在的各種缺陷。只有網(wǎng)絡存在各種缺陷和弱點才有可能出現(xiàn)各種威脅的因素，如果沒有威脅的產(chǎn)生，網(wǎng)絡具有的脆弱性并不會損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性，使系統(tǒng)的資產(chǎn)更加安全，從而有效的較少損失。對電信網(wǎng)絡進行脆弱性識別工作可以從技術(shù)和管理上展開，主要以資產(chǎn)的安全作為核心內(nèi)容，針對資產(chǎn)的不同特征，進行脆弱性的識別工作。

2.5確認具體的安全措施

對電信網(wǎng)絡進行的安全風險評估需要做好安全措施的確認工作，保持有明顯效果的安全措施，對失去效果的安全措施予以改正，避免內(nèi)部資產(chǎn)的浪費，杜絕重復使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消，并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產(chǎn)生的可能性，保護性措施是為了減少資產(chǎn)的損失。

2.6風險分析工作

風險分析工作主要對電信網(wǎng)絡的資產(chǎn)識別、脆弱性識別、威脅識別以及存在風險對資產(chǎn)造成的損失進行綜合性的分析，最終得出準確的風險值，結(jié)合制定的安全措施。分析資產(chǎn)承受風險的最大范圍。如果出現(xiàn)的安全風險在資產(chǎn)承受的范圍之內(nèi)，需要繼續(xù)采取安全保護措施，如果安全風險超出了資產(chǎn)承受的范圍，這就需要對風險進行控制，制定更可靠的安全措施。

2.7整理風險評估記錄

對電信網(wǎng)絡實施安全風險評估工作的整個過程，需要進行風險評估的準確記錄，包括評估的過程以及評估的最終結(jié)果，制定系統(tǒng)的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據(jù)。

3結(jié)束語

篇3

【關(guān)鍵詞】公路施工，安全風險，評估，標準化

中圖分類號： U41 文獻標識碼： A 文章編號：

為了能夠保證公路工程施工過程中不出現(xiàn)任何安全責任事故，需要認真落實“安全第一、預防為主”的方針，必須要對安全生產(chǎn)工作進行深化，積極推進公路工程施工安全標準化建設，并加強對安全風險評估技術(shù)的實踐，盡可能的提前發(fā)現(xiàn)各種安全隱患。必須要立足預防，從源頭出發(fā)，做到標本兼治，構(gòu)建起安全生產(chǎn)的長效機制，從制度出發(fā)為安全生產(chǎn)工作的落實提供保障。

一、公路工程施工安全標準化措施

（一）建立起一套完善的安全生產(chǎn)制度

要實現(xiàn)公路施工安全標準化，就必須要制定出一套完善的安全生產(chǎn)責任制度，必須要明確項目部、財務部、設備部材料部、辦公室以及施工隊等各個部門各自所需要承擔的安全生產(chǎn)職責。在此基礎上細化每一個崗位的安全生產(chǎn)責任，讓每一個人都能夠清楚的明白自己所在崗位需要承擔的安全生產(chǎn)責任。與此同時還必須要出善的安全生產(chǎn)管理制度，制定出合理的安全生產(chǎn)目標考核制度，并且安全檢查、培訓、防護管理等都需要有相應的制度來作為支撐。在此基礎上必須要形成完善的安全生事故應急救援方案，防止在出現(xiàn)安全生產(chǎn)事故時不能夠進行快速有效處理的現(xiàn)象。

（二）建立安全生產(chǎn)標準化考評機制，制定獎罰措施，定期考核

必須要建立起完善的安全生產(chǎn)標準化考評機制，并制定出合理的獎懲措施，加強標準化考核。確定評審單位與評審人員。評審組織單位與評審單位必須要嚴格的根據(jù)想要求規(guī)定開展工作，同時各級的安全部門要對經(jīng)驗進行積極的總結(jié)，對安全生產(chǎn)標準化考評工作程序進行完善，并控制好考評流程。對于評審組織單位以及評審單位都必須要進行嚴格管理，讓考評工作能夠得到規(guī)范，把好質(zhì)量關(guān)，如果出現(xiàn)了違反規(guī)定、弄虛作假的情況，必須要嚴肅處理，如果情節(jié)嚴重，必須要取消評審資格。同時對于那些評審不能夠達到要求的必須要進行一定的懲罰，責令限期整改。并且在評審合格之后必須要定期的進行考核。并且需要采取法律的、經(jīng)濟的以及行政上的手段構(gòu)建起良好的獎懲機制。

二、施工安全風險評估

對公路施工工程進行安全風險評估是減少施工事故的重要措施，因此必須要對施工風險評估進行重視。

（一）總體風險評估

該風險評估針對的是公路工程施工階段所存在的風險的大小，可以采用風險指標體系法進行定量評估?？傮w評估需要建立在對各種資料進行收集整理的基礎上，需要由建設單位來進行組織，施工單位、勘察設計單位、監(jiān)理單位等共同參加成立起評估小組，對總體風險等級進行評估。總體風險評估的結(jié)論能夠作為工程相關(guān)安全簡單管理部門對公路施工風險總體監(jiān)控的依據(jù)，并且施工單位也可以根據(jù)總體風險評估的結(jié)論來制定出對策措施。

（二）專項風險評估

該評估的對象是各種施工作業(yè)活動，其主要流程包括了風險源辨識、風險分析、風險估測這三個方面。在風險源辨識的過程中需要對參與者進行確定，并在此基礎上對工程相關(guān)的基礎性資料進行收集。在風險源辨識中需要對工程建設的基本資料進行系統(tǒng)分析，并分析工程建設的目標、階段、活動以及周邊環(huán)境中所存在的風險。同時還需要根據(jù)公路施工作業(yè)的基本流程，分解工程施工作業(yè)活動。在此基礎上，辨識并篩選風險源，并對風險進行估測。

專項風險估測應該根據(jù)工程的特點，對工程的建設條件、施工技術(shù)方案、施工環(huán)境條件等各個階段的開展風險評估。事故的后果主要需要考慮的是人員傷亡與直接經(jīng)濟損失，并且需要根據(jù)實際需要將環(huán)境影響、延誤工期、社會影響都作為風險后果的考慮范圍之內(nèi)。通過專項風險評估，能夠從技術(shù)可行性與經(jīng)濟合理的原則，根據(jù)風險等級來對施工技術(shù)方案進行完善，并做出風險控制措施。所采用的風險評估方法有采用定性估測、定性與定量估測結(jié)合的方法。定性與定量主要是應用于重大風險源風險估測，并且往往需要采用專家調(diào)查法。

（三）公路施工安全風險控制

公路施工安全風險控制需要根據(jù)工程的具體特點、風險評估的結(jié)果、成本效益比等多個方面的內(nèi)容對風險控制措施進行懸著，所選擇的應對措施必須要具有良好的可操作性，并根據(jù)針對性與重要性對措施建議進行分類。在選擇風險控制措施時需要根據(jù)以下順序來進行：（1）本質(zhì)安全措施，選擇控制措施時需要從本質(zhì)安全的角度出發(fā)，對風險源進行消除或者是讓風險能夠降低到可接受的程度；（2）安全隔離貨防護，如果不能夠本質(zhì)安全對風險進行控制，那么就需要通過隔離或者防護的手段來讓風險降低；（3）進行警告或者標示，對于通過上述措施之后還留下的風險，必須要通過警告、標示等輔助措施來降低風險；（4）進行教育培訓，必須要將所確定安全措施在施工前通過各種方式傳遞給安全管理與施工作業(yè)人員，盡可能的減少和避免不安全行為。

三、結(jié)語

公路施工安全標準化建設與安全風險評估對于公路安全施工有著十分重要的作用。為了能夠有效的控制公路施工安全風險，必須要積極的開展公路施工安全標準化工作，并進行切實有效的安全風險評估。

【參考文獻】

篇4

根據(jù)以往學者研究及實踐表明，對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內(nèi)容。因此對風險評估的作用主要體現(xiàn)在：首先，信息安全保障需以風險評估作為基礎。對計算機信息系統(tǒng)進行風險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風險，并在此基礎上做出相應的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風險管理中的風險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對ISMS的建立、實施以及維護等方面都應充分發(fā)揮風險評估的作用。最后，風險評估的核查作用。驗收信息系統(tǒng)設計安裝等是否滿足安全標準時，風險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中，通過風險評估也可將系統(tǒng)對環(huán)境變化的適應能力以及相關(guān)的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時，風險評估又可對其中的風險作出分析并采取相應的技術(shù)或管理措施。

二、計算機信息系統(tǒng)安全風險的評估方法分析

（一）以定性與定量為主的評估方法

計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產(chǎn)價值進行分析，再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算，當完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風險的等級。

（二）以知識和模型為基礎的風險評估

以知識為基礎的風險評估通常會根據(jù)安全專家的評估經(jīng)驗為依據(jù)，優(yōu)勢在于風險評估的結(jié)構(gòu)框架、實施計劃以及保護措施可被提供，對較為相似的機構(gòu)可直接利用以往的保護措施等便可實現(xiàn)機構(gòu)安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風險的定性評估。

（三）動態(tài)評估與分析方式

計算信息系統(tǒng)風險管理實際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計劃、實施、檢查以及改進實現(xiàn)了對風險的動態(tài)管理。

（四）典型風險評估與差距分析方法分析

典型風險評估主要包括FTA、FMECA、Hazop等方法，對計算機信息系統(tǒng)設計中潛在的故障與薄弱之處，都可提出相應的解決措施，以FTA故障樹分析為典型代表，在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風險的確定，存在的差距越大則證明存在的風險越大。

三、結(jié)論

篇5

為加強精細化工企業(yè)（以下簡稱企業(yè)）安全生產(chǎn)管理，進一步落實企業(yè)安全生產(chǎn)主體責任，強化安全風險辨識和管控，提升本質(zhì)安全水平，提高企業(yè)安全生產(chǎn)保障能力，有效防范事故，現(xiàn)就加強精細化工反應安全風險評估工作提出如下指導意見：

一、充分認識開展精細化工反應安全風險評估的意義

精細化工生產(chǎn)中反應失控是發(fā)生事故的重要原因，開展精細化工反應安全風險評估、確定風險等級并采取有效管控措施，對于保障企業(yè)安全生產(chǎn)意義重大。開展反應安全風險評估也是企業(yè)獲取安全生產(chǎn)信息，實施化工過程安全管理的基礎工作，加強企業(yè)安全生產(chǎn)管理的必然要求。當前精細化工生產(chǎn)多以間歇和半間歇操作為主，工藝復雜多變，自動化控制水平低，現(xiàn)場操作人員多，部分企業(yè)對反應安全風險認識不足，對工藝控制要點不掌握或認識不科學，容易因反應失控導致火災、爆炸、中毒事故，造成群死群傷。通過開展精細化工反應安全風險評估，確定反應工藝危險度，以此改進安全設施設計，完善L險控制措施，能提升企業(yè)本質(zhì)安全水平，有效防范事故發(fā)生。

二、準確把握精細化工反應安全風險評估范圍和內(nèi)容

（一）企業(yè)中涉及重點監(jiān)管危險化工工藝和金屬有機物合成反應（包括格氏反應）的間歇和半間歇反應，有以下情形之一的，要開展反應安全風險評估：

1.國內(nèi)首次使用的新工藝、新配方投入工業(yè)化生產(chǎn)的以及國外首次引進的新工藝且未進行過反應安全風險評估的；

2.現(xiàn)有的工藝路線、工藝參數(shù)或裝置能力發(fā)生變更，且沒有反應安全風險評估報告的；

3.因反應工藝問題，發(fā)生過生產(chǎn)安全事故的。

（二）精細化工生產(chǎn)的主要安全風險來自于工藝反應的熱風險。開展精細化工反應安全風險評估，要根據(jù)《精細化工反應安全風險評估導則（試行）》（見附件）的要求，對反應中涉及的原料、中間物料、產(chǎn)品等化學品進行熱穩(wěn)定測試，對化學反應過程開展熱力學和動力學分析。根據(jù)反應熱、絕熱溫升等參數(shù)評估反應的危險等級，根據(jù)最大反應速率到達時間等參數(shù)評估反應失控的可能性，結(jié)合相關(guān)反應溫度參數(shù)進行多因素危險度評估，確定反應工藝危險度等級。根據(jù)反應工藝危險度等級，明確安全操作條件，從工藝設計、儀表控制、報警與緊急干預（安全儀表系統(tǒng)）、物料釋放后的收集與保護，廠區(qū)和周邊區(qū)域的應急響應等方面提出有關(guān)安全風險防控建議。

三、強化精細化工反應安全風險評估結(jié)果運用，完善風險管控措施

（一）涉及的反應工藝危險度被確定為2級及以上的，要根據(jù)危險度等級和評估建議，設置相應的安全設施和安全儀表系統(tǒng)；反應工藝危險度被確定為4級及以上的，在全面開展過程危險分析（如危險與可操作性分析）基礎上，通過風險分析（如保護層分析）確定安全儀表的安全完整性等級，并依據(jù)要求配置安全儀表系統(tǒng)；對于反應工藝危險度被確定為5級的，相關(guān)裝置應設置在由防爆墻隔離的獨立空間中，并設計超壓泄爆設施，反應過程中操作人員不應進入隔離區(qū)域。企業(yè)要優(yōu)先通過開展工藝優(yōu)化或改變工藝路線降低安全風險。

（二）企業(yè)要把反應安全風險評估作為安全管理的重要內(nèi)容，新建項目要以反應安全風險評估結(jié)果為依據(jù)，開展工藝設計及安全設施設計，保證各項安全控制措施落實到位；相關(guān)在役裝置要根據(jù)反應安全風險評估結(jié)果，補充和完善安全管控措施，及時審查和修訂操作規(guī)程。

（三）企業(yè)要保證設備設施滿足反應工藝安全要求，根據(jù)反應安全風險評估情況，建立關(guān)鍵設備設施清單，定期開展檢查、維護和維修，要確保泄放、冷卻、降溫等設施和安全儀表等系統(tǒng)的完好、可用。要開展有針對性的崗位操作培訓，保證崗位操作人員熟練掌握本崗位反應安全風險，嚴格執(zhí)行崗位操作規(guī)程，不斷提升操作技能。要根據(jù)反應安全風險評估結(jié)果，制定崗位應急處置方案和事故專項應急預案，強化定期演練，提高應急處置能力。

四、工作要求

（一）反應安全風險評估工作專業(yè)性強，技術(shù)要求高，各有關(guān)企業(yè)要高度重視，聘請具備相關(guān)專業(yè)能力的機構(gòu)組織開展評估。企業(yè)要加大對工藝反應測試分析條件的投入，培育專業(yè)工程技術(shù)人員，逐步形成自身開展反應安全風險評估工作的能力。

（二）有關(guān)企業(yè)要確保列入評估范圍的新建裝置在編制可行性研究報告或項目建議書前，完成反應安全風險評估。對相關(guān)在役裝置要制定計劃逐步開展，根據(jù)評估結(jié)果完善風險控制措施，努力降低安全風險。從2020年開始，凡列入評估范圍，但未進行反應安全風險評估的精細化工生產(chǎn)裝置，不得投入運行。

（三）地方各級安全監(jiān)管部門要結(jié)合本地區(qū)實際，指導和督促相關(guān)企業(yè)開展反應安全風險評估，積極跟蹤評估結(jié)論，掌握并研判本地區(qū)有關(guān)企業(yè)的風險情況。積極培育具備條件的反應安全風險評估機構(gòu)，鼓勵具備條件的有關(guān)科研單位提供技術(shù)服務支持，加強技術(shù)人才隊伍培養(yǎng)，配備完善實驗測試設施，規(guī)范服務工作，提高反應安全風險評估能力和質(zhì)量。

請各省級安全監(jiān)管局及時將本指導意見精神傳達至本轄區(qū)各級安全監(jiān)管部門及有關(guān)企業(yè)。

附件：精細化工反應安全風險評估導則（試行）

（詳見安監(jiān)總局網(wǎng)站）

篇6

目前我國已步入信息化時代，隨著國民經(jīng)濟和社會信息化進程的全面加速，各地政府紛紛建立起基礎網(wǎng)絡平臺和重要的信息系統(tǒng)，這些網(wǎng)絡與信息系統(tǒng)的基礎性、全局性作用日益增強，國民經(jīng)濟和社會發(fā)展對基礎網(wǎng)絡平臺和重要信息系統(tǒng)的依賴性也越來越大，網(wǎng)絡與信息系統(tǒng)自身存在的缺陷、脆弱性以及面臨的威脅，使信息系統(tǒng)的運行在客觀上存在著潛在風險，信息系統(tǒng)安全的重要性更顯突出，已成為國家安全的基座。

近年來我國政府也開始重視信息安全風險評估工作。2003年7月《國家信息化領導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)［2003］27號）文件中明確提出：要重視信息安全風險評估工作，對網(wǎng)絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、程度和面臨的風險等因素，進行相應等級的安全建設和管理。

為落實中辦發(fā)[2003]27號文件要求，由國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認監(jiān)委、國家標準化委、國家密碼管理局、國家保密局等單位聯(lián)合組成課題組先后對四個地區(qū)、十幾個行業(yè)的50多家單位進行了調(diào)研考查，制定出《信息安全風險評估指南》、《信息安全風險管理指南》等標準和規(guī)范。

2004年6月天津市市委辦公廳、市政府辦公廳聯(lián)合轉(zhuǎn)發(fā)了《關(guān)于加強我市信息安全保障工作的意見》（津黨辦發(fā)［2004］15號）文件，成立了天津市網(wǎng)絡與信息安全協(xié)調(diào)小組，加強了對我市信息安全工作的領導和管理。

二、風險評估工作內(nèi)容

信息安全風險評估工作，就是從風險管理角度入手，依據(jù)國家風險評估管理規(guī)范和技術(shù)標準，采用適當?shù)娘L險評估工具，運用定性及定量的分析方法和手段，系統(tǒng)分析信息化業(yè)務和信息系統(tǒng)資產(chǎn)所面臨的人為的或自然的潛在威脅、薄弱環(huán)節(jié)、防護措施等，準確了解信息系統(tǒng)安全狀況，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、程度和面臨的風險等因素，確定風險等級和風險控制順序，有針對性地幫助制定抵御威脅的安全策略和防護措施，指導安全建設的合理投入。

風險評估的形式按照評估實施者的不同，可將其分為自評估和檢查評估二種形式：

自評估

自評估就是信息系統(tǒng)擁有者依靠自身力量，依據(jù)有關(guān)信息安全技術(shù)與管理標準，對自有網(wǎng)絡和信息系統(tǒng)進行風險評估的活動。該網(wǎng)絡和信息系統(tǒng)的擁有者通過自評估隨時掌握其安全狀況，不斷調(diào)整安全措施，有效地進行安全控制。其優(yōu)點是有利于自身系統(tǒng)的保密性，發(fā)揮行業(yè)和本部門專業(yè)人員的業(yè)務專長，降低了風險評估的費用，提高了本單位風險評估能力。

檢查評估

檢查評估通常是由政府安全主管機關(guān)或本單位的上級主管機構(gòu)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的、具有強制意味的檢查活動，是經(jīng)過行政手段加強信息安全的重要措施。其優(yōu)點是這種形式具有權(quán)威性。

自評估和檢查評估都可以通過信息安全風險評估的服務機構(gòu)提供咨詢、培訓及相關(guān)工具，目前建議主要采用自評估形式，以保證本單位信息的保密性、完整性和可用性。它也是檢查評估的基礎和必要條件。

按照國信辦2006年5號文件的要求，在網(wǎng)絡與信息系統(tǒng)的設計、驗收、運行維護階段，以及當安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時均應及時進行信息安全風險評估。

在風險評估過程中，應以本單位的業(yè)務為核心，圍繞相關(guān)信息資產(chǎn)（如計算機網(wǎng)絡設備、應用系統(tǒng)、數(shù)據(jù)庫等）及價值，對其所面臨的威脅、所具有的弱點和已有的安全控制措施展開分析工作。

風險評估是信息安全管理體系的基礎，信息安全風險管理的主要工作就是要發(fā)現(xiàn)風險，并在有限的資源下，進行削減風險或控制風險。只有建立信息安全管理體系，并有效地進行安全風險管理與控制，才能真正保護本單位的利益，并在安全事件發(fā)生的時候，最大限度地減少經(jīng)濟損失和負面影響。

三、目前需解決的問題

目前信息安全風險評估工作在我國尚處于起步階段，各地開展和重視此項工作的程度也不盡相同，一些單位的網(wǎng)絡安全還處于亞健康狀態(tài)，需要強化信息安全管理意識，并注意解決以下幾方面的問題：

1．建立健全管理體制

依據(jù)國家在信息安全管理方面的法律、法規(guī)、標準和規(guī)范，建立安全管理制度，通過對安全評估和實施整改等各環(huán)節(jié)的監(jiān)督管理，層層落實安全管理責任制，形成完善的信息安全管理體系。

2．保障資金投入

努力保障信息安全資金的投入，充分發(fā)揮信息安全保障資金的使用效益，認真分析信息安全風險評估的結(jié)果，既要保障安全，又不能因保護過度造成資金浪費。

3．聚集技術(shù)和管理人才

注意聚集和培養(yǎng)熟悉并有能力進行信息安全風險評估的技術(shù)人員，尤其是注意吸收那些既懂管理又懂技術(shù)的專業(yè)風險評估人才，形成一支信息安全風險評估專業(yè)隊伍。

篇7

關(guān)鍵詞：安全生產(chǎn)風險管理體系 ， 作業(yè)風險評估與控制 ， 安全督查 ， 電力企業(yè)

Abstract: with the southern power grid issued safety production risk management system as the basis, combined with the electric power enterprise safety supervision department management status, protecting the safety of electric analysis the problems, and to work in risk assessment and control of the introducing the basic idea, and points out that the operation risk assessment and control in power of protecting the safety of the applications of the necessity, and expounds the application of the method.

Key words: production safety risk management system and operation risk assessment and control, safety supervision, the electric power enterprise

中圖分類號： X820.4文獻標識碼：A文章編號：

1引言

1.1電力安全督查現(xiàn)狀

電力企業(yè)安全監(jiān)察部門人員編制有限，但要督查的覆蓋面很廣，難以對企業(yè)的方方面面都督查到位，只能有側(cè)重、有目的地開展督查，但是沒有脫離“運動式”、“救火式”的督查模式。

首先，安全監(jiān)察部門督查的范圍較廣，督查的內(nèi)容錯綜復雜。例如某個地市局的供電企業(yè)，安全監(jiān)察部門一般只有十來人，實際開展現(xiàn)場督查工作的一般就2-3人，但是督查范圍可能涉及到整個城市的各個角落，主要包括電力生產(chǎn)（包括輸變電、供電、調(diào)度、檢修、試驗等）和電力建設（包括輸變電、配電工程的設計、施工、調(diào)試和監(jiān)理等）工作場所，尤其電網(wǎng)企業(yè)的外施工單位現(xiàn)場作業(yè)較多，一天甚至有幾十個施工同時開展，就算安全監(jiān)察部門全部人員出動也覆蓋不了所有的督查范圍。

其次，安全監(jiān)察部門選擇有所側(cè)重地開展安全督查，但選擇的側(cè)重點不合理、不科學。例如一天內(nèi)有幾十個施工現(xiàn)場，只能選擇某些施工現(xiàn)場進行督查，但是選擇的過程更多的是憑督查人員的感覺、經(jīng)驗，或者對外施工單位印象的好壞，沒有制定科學、合理的督查計劃。

最后，供電企業(yè)各個部門、班組的員工都普遍存在一種錯誤的認識，認為安全生產(chǎn)管理主要是安全監(jiān)察部門的事情，與自己無關(guān)或者關(guān)系不大。各部門不能正確樹立安全生產(chǎn)責任主體意識，對開展安全生產(chǎn)管理工作缺乏積極性、主動性，存在較大的惰性。安全生產(chǎn)更多的是停留在口頭上、會議上、文件上。相關(guān)部門、班組即使發(fā)現(xiàn)了事故隱患也心存僥幸，不愿投入精力去整改落實。最終，安全監(jiān)察部門通過督查發(fā)現(xiàn)的問題，相關(guān)部門不一定愿意配合整改；同時，部門、班組員工也不會主動去發(fā)現(xiàn)問題、整改問題。這樣，安全生產(chǎn)管理就成了“運動式”、“救火式”的管理模式。

1.2作業(yè)風險評估與控制的思路

風險管理是指通過識別、衡量、分析風險，并在此基礎上有效地控制風險，用經(jīng)濟合理的方法來綜合處置風險，實現(xiàn)最大安全保障的科學管理方法。電網(wǎng)企業(yè)在大力推行的安全生產(chǎn)風險管理體系，其核心就是風險管理，通過應用規(guī)范、動態(tài)、系統(tǒng)的方法去識別及評估企業(yè)安全生產(chǎn)過程中的風險，制定風險控制措施，實現(xiàn)風險的超前控制，把風險降低到可接受的程度。

作業(yè)風險評估是電網(wǎng)企業(yè)風險管理的重要組成部分，主要是針對作業(yè)任務執(zhí)行過程進行危害辨識和風險評估，目的是掌握危害因素在各工種的分布以及各工種面臨風險的大小，并制定有效的風險控制方案，避免和減少事故及其損失。風險管理與過去的作業(yè)安全管理最大的不同在于，通過作業(yè)風險評估實現(xiàn)了風險的量化，將風險進行分級管理，對較高風險的作業(yè)制定了風險控制措施并開展后續(xù)整改行動。

2作業(yè)風險評估與控制在電力安全督查中的應用

2.1應用的必要性

安全管理的實質(zhì)是風險管理。建立安全生產(chǎn)風險管理體系，是電網(wǎng)安全生產(chǎn)面臨形勢和任務的要求，是國家電網(wǎng)公司安全生產(chǎn)“三個管理體系”（安全風險管理體系、應急管理體系、事故調(diào)查體系）建設的重點，也是南方電網(wǎng)公司中長期發(fā)展戰(zhàn)略的重要內(nèi)容，對于形成安全生產(chǎn)預防機制，規(guī)避和化解安全風險，保障電網(wǎng)安全發(fā)展，促進電網(wǎng)企業(yè)平安和諧，具有重要的作用和意義。

傳統(tǒng)的安全管理方式是在經(jīng)驗的基礎上對安全生產(chǎn)工作的一些具體的要求和規(guī)范，對安全生產(chǎn)工作沒有應有的宏觀指導意義和促進作用，只是對一個歷史階段的安全生產(chǎn)工作在經(jīng)驗方面的具體反映，總是滯后于經(jīng)濟建設對安全生產(chǎn)工作需求，在一定程度上制約和阻礙著安全生產(chǎn)的發(fā)展。而安全生產(chǎn)風險管理體系以風險控制為主線，提出風險控制與管理內(nèi)容，關(guān)注事前的風險分析與評估，超前控制風險，把安全防范的關(guān)口前移，實現(xiàn)動態(tài)的、主動和超前的安全生產(chǎn)風險管理，解決安全生產(chǎn)“管什么、怎么管，做什么、怎么做”的問題，它從管理理念、內(nèi)容和方法上確保安全生產(chǎn)風險可控、在控。

作業(yè)風險評估與控制是安全風險管理體系的核心內(nèi)容，是實現(xiàn)安全防范關(guān)口前移，超前控制風險的重要方法與手段。通過引入作業(yè)風險評估的方法，可以有效地解決電網(wǎng)企業(yè)安全監(jiān)察部門在安全管理和督查工作中的各種問題。首先，安全監(jiān)察部門督查范圍廣，難以覆蓋全面，從而選擇有所側(cè)重地開展安全督查，作業(yè)風險評估方法可以幫助監(jiān)察部門更好的選擇督查的側(cè)重點。因為作業(yè)風險評估工作要求對電網(wǎng)企業(yè)所有的作業(yè)任務進行全面的基準風險評估，已經(jīng)全面辨識了作業(yè)過程中可能存在的危害，通過參考作業(yè)風險評估的結(jié)果，自然能夠知道什么作業(yè)任務風險較大，作業(yè)任務執(zhí)行過程中，存在什么危害，作業(yè)的哪些步驟風險較大等，從而將風險較大的作業(yè)任務作為安全督查的重點。其次，作業(yè)風險評估工作強調(diào)全員參與，除了執(zhí)行作業(yè)任務的員工要直接參與作業(yè)風險評估以外，員工的領導以及相關(guān)管理者也要參與風險評估的研討，掌握面臨風險的大小及分布。各部門通過參與風險評估，知道風險與自己的密切關(guān)聯(lián)，風險并不是安全監(jiān)察部門的風險，如果自己不主動去防范，風險可能會給本部門和個人帶來巨大損失和傷害。所以，將作業(yè)風險評估與控制與安全管理和督查結(jié)合起來，將會提升電網(wǎng)企業(yè)的安全管理水平，促使安全督查更富有針對性，能夠更好地對作業(yè)風險進行預防和控制，真正實現(xiàn)安全防范關(guān)口前移、風險超前控制。

2.2應用的方法

如何將作業(yè)風險評估與控制與安全督查更好的結(jié)合起來，使作業(yè)風險評估結(jié)果更好的為安全督查服務，是一個需要不斷摸索、探討并且逐漸深化的過程。這里根據(jù)現(xiàn)場安全督查的流程對應用的方法做了以下探索：

（1）基于風險制定督查計劃。安全監(jiān)察部門要收集作業(yè)風險評估概述、相關(guān)生產(chǎn)部門的停電作業(yè)信息及相關(guān)風險情況等，并根據(jù)收集的資料、信息制定督查計劃（年、月、周計劃），將督查的重點放在風險較高的作業(yè)任務上。因督查涉及各專業(yè)現(xiàn)場工作，督查自身存在相關(guān)風險，以及現(xiàn)場安全督查工作可能會對現(xiàn)場作業(yè)帶來新的風險，所以督查工作還要保障督查人員的人身安全和不影響作業(yè)安全。一是制定計劃同時要結(jié)合季節(jié)性特點和環(huán)境開展風險辨識與評估，重點落實防止交通事故、車輛突發(fā)故障、高空落物打擊、地面物體傷害、起重傷害、誤觸碰設備等措施，充分應用到現(xiàn)場督查當中。二是督查人員在現(xiàn)場發(fā)現(xiàn)違章行為時，要采用適當?shù)拇胧┘m正，防止糾正行為給作業(yè)帶來新的風險。

（2）應用作業(yè)風險評估的方法進行現(xiàn)場督查。首先根據(jù)作業(yè)風險評估的結(jié)果制定督查表格，將現(xiàn)場作業(yè)的風險進行排序，實行分級管理，重點檢查風險較高的作業(yè)。其次，督查過程綜合運用查人員、查資料、查設施、查現(xiàn)場等方式，通過考問、檢查、觀察和演示示范等多種形式相結(jié)合，除了對作業(yè)風險評估結(jié)果與現(xiàn)場作業(yè)情況進行對照驗證外，還可以根據(jù)作業(yè)風險評估的方法和思路對作業(yè)現(xiàn)場進行觀察，補充完善作業(yè)風險評估的實踐庫。

（3）督查發(fā)現(xiàn)問題反饋作業(yè)部門、班組，指出作業(yè)風險評估中的不足，要求完善作業(yè)風險評估實踐庫，以便下次作業(yè)時更好的對作業(yè)風險進行控制。同時要加強對補充的作業(yè)風險的培訓教育，讓員工充分認識到作業(yè)存在的風險并有意識地采取措施進行控制。

（4）以作業(yè)風險評估方法中對作業(yè)危害、風險的分類方法對督查數(shù)據(jù)進行歸類、統(tǒng)計和分析。通過統(tǒng)計分析督查過程中發(fā)現(xiàn)的問題，收集作業(yè)危害和風險數(shù)據(jù)，作為下一年度作業(yè)風險評估回顧修訂或者作業(yè)風險評估動態(tài)更新的數(shù)據(jù)來源。過去督查統(tǒng)計分析更多的是關(guān)注不同類型違章的統(tǒng)計分析，沒有關(guān)注違章背后的作業(yè)風險的分析，從而不能更好的制定風險預控措施，實現(xiàn)風險的超前控制。

3結(jié)語

篇8

一、如何看待安全預算

安全預算是各類企事業(yè)單位為保護信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預防行為。安全預算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網(wǎng)絡安全事件仍然是呈現(xiàn)遞增趨勢。從安全預算角度分析原因：一是預算不足；二是預算不到位。

在國外，安全投入占企業(yè)基礎建設投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。從風險的角度看，就是要平衡成本與風險之間的關(guān)系，用一百萬美金保護三十萬的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價值超過了一千萬美金，產(chǎn)生的效益就顯而易見，目前用一個量化的方法來計算信息化建設對于戰(zhàn)略發(fā)展的貢獻確實比較難。一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預算可能就會被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預算部門的責任。安全預算到底夠不夠？我們可以通過宏觀的情況來分析一下風險與成本的關(guān)系，每年全球因安全問題導致的網(wǎng)絡損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)百億美元的經(jīng)濟損失，然而安全方面的投入?yún)s不超過幾十億美元。由此可以看出，我國整體信息化建設，安全預算不足。

一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學的管理體系支持，都是導致這種結(jié)果產(chǎn)生的原因。

二、 科學制定安全預算

信息安全的預算如何制定？其實要解決的就是預算多少和怎么用的問題。說安全預算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學的量化的輸入得出具體的預算費用。安全預算是否合理，應該關(guān)注以下幾個方面：（1）是否“平衡”了成本與風險的關(guān)系；（2）是否真正用于降低或者消除信息安全風險，而不是引入了新的不可接受風險；（3）被關(guān)注的風險是否具有較高的優(yōu)先等級。

信息安全風險評估恰恰解決了以上問題，通過制定科學的風險評估方法、程序，對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進行評估，得出面臨的風險，然后針對不同風險制定相應的處理計劃，提出所需要的資源，從而利用風險評估輔助安全預算的制定。

三、 風險評估過程

目前國際和國內(nèi)都有一些比較成熟的風險評估標準及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內(nèi)的信息資產(chǎn)；（3）識別對于這些資產(chǎn)的威脅；（4）識別可能利用這些威脅的薄弱點；（5）識別信息資產(chǎn)的損失給單位帶來的影響；（6）識別威脅時間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計算風險；（8）確定風險等級及可接受風險的等級。

篇9

關(guān)鍵詞：安全；風險；體系；評估；控制

中圖分類號：F426.61 文獻標識碼：A 文章編號：1674-7712 （2014） 12-0000-02

電力企業(yè)的安全生產(chǎn)事關(guān)國計民生。電力企業(yè)長期不懈地狠抓安全生產(chǎn)，但安全事故依然頻頻發(fā)生，始終無法根除。如何采取措施從根本上做好安全生產(chǎn)管理，已成為企業(yè)重點關(guān)注的焦點。本文在分析了當前電力企業(yè)全文化，重點介紹了安全生產(chǎn)風險管理體系的應用，并就如何做好體系建設展開探討。

一、當前電力企業(yè)安全文化思考

據(jù)調(diào)查，企業(yè)生產(chǎn)過程中出現(xiàn)的事故95%以上都是違章操作、違章指揮和違反勞動紀律造成的。事故調(diào)查統(tǒng)計表明，安全事故的發(fā)生與個人的行為和素質(zhì)有很大關(guān)聯(lián)，與企業(yè)安全體系是否完善息息相關(guān)。我國電力企業(yè)經(jīng)長期發(fā)展，已形成了企業(yè)內(nèi)部獨特的安全文化，由制度、正策、法規(guī)、規(guī)程、規(guī)范及標準等構(gòu)成了企業(yè)安全生產(chǎn)體系，《電業(yè)安全工作規(guī)程》和“兩票三制”成為了電力企業(yè)安全文化的基石，是指導電力企業(yè)安全生產(chǎn)和保障員工生命安全的法寶，但安全生產(chǎn)事故仍然接連不斷，未能從根本上防范和杜絕，這與電力企業(yè)安全體系建設不足緊密相關(guān)。

第一，電力企業(yè)安全體系不完善，安全文化尚未能充分發(fā)揮作用，在生產(chǎn)活動過程中員工未能自覺遵守規(guī)程、制度。每次發(fā)生電力安全事故后，事故防范措施才得到進一步完善、強化，事故防控手段才更完備，安全處于“亡羊補牢”的被動局面。

第二，風險辨識意識嚴重不足。長期以來，我們大力倡導提高員工安全意識，卻忽略了如何有效辨識生產(chǎn)活動過中各環(huán)節(jié)、每個作業(yè)存在或潛在的危害并形成有效的防控體系。增強安全意識天天講、人人喊，但在生產(chǎn)活動中，如何有效辨識各種危害，從而采取措施避免安全生產(chǎn)事故，如何保證員工的安全意識，值得深思。

第三，企業(yè)對安全文化內(nèi)涵理解不透，風險評估及管控能力不足。長期以來，營造濃厚的安全氛圍，促使員工實行安全自主管理、規(guī)范其生產(chǎn)行為，提高安全技能，形成良好的安全生產(chǎn)環(huán)境，制度管人、流程管事、標準化作業(yè)，成為了電力企業(yè)安全文化的重要內(nèi)涵。但是，生產(chǎn)作業(yè)缺乏系統(tǒng)的風險評估及管控，危害及風險描述空泛、無量化，控制措施針對性不強。

二、為什么要建立安全生產(chǎn)風險管理體系

電力安全風險仍然是企業(yè)面臨的最大風險，生產(chǎn)過程中還存在不少安全問題。風險意識、責任意識和安全基礎工作還需要強化，管理還比較粗放，系統(tǒng)性管理不夠、標準不高、要求不嚴、管理不到位的問題依然存在。解決好這些問題，是把企業(yè)做強做優(yōu)、實現(xiàn)又好又快發(fā)展的重要基礎。安全生產(chǎn)風險管理體系是基于目前安全生產(chǎn)管理現(xiàn)狀和企業(yè)發(fā)展要求而建立的。體系關(guān)注“五要素”（人、系統(tǒng)、設備、環(huán)境、管理）和“安健環(huán)”（安全、健康、環(huán)境），不僅要考慮人的安全，還要考慮生產(chǎn)的安全、系統(tǒng)的安全、設備的安全、環(huán)境對人的影響。從管理理念、管理內(nèi)容、管理方法等方面規(guī)范我們的安全生產(chǎn)管理，提高管理軟實力，既有現(xiàn)實意義，又有戰(zhàn)略意義。體系從風險控制出發(fā)，提出了一套安全生產(chǎn)管理模式和方法，解決安全生產(chǎn)“管什么、怎么管，做什么、怎么做”的問題，它從管理理念、內(nèi)容和方法上確保安全生產(chǎn)風險可控在控。

三、危害辨識與風險評估的特點、作用

開展危害辨識、風險評估與控制，是安全生產(chǎn)風險管理體系建設的主要內(nèi)容。危害辨識滲透著全方位安全管理的思想，“人的不安全行為，物的不安全狀態(tài)、作業(yè)環(huán)境的缺陷和安全健康管理的缺陷”是應用系統(tǒng)科學理論，在體系建立之初所做的一項科學、具體而且必要的工作。風險評估是用可量化的指標，科學評價出危害的風險級別。

危害辨識指辨識出執(zhí)行每一步驟中存在的可能危及人員、設備和企業(yè)形象的危害。操作時應注意一個作業(yè)步驟可能存在多個危害，危害的一般表述形式：“副詞+名詞或動名詞”；風險評估指辨識危害引發(fā)特定事件的可能性、暴露和結(jié)果的嚴重程度，并將現(xiàn)有風險水平與規(guī)定的標準、目標風險水平進行比較，確定風險是否可以容忍的全過程。

危害辨識與風險評估，可以根據(jù)風險評估結(jié)果選擇風險管理工具，制定風險控制計劃，實施風險管理并評價風險管理結(jié)果，其意義在于鑒別潛在和顯露的風險并加以控制，以期預防損失；其次，在損失發(fā)生后采取補償措施，減少損失的危害性，保障安全生產(chǎn)。她能促使安全生產(chǎn)變被動管理為主動管理，將“安全第一、預防為主”理念變成了可操作的具體步驟，使安全和預防兩大任務變成現(xiàn)實。

四、如何開展危害辨識與風險評估

如何有效地遏制事故的發(fā)生，降低事故隱患及存在的風險，開展危害辨識與風險評估，探索實現(xiàn)安全生產(chǎn)的風險防范體系，從事故中汲取經(jīng)驗教訓，落實安全措施，已是電力企業(yè)不可回避的重要問題。

通過開展危害辨識、風險評估，可以最經(jīng)濟合理的方式消除風險導致的各種災害后果；此外，危害辨識、風險評估是職業(yè)安全體系建設的基礎。企業(yè)的安全管理體系運行的主線是風險防范與風險控制的過程，其基礎是危害辨識、風險評估與控制。為了控制風險，企業(yè)必須認真做好以下幾方面工作。

第一，要對企業(yè)所有作業(yè)活動中存在的危害加以識別，然后評價每種危害性事件的風險等級，確定不可承受的風險，再對不可承受的風險予以控制。

第二，對所有辨識的各級各類風險進行量化，并依據(jù)規(guī)程、標準、法規(guī)、企業(yè)狀況等制訂危害和風險防控措施，并一一匯合形成完備的安全作業(yè)防范體系。

第三，必須充分認識到危害辨識、風險評估對電力企業(yè)安全管理的重要作用、長期性、系統(tǒng)性，任務艱巨，必須充分發(fā)揮企業(yè)職工合力、智慧，在企業(yè)生產(chǎn)作業(yè)活動和安全管理中不斷總結(jié)、完善、長期錘煉，才能完成安全體系建設。

第四，為保證危害辨識、風險評估能夠滿足實際需要，電力企業(yè)必須認真做到：

（1）高層領導重視，成立領導實施組織，指定單位內(nèi)的一名高級管理人員負責督促和管理活動；

（2）集思廣益，確定具體計劃，明確責任人、完成期限、督察對象、任務分解、落實階段等具體事項；

（3）確定活動人員對于危害辨識、風險評估的培訓需求，實施適當?shù)呐嘤栍媱潱?/p>

（4）評審評價的充分性，判定評價是否合適、是否充分；

（5）將管理的具體內(nèi)容和評價的重要發(fā)現(xiàn)形成文件。

第五，明確危害辨識、風險評估實施的基本步驟和方法，基本步驟：

（1）確定專業(yè)工種，編制作業(yè)任務；

（2）分解作業(yè)步驟：按照作業(yè)任務執(zhí)行過程的功能進行分解、歸類為若干個功能階段。如“220kV線路停電操作”可分解為操作準備、開關(guān)操作、刀閘操作、二次設備操作、安全措施布置、記錄與歸檔等幾個步驟；分解作業(yè)步驟時，一般按照完成一個功能單元進行劃分。作業(yè)方法、作業(yè)要求、作業(yè)環(huán)境相一致的幾個功能階段也可以歸納為一個作業(yè)步驟；

（3）辨識危害：辨識與各項業(yè)務活動有關(guān)的主要危害?？紤]會受到傷害的對象以及如何受到傷害；

（4）確定風險：在假定計劃或現(xiàn)有計劃的措施適當?shù)那闆r下，對各項危害有關(guān)的風險做出主觀評價。評價人員還應考慮控制的有效性以及一旦失敗所造成的后果；

（5）確定風險等級，進行評分，按分值大小明確風險是否可承受；

（6）制定風險控制措施：編制控制措施以處理評估中發(fā)現(xiàn)的、需要重視的任何問題，組織應確保新的和現(xiàn)行控制措施的適當和有效；

（7）建議措施的采納：根據(jù)經(jīng)濟分析判斷結(jié)果以及現(xiàn)場的可操作性、適宜性、資源情況等綜合進行判別后確定建議的措施是否采納；

（8）形成風險評估報表庫：根據(jù)危害辨識與風險評估結(jié)果，填寫“風險評估報表”，形成單位、部門、班組級的風險概述庫，作為班組現(xiàn)場工作、編制作業(yè)指導書、標準作業(yè)程序卡、工作方案的依據(jù)。

五、結(jié)束語

風險管理建設已成為現(xiàn)代電力企業(yè)安全體系建設的重要內(nèi)容，危害辨識與風險評估控制是風險管理的核心，是提高企業(yè)安全健康管理水平的必然選擇，可使“安全第一、預防為主”理念變?yōu)楝F(xiàn)實，提高企業(yè)經(jīng)濟效益，保障員工在電力企業(yè)作業(yè)活動的生命安全。

參考文獻：

篇10

風險評估技術(shù)常用的工具一般有滲透測試工具和脆弱性掃描工具。滲透測試工具一般常使用人工結(jié)合滲透測試工具進行，常用的Web滲透測試工具有IBMAppScan、AWVS、HPWEBinspect，通常需對漏洞進行人工驗證，以確定漏洞準確性。脆弱性掃描工具主要用于評估網(wǎng)絡或主機存在的系統(tǒng)漏洞，常見工具有Nessus，能對主機、網(wǎng)絡設備、安全設備進行掃描并形成脆弱性報告。此外，在風險評估過程中，除了利用上述工具來發(fā)現(xiàn)系統(tǒng)風險外，還需要利用系統(tǒng)現(xiàn)有數(shù)據(jù)來進行現(xiàn)狀分析和趨勢分析，這其中常用的手段有：入侵檢測日志分析、主機日志分析、應用系統(tǒng)日志分析、主機/網(wǎng)絡檢查表等。

風險評估流程

1總體流程

根據(jù)風險評估中包含的各個要求，要分別進行實施，整體的風險評估流程如圖3所示。

2風險評估準備階段

通過做好準備工作，能夠大大提升風險評估的效果，降低項目實施風險，該階段是風險評估整個過程的重要組成部分。風險評估準備階段一般應包含如下工作內(nèi)容：明確風險評估范圍、確定風險評估目標、組建項目團隊、設定系統(tǒng)性風險評估方法、整體風險評估方案獲得高層批準。

3資產(chǎn)識別階段

資產(chǎn)識別主要針對現(xiàn)有的信息資產(chǎn)進行分類識別和描述，在識別的基礎上從信息安全的角度，機密性、完整性和可用性對其進行賦值，確定信息資產(chǎn)的價值，作為影響分析的基礎，典型資產(chǎn)類別可以分為：網(wǎng)絡設備、服務器、終端、安全設備、物理環(huán)境、業(yè)務系統(tǒng)、數(shù)據(jù)、文檔、組織和人員等。

4脆弱性識別

脆弱性評估常被稱作弱點評估，是風險評估的重要工作，通過脆弱性評估能夠發(fā)現(xiàn)信息資產(chǎn)存在的弱點。弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。弱點包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性分類可分為技術(shù)脆弱性和管理脆弱性，其中技術(shù)脆弱性又可以細分為：物理安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全5個方面。

5威脅識別

威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。

環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。對威脅識別的簡單方法就是對威脅進行分類，針對不同的威脅，可以根據(jù)其表現(xiàn)形式將威脅識別分為以下幾類：軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或濫用、網(wǎng)絡攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來源，然后分析存在哪些威脅種類，最后做出威脅來源和威脅種類的交叉表進行威脅賦值。

6風險分析

風險分析中要涉及資產(chǎn)、威脅、脆弱性3個基本要素，每個要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。

風險評估的主要內(nèi)容

信息安全風險評估包含的內(nèi)容涉及信息安全管理和技術(shù)，同時包括網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)等不同的技術(shù)層面，但根據(jù)保險行業(yè)的特定需求，總體定位在網(wǎng)絡設備和網(wǎng)絡架構(gòu)方面的技術(shù)評估。主要內(nèi)容包括：

1)信息資產(chǎn)的調(diào)查，主要針對網(wǎng)絡拓撲，網(wǎng)絡設備和服務器設備等。

2)網(wǎng)絡架構(gòu)弱點評估，針對目前的網(wǎng)絡拓撲圖進行弱點分析。

3)網(wǎng)絡設備和服務器系統(tǒng)弱點評估，針對設備目前的系統(tǒng)配置進行分析，確認其是否達到應有的安全效果，結(jié)合滲透測試的手段。

4)現(xiàn)有安全控制措施，通過分析目前的安全控制措施，綜合總結(jié)網(wǎng)絡架構(gòu)和設備的弱點。

5)整體網(wǎng)絡威脅和風險分析，綜合分析網(wǎng)絡中面臨的威脅和可能的風險，形成總體安全現(xiàn)狀。

6)建議安全措施和規(guī)劃。根據(jù)風險評估的成果和建設目標，形成建議的安全措施和時間進度，建立1-2年的信息安全規(guī)劃。

項目實施成果

根據(jù)以上工作內(nèi)容，項目的最終成果包括：

1)信息資產(chǎn)清單和分析結(jié)果。清晰明確系統(tǒng)和網(wǎng)絡信息資產(chǎn)，明確其機密性、完整性和可用性的安全目標，同時確定資產(chǎn)的重要類別；必要時可以建立內(nèi)部的信息資產(chǎn)庫。

2)系統(tǒng)和網(wǎng)絡脆弱性報告。明確服務器系統(tǒng)、網(wǎng)絡設備、網(wǎng)絡結(jié)構(gòu)和安全設備可能存在的弱點。

3)系統(tǒng)和網(wǎng)絡威脅報告。根據(jù)已有的弱點分析目前可能面臨的威脅和威脅發(fā)生后對業(yè)務、系統(tǒng)和網(wǎng)絡造成的影響。

4)安全現(xiàn)狀報告?；陲L險的安全現(xiàn)狀總體分析報告，明確目前的網(wǎng)絡安全風險。

5)建議安全措施和規(guī)劃。從技術(shù)和管理的角度提出后期進行系統(tǒng)建設的安全控制措施。

結(jié)語