安全風險評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全風險評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:安全風險評估范文
信息安全問題不僅是技術原因引起,它還涉及人及社會。從社會學的觀點來看,只有依靠科學有效的管理和有著良好信息安全技能的人,實施綜合規范的保障手段,才能取得良好的效果。而在這一過程中,信息安全風險評估逐漸成為關鍵環節。
人們對于信息安全概念的認識,經歷了一個從保密到保護,又發展到保障的趨近真理的發展過程。這是因為信息安全問題不僅僅是技術原因引起的,它還涉及到人以及社會。因此,只靠技術是不能有效地解決信息安全問題的。從社會學的觀點來看,只有依靠科學有效的管理和有著良好信息安全技能的人,實施綜合規范的保障手段,才能取得良好的效果。而在這一過程中,信息安全風險評估逐漸成為關鍵環節。
從2003年7月至今,我國信息安全風險評估工作大致經歷了三個階段,即調查研究階段、標準編制階段和試點工作階段。
歷時兩年、經過調查研究、標準編制和試點工作三個階段,目前,我國信息安全風險評估工作已取得階段性的成果,此間也是《關于開展信息安全風險評估工作的意見》政策文件,以及《信息安全風險評估指南》和《信息安全風險管理指南》兩項標準歷經醞釀、形成到不斷完善的三個時期。
信息安全風險是人為或自然的威脅利用系統存在的脆弱性引發的安全事件,并由于受損信息資產的重要性而對機構造成的影響。而信息安全風險評估,則是指依據國家風險評估有關管理要求和技術標準,對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。通過對信息及信息系統的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析,判斷脆弱性被威脅源利用后可能發生的安全事件以及其所造成的負面影響程度來識別信息安全的安全風險。
信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制。沒有準確及時的風險評估,將使得各個機構無法對其信息安全的狀況做出準確的判斷。所以,所謂安全的信息系統,實際是指信息系統在實施了風險評估并做出風險控制后,仍然存在可被接受的殘余風險的信息系統。因此,需要運用信息安全風險評估的思想和規范,對信息系統展開全面、完整的信息安全風險評估。
信息安全風險評估在信息安全保障體系建設中具有不可替代的地位和重要作用。風險評估既是實施信息系統安全等級保護的前提,又是信息系統安全建設和安全管理的基礎工作。通過風險評估,能及早發現和解決問題,防患于未然。當前,尤其迫切需要對我國信息化發展過程中形成的基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統進行持續的風險評估,隨時掌握我國重要信息系統和基礎信息網絡的安全狀態,及時采取有針對性的應對措施,為建立全方位的國家信息安全保障體系提供服務。
第2篇:安全風險評估范文
關鍵詞:三鼓成型機 風險識別 風險評估
中圖分類號:X941 文獻標識碼:A 文章編號:1674-098X(2013)05(c)-0062-01
1 選題的背景
在企業中,中國因機械傷害占工礦商貿企業中49.3%,約占全國死亡總數的比例6.4%。根據推測計算出中國因機械傷害導致的死亡人數為0.63萬人。根據相關研究報告采用1:23:350[1]的死亡、重傷、輕傷比例,以0.63萬人為基礎,推測出我國因機械傷害導致的重傷、輕傷人數為14.49萬人、200.5萬人[2]。如此多的傷亡事故的發生,就可能毀了許多人、許多家庭的幸福,甚至關系到全社會的命脈。
機械安全問題需得到重視,為實現機械安全操作,世界各國都在出相關的機械安全標準化來規范。近年來,世界各國的機械安全標準紛紛向國際標準(或歐洲標準)靠攏,以實現國際間機械安全標準化的一致性。
對于輪胎行業來說,因機械的運轉,每年都會出很多事故,多是肢體傷殘,甚至死亡事故。事故發生后,嚴重影響了設備的生產效率,要停臺整頓。據日本勞動科學研究的調查,在工程機械安全事故中,有97%的事故發生率是可以采取預防措施加以防范的。安全能出效益,這也是安全風險評估的價值所在。
本文將以杭州朝陽輪胎股份有限公司成型工序的三鼓成型機為背景,淺述對其進行整體的安全進行風險評估,并提出降低風險的措施,使成型機風險水平控制在規定水平之內,以實現安全標準化生產,提高設備的本質安全。
2 三鼓成型機安全風險評估
2.1 風險分析的步驟
2.1.1 機器的限制
第一步是定義機器的限制,包括空間限制、時間限制和使用限制。該過程包括收集和分析有關機器零件、機構和功能的信息。
2.1.2 危險識別
第二步是危險識別,應針對機器全壽命周期的各個階段以及機器在各種工作模式下的各種相關任務,識別出所有可合理預見的危險。
根據現場調研三鼓成型機的各工位,拍出照片,根據預評估,該機器存在的主要危險源及存在風險為:
胎體貼合鼓
卸胎區域
帶束層鼓及成型鼓
PA/BP輸送帶
胎體傳遞環后部區域
帶束層供料架及導開/卷取工位
供料模板的氣缸上/下工作
胎胚定型滾壓、反包階段
后壓小車裝置等。
2.1.3風險評量的方法
評價方法是基于Pilz的標準和經驗,因素的評價,造成傷害的程度(DPH),危險的發生概率(PO),躲避危險的概率和頻率(PA)或者暴露在危險中的持續時間(FE)等體現在每個危險相關的風險。危險等級(PHR)由以下公式來計算:
PHR=PO×PA×DPH×FE
3 三鼓成型機的降低風險的措施
根據基本標準EN ISO 12100和EN ISO 14121,EN ISO 13849:2008(機器安全-控制系統部件的安全),通過安裝電子的和機械非電子解決方案來降低風險,保護操作人員免受風險的威脅。以下從風險評估的流程、風險等級的確定、降低風險的優先順序三個方面來闡述降低風險的措施與方法。
3.1 風險等級的確定
如圖1。
3.2 降低風險的順序
⑴ 本質安全設計
操作人員和危險源不在同一區域內的設計。
減少要去掉銳利的邊、角、突起物;減小驅動力、減緩轉速,防止手指等進入,盡可能縮小開口/可動范圍。
(2)安全防護對策
通過空間與時間上進行分離,加裝隔離防護等。
(3)通過補充措施降低風險
通過加裝電氣安全裝置,如緊急停止裝置,安全光柵、安全地毯、安全門、安全掃描儀、安全邊緣開關、拉繩開關等。
(4)通過信息降低風險
通過加裝光、聲警示與標簽提示,來降低風險。
3.3 三鼓成型機降低風險措施
通過安裝電子的和機械非電子解決方案來降低風險,保護操作人員免受風險的威脅,將成型機風險水平控制在規定水平之內。
4 結語
該文依據國際機械安全標準,通過對三鼓成型機實施安全風險評估,可幫助輪胎企業與成型機制造企業對成型機全面識別風險,有利于將成型機風險水平控制在規定水平之內,并對風險做出正確、合理的決策。通過圖文并茂等形式,給了對成型機風險評估,危險識別,并采相應措施起到一定的參考作用。通過對設備進行安全風險評估,能有效消除機械設備不安全狀態,我們就能有效地預防機械傷害事故的發生。
參考文獻
第3篇:安全風險評估范文
關鍵詞:網絡安全 風險評估 方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)11-0210-01
1 網絡安全風險概述
1.1 網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2 網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。
1.3 風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2 網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1 網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2 風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3 安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3 結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
第4篇:安全風險評估范文
關鍵詞:大型活動
公共安全
風險評估
1.大型活動公共安全問題分析
1.1大型活動的界定及類型
所謂“大型活動”,是指由單位(社團)主辦或政府組織,在特定時間內面向社會臨時占用或租用公共場所舉辦的,由不特定的多數人參加的公共活動。
1.2公共安全的涵義與特點分析
公共安全,是指公眾的安全。具體來說是指社會公眾享有安全和諧的生活和工作環境以及良好的社會秩序,公眾的生命財產、身心健康、民利和自我發展有安全的保障,最大限度的避免各種災難的傷害。1
2.影響大型活動公共安全的風險因素分析
2.1對“風險”的認識
通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發生的機會,它通過后果和可能性這兩個方面來具體體現。風險概念中包括三個因素:對可能發生的事件的認知;該事件發生的可能性;發生的后果。
2.2大型活動公共安全的風險因素探究
第一,大型活動的主要特點之一就是人員多,同時這些人員還處于分散狀態,組織性很差,但又在一定時間內高度集中,往往使活動場地處于飽和狀態。
第二,大型活動舉辦所使用的公共場所是人員高度集中,流動性大的城市公共場所。在建筑形式上,大型公共場所一般空間高、跨度大、面積大,多為封閉式建筑,疏散出口少,無窗和固定窗結構多。
第三,大型活動的順利舉行有賴于場所外交通的順暢。若舉辦地點的交通堵塞,人群滯留,不僅影響了大型活動的正常進行,還會引發一系列的安全問題。成為影響大型活動公共安全的風險因素。
第四,周邊治安環境的好壞直接影響著大型活動開展的質量。
第五,突發性事件是影響大型活動的重要因素。突發性事件因其突發性、不確定性、破壞性、緊迫性等對大型活動產生了巨大的安全隱患。
第六,當前世界上的民族沖突、地區沖突、宗教沖突、文化價值觀沖突呈現尖銳態勢,一些恐怖組織采取恐怖手段,擾亂社會治安、傷害無辜百姓,尤其在大型活動的舉行期間,更加容易利用活動的高影響力來實施報復性的恐怖活動。
第七,人類目前面臨著嚴重的生態環境問題,自然災害頻頻發生。
3.大型活動公共安全風險評估的重要意義
第一,風險評估是實現大型活動公共安全管理社會化的關鍵工作,它使更多的利益主體被納入到評估體系中來,共同解決大型活動公共安全管理問題,從而形成利益風險的共享分擔合理機制。
第二,風險評估能夠幫助公共安全管理科學準確地把握風險及可能出現的危機和危害,以此提高預防和處理突發安全事件的能力,為大型活動舉辦創造安全環境。
第三,風險評估的結果能有效的保證大型活動的順利舉行,而且還能有效的避免出現安保人員不夠或者缺失的現象。
第四,風險評估順應了大型活動公共安全管理模式改變的潮流。
4.我國大型活動公共安全風險評估工作的現狀
4.1我國公共安全風險評估問題提出的背景
隨著經濟的發展,社會的進步,大型活動舉辦的規模會越來越大,涉及面也越來越廣。
現今安全領域出現了公共資金短缺,資源緊張等現象,政府已經無力再管。只有引入私人資本,調動公共組織的積極性進行風險評估,才是解決各種安全問題的有效途徑。
2005年9月9日北京市第12屆人大常委會第22次會議審議通過了《北京市大型社會活動安全管理條例》也促進了大型活動的風險評估的發展。
4.2我國開展公共安全風險評估工作基本情況
國內現有公共安全評價活動,人口級的有自然災害、流行疾病、交通事故、環境損失、安全生產、兒童營養監測等,項目級的有艾滋病干預、煤礦安全生產整改、消防火災審核、食品毒物控制、生殖健康促進評估等。其中,一部分評價方法與指標已經實現國際對接,具有很好的公信力;另一部分評價方法和體系尚處于發育階段,效果有待檢測。2
4.3我國開展公共安全風險評估工作的主要問題
第一,公共安全風險評估研究不夠,理論框架不完善。第二,尚未建立可以使用的大型活動災害數據庫,歷史數據使用效率低。第三,風險評價指標體系建立不完善,評價方法多依賴專家打分。第四,大型活動的前期情報收集不充分。
5.大型活動公共安全風險評估的理論和方法
5.1風險管理涵義
風險管理是管理者選擇與貫徹安全措施的過程,以便以可以接受的投入,使風險控制在一定的可接受的水平之內。其過程包括了對風險的識別、衡量和科學的決策。3
5.2風險評估的主要方法簡介
面對著嚴峻的人口與社會風險問題,聯合國、國際NGO、外國政府以及國外一些研究機構,基于監測、描述和解釋國際社會公共安全的需要,在研究和實踐中設計了一系列公共安全評估框架①。
目前常見的自動化風險評估工具包括:COBRA——COBRA(Consultative,Objective and Bi-functional Risk Analysis)風險分析工具軟件、CRAMM——CRAMM(CCTA Risk Analysis and Management Method)定量風險分析工具、ASSET——ASSET(Automated Security Self-Evaluation Tool)安全風險自我評估的自動化工具、CORA——CORA(Cost-of-Risk Analysis)風險管理決策支持系統。
6.完善我國大型活動公共安全風險評估工作的設想
6.1納入法制軌道
雖然我國現階段出臺了一些大型活動的法律法規。如公安部的《群眾性文化體育活動治安管理辦法》,北京市的《北京市大型社會活動安全管理條例》等。但我國大型活動公共安全的風險評估工作目前處于起始階段,好多評估工作還不很規范,所以,建立相關的法律體系,使大型活動的風險評估不再是個別的不規范現象,而是將其納入法律體系,確保評估有法可依,有規可循。
6.2建立健全責任體系
6.2.1行政審批
主管機關具有風險評估的行政審批權力,主要負責提出、制定并批準提出申請單位的信息安全風險管理策略,領導和組織安全評估工作。
6.2.2組織協調
大型活動的信息系統擁有者具有風險評估的組織協調權力,將負責制定安全計劃,報主管機關審批;組織實施信息系統自評估工作;配合強制性檢查評估或委托評估工作,并提供必要的文檔等資源;向主管機關提出新一輪風險評估的建議;改善安全防護措施,提出安全保衛計劃。
6.2.3措施整改
大型活動的承辦方應根據風險評估結果修正安全方案,使安全方案成本合理、積極有效,并在方案中有效地控制風險,降低風險出現的幾率;規范活動,減少在在活動舉行階段引入的新風險;確保大型活動的安全性得到相關機構的認證。
6.2.4具體實施
風險評估機構應提供獨立的大型活動安全風險評估;對大型活動中的安全防護措施進行評估,以判斷這些安全防護措施在特定運行環境中的有效性以及實現了這些措施后系統中存在的殘余風險;提出調整建議,以減少或根除大型活動的脆弱性,有效對抗安全威脅,控制風險;保護風險評估中獲得的敏感信息,防止被無關人員和單位獲得。
6.2.5輔助支持
大型活動信息系統的相關機構為風險評估提供輔助支持,遵守安全策略、法規、合同等涉及大型活動風險的安全要求,減少安全風險;協助風險評估機構確定評估邊界;在風險評估中提供必要的資源和資料。
6.3規范風險評估工作
現行的風險評估工作存在評估主體不明確,責任不清晰等問題。所以,要充分發揮中介組織的作用,成立專門的評估機構,使公共組織成為評估主體,并使之脫離政府,獨立的進行公共安全的風險評估工作。
7.結論
可見,大型活動公共安全風險評估是保證大型活動順利進行的有效途徑。針對目前我國風險評估中出現的各種問題,通過本文的分析,我認為要規范大型活動風險評估工作,就要充分發揮公共組織的作用,在此基礎上制定統一的評估標準,消除一場活動一個標準的不規范現象,同時,要建立起大型活動歷史災害數據庫,為風險評估提供必要的參考依據。建立健全責任體系,并形成利益風險共擔機制,將保險公司,保安公司納入到評估體系之中,最大限度地發揮公安機關的指導作用和監督作用,以保證大型活動的順利有序的開展。
參考文獻:
[1]秦穎.論公共產品的本質——兼論公共產品理論的局限性[J].經濟學家,2003.
[2]朱旭東.新農村建設背景下公共安全產品供給的創新[J].國家行政學院學報,2007,(2):37-40.
[3]王光,秦立強,張明.試論政府應急管理的社會合作機制[J].中國人民公安大學學報,2006,(5):118-123.
[4]劉鐵.公共安全與公共管理[J].學習與探索,2004,(5):78-84.
[5]胡小煒.杭州市西湖區2002-2003年公共場所衛生檢測結果[J].浙江預防醫學,2005,(17):34-35.
[6]陳晉,陳志芬,黃崇福,李強著.大型公共場所風險評價研究現狀與展望[J].自然災害學報,2005,(12):16-19.
[7]北京市公安局組團赴法國、希臘考察奧運和大型活動安保工作[R].外事簡報第五期,北京市局辦公室外事,2004-8-2.
[8]龍亮.德國大型活動安保策略及其給我們的啟示[J].北京人民警察學院學報,2006,(1):25-27.
[9]張先來.大型活動消防安全工作重在基礎——從法國2003年世界田徑錦標賽看北京[J].消防技術與產品信息,2004,(3):10-13.
注 釋:
1.吳愛明,公共安全:公共管理不可忽視的社會問題[J].行政論壇,2004,11 (66)
第5篇:安全風險評估范文
關鍵詞:信息安全;風險評估;脆弱性;威脅
1.引言
隨著信息技術的飛速發展,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。
2、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。
網絡信息安全具有如下6個特征:(1)保密性。即信息不泄露給非授權的個人或實體。(2)完整性。即信息未經授權不能被修改、破壞。(3)可用性。即能保證合法的用戶正常訪問相關的信息。(4)可控性。即信息的內容及傳播過程能夠被有效地合法控制。
(5)可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。
而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。
網絡信息安全的風險因素主要有以下6大類:(1)自然界因素,如地震、火災、風災、水災、雷電等;(2)社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;(3)網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;(4)軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;(5)人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;(6)其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
3、安全風險評估方法
3.1定制個性化的評估方法
雖然已經有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據企業的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。
3.2安全整體框架的設計
風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業至少應該完成近期1~2年內框架,這樣才能做到有律可依。
3.3多用戶決策評估
不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。
3.4敏感性分析
由于企業的系統越發復雜且互相關聯,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
3.5評估結果管理
安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統,使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。
4、風險評估的過程
4.1前期準備階段
主要任務是明確評估目標,確定評估所涉及的業務范圍,簽署相關合同及協議,接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。
4.2中期現場階段
編寫測評方案,準備現場測試表、管理問卷,展開現場階段的測試和調查研究階段。
4.3后期評估階段
撰寫系統測試報告。進行補充調查研究,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。
5.風險評估的錯誤理解
(1)
不能把最終的系統風險評估報告認為是結果唯一。
(2)不能認為風險評估可以發現所有的安全問題。
(3)
不能認為風險評估可以一勞永逸的解決安全問題。
(4)不能認為風險評估就是漏洞掃描。
(5)不能認為風險評估就是IT部門的工作,與其它部門無關。
(6)
不能認為風險評估是對所有信息資產都進行評估。
第6篇:安全風險評估范文
關鍵詞 企業網絡安全 網絡安全評估 風險評估 面向運行
一、引言
信息安全不是一個孤立靜止的概念,信息安全是一個多層面的多因素的綜合的動態的過程。在HTP模型中,信息安全建設是從體系建設過程、運行及改進過程、風險評估過程再到體系建設過程的一個循環往復的過程。沒有絕對的安全,信息安全的技術是不斷的前進的。所以面向企業網絡的安全體系建設是一個需要在不斷考察企業自身發展環境和安全需求的基礎上,通過對現有系統的風險評估,不斷改進的過程。整個安全體系統建設,不能一勞永逸,一成不變。因此,引入安全風險評估的概念和方法相當重要,它為企業網絡的自身評估提供了良好的手段,是企業網絡安全體系不斷發展的動力。
二、風險評估的基本步驟和方法
進行風險評估,首先應按照信息系統業務運行流程進行資產識別,明確要保護的資產、資產的位置,并根據估價原則評價資產的重要性。在對資產進行估價時,不僅要考慮資產的市場價格,更重要的是要考慮資產對于信息系統業務的重要性,即根據資產損失所引發的潛在的影響來決定。為確保資產估價的一致性和準確性,信息系統應按照建立一個統一的價值尺度,以明確如何對資產進行賦值。還要注意特定信息資產的價值的時效性和動態性。
其次系統管理員、操作員、安全專家對信息系統進行全面的安全性分析。對系統進行安全性分析的方法包括調查研究、會議座談、理論分析、進行模擬滲透式攻擊等方法,可運用的分析技術包括貝葉斯信任網絡法、事件樹分析法、軟件故障樹分析法、危害性與可操作性分析法、Petri網法、寄生電路分析法以及系統影響和危險度分析法。
再次對已采取的安全控制進行確認。
最后,建立風險測量方法及風險等級評價原則,確定風險的大小與等級。按照風險評估的深度,風險評估方法可分為:①基本的風險評估方法:對組織所面臨的風險全部采用統一、簡單的方法進行評估分析并確定一個安全標準,這種方法僅適用于規模小、構成簡單、信息安全要求不是很高的組織;②詳細的風險評估方法:對信息系統中所有的部分都進行詳細的評估分析;③聯合的風險評估方法:先鑒定出一個信息系統中高風險、關鍵、敏感部分進行詳細的評估分析,然后對其他的部分采取基本的評估分析。
在進行風險評估時,可采用定性或定量分析方法。定性評估時并不使用具體的數據表示絕對數值,而是用語言描述表示相對程度。由此得出的評估結果只是風險的相對等級,并不代表風險的絕對大小。
定量風險分析方法要求特別關注資產的價值損失和威脅的量化數據。對于具體環境的某一個安全風險時間發生的概率是安全威脅發生概率與系統脆弱點被利用概率的函數,根據聯合概率分布計算公式可得出安全事件L發生概率為PL=TL×VL。其中TL是未考慮資產脆弱點因素的威脅發生的發生概率,VL是資產的脆弱點被威脅利用的概率。
目前風險評估工具存在以下幾類:①掃描工具:包括主機掃描、網絡掃描、數據庫掃描,用于分析系統的常見漏洞;②人侵監測系統(IDS):用于收集與統計威脅數據;③滲透性測試工具:黑客工具,用于人工滲透,評估系統的深層次漏洞;④主機安全性審計工具:用于分析主機系統配置的安全性;⑤安全管理評價系統:用于安全訪談,評價安全管理措施;⑥風險綜合分析系統:在基礎數據基礎上,定量、綜合分析系統的風險,并且提供分類統計、查詢、TOPN查詢以及報表輸出功能;⑦評估支撐環境工具:評估指標庫、知識庫、漏洞庫、算法庫、模型庫。
三、面向運行的風險評估
由于還沒有一個標準的建設程序和規范,因此在國內很少有企業在風險評估的基礎上進行系統建設,而且很多情況下選擇將網絡一次性安裝完畢。針對這種情況,我們覺得可以考慮采用面向運行的風險評估的方法,對已經建成的、正在運行的網絡進行風險評估,查找問題,然后針對風險點,逐步加以建設完善。在此基礎上,可對網絡再進行一次風險評估。檢查信息系統安全績效,并為進一步提升安全性能做好準備。對于一個企業來講,網絡可以由多個功能模塊組成,包括核心網絡、服務器組、廣域網、互聯網、撥號用戶等。
1.企業網絡分析
企業園區網絡主要包括核心網絡、分布層網絡、接人層網絡、服務器網絡等幾個部分。各個部分都可能受到來自企業內部的安全威脅。(1)核心網絡,核心網絡主要實現核心交換功能,主要的威脅為分組竊聽。(2)分布層網絡,分布層網絡為接入設備提供路由、服務質量和訪問控制等分布層服務,完成核心網絡與接入網絡的信息交互,它是針對內部發起攻擊的第一道防御。在這個網絡中可能存在未授權訪問、IP電子欺騙、分組竊聽等威脅。(3)接人層網絡,接入層網絡是為企業內部網絡最終用戶提供服務。用戶設備是網絡中最大規模的元素,因此該部分網絡可能存在大量的來自內部網絡用戶的安全威脅。如外來筆記本等不安全機器可接入內部網,對內部網的安全造成威脅,可能造成內部數據的泄露,網絡受到惡意攻擊;企業內部網上使用的電腦擅自撥號上互聯網,造成一機多網,可能感染病毒,受到互聯網上用戶的攻擊;內部網客戶端的安全補丁和殺毒軟件病毒庫沒有及時更新,無法有效地防范病毒,因此有病毒泛濫的風險等。(4)服務器網絡,服務器網絡因為向最終用戶提供應用服務,存儲大量的企業內部數據,通常會成為內部攻擊的主要目標,因此未授權訪問、應用層攻擊、IP電子欺騙、分組竊聽、信任關系利用、端口重定向等威脅時刻存在。
2.確定已經采取的安全控制手段
對于企業園區網應當采取的安全控制手段,在這里我們不做詳細講解。我們要做的就是根據網絡安全管理的設計方案,結合上面確定的風險點,進行檢查,確定在這些風險點上已經采取的安全控制措施,并確保這些措施切實有效。比如:(1)防火墻設置是否安全;(2)防火墻是否使用NAT地址轉換;(3)是否安裝入侵監測系統;(4)是否使用電子郵件內容過濾;(5)是否使用RFC2827和1918過濾;(6)撥號用戶是否簽訂安全協議;(7)撥號用戶是否進行強身份認證;(8)是否對用戶線路采用撥號回送程序和控制措施;(9)是否對撥號上網用戶流經關鍵接口的網絡數據包進行監視記錄。當然這只是需要確認內容的一小部分。在確認過程中需要做到的是耐心仔細,不放過每一個細節。同時我們應當與各個部門負責人和系統管理員協同工作,以便取得更大的成效。
3.確定風險的等級
我們需要使用一些掃描工具,對內部網絡進行掃描,以便建立風險等級評價原則,確定風險的大小與等級。根據掃描結果,我們可以結合已經收集到的大量網絡信息,進行認真比較和評估。最后我們可以總結出發現的問題,并提出化解風險的建議。
當然風險是客觀存在的,通過風險評估的方法,能夠在一個階段內幫助解決網絡安全問題,但并非一勞永逸。我們應該建立風險評估的良性循環機制,定期進行風險評估,以便不斷的提升網絡安全性能。
第7篇:安全風險評估范文
關鍵詞:電子商務;風險評估;模型研究
一、 引言
電子商務利用EDI和Internet技術的實現了用戶、企業和銀行及其他商務活動相關要素之間的電子形式的信息交換;完成了電子商務系統中信息流、物流和資金流的轉移。為了促進電子商務應用的健康發展,研究電子商務中可能存在的安全風險并制定相應的控制策略是十分重要的。
目前有很多關于電子商務安全風險研究的文獻,其中有許多模型涉及到信用風險或者是交易風險的研究,但是直接關于電子商務系統安全風險評估的研究還不很多。一般關于電子商務風險評估的研究側重于網絡安全方面引起的風險,例如信息的完整性和保密性、訪問控制技術以及安全協議等方面的研究,也有一些風險識別和預警方面的研究。對電子商務系統的風險評估,多數還是圍繞信任值(信譽值)的高低來做定性分析,圍繞電子商務活動過程中的三大要素來評估電子商務系統風險的研究很少。
本文將應用信息安全風險評估中常用的層次分析法對電子商務系統的信息流、資金流和物流三大因素所引起的電子商務系統的安全風險進行分析,提出一種較為有效的定性風險評估方法,對存在于電子商務系統活動過程中的風險進行評價和分析。
二、 電子商務安全風險分類分析
電子商務中的任何一筆交易,都包含著四種基本的“流”,即商流、信息流、資金流、物流。商流是指商品的購、銷之間進行交易和商品所有權轉移的運動過程,具體是指商品交易的一系列活動。信息流既包括商品信息的提供、技術支持、售后服務等內容,也包括諸如詢價單、報價單、付款通知單、轉賬通知單等商業貿易單證,還包括交易方的支付能力、支付信譽等。資金流主要是指資金的轉移過程,包括付款、轉帳等過程。物流,作為四流中最為特殊的一種,是指物質實體(商品或服務)的流動過程,具體指運輸、儲存、配送、裝卸、保管、物流信息管理等各種活動。其中,商流是目的,信息流、資金流和物流是交易成功的保障。 因此,電子商務系統安全風險類型可以綜合成信息流安全風險、資金流安全風險和物流安全風險三大類。
1. 信息流安全風險。
電子商務交易過程中涉及交易各方的眾多信息,所有這些信息都存在安全風險。信息流風險發生的情況主要有:①被模仿的網站域名;②網站信息內容被修改;③顧客隱私及企業商業機密被侵犯;④信息被篡改或破壞;⑤企業提供虛假信息。
2. 資金流安全風險。
資金流是指用戶確認購買商品后,將自己的資金轉移到商家賬戶上的過程。在電子商務中,顧客通過瀏覽網頁的方式選購商品或服務,在選購完成后郵政在線支付。顧客支付的款項能否安全、及時、方便地到達商家,關系到交易的最后成敗。資金流安全風險發生的情況主要表現為:(1)資金賬號、密碼被竊取(2)釣魚網站(3)拒付及拒收(4)硬盤損壞造成電子現金丟失(5)電子貨幣的法律風險(由于契約的不完整)。
3. 物流安全風險。
物流一直是阻礙我國電子商務進一步高速發展的極大障礙。物流活動涉及買方、賣方、運輸企業、倉儲企業和配送企業等多個參與方,所以,電子商務物流安全風險相比較更為復雜。 常見的物流風險包括以下六種:①付款后收不到商品;②貨物被損壞;③超過約定物流時間收到商品;④收到的商品與顧客期望不一致;⑤收到虛假商品;⑥物流服務被拒絕。
三、 應用層次分析法評估電子商務系統的安全風險
在研究過程中,為了使問題更加清晰,筆者的文章第二部分對電子商務安全風險因素進行了分類,把電子商務系統三大因素:信息流、資金流和物流做為電子商務系統安全風險評估體系的三個一級指標。在二級指標的選定上,筆者借鑒前人的研究成果,邀請相關領域專家采用德爾菲法對初次確定的22個指標進行選擇、修改與合并,最終確定了16個二級指標。
1. 建立電子商務安全風險評估的遞階層次結構。
按照層次分析法的步驟,首先,建立如圖1所示的電子商務系統安全風險評價指標體系。
2. 構造同風險因素的兩兩比較判斷矩陣。
根據指標選擇的基本原則,結合電子商務系統安全風險評價層次,將電子商務系統安全評價的的指標體系分為信息流風險、資金流風險和物流風險三大類,每一類指標又包含若干個具體指標,如圖1所示。依據satty的評價指標的相對權重標度,通過德爾菲法,構造出系統風險的判斷矩陣B,C1,C2,C3。準則層對目標層的判斷矩陣為B,子因素對準則層的判斷矩陣分別為C1,C2,C3。
3. 進行層次單排序及一致性檢驗。
記第2層(準則層)對第1層(目標)的權向量為W(1),經計算此判斷矩陣的最大特征根對應的特征向量W(1)=(0.163,0.547,0.29)T,最大特征根λ(1)=2.989。由層次分析法可知,該特征向量即為信息流風險、資金流風險和物流風險在電子商務系統整體風險中所占的比重,W(1)即為其權重向量。對構造的判斷矩陣進行一致性檢驗,一致性指標可根據CI=(λ-n)/(n-1)公式計算得出。然后,計算得一致性比率CR =CI/RI=0.009
同理可獲得最下層各風險影響因子相對于第2層評價目標的權重系數及一致性檢驗的結果。對未通過一致性檢驗的,再與問卷填寫人員進一步溝通,適當修改和調整數值,直到所有判斷矩陣都通過單層一致性檢驗。經過計算后得出如表1所示的結果。
正如表1所示,四個風險判斷矩陣均通過了一致性檢驗。
4. 指標層相對總目標的相對權重匯總
層次總排序是指每一個判斷矩陣各因素針對目標層(最上層)的相對權重,即計算最下層對目標層的組合權向量。當所有的判斷矩陣都滿足相容性條件時,便可根據層次復合原理求出組合權重。
根據層次復合原理,求出批指標層對總目標的綜合權重并進行匯總整理如表2所示。
四、 結論
利用電子商務系統的安全風險評估模型可以對電子商務系統的安全問題進行量化評估,確認其安全等級,然后針對各個系統實施的的具體情況,尋找防范和控制安全風險的具體措施和方案。
本文運用了層次分析法對電子商務系統安全風險因素逐個評估,確保制定的風險因素管理辦法更具有針對性。如表4所示,就一級指標層來看,資金流風險遠高于信息流風險和物流風險,資金及商品的安全是顧客及企業最為關注的因素。但同時也要注意電子商務安全風險管理中電子貨幣的法律風險以及拒收和拒付風險因素的權重也占一定的權重,說明了相應的電子商務安全法律制度的不健全,以及顧客與企業之間的信任等問題也是電子商務流通過程中不可忽視的重要因素。
參考文獻:
1. 趙越,黃遵國. 基于層次分析法的信息安全風險評估應用研究. 保密科學技術,2011,(2): 62-66.
2. 王艷瑋,陳恒. 面向業務流程的信息安全風險評估方法研究 . 圖書情報工作,2011,(8): 64-68.
3. 魏建國,張晨鷗. 基于AHP的網絡銀行交易安全評估模型. 華中農業大學學報(社會科學版),2007,(5): 90-93.
4. 桂河清.電子商務流通體系安全風險分類研究.江蘇商論,2011,(6):52-54.
5. 吳潔. 威脅電子商務安全的因素及實施方案 . 計算機安全,2010,(9): 74-76.
第8篇:安全風險評估范文
查找信息資產存在的漏洞,結合現有控制措施,分析這些威脅被利用的可能性和造成的影響,根據可能性和影響評估風險的大小,提出風險控制措施的過程。《國家信息化領導小組關于加強信息安全保障工作的意見》在2003年9月被提上日程(簡稱27號文),提出了“信息安全風險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神,進一步識別信息系統存在的風險,并對其進行控制,很多單位啟動了風險評估項目。而風險評估項目又不同于一般的IT項目,有其自身的特點。
2信息安全風險評估項目的過程管理
可以從五個方面解釋信息安全風險評估項目的生命周期,即數據收集、計劃準備、數據分析、項目驗收、報告撰寫,其中一三五是風險評估的主要實施階段。
2.1計劃準備階段
(1)制定項目章程。在信息安全風險評估項目中,應盡早確認并任命項目經理,最好在制定項目章程時就任命。項目經理的職責首先就在于應該參與制定項目章程,而該章程則具有授權的作用,即它能夠使得經理能夠運用組織資源來進行項目的實施。顯而易見,項目經理是被授權的一方,必然不能成為授權項目運行有效的一方。授權項目啟動的人一般而言能夠提供實施項目所需要的資金等資源,他們能夠參與章程的編制。
(2)確定風險評估范圍。確定風險評估范圍即要了解什么方面或者對象具有風險爆發的可能,例如公司的服務器數目、電腦操作系統的安全性和穩定性、應用的防火墻種類和數目等,甚至一些人為的因素也是重要的參考。
(3)明確風險評估成果。在信息安全風險評估項目中,應該在項目開始之前,與客戶將項目提交的成果及要求確定下來。明確風險評估成果之后,在項目執行過程中,該目標也應該作為項目驗收的標準。
(4)制定項目實施方案。項目實施方案是項目活動實施的具體流程,主要用來為項目實施提供技術指導。
(5)制定項目管理計劃。如果想要計劃實施過程一切順利,或者說對定義等計劃行動的過程需要記錄的話,就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進明細。項目管理計劃不能冗余,相反應該極其精煉,但是精煉并不意味著簡單,相反項目管理計劃應詳細論述和解釋完成這個項目所需要的一些條件。
(6)組建項目團隊。一個優秀的項目團隊是完成項目所必不可少的,是一種必須的人力資源。在項目開始時,一般而言,由項目經理來決定優秀團隊的組成,并且在組建團隊時應該注意談判技巧。
(7)召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作,是一個項目的啟動階段,在項目啟動會上需要完成的任務包括分析評估完成項目所需要的方法和成本等問題。
(8)風險評估培訓。風險評估培訓是對項目團隊成員及客戶的項目參與者就風險評估方法、評估過程的相關細節性進行培訓,以便項目能順利實施。
2.2數據收集階段
主要包括收集資料、現場技術評估、現場管理評估三項任務。
(1)收集資料。數據收集階段最開始的步驟肯定是收集資料,簡而言之,收集資料就是采取一切可行的方法,盡可能詳細地獲得和項目相關的一些信息,例如客戶的行為習慣、客戶業務相關的文檔,甚至信息安全系統、信息化流程等信息都要盡量詳細化。
(2)現場技術評估。現場技術評估就是通過漏洞掃描、問卷調查、現場訪談、主機配置審計、現場勘查等手段對評估對象進行評估。
(3)現場管理評估。現場管理評估是最后一個步驟,但是卻非常重要,它不僅關系著此次項目運行成功與否,還關系到以后項目效率的改進,現場評估需要對項目進展的流程進行綜合分析,找出不足之處,尋出與優秀的項目管理之間的差距,歸納總結,從而完善管理程序。
2.3數據分析階段
收集數據階段已經收集了很多的數據存量,想要發現數據的內在規律,從而發現有用的東西,就必須對數據進行詳細分析,只有仔細分析數據,才能夠發現項目的風險所在,從而確定風險的大小,找出其資產、弱點、風險。
2.4報告撰寫階段
對收集到的數據進行了詳細分析,得到初步的結論以后,就到了報告撰寫階段,即在數據分析的基礎上,制作一份報告,論述項目的風險問題。
(1)撰寫風險評估報告。風險評估報告應該將風險分析的結果直觀地、形象地表達出來,讓管理層清楚地了解當前信息系統存在的風險。
(2)撰寫整改報告。整改報告則是根據風險評估的結果,提出對風險進行管理與控制的過程。可分為安全加固建議、安全體系結構建議、安全管理建議三種。
2.5項目驗收階段
在完成了以上的步驟以后,理論上就可以對項目進行驗收了,項目驗收即對前期風險評估成果的檢驗,一般包括三項內容,即報告的評審、組織會議討論驗收事宜以及內部項目總結。
(1)報告評審報告評審就是對風險評估報告及整改報告進行評審。
(2)召開項目驗收會即對項目的成果進行匯報。
(3)內部項目總結不僅僅是單純的對項目實施過程的一次簡單的回顧,還是一個經驗總結的過程,回顧過去,把握現在,爭取在以后的項目中不再犯同樣的錯誤。
3信息安全風險評估項目的重點領域管理
信息安全問題影響深遠,其風險評估應根據項目的特點及具體過程,且應在評估中重點加強溝通、范圍、時間、成本、風險、人力資源等幾個領域的管理。
3.1項目溝通管理
為了達到項目目標,項目經理首先必須通過溝通談判從本公司獲得相應的人力資源等支持;其次,為了獲得客戶的支持與配合,提高項目滿意度,項目經理必須與客戶進行有效溝通。項目的最終目標是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望,首先應該識別干系人,識別他們的需求與期望,制定溝通計劃,在項目實施過程中管理干系人的需求與期望。
(1)識別干系人。很顯然,與項目的相關程度不同,不同的人對項目信息安全風險具有不同的影響,作為客戶方與項目實施方,其公司企業的信息安全風險是不一樣的,一般而言客戶方具有最大的影響力,公司方則次之,干系人對項目的態度也是影響項目信息安全風險的重要因素,態度一般分為無關、支持和反對三個。
(2)了解干系人的需求與期望。應該在充分了解項目背景的基礎上,運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景。可以咨詢售前顧問、銷售人員或者查閱招標時的招標書,甚至可以通過互聯網獲得相關信息。風險評估項目的項目背景也是復雜的,一般而言會分成很多的情況,比較常見的有項目本身實施過程中出現的信息安全事件、監管機制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求,然后通過換位思考、溝通交流等手段,進一步確認干系人的需求與期望。
(3)制定溝通計劃。信息安全風險評估項目需要溝通,所以需要制定一個有效的溝通計劃。信息安全風險評估項目不能夠隨意地制定溝通計劃,而應該詳細地分析相關的影響因素,重點關注利益相關者的溝通情況,從而降低影響,提高效率。
(4)管理干系人的需求與期望。干系人的期望與需求也應該得到恰當的管理,最重要的是要明確期望與需求,進行類別的劃分。可分為A、B、C三類:A類:必須做(need),這一類如不做,將難以通過驗收;B類:應該做(want),這一類如不做,會影響驗收效果;C類:可以做(wish),這一類是可做可不做的,做了客戶會更加滿意,不做也不會影響驗收。其次,在管理干系人的需求與期望時,應該遵循80/20規則,即完成20%的任務實現80%的價值,這部分任務必須作為重點。另外,可能還有20%的任務花費80%的成本,在資源及時間允許的情況下處理此類需求與期望。再次,在管理干系人的需求與期望時也可以根據干系人的職權(權力)進行管理。①在第一象限中的干系人權力高,但對項目關注程度低,采用令其滿意的管理策略。②在第二象限中的干系人權力高,且對項目關注程度高,要對其重點管理,優先滿足其需要與期望。③第三象限的人員對項目關注程度高,但權力較低,采用隨時告知的策略,盡量不要影響其個人利益。④第四象限的人權力低,且對項目不關注,要監督他們對項目的反應,不引起負面影響。最后,為了滿足干系人的需求與期望,需要在項目范圍、項目時間、項目成本、項目質量之間做好平衡。
3.2項目范圍管理
范圍是一個空間的范疇,一個項目管理的范圍規定了一個項目的權限范圍,規定了項目可以做哪些事情,而哪些事情是不能做的,實際上是對必要工作的堅持和對不必要工作的摒棄。
(1)明確風險評估范圍。項目計劃準備時就要考慮風險評估范圍,在這一階段就應該定義項目范圍的廣泛性以及縱深等內容,并且考慮客戶的需求,從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的,相反這是一個博弈的過程,應該照顧各方的利益,制定出一個符合各方利益的項目管理范圍。
(2)明確風險評估成果。應該在項目開始之前,與客戶將項目提交的成果及要求確定下來。一是在項目執行過程中,以此為目標;二是設定一個驗收項目的標準。
(3)創建工作分解結構。顧名思義,創建工作分解結構即將解構分解,即把項目的最后結果和其工作流程明細化,從而使得每一步變得簡單,更加容易操作。在信息安全風險評估項目中,第一層一般就放置項目成果,而第二層則更加側重中間成果。顯而易見,分解工作結構并不是一件簡單的事情,也不是只有一種方法,各層次都是可以相互變化的。
(4)風險評估范圍控制。范圍是所有計劃的基礎。對待客戶提出范圍變更應該遵循以下流程:首先不能明確拒絕,然后要分析客戶變更的原因及目的,快速反應變更所需要的人工及預算對時間和質量的影響,然后再做出決定。
(5)風險評估成果核實。風險評估成果核實過程應該嚴謹而且細心,因為這是一個正式驗收項目的過程,需要由客戶和項目的執行人一起認真核實項目的最終結果。
(6)取得干系人對項目范圍正式認可。它要求審查可交付成果和工作結果,以保證一切均已正確無誤且令人滿意地完成。
3.3項目時間管理
時間管理至關重要,因為優秀的時間管理保證項目能夠不延期交付。
(1)定義活動。定義活動從字面上理解就是一個識別的過程,定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結構的基礎上進行細化而完成的。
(2)排列活動順序。活動順序涉及到的是一個排列的問題,指的是一種依賴關系,即識別和記錄項目活動的依賴關系,是一種邏輯的過程。一般而言,這里所指的依賴關系指的是信息安全風險評估項目中,各個活動之間所具有的特性,如強制性、選擇性和外部依賴性。確定完活動之間的依賴關系,就可以對他們進行排序了,可以采用網絡圖的方法來表達他們之間的順序,常有三種關系,即完成-開始,開始-開始,結束-結束。
(3)估算活動持續時間。估算活動持續時間是一個時間上的范疇,指的是估計資源運用和消耗,以及估計完成一項活動所需工時的過程。需要根據活動的具體情況、負責活動的人員情況來進行估算。估算不能隨意,應該具有嚴格的依據。工時估算時,常采用三點估算法。即估算工時=(最樂觀時間+4×最可能時間+最悲觀時間)/6。①制定進度計劃。制定進度計劃首先需要對所掌握的信息進行深入分析,從而確定活動的順序,并且在時間和空間上確定一個相對準確的點,估算對資源的需求以及項目實施流程。制定一個有效的進度計劃并不是件簡單的事情,而是極其復雜的過程,在這期間需要一遍又一遍分析,從而確定一個合適的時間跨度,并且對項目結果有一個合適的預期。即使制訂了進度計劃,也不是一成不變的,而是要根據相關審查部門的意見適當地修改計劃,從而使得計劃在時間和資源應用上更加合理。只有審查通過以后,這個進度計劃才可以說是確定下來了。信息安全風險評估項目極其復雜,很多因素無論是內部的還是外部的,都對項目有很大的影響,并且鑒于有限的項目組成員,所以需要采用一個更加合適的進度計劃形式。②控制進度。控制進度的同時也是一個對項目監督管理的過程,這一過程根據進度計劃的基準不斷地調整項目的進程。進度控制程序:一般分為四個步驟,即先要分析一個項目所散發的狀態信息;然后如果需要調整進度,就要調整影響進度的相關參數;再次分析以后,要確定一個項目是否在原定的軌道上;如果進度脫離了軌道,就要進行相應的管理。
3.4項目成本管理
成本管理包括估算成本、制定預算、控制成本三項任務。
(1)估算成本。對成本的估算需要囊括整個項目的進程,時間跨度和空間跨度上均要全面。成本估算是在某特定時點,根據已知信息所做出的成本預測。信息安全風險評估項目的主要成本是人工成本及實施直接成本,因為人工成本占了所有成本的一大部分,所以精確地估算人工成本是成本估算最基礎的一面。估算人工成本有個前提,即進度計劃是準確的,從而對團隊成員的人工估算做到精確。項目成本即使估算出來了,也不一定是準確的,需要時時修正,因為越到了項目的后期,需要估計的越少,影響估算準確性的因素也越少,所以成本估算需要不斷進行。
(2)制定預算。制定預算也是一個估算的過程,是對一個項目的所有方面進行一個全面的評估,從而為以后資金的撥付制訂了基礎和基準。只有制定預算,才能夠根據預算的需求來劃撥資金,并且影響到了項目的實施全過程和成果評估部分。
(3)控制成本。成本的控制一般而言指的是成本不應該超出預算,控制成本是一個動態的過程,是監督項目狀態,從而獲得有用信息以更新項目預算。項目成本控制包括:找出影響項目成本的因素,并作相應的修改;保證修改項目參數能夠成功;在修改成功以后,要隨時動態地監督;控制成本,使得成本控制在預算的范圍之內,甚至應該精確到每一項開支;分析成本與預算成本基準之間的差距;對照資金支出,監督工作績效;嚴格禁止不相關的支出,使得每一項成本都合情合理;向有關干系人匯報項目進展和成本控制的工作;即使項目超支了,也要盡量減少成本。
3.5人力資源管理
人力資源管理在一個項目執行時包括很多方面的內容,例如管理組織一個實施團隊、人員分工等。
(1)制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團隊、人員、職務、報酬等方面的規劃,并且對各個人和團隊的責任進行詳細劃分。人力資源計劃包含項目角色與職責記錄、分成的各個部門等。一些信息安全風險評估項目執行時間比較長,因此需要更加有效的團隊,這就需要對人員進行培訓以及制定團隊建設策略等。風險評估項目的責任分配并不復雜,可采用責任分配矩陣(RAM),這個矩陣能夠顯示工作包或活動與項目團隊成員之間的聯系。并且根據需求的不同,制定不同層次的矩陣。
(2)組建項目團隊。組建項目團隊實際上是對人力資源使用和分配的過程,需要了解人力資源的各種特性,從而組建最合適的管理團隊,在組建團隊時需要注意:項目經理所要做的是積極地與人力資源人員進行交流,充分掌握各方面的信息,從而獲得最合適和最有效率的人才。但是有時候項目經理并不能總是如愿地獲得自己想要的人力資源,而是會受到如經濟等其他項目對資源的占用等因素的影響,從而制約了項目的實施,作為替代,項目經理可能不可避免地使用不合適的人力資源。
(3)管理項目團隊。管理項目團隊是選出來運營項目的人所組成的團隊,他們具有多樣化的目標,例如繼續學習,提高團隊成員的專業技能,增強團隊的執行能力從而保證項目結果的按時交付;以最低的成本完成最高質量的項目;按時完成項目,團隊成員之間相互協作,增加團隊效率,豐富團隊成員的知識,增強其跨學科運作能力,提高團隊的凝聚力,無論整體上還是個人上都有效率的提升等。項目經理在期間應該全權負責項目團隊的管理運作,增加項目績效,在團隊出現問題時,分析導致問題的原因,然后解決問題。團隊建設一般要經過5個階段:①形成階段,這個階段是團隊形成的最初階段,團隊成員只是互相認識,并沒有相應的合作。②震蕩階段,指的是團隊已經開始運作,但是成員之間需要磨合的階段。③規范階段,過了磨合期以后,團隊成員彼此之間逐漸適應了彼此的節奏,能夠進行初步合作了,團隊開始有成為一個有效整體的趨向。④成熟階段,這一階段團隊成員之間已經能夠精誠合作,互補余缺,相互學習,團隊效率較高。⑤解散階段,即當項目完成以后,各成員完成了職責,從而脫離團隊。因為各種各樣的原因,例如缺乏充足的資金、進度安排不合理、團隊成員之間缺乏配合等,會造成項目環境的沖突。如果項目經理能有效管理,則意見分歧能夠轉變為團隊的多樣化管理,不僅能夠提高團隊創造力還有利于做出更好的決策。如果管理不當,團隊之間的分歧沒有得到解決,就可能會加大團隊成員之間的鴻溝,從而對項目的實施產生負面的影響。要建設高效的項目團隊,項目經理需要獲得高層管理者的支持,獲得團隊成員的承諾,采用適當的獎勵和認可機制,創建團隊認同感,有效管理沖突,團隊成員間增進信任和開放式溝通,特別是要有良好的團隊領導力。項目團隊管理的一些工具與技術包括:①人際關系技能。通過了解項目團隊成員的感情來預測其行動,了解其后顧之憂,并盡力幫助解決問題,項目管理團隊可大大減少麻煩并促進合作。②培訓。旨在提高項目團隊成員能力的全部活動,培訓可以是正式或非正式的。應該按人力資源計劃中的安排來實施預定的培訓。③制定管理規范,對項目團隊成員的可接受行為做出明確規定。盡早制定并遵守明確的規則,可減少誤解,提高生產力。規則一旦建立,全體項目團隊成員都必須遵守。④認可與獎勵。如果想要提高項目團隊的效率,使得每個人更加盡心和更加富有責任感,就應在團隊建設過程中引進相應的激勵機制,在制定項目計劃時就應該考慮到團隊成員的獎懲問題。在管理項目團隊的過程中,團隊成員的獎勵不是隨意而發的,而是通過項目績效評價,以正式或非正式的方式做出獎勵決定。只有優良行為才能得到獎勵。
3.6項目風險管理
項目風險管理旨在降低風險,或者把風險控制在可控范圍之內。其目標是盡力使得項目運行向著有利的方面轉化,對消極負面的一部分則注意防范。信息安全風險評估項目不屬于特別大的項目,所以一般分為識別風險、評價風險、規劃風險應對、監控風險四個過程。
(1)識別風險。識別風險是風險管理的前提,是一個信息處理的過程,在這個過程中判斷分析什么樣的風險會影響項目。可采用核對表的方式進行風險識別。
(2)評價風險。對于信息安全風險評估項目,評價風險只需要定性評價即可。實施定性風險分析根據風險發生的相對概率或可能性、風險發生后對項目目標的相應影響以及其他因素來評估已識別風險的優先級。
(3)規劃風險應對。規劃風險應對是風險管理最重要的步驟,其規劃的是項目的目標及降低風險的步驟。對于消極風險,常有回避、轉移、減輕、接受四種方式;對于積極風險,常有開拓、分享、提高、接受四種方式。
(4)監控風險。監控風險是風險管理的最后一步,也是第一步,因為它是貫穿在整個項目之中,是一個制定風險應對計劃、監控已知風險、加強管理以解決風險以及發現新風險的過程。
4結語
第9篇:安全風險評估范文
Abstract: In the process of urbanization in China, the population density is getting higher and higher, which causes the travel difficult of people. In order to ensure the convenience of urban transport, many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However, in the operation of the subway, with the increase in the number of passengers, there will be some security risks, which have a serious threat to people's lives and property, so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.
關鍵詞: 地鐵運營安全;風險評估;風險管理
Key words: subway operation safety;risk assessment;risk management
中圖分類號:F572 文獻標識碼:A 文章編號:1006-4311(2017)23-0054-03
0 引言
城市規模不斷擴大以及城市人口數量的增加,導致巨大的交通壓力成為困擾城市發展的主要因素。所以,在許多城市的規劃與建設中,都將地鐵建設作為重點內容。近幾年,我國地鐵事故發生率逐漸升高,這些事故不僅為地鐵運營部門帶來重大經濟損失,而且嚴重威脅了人們的生命財產安全。因此,在地鐵運營過程中,必須對存在的安全風險進行評估與管理,提高地鐵運行的穩定性與安全性,確保地鐵的作用能夠得以發揮。
1 地鐵運營風險管理的基本流程與方法
運營風險管理是研究風險發生規律及風控技術的一門科學,具有前瞻性、目標性、計劃性、經濟性和管理性等特點。一般來說,地鐵運營風險管理過程不外乎風險識別、風險評估、風險等級劃分和風險控制四個關鍵環節:
1.1 風險識別
地鐵運營風險識別就是找出地鐵運營過程中影響安全的主要因素,是風險管理流程中的第一個步驟。在風險識別的過程中,必須確定地鐵運營系統的組成、特點以及各組成部分的關系,并全面檢查這些環節中的不確定性。與此同時,還要分析不同種類風險對地鐵正常運營造成的威脅,并確定風險作用范圍,以便針對不同的風險采取不同的措施。
1.2 風險分析
地鐵運營風險分析就是對地鐵運營風險可能造成的后果進行全面分析。風險分析需要對個別的風險元素進行分析,并量化這些元素,形成一個風險清單,以便針對這些風險制定相應的行動計劃。在科學技術不斷進步的同時,對地鐵運營分析的難度越來越高,只有不斷提高風險分析水平,才能夠采取有效的措施降低風險。
1.3 風險評估
地鐵運營風險評估就是對地鐵運營風險能夠導致的后果進行評價,并根據這些后果的嚴重程度進行排序,同時考慮與其對應的處理措施,去頂風險、成本與效益三者之間的關系,其關鍵在于考慮風險對整體目標的影響。綜合評估地鐵運營風險時,首先應該充分預測管理決策在實施期間所伴生的后果及其可能產生的危害、后果是否可以被接受等等。風險的嚴重程度不同,就會造成優先處理的順序不同。
1.4 風險決策
地鐵運營風險決策就是以風險分析與風險評估的結果為基礎,針對風險制定相應的措施,降低風險對地鐵運營的影響。一般來講,風險策略主要有以下兩種:第一,采取合理的措施,最大限度地降低風險帶來的影與危害,對其進行有效的控制。第二,采取適當的措施轉移風險,降低風險對運營主體的危害,但是,不是所有風險都能夠被轉移。在風險決策的過程中,必須考慮成本與效益之間的關系,確保風險決策成為最佳效益方案。
此外,在地鐵運營風險中,一些風險并不是一成不變的,只有對這些風險進行跟蹤,才能夠根據不同的情況進行風險決策。
