發(fā)布時間:2023-07-11 16:41:22
序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的安全風險評估方式樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀。
根據(jù)以往學者研究及實踐表明,對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內(nèi)容。因此對風險評估的作用主要體現(xiàn)在:首先,信息安全保障需以風險評估作為基礎(chǔ)。對計算機信息系統(tǒng)進行風險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風險,并在此基礎(chǔ)上做出相應的防范、控制、轉(zhuǎn)移以及分散等策略。其次,信息安全風險管理中的風險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn),對ISMS的建立、實施以及維護等方面都應充分發(fā)揮風險評估的作用。最后,風險評估的核查作用。驗收信息系統(tǒng)設計安裝等是否滿足安全標準時,風險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中,通過風險評估也可將系統(tǒng)對環(huán)境變化的適應能力以及相關(guān)的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時,風險評估又可對其中的風險作出分析并采取相應的技術(shù)或管理措施。
二、計算機信息系統(tǒng)安全風險的評估方法分析
(一)以定性與定量為主的評估方法
計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時,首先會對特定資產(chǎn)價值進行分析,再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算,當完成威脅影響系數(shù)的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎(chǔ)的風險評估
以知識為基礎(chǔ)的風險評估通常會根據(jù)安全專家的評估經(jīng)驗為依據(jù),優(yōu)勢在于風險評估的結(jié)構(gòu)框架、實施計劃以及保護措施可被提供,對較為相似的機構(gòu)可直接利用以往的保護措施等便可實現(xiàn)機構(gòu)安全風險的降低。另外以模型為基礎(chǔ)的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析,以此實現(xiàn)對系統(tǒng)安全風險的定性評估。
(三)動態(tài)評估與分析方式
計算信息系統(tǒng)風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現(xiàn)了對風險的動態(tài)管理。
(四)典型風險評估與差距分析方法分析
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統(tǒng)設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風險的確定,存在的差距越大則證明存在的風險越大。
三、結(jié)論
關(guān)鍵詞:機巡作業(yè);風險評估;風險后果;危害因素
風險是一個矛盾體,既是絕對的,也是相對的,從企業(yè)管理的角度來講,管控的是相對風險,所以風險評估技術(shù)方法的研究首先要確定應用的對象;機巡作業(yè)風險評估技術(shù)針對的是機巡作業(yè)管控,所以機巡作業(yè)風險評估技術(shù)方法就應基于機巡作業(yè)企業(yè)的管理需求即管控目標來進行設計;風險評估技術(shù)方法的研究主要基于后果考慮具體因子的設計,形成機巡作業(yè)風險評估技術(shù)標準。機巡作業(yè)風險評估流程設計如下。(1)評估范圍的劃分——根據(jù)企業(yè)安全生產(chǎn)目標,確定風險管控目標;(2)危害因素的辨識——選取風險后果對管控目標能夠造成影響的危害因素作為風險評估的對象;(3)風險評估——針對線路風險后果及涉及的各種危害因素,對線路風險進行定性評估,確定危害因素風險等級;(4)制定風險控制措施——對各危害因素制定控制措施,必要時還要制定新的控制措施。
1持續(xù)風險評估標準設計
中心引用可量化風險管理理念,采取現(xiàn)場作業(yè)“三維度”科學評價取值法,即根據(jù)涉及電網(wǎng)風險、現(xiàn)場風險以及作業(yè)環(huán)境風險相結(jié)合的“三維度”量化風險值,制定機巡作業(yè)中心持續(xù)作業(yè)風險評估技術(shù)標準。1.1危害因素辨識對。機巡作業(yè)影響因素進行分析,有交叉跨越方式與數(shù)量、作業(yè)環(huán)境、作業(yè)性質(zhì)、電網(wǎng)等級、電網(wǎng)風險、巡視區(qū)域、飛行地域、線路密集程度、巡視機型等九個因素。1.2制定評估標準。(1)交叉跨越方式與數(shù)量。跨越1個危險點至4個危險點,所有機型取值分別為1/1.5/2/2.5,穿越一個點危險指數(shù)為100。(2)作業(yè)環(huán)境性質(zhì)區(qū)域特征等指標,如表1所示。(3)電壓電網(wǎng)風險及機型等級指標,如表2所示。(4)線路密集程度指標。線路密集程度分為兩種,相鄰線行≥100m,所有機型取值1,相鄰線行50~100m(山區(qū)為100~150m)之間,所有機型取值1.5。1.3風險量化評估。1.3.1量化計算。根據(jù)電網(wǎng)風險、現(xiàn)場風險、作業(yè)環(huán)境風險量化結(jié)果對應的取值,使用量化評估公式:量化值(M)=[交叉跨越方式及數(shù)量系數(shù)]*[作業(yè)環(huán)境系數(shù)]*[作業(yè)性質(zhì)系數(shù)]*[電壓等級系數(shù)]*[電網(wǎng)風險系數(shù)]*[巡視區(qū)域系數(shù)]*[飛行地域系數(shù)]*[線路密集程度系數(shù)]*]巡視機型系數(shù)]。1.3.2機巡作業(yè)風險定級。根據(jù)計算出的量化值,將機巡作業(yè)分為以下五級:(1)特高的風險:400≤風險值,考慮放棄、停止。(2)高風險機巡作業(yè):200≤風險值<400,需要立即采取糾正措施。(3)中風險機巡作業(yè):70≤風險值<200,需要采取措施進行糾正。(4)低風險機巡作業(yè):20≤風險值<70,需要進行關(guān)注。(5)可接受風險機巡作業(yè):風險值<20,容忍。1.4現(xiàn)有控制措施。根據(jù)確定的風險和涉及的人員、電網(wǎng)情況,查找目前已有的控制措施,包括:管理人員的現(xiàn)場督察、檢查;改善飛行和控制技術(shù)等已經(jīng)應用的工程技術(shù);防止風險而使用的安全工器具和個人防護用品、安全標識;保證人員意識和技能而開展的常態(tài)化人員學習與教育培訓;為降低風險損失而采取的應急措施等。
2應用實例
對500kV嘉上甲線N1-N216的線路進行實際風險評估,通過2.3.1公式進行計算,(油動固定翼/有人機/多旋翼)綜合風險值分別為6.75/6.75/13.5,都在巡線的容忍范圍內(nèi)。
3結(jié)語
本文對機巡作業(yè)風險評估技術(shù)方法的研究更多的是一種指引,文中一些影響因素的選取與賦值參考了廣東電網(wǎng)機巡作業(yè)中心的一些數(shù)據(jù),但這不是一個絕對的標準,仍不能完全適用于所有的機巡企業(yè),每個企業(yè)在應用時,要通過一定范圍的試用,通過試用評估結(jié)果對一些因素與賦值進行修訂與完善,這樣才能形成適用于企業(yè)的風險評估技術(shù)方法。
參考文獻
[1]中國南方電網(wǎng)有限責任公司,安全生產(chǎn)風險管理體系[M].北京:中國標準出版社,2012.
[2]中國南方電網(wǎng)有限責任公司,安全生產(chǎn)風險管理體系審核指南[M].北京:中國標準出版社,2012.
[3]中國南方電網(wǎng)有限責任公司.中國南方電網(wǎng)有限責任公司安全管理規(guī)定[Z].2014.
[關(guān)鍵詞] 基礎(chǔ)地理;信息系統(tǒng);安全;風險評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194(2015)21- 0155- 03
1 引 言
風險是以一定的發(fā)生概率的潛在危機形式存在的可能性,而不是已經(jīng)存在的客觀結(jié)果或既定事實。風險管理是通過對風險的識別、衡量和控制,以最小的成本將風險導致的各種損失結(jié)果減少到最小的管理方法。隨著信息化向縱深發(fā)展,基礎(chǔ)地理信息系統(tǒng)被廣泛應用,但信息安全方面的威脅也大大增加,具體到市縣級基礎(chǔ)地理信息系統(tǒng)中存在各類風險,這些風險有著自身的特點,對系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產(chǎn)生的風險,這些風險會對信息系統(tǒng)核心資產(chǎn)的安全性、完整性和可用性造成破壞。對測繪行業(yè)信息安全風險的評估是進行有效風險管理的基礎(chǔ),是對風險計劃和風險控制過程的有力支撐,而如何識別和度量風險成為一個難題,目前測繪地理信息行業(yè)沒有一個行業(yè)性安全評估類或者安全管理類規(guī)范標準,通用安全評估規(guī)范在很多方面對于測繪地理信息系統(tǒng)復雜性和行業(yè)特點缺乏適用性,往往較難落地,為此提出市縣級國土資源基礎(chǔ)地理信息系統(tǒng)安全風險評估規(guī)范研究。
2 國內(nèi)外信息安全風險評估的研究現(xiàn)狀
信息安全風險評估經(jīng)歷了很長一段的發(fā)展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作,逐漸過渡到技術(shù)與管理相結(jié)合的科學方法。由于信息安全問題的突出重要性,以及發(fā)生安全問題的后果嚴重性,目前評估工作已經(jīng)得到重視和開展。國內(nèi)外很多學者都在積極投身于信息安全的研究,期望找到保護信息安全的盔甲。美國在信息安全風險管理領(lǐng)域的研究與應用獨占鰲頭,政府控管體制健全,己經(jīng)形成了較為完整的風險分析、評估、監(jiān)督、檢查問責的工作機制。DOD作為風險評估的領(lǐng)路者,1970年就已對當時的大型機、遠程終端作了第一次比較大規(guī)模的風險評估; 1999年,美國總審計局在總結(jié)實踐的基礎(chǔ)上,出版了相關(guān)文檔,指導美國組織進行風險評估;2001年美國國家標準和技術(shù)協(xié)會(NIST)推出SP800系列的特別報告中也涉及到風險評估的內(nèi)容;歐洲各國對信息安全風險一直采取“趨利避害”的安全策略,于2001-2003年完成了安全關(guān)鍵系統(tǒng)的風險分析平臺項目CORAS,被譽為歐洲經(jīng)典。我國信息安全評估起步較晚,2003年7月,國信辦信息安全風險評估課題組啟動了信息安全風險評估相關(guān)標準的編制工作;8月,信息安全評估課題組對我國信息安全工作的現(xiàn)狀進行了調(diào)研,完成了相關(guān)的評估報告,總結(jié)了風險評估是信息安全的基礎(chǔ)性工作;2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿;2005年2月至9月,開始了國家基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)的信息安全風險評估試點工作;2007年7月我國頒布了《信息安全技術(shù)信息安全風險評估規(guī)范》(GB/T 20984一2007)并于2007年11月1日實施;2008年4月22日,在國家信息中心召開了《信息系統(tǒng)風險評估實施指南》預制標準第二次研討會,此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論,《信息系統(tǒng)風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規(guī)范》和《信息安全風險管理規(guī)范》之后又一技術(shù)性研究課題,將充實信息安全風險評估和風險管理具體實施工作。
3 市縣級基礎(chǔ)地理信息系統(tǒng)安全風險評估規(guī)范研究方法和手段
3.1 市縣級基礎(chǔ)地理信息系統(tǒng)安全風險評估規(guī)范研究方法
市縣級基礎(chǔ)地理信息系統(tǒng)安全風險評估規(guī)范研究通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息,最終生成風險信息。資產(chǎn)的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析,從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴重程度;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估;脆弱性的評估是對資產(chǎn)脆弱程度的評估;具體如下:
(1)資產(chǎn)評估。資產(chǎn)評估的主要工作就是對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)風險評估范圍內(nèi)的資產(chǎn)進行識別,確定所有的評估對象,然后根據(jù)評估的資產(chǎn)在業(yè)務和應用流程中的作用對資產(chǎn)進行分析,識別出其關(guān)鍵資產(chǎn)并進行重要程度賦值。根據(jù)資產(chǎn)評估報告的結(jié)果,可以清晰的分析出市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中各主要業(yè)務的重要性,以及各業(yè)務中各種類別的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度,從而得出信息系統(tǒng)的安全等級。同時,可以明確各業(yè)務系統(tǒng)的關(guān)鍵資產(chǎn),確定安全評估和保護的重點對象。
在此基礎(chǔ)上,建立針對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中的資產(chǎn)配置庫,對資產(chǎn)的名稱、類型、屬性以及相互關(guān)系、安全級別、責任主體等信息進行描述。
(2)威脅評估。威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體(威脅源)、威脅途徑和威脅方式,威脅主體是指可能會對信息資產(chǎn)造成威脅的主體對象,威脅方式是指威脅主體利用脆弱性的威脅形式,威脅主體會采用威脅方法利用資產(chǎn)存在的脆弱性對資產(chǎn)進行破壞。
在此基礎(chǔ)上,充分調(diào)研,分析現(xiàn)有記錄、安全事件、日志及各類告警信息,整理本行業(yè)信息系統(tǒng)在物理、網(wǎng)絡、主機、應用和數(shù)據(jù)及管理方面面臨的安全威脅,形成風險點列表。
(3)脆弱性評估。脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點,它包括物理環(huán)境、組織機構(gòu)、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面,這些都可能被各種安全威脅利用來侵害一個組織機構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務系統(tǒng)。
通過研究,將建立本行業(yè)的涉及主要終端、服務器、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫及應用等主要系統(tǒng)的基線庫,從而為脆弱性檢測在“安全配置”方面提供指標支撐。
(4)綜合風險評估及計算方法。風險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性,導致資產(chǎn)的丟失或損害的潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在風險評估模型中,主要包含信息資產(chǎn)、脆弱性、威脅和風險四個要素。每個要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價值,脆弱性的屬性是脆弱性被威脅利用后對資產(chǎn)帶來的影響的嚴重程度,威脅的屬性是威脅發(fā)生的可能性,風險的屬性是風險發(fā)生的后果。
綜合風險計算方法:根據(jù)風險計算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:風險值=資產(chǎn)價值×威脅可能性×弱點嚴重性,下表是綜合風險分析的舉例:
注:R表示風險;A表示資產(chǎn);V表示脆弱性;T表示威脅;Ia表示資產(chǎn)發(fā)生安全事件后對組織業(yè)務的影響(也稱為資產(chǎn)的重要程度);Va表示某一資產(chǎn)本身的脆弱性,L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。
風險的級別劃分為5級(見表1),等級越高,風險越高。
各信息系統(tǒng)風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數(shù)進行加權(quán)計算,具體的加權(quán)計算方法如下。
風險級別權(quán)重分配:
極高風險 30%
高風險 25%
中風險 20%
低風險 15%
很低風險 10%
各級別風險個數(shù)對應關(guān)系(即各級別風險相對于很低風險的個數(shù)換算):
極高風險 16
高風險 8
中風險 4
低風險 2
很低風險 1
風險計算公式R’=K(av,p,n)=av×p×n,其中,av代表各級別風險求平均后總和,p代表相應的風險級別權(quán)重,n代表相應的風險個數(shù)權(quán)重。
總體風險值=R’(極高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市縣級基礎(chǔ)地理信息系統(tǒng)安全風險評估規(guī)范研究的手段
(1)專家分析。對于已有的安全管理制度和策略,由經(jīng)驗豐富的安全專家進行管理方面的風險分析,結(jié)合江蘇省基礎(chǔ)地理信息系統(tǒng)安全建設現(xiàn)狀,指出當前安全規(guī)劃和安全管理制度存在的不足,并給出安全建議。
(2)工具檢測。采用成熟的掃描或檢測工具,對于網(wǎng)絡中的服務器、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備等進行掃描評估;為了充分了解各業(yè)務系統(tǒng)當前的網(wǎng)絡安全現(xiàn)狀及其安全威脅,因此需要利用基于各種評估側(cè)面的評估工具對評估對象進行掃描評估,對象包括各類主機系統(tǒng)、網(wǎng)絡設備等,掃描評估的結(jié)果將作為整個評估內(nèi)容的一個重要參考依據(jù)。
(3)基線評估。采用基線風險評估,根據(jù)本行業(yè)的實際情況,對信息系統(tǒng)進行安全基線檢查,拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較,找出其中的差距,得出基本的安全需求,通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿足基本的安全需求,能使系統(tǒng)達到一定的安全防護水平。
(4)人工評估。工具掃描因為其固定的模板,適用的范圍,特定的運行環(huán)境,以及它的缺乏智能性等諸多因素,因而有著很大的局限性;而人工評估與工具掃描相結(jié)合,可以完成許多工具所無法完成的事情,從而得出全面的、客觀的評估結(jié)果。人工檢測評估主要是依靠具有豐富經(jīng)驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談,業(yè)務流程了解等方式,對評估對象進行全面的評估。
(5)滲透測試。在整個風險評估的過程中,結(jié)合外部滲透測試的方式發(fā)現(xiàn)系統(tǒng)中可能面臨的安全威脅和已經(jīng)存在的系統(tǒng)脆弱性。
關(guān)鍵詞:大型游樂設備 風險評估 安全維護 作用
中圖分類號:TM52 文獻標識碼:A 文章編號:1672-3791(2014)05(c)-0229-02
大型游樂設備在國外的制造歷史比較悠久,而我國的制造歷史還不是很長,只是在改革開放后才開始在我國出現(xiàn),是屬于特種設備,受國家安全技術(shù)監(jiān)督部門監(jiān)督使用。游樂設備從粗到精,從小型到大型,從簡單型式到復雜和綜合型式;目前我國已形成了從設計、制造、安裝為一體的行業(yè)體系指導以及安全檢驗等比較完整的安全體系。目前被廣泛應用的大型游樂設備據(jù)不完全統(tǒng)計,約有100多個類型;其中包括有滑行、飛行塔類、滑行車類、架空游覽車類、觀纜車類、賽車類、水上游樂設備、碰碰車類、轉(zhuǎn)馬類、陀螺類、電瓶車類、自控飛機類、小火車類、滑索、滑道、蹦極的大類別。這些游樂設備給人們的生活帶來了一定的樂趣。而同時在使用中又頻繁出現(xiàn)的大型游樂設備的安全事故,這也不免讓人們對游樂設備的安全產(chǎn)生了擔憂。大型游樂設備直接面對的是游客,能否保證游客生命的安全是重中之重。因此,使用單位和技術(shù)監(jiān)督部門對大型游樂設備進行安全風險評估,顯得優(yōu)為迫切和重要。不僅能夠幫助維護和操作人員對不同的大型游樂設備安全風險在思想上有一個充分的認識,時時刻刻繃緊安全這根弦,把安全放在第一位。并在實際工作中能采取相應的對策,最大化的提高大型游樂設備安全性,最大限度地保障游客和設備的安全。
1 大型游樂設備中存在的安全問題
我國大型游樂設備在近些年來,發(fā)展足夠迅速,各種各樣的新奇產(chǎn)品不斷的被推出,不但對人們需求刺激心理進行了滿足,同時也促進了我國大型游樂設備向更先進技術(shù)、更復雜形式的發(fā)展。但是,大型游樂設備在給人們繁忙工作后帶來刺激和快樂的同時,也給一部分游客帶來了一定的安全風險和不幸。尤其是最近,大型游樂設備已經(jīng)逐漸普及到小城鎮(zhèn),但是由于其安全風險意識存在不足,從而導致大型游樂設備安全事故頻繁發(fā)生。例如2001年某游樂園中飛空飛梭設備液壓式的人體安全裝置失效,最終導致一名乘客被摔死,2010年,深圳某大型游樂園太空迷航座艙發(fā)生斷裂,導致多人死傷等等。一件件大型游樂設備意外事故的發(fā)生,不但對游客生命安全造成了嚴重的威脅,同時也對大型游樂設備的發(fā)展產(chǎn)生了一定的影響。因此必須要加強大型游樂設備風險評估工作,以提高設備運行的安全性,為廣大游客的生命安全提供有力的保障。
2 大型游樂設備風險評估在安全維護中的作用
2.1 有助于確保設備安全
大型游樂設備,其安全主要存在的問題包括有:設備設計存在問題(其中包括設計不合理)、制造質(zhì)量(包括焊接質(zhì)量)、安裝水平和質(zhì)量存在問題(其中包括制造材料不合格)、進口游樂設備過程監(jiān)管不嚴、維護人員責任心不強以及技術(shù)能力不足、沒有經(jīng)過設備維護和操作培訓、使用單位不負責任、個別檢驗人員安全意識不強、設備老化、設備操作人員技術(shù)水平低甚至有無證操作現(xiàn)象以及游樂設備過期沒有進行定期檢驗等等,這些問題都會造成大型游樂設備存在安全隱患,對游客生命安全產(chǎn)生威脅。其中大型游樂設備風險評估能夠?qū)υO備中所存在的各種問題,及時發(fā)現(xiàn),同時制定相應的處理措施和對策,對其問題進行有效的控制和解決。借助于大型游樂設備安全風險評估,能夠從設備設計、系統(tǒng)規(guī)劃、設備運行等全過程中所存在的安全事故風險以及隱患進行詳細的分析,同時依照其不同事故之間所存在的各種可能原因以及有關(guān)條件,對其制定消除風險的技術(shù)方案,并最終選擇最佳的處理方案,從而對設備的安全運行提供有效保障。總而言之,實施大型游樂設備安全風險評估,就是從設計、制造、安裝、使用、維修實施全過程安全監(jiān)測,同時立足于設備的運行過程中,對其安全性進行合理分析,以能夠確保一旦出現(xiàn)誤操作或者是設備故障等,也能夠及時采取有效的應急措施將其風險轉(zhuǎn)化為事故的幾率降到最小。
2.2 有助于保障游客安全
實施系統(tǒng)性安全風險評估,從游樂設備的制造、安裝、使用、檢驗、維護、操作以及安全管理的一系列工作實施安全評價,并最終形成標準化,并提出相應的有效安全對策,使之形成制度化。制定培訓計劃,制定安全制度,有助于對設備的不合格的工藝流程以及有缺陷的材料使用進行規(guī)避,同時還能夠?qū)υO計和制作不合理的設備使用進行規(guī)避。要在實際操作中對某種設備進行使用,同時也能夠?qū)ζ浯嬖诘陌踩L險降到最低。在設備運行中,還能夠依照其安全風險評估成果,對設備運行的危險性進行有效的掌握,依照實際情況制定相應的改進和預防措施,以制定能夠?qū)ζ湎L險的措施,并選擇出最佳的安全運行方案。總而言之,安全風險評估全過程就是針對設備使用前,使用中、使用后,所存在的安全風險以及其運行安全性是否和相關(guān)規(guī)定和標準相符合進行判定,之后再依照其具體系統(tǒng)問題或者不足實施改正,消除風險源,以提高對設備管理的科學化和標準化,最大化的提高設備運行安全性,從而最終實現(xiàn)游客安全的有效保障。
2.3 對維護人員在實際工作中具有指導作用
綜上所言,大型游樂設備風險評估能夠?qū)υO備從設計、制造、安裝以及運行過程中,所存在的風險進行有效評估,維護人員能夠依據(jù)風險評估的成果,全面了解和認識設備事故的風險源在那里,在設備將要發(fā)生故障之前,就能有效地將風險源控制在安全范圍內(nèi),最大限度地消除設備可能發(fā)生的故障,能很好的避免安全事故的發(fā)生。并在設備一旦發(fā)生故障之后,就能夠依照其風險評估結(jié)果,迅速找到故障原因,從而制定故障解決方案。因此說大型游樂設備風險評估對維護人員在實際工作中,具有重要的指導作用和意義。安全風險評估不單單屬于是日常安全管理和日常安全檢查范疇,其更屬于是設備運行的技術(shù)性問題,其就是從專業(yè)技術(shù)水平出發(fā),對設備各項技術(shù)中所存在的負面影響進行分析,作出科學的分析和論證,同時還能夠?qū)ζ涫鹿仕赡茉斐傻膿p失以及影響范圍作出一個合理的評估,并依照實際情況制定不同的計劃,采取相應措施對可能或者已經(jīng)存在的錯誤進行修正。簡而言之,也就是對其設備中所存在的各種技術(shù)性問題,因此其也就能夠?qū)ζ淇赡艽嬖诘墓收显蛴幸粋€整體的認識,從而在事故發(fā)生之后,指導維護人員對其故障進行正確處理。
3 大型游樂設備的安全風險源評估
3.1 合理選擇安全風險源評估方式
大型游樂設備風險源總結(jié)來說主要包括有:制造安裝質(zhì)量不達標、安裝質(zhì)量不達標上崗人員綜合素質(zhì)低、設備操作存在不規(guī)范、設備超期未檢以及設備超期服役等等,依照對游樂設備危險源的分析看出,游樂設備的安全影響因素主要可以分為三個方面,分別是設備因素、管理因素以及人員因素。那么對于大型游樂設備安全風險源評估來說,其方式比較多樣,目前國際上比較常用的包括有:危險度評價法、事件樹分析法、預先危險性分析、事故樹分析法、人的失誤分析、危險性可操作研究、安全檢查表法、故障類型和影響分析以及如果――怎么辦等分析方法。
在實際風險源評估過程中,也要對其評估方法進行合理的選擇。根據(jù)其實施系統(tǒng)評價階段,可以將其分成四種,分別是:(1)安全預評價,就是設備的運行可行性研究報告內(nèi)容,對其可能存在的風險進行預測,同時針對于其具體的分析結(jié)果,制定出合理的安全對策。(2)安全現(xiàn)狀評價。其就是針對于某一個生產(chǎn)經(jīng)營單位或者是局部生產(chǎn)經(jīng)營活動的安全現(xiàn)狀,作出一個科學合理有效的風險評估,對其可能潛在的風險找出,并及時制定相應的對策和修正方案。(3)安全驗收評價。其就是在工程結(jié)束、并對其進行試運行正常無誤之后,對其建設項目設施、裝置實際運行情況以及管理狀況,再次進行一次安全風險評價,對其建設項目在投產(chǎn)之后可能會存在的風險和有害因素進行查找,確定風險程度,制定合理的應對方案。(4)專項安全評價。專項安全評價也就是針對一些特殊行業(yè)或者是部門所實施的具體安全評價方法,其具有一定的針對性中,同時也能夠依照其具體的評價結(jié)果制定可行性解決方案。根據(jù)其評價對象的不同,其風險源評價方法可以被分為事先評價、事中評價、事后評價以及跟蹤評價。根據(jù)其評價內(nèi)容不同,也能夠?qū)⑵浞譃椋涸O計評價、行為安全性評價、安全管理評價、作業(yè)環(huán)境評價、生產(chǎn)設備安全可靠性評價、有害因素危險性評價、重大危險評價等。依照其評價方法特性,也能夠被分為:定性評價、定量評價以及綜合評價。按照安全評價性質(zhì),可以將其分為系統(tǒng)固有危險評價、系統(tǒng)現(xiàn)實危險評價以及系統(tǒng)安全狀況評價。安全風險源評價方式多種多樣,評價內(nèi)容也多種多樣,每一個評價方式的使用范圍和使用條件也不同,依照其不同的評價對象、評價目的以及評價指標,需要選擇合理的評價方式。因此在實際應用中,就要依照其具體的評價目標,科學選擇合理評估方式,提高風險源評估準確性。
3.2 制定安全風險源控制方式
針對于大型游樂設備風險源評估成果,就要對其實施控制。其中有一點非常重要,在對具體風險進行消除的同時,或者說是對其安全風險進行最小化的時候,一定要確保不能導致出現(xiàn)其他新的安全風險,如果在風險源控制過程中,沒有做到這一點,那么也必須找到合適的方式對新的風險進行控制。大型游樂設備風險源控制最不可缺少的方式也就包括有:對機器防護進行附加;增加設備維護和檢查;對其工作流程進行改善;預備個人防護裝備;加強操作人員綜合能力培訓。
根據(jù)本人對大型游樂設備檢驗工作十多年的實踐和經(jīng)驗,現(xiàn)以某公司的懸掛式大型過山車為例,簡述一下懸掛式大型過山車在使用運行中的風險源和相應安全對策。
因為過山車是屬于滑行類游樂設備,利用提升設備將整列過山車提升到一定的高度后靠過山車自重慣性在軌道上運行來完成一周的運動,設備在軌道上運行的速度達到每小時80公里以上,離心力是相當大的。最大的風險源有以下幾點。
(1)座艙的人體安全裝置是由壓肩式壓杠,是保障游客安全的首要部件;(2)其次是安全帶,是保障游客安全的附件;(3)座艙的吊臂軸和吊臂;(4)行走輪、側(cè)輪、底輪、車輛連接軸、車輛連接的二道保護裝置;(5)行走輪、側(cè)輪、底輪輪轂及軸承;(6)行走輪、側(cè)輪、底輪支架;(7)車架主要受力的焊。(8)制動系統(tǒng)裝置。(9)防車輛逆行裝置;(10)軌道對接焊縫、(11)支架與軌道的連接焊縫、(12)過壓保護裝置。
認識和了解了上述最大的風險點,在對設備的日常維護檢查過程中,給予重點的檢查和關(guān)注,加強日檢、周檢、月檢和年檢,每天在開機前進行重點檢查,并利用檢測儀器進行檢測,安全壓肩和安全帶是否有效,及時發(fā)現(xiàn)所有連接軸和懸臂、支架、輪架、輪轂等有無裂紋。制動裝置的剎車片是否牢固可靠以及磨損情況,氣動裝置是否有效。并制定一套有效的安全檢查程序制度,及時發(fā)現(xiàn)問題,及時消除安全隱患。最大限度地保證游客的生命安全。
4 結(jié)語
綜上所述,在大型游樂設備發(fā)展過程中,風險評估在設備安全維護中具有重要的指導作用和意義,其不但能夠提高設備安全性,為游客生命安全提供保障。可以說,在整個游樂行業(yè)的體系中,大型游樂設備風險評估是安全運行的不可缺少的重要一環(huán)。讓每個人對設備風險都有一個充分的認識,從而制定有效的風險預控方案,最大化的消除或者減少安全風險的存在,為廣大游客提供刺激和快樂的同時,也能夠有效的保障其生命安全。隨著人們生活水平的提高,大型游樂設備應用率也越來越高,但是頻繁出現(xiàn)的大型游樂設備安全事故,對人們的游樂興趣產(chǎn)生了一定的心理影響。為了能夠提高大型游樂設備安全性,必須要對其安全維護工作進行加強,其中對大型游樂設備風險評估在其安全維護中,具有重要的指導意義。以上本文就對我國大型游樂設備安全現(xiàn)狀及風險評估在安全維護中的作用進行分析,并詳述和分析大型游樂設備的風險評估方式和意義,以供參考。
參考文獻
[1] 劉愛國,尹獻德,劉愛民,等.我國游樂設施安全法規(guī)體系的建立與分析[J].中國安全科學學報,2009(5):38-42.
[2] 曄瑋.心跳的游樂能讓你“心不跳”[J].大眾健康,2010(11):52-53.
[3] 張煜,張新東,李向東,等.我國大型游樂設施風險分析研究[J].中國安全生產(chǎn)科學技術(shù),2013(9):225-226.
[4] 李振華.特種設備檢驗機構(gòu)面臨的風險及規(guī)避[J].河北企業(yè),2011(4):262-263.
一、引言
電子政務是指政府運用現(xiàn)代計算機和網(wǎng)絡技術(shù),將其承擔的公共管理和服務職能轉(zhuǎn)移到網(wǎng)絡上進行,同時實現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化,超越時間、空間和部門分隔的制約,向社會提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務。電子政務的實施使得政府事務變得公開、高效、透明、廉潔,并實現(xiàn)全方位的信息共享。與此同時,政務信息系統(tǒng)的安全問題也變得非常重要。政務信息系統(tǒng)的安全一旦發(fā)生問題,就會影響其功能的發(fā)揮,甚至對政府部門和社會公眾產(chǎn)生危害,嚴重的還將對國家信息安全乃至國家安全產(chǎn)生威脅。
目前,電子政務系統(tǒng)的安全風險問題越來越受到重視,因此有必要對電子政務系統(tǒng)的安全性進行評估。對電子政務系統(tǒng)的風險評估,就是對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅及其發(fā)生的可能性,以及脆弱性被威脅源利用后所產(chǎn)生的負面影響的評估。信息系統(tǒng)安全的風險評估結(jié)果,對組織機構(gòu)在信息安全措施的選擇、信息安全保障體系的建設等問題做出合理的決策有著重要的指導作用。
本文主要是根據(jù)英國標準協(xié)會(British Standard Institute)制定的信息安全標準BS7799,基于大量的安全行業(yè)經(jīng)驗,借助漏洞掃描等先進的技術(shù),從內(nèi)部和外部兩個角度,對電子政務系統(tǒng)存在的安全威脅和脆弱性進行分析,對系統(tǒng)面臨的風險進行全面的評估,并通過制定相應措施消除、減少、監(jiān)控脆弱性以求降低風險性,從而保障信息系統(tǒng)的機密性、完整性和可用性。
二、電子政務系統(tǒng)安全風險評估的關(guān)系模型及分析方法
電子政務系統(tǒng)安全風險評估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標準,對系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程。風險評估要求對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響進行評估,并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。
⒈電子政務風險評估的關(guān)系模型
風險評估的出發(fā)點是對與風險有關(guān)的各因素的確認和分析,各因素之間的關(guān)系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風險相關(guān)的各類因素之間的關(guān)系做出了說明,這些因素之間的主要關(guān)系對風險評估的實施方法是很重要的,概述如下:
――威脅和薄弱點因素都將導致安全風險增加,資產(chǎn)擁有的價值越大,其可能存在的安全風險也越大,而風險控制則用來降低安全風險;
――威脅因素產(chǎn)生和增加安全風險的過程是:利用系統(tǒng)中的薄弱點實施攻擊(或其他破壞),從而對資產(chǎn)的價值造成不利影響,導致產(chǎn)生和增加安全風險;
――薄弱點對風險的增加只能通過威脅對其利用的過程來完成;
――安全要求的引出來自于安全風險,這體現(xiàn)了認識和確定風險的意義所在。
由此可以看出,威脅和薄弱點增加風險的方式是不同的。對于信息系統(tǒng)內(nèi)的資產(chǎn)來說,威脅是外部因素,而脆弱性則為系統(tǒng)自身所有,它們相當于矛盾的外因和內(nèi)因。
風險評估的過程就是將這些因素間的關(guān)系體現(xiàn)出來,查看組織機構(gòu)是否屬于以下三種情況之一:
――當風險在可以接受的情況下,即使系統(tǒng)面臨威脅,也不需要采取安全措施;
――系統(tǒng)存在某些脆弱點,但還沒有被威脅所利用,這時需要安全措施能夠監(jiān)控威脅環(huán)境,以防止利用該脆弱點的威脅的發(fā)生;
――被采取的安全措施保護資產(chǎn)、減少威脅發(fā)生所造成的影響,將殘余風險降低到可接受的程度。
研究表明,組織機構(gòu)的信息系統(tǒng)的安全程度應該要滿足組織機構(gòu)現(xiàn)在的應用需求;如果顯示組織機構(gòu)的信息系統(tǒng)存在不可接受的風險,那么就應該對該信息系統(tǒng)的安全措施進行改進,以達到第三種情況的要求。
⒉電子政務系統(tǒng)的常用風險分析方法及其比較
目前,由于我國信息系統(tǒng)風險的安全評估才剛剛起步,因此我國現(xiàn)在所做的評估工作主要以定性評估為主,而定量分析尚處于研究階段。在風險評估過程中,可以采用多種操作方法,包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析,等等。無論采用何種方法,其共同的目標都是找出組織機構(gòu)的信息系統(tǒng)面臨的風險及其影響,以及目前該信息系統(tǒng)安全水平與組織機構(gòu)安全需求之間的差距。
⑴定量分析方法
定量分析方法的思想是,對構(gòu)成風險的各個要素和潛在損失的水平賦以數(shù)值或貨幣的金額,當度量風險的所有要素(資產(chǎn)價值、威脅可能性、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結(jié)果就可以量化。
從定量分析的過程中可以發(fā)現(xiàn),最為關(guān)鍵的是對威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看,通過定量分析可以對安全風險進行準確的分級,能夠獲得很好的風險評估結(jié)果。但是,對安全風險進行準確分級的前提是保證可供參考的數(shù)據(jù)指標正確,而對于信息系統(tǒng)日益復雜多變的今天,這個前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計缺乏長期性,計算過程又極易出錯,定量分析的細化非常困難,所以目前風險評估分析很少完全只用定量的分析方法進行分析。
⑵定性分析方法
定性分析方法是目前采用最為廣泛的一種方法,它需要憑借評估分析者的經(jīng)驗、知識和直覺,結(jié)合標準和慣例,為風險評估要素的大小或高低程度定性分級,帶有很強的主觀性。定性分析的操作方法可以多種多樣,包括小組討論(如Delphi方法)、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對容易,但可能會因為評估分析者在經(jīng)驗和直覺上的偏差而使分析結(jié)果失準。
⑶定量和定性分析方法的比較
與定量分析相比,定性分析的準確性較好但精確性不夠,而定量分析則相反;定性分析沒有定量分析的計算負擔,但要求分析者具備一定的經(jīng)驗和能力;定量分析依賴大量的統(tǒng)計數(shù)據(jù),定性分析則沒有這方面的要求;定性分析較為主觀,定量分析基于客觀;定量分析的結(jié)果很直觀,容易理解,而定性分析的結(jié)果則很難統(tǒng)一。由于定量分析和定性分析兩種方法各有其優(yōu)缺點,現(xiàn)在的風險評估大都采用兩者相結(jié)合的方法進行分析,在不容易獲得準確數(shù)據(jù)的情況下采用定性分析方法,在定性分析的基礎(chǔ)上使用定量方法進行計算以減少其主觀性。
三、電子政務系統(tǒng)安全風險評估要素的提取原則、方法及量化
電子政務系統(tǒng)安全的風險評估是一個復雜的過程,它涉及系統(tǒng)中物理環(huán)境、管理體系、主機安全、網(wǎng)絡安全和應急體系等方面。要在這么廣泛的范圍內(nèi)對一個復雜的系統(tǒng)進行一個全面的風險評估,就需要對系統(tǒng)有一個非常全面的了解,對系統(tǒng)構(gòu)架和運行模式有一個清醒的認識。可見,要做到這一點就需要進行廣泛的調(diào)研和實踐調(diào)查,深入系統(tǒng)內(nèi)部,運用多種科學手段來獲得信息。
⒈評估要素提取的原則
評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎(chǔ)和前提。評估要素提取得成功與否,直接關(guān)系到整個風險評估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量,應堅持以下原則:
⑴準確性原則。該原則要求所收集到的信息要真實、可靠,這是信息收集工作的最基本要求;
⑵全面性原則。該原則要求所搜集到的信息要廣泛、全面完整;
⑶時效性原則。信息的利用價值取決于該信息是否能及時地提供,即具備時效性。
⒉評估要素提取的方法
信息系統(tǒng)風險評估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。
信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務資產(chǎn)等(參見表1)。資產(chǎn)的價值由固有價值、它所受傷害的近期影響和長期結(jié)果所組成。
目前使用的風險評估方法大多需要對多種形式資產(chǎn)進行綜合評估,所獲取的信息范圍應包含全部的上述內(nèi)容,只有這樣,其結(jié)果才是有效全面的。同時,資產(chǎn)評估時還要考慮以下方面:
――業(yè)務中最重要的部分是什么?如何通過使用或處理信息而使它們得到支持?這種支持的重要程度如何?
――哪些關(guān)于資產(chǎn)的重要決定取決于信息的準確度、完整性或可用性?
――哪些資產(chǎn)信息需要加以保護?
――安全事件對業(yè)務或者對該組織的資產(chǎn)影響是什么?
在考慮安全事件對組織資產(chǎn)的影響時,可以參考以下4個方面:
――信息資產(chǎn)的購買價值;
――信息資產(chǎn)的損毀對組織業(yè)務的影響;
――信息資產(chǎn)的損毀對政府形象的負面影響;
――信息資產(chǎn)的損毀對政府長期規(guī)劃和遠景發(fā)展的影響。
在進行資產(chǎn)、威脅和漏洞信息獲取時,需要整體考慮以下的對應關(guān)系:
――每一項資產(chǎn)可能存在多個威脅;
――威脅的來源可能不止一個,應從人員(包括內(nèi)部和外部)、環(huán)境(如自然災害)、資產(chǎn)本身(如設備故障)等方面加以考慮;
――每一個威脅可能利用一個或是數(shù)個薄弱點;
――每個薄弱點對系統(tǒng)的威脅程度和等級有很大的不同,有的威脅不能消除,只能采取降低威脅程度的策略;
――要考慮各種威脅之間的相互依賴關(guān)系和交叉關(guān)系;
――考慮威脅薄弱點等隨時間和信息系統(tǒng)的進化而變化的特點,對其要以發(fā)展的觀點進行分析。
⒊評估要素量化
對每個安全要素的危害性采取風險模式影響及危害性分析法進行分析,最終得到被評估系統(tǒng)的風險狀況。
風險影響等級的劃分見表2。
為了計算方便,對(v1,v2,v3,v4 ,v5)用(0,0.2,0.5,0.8,1)表示。同時為了討論方便,在這里定義如表3所示的表示符號。
根據(jù)信息安全管理體系BS7799的結(jié)構(gòu)特點,對安全要素風險事件的分析主要建立在前三層上。
標準中的第一層是十大管理要項,它標識了被評估系統(tǒng)在各個資產(chǎn)上的重要程度。λi表示系統(tǒng)資產(chǎn)權(quán)重分配情況,此時有=1。
標準中的第二層是管理目標層,根據(jù)BS7799標準的結(jié)構(gòu)特點,對該層安全要素的風險分析主要是確立其危害程度。該危害程度由評估專家和系統(tǒng)用戶參照表2制定。這里采用Ei,j表示第i個管理要項下的第j個管理目標風險的安全要素危害程度。
標準中的第三層是控制措施層,對該層安全要素的風險分析主要考慮安全要素風險發(fā)生的重要程度。用λi,j,k代表第i個管理要項下的第j個管理目標下的第k個控制措施的安全要素風險權(quán)重系數(shù)。此時,有=1(第j個管理目標下有m個控制措施)。
確立每一層安全要素風險評價如下:
假設第i個管理要項下的第j個管理目標下的第k個控制措施風險發(fā)生的概率是αi,j,k,則有:
第i個管理要項下的第j個管理目標的風險發(fā)生概率是:
Vi,j=(假設第j個管理目標下有m個控制措施)
第i個管理要項的風險評價是:
Vi=(假設第i個管理要項下有n個管理目標)
最終的風險評價是:V=
綜合可得系統(tǒng)風險評價表達式:
V==
式中:λi由被評估系統(tǒng)的用戶或評估發(fā)起者在填寫評估任務時分配。λi,j,k、Ei,j可以通過風險評估數(shù)據(jù)庫中的權(quán)重系數(shù)表和危害程度表獲取。
最后通過判斷V落在預先定義好風險評價集的哪一部分,即可判斷被評估系統(tǒng)的風險等級。參照相應的風險等級的描述,從而可以得到被評估系統(tǒng)的總體風險狀況及具體改進意見。
四、電子政務系統(tǒng)安全風險評估的流程
電子政務系統(tǒng)安全的風險評估是組織機構(gòu)確定信息安全需求的過程,包括環(huán)境特性評估、資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風險認定等在內(nèi)的一系列活動(風險評估的流程詳見圖2)。
五、電子政務系統(tǒng)安全風險評估的實施
電子政務系統(tǒng)安全的風險評估是一項復雜的工程,除了應遵循一定的流程外,選擇合理的方法也很重要。為了使風險評估全面、準確、真實地反映系統(tǒng)的安全狀態(tài),在實施風險評估過程中需要采用多種方法。通過對安徽行政學院開發(fā)的電子政務模擬教學系統(tǒng)的風險評估,證明這樣的評估流程是正確可行的,其實施過程如下:
⒈參與系統(tǒng)實踐
系統(tǒng)實踐是獲得信息系統(tǒng)真實可靠信息的最重要手段。系統(tǒng)實踐是指深入信息系統(tǒng)內(nèi)部,親自參與系統(tǒng)的運行,并運用觀察、操作等方法直接從信息系統(tǒng)中了解情況,收集資料和數(shù)據(jù)的活動。
⒉建立問卷調(diào)查表
問卷調(diào)查表是通過問題表的形式,事先將需要了解的問題列舉出來,通過讓信息系統(tǒng)相關(guān)人員回答相關(guān)問題而獲取信息的一種有效方式。現(xiàn)在的信息獲取經(jīng)常利用這種方式,它具有實施方便,操作方便,所需費用少,分析簡潔、明快等特點,所以得到了廣泛的應用。但是它的靈活性較少,得到的信息有時不太清楚,具有一定的模糊性,信息深度不夠等;還需要其他的方式來配合和補充。
⒊實用輔助工具的使用
在信息系統(tǒng)中,網(wǎng)絡安全狀況、主機安全狀況等難以用眼睛觀察出來,需要借助優(yōu)秀的網(wǎng)絡和系統(tǒng)檢測工具來監(jiān)測。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點,以及在配置上可能存在的威脅系統(tǒng)安全的錯誤,這些因素很可能就是破壞目標主機安全性的關(guān)鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患,但并不能完全代替人做所有的工作,而且掃描的結(jié)果往往是不全面的。
⒋從文獻檔案中獲取信息
文獻和檔案記錄了關(guān)于信息系統(tǒng)的許多重要的參數(shù)和特性。通過文檔和資料的查閱,可以獲取比較完整的系統(tǒng)信息,獲得系統(tǒng)的歷史經(jīng)驗。在風險評估過程中,這也是十分重要的一種信息獲取方式。
總之,在進行全面問卷調(diào)查和現(xiàn)場測試的基礎(chǔ)上,經(jīng)過集中分析研究,可以得出《電子政務系統(tǒng)安全分析報告》,報告應該包括以下內(nèi)容:關(guān)鍵資產(chǎn)清單、安全威脅和脆弱性清單、分類和概率分布、實施的保護措施清單、風險等級和分類、保護措施建議、整體安全風險評價及應急處理議案,等等。
六、結(jié)論
隨著信息安全工作的重要性和緊迫性得到越來越廣泛的認同,對風險評估的研究也在不斷地深入。風險評估是一個從理論到實踐,再從實踐到理論的過程,在不斷的往復循環(huán)中得以逐步完善。經(jīng)過幾年的探索,我國有關(guān)方面已經(jīng)在信息安全風險評估方面做了大量工作,積累了一些寶貴的經(jīng)驗,然而由于起步晚,也存在以下一些亟待解決的問題:
⑴國內(nèi)外風險評估方法的研究有待于在實踐中檢驗;
⑵風險評估的工作流程和技術(shù)標準有待完善;
⑶自動化的風險評估工具有待加大研發(fā)投入和推廣。
參考文獻:
朱方洲,李旭軍.電子政務安全保障體系的研究[J].電腦學習,2006(3):42-43
馬立鋼,夏軍利.信息系統(tǒng)安全風險評估[J].現(xiàn)代計算機:專業(yè)版,2006(1):49-53
王大虎,楊維,柳艷紅.移動通信信息系統(tǒng)安全風險評估的研究[J].中國安全科學學報,2005,15(7):74-78
聶曉偉,張玉清,楊鼎才,等.基于BS7799標準風險評估方法的設計與應用[J].計算機工程,2005,31(19):70-72
科飛管理咨詢公司.信息安全管理概論―理解與實施[M].北京:機械工業(yè)出版社,2002
閆強,陳鐘,段云所,等.信息安全評估標準、技術(shù)及其進展[J].計算機工程,2003(6)
作者簡介:
周偉良,1967年生,湖南長沙人,安徽行政學院(安徽經(jīng)濟管理學院)信息管理系主任,副教授,博士,主要研究方向為電子政務、管理信息系統(tǒng)。
我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標準方面工作,完成了許多安全技術(shù)標準的制定,如GB/T18336、GB17859等。在信息系統(tǒng)的安全管理方面,我國目前在BS7799和ISO17799及CC標準基礎(chǔ)上完成了相關(guān)的標準修訂,我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇,信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注,如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。
2高校信息安全風險評估模型
2.1信息安全風險評估流程
[2]在實施信息安全風險評估時,河南牧業(yè)經(jīng)濟學院成立了信息安全風險評估小組,由主抓信息安全的副校長擔任組長,各個相關(guān)單位和部門的代表為成員,各自負責與本系部相關(guān)的風險評估事務。評估小組及相關(guān)人員在風險評估前接受培訓,熟悉運作的流程、理解信息安全管理基本知識,掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面:建立風險評估準則。建立評估小組,前期調(diào)研了解安全需求,確定適用的表格和調(diào)查問卷等,制定項目計劃,組織人員培訓,依據(jù)國家標準確定各項安全評估指標,建立風險評估準則。資產(chǎn)識別。學院一卡通管理系統(tǒng)、教務管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標識。威脅識別。識別網(wǎng)絡入侵、網(wǎng)絡病毒、人為錯誤等各種信息威脅,衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風險識別。進行風險場景描述,依據(jù)國家標準劃分風險等級評價風險,編寫河南牧業(yè)經(jīng)濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制,編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示:
2.2基于PDCA循環(huán)的信息安全風險評估模型
PDCA(策劃—實施—檢查—措施)經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀30年代構(gòu)想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入,該循環(huán)在各類管理領(lǐng)域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段,每個階段都有階段任務和目標,如圖2所示,四個階段為一個循環(huán),一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進,如圖3所示。
3基于PDCA循環(huán)模型的信息安全風險評估的實現(xiàn)
[3-5]河南牧業(yè)經(jīng)濟學院信息系統(tǒng)安全風險評估的研究經(jīng)驗積累不足,本著邊實踐邊改進,逐步優(yōu)化的原則,學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據(jù),是有效進行信息安全風險評估的前提。學院擁有3個校區(qū),正在逐步推進數(shù)字化校園的建設。校園網(wǎng)一卡通、教務、資產(chǎn)、檔案等管理系統(tǒng)是學院網(wǎng)絡核心業(yè)務系統(tǒng),同時各院系有自己的各類教學系統(tǒng)平臺,由于網(wǎng)絡環(huán)境的復雜性,經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡攻擊,信息安全防范問題已經(jīng)很突出。信息安全風險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學院各類信息系統(tǒng)進行全面的風險評估(圖4),以便下一步對存在的風險進行有效的管理,根據(jù)信息系統(tǒng)安全風險評估報告,提出相應的系統(tǒng)安全方案建議,對全院信息系統(tǒng)當前突出的安全問題進行實際解決。
3.1建立信息安全管理體系環(huán)境風險評估(P策劃)
風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內(nèi)外環(huán)境及管理現(xiàn)狀,制定包括準確的目標定位、具體的應對實施計劃、合理的經(jīng)費預算、科學的技術(shù)手段等風險評估管理規(guī)劃。風險規(guī)劃內(nèi)容包括確定范圍和方針、定義風險評估的系統(tǒng)性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領(lǐng)導批準,評估小組開始實施和運作信息安全管理體系。
3.2實施并運行信息安全管理體系(D實施)
該階段的任務是管理運作適當?shù)膬?yōu)先權(quán),執(zhí)行選擇控制,以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具,將常見的風險評估方法集成到軟件之中,包括有信息資產(chǎn)和應用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具,安全風險評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復雜的風險評估工作,從而提高學院的信息安全管理水平。
3.3監(jiān)視并評審信息安全管理體系(C檢查)
檢查階段是尋求改進機會的階段,是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學院在系統(tǒng)實施過程中,規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數(shù)據(jù),但在具體項目實施中,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴重影響學院整體信息系統(tǒng)安全評估的可靠性,為了強化人員責任意識,除了加強風險評估的培訓外,還制定相應的懲罰獎勵制度,實時進行監(jiān)督檢查,盡最大可能保證風險評估數(shù)據(jù)的準確性[6]。
3.4改進信息安全管理體系(A措施)
經(jīng)過以上3個步驟之后,評估小組報告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來明顯的效果,是繼續(xù)執(zhí)行,還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后,信息安全狀況有了明顯的改善,信息管理人員安全責任意識明顯提升,遭受到的內(nèi)外網(wǎng)絡攻擊、網(wǎng)絡病毒等風險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學院其他的部門或領(lǐng)域,開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。
4結(jié)語
【 關(guān)鍵詞 】 風險評估;風險分析;項目管理
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083;
2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務信息系統(tǒng)關(guān)系到國計民生,因此保障電子政務系統(tǒng)的信息安全是我國經(jīng)濟與社會信息化的先決條件之一,是國家信息化建設的重要內(nèi)容。如何保證政務信息系統(tǒng)的安全性,風險評估是一項很基礎(chǔ)的工作。通過對政務信息系統(tǒng)進行風險評估,可以了解信息與網(wǎng)絡系統(tǒng)目前與未來的風險所在,充分評估這些風險可能帶來的威脅與影響的程度,依據(jù)系統(tǒng)的風險和威脅,進行針對性的防范,做到“對癥下藥”,可以有效解決政務信息系統(tǒng)的安全問題。
1 政務系統(tǒng)風險評估概述
1.1 風險評估的概念
政務系統(tǒng)的信息安全關(guān)心的是保護政務信息資產(chǎn)免受威脅。風險評估是有效保證信息安全的前提條件,也是建立在網(wǎng)絡入侵防護系統(tǒng)、實施風險管理程序所開展的一項基礎(chǔ)性工作。其工作原理是對系統(tǒng)所采用的安全策略和管理制度進行評審,發(fā)現(xiàn)不合理的地方,采用模擬化攻擊的方式對系統(tǒng)可能存在的安全漏洞進行逐項檢查,確定存在的安全問題與風險級別。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平提供重要依據(jù)。
風險評估的目的是全面、準確地了解政務信息系統(tǒng)的安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害,為后期進一步安全防護技術(shù)的實施提供了嚴謹?shù)陌踩碚撘罁?jù),為決策者制定網(wǎng)絡安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。
1.2 風險評估的范圍
政務信息系統(tǒng)風險評估的內(nèi)容與范圍需要涵蓋整個系統(tǒng),包括系統(tǒng)安全管理的狀況、網(wǎng)絡及安全防護技術(shù)架構(gòu)、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務系統(tǒng)加密情況、系統(tǒng)訪問控制狀況等。在政務信息系統(tǒng)的安全防護工作中,“人”是關(guān)鍵要素,無論系統(tǒng)所采用的安全技術(shù)、安全策略和安全手段多么現(xiàn)代化與智能化,都需要“人”去操作、運行和管理。如果信息系統(tǒng)的安全管理水平落后,人員素質(zhì)不高,那么政務信息系統(tǒng)的安全性就會減弱,安全漏洞就會增加。
1.3 風險評估的原則和依據(jù)
1.3.1指導原則
由于政務信息系統(tǒng)風險評估涉及的內(nèi)容較多,因此在進行評估時就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實際,從技術(shù)到管理,從設備到人員,來具體制定詳細的評估計劃和分析步驟,避免遺漏。在評估時一般需遵循的如下幾個原則:標準性、可靠性、可控性、保密性、技術(shù)先進和成熟性、全面性、高效性、持續(xù)性。
1.3.2相關(guān)法規(guī)和政策
《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院令147號);
《商用密碼管理條例》(國務院令 273號);
《計算機信息系統(tǒng)安全保護等級劃分準則》;
《計算機機房場地安全要求》(GB9361-88);
《信息安全技術(shù)-信息安全風險評估規(guī)范》( GB/T 20984—2007)。
2 政務信息風險評估工作流程
2.1 系統(tǒng)調(diào)查
開展政務信息系統(tǒng)風險評估的第一步就是進行系統(tǒng)調(diào)查。通過調(diào)查政務信息系統(tǒng)上運行的所有應用,了解系統(tǒng)主要業(yè)務的流程,清楚的掌握支持業(yè)務運行的硬件基礎(chǔ)設施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀,收集風險評估所需的系統(tǒng)全部信息。在進行系統(tǒng)調(diào)查的同時,還需對系統(tǒng)風險評估的評估范圍進行分析、界定。對系統(tǒng)邊界進行明確定義,有助于防止不必要的工作,并對改進風險評估的質(zhì)量都是很重要的。
【關(guān)鍵詞】企業(yè)風險;風險評估系統(tǒng)
一、研究背景
在全球經(jīng)濟一體化的大背景下,企業(yè)間的國際競爭加劇,面臨的風險也更加多樣化。金融危機的發(fā)生導致很多企業(yè)成了金融危機時代的犧牲品。我國企業(yè)想要在激烈的競爭中生存并且健康發(fā)展,必須提高企業(yè)競爭力,從內(nèi)部完善自己,加強企業(yè)管理,建立完善的內(nèi)部控制制度,找到適合我國企業(yè)的內(nèi)部控制和風險管理制度,識別和衡量企業(yè)面對的內(nèi)外風險以提高企業(yè)的競爭能力,實現(xiàn)企業(yè)的價值已成為了企業(yè)當前最迫切的任務。風險評估是內(nèi)部控制的重要組成部分,2006年,財政部、證監(jiān)會等五部委聯(lián)合的《企業(yè)內(nèi)部控制基本規(guī)范》中指出:企業(yè)建立與實施有效的內(nèi)部控制,應當包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督這五要素。其中,風險評估是指企業(yè)應當及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險,并合理確定風險應對策略。若企業(yè)不能及時識別風險及其可能帶來的影響,及時調(diào)整企業(yè)的戰(zhàn)略方向,則可能錯過化解風險的最好時機,不能避免風險所帶來損失的擴大,增加企業(yè)陷入財務或經(jīng)營困難的可能性。當前信息技術(shù)發(fā)展迅速,逐漸成為促進經(jīng)濟發(fā)展和社會進步的巨大推動力,信息技術(shù)在會計、審計等方面均有廣泛的運用,提高了信息采集、交換、處理、存儲的準確性和效率。信息技術(shù)的發(fā)展也為內(nèi)部控制提供了支持平臺,特別是內(nèi)部控制風險評估方面,其他相關(guān)信息系統(tǒng)所產(chǎn)生的數(shù)據(jù)為風險評估帶來大量有用的信息,通過將風險評估與信息化結(jié)合,能夠?qū)崿F(xiàn)對企業(yè)風險變化的實時觀測與控制,并利用風險信息的變化情況對企業(yè)的未來財務形勢做出合理的預測,提高企業(yè)的管理水平。本文基于以上背景,探討信息化環(huán)境下內(nèi)部控制風險評估系統(tǒng)的構(gòu)建。
二、內(nèi)部控制風險評估信息系統(tǒng)的優(yōu)勢
內(nèi)部控制風險評估系統(tǒng)是采用現(xiàn)代信息技術(shù),對風險評估流程進行重整,使信息技術(shù)與風險評估系統(tǒng)高度融合,使風險評估過程高度自動化,信息高度共享,并且能夠進行主動和實時報告風險評估信息,迅速提高企業(yè)的現(xiàn)代管理水平、滿足現(xiàn)代企業(yè)管理需要。將信息化運用在內(nèi)部控制風險評估上主要有以下優(yōu)勢:(1)實時監(jiān)測。信息化內(nèi)部控制風險評估使得實時檢測成為可能,當經(jīng)過某個時間點或約定的事項發(fā)生時,可以馬上觸發(fā)系統(tǒng)的運行,進行新一輪的風險評估,不需要人工檢測,減少了人力的耗費,并且當風險評估的結(jié)果超過風險臨界值時,系統(tǒng)會迅速反應,將問題報告提交給相關(guān)人員,幫助以最快的速度采取應對措施,防止因反應不及時導致風險加劇,降低損失擴大的可能性。(2)信息高度共享。信息化內(nèi)部控制風險評估所用數(shù)據(jù)可以來自企業(yè)其他信息系統(tǒng)的數(shù)據(jù)庫中,實現(xiàn)與現(xiàn)有信息系統(tǒng)的數(shù)據(jù)庫對接,提高信息的利用率。在風險評估時不需要重新收集風險評估相關(guān)數(shù)據(jù),避免在信息采集、存貯和管理上重復浪費,大大減輕了工作量,節(jié)約成本,并且避免了相關(guān)數(shù)據(jù)更新后風險評估系統(tǒng)沒有及時得到最新數(shù)據(jù)的可能性。(3)決策支持。內(nèi)部控制風險評估系統(tǒng)在運行時會產(chǎn)生大量的風險評估數(shù)據(jù),這些數(shù)據(jù)可以為管理者提供決策支持,管理者通過對這些大量的風險評估數(shù)據(jù)進行數(shù)據(jù)挖掘,能夠發(fā)現(xiàn)潛在有用的數(shù)據(jù),發(fā)現(xiàn)異常情況,判斷風險數(shù)據(jù)的變化過程,及時做出正確有效的決策。
三、內(nèi)部控制風險評估系統(tǒng)的構(gòu)建
構(gòu)建內(nèi)部控制風險評估系統(tǒng)需要一系列的步驟,首先應該設立風險評估的指標體系,并分別設置指標體系的權(quán)重,確定重點關(guān)注的風險,設置整體風險的臨界值。之后進行風險的評估過程,獲取所需要的數(shù)據(jù),進行實時評估,生成評估報告并存檔,當評估中出現(xiàn)重要指標或整體指標超過臨界值時,生成預警報告,提交給相關(guān)人員,相關(guān)人員在進行風險控制活動之后,將整改報告提交給系統(tǒng)。內(nèi)部控制風險評估系統(tǒng)的大致過程如下圖所示:
1.建立指標體系。要進行風險評估,首先應該縱觀企業(yè)生產(chǎn)經(jīng)營活動的全過程,發(fā)現(xiàn)、認識和了解企業(yè)存在的各種風險以及風險可能帶來的嚴重后果.財政部、證監(jiān)會等五部委聯(lián)合的《企業(yè)內(nèi)部控制基本規(guī)范》中指出:企業(yè)識別內(nèi)部風險,應當關(guān)注管理因素、人力資源因素、財務因素、安全環(huán)保因素、自主創(chuàng)新因素、其他有關(guān)內(nèi)部風險因素這六大因素。因為安全環(huán)保因素不易于定量研究,并且安全環(huán)保因素對我國企業(yè)的生產(chǎn)經(jīng)營風險的影響尚不明顯,本文在建立指標體系中以企業(yè)外部經(jīng)濟環(huán)境安全因素替代安全環(huán)保因素,采用了反映企業(yè)管理因素、人力資源因素、財務因素、自主創(chuàng)新因素、企業(yè)外部經(jīng)濟環(huán)境安全因素、其他風險因素等相關(guān)財務指標體系進行評估。企業(yè)會計準則對企業(yè)會計信息質(zhì)量提出八點要求,即企業(yè)財務信息具有可靠性、相關(guān)性、可比性、可理解性、實質(zhì)重于形式、謹慎性、重要性、及時性的特征。以財務指標作為評估企業(yè)風險的依據(jù),使評估結(jié)果更為合理、公允。本文對于各個一級指標,均設立了二級指標對一級指標進行細分。本文建立的風險評估財務指標體系如下表所示:
(1)管理因素評估指標構(gòu)建
(2)人力資源因素評估指標構(gòu)建
(3)財務因素評估指標構(gòu)建
(4)自主創(chuàng)新因素評估指標構(gòu)建
(5)外部經(jīng)濟環(huán)境安全因素評估指標構(gòu)建
(6)其他風險因素評估指標構(gòu)建
對于每一個指標,企業(yè)可以根據(jù)自己的情況進行下一級別的細分或者增設、刪除其他的指標,來改變風險評估指標體系的結(jié)構(gòu)和內(nèi)容,以使得風險評估指標體系更加適合于企業(yè)的具體情況
2.風險評估,輸入權(quán)重、風險臨界值。風險評估指標體系的衡量指標的具體數(shù)值可以通過兩種方式獲得:通過數(shù)據(jù)庫讀入或者手工輸入。企業(yè)在信息化的實施過程中使用各種信息系統(tǒng),例如管理信息系統(tǒng)、企業(yè)信息系統(tǒng)、企業(yè)資源規(guī)劃系統(tǒng)等。這些系統(tǒng)在運行過程中會產(chǎn)生大量的數(shù)據(jù),有一些數(shù)據(jù)可以直接為風險評估所使用。例如,在評估應收賬款風險時,要使用應收賬款周轉(zhuǎn)率、壞賬比例、商品賒銷比例、客戶信用等指標,這些指標的具體數(shù)值可以通過會計信息系統(tǒng)以及客戶關(guān)系管理系統(tǒng)獲得,通過讀取會計信息系統(tǒng)、客戶關(guān)系管理系統(tǒng)的數(shù)據(jù)庫,可以得到實時數(shù)據(jù),進行實時風險評估。輸入權(quán)重,要根據(jù)企業(yè)的具體情況來確定企業(yè)對風險的可接受程度,設立風險臨界值。風險臨界值的確定要根據(jù)行業(yè)性質(zhì)、規(guī)模、特點及同行業(yè)相關(guān)指標的平均值、估計最大值、估計最小值等因素分為整體風險臨界值和個別風險臨界值,整體臨界值為根據(jù)各個指標風險可接受程度加權(quán)算得,個別風險臨界值是根據(jù)個別指標的風險可接受程度來設置各自的臨界值,對于個別會帶來嚴重后果的重要指標,要篩選出來進行獨立觀測。讀取了所需數(shù)據(jù)之后,就可以按風險評估指標體系以及權(quán)重數(shù)值來計算整體風險以及個別重要指標的風險。將整體風險和個別重要指標的風險的計算結(jié)果生成一定格式的文檔,儲存在風險評估系統(tǒng)的數(shù)據(jù)庫中,以便隨時查看并分析風險變化的過程,更好的掌握整體風險和重要指標風險的變化趨勢,做出預測分析,評估未來風險狀況及其可能產(chǎn)生的影響,以便制定切實可行的風險戰(zhàn)略、措施與方法。計算出整體風險和重要指標風險之后,要分別將其與各自的臨界值進行對比,若整體風險數(shù)值大于整體風險臨界值,則進行風險報警,將風險報告提交給相關(guān)人員;若重要指標風險數(shù)值大于重要指標風險臨界值,也需進行風險報警,將風險報告提交給相關(guān)人員;若整體風險數(shù)值以及重要指標風險數(shù)值均小于風險臨界值,則再進入下一輪的風險評估或當外界條件改變時觸發(fā)新一輪的風險評估。
3.控制活動。相關(guān)人員在收到風險報告之后,根據(jù)風險報告中的風險指標、風險數(shù)值偏離風險臨界值的程度來確定風險嚴重程度,并采取相應風險控制措施和方法,消滅或控制風險事件發(fā)生的源頭,控制風險事件造成的損失以及范圍。在控制活動完畢之后,出具相關(guān)報告,將報告提交給風險評估系統(tǒng),作為文件存檔,以便之后隨時查閱并總結(jié)規(guī)律,提高風險評估與控制的水平。
四、總結(jié)
風險評估是企業(yè)經(jīng)營管理的重要組成部分之一,本文結(jié)合2006年出臺的《企業(yè)內(nèi)部控制規(guī)范》的要求以及前人的研究成果,探討了在信息化的環(huán)境下內(nèi)部控制風險評估系統(tǒng)的構(gòu)建,對內(nèi)部控制風險評估系統(tǒng)的各個環(huán)節(jié)進行了分解,并詳細分析了各個流程的具體實現(xiàn)方式,試圖建立一個內(nèi)部控制風險評估系統(tǒng)的框架,實現(xiàn)對企業(yè)風險變化的實時觀測與控制,利用風險信息的變化情況對企業(yè)的未來財務形勢做出合理的預測,提高企業(yè)的管理水平。
參考文獻
[1]王立勇,張秋生.企業(yè)內(nèi)部控制中的風險評估研究[J].交通財會.2002(2)
[2]關(guān)艷麗.用ERP增強企業(yè)內(nèi)部會計控制[J].寧夏機械.2007(3)
[3]郝林毅.基于內(nèi)控風險的財務預警警兆識別系統(tǒng)初探[J].科技創(chuàng)業(yè).2008(8)
[4]李雅琴.基于風險管理的企業(yè)內(nèi)部控制探析[J].會計之友.2009(7)
[5]鮑建青.基于風險管理的內(nèi)部控制研究[J].經(jīng)濟師.2009(10)
[6]杜國棟.企業(yè)內(nèi)部控制與風險管理解析[J].經(jīng)濟研究導論.2010(2)
[7]侯微.基于風險管理視角的企業(yè)內(nèi)部控制體系重構(gòu)[J].工商管理.2010(3)
