【关键词】信息系统 安全风险评估 定性 定量
随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4 结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用,2013(01):16-25.
【关键词】食品安全 风险评估 公众参与
民以食为天,食以安为先。食品安全关乎到每一个人的的日常生活及健康安全,但是近年来随着一系列的重大食品安全事故如红心鸭蛋事件、多宝鱼事件,尤其是“三鹿奶粉事件”的发生以致一时满城风雨而人心惶惶。此类食品安全事件的频繁发生不仅表明我国食品安全的不确定因素在增加,亦从侧面反映了制售假冒伪劣食品问题尚未根治,连续不断被曝光的各类食品安全事故也侧面催生了《食品安全法》的颁行。该法的实施不仅标志着实施已近14年的食品卫生法的终结更是显示了中国食品安全监管观念及监管模式的本质转变。新法充分考虑到科技发展对食品行业的未来影响,取消了食品行业的免检制度且规定将制定统一的食品安全国家标准,其中尤为引人注目的是新法相关法规所提出来的食品安全风险评估制度。
一、目前我国食品安全风险评估机制所面临的严峻考验
在广大公众对食品安全风险评估制度在我国食品安全监管的作用翘首以待之时,我国政府亦不断加强食品安全监管的力度,对食品实行严格的质量安全监管并积极推行食品安全的国际交流与合作以致全社会的食品安全意识明显提高。在食品安全风险评估与监管工作上,不但采取分段监管为主兼以品种监管为辅的方式,整个食品安全风险评估过程当中更是涉及的卫生与工商以及部门质检等多个部门的进行全方位参与。但是新法出台后接连被曝光的卷土重来的三聚氰胺、阴魂不散的地沟、漂白蘑菇以及染色馒头等事件却让公众不禁对新法的效力大失所望,尤其是对食品安全风险评估的结果甚至机制产生质疑。以2010年7月的漂白蘑菇事件为例,北京小学生张皓通过科学实验对食用菌进行了荧光增白剂检测,11月底“小学生调查蘑菇九成被漂白”等报道见报,但此报道的数据与北京市食品安全办公室12月1日所通报对北京市场销售食用菌荧光增白物质专项监测情况称样品监测合格率为97.73%的结论相差巨大,该差距引发了广大公众的关注进而成为了社会热点事件。小学生与政府部门调查结果的巨大反差也引发公众质疑,在一家网站发起的关于该事件的投票中,有1100多票选择相信小学生却只有8票投向相信工商局。[1]很多的人基于此提出食品安全的风险评估应当构建公众参与机制,那么公众是否应当参与食品安全风险的评估呢?又当如何促使公众参与呢?
二、公民参与食品安全风险评估机制的必要性
食品安全风险评估是对特定食品安全危害可能造成的负面后果进行定性或者定量分析,一般包括危害识别、危害特征描、暴露评估、风险特征描述等内容,它是食品安全风险规制的基础,也是科学防范食品安全风险的重要前提。[2]从《食品安全法》的相关规定可知目前我国现行食品安全风险评估模式为专家理性模式。基于食品安全风险评估的不确定性和依附性,专家理性模式的不足以及法律所赋予公民的参与权以及公众参与食品安全风险评估的优势可知公众参与食品安全风险评估机制是完全有必要的。
(一)食品安全风险评估的不确定性和依附性特征
首先,目前我国的食品安全风险评估采用的是基于科学的专家理性模式,而科学本身有具有的不确定性影响着风险评估过程,加之导致不利健康影响的因素又层出不穷,致使许多的风险领域还处于未知状态,且风险评估过程存在大量的数据缺口需要在论证过程中引入假设与推理。因此,食品安全风险评估中普遍存在着不确定性,以致于该评估事实上并不是纯粹客观、中立的量化推理,即使科学家持理性客观立场,也可能基于资料选取、诠释或推理过程的差异,而得出全然不同的结论。[3]而风险的本质具有主观性的特点,即现代风险并不完全是物质的存在,相当程度上是由社会定义和建构的,因此食品安全风险评估具有不确定性。
其次,《食品安全法》第十三条第二款规定,国务院卫生行政部门负责组织食品安全风险评估工作,成立由医学、农业、食品、营养等方面的专家组成的食品安全风险评估专家委员会进行食品安全风险评估。根据该条文的规定食品安全风险评估专家委员会是由国务院卫生行政部门负责组织的,该法虽未明确说明该委员会是否属于国务院卫生行政部门下属的机构,与行政部门的关系又是什么,但是各种提交的风险数据或决策建议有受到行政处罚者意向影响的嫌疑又屡为公众所质疑,我国现在担任食品安全风险评估的机构大多隶属于行政部门,且在经费来源方面几乎完全依靠政府,故我国食品安全风险评估具有依附性。
(二)专家理性食品安全风险评估模式的不足
客观地说,食品风险评估所要求的专家理性模式在很多方面都具有优势,专家相对与普通公众而言,其通常拥有关于某一方面的相对完整、全面和客观的专业知识,且能够根据具体情况预见不同方案所导致的不同的结果。然而,专家在实施评估的时候,主要是从统计学的角度或者概率的角度出发,但是食品安全风险不仅仅是一种客观的物理性存在,也是一种社会的、心理的和文化的建构。以2008年奶粉行业的“三聚氰胺”事件所引发的连锁反应为例,根据上海市食品协会的一份调查,“三聚氰胺”事件对上海整个食品行业的影响都很大,一时间闻“奶”色变,包括甜食、休闲食品行业等都受到了不小的冲击,很多以奶粉作为原料的甜食、休闲食品品牌深受其害,甚至已经产生了恐慌情绪。这与专家理性模式所隐含的以单一的物质性维度作为判断食品安全风险的否定性后果不太一致,也从侧面验证了专家理性不足与独立性不强的弊端。此外,由于参与评估的食品专家自身某些因素(如成为食品生产商的利益代言人)可能导致评估结果的不准确,而评估机制效力的有效性仅限于专家的评估结果,则有可能致使食品风险可能性的增加,有时甚至会造成严重后果。
此种模式要求设立评估专家委员会对食品风险进行监测和评估,将食品安全风险评估决定权彻底交给专家,其中预设了专家的完全理性和绝对“正义”,此种预设在科学程式和经验事实上都是欠妥当的,影响着食品安全风险评估制度效用的发挥,同时也带来了一些不可回避的问题如实施后我国食品安全事件依然频发。可见我们在肯定食品安全风险专家治理模式的同时,也要注意其中存在的可能缺陷,其中通过适度增加公众参与的相关规定来弥补这种模式不足,以提高食品安全风险评估结果的科学性和可接受性。[4]
(三)公众参与食品安全风险评估的优势
首先,宪法第 41 条明确规定了参与监督权作为公民的一项基本权利,《食品安全法》在立法理念上体现宪法的这一原则精神,并在第10条规定,任何组织或者个人有权举报生产经营中违反本法的行为,有权向有关部门了解食品安全信息,对食品安全监督管理工作提出意见和建议。因此公众具有参与食品安全风险评估的权利。其次,依靠公众参与以及群防群治才能使食品安全风险评估机制愈加完善,事实表明仅依靠专家理性食品安全风险评估模式下的食品安全环境是不能令广大消费者所满意的,只有广大公众参与到食品安全风险评估机制才有可能在源头上从各方面全方位考虑到食品安全的需求。再者,食品安全风险评估机制需要公众参与,食品安全监管只是手段,而通过严格依法监管进而为广大公众提供安全可靠的各类食品才是最终目标。政府每做出一项服务承诺不仅意味着对一定社会公共资源的利用与配置且还意味着就解决食品安全问题对公民和社会应当履行的社会责任,但在食品安全监管过程中,由于缺少公众的合理参与一定程度上导致了政府做出的监管服务承诺没有实际兑现,故不管是何种类型的服务承诺,都应该通过建立公民有效参与和社会评议承诺考核制度来保障实现。
此外,基于风险信息的不对称且专家理性与公众的理性的差距,谁又愿意将自己的健康与生命交给一个自己素不相识甚至还可能觉得有点不靠谱的专家呢?而公众参与一方面有利于减少利益集团或行政机关风险评估的危险,弥补专家受“从属性偏见”的影响而产生的不足,另一方面通过参与风险评估而正确认识风险可增进公众对于风险评估结果的支持和接受同时亦可防止专家借口专业判断而恣意作为而避免走向所谓的技术统治。
三、促使公民参与食品安全风险评估机制的建议
随着现代社会行政民主化进程的加快,公众参与行政是不可避免的话题,而食品安全风险评估为公众所参与更是大势所趋不可避免。由于食品安全风险评估上的科学证明被附加了相应的价值因素,因而专家与民意之间的价值共识也就成了风险沟通中的重要内容,而在我国目前此种内容主要是通过公众参与的方式进行表述。而通过给予法律保障与拓宽公众参与渠道、实行分层次公众参与方式并加强相关宣传教育、政府做好公众参与的反馈与提升评估透明度等能够较好的促使公众参与食品安全风险评估。
给予相关制度法律保障并多方位拓宽公众参与渠道
(一)立法机构在立法的时候应该列出公众参与食品安全风险评估的相关规定,充分保证公众参与评估的知情权与参与权,公众可以获取相关的信息并提出自己的意见及表达想法,并相信有关程序会考虑其所提出的意见,可以积极参与提出意见与选择方案,可以评论部分正式方案,能够得到政府的反馈并被通知进程及结果。[5]如食品安全委员会召开正式或非正式的专家咨询与论证会议时,应该有相关的法律规定有一定比例的公众代表参加并能够充分代表公众的意愿;再如政府制定相关食品评估的法规的相关信息、文件和发表之时,应当充分考虑公众对该法规制定的时间、事实及现实基础的合理性评价,公众可以任何方式获得政府所依赖的信息。
由于法律法规所明确规定的公众参与食品安全风险评估的渠道极少,公众参与往往面对的是诉求无门的尴尬境地,因此拓宽公众参与渠道刻不容缓。如允许公众通过非政府组织在食品风险评估时对政府的决策提出建议,开辟专门的意见收集机构并落实到位;再如允许公众利用媒体与新媒体反应公众的意愿,以厦门的PX事件为例,当地的公众通过短信突破信息限制和封锁进而聚合了公众力量最后使得PX项目改变了选址而取得了突破性的胜利。 (二)实行分层次公众参与方式并加强相关的宣传教育
由于不同的公众主体在参与的主观目的、采用的方式和掌握的技术方法的不同,因而不同的公众主体在参与的程度和深度上存在非常大的差距。参与的方式不当,有些参与就成了一种形式,甚至成为决策部门欺骗民众民意的手段。而有诚意的既深入的且有效的公众参与是一个信息充分披露、公众完全知情、形成交流互动、公众充分享有并不断扩大参与权利的过程。根据阿恩斯坦的观点,与公众拥有的最终决策权相适应,公众参与呈现出八个阶梯,从小到大依次排列为:操纵、训导、告知、咨询、展示、合作、授权以及公众控制。根据具体情况,如以知识为基础或者以技术水准为基础,选择与之相适应的公众参与方式,以期达到最好的公众参与效果。
作为有效改善我国食品安全监管问题的一个有效途径,我们需要政府和公众的共同努力,加强对公众参与食品安全风险评估的宣传力度,提升公众的参与意识,引导公众有序的参与到食品安全风险评估的工作中来。根据调查显示,日前在我国针对公众参与食品安全监管的宣传和教育活动并不多,主要是一些零散的媒体节目或是相关部门在街头开展的食品安全宣传活动且缺少对与食品相关的从业者的专业教育和培训。要想让公众参与到食品安全风险评估工作中,普及食品安全方面的相关知识是必不可少的。关于这点我们可以借鉴以美国食品安全评估机制中的公众参与模式的宣传,注重对食品行业相关单位及其从业人员的教育与培训并通过培训来强化企业对于社会的责任感并将其作为企业自强自律增加企业的市场竞争能力的重要部分,此外相关食品监管机关如食品药品监督管理局等与新闻媒体合作,定期或不定期的对公众食品安全的相关信息并进行食品安全知识的大幅度宣传。
(三)政府应做好公众参与食品安全风险评估的反馈并提升评估的透明度
对公众参与的反馈是获取参与实效和增强公众参与信心的关键。然而政府的政策通常对食品安全风险评估机制的相关因素起着重要的甚至决定性作用,而公众对食品安全风险评估机制的参与却往往流于形式并未起到实质性的监管作用甚至沦落为政府的推诿的替罪羊。故建立一个真实有效的食品安全公众参与反馈机制,最主要的是应在公众与政府食品安全监管部门这两者之间搭建一个沟通和反馈的平台进而实现政府监管部门与公众的良性互动。政府食品安全决策与监管部门应对于公众所反应的食品安全问题要积极应对并深入调查,对存在的问题要进行严肃对待并及时将处理结果及地通报给公众。政府部门对于公众提出的意见或建议应当加以重视,对征求的意见进行相关科学的论证,避免敷衍了事,对于不能接受的建议亦应说明理由及时反馈给公众并感谢其热心参与。总之,政府监管部门需要切实遵循服务型政府的办公理念,在公众的心目中树立威信,使公众感觉到被尊重与被重视进而增加公众参与食品安全风险评估的积极性。而食品安全风险评估的专门机构应该制定并公开评估机构的内部管理及公众参与评估运行程序,公布出版的各类风险评估结果以及相应的科学建议,并公开评估过程中的各类会议日程与记录以及科学专家的利益声明等以提升评估的透明度,将整个评估程序置于阳光之下以构建良好的食品安全环境。
四、结语
食品是我们赖以生存与发展的基础,食品安全与否关系到整个社会每位公民的身体健康与生命安全,食品安全不仅仅事关人类的生存问题,更是一个影响到地区、国家乃至世界政治经济的大问题。本文认为解决食品安全问题不能只依靠政府的行政强制管理,更需要全社会的共同关注与监督,为确保公众自身的利益不受侵害,就必须将公众参与引入到食品安全风险评估机制中。通过给予相关制度法律保障并多方位拓宽公众参与渠道,实行分层次公众参与方式促使公众积极参与到食品安全风险评估机制中并加强对公众进行相关的食品安全宣传教育,而政府应做好公众参与食品安全风险评估的反馈并提升评估的透明度。使得公众参与食品安全风险评估机制不再是一纸空文而能落到实处,为塑造良好的食品安全环境提供体制架构支持。
【参考文献】
[1] 戚建刚:《我国食品安全风险规制模式之转型》,《法学研究》2011年第1期
[2] 杨小敏:《我国食品安全风险评估模式之改革》,《浙江学刊》2012年第2期
[3] 曾娜:《我国食品安全风险评估机制的问题探讨》,《昆明学院学报》2010年 第5期
[4]彭飞荣:《食品安全风险评估中专家治理模式的重构》,《甘肃政法学院学报》 2009年11 月第107期
关键词 信息工程安全系统 风险评估 控制
中图分类号:X92 文献标识码:A
对项目风险管理来说,风险评估是对信息工程安全资产所面临的威胁、存在的弱点、造成的影响及三者综合作用所带来风险的可能性的评估。作为项目风险管理的基础,风险评估是确定信息工程安全需求的一个重要途径,属于信息工程安全管理体系策划的过程。
1 风险评估概述
风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。
风险评估的主要任务包括:(1)识别面临的各种风险。(2)评估风险概率和可能带来的负面影响。(3)确定承受风险的能力。(4)确定风险消减和控制的优先等级。(5)推荐风险消减对策。
1.1 信息工程安全系统项目风险评估概述
信息工程安全系统项目风险管理是围绕信息工程安全系统项目风险而展开的评估、处理和控制的活动。其中最重要的基本要素是风险评估,因为基于风险评估可以对政府部门信息工程安全系统项目有系统全面的了解,找出潜在问题,分析原因,判断严重性和相关影响,以此确定信息工程安全系统建设的需求。项目是一个过程,从项目的开始到结束,风险评估要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估:一是信息系统规划设计阶段,二是系统验收阶段,三是信息系统运维阶段。管理的不确定性,有限的资源和千变万化的危险和漏洞,使得所有的风险不可能完全缓解。一个信息系统的项目专业人员必须要协同用户、项目经理对信息系统各种潜在的影响进行评估,使其达到一个合理水平。
由于种种原因,信息安全系统存在着很多漏洞及缺陷,如黑客攻击或系统本身的原因,会造成系统安全事件,给系统带来不好的影响。因此,要对项目的信息安全风险进行相应的评估,评估的主要内容包括系统的安全漏洞和系统可能带来的负面影响,根据相应的等级来进行划分,评估出可能发生的安全风险。
1.2 信息工程安全系统项目风险评估过程
一般来说,系统信息工程安全项目风险评估分为四个不同的阶段。
第一个阶段:风险评估准备阶段。
(1)根据相应的风险评估准则,调研项目的实际情况,然后制定风险评估的计划表。按照实际操作来看,计划通常要由三个重要的表格组成,这三个表分别是:《信息工程安全系统的描述报告》、《信息工程安全系统的分析报告》和《信息工程安全系统的安全要求报告》。通过这些表格及具体的计划表,要对项目的风险评价进行计划。计划的内容一般要设计如下范围:目的、范围、目标、组织架构、经费预算、进度安排。制定好计划书后要及时汇报给决策层。如果决策层有异议,应该及时根据意见加以修改。只有获得决策层的审核和同意后,计划书才能获得批准,才能够获得相应的资源加以执行。
(2)结合项目的具体实际,对整个风险评估流程加以确定。不同的项目风险评估流程是不一样的,必须要结合具体的项目实际对评估的流程加以确定,如何工作,如何评估,评估结果如何衡量等。这个步骤,通常应该形成一个书面的《风险评估程序》,便于后面工作人员的具体操作。
(3)根据项目具体实际,选择特定的风险评估方法和工具。风险评估方法和工具千差万别,具体的某个项目,有针对性地 选择成本低,效果好,结合项目实际的具体方法和工具。
第二个阶段:风险因素识别。
(1)对所有需要保护的信息资产加以清点。根据上文确定的三个相关报告,对单位或项目所有的资产加以清点,找出重要的、对安全有重大影响的信息资产并造册,形成书面的《需要保护的资产清单》。(2)结合相关工具,识别出可能面临的威胁。一般来说,目前信息安全行业都有相应的较为全面的威胁或漏洞库,结合这些数据库,对单位的具体资产进行详细的清点和评估,就能找出可能面临的威胁,编制书面的《威胁列表》。(3)根据上面的工作,参照漏洞库,可以对整个单位信息资产面临的脆弱性加以评估,形成书面的《脆弱性列表》。
第三个阶段:风险程度分析。
(1)确认单位目前已经采用的安全防范措施。通过书面形式,对单位目前已经有的具体防范措施加以总结,填写到《已有安全措施分析报告》。(2)对可能面临的威胁的动机加以分析。面临的威胁的动机一般分为:涉及利益者的攻击、对系统好奇、对自己的技术自负等,要形成书面的《威胁动机分析报告》。(3)分析单位可能面临的威胁行为的能力。这一步主要是对可能面临威胁的具体评估,包括强度、广度、深度等。(4)分析信息资产的价值。信息自查的价值主要从以下几个方面来评估:关键性,价格,敏感性等。(5)分析可能面临的影响的程度。具体包括:资产损失,任务妨害,人员伤亡等。
第四个阶段:风险等级评价阶段。
(1)对威胁的动机加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(2)对威胁的行为能力加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(3)对系统脆弱性加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(4)对资产价值加以评估,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(5)对影响程度加以评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。(6)对所有因素加以综合评价,采用五级划分,分别是:“很高、较高、中等、较低、很低”。
一般来说,有公认的具体算法。但各单位具体实际情况不一而足。所以,对于公认的算法可以进行修改,或者提出自己认为更符合实际情况的算法。
2 信息工程安全系统项目风险控制
2. 1 风险控制概述
风险评估的目的是进行风险控制,进而最大可能排除系统面临的风险。所以,在信息风险评估之后,就要进行风险控制,其目的是为了尽可能降低系统面临的风险和漏洞。而系统的风险和漏洞,是不可能完全排除的,不论下多么大的成本。只能在一定范围内,尽可能控制在可以接受的范围。一般来说,为了控制可能发生的风险,主要采用以下几种方式:(1)规避风险。规避就是避免使用。例如有一些信息资产面临很大的风险,如果完全消除风险,需要很大的成本,需要更多的经济投入等。那么,一个比较可行的办法就是避免使用这样的资产,或者一些敏感的、需要保密的数据,不在这些资产上使用,从而规避掉可能发生的风险。(2)转移风险。这种方式的思路,就是将已经面临风险的资产转移到风险较低,或者没有风险的资产上。如某单位需要处理技术上足够复杂,没有能力处理的业务时,可以通过寻求外包给第三方专业机构的形式,要求对方做好风险处理,从而达到转移风险的目的。(3)降低风险。降低风险就是在资产面临风险时,通过各种手段和方法来降低其面临的风险。
2.2 信息工程安全系统项目风险控制过程
在信息工程安全项目管理中,风险控制可以划分为四个阶段,分别是:现有风险判断、确定风险控制目标、采取选择和实施具体的风险控制措施。
在不同的阶段,进行不同的工作流程和具体内容,分别如下:
第一阶段:预备阶段。在本阶段,主要是对单位现有的信息资产激进型识别、编号、评估并造册,形成书面报告。
第二阶段:现存风险判断。在本阶段,通过各种工具和方法,对系统信息资产面临的风险加以评级。一般来说,风险的评级主要分为两种:可接受的系统风险和不可接受的系统风险。然后,对系统目前存在的一些风险加以判断,到底是否能够接受。
第三阶段:确定风险控制目标。本阶段主要的工作流程和内容包括:(1)分析风险控制需求。针对上面提出的不可接受的风险,分析其具体需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具体的成本和措施等。(2)确立风险控制目标。完全搞清楚其具体需求后,就可以确定风险控制的目标。
第四阶段:控制措施选择与实施。
控制措施选择阶段的工作流程和内容如下:(1)选择风险控制方式。确定目标后,就可以采用具体的风险控制方式。选择方式时必须考虑到单位的具体情况,能否实现以及经济投入成本、投入产出比等。(2)选择风险控制措施。控制措施实施阶段的工作流程和内容如下:①制定风险控制实施计划:选择好相应的风险控制方式后,即可制定具体的实施计划。实施计划必须为书面,便于后面的审查以及对照。②实施风险控制措施:采用规避、降低、转移等具体方式来控制。实施过程应该遵循相应的工作流程和标准,并书面记录在案。
3 结语
当前网络信息安全技术发展迅速,任何信息系统都会有安全风险。没有任何一种解决方案可以防御所有危及网络信息安全的攻击。因此我们需要不断跟踪新技术,对所采用的网络信息安全防范技术进行升级完善,以确保相关利益不受侵犯。
参考文献
[1] Stuart McClure 等.黑客大曝光――网络安全机密与解决方案[M].北京:清华大学出版社,2006:140.
[2] 魏仕民等.信息安全概论[M].北京:高等教育出版社,2005:40-41.
[3] 曲平.安全信息管理技术的研发与运用[J].信息通信,2013.
关键词:危险化学品;企业;安全生产风险;评估;分级
引言:危险化学品由于自身的特征,使得在生产过程中有着巨大的风险及隐患,一旦发生泄漏后,不单单对经济有着一定的影响,对人身安全也有着巨大的危害。这就要求我国要对危险化学品企业在安全生产中作出一定的风险评估,这不单单对企业生产更加安全有着主要的引导作用,这也可以促使我国经济可以更快发展。
一、危险化学品企业安全生产风险的分析
危险化学品行业是具有极大的危险性,其危险性的主要来源是由物品原料、生产工艺及方式所导致的。
(一)物品原料
在危险化学品企业中,往往会存在具有易燃及易爆的特征,例如石油、汽油、H2、CO、CH4等。甚至在物品原料中都含有毒,甚至是剧毒,例如CO、Cl2、H2S、COCl2等。甚至有些原料还有一定的腐蚀性,例如HCl、H2SO4等。
(二)生产工艺
在危险化学品企业中,有着非常复杂的生产工艺,并且生产条件也极为严苛,这使得在工艺中需要进行高温、高压或深度制冷等等多种形式。
(三)生产方式
(1)在危险化学品企业中,有着多样化的生产方式。例如在进行石油炼制及相关产业生产所选择的生产方式是大型的、连续并且自动化的;在进行化工染料及农药的生产方式是间歇的,但产量较少、品种较多;在进行钻井及采油工作时,由于是要进行野外操作,这使得气候条件无法得到保障。在进行危险化学品安全生产的核心及主要内容就是,要对危险化学品进行一定的危险辨识、危险系数的评估及采取怎样控制。依照危险化学品企业安全生产风险的理论,可以将员工在生产中受到伤害的风险可以通过企业所处于的特性、企业所选用的危险设备、及其企业所在的危险的环境来将其反应,风险模型如图1所示。
二、危险化学品企业综合风险的评估分级模型
我国在进行系统设计时,其完成标准预期及测试方法,都是依照系统性和科学性相融合发展的原则,将企业综合风险一般分有固有风险及动态风险(如图2所示),固有风险主要是指企业中最为基础的风险,一般是由于危险化学品殊含量所导致的;动态风险,主要是对企业进行安全生产进行管理和效益水平的一种反应,这就使得由于标准的不同,企业类型的不同,导致评估动态风险的标准也有所不同。
图2企业综合风险
一般情况下,企业会将危险化学品中的物理量、环境及安全措施作为固有风险,然后将评估的因素将其风险按照由低到高的进行有序排列;另外,将基础管理及现场管理作为动态风险,然后将评估的因素依照好坏进行有序排列;使其得到一个评估矩阵,依照这个矩阵,可以将企业进行一定的安全生产风险评估分级。
三、评估分级标准的选取的分析
在进行企业安全生产风险评估分级标准的选取时,要遵循以下四种准则:
(一)科学性准则
要清楚的意识到,所选择的标准要能够正确的反应危险化学品企业安全生产的面貌及内容,并且评估标准的有一定的层次感,既有表现出大体的标准,也要有细微的标准。
(二)系统性准则
在进行选取评估标准时,要确保选择到全面的及系统的,可以先从总体目标着手,然后将其要点进行一定的分解,使其可以建立一个健全的评估标准的体系,有效的防止过度着重一点,进而会将其他忽视的问题。
(三)合理性准则
要选择一个合理的标准,首先要将影响巨大的因素选择出来,使得保障了选择标准具有一定的代表性,并且与危险化学品企业安全生产风险有较大的关联性。
(四)可行性准则
在进行标准选取时,要切合实际的状况,选择数据来源较为稳定的企业,使其在进行对照评估时操作便捷。
关键词:综合安全评估;北海港;风险;保障措施
一、引言
综合安全评估方法是一种在安全评估过程中综合考量事件预期性和事后性两个要素的方法,进而得到可信度和准确度更高的结果,并能长期运用到实践中。例如,Görçün等[1]采用综合安全评估方法(FAS)对伊斯坦布尔海峡的航行风险进行量化研究,能够有效降低海洋运输风险;Tianle[2]运用FAS方法从人、船、环境、管道四个方面分析LNG海运风险,提出相应的控制和预防措施,确保LNG在海上安全运输。Zaman等[3]基于AIS数据,运用FAS方法进行风险概率建模和后果建模,分析了船舶在马六甲海峡的碰撞概率。本文借用综合安全评估在事后性和预期性方面的优越性对北海港船舶引航的安全情况进行分析,确定应对不同风险中的高风险区,并总结归纳出影响风险等级的关键性因素,有针对性地对这些问题提出相应降低风险的措施,为北海港引航管理站提出控制引航风险的建议。
二、综合安全评估(FSA)模型构建
1.风险定义风险是事故发生的频率和后果程度的函数[4],如式(1)所示:(1)式中:R为风险值;F为事故频率;N为事故后果;s为事故后果程度。在船舶航行作业中,频率是单位时间内引航风险事件发生频次和该区域内的船舶活动量的比值,具体见式(2)(2)在上述公式中,Qi为单位时间内船舶活动量,Ci为单位时间内事故发生频次。在FSA分析时需对频率进行定性分析。对水上交通安全领域中船舶航行作业的频率如表1所示。事故后果N是在单位时间内事件发生的等效后果之和与频次之和的比值,具体见式(3)。结合大量水上交通历史数据,将事故按照后果严重程度分成六个等级并为各等级赋予相应的参数值,各等级参数值为50,10,6,1,0.1。而对于事故隐患这类小事件,赋值0.05。详细情况见表3。按照事故责任划定的情况,一般取事故人的事故责任为:全部责任、主要责任、对等责任、次要责任和无责任,相应的定量化基准为:1-0,见表4。本文采用风险矩阵法频率和后果下的风险进行合成,即在风险的两个维度空间上表示风险[5],见图1。图1中风险矩阵可以进行风险的定量与定性转化,将U(F)和U(C)按照一定的标准划分成四个子集:Fi,其中i=1,2,3,4和Ci,i=1,2,…,7。结合上述描述,将引航船舶航行作业风险事件的频次与后果危险度进行适当整合,由此组合成10个风险度子集Ri,i=1,2,…,10。2.综合安全评估(FSA)模型在进行之前,先确定项目及其内容,并考量所有有关条件,之后分别从危险识别、评估、控制方案、效益和决策建议等方面进行评估[6](如图2所示)。(1)危险识别危险识别是安全评估的基础,即从评估项目中找出危险因素,之后对这些因素以危险等级的高低进行排序,为后续的分析研究奠定基础。(2)风险评估风险评估主要是对影响风险等级的各个因素进行分析研究,并选出高风险区和主要因素,进而降低事故概率。(3)风险控制方案风险控制方案主要结合前两个步骤(Step1、Step2)的结果制定措施,并研究这些措施的可行性,最终形成切实有效的应对方案。(4)费用与效益评估费用与效益评估主要分析风险控制方案的费用和效益。先对费用和效益两个要素进行粗略估算,之后求解费用效益比,之后按照该数值的大小对风控方案进行排序。(5)提供决策建议提供决策建议主要是结合风控方案排序结果提出科学合理的决策建议。因此,上述这些步骤可以灵活组合,进而得到FSA的不同模式:模式1、风险识别(Step1)、风险评估(Step2)、决策建议(Step5);模式二、识别风险(Step1)、评估风险(Step2)、控制风险(Step3)、决策建议(Step5);模式。
三、风险识别
(Step1),风险评估(Step2),风险控制(Step3),成本和效益评估(Step4),决策建议(Step5)。这些模式可结合实际问题灵活调整,流程见图3。三、基于FSA的北海港船舶引航风险评估在FSA模型的基础上,选取北海港水域进行引航风险评估。针对评估前的风险识别使用问卷调查的形式完成。本次共发放问卷30份,收回28份。结合上述调查表及与引航站领导、引航员的座谈纪要,北海港的潜在引航风险主要存在在以下四个阶段:引航员登离轮、航道内与他船会遇、码头靠离泊、船舶抛锚操纵。结合FSA模型,北海港水域船舶引航风险评估结果如表5~表8所示。
四、结论
[关键词] 中小企业;信息安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0090- 02
信息安全风险评估是以风险管理为基础,通过科学的方法和手段,对企业信息系统所面临的威胁与存在的脆弱性进行全面分析,以安全事故对企业生产经营有可能带来的危害展开评估,进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位,其不但是重要的评价方法,同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估,便不能准确的判断出企业所存在的信息安全问题,因此加强企业信息安全风险评估,对每一个中小企业来说,都意义重大。
1 中小企业信息安全评估方法
为了进一步评估信息系统的安全风险,多种风险评估方法被开发出来并在企业中得以运用。定性评估法,定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法,主要是结合企业特点,根据评估内容和评估流程,从众多的信息系统、人员和设备中,利用分类分别计算比例的方法,对评估对象合理选定,并进行数量采样[2]。并在此基础上,分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系,从而根据企业实际情况选取恰当的风险计算方法,合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值,主要可从风险计算方法、威胁可能性量化赋值方法着手。
1.1 风险计算方法
后果(Consequence)及可能性(Likelihood)是风险具有的两个基本属性。风险对信息系统的影响,说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说, 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数,同时风险后果则为资产价值(影响)的函数。本论文采用如下算式来得到资产的风险赋值:
风险值=资产价值×威胁可能性×资产脆弱性
上述公式主要考虑到各参数采取的取值并不十分精确,因而加入了以往的经验和判断,在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘,则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据,进行不同程度的改进。并根据计算出的风险值的数值范围,确定相应的风险等级。风险数值与风险等级对应的关系见表1。
1.2 脆弱性量化赋值方法
脆弱性和威胁所存在的对应关系,应在评估时充分考虑到,要知道相对应的脆弱性是威胁起作用的基本因素,因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值5-1,具体参照表2。
威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中,评估者的专家经验非常重要。
2 结 语
目前,信息系统已经被广泛运用到中小企业的日常管理工作中,对其的重视程度也越来越高。对中小企业来说,定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障,通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此,新形势下中小企业的信息安全风险评估工作必须要做到与时俱进,不断创新,从而以适应快速发展的社会需求。
主要参考文献
【关键词】海港勤务;模式;科学管理;创新
【中图分类号】C36 【文献标识码】A 【文章编号】1672—5158(2012)08—0317-02
“海港勤务风险评估”作为分析海港勤务各种潜在的安全威胁事件的有效手段,在综合评定威胁事件的风险等级的基础上,能够为有效落实海港勤务管理工作提供科学依据,并能有针对性的加强不同环境或不同时期的船舶安全管理,使得管理前移、服务前移,达到服务与管控并重,口岸安全畅通的管理效果。
一、建立海港勤务风险评估机制是新形势下的需要
新形势下,全国各对外开放港口规模日渐扩大,功能显著提升,设施日趋完善,港口货物、旅客吞吐能力惊人增长。笔者所在边检站辖区内多为修造船企业码头,具有在港船舶停靠时间长、登轮作业人数多,且人员成分复杂的特殊勤务特点,日均出入口岸限定区域人员达7万余人次,其中上下外轮人员多达4万余人次,边防检查勤务繁重,口岸监管形势严峻。
与此同时,海港口岸预防和打击危害国家安全和社会秩序的、敌对分子、犯罪分子及出入境人员、船舶携带的违禁物品、武器弹药的形势日益严峻,对于口岸安全风险隐患的排查和评估要求已经提上日程。如何顺应社会管理创新和口岸维稳的工作要求,不断提高新形势下海港口岸边防检查机关科学管理水平已成为当前边检工作中亟待解决的重点、难点问题。
二、当前海港口岸管控工作存在的主要问题
目前海港港区、码头绝大多数采用的是限定区域管理的办法,大部分海港口岸涉外企业多,码头封闭条件普遍较差,进出口岸限定区域的人员多、车辆多、成份复杂,外来务工人员无证登轮、不按规定登轮的现象时有发生;此外个别口岸限定区域内外贸码头互连,无强制性隔断,区域大、死角多,且国轮、外轮来往频繁,给执勤人员巡查、监护造成一定困难,容易被敌对势力利用潜入潜出。口岸查处敌对势力渗透工作的难度日趋增大。
三、创新海港勤务模式试点工作
笔者所在单位作为推行海港勤务创新的试点单位之一开展了《海港勤务诚信及风险评估管理系统》的机制、软件的开发建设。并编写了《海港勤务风险等级评估实施办法(讨论稿)》。海港勤务风险评估体系主要是分析海港勤务各种潜在的安全威胁事件发生的可能性及后果,综合评定该威胁事件的风险等级,有效判定根据风险等级所需采取的执勤措施,并对其降低风险的效果进行评估。同时,根据风险评估软件既定的数据,运用网络实施分析,依照分析的结果,决定所执行的勤务模式及在此结果上所可能发生突发事件所采取的处置预案。
其中,综合港口码头实际及借鉴全国海港口岸情况,对于执勤现场应考虑的潜在安全威胁事件从威胁对象角度分为三类十九种事件。根据港口码头执勤现场实际情况提前收集、确定危险源和辖区各港口码头保安措施,针对每一种安全威胁事件,从评估潜在安全威胁事件的后果的四方面指标(人员伤亡、经济损失、环境污染、社会影响)和评估潜在安全威胁事件发生的可能性大小的五个衡量指标(安全威胁事件的可信度、目标的出现或暴露的频率、目标的可接近性、安防体系的完善性、目标的承受能力)的九个方面分别为口岸辖区内各码头进行风险评估指标取值。取值由边检站指定业务部门及一线执勤人员根据《海港勤务风险等级评估实施办法(讨论稿)》中相应标准进行计算。
海港勤务风险评估系统以网上报检导出的数据为依据,根据输入的船舶情况、预先录入的涵盖了船舶自身风险因素、船舶风险因素、港区泊位风险因素等风险评估数值,根据计算公式完成对出入境船舶风险等级的评估,确定潜在安全威胁事件的风险等级,安全威胁事件的风险等级按国际惯例划分为低、中、高三个等级。
根据第一次风险评估的结果和边检站对于勤务的要求标准提出船方、港方和边检站方面三方的勤务模式,实施相对应的监护、巡查勤务和保安措施。并针对勤务模式进行第二次评估,直到评估结果符合边检站制定的勤务标准。同时根据评定出的风险等级实施处置突发事件预案准备。检查人员依据系统评估结果做出相应警力部署,合理调配警力,依据风险系数,对船舶采取不同的服务和管控措施,确保船舶在港安全,营造良好的口岸秩序。海港勤务风险评估系统为调整执勤监管提供了科学依据。构建的船舶风险等级情况信息库,既可进行综合查询,又保存了船舶的重要资料。
四、风险评估系统在全国海港边防检查站的应用思路
一是创新科技手段,催生现代警务机制形成。
随着高科技在边防检查工作中的普遍使用,实施科技管港成为有效提升海港口岸边检管控工作能力的必由之路。海港勤务风险评估系统可以有效整合各边检站现有的DMS和视频监控系统等信息化手段,通过信息采集录入、网上研判、网上评估、网上批量查控,建立集手续办理、船舶监护、登轮管理、锚地管控于一体的海港边检综合信息管理平台,进一步提升口岸管控能力和部队核心战斗力,实现对海港口岸动态防控、动态勤务、动态指挥。
在充分依托海港勤务风险评估系统信息平台的基础上,各边检站可以实现网上受理、网上办证、网上查询、网上监督、网上考评等服务功能,创新边检行政管理,拓宽公共服务渠道,为海港服务对象提供科技便捷服务。
海港勤务风险评估系统在应用中按各边检站港口码头实际进行风险取值,对于新建限定区域码头和一些历史较长、封闭性较差的码头在船方、港方和边检站方面的勤务安排上加以区分,摆脱了盲目投入警力的现状。
二是创新勤务机制,实现口岸勤务—体化。
关键词:隧道工程;专项风险评估;风险源;风险控制
随着国家对安全生产工作越来越重视,安全风险评估工作在各行各业都得以普遍开展。在公路工程施工建设过程中,安全风险评估工作已经成为项目开工的一个先决条件,如何在前期的风险评估工作中全面、系统地预见可能发生的各类施工风险,为工程施工提供有效的风险控制措施显得尤为重要,本文以辽宁中部环线南山隧道专项安全风险评估为例,探讨山体隧道施工中的风险评估方法,为同类工程的风险评估工作提供借鉴。
1工程简述
南山隧道是辽宁中部环线高速公路的一部分,位于铁岭市和抚顺市交界处鲢鱼沟附近,呈北西-南东向展开,设计两条分离式单行曲线隧道,隧道左幅长1075m,右幅长1210m,如图1。隧道围岩为Ⅳ、Ⅴ级为主,隧道铁岭端洞口段和中间段左右线均位于直线上,本溪端洞口段左右线分别位于R=3500m、R=4000右偏圆曲线上。隧道铁岭端平面线位线间距为16.8m,本溪端平面线位线间距为24.4m,隧道最大平面线位间距位于中间段,为263m。在项目总体风险评估工作中,已经将南山隧道列为III级风险,需要进行专项风险评估。
2专项风险评估
2.1施工工序分解及风险源普查开展专项风险评估时,首要步骤是结合施工单位编制的施工组织设计,对工程进行工序分解,南山隧道按照施工过程,可以细分为:场地平整;施工场地布设;边坡开挖及防护;洞口施工;超前支护;洞身开挖;初期支护;仰拱施工;监控量测;二衬防水层施工和二衬施工。风险源普查,主要是根据施工经验和相关的安全生产规程,结合现场施工情况,确定可能发生的施工风险,南山隧道施工中可能发生的风险有:物体打击;高处坠落;触电;起重伤害;坍塌;涌水突泥;机械伤害;爆破伤害和车辆伤害等。2.2风险源辨识风险源辨识是分解工序和风险源普查的情况,将各道工序中可能发生的潜在事故和伤害程度逐一列举,从人、机、料、法、环等方面对可能导致事故的致险因子进行分析,是专项评估的最重要环节,只有准确地确定了潜在事故类型和致险因子,才能准确地制定具体预防措施。因此,风险源辨识环节应谨慎细致,避免单纯依靠一两个人盲目分析的形式,应该广泛讨论,征求各方意见,最好由风险评估单位组织施工、监理、设计和业主各方共同讨论,集思广益才能得到最贴近施工现场情况的辨识结果。以下是南山隧道洞身开挖的风险源辨识结果,也是经由多方讨论以后达成的共识成果。2.3风险源分析在充分的风险源辨识之后,评估小组需要参考设计图纸并结合多次现场实地考察情况,对潜在的事故类型进行分析,判断事故发生的可能性、确定是否应该将该风险源作为重大风险源进行详细评估分析。在隧道施工中,主要应该根据隧道的水文地质条件、施工工艺和开挖方法等方面对风险源进行评估分析。南山隧道未发现地表水,无泉眼出露;地下水以第四系孔隙水及基岩风化裂隙水为主,水量随大气降水量及节理裂隙贯通情况不同而变化,围岩富水性不均一,透水性较弱。在洞身山坳处ZK288+840~ZK288+940(K288+850~K288+940)段有电阻率偏低现象,推测为岩石风化界面较深或节理裂隙发育。隧道区未发现有大型断裂构造发育。隧道区出口端全强风化岩层较厚,岩芯呈砂土、碎石状,层厚5.6~12.5m。铁岭段洞口存在偏压问题。隧道洞口处左侧地势低,右侧地势高,存在偏压问题。隧道开挖方式主要采用钻爆法,软弱围岩段也可采用机械开挖或人工开挖。开挖方法根据围岩级别和隧道埋深情况分别采用台阶预留核土法和上下台阶法,也可根据实际需要采用CD法、CRD法进行施工。二次衬砌混凝土采用整体式液压模板台车浇筑。施工过程中应严格遵循“短进尺、弱爆破、快封闭、勤量测”的指导原则。通过施工工序分解、风险辨识、风险分析、专家调查等一系列过程,初步确定隧道在开挖过程中可能会发生的坍塌、涌水/渗水、洞口失稳等事故为重大风险源。下一步对其进行分析和估测。
3重大风险源分析
3.1风险矩阵和管理评估指标风险矩阵和管理评估指标是依据事故发生的可能性、人员伤亡等级、财产损失等级、企业的施工经验、管理水平、人员素质等综合因素确定施工等级和折减系数的方法,是一个系统的计算过程,具体计算方法在交通运输部《公路桥梁和隧道工程施工安全风险评估指南》(交质监发[2011]217号附件)中有详细的说明,在这里就不再冗述。3.2事故可能性分析事故可能性分析同样是一个详细的量化计算过程,这里省略计算过程,仅列出南山隧道各项重大风险源可能性分析结果。见表2~表4。
险控制措施
之前一系列的量化分析结果,最终目的就是为了提出行之有效的风险控制措施。在提供风险控制措施时,评估人员应广泛参考同类工程的成功经验,在技术、管理、人员、设备等方面提出行之有效的控制措施,便于施工单位现场实施。根据南山隧道风险评估结果,评估组将隧道风险分为一般风险源和重大风险源。所谓一般风险源,是指风险源相对简单,影响因素间关联性较低,运用一般知识和经验即可防范的风险源。南山隧道主要一般风险源为触电、高处坠落、物体打击、车辆伤害等事故。此类风险结合各类施工规范要求,健全各类操作规程、开展好安全培训教育、编制安全施工方案和应急预案、做好各类安全防护措施,在此不再冗述。重大风险源是针对工程特点,评估出来的可能产生重大人员伤亡或财产损失的风险源,针对此类风险源应提出详实有效的控制措施。南山隧道重大风险源主要包括:隧道整体安全、坍塌风险、涌水、渗水事故、洞口失稳等。评估小组针对重大风险源,从做好洞口洞内排水、加强监控量测、进行超前地质预报、安装洞口门禁设施、设置逃生管道、合理采用开挖形式等诸多方面提出了具体的措施和建议。
5结语
关键词:电力安全;风险管理体系;风险评估;风险控制
中图分类号: X820.4 文献标识码: A 文章编号:
1风险管理体系的概念
1.1 风险管理的定义
风险管理是指管理主体(可以是个人、企业或政府部门等)通过对风险的识别、衡量和分析,采用合理的经济和技术手段对风险进行综合处置,以实现最大安全保障的科学管理方法。风险管理又名危机管理,其中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使其中的可能导致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则延后处理。同时风险管理亦要面对有效资源运用的难题。
1.2 风险管理的分类
从不同的角度,按不同的标准可以对风险管理进行不同的分类:
(1) 按风险管理主体的不同,可分为个人、企业、事业单位、政府部门等风险管理;
(2) 按风险事故发生的原因不同,可分为技术、意外事故、震、洪灾、火灾等风险管理;
(3) 按事故发生时受损失的形态不同,可分为财产、责任、人地身、利润等风险管理。
2风险管理的主要流程
风险管理需要按一定的流程进行,它的主要流程包括风险识别、风险评估、风险处理3个关键环节。
2.1风险识别
风险识别是指在风险事故发生前,运用多种方法系统地、连续地认识所面临的各种风险以及分析风险事故的潜在原因。主要内容包括:防范事故的种类、重点部位和关键环节,风险日常监控主要内容、现场风险控制重点措施等。风险识别是风险管理的首要环节。只有在全面了解各种风险的基础上,才能够预测危险可能造成的危害,从而选择处理风险的有效手段。
风险识别方法很多,常见的方法有:
(1)生产流程分析法,生产流程分析法是对企业整个生产经营过程进行全面分析,对其中各个环节逐项分析可能遭遇的风险,找出各种潜在的风险因素。
(2)财务表格分析法,财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析,从而识别和发现企业现有的财产、责任等面临的风险。
(3)保险调查法,采用保险调查法进行风险识别可以利用两种形式: 通过保险险种一览表,企业可以根据保险公司或者专门保险刊物的保险险种一览表,选择适合本企业需要的险种。这种方法仅仅对可保风险进行识别,对不可保风险则无能为力。委托保险人或者保险咨询服务机构对本企业的风险管理进行调查设计,找出各种财产和责任存在的风险。
2.2 风险评估
风险评估的主要内容包括:对各专业各单位风险内容的风险程度进行综合评估,对产生风险的关键控制点的控制过程和控制结果进行评估,对控制措施的有效性进行评估等。评估方法可采取综合性的安全评估,如设备评估、安全性评价、三标一体认证等,也可进行专项调查、现场核查等定期或非定期检查。评估的结果用定性和定量相结合的方式确定,并根据具体的评估结论提出相应的整改措施。
(1)风险评估主要分为三类。a基准风险评估;b基于问题风险;c续风险评估。
(2)风险评估的方法。在进行作业风险评估时,我们通常采用作业条件危险性评价法(LEC法),即风险=后果×暴露×可能性,
L:事故发生的可能性
E:人员暴露于危险环境中的频繁程度
C:一旦发生事故可能造成的后果。
2.3 风险处理
风险处理由2个主要环节构成,即评估结果的反馈和对反馈的响应。评估结果的反馈内容包括:对综合风险的评定以半年度的目标管理排序和点评意见的形式进行反馈;对制定建设管理行为的评估结果以各种简报、通报的形式进行反馈;对关键风险控制点的评估结果以隐患通知书、安全预警或其他专项整改通知的方式进行反馈;对控制措施的评估结果结合各种检查工作的意见和建议的形式反馈等。对反馈的响应是个互动环节:各单位对主管部门的各项反馈意见作出响应,根据意见的重要程度布置立即整改或逐步改进,并按照要求及时报告整改过程和效果,接受评估部门的随时复查;主管部门对于以书面反馈意见形式的响应,在要求的整改期限内要进行相应的跟踪复查,掌握改进情况;在有效期后根据复查评估结论,作出是否予以撤销的正式意见。对风险的处理有回避风险、预防风险、自留风险和转移风险等四种方法。
对于电力企业来说,风险管理就是通过对电网中存在的风险的识别、分析评估、选择有效的措施,以尽可能低的成本,有计划地处理各种风险,以保证电力企业安全生产。这就要求企业在生产经营过程中,应对可能发生的风险进行早发现、早识别、早处理,以消除各种风险对生产经营造成的损失,使电力生产能够安全持续进行,以保证高效安全可靠的电力供应。可见,风险识别、风险评估和风险处理是电力企业风险管理的关键步骤。
3电力安全生产中实施风险管理的注意点
3.1继承传统与发展创新相结合
对电力行业经过长期实践证明行之有效,既满足体系要求,又能体现电力行业特点的管理手段和方法,在体系应用中,继续延用 ;同时事物都是在不断变化和更新的,体系带来的新的、有效的先进管理手段和方法,风险管理也要适应安全生产发展和安全管理工作需要,主动接受安全生产的新理念、新技术、新方法,及时更新管理理念和方法。风险管理是统筹安全管理的有效手段,是提高员工素质能力、全面把握安全局面、改进安全风险控制的管理平台。从而实现从传统安全生产“关注事后分析与控制”转变为“关注事前的风险分析与控制”的创新。
3.2安全生产管理的全员参与
全员的参与从而达到了全面、系统风险管理贯穿于管理的各个领域,如果没有全面、系统风险管理,就可能出现漏洞,就不可能实现安全生产的目标。同时风险管理要求全员参与,要避免应付敷衍、流于形式;风险评估小组成员所代表的专业、行业、阶层要全,切忌少部分人甚至个人去评价;风险管理的手段要求全面,不同级别风险应有不同的管理手段。风险管理要注意系统性,所有领域、环节的所有风险管理均应执行评估、管理、再评估、责任落实、检查、改进等环节,系统还体现在风险管理和生产管理的有效结合、互相作用上,将各管理部门在科学分类的前提下有机结合,形成一个整体,使电力企业的安全生产真正实现风险预控,最终让每个岗位做到:“写你所做,做你所写,记你所做,全面参与,不断回顾,不断改进”的状态。
3.3 必须与生产实际紧密结合
只有与生产实际相结合,以安全目标考核与生产过程控制相结合,将安全科学理论与生产实践、与经验教训相结合,解决生产过程中遇到的安全问题,取得实效。风险管理过程中必须坚持理论联系实际,注重采纳一线管理者和生产者的意见、建议,吸取自身及兄弟单位事故案例提供的宝贵经验教训,着重作业现场和过程管理,与作业方式、事故类型等实际情况相结合,实现规范化、标准化生产,以保证安全生产的过程控制。
3.4注重持续性风险管理
即当危险得到控制,风险得到降低后不能固步自封,要根据生产实际随时随地开展不断评估。一旦出现隐患、未遂、事件、事故后要及时检查管理制度的漏洞,就要及时补充风险管理系统,使风险管理得到持续改进。对现行管理工作已开展的,但与体系要求尚有差距的,应持续应用体系先进的管理理念和方法进行完善。
3.5坚持制度约束与文化引导相结合
以风险控制为导向,强调事前的分析与控制;以PDCA闭环管理为原则,强调工作的计划性、有效性;风险管理与规范化建设相结合,流程化管理、标准化工作的科学管理,逐步建立安全生产的长效机制。
购物车(0)