安全風(fēng)險評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的安全風(fēng)險評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：安全風(fēng)險評估范文

信息安全問題不僅是技術(shù)原因引起，它還涉及人及社會。從社會學(xué)的觀點來看，只有依靠科學(xué)有效的管理和有著良好信息安全技能的人，實施綜合規(guī)范的保障手段，才能取得良好的效果。而在這一過程中，信息安全風(fēng)險評估逐漸成為關(guān)鍵環(huán)節(jié)。

人們對于信息安全概念的認(rèn)識，經(jīng)歷了一個從保密到保護(hù)，又發(fā)展到保障的趨近真理的發(fā)展過程。這是因為信息安全問題不僅僅是技術(shù)原因引起的，它還涉及到人以及社會。因此，只靠技術(shù)是不能有效地解決信息安全問題的。從社會學(xué)的觀點來看，只有依靠科學(xué)有效的管理和有著良好信息安全技能的人，實施綜合規(guī)范的保障手段，才能取得良好的效果。而在這一過程中，信息安全風(fēng)險評估逐漸成為關(guān)鍵環(huán)節(jié)。

從2003年7月至今，我國信息安全風(fēng)險評估工作大致經(jīng)歷了三個階段，即調(diào)查研究階段、標(biāo)準(zhǔn)編制階段和試點工作階段。

歷時兩年、經(jīng)過調(diào)查研究、標(biāo)準(zhǔn)編制和試點工作三個階段，目前，我國信息安全風(fēng)險評估工作已取得階段性的成果，此間也是《關(guān)于開展信息安全風(fēng)險評估工作的意見》政策文件，以及《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩項標(biāo)準(zhǔn)歷經(jīng)醞釀、形成到不斷完善的三個時期。

信息安全風(fēng)險是人為或自然的威脅利用系統(tǒng)存在的脆弱性引發(fā)的安全事件，并由于受損信息資產(chǎn)的重要性而對機(jī)構(gòu)造成的影響。而信息安全風(fēng)險評估，則是指依據(jù)國家風(fēng)險評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件以及其所造成的負(fù)面影響程度來識別信息安全的安全風(fēng)險。

信息安全風(fēng)險評估是信息安全保障體系建立過程中的重要的評價方法和決策機(jī)制。沒有準(zhǔn)確及時的風(fēng)險評估，將使得各個機(jī)構(gòu)無法對其信息安全的狀況做出準(zhǔn)確的判斷。所以，所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出風(fēng)險控制后，仍然存在可被接受的殘余風(fēng)險的信息系統(tǒng)。因此，需要運用信息安全風(fēng)險評估的思想和規(guī)范，對信息系統(tǒng)展開全面、完整的信息安全風(fēng)險評估。

信息安全風(fēng)險評估在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。風(fēng)險評估既是實施信息系統(tǒng)安全等級保護(hù)的前提，又是信息系統(tǒng)安全建設(shè)和安全管理的基礎(chǔ)工作。通過風(fēng)險評估，能及早發(fā)現(xiàn)和解決問題，防患于未然。當(dāng)前，尤其迫切需要對我國信息化發(fā)展過程中形成的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)進(jìn)行持續(xù)的風(fēng)險評估，隨時掌握我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的安全狀態(tài)，及時采取有針對性的應(yīng)對措施，為建立全方位的國家信息安全保障體系提供服務(wù)。

第2篇：安全風(fēng)險評估范文

關(guān)鍵詞：三鼓成型機(jī) 風(fēng)險識別 風(fēng)險評估

中圖分類號：X941 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2013）05（c）-0062-01

1 選題的背景

在企業(yè)中，中國因機(jī)械傷害占工礦商貿(mào)企業(yè)中49.3%，約占全國死亡總數(shù)的比例6.4%。根據(jù)推測計算出中國因機(jī)械傷害導(dǎo)致的死亡人數(shù)為0.63萬人。根據(jù)相關(guān)研究報告采用1：23：350[1]的死亡、重傷、輕傷比例，以0.63萬人為基礎(chǔ)，推測出我國因機(jī)械傷害導(dǎo)致的重傷、輕傷人數(shù)為14.49萬人、200.5萬人[2]。如此多的傷亡事故的發(fā)生，就可能毀了許多人、許多家庭的幸福，甚至關(guān)系到全社會的命脈。

機(jī)械安全問題需得到重視，為實現(xiàn)機(jī)械安全操作，世界各國都在出相關(guān)的機(jī)械安全標(biāo)準(zhǔn)化來規(guī)范。近年來，世界各國的機(jī)械安全標(biāo)準(zhǔn)紛紛向國際標(biāo)準(zhǔn)（或歐洲標(biāo)準(zhǔn)）靠攏，以實現(xiàn)國際間機(jī)械安全標(biāo)準(zhǔn)化的一致性。

對于輪胎行業(yè)來說，因機(jī)械的運轉(zhuǎn)，每年都會出很多事故，多是肢體傷殘，甚至死亡事故。事故發(fā)生后，嚴(yán)重影響了設(shè)備的生產(chǎn)效率，要停臺整頓。據(jù)日本勞動科學(xué)研究的調(diào)查，在工程機(jī)械安全事故中，有97%的事故發(fā)生率是可以采取預(yù)防措施加以防范的。安全能出效益，這也是安全風(fēng)險評估的價值所在。

本文將以杭州朝陽輪胎股份有限公司成型工序的三鼓成型機(jī)為背景，淺述對其進(jìn)行整體的安全進(jìn)行風(fēng)險評估，并提出降低風(fēng)險的措施，使成型機(jī)風(fēng)險水平控制在規(guī)定水平之內(nèi)，以實現(xiàn)安全標(biāo)準(zhǔn)化生產(chǎn)，提高設(shè)備的本質(zhì)安全。

2 三鼓成型機(jī)安全風(fēng)險評估

2.1 風(fēng)險分析的步驟

2.1.1 機(jī)器的限制

第一步是定義機(jī)器的限制，包括空間限制、時間限制和使用限制。該過程包括收集和分析有關(guān)機(jī)器零件、機(jī)構(gòu)和功能的信息。

2.1.2 危險識別

第二步是危險識別，應(yīng)針對機(jī)器全壽命周期的各個階段以及機(jī)器在各種工作模式下的各種相關(guān)任務(wù)，識別出所有可合理預(yù)見的危險。

根據(jù)現(xiàn)場調(diào)研三鼓成型機(jī)的各工位，拍出照片，根據(jù)預(yù)評估，該機(jī)器存在的主要危險源及存在風(fēng)險為：

胎體貼合鼓

卸胎區(qū)域

帶束層鼓及成型鼓

PA/BP輸送帶

胎體傳遞環(huán)后部區(qū)域

帶束層供料架及導(dǎo)開/卷取工位

供料模板的氣缸上/下工作

胎胚定型滾壓、反包階段

后壓小車裝置等。

2.1.3風(fēng)險評量的方法

評價方法是基于Pilz的標(biāo)準(zhǔn)和經(jīng)驗，因素的評價，造成傷害的程度（DPH），危險的發(fā)生概率（PO），躲避危險的概率和頻率（PA）或者暴露在危險中的持續(xù)時間（FE）等體現(xiàn)在每個危險相關(guān)的風(fēng)險。危險等級（PHR）由以下公式來計算：

PHR=PO×PA×DPH×FE

3 三鼓成型機(jī)的降低風(fēng)險的措施

根據(jù)基本標(biāo)準(zhǔn)EN ISO 12100和EN ISO 14121，EN ISO 13849：2008（機(jī)器安全-控制系統(tǒng)部件的安全），通過安裝電子的和機(jī)械非電子解決方案來降低風(fēng)險，保護(hù)操作人員免受風(fēng)險的威脅。以下從風(fēng)險評估的流程、風(fēng)險等級的確定、降低風(fēng)險的優(yōu)先順序三個方面來闡述降低風(fēng)險的措施與方法。

3.1 風(fēng)險等級的確定

如圖1。

3.2 降低風(fēng)險的順序

⑴ 本質(zhì)安全設(shè)計

操作人員和危險源不在同一區(qū)域內(nèi)的設(shè)計。

減少要去掉銳利的邊、角、突起物；減小驅(qū)動力、減緩轉(zhuǎn)速，防止手指等進(jìn)入，盡可能縮小開口/可動范圍。

（2）安全防護(hù)對策

通過空間與時間上進(jìn)行分離，加裝隔離防護(hù)等。

（3）通過補(bǔ)充措施降低風(fēng)險

通過加裝電氣安全裝置，如緊急停止裝置，安全光柵、安全地毯、安全門、安全掃描儀、安全邊緣開關(guān)、拉繩開關(guān)等。

（4）通過信息降低風(fēng)險

通過加裝光、聲警示與標(biāo)簽提示，來降低風(fēng)險。

3.3 三鼓成型機(jī)降低風(fēng)險措施

通過安裝電子的和機(jī)械非電子解決方案來降低風(fēng)險，保護(hù)操作人員免受風(fēng)險的威脅，將成型機(jī)風(fēng)險水平控制在規(guī)定水平之內(nèi)。

4 結(jié)語

該文依據(jù)國際機(jī)械安全標(biāo)準(zhǔn)，通過對三鼓成型機(jī)實施安全風(fēng)險評估，可幫助輪胎企業(yè)與成型機(jī)制造企業(yè)對成型機(jī)全面識別風(fēng)險，有利于將成型機(jī)風(fēng)險水平控制在規(guī)定水平之內(nèi)，并對風(fēng)險做出正確、合理的決策。通過圖文并茂等形式，給了對成型機(jī)風(fēng)險評估，危險識別，并采相應(yīng)措施起到一定的參考作用。通過對設(shè)備進(jìn)行安全風(fēng)險評估，能有效消除機(jī)械設(shè)備不安全狀態(tài)，我們就能有效地預(yù)防機(jī)械傷害事故的發(fā)生。

參考文獻(xiàn)

第3篇：安全風(fēng)險評估范文

關(guān)鍵詞：網(wǎng)絡(luò)安全 風(fēng)險評估 方法

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）11-0210-01

1 網(wǎng)絡(luò)安全風(fēng)險概述

1.1 網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強(qiáng)，其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能，網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看，無線網(wǎng)絡(luò)安全主要是保證使用者進(jìn)行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題，由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性，其在安全方面面臨著較大的風(fēng)險，如何對這些風(fēng)險進(jìn)行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進(jìn)行全面正確的評估，單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求，因此，本文更推薦將層次分析法和逼近思想法進(jìn)行雙重結(jié)合，進(jìn)一步對一些不確定因素進(jìn)行全面的評估，確保分析到每一個定量和變量，進(jìn)一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò)，影響其安全風(fēng)險的因素相對較少，但是依然要對其進(jìn)行全面分析，盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天，如何對網(wǎng)絡(luò)進(jìn)行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求，而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案，而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率，盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險，從而保證網(wǎng)絡(luò)的合理安全運行。

1.3 風(fēng)險評估指標(biāo)

在本論文的分析過程之中，主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo)，即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系，在各個指標(biāo)體系之中，又分別包含了若干個指標(biāo)要素，最終形成了一個完整的風(fēng)險評估指標(biāo)體系，進(jìn)而避免了資源的不必要浪費，最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。

2 網(wǎng)絡(luò)安全風(fēng)險評估的方法

如何對網(wǎng)絡(luò)風(fēng)險進(jìn)行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進(jìn)行了全面的分析，結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題，最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法，最終能夠保證網(wǎng)絡(luò)信息安全。

2.1 網(wǎng)絡(luò)風(fēng)險分析

作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié)，網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進(jìn)行分析，不單單要涉及指標(biāo)性因素，還有將許多不穩(wěn)定的因素考慮在內(nèi)，全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進(jìn)行分析的過程之中，要從宏觀和微觀兩個方面進(jìn)行入手分手，最大程度的保證將內(nèi)外部因素全部考慮在內(nèi)，對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷，并借此展開深層次的分析和研究。

2.2 風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估之中，可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高，這便進(jìn)一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進(jìn)行風(fēng)險評估的過程之中，我們主要通過對風(fēng)險誘導(dǎo)因素進(jìn)行定量和定性分析，在此分析的基礎(chǔ)上再加以運用逼近思想法進(jìn)行全面的驗證，從而不斷的促進(jìn)風(fēng)險評估工作的效率以及安全性。在進(jìn)行風(fēng)險評估的過程之中，要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進(jìn)行分析，將工作思想放開，不能拘泥于理論知識，將實踐和理論相結(jié)合，最終完成整個風(fēng)險評估工作。

2.3 安全風(fēng)險決策與監(jiān)測

在進(jìn)行安全風(fēng)險決策的過程之中，對信息安全依法進(jìn)行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進(jìn)行的風(fēng)險方案決策，其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定，從而最終保證風(fēng)險評估得以平穩(wěn)進(jìn)行。而對于安全監(jiān)測，網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性，在系統(tǒng)更新?lián)Q代中，倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題，那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用，這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況，倘若產(chǎn)生了突發(fā)狀況，相關(guān)決策部門能夠第一時間的進(jìn)行策略調(diào)整。因此，網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。

3 結(jié)語

網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程，其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中，要有層次的選擇合適的評估方法進(jìn)行評估，確保風(fēng)險分析和評估工作的有序進(jìn)行，同時又要保證安全決策和安全檢測的完整運行，與此同時，要保證所有的突發(fā)狀況都能夠及時的反映和對付，最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。

參考文獻(xiàn)

[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué)，2008.

[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué)，2010.

[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué)，2012.

第4篇：安全風(fēng)險評估范文

關(guān)鍵詞：大型活動

公共安全

風(fēng)險評估

1.大型活動公共安全問題分析

1.1大型活動的界定及類型

所謂“大型活動”，是指由單位（社團(tuán)）主辦或政府組織，在特定時間內(nèi)面向社會臨時占用或租用公共場所舉辦的，由不特定的多數(shù)人參加的公共活動。

1.2公共安全的涵義與特點分析

公共安全，是指公眾的安全。具體來說是指社會公眾享有安全和諧的生活和工作環(huán)境以及良好的社會秩序，公眾的生命財產(chǎn)、身心健康、民利和自我發(fā)展有安全的保障，最大限度的避免各種災(zāi)難的傷害。1

2.影響大型活動公共安全的風(fēng)險因素分析

2.1對“風(fēng)險”的認(rèn)識

通常認(rèn)為風(fēng)險（risk）的定義為：能夠?qū)ρ芯繉ο螽a(chǎn)生影響的事件發(fā)生的機(jī)會，它通過后果和可能性這兩個方面來具體體現(xiàn)。風(fēng)險概念中包括三個因素：對可能發(fā)生的事件的認(rèn)知；該事件發(fā)生的可能性；發(fā)生的后果。

2.2大型活動公共安全的風(fēng)險因素探究

第一，大型活動的主要特點之一就是人員多，同時這些人員還處于分散狀態(tài)，組織性很差，但又在一定時間內(nèi)高度集中，往往使活動場地處于飽和狀態(tài)。

第二，大型活動舉辦所使用的公共場所是人員高度集中，流動性大的城市公共場所。在建筑形式上，大型公共場所一般空間高、跨度大、面積大，多為封閉式建筑，疏散出口少，無窗和固定窗結(jié)構(gòu)多。

第三，大型活動的順利舉行有賴于場所外交通的順暢。若舉辦地點的交通堵塞，人群滯留，不僅影響了大型活動的正常進(jìn)行，還會引發(fā)一系列的安全問題。成為影響大型活動公共安全的風(fēng)險因素。

第四，周邊治安環(huán)境的好壞直接影響著大型活動開展的質(zhì)量。

第五，突發(fā)性事件是影響大型活動的重要因素。突發(fā)性事件因其突發(fā)性、不確定性、破壞性、緊迫性等對大型活動產(chǎn)生了巨大的安全隱患。

第六，當(dāng)前世界上的民族沖突、地區(qū)沖突、宗教沖突、文化價值觀沖突呈現(xiàn)尖銳態(tài)勢，一些恐怖組織采取恐怖手段，擾亂社會治安、傷害無辜百姓，尤其在大型活動的舉行期間，更加容易利用活動的高影響力來實施報復(fù)性的恐怖活動。

第七，人類目前面臨著嚴(yán)重的生態(tài)環(huán)境問題，自然災(zāi)害頻頻發(fā)生。

3.大型活動公共安全風(fēng)險評估的重要意義

第一，風(fēng)險評估是實現(xiàn)大型活動公共安全管理社會化的關(guān)鍵工作，它使更多的利益主體被納入到評估體系中來，共同解決大型活動公共安全管理問題，從而形成利益風(fēng)險的共享分擔(dān)合理機(jī)制。

第二，風(fēng)險評估能夠幫助公共安全管理科學(xué)準(zhǔn)確地把握風(fēng)險及可能出現(xiàn)的危機(jī)和危害，以此提高預(yù)防和處理突發(fā)安全事件的能力，為大型活動舉辦創(chuàng)造安全環(huán)境。

第三，風(fēng)險評估的結(jié)果能有效的保證大型活動的順利舉行，而且還能有效的避免出現(xiàn)安保人員不夠或者缺失的現(xiàn)象。

第四，風(fēng)險評估順應(yīng)了大型活動公共安全管理模式改變的潮流。

4.我國大型活動公共安全風(fēng)險評估工作的現(xiàn)狀

4.1我國公共安全風(fēng)險評估問題提出的背景

隨著經(jīng)濟(jì)的發(fā)展，社會的進(jìn)步，大型活動舉辦的規(guī)模會越來越大，涉及面也越來越廣。

現(xiàn)今安全領(lǐng)域出現(xiàn)了公共資金短缺，資源緊張等現(xiàn)象，政府已經(jīng)無力再管。只有引入私人資本，調(diào)動公共組織的積極性進(jìn)行風(fēng)險評估，才是解決各種安全問題的有效途徑。

2005年9月9日北京市第12屆人大常委會第22次會議審議通過了《北京市大型社會活動安全管理條例》也促進(jìn)了大型活動的風(fēng)險評估的發(fā)展。

4.2我國開展公共安全風(fēng)險評估工作基本情況

國內(nèi)現(xiàn)有公共安全評價活動，人口級的有自然災(zāi)害、流行疾病、交通事故、環(huán)境損失、安全生產(chǎn)、兒童營養(yǎng)監(jiān)測等，項目級的有艾滋病干預(yù)、煤礦安全生產(chǎn)整改、消防火災(zāi)審核、食品毒物控制、生殖健康促進(jìn)評估等。其中，一部分評價方法與指標(biāo)已經(jīng)實現(xiàn)國際對接，具有很好的公信力；另一部分評價方法和體系尚處于發(fā)育階段，效果有待檢測。2

4.3我國開展公共安全風(fēng)險評估工作的主要問題

第一，公共安全風(fēng)險評估研究不夠，理論框架不完善。第二，尚未建立可以使用的大型活動災(zāi)害數(shù)據(jù)庫，歷史數(shù)據(jù)使用效率低。第三，風(fēng)險評價指標(biāo)體系建立不完善，評價方法多依賴專家打分。第四，大型活動的前期情報收集不充分。

5.大型活動公共安全風(fēng)險評估的理論和方法

5.1風(fēng)險管理涵義

風(fēng)險管理是管理者選擇與貫徹安全措施的過程，以便以可以接受的投入，使風(fēng)險控制在一定的可接受的水平之內(nèi)。其過程包括了對風(fēng)險的識別、衡量和科學(xué)的決策。3

5.2風(fēng)險評估的主要方法簡介

面對著嚴(yán)峻的人口與社會風(fēng)險問題，聯(lián)合國、國際NGO、外國政府以及國外一些研究機(jī)構(gòu)，基于監(jiān)測、描述和解釋國際社會公共安全的需要，在研究和實踐中設(shè)計了一系列公共安全評估框架①。

目前常見的自動化風(fēng)險評估工具包括：COBRA——COBRA（Consultative，Objective　and　Bi-functional　Risk　Analysis）風(fēng)險分析工具軟件、CRAMM——CRAMM（CCTA　Risk　Analysis　and　Management　Method）定量風(fēng)險分析工具、ASSET——ASSET（Automated　Security　Self-Evaluation　Tool）安全風(fēng)險自我評估的自動化工具、CORA——CORA（Cost-of-Risk　Analysis）風(fēng)險管理決策支持系統(tǒng)。

6.完善我國大型活動公共安全風(fēng)險評估工作的設(shè)想

6.1納入法制軌道

雖然我國現(xiàn)階段出臺了一些大型活動的法律法規(guī)。如公安部的《群眾性文化體育活動治安管理辦法》，北京市的《北京市大型社會活動安全管理條例》等。但我國大型活動公共安全的風(fēng)險評估工作目前處于起始階段，好多評估工作還不很規(guī)范，所以，建立相關(guān)的法律體系，使大型活動的風(fēng)險評估不再是個別的不規(guī)范現(xiàn)象，而是將其納入法律體系，確保評估有法可依，有規(guī)可循。

6.2建立健全責(zé)任體系

6.2.1行政審批

主管機(jī)關(guān)具有風(fēng)險評估的行政審批權(quán)力，主要負(fù)責(zé)提出、制定并批準(zhǔn)提出申請單位的信息安全風(fēng)險管理策略，領(lǐng)導(dǎo)和組織安全評估工作。

6.2.2組織協(xié)調(diào)

大型活動的信息系統(tǒng)擁有者具有風(fēng)險評估的組織協(xié)調(diào)權(quán)力，將負(fù)責(zé)制定安全計劃，報主管機(jī)關(guān)審批；組織實施信息系統(tǒng)自評估工作；配合強(qiáng)制性檢查評估或委托評估工作，并提供必要的文檔等資源；向主管機(jī)關(guān)提出新一輪風(fēng)險評估的建議；改善安全防護(hù)措施，提出安全保衛(wèi)計劃。

6.2.3措施整改

大型活動的承辦方應(yīng)根據(jù)風(fēng)險評估結(jié)果修正安全方案，使安全方案成本合理、積極有效，并在方案中有效地控制風(fēng)險，降低風(fēng)險出現(xiàn)的幾率；規(guī)范活動，減少在在活動舉行階段引入的新風(fēng)險；確保大型活動的安全性得到相關(guān)機(jī)構(gòu)的認(rèn)證。

6.2.4具體實施

風(fēng)險評估機(jī)構(gòu)應(yīng)提供獨立的大型活動安全風(fēng)險評估；對大型活動中的安全防護(hù)措施進(jìn)行評估，以判斷這些安全防護(hù)措施在特定運行環(huán)境中的有效性以及實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險；提出調(diào)整建議，以減少或根除大型活動的脆弱性，有效對抗安全威脅，控制風(fēng)險；保護(hù)風(fēng)險評估中獲得的敏感信息，防止被無關(guān)人員和單位獲得。

6.2.5輔助支持

大型活動信息系統(tǒng)的相關(guān)機(jī)構(gòu)為風(fēng)險評估提供輔助支持，遵守安全策略、法規(guī)、合同等涉及大型活動風(fēng)險的安全要求，減少安全風(fēng)險；協(xié)助風(fēng)險評估機(jī)構(gòu)確定評估邊界；在風(fēng)險評估中提供必要的資源和資料。

6.3規(guī)范風(fēng)險評估工作

現(xiàn)行的風(fēng)險評估工作存在評估主體不明確，責(zé)任不清晰等問題。所以，要充分發(fā)揮中介組織的作用，成立專門的評估機(jī)構(gòu)，使公共組織成為評估主體，并使之脫離政府，獨立的進(jìn)行公共安全的風(fēng)險評估工作。

7.結(jié)論

可見，大型活動公共安全風(fēng)險評估是保證大型活動順利進(jìn)行的有效途徑。針對目前我國風(fēng)險評估中出現(xiàn)的各種問題，通過本文的分析，我認(rèn)為要規(guī)范大型活動風(fēng)險評估工作，就要充分發(fā)揮公共組織的作用，在此基礎(chǔ)上制定統(tǒng)一的評估標(biāo)準(zhǔn)，消除一場活動一個標(biāo)準(zhǔn)的不規(guī)范現(xiàn)象，同時，要建立起大型活動歷史災(zāi)害數(shù)據(jù)庫，為風(fēng)險評估提供必要的參考依據(jù)。建立健全責(zé)任體系，并形成利益風(fēng)險共擔(dān)機(jī)制，將保險公司，保安公司納入到評估體系之中，最大限度地發(fā)揮公安機(jī)關(guān)的指導(dǎo)作用和監(jiān)督作用，以保證大型活動的順利有序的開展。

參考文獻(xiàn)：

[1]秦穎.論公共產(chǎn)品的本質(zhì)——兼論公共產(chǎn)品理論的局限性[J].經(jīng)濟(jì)學(xué)家，2003．

[2]朱旭東.新農(nóng)村建設(shè)背景下公共安全產(chǎn)品供給的創(chuàng)新[J].國家行政學(xué)院學(xué)報，2007，（2）：37-40．

[3]王光，秦立強(qiáng)，張明.試論政府應(yīng)急管理的社會合作機(jī)制[J].中國人民公安大學(xué)學(xué)報，2006，（5）：118-123．

[4]劉鐵.公共安全與公共管理[J].學(xué)習(xí)與探索，2004，（5）：78-84．

[5]胡小煒.杭州市西湖區(qū)2002-2003年公共場所衛(wèi)生檢測結(jié)果[J].浙江預(yù)防醫(yī)學(xué)，2005，（17）：34-35．

[6]陳晉，陳志芬，黃崇福，李強(qiáng)著.大型公共場所風(fēng)險評價研究現(xiàn)狀與展望[J].自然災(zāi)害學(xué)報，2005，（12）：16-19．

[7]北京市公安局組團(tuán)赴法國、希臘考察奧運和大型活動安保工作[R].外事簡報第五期，北京市局辦公室外事，2004-8-2．

[8]龍亮.德國大型活動安保策略及其給我們的啟示[J].北京人民警察學(xué)院學(xué)報，2006，（1）：25-27．

[9]張先來.大型活動消防安全工作重在基礎(chǔ)——從法國2003年世界田徑錦標(biāo)賽看北京[J].消防技術(shù)與產(chǎn)品信息，2004，（3）：10-13．

注　釋：

1.吳愛明，公共安全：公共管理不可忽視的社會問題[J].行政論壇，2004，11?。?6）

第5篇：安全風(fēng)險評估范文

關(guān)鍵詞：信息安全；風(fēng)險評估；脆弱性；威脅

1.引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復(fù)雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施，以防范和化解風(fēng)險，或者將殘余風(fēng)險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

2、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲、傳輸?shù)仁褂眠^程的安全。

網(wǎng)絡(luò)信息安全具有如下6個特征：(1)保密性。即信息不泄露給非授權(quán)的個人或?qū)嶓w。(2)完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。(3)可用性。即能保證合法的用戶正常訪問相關(guān)的信息。(4)可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。

(5)可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。

而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險因素分析，就能夠為此復(fù)雜問題的解決找到一個考慮問題的立足點，能夠?qū)?fù)雜的問題量化，同時，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險因素主要有以下6大類：(1)自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；(2)社會因素，主要是人類社會的各種活動，如暴力、戰(zhàn)爭、盜竊等；(3)網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；(4)軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；(5)人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；(6)其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對相關(guān)法律法規(guī)立法因素、教育部門對相關(guān)知識的培訓(xùn)因素、宣傳部門對相關(guān)安全內(nèi)容的宣傳因素等。這些因素對于網(wǎng)絡(luò)信息安全均會產(chǎn)生直接或者間接的影響。

3、安全風(fēng)險評估方法

3.1定制個性化的評估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評估方法和流程，但在實踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點及安全風(fēng)險評估的能力，進(jìn)行“基因”重組，定制個性化的評估方法，使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風(fēng)險評估等。

3.2安全整體框架的設(shè)計

風(fēng)險評估的目的，不僅在于明確風(fēng)險，更重要的是為管理風(fēng)險提供基礎(chǔ)和依據(jù)。作為評估直接輸出，用于進(jìn)行風(fēng)險管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。

3.3多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險，必須進(jìn)行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風(fēng)險、理解風(fēng)險、管理風(fēng)險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。

3.4敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險越來越隱蔽。要提高評估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強(qiáng)大的評估經(jīng)驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

3.5評估結(jié)果管理

安全風(fēng)險評估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個完整的風(fēng)險管理系統(tǒng)，但至少是一個非常重要的可管理的風(fēng)險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導(dǎo)評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。

4、風(fēng)險評估的過程

4.1前期準(zhǔn)備階段

主要任務(wù)是明確評估目標(biāo)，確定評估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評估對象已存在的相關(guān)資料。展開對被評估對象的調(diào)查研究工作。

4.2中期現(xiàn)場階段

編寫測評方案，準(zhǔn)備現(xiàn)場測試表、管理問卷，展開現(xiàn)場階段的測試和調(diào)查研究階段。

4.3后期評估階段

撰寫系統(tǒng)測試報告。進(jìn)行補(bǔ)充調(diào)查研究，評估組依據(jù)系統(tǒng)測試報告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險評估報告。

5.風(fēng)險評估的錯誤理解

(1)

不能把最終的系統(tǒng)風(fēng)險評估報告認(rèn)為是結(jié)果唯一。

(2)不能認(rèn)為風(fēng)險評估可以發(fā)現(xiàn)所有的安全問題。

(3)

不能認(rèn)為風(fēng)險評估可以一勞永逸的解決安全問題。

(4)不能認(rèn)為風(fēng)險評估就是漏洞掃描。

(5)不能認(rèn)為風(fēng)險評估就是IT部門的工作，與其它部門無關(guān)。

(6)

不能認(rèn)為風(fēng)險評估是對所有信息資產(chǎn)都進(jìn)行評估。

第6篇：安全風(fēng)險評估范文

關(guān)鍵詞　企業(yè)網(wǎng)絡(luò)安全　網(wǎng)絡(luò)安全評估　風(fēng)險評估　面向運行

一、引言

信息安全不是一個孤立靜止的概念，信息安全是一個多層面的多因素的綜合的動態(tài)的過程。在HTP模型中，信息安全建設(shè)是從體系建設(shè)過程、運行及改進(jìn)過程、風(fēng)險評估過程再到體系建設(shè)過程的一個循環(huán)往復(fù)的過程。沒有絕對的安全，信息安全的技術(shù)是不斷的前進(jìn)的。所以面向企業(yè)網(wǎng)絡(luò)的安全體系建設(shè)是一個需要在不斷考察企業(yè)自身發(fā)展環(huán)境和安全需求的基礎(chǔ)上，通過對現(xiàn)有系統(tǒng)的風(fēng)險評估，不斷改進(jìn)的過程。整個安全體系統(tǒng)建設(shè)，不能一勞永逸，一成不變。因此，引入安全風(fēng)險評估的概念和方法相當(dāng)重要，它為企業(yè)網(wǎng)絡(luò)的自身評估提供了良好的手段，是企業(yè)網(wǎng)絡(luò)安全體系不斷發(fā)展的動力。

二、風(fēng)險評估的基本步驟和方法

進(jìn)行風(fēng)險評估，首先應(yīng)按照信息系統(tǒng)業(yè)務(wù)運行流程進(jìn)行資產(chǎn)識別，明確要保護(hù)的資產(chǎn)、資產(chǎn)的位置，并根據(jù)估價原則評價資產(chǎn)的重要性。在對資產(chǎn)進(jìn)行估價時，不僅要考慮資產(chǎn)的市場價格，更重要的是要考慮資產(chǎn)對于信息系統(tǒng)業(yè)務(wù)的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來決定。為確保資產(chǎn)估價的一致性和準(zhǔn)確性，信息系統(tǒng)應(yīng)按照建立一個統(tǒng)一的價值尺度，以明確如何對資產(chǎn)進(jìn)行賦值。還要注意特定信息資產(chǎn)的價值的時效性和動態(tài)性。

其次系統(tǒng)管理員、操作員、安全專家對信息系統(tǒng)進(jìn)行全面的安全性分析。對系統(tǒng)進(jìn)行安全性分析的方法包括調(diào)查研究、會議座談、理論分析、進(jìn)行模擬滲透式攻擊等方法，可運用的分析技術(shù)包括貝葉斯信任網(wǎng)絡(luò)法、事件樹分析法、軟件故障樹分析法、危害性與可操作性分析法、Petri網(wǎng)法、寄生電路分析法以及系統(tǒng)影響和危險度分析法。

再次對已采取的安全控制進(jìn)行確認(rèn)。

最后，建立風(fēng)險測量方法及風(fēng)險等級評價原則，確定風(fēng)險的大小與等級。按照風(fēng)險評估的深度，風(fēng)險評估方法可分為：①基本的風(fēng)險評估方法：對組織所面臨的風(fēng)險全部采用統(tǒng)一、簡單的方法進(jìn)行評估分析并確定一個安全標(biāo)準(zhǔn)，這種方法僅適用于規(guī)模小、構(gòu)成簡單、信息安全要求不是很高的組織；②詳細(xì)的風(fēng)險評估方法：對信息系統(tǒng)中所有的部分都進(jìn)行詳細(xì)的評估分析；③聯(lián)合的風(fēng)險評估方法：先鑒定出一個信息系統(tǒng)中高風(fēng)險、關(guān)鍵、敏感部分進(jìn)行詳細(xì)的評估分析，然后對其他的部分采取基本的評估分析。

在進(jìn)行風(fēng)險評估時，可采用定性或定量分析方法。定性評估時并不使用具體的數(shù)據(jù)表示絕對數(shù)值，而是用語言描述表示相對程度。由此得出的評估結(jié)果只是風(fēng)險的相對等級，并不代表風(fēng)險的絕對大小。

定量風(fēng)險分析方法要求特別關(guān)注資產(chǎn)的價值損失和威脅的量化數(shù)據(jù)。對于具體環(huán)境的某一個安全風(fēng)險時間發(fā)生的概率是安全威脅發(fā)生概率與系統(tǒng)脆弱點被利用概率的函數(shù)，根據(jù)聯(lián)合概率分布計算公式可得出安全事件L發(fā)生概率為PL=TL×VL。其中TL是未考慮資產(chǎn)脆弱點因素的威脅發(fā)生的發(fā)生概率，VL是資產(chǎn)的脆弱點被威脅利用的概率。

目前風(fēng)險評估工具存在以下幾類：①掃描工具：包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；②人侵監(jiān)測系統(tǒng)(IDS)：用于收集與統(tǒng)計威脅數(shù)據(jù)；③滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；④主機(jī)安全性審計工具：用于分析主機(jī)系統(tǒng)配置的安全性；⑤安全管理評價系統(tǒng)：用于安全訪談，評價安全管理措施；⑥風(fēng)險綜合分析系統(tǒng)：在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上，定量、綜合分析系統(tǒng)的風(fēng)險，并且提供分類統(tǒng)計、查詢、TOPN查詢以及報表輸出功能；⑦評估支撐環(huán)境工具：評估指標(biāo)庫、知識庫、漏洞庫、算法庫、模型庫。

三、面向運行的風(fēng)險評估

由于還沒有一個標(biāo)準(zhǔn)的建設(shè)程序和規(guī)范，因此在國內(nèi)很少有企業(yè)在風(fēng)險評估的基礎(chǔ)上進(jìn)行系統(tǒng)建設(shè)，而且很多情況下選擇將網(wǎng)絡(luò)一次性安裝完畢。針對這種情況，我們覺得可以考慮采用面向運行的風(fēng)險評估的方法，對已經(jīng)建成的、正在運行的網(wǎng)絡(luò)進(jìn)行風(fēng)險評估，查找問題，然后針對風(fēng)險點，逐步加以建設(shè)完善。在此基礎(chǔ)上，可對網(wǎng)絡(luò)再進(jìn)行一次風(fēng)險評估。檢查信息系統(tǒng)安全績效，并為進(jìn)一步提升安全性能做好準(zhǔn)備。對于一個企業(yè)來講，網(wǎng)絡(luò)可以由多個功能模塊組成，包括核心網(wǎng)絡(luò)、服務(wù)器組、廣域網(wǎng)、互聯(lián)網(wǎng)、撥號用戶等。

1.企業(yè)網(wǎng)絡(luò)分析

企業(yè)園區(qū)網(wǎng)絡(luò)主要包括核心網(wǎng)絡(luò)、分布層網(wǎng)絡(luò)、接人層網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)等幾個部分。各個部分都可能受到來自企業(yè)內(nèi)部的安全威脅。(1)核心網(wǎng)絡(luò)，核心網(wǎng)絡(luò)主要實現(xiàn)核心交換功能，主要的威脅為分組竊聽。(2)分布層網(wǎng)絡(luò)，分布層網(wǎng)絡(luò)為接入設(shè)備提供路由、服務(wù)質(zhì)量和訪問控制等分布層服務(wù)，完成核心網(wǎng)絡(luò)與接入網(wǎng)絡(luò)的信息交互，它是針對內(nèi)部發(fā)起攻擊的第一道防御。在這個網(wǎng)絡(luò)中可能存在未授權(quán)訪問、IP電子欺騙、分組竊聽等威脅。(3)接人層網(wǎng)絡(luò)，接入層網(wǎng)絡(luò)是為企業(yè)內(nèi)部網(wǎng)絡(luò)最終用戶提供服務(wù)。用戶設(shè)備是網(wǎng)絡(luò)中最大規(guī)模的元素，因此該部分網(wǎng)絡(luò)可能存在大量的來自內(nèi)部網(wǎng)絡(luò)用戶的安全威脅。如外來筆記本等不安全機(jī)器可接入內(nèi)部網(wǎng)，對內(nèi)部網(wǎng)的安全造成威脅，可能造成內(nèi)部數(shù)據(jù)的泄露，網(wǎng)絡(luò)受到惡意攻擊；企業(yè)內(nèi)部網(wǎng)上使用的電腦擅自撥號上互聯(lián)網(wǎng)，造成一機(jī)多網(wǎng)，可能感染病毒，受到互聯(lián)網(wǎng)上用戶的攻擊；內(nèi)部網(wǎng)客戶端的安全補(bǔ)丁和殺毒軟件病毒庫沒有及時更新，無法有效地防范病毒，因此有病毒泛濫的風(fēng)險等。(4)服務(wù)器網(wǎng)絡(luò)，服務(wù)器網(wǎng)絡(luò)因為向最終用戶提供應(yīng)用服務(wù)，存儲大量的企業(yè)內(nèi)部數(shù)據(jù)，通常會成為內(nèi)部攻擊的主要目標(biāo)，因此未授權(quán)訪問、應(yīng)用層攻擊、IP電子欺騙、分組竊聽、信任關(guān)系利用、端口重定向等威脅時刻存在。

2.確定已經(jīng)采取的安全控制手段

對于企業(yè)園區(qū)網(wǎng)應(yīng)當(dāng)采取的安全控制手段，在這里我們不做詳細(xì)講解。我們要做的就是根據(jù)網(wǎng)絡(luò)安全管理的設(shè)計方案，結(jié)合上面確定的風(fēng)險點，進(jìn)行檢查，確定在這些風(fēng)險點上已經(jīng)采取的安全控制措施，并確保這些措施切實有效。比如：(1)防火墻設(shè)置是否安全；(2)防火墻是否使用NAT地址轉(zhuǎn)換；(3)是否安裝入侵監(jiān)測系統(tǒng)；(4)是否使用電子郵件內(nèi)容過濾；(5)是否使用RFC2827和1918過濾；(6)撥號用戶是否簽訂安全協(xié)議；(7)撥號用戶是否進(jìn)行強(qiáng)身份認(rèn)證；(8)是否對用戶線路采用撥號回送程序和控制措施；(9)是否對撥號上網(wǎng)用戶流經(jīng)關(guān)鍵接口的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)視記錄。當(dāng)然這只是需要確認(rèn)內(nèi)容的一小部分。在確認(rèn)過程中需要做到的是耐心仔細(xì)，不放過每一個細(xì)節(jié)。同時我們應(yīng)當(dāng)與各個部門負(fù)責(zé)人和系統(tǒng)管理員協(xié)同工作，以便取得更大的成效。

3.確定風(fēng)險的等級

我們需要使用一些掃描工具，對內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，以便建立風(fēng)險等級評價原則，確定風(fēng)險的大小與等級。根據(jù)掃描結(jié)果，我們可以結(jié)合已經(jīng)收集到的大量網(wǎng)絡(luò)信息，進(jìn)行認(rèn)真比較和評估。最后我們可以總結(jié)出發(fā)現(xiàn)的問題，并提出化解風(fēng)險的建議。

當(dāng)然風(fēng)險是客觀存在的，通過風(fēng)險評估的方法，能夠在一個階段內(nèi)幫助解決網(wǎng)絡(luò)安全問題，但并非一勞永逸。我們應(yīng)該建立風(fēng)險評估的良性循環(huán)機(jī)制，定期進(jìn)行風(fēng)險評估，以便不斷的提升網(wǎng)絡(luò)安全性能。

第7篇：安全風(fēng)險評估范文

關(guān)鍵詞：電子商務(wù)；風(fēng)險評估；模型研究

一、 引言

電子商務(wù)利用EDI和Internet技術(shù)的實現(xiàn)了用戶、企業(yè)和銀行及其他商務(wù)活動相關(guān)要素之間的電子形式的信息交換；完成了電子商務(wù)系統(tǒng)中信息流、物流和資金流的轉(zhuǎn)移。為了促進(jìn)電子商務(wù)應(yīng)用的健康發(fā)展，研究電子商務(wù)中可能存在的安全風(fēng)險并制定相應(yīng)的控制策略是十分重要的。

目前有很多關(guān)于電子商務(wù)安全風(fēng)險研究的文獻(xiàn)，其中有許多模型涉及到信用風(fēng)險或者是交易風(fēng)險的研究，但是直接關(guān)于電子商務(wù)系統(tǒng)安全風(fēng)險評估的研究還不很多。一般關(guān)于電子商務(wù)風(fēng)險評估的研究側(cè)重于網(wǎng)絡(luò)安全方面引起的風(fēng)險，例如信息的完整性和保密性、訪問控制技術(shù)以及安全協(xié)議等方面的研究，也有一些風(fēng)險識別和預(yù)警方面的研究。對電子商務(wù)系統(tǒng)的風(fēng)險評估，多數(shù)還是圍繞信任值（信譽(yù)值）的高低來做定性分析，圍繞電子商務(wù)活動過程中的三大要素來評估電子商務(wù)系統(tǒng)風(fēng)險的研究很少。

本文將應(yīng)用信息安全風(fēng)險評估中常用的層次分析法對電子商務(wù)系統(tǒng)的信息流、資金流和物流三大因素所引起的電子商務(wù)系統(tǒng)的安全風(fēng)險進(jìn)行分析，提出一種較為有效的定性風(fēng)險評估方法，對存在于電子商務(wù)系統(tǒng)活動過程中的風(fēng)險進(jìn)行評價和分析。

二、 電子商務(wù)安全風(fēng)險分類分析

電子商務(wù)中的任何一筆交易，都包含著四種基本的“流”，即商流、信息流、資金流、物流。商流是指商品的購、銷之間進(jìn)行交易和商品所有權(quán)轉(zhuǎn)移的運動過程，具體是指商品交易的一系列活動。信息流既包括商品信息的提供、技術(shù)支持、售后服務(wù)等內(nèi)容，也包括諸如詢價單、報價單、付款通知單、轉(zhuǎn)賬通知單等商業(yè)貿(mào)易單證，還包括交易方的支付能力、支付信譽(yù)等。資金流主要是指資金的轉(zhuǎn)移過程，包括付款、轉(zhuǎn)帳等過程。物流，作為四流中最為特殊的一種，是指物質(zhì)實體（商品或服務(wù)）的流動過程，具體指運輸、儲存、配送、裝卸、保管、物流信息管理等各種活動。其中，商流是目的，信息流、資金流和物流是交易成功的保障。 因此，電子商務(wù)系統(tǒng)安全風(fēng)險類型可以綜合成信息流安全風(fēng)險、資金流安全風(fēng)險和物流安全風(fēng)險三大類。

1. 信息流安全風(fēng)險。

電子商務(wù)交易過程中涉及交易各方的眾多信息，所有這些信息都存在安全風(fēng)險。信息流風(fēng)險發(fā)生的情況主要有：①被模仿的網(wǎng)站域名；②網(wǎng)站信息內(nèi)容被修改；③顧客隱私及企業(yè)商業(yè)機(jī)密被侵犯；④信息被篡改或破壞；⑤企業(yè)提供虛假信息。

2. 資金流安全風(fēng)險。

資金流是指用戶確認(rèn)購買商品后，將自己的資金轉(zhuǎn)移到商家賬戶上的過程。在電子商務(wù)中，顧客通過瀏覽網(wǎng)頁的方式選購商品或服務(wù)，在選購?fù)瓿珊筻]政在線支付。顧客支付的款項能否安全、及時、方便地到達(dá)商家，關(guān)系到交易的最后成敗。資金流安全風(fēng)險發(fā)生的情況主要表現(xiàn)為：（1）資金賬號、密碼被竊?。?）釣魚網(wǎng)站（3）拒付及拒收（4）硬盤損壞造成電子現(xiàn)金丟失（5）電子貨幣的法律風(fēng)險（由于契約的不完整）。

3. 物流安全風(fēng)險。

物流一直是阻礙我國電子商務(wù)進(jìn)一步高速發(fā)展的極大障礙。物流活動涉及買方、賣方、運輸企業(yè)、倉儲企業(yè)和配送企業(yè)等多個參與方，所以，電子商務(wù)物流安全風(fēng)險相比較更為復(fù)雜。 常見的物流風(fēng)險包括以下六種：①付款后收不到商品；②貨物被損壞；③超過約定物流時間收到商品；④收到的商品與顧客期望不一致；⑤收到虛假商品；⑥物流服務(wù)被拒絕。

三、 應(yīng)用層次分析法評估電子商務(wù)系統(tǒng)的安全風(fēng)險

在研究過程中，為了使問題更加清晰，筆者的文章第二部分對電子商務(wù)安全風(fēng)險因素進(jìn)行了分類，把電子商務(wù)系統(tǒng)三大因素：信息流、資金流和物流做為電子商務(wù)系統(tǒng)安全風(fēng)險評估體系的三個一級指標(biāo)。在二級指標(biāo)的選定上，筆者借鑒前人的研究成果，邀請相關(guān)領(lǐng)域?qū)＜也捎玫聽柗品▽Τ醮未_定的22個指標(biāo)進(jìn)行選擇、修改與合并，最終確定了16個二級指標(biāo)。

1. 建立電子商務(wù)安全風(fēng)險評估的遞階層次結(jié)構(gòu)。

按照層次分析法的步驟，首先，建立如圖1所示的電子商務(wù)系統(tǒng)安全風(fēng)險評價指標(biāo)體系。

2. 構(gòu)造同風(fēng)險因素的兩兩比較判斷矩陣。

根據(jù)指標(biāo)選擇的基本原則，結(jié)合電子商務(wù)系統(tǒng)安全風(fēng)險評價層次，將電子商務(wù)系統(tǒng)安全評價的的指標(biāo)體系分為信息流風(fēng)險、資金流風(fēng)險和物流風(fēng)險三大類，每一類指標(biāo)又包含若干個具體指標(biāo)，如圖1所示。依據(jù)satty的評價指標(biāo)的相對權(quán)重標(biāo)度，通過德爾菲法，構(gòu)造出系統(tǒng)風(fēng)險的判斷矩陣B，C1，C2，C3。準(zhǔn)則層對目標(biāo)層的判斷矩陣為B，子因素對準(zhǔn)則層的判斷矩陣分別為C1，C2，C3。

3. 進(jìn)行層次單排序及一致性檢驗。

記第2層（準(zhǔn)則層）對第1層（目標(biāo)）的權(quán)向量為W（1），經(jīng)計算此判斷矩陣的最大特征根對應(yīng)的特征向量W（1）=（0.163，0.547，0.29）T，最大特征根λ（1）=2.989。由層次分析法可知，該特征向量即為信息流風(fēng)險、資金流風(fēng)險和物流風(fēng)險在電子商務(wù)系統(tǒng)整體風(fēng)險中所占的比重，W（1）即為其權(quán)重向量。對構(gòu)造的判斷矩陣進(jìn)行一致性檢驗，一致性指標(biāo)可根據(jù)CI=（λ-n）/（n-1）公式計算得出。然后，計算得一致性比率CR =CI/RI=0.009

同理可獲得最下層各風(fēng)險影響因子相對于第2層評價目標(biāo)的權(quán)重系數(shù)及一致性檢驗的結(jié)果。對未通過一致性檢驗的，再與問卷填寫人員進(jìn)一步溝通，適當(dāng)修改和調(diào)整數(shù)值，直到所有判斷矩陣都通過單層一致性檢驗。經(jīng)過計算后得出如表1所示的結(jié)果。

正如表1所示，四個風(fēng)險判斷矩陣均通過了一致性檢驗。

4. 指標(biāo)層相對總目標(biāo)的相對權(quán)重匯總

層次總排序是指每一個判斷矩陣各因素針對目標(biāo)層（最上層）的相對權(quán)重，即計算最下層對目標(biāo)層的組合權(quán)向量。當(dāng)所有的判斷矩陣都滿足相容性條件時，便可根據(jù)層次復(fù)合原理求出組合權(quán)重。

根據(jù)層次復(fù)合原理，求出批指標(biāo)層對總目標(biāo)的綜合權(quán)重并進(jìn)行匯總整理如表2所示。

四、 結(jié)論

利用電子商務(wù)系統(tǒng)的安全風(fēng)險評估模型可以對電子商務(wù)系統(tǒng)的安全問題進(jìn)行量化評估，確認(rèn)其安全等級，然后針對各個系統(tǒng)實施的的具體情況，尋找防范和控制安全風(fēng)險的具體措施和方案。

本文運用了層次分析法對電子商務(wù)系統(tǒng)安全風(fēng)險因素逐個評估，確保制定的風(fēng)險因素管理辦法更具有針對性。如表4所示，就一級指標(biāo)層來看，資金流風(fēng)險遠(yuǎn)高于信息流風(fēng)險和物流風(fēng)險，資金及商品的安全是顧客及企業(yè)最為關(guān)注的因素。但同時也要注意電子商務(wù)安全風(fēng)險管理中電子貨幣的法律風(fēng)險以及拒收和拒付風(fēng)險因素的權(quán)重也占一定的權(quán)重，說明了相應(yīng)的電子商務(wù)安全法律制度的不健全，以及顧客與企業(yè)之間的信任等問題也是電子商務(wù)流通過程中不可忽視的重要因素。

參考文獻(xiàn)：

1. 趙越，黃遵國. 基于層次分析法的信息安全風(fēng)險評估應(yīng)用研究. 保密科學(xué)技術(shù)，2011，（2）： 62-66.

2. 王艷瑋，陳恒. 面向業(yè)務(wù)流程的信息安全風(fēng)險評估方法研究 . 圖書情報工作，2011，（8）： 64-68.

3. 魏建國，張晨鷗. 基于AHP的網(wǎng)絡(luò)銀行交易安全評估模型. 華中農(nóng)業(yè)大學(xué)學(xué)報（社會科學(xué)版），2007，（5）： 90-93.

4. 桂河清.電子商務(wù)流通體系安全風(fēng)險分類研究.江蘇商論，2011，（6）：52-54.

5. 吳潔. 威脅電子商務(wù)安全的因素及實施方案 . 計算機(jī)安全，2010，（9）： 74-76.

第8篇：安全風(fēng)險評估范文

查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評估風(fēng)險的大小，提出風(fēng)險控制措施的過程?！秶倚畔⒒I(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風(fēng)險評估是信息安全保障的重要基礎(chǔ)性工作之一”。為了貫徹27號文的精神，進(jìn)一步識別信息系統(tǒng)存在的風(fēng)險，并對其進(jìn)行控制，很多單位啟動了風(fēng)險評估項目。而風(fēng)險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風(fēng)險評估項目的過程管理

可以從五個方面解釋信息安全風(fēng)險評估項目的生命周期，即數(shù)據(jù)收集、計劃準(zhǔn)備、數(shù)據(jù)分析、項目驗收、報告撰寫，其中一三五是風(fēng)險評估的主要實施階段。

2.1計劃準(zhǔn)備階段

（1）制定項目章程。在信息安全風(fēng)險評估項目中，應(yīng)盡早確認(rèn)并任命項目經(jīng)理，最好在制定項目章程時就任命。項目經(jīng)理的職責(zé)首先就在于應(yīng)該參與制定項目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運用組織資源來進(jìn)行項目的實施。顯而易見，項目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項目運行有效的一方。授權(quán)項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風(fēng)險評估范圍。確定風(fēng)險評估范圍即要了解什么方面或者對象具有風(fēng)險爆發(fā)的可能，例如公司的服務(wù)器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應(yīng)用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

（3）明確風(fēng)險評估成果。在信息安全風(fēng)險評估項目中，應(yīng)該在項目開始之前，與客戶將項目提交的成果及要求確定下來。明確風(fēng)險評估成果之后，在項目執(zhí)行過程中，該目標(biāo)也應(yīng)該作為項目驗收的標(biāo)準(zhǔn)。

（4）制定項目實施方案。項目實施方案是項目活動實施的具體流程，主要用來為項目實施提供技術(shù)指導(dǎo)。

（5）制定項目管理計劃。如果想要計劃實施過程一切順利，或者說對定義等計劃行動的過程需要記錄的話，就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進(jìn)明細(xì)。項目管理計劃不能冗余，相反應(yīng)該極其精煉，但是精煉并不意味著簡單，相反項目管理計劃應(yīng)詳細(xì)論述和解釋完成這個項目所需要的一些條件。

（6）組建項目團(tuán)隊。一個優(yōu)秀的項目團(tuán)隊是完成項目所必不可少的，是一種必須的人力資源。在項目開始時，一般而言，由項目經(jīng)理來決定優(yōu)秀團(tuán)隊的組成，并且在組建團(tuán)隊時應(yīng)該注意談判技巧。

（7）召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作，是一個項目的啟動階段，在項目啟動會上需要完成的任務(wù)包括分析評估完成項目所需要的方法和成本等問題。

（8）風(fēng)險評估培訓(xùn)。風(fēng)險評估培訓(xùn)是對項目團(tuán)隊成員及客戶的項目參與者就風(fēng)險評估方法、評估過程的相關(guān)細(xì)節(jié)性進(jìn)行培訓(xùn)，以便項目能順利實施。

2.2數(shù)據(jù)收集階段

主要包括收集資料、現(xiàn)場技術(shù)評估、現(xiàn)場管理評估三項任務(wù)。

（1）收集資料。數(shù)據(jù)收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細(xì)地獲得和項目相關(guān)的一些信息，例如客戶的行為習(xí)慣、客戶業(yè)務(wù)相關(guān)的文檔，甚至信息安全系統(tǒng)、信息化流程等信息都要盡量詳細(xì)化。

（2）現(xiàn)場技術(shù)評估?，F(xiàn)場技術(shù)評估就是通過漏洞掃描、問卷調(diào)查、現(xiàn)場訪談、主機(jī)配置審計、現(xiàn)場勘查等手段對評估對象進(jìn)行評估。

（3）現(xiàn)場管理評估。現(xiàn)場管理評估是最后一個步驟，但是卻非常重要，它不僅關(guān)系著此次項目運行成功與否，還關(guān)系到以后項目效率的改進(jìn)，現(xiàn)場評估需要對項目進(jìn)展的流程進(jìn)行綜合分析，找出不足之處，尋出與優(yōu)秀的項目管理之間的差距，歸納總結(jié)，從而完善管理程序。

2.3數(shù)據(jù)分析階段

收集數(shù)據(jù)階段已經(jīng)收集了很多的數(shù)據(jù)存量，想要發(fā)現(xiàn)數(shù)據(jù)的內(nèi)在規(guī)律，從而發(fā)現(xiàn)有用的東西，就必須對數(shù)據(jù)進(jìn)行詳細(xì)分析，只有仔細(xì)分析數(shù)據(jù)，才能夠發(fā)現(xiàn)項目的風(fēng)險所在，從而確定風(fēng)險的大小，找出其資產(chǎn)、弱點、風(fēng)險。

2.4報告撰寫階段

對收集到的數(shù)據(jù)進(jìn)行了詳細(xì)分析，得到初步的結(jié)論以后，就到了報告撰寫階段，即在數(shù)據(jù)分析的基礎(chǔ)上，制作一份報告，論述項目的風(fēng)險問題。

（1）撰寫風(fēng)險評估報告。風(fēng)險評估報告應(yīng)該將風(fēng)險分析的結(jié)果直觀地、形象地表達(dá)出來，讓管理層清楚地了解當(dāng)前信息系統(tǒng)存在的風(fēng)險。

（2）撰寫整改報告。整改報告則是根據(jù)風(fēng)險評估的結(jié)果，提出對風(fēng)險進(jìn)行管理與控制的過程?？煞譃榘踩庸探ㄗh、安全體系結(jié)構(gòu)建議、安全管理建議三種。

2.5項目驗收階段

在完成了以上的步驟以后，理論上就可以對項目進(jìn)行驗收了，項目驗收即對前期風(fēng)險評估成果的檢驗，一般包括三項內(nèi)容，即報告的評審、組織會議討論驗收事宜以及內(nèi)部項目總結(jié)。

（1）報告評審報告評審就是對風(fēng)險評估報告及整改報告進(jìn)行評審。

（2）召開項目驗收會即對項目的成果進(jìn)行匯報。

（3）內(nèi)部項目總結(jié)不僅僅是單純的對項目實施過程的一次簡單的回顧，還是一個經(jīng)驗總結(jié)的過程，回顧過去，把握現(xiàn)在，爭取在以后的項目中不再犯同樣的錯誤。

3信息安全風(fēng)險評估項目的重點領(lǐng)域管理

信息安全問題影響深遠(yuǎn)，其風(fēng)險評估應(yīng)根據(jù)項目的特點及具體過程，且應(yīng)在評估中重點加強(qiáng)溝通、范圍、時間、成本、風(fēng)險、人力資源等幾個領(lǐng)域的管理。

3.1項目溝通管理

為了達(dá)到項目目標(biāo)，項目經(jīng)理首先必須通過溝通談判從本公司獲得相應(yīng)的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項目滿意度，項目經(jīng)理必須與客戶進(jìn)行有效溝通。項目的最終目標(biāo)是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應(yīng)該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實施過程中管理干系人的需求與期望。

（1）識別干系人。很顯然，與項目的相關(guān)程度不同，不同的人對項目信息安全風(fēng)險具有不同的影響，作為客戶方與項目實施方，其公司企業(yè)的信息安全風(fēng)險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項目的態(tài)度也是影響項目信息安全風(fēng)險的重要因素，態(tài)度一般分為無關(guān)、支持和反對三個。

（2）了解干系人的需求與期望。應(yīng)該在充分了解項目背景的基礎(chǔ)上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景。可以咨詢售前顧問、銷售人員或者查閱招標(biāo)時的招標(biāo)書，甚至可以通過互聯(lián)網(wǎng)獲得相關(guān)信息。風(fēng)險評估項目的項目背景也是復(fù)雜的，一般而言會分成很多的情況，比較常見的有項目本身實施過程中出現(xiàn)的信息安全事件、監(jiān)管機(jī)制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進(jìn)一步確認(rèn)干系人的需求與期望。

（3）制定溝通計劃。信息安全風(fēng)險評估項目需要溝通，所以需要制定一個有效的溝通計劃。信息安全風(fēng)險評估項目不能夠隨意地制定溝通計劃，而應(yīng)該詳細(xì)地分析相關(guān)的影響因素，重點關(guān)注利益相關(guān)者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應(yīng)該得到恰當(dāng)?shù)墓芾?，最重要的是要明確期望與需求，進(jìn)行類別的劃分。可分為A、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗收；B類：應(yīng)該做（want），這一類如不做，會影響驗收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗收。其次，在管理干系人的需求與期望時，應(yīng)該遵循80/20規(guī)則，即完成20%的任務(wù)實現(xiàn)80%的價值，這部分任務(wù)必須作為重點。另外，可能還有20%的任務(wù)花費80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據(jù)干系人的職權(quán)（權(quán)力）進(jìn)行管理。①在第一象限中的干系人權(quán)力高，但對項目關(guān)注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權(quán)力高，且對項目關(guān)注程度高，要對其重點管理，優(yōu)先滿足其需要與期望。③第三象限的人員對項目關(guān)注程度高，但權(quán)力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權(quán)力低，且對項目不關(guān)注，要監(jiān)督他們對項目的反應(yīng)，不引起負(fù)面影響。最后，為了滿足干系人的需求與期望，需要在項目范圍、項目時間、項目成本、項目質(zhì)量之間做好平衡。

3.2項目范圍管理

范圍是一個空間的范疇，一個項目管理的范圍規(guī)定了一個項目的權(quán)限范圍，規(guī)定了項目可以做哪些事情，而哪些事情是不能做的，實際上是對必要工作的堅持和對不必要工作的摒棄。

（1）明確風(fēng)險評估范圍。項目計劃準(zhǔn)備時就要考慮風(fēng)險評估范圍，在這一階段就應(yīng)該定義項目范圍的廣泛性以及縱深等內(nèi)容，并且考慮客戶的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應(yīng)該照顧各方的利益，制定出一個符合各方利益的項目管理范圍。

（2）明確風(fēng)險評估成果。應(yīng)該在項目開始之前，與客戶將項目提交的成果及要求確定下來。一是在項目執(zhí)行過程中，以此為目標(biāo)；二是設(shè)定一個驗收項目的標(biāo)準(zhǔn)。

（3）創(chuàng)建工作分解結(jié)構(gòu)。顧名思義，創(chuàng)建工作分解結(jié)構(gòu)即將解構(gòu)分解，即把項目的最后結(jié)果和其工作流程明細(xì)化，從而使得每一步變得簡單，更加容易操作。在信息安全風(fēng)險評估項目中，第一層一般就放置項目成果，而第二層則更加側(cè)重中間成果。顯而易見，分解工作結(jié)構(gòu)并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風(fēng)險評估范圍控制。范圍是所有計劃的基礎(chǔ)。對待客戶提出范圍變更應(yīng)該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應(yīng)變更所需要的人工及預(yù)算對時間和質(zhì)量的影響，然后再做出決定。

（5）風(fēng)險評估成果核實。風(fēng)險評估成果核實過程應(yīng)該嚴(yán)謹(jǐn)而且細(xì)心，因為這是一個正式驗收項目的過程，需要由客戶和項目的執(zhí)行人一起認(rèn)真核實項目的最終結(jié)果。

（6）取得干系人對項目范圍正式認(rèn)可。它要求審查可交付成果和工作結(jié)果，以保證一切均已正確無誤且令人滿意地完成。

3.3項目時間管理

時間管理至關(guān)重要，因為優(yōu)秀的時間管理保證項目能夠不延期交付。

（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結(jié)構(gòu)的基礎(chǔ)上進(jìn)行細(xì)化而完成的。

（2）排列活動順序。活動順序涉及到的是一個排列的問題，指的是一種依賴關(guān)系，即識別和記錄項目活動的依賴關(guān)系，是一種邏輯的過程。一般而言，這里所指的依賴關(guān)系指的是信息安全風(fēng)險評估項目中，各個活動之間所具有的特性，如強(qiáng)制性、選擇性和外部依賴性。確定完活動之間的依賴關(guān)系，就可以對他們進(jìn)行排序了，可以采用網(wǎng)絡(luò)圖的方法來表達(dá)他們之間的順序，常有三種關(guān)系，即完成-開始，開始-開始，結(jié)束-結(jié)束。

（3）估算活動持續(xù)時間。估算活動持續(xù)時間是一個時間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動所需工時的過程。需要根據(jù)活動的具體情況、負(fù)責(zé)活動的人員情況來進(jìn)行估算。估算不能隨意，應(yīng)該具有嚴(yán)格的依據(jù)。工時估算時，常采用三點估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進(jìn)度計劃。制定進(jìn)度計劃首先需要對所掌握的信息進(jìn)行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準(zhǔn)確的點，估算對資源的需求以及項目實施流程。制定一個有效的進(jìn)度計劃并不是件簡單的事情，而是極其復(fù)雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項目結(jié)果有一個合適的預(yù)期。即使制訂了進(jìn)度計劃，也不是一成不變的，而是要根據(jù)相關(guān)審查部門的意見適當(dāng)?shù)匦薷挠媱?，從而使得計劃在時間和資源應(yīng)用上更加合理。只有審查通過以后，這個進(jìn)度計劃才可以說是確定下來了。信息安全風(fēng)險評估項目極其復(fù)雜，很多因素?zé)o論是內(nèi)部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個更加合適的進(jìn)度計劃形式。②控制進(jìn)度。控制進(jìn)度的同時也是一個對項目監(jiān)督管理的過程，這一過程根據(jù)進(jìn)度計劃的基準(zhǔn)不斷地調(diào)整項目的進(jìn)程。進(jìn)度控制程序：一般分為四個步驟，即先要分析一個項目所散發(fā)的狀態(tài)信息；然后如果需要調(diào)整進(jìn)度，就要調(diào)整影響進(jìn)度的相關(guān)參數(shù)；再次分析以后，要確定一個項目是否在原定的軌道上；如果進(jìn)度脫離了軌道，就要進(jìn)行相應(yīng)的管理。

3.4項目成本管理

成本管理包括估算成本、制定預(yù)算、控制成本三項任務(wù)。

（1）估算成本。對成本的估算需要囊括整個項目的進(jìn)程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點，根據(jù)已知信息所做出的成本預(yù)測。信息安全風(fēng)險評估項目的主要成本是人工成本及實施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎(chǔ)的一面。估算人工成本有個前提，即進(jìn)度計劃是準(zhǔn)確的，從而對團(tuán)隊成員的人工估算做到精確。項目成本即使估算出來了，也不一定是準(zhǔn)確的，需要時時修正，因為越到了項目的后期，需要估計的越少，影響估算準(zhǔn)確性的因素也越少，所以成本估算需要不斷進(jìn)行。

（2）制定預(yù)算。制定預(yù)算也是一個估算的過程，是對一個項目的所有方面進(jìn)行一個全面的評估，從而為以后資金的撥付制訂了基礎(chǔ)和基準(zhǔn)。只有制定預(yù)算，才能夠根據(jù)預(yù)算的需求來劃撥資金，并且影響到了項目的實施全過程和成果評估部分。

（3）控制成本。成本的控制一般而言指的是成本不應(yīng)該超出預(yù)算，控制成本是一個動態(tài)的過程，是監(jiān)督項目狀態(tài)，從而獲得有用信息以更新項目預(yù)算。項目成本控制包括：找出影響項目成本的因素，并作相應(yīng)的修改；保證修改項目參數(shù)能夠成功；在修改成功以后，要隨時動態(tài)地監(jiān)督；控制成本，使得成本控制在預(yù)算的范圍之內(nèi)，甚至應(yīng)該精確到每一項開支；分析成本與預(yù)算成本基準(zhǔn)之間的差距；對照資金支出，監(jiān)督工作績效；嚴(yán)格禁止不相關(guān)的支出，使得每一項成本都合情合理；向有關(guān)干系人匯報項目進(jìn)展和成本控制的工作；即使項目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個項目執(zhí)行時包括很多方面的內(nèi)容，例如管理組織一個實施團(tuán)隊、人員分工等。

（1）制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團(tuán)隊、人員、職務(wù)、報酬等方面的規(guī)劃，并且對各個人和團(tuán)隊的責(zé)任進(jìn)行詳細(xì)劃分。人力資源計劃包含項目角色與職責(zé)記錄、分成的各個部門等。一些信息安全風(fēng)險評估項目執(zhí)行時間比較長，因此需要更加有效的團(tuán)隊，這就需要對人員進(jìn)行培訓(xùn)以及制定團(tuán)隊建設(shè)策略等。風(fēng)險評估項目的責(zé)任分配并不復(fù)雜，可采用責(zé)任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項目團(tuán)隊成員之間的聯(lián)系。并且根據(jù)需求的不同，制定不同層次的矩陣。

（2）組建項目團(tuán)隊。組建項目團(tuán)隊實際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團(tuán)隊，在組建團(tuán)隊時需要注意：項目經(jīng)理所要做的是積極地與人力資源人員進(jìn)行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經(jīng)濟(jì)等其他項目對資源的占用等因素的影響，從而制約了項目的實施，作為替代，項目經(jīng)理可能不可避免地使用不合適的人力資源。

（3）管理項目團(tuán)隊。管理項目團(tuán)隊是選出來運營項目的人所組成的團(tuán)隊，他們具有多樣化的目標(biāo)，例如繼續(xù)學(xué)習(xí)，提高團(tuán)隊成員的專業(yè)技能，增強(qiáng)團(tuán)隊的執(zhí)行能力從而保證項目結(jié)果的按時交付；以最低的成本完成最高質(zhì)量的項目；按時完成項目，團(tuán)隊成員之間相互協(xié)作，增加團(tuán)隊效率，豐富團(tuán)隊成員的知識，增強(qiáng)其跨學(xué)科運作能力，提高團(tuán)隊的凝聚力，無論整體上還是個人上都有效率的提升等。項目經(jīng)理在期間應(yīng)該全權(quán)負(fù)責(zé)項目團(tuán)隊的管理運作，增加項目績效，在團(tuán)隊出現(xiàn)問題時，分析導(dǎo)致問題的原因，然后解決問題。團(tuán)隊建設(shè)一般要經(jīng)過5個階段：①形成階段，這個階段是團(tuán)隊形成的最初階段，團(tuán)隊成員只是互相認(rèn)識，并沒有相應(yīng)的合作。②震蕩階段，指的是團(tuán)隊已經(jīng)開始運作，但是成員之間需要磨合的階段。③規(guī)范階段，過了磨合期以后，團(tuán)隊成員彼此之間逐漸適應(yīng)了彼此的節(jié)奏，能夠進(jìn)行初步合作了，團(tuán)隊開始有成為一個有效整體的趨向。④成熟階段，這一階段團(tuán)隊成員之間已經(jīng)能夠精誠合作，互補(bǔ)余缺，相互學(xué)習(xí)，團(tuán)隊效率較高。⑤解散階段，即當(dāng)項目完成以后，各成員完成了職責(zé)，從而脫離團(tuán)隊。因為各種各樣的原因，例如缺乏充足的資金、進(jìn)度安排不合理、團(tuán)隊成員之間缺乏配合等，會造成項目環(huán)境的沖突。如果項目經(jīng)理能有效管理，則意見分歧能夠轉(zhuǎn)變?yōu)閳F(tuán)隊的多樣化管理，不僅能夠提高團(tuán)隊創(chuàng)造力還有利于做出更好的決策。如果管理不當(dāng)，團(tuán)隊之間的分歧沒有得到解決，就可能會加大團(tuán)隊成員之間的鴻溝，從而對項目的實施產(chǎn)生負(fù)面的影響。要建設(shè)高效的項目團(tuán)隊，項目經(jīng)理需要獲得高層管理者的支持，獲得團(tuán)隊成員的承諾，采用適當(dāng)?shù)莫剟詈驼J(rèn)可機(jī)制，創(chuàng)建團(tuán)隊認(rèn)同感，有效管理沖突，團(tuán)隊成員間增進(jìn)信任和開放式溝通，特別是要有良好的團(tuán)隊領(lǐng)導(dǎo)力。項目團(tuán)隊管理的一些工具與技術(shù)包括：①人際關(guān)系技能。通過了解項目團(tuán)隊成員的感情來預(yù)測其行動，了解其后顧之憂，并盡力幫助解決問題，項目管理團(tuán)隊可大大減少麻煩并促進(jìn)合作。②培訓(xùn)。旨在提高項目團(tuán)隊成員能力的全部活動，培訓(xùn)可以是正式或非正式的。應(yīng)該按人力資源計劃中的安排來實施預(yù)定的培訓(xùn)。③制定管理規(guī)范，對項目團(tuán)隊成員的可接受行為做出明確規(guī)定。盡早制定并遵守明確的規(guī)則，可減少誤解，提高生產(chǎn)力。規(guī)則一旦建立，全體項目團(tuán)隊成員都必須遵守。④認(rèn)可與獎勵。如果想要提高項目團(tuán)隊的效率，使得每個人更加盡心和更加富有責(zé)任感，就應(yīng)在團(tuán)隊建設(shè)過程中引進(jìn)相應(yīng)的激勵機(jī)制，在制定項目計劃時就應(yīng)該考慮到團(tuán)隊成員的獎懲問題。在管理項目團(tuán)隊的過程中，團(tuán)隊成員的獎勵不是隨意而發(fā)的，而是通過項目績效評價，以正式或非正式的方式做出獎勵決定。只有優(yōu)良行為才能得到獎勵。

3.6項目風(fēng)險管理

項目風(fēng)險管理旨在降低風(fēng)險，或者把風(fēng)險控制在可控范圍之內(nèi)。其目標(biāo)是盡力使得項目運行向著有利的方面轉(zhuǎn)化，對消極負(fù)面的一部分則注意防范。信息安全風(fēng)險評估項目不屬于特別大的項目，所以一般分為識別風(fēng)險、評價風(fēng)險、規(guī)劃風(fēng)險應(yīng)對、監(jiān)控風(fēng)險四個過程。

（1）識別風(fēng)險。識別風(fēng)險是風(fēng)險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風(fēng)險會影響項目?？刹捎煤藢Ρ淼姆绞竭M(jìn)行風(fēng)險識別。

（2）評價風(fēng)險。對于信息安全風(fēng)險評估項目，評價風(fēng)險只需要定性評價即可。實施定性風(fēng)險分析根據(jù)風(fēng)險發(fā)生的相對概率或可能性、風(fēng)險發(fā)生后對項目目標(biāo)的相應(yīng)影響以及其他因素來評估已識別風(fēng)險的優(yōu)先級。

（3）規(guī)劃風(fēng)險應(yīng)對。規(guī)劃風(fēng)險應(yīng)對是風(fēng)險管理最重要的步驟，其規(guī)劃的是項目的目標(biāo)及降低風(fēng)險的步驟。對于消極風(fēng)險，常有回避、轉(zhuǎn)移、減輕、接受四種方式；對于積極風(fēng)險，常有開拓、分享、提高、接受四種方式。

（4）監(jiān)控風(fēng)險。監(jiān)控風(fēng)險是風(fēng)險管理的最后一步，也是第一步，因為它是貫穿在整個項目之中，是一個制定風(fēng)險應(yīng)對計劃、監(jiān)控已知風(fēng)險、加強(qiáng)管理以解決風(fēng)險以及發(fā)現(xiàn)新風(fēng)險的過程。

4結(jié)語

第9篇：安全風(fēng)險評估范文

Abstract： In the process of urbanization in China， the population density is getting higher and higher， which causes the travel difficult of people. In order to ensure the convenience of urban transport， many cities use the way to build the subway to alleviate the traffic pressure and ensure smooth traffic. However， in the operation of the subway， with the increase in the number of passengers， there will be some security risks， which have a serious threat to people's lives and property， so we need to make assessment and management of the safety risk in subway operations to avoid the security threats faced during subway operations. This paper analyzes the risk assessment and management of subway operational safety.

關(guān)鍵詞： 地鐵運營安全；風(fēng)險評估；風(fēng)險管理

Key words： subway operation safety；risk assessment；risk management

中圖分類號：F572 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2017）23-0054-03

0 引言

城市規(guī)模不斷擴(kuò)大以及城市人口數(shù)量的增加，導(dǎo)致巨大的交通壓力成為困擾城市發(fā)展的主要因素。所以，在許多城市的規(guī)劃與建設(shè)中，都將地鐵建設(shè)作為重點內(nèi)容。近幾年，我國地鐵事故發(fā)生率逐漸升高，這些事故不僅為地鐵運營部門帶來重大經(jīng)濟(jì)損失，而且嚴(yán)重威脅了人們的生命財產(chǎn)安全。因此，在地鐵運營過程中，必須對存在的安全風(fēng)險進(jìn)行評估與管理，提高地鐵運行的穩(wěn)定性與安全性，確保地鐵的作用能夠得以發(fā)揮。

1 地鐵運營風(fēng)險管理的基本流程與方法

運營風(fēng)險管理是研究風(fēng)險發(fā)生規(guī)律及風(fēng)控技術(shù)的一門科學(xué)，具有前瞻性、目標(biāo)性、計劃性、經(jīng)濟(jì)性和管理性等特點。一般來說，地鐵運營風(fēng)險管理過程不外乎風(fēng)險識別、風(fēng)險評估、風(fēng)險等級劃分和風(fēng)險控制四個關(guān)鍵環(huán)節(jié)：

1.1 風(fēng)險識別

地鐵運營風(fēng)險識別就是找出地鐵運營過程中影響安全的主要因素，是風(fēng)險管理流程中的第一個步驟。在風(fēng)險識別的過程中，必須確定地鐵運營系統(tǒng)的組成、特點以及各組成部分的關(guān)系，并全面檢查這些環(huán)節(jié)中的不確定性。與此同時，還要分析不同種類風(fēng)險對地鐵正常運營造成的威脅，并確定風(fēng)險作用范圍，以便針對不同的風(fēng)險采取不同的措施。

1.2 風(fēng)險分析

地鐵運營風(fēng)險分析就是對地鐵運營風(fēng)險可能造成的后果進(jìn)行全面分析。風(fēng)險分析需要對個別的風(fēng)險元素進(jìn)行分析，并量化這些元素，形成一個風(fēng)險清單，以便針對這些風(fēng)險制定相應(yīng)的行動計劃。在科學(xué)技術(shù)不斷進(jìn)步的同時，對地鐵運營分析的難度越來越高，只有不斷提高風(fēng)險分析水平，才能夠采取有效的措施降低風(fēng)險。

1.3 風(fēng)險評估

地鐵運營風(fēng)險評估就是對地鐵運營風(fēng)險能夠?qū)е碌暮蠊M(jìn)行評價，并根據(jù)這些后果的嚴(yán)重程度進(jìn)行排序，同時考慮與其對應(yīng)的處理措施，去頂風(fēng)險、成本與效益三者之間的關(guān)系，其關(guān)鍵在于考慮風(fēng)險對整體目標(biāo)的影響。綜合評估地鐵運營風(fēng)險時，首先應(yīng)該充分預(yù)測管理決策在實施期間所伴生的后果及其可能產(chǎn)生的危害、后果是否可以被接受等等。風(fēng)險的嚴(yán)重程度不同，就會造成優(yōu)先處理的順序不同。

1.4 風(fēng)險決策

地鐵運營風(fēng)險決策就是以風(fēng)險分析與風(fēng)險評估的結(jié)果為基礎(chǔ)，針對風(fēng)險制定相應(yīng)的措施，降低風(fēng)險對地鐵運營的影響。一般來講，風(fēng)險策略主要有以下兩種：第一，采取合理的措施，最大限度地降低風(fēng)險帶來的影與危害，對其進(jìn)行有效的控制。第二，采取適當(dāng)?shù)拇胧┺D(zhuǎn)移風(fēng)險，降低風(fēng)險對運營主體的危害，但是，不是所有風(fēng)險都能夠被轉(zhuǎn)移。在風(fēng)險決策的過程中，必須考慮成本與效益之間的關(guān)系，確保風(fēng)險決策成為最佳效益方案。

此外，在地鐵運營風(fēng)險中，一些風(fēng)險并不是一成不變的，只有對這些風(fēng)險進(jìn)行跟蹤，才能夠根據(jù)不同的情況進(jìn)行風(fēng)險決策。