引論:我們?yōu)槟砹?3篇風險評估采用的方法范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法;風險評估中資產、威脅和脆弱性的識別方法;風險評估輔助工具使用方法及風險評估管理方法等。事實上,信息安全風險評估方法經歷了一個不斷發(fā)展的過程,“經歷了從手動評估到工具輔助評估的階段,目前正在由技術評估到整體評估發(fā)展,由定性評估向定性和定量相結合的方向發(fā)展,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發(fā)展。”。隨著信息安全技術與安全管理的不斷發(fā)展,目前信息安全風險評估方法已發(fā)展到基于標準的、定性與定量相結合的、借用工具輔助評估的整體評估方法。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據合適風險評估標準、定性與定量結合、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風險評估標準的確定
信息安全風險評估標準主要分為國際國外標準和國家標準。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術系統(tǒng)的風險管理指南》系列標準等,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚,在吸取國外標準且根據我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》,并在全國范圍內推廣。國家發(fā)展改革委員會、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發(fā)改高技[2008]2071號)”,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目),應開展信息安全風險評估工作,且規(guī)定采用《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》。檔案信息系統(tǒng)屬于電子政務系統(tǒng),檔案信息安全風險評估也應該采取OB/T 20984-2007標準。
2 檔案信息安全風險評估需定性與定量相結合
定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為分析結果過于主觀性,很難完全反映安全現(xiàn)實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額,最后得出系統(tǒng)安全風險的量化評估結果。
定量分析方法準確,但由于信息系統(tǒng)風險評估是一個復雜的過程,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的,因此完全量化評估是很難實現(xiàn)的。
定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結合起來,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統(tǒng)資產重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數據,最后得出風險值,并判斷哪些風險可接受和不可接受等。
3 檔案信息安全風險評估需借用輔助評估工具
目前信息安全風險評估輔助工具的出現(xiàn),改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產、威脅和弱點發(fā)現(xiàn)、安全需求分析、當前安全實踐分析、基于資產的風險分析和評估等。其工作量巨大,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》開發(fā)的風險評估輔助軟件,將來可開發(fā)專門的檔案信息安全風險評估輔助工具軟件。
4 檔案信息安全風險評估需整體評估
信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估,我國已將信息系統(tǒng)等級保護作為一項安全制度,對不同等級的信息系統(tǒng)根據國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估,檔案信息安全風險評估同樣如此。
檔案信息安全風險評估具體方法
根據檔案信息安全風險評估原理。從資產識別到風險計算,都需根據信息系統(tǒng)自身情況和風險評估要求選擇合適的具體方法,包括:資產識別方法、威脅識別方法、脆弱性識別方法、現(xiàn)有措施識別法和風險計算方法等。
1 資產識別方法
檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法。
(1)資產分類方法
在風險評估中資產分類沒有嚴格的標準,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應。常用的資產分類方法有:按資產表現(xiàn)形式分類、按資產安全級別分類和按資產的功能分類等。
在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中,對資產按其表現(xiàn)形式進行分類,即分為數據、軟件、硬件、服務、人員及其他(主要指組織的無形資產)。這種分類方法的優(yōu)點為:資產分類清晰、資產分類詳細,其缺點為:資產分類與其安全屬性無關、資產分類過細造成評估極其復雜,因為目前大部分風險評估
都以資產識別作為起點,一項資產面臨多項威脅,—項威脅又與多項脆弱性有關,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統(tǒng)計。
風險評估中資產的價值不是以資產的經濟價值來衡量,所以信息資產分類應與信息資產安全要求有關,即依據信息資產對安全要求的高低進行分類,這種方法同時也滿足下一環(huán)節(jié)即信息資產重要度賦值需求。任何一個檔案信息資產無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》中要求:“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出”。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性、不可否認性(抗抵賴)、可控性和可追溯性,所以可以根據檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級。
目前信息資產安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產安全等級最高的“中”級。
按信息資產安全級別分類法符合風險評估要求,因為體現(xiàn)了安全要求越高其資產價值越高的宗旨,在統(tǒng)計資產時也可按表現(xiàn)形式和安全等級結合的方法進行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級。
但如果風險評估時按表1進行資產分類時,每個檔案信息系統(tǒng)將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受。因此,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統(tǒng)的評估”,信息資產安全等級分類的起點可以認為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產統(tǒng)計時用資產表現(xiàn)形式進行分類,在資產安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類,即同一個系統(tǒng)或子系統(tǒng)中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想。
(2)資產賦值方法
由于信息資產價值與安全等級有關,因此對資產賦值應與“很高、高、中等、低、很低”相關,但這是定性的方法,結合定量方法為對應“5、4、3、2、1”五個值,同時將此值稱為“資產等級重要度”。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式、來源、動機、途徑等多角度進行分類,而常用的為按來源和表現(xiàn)形式分類。按來源可分為:環(huán)境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現(xiàn)形式可分為:物理環(huán)境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大,所以應以分類詳細為宗旨,按表現(xiàn)形式方法分類較為合適。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據的,評估者應根據經驗或相關統(tǒng)計數據進行判斷,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計,實踐中檢測到的威脅頻率統(tǒng)計、近期國內外相關組織的威脅預警”。。可以對威脅出現(xiàn)的頻率進行等級化賦值,即為:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
3 脆弱性識別方法
脆弱性的識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者、使用者,以及相關業(yè)務領域和軟硬件方面的專業(yè)人員等,并對脆弱性識別途徑主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術脆弱性和管理脆弱性進行。技術脆弱性涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度),采用等級方式可對已經分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉化為對應的暴露系數:100%、80%、60%、40%、20%,再將“脆弱性”與“資產重要度等級”聯(lián)系,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級。
影響等級=暴露系數×資產等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應對已經采取的安全措施進行確認,然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況,也就是威脅的五個等級:“很高、高、中等、低、很低”,相應的取值為:“5、4、3、2、1”,“5”為最容易發(fā)生安全事故。
同時安全事件發(fā)生的可能性與已有控制措施有關,評估人員可以根據對系統(tǒng)的調查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級,
“0”為控制措施基本有效,“5”為控制措施基本無效。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風險計算方法
風險計算方法有很多種,但其必須與資產安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發(fā)生可能性值。目前一般而言風險計算公式如下:
風險=影響等級×發(fā)生可能性
綜上所述,可將信息資產、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風險值構成表2,最終計算出風險值。下表以某數字檔案館為例,其主要分為館內檔案管理系統(tǒng)和電子文件中心,評估資產以子系統(tǒng)作為分類和賦值為起點,并只以部分威脅、脆弱性列出并計算風險。
上表中暴露等級值體現(xiàn)了脆弱性,容易度體現(xiàn)了威脅,以表2第一行為例計算檔案管理系統(tǒng)數據泄密的風險值,過程如下:
影響等級=暴露系數×資產等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
篇2
[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2015)21- 0090- 02
信息安全風險評估是以風險管理為基礎,通過科學的方法和手段,對企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進行全面分析,以安全事故對企業(yè)生產經營有可能帶來的危害展開評估,進而制定出有效的防御及整改措施[1]。信息安全風險評估在企業(yè)信息安全保障體系中占據著十分重要的地位,其不但是重要的評價方法,同時也是利于企業(yè)決策的有效機制。如果缺乏準確及時的風險評估,便不能準確的判斷出企業(yè)所存在的信息安全問題,因此加強企業(yè)信息安全風險評估,對每一個中小企業(yè)來說,都意義重大。
1 中小企業(yè)信息安全評估方法
為了進一步評估信息系統(tǒng)的安全風險,多種風險評估方法被開發(fā)出來并在企業(yè)中得以運用。定性評估法,定量評估法以及半定量評估法是目前較為常用的幾種方法。風險評估中的定量評估方法,主要是結合企業(yè)特點,根據評估內容和評估流程,從眾多的信息系統(tǒng)、人員和設備中,利用分類分別計算比例的方法,對評估對象合理選定,并進行數量采樣[2]。并在此基礎上,分析企業(yè)信息系統(tǒng)中資產價值、威脅性以及脆弱性三者之間存在的函數關系,從而根據企業(yè)實際情況選取恰當的風險計算方法,合理計算出企業(yè)信息安全風險評估數值。本文認為定量方法對當前的中小企業(yè)來說更具實用價值,主要可從風險計算方法、威脅可能性量化賦值方法著手。
1.1 風險計算方法
后果(Consequence)及可能性(Likelihood)是風險具有的兩個基本屬性。風險對信息系統(tǒng)的影響,說到底也是這兩個因素所造成的。資產的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產存在的弱點數量的增加會增加風險的可能性,隨著弱點嚴重級別的提高會增加一該資產面臨風險的后果。通常來說, 某項資產風險的可能性為資產脆弱性與存在威脅的可能性的函數,同時風險后果則為資產價值(影響)的函數。本論文采用如下算式來得到資產的風險賦值:
風險值=資產價值×威脅可能性×資產脆弱性
上述公式主要考慮到各參數采取的取值并不十分精確,因而加入了以往的經驗和判斷,在國際中對此類數據則通常采用數學乘法或矩陣等方法。而采用線性相乘,則主要是為了方便進行計算。企業(yè)實施風險分析可以從風險信息和數據,進行不同程度的改進。并根據計算出的風險值的數值范圍,確定相應的風險等級。風險數值與風險等級對應的關系見表1。
1.2 脆弱性量化賦值方法
脆弱性和威脅所存在的對應關系,應在評估時充分考慮到,要知道相對應的脆弱性是威脅起作用的基本因素,因此脆弱性與威脅基本上是通過一一對應的形式呈現(xiàn)出來的。對脆弱性大小的評定需要結合評估采集的調研結果、安全漏洞掃描結果以及人工安全檢查結果。參照國際通行做法和專家經驗,將資產存在的脆弱性分為5個等級,分別是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且從高到低分別賦值5-1,具體參照表2。
威脅可能性屬性非常難以度量.它依賴于具體的資產、弱點。并且這兩個屬性都和時間有關系。在威脅評估過程中,評估者的專家經驗非常重要。
2 結 語
目前,信息系統(tǒng)已經被廣泛運用到中小企業(yè)的日常管理工作中,對其的重視程度也越來越高。對中小企業(yè)來說,定期進行信息安全風險評估是信息安全工作得以順利實施的有效保障,通過有效的信息安全風險評估方法則是科學合理地開展信息安全風險評估的前提條件。因此,新形勢下中小企業(yè)的信息安全風險評估工作必須要做到與時俱進,不斷創(chuàng)新,從而以適應快速發(fā)展的社會需求。
篇3
1、員工日常危險源辨識風險評估工作是風險預控安全管理體系的基礎。
1.1、危險源、危險源辨識的概念
1.1.1、危險源的定義
可能造成人員傷亡或疾病、財產損失、工作環(huán)境破壞的根源或狀態(tài)。
1.1.2、危險源的理解
危險源通常理解為能量物質,或者能量物質的載體。它的實質是具有潛在危險的源點或部位,是爆發(fā)事故的源頭,是能量、危險物質集中的核心,是能量從那里傳出來或爆發(fā)的地方。對于環(huán)境而言,危險源又常常被稱作環(huán)境因素。通俗的講就是危險危害因素是從哪里產生的,是什么東西,處于一種什么樣子。
例如:洗煤廠洗煤用的水就是一種能量物質,它本身就是一種危險源,淋到電氣設備上就會造成設備損壞或人員傷亡;風包是一種能量物質的載體,它本身也是一種危險源,超壓就會爆炸;工作場所的煤塵也是一種危險源,得不到治理超標會使是人致病或發(fā)生爆炸。
1.2、風險評估的概念
風險評估是在危險源辨識的基礎上,評估危險源發(fā)生風險的可能性以及可能造成的損失程度。內容包括、風險、風險后果、風險類型,風險等級、事故類型、危險源與風險的關系,風險評估工作流程。
危險源風險評估內容
風險評估的具體內容包括三個方面:首先要確定事故在一定時間內發(fā)生的可能性,即概率的大小;其次要估計一旦事故發(fā)生,可能造成損失的嚴重程度。最后,根據事故發(fā)生的可能性及損失的嚴重程度估計總期望損失的大小,確定風險等級。
1.3、危險源辨識風險評估重要意義
神東各選煤廠都是現(xiàn)代化程度較高,設備臺數多,生產量大,各崗位員工勞動強度大,承包設備多的特點,在日常生產巡查、檢修過程對于人員的安全防范是選煤廠安全工作中的重中之重。員工能持續(xù)做好日常危險源辨識、風險評估工作,是增強員工日常作業(yè)安全防范意識,提高風險預控能力,落實各崗位員工安全防護措施,保障員工安全作業(yè)的基礎。
2、選煤廠員工日常工作危險源辨識風險評估存在的問題及原因分析
2.1、日常工作危險源辨識風險評估存在的問題
近年來,神東公司提出了危險源辨識和風險評估的理念和方法,對神東各選煤廠安全生產起到了極大地促進作用。但部分員工對危險源辨識和風險評估方法掌握不好,經常只停留在班前會上,辨識和評估不到位、不全面。在作業(yè)現(xiàn)場很少進行針對性的危險源辨識和風險評估,作業(yè)過程中常常把危險源辨識和風險評估忘在腦后。更沒有在作業(yè)完畢后回頭總結危險源辨識和風險評估是否到位,沒有吸取經驗教訓,也沒有對某項作業(yè)進行全員系統(tǒng)地危險源辨識和風險評估。這樣會導致作業(yè)現(xiàn)場人員和設備不安全因素的增加。
2. 2、選煤廠員工日常危險源辨識工作中存在問題的原因分析
2.2.1、部分員工安全意識淡薄、思想麻痹,有嫌麻煩圖省事的心理。這些員工也是不安全行為發(fā)生的重點人群。
2.2.2、部分崗位技能差、文化素養(yǎng)低員工,新員工、勞務工、駐廠服務隊等不穩(wěn)定人員。這些員工的自身問題,危險源辨識不熟悉。
2.2.3、對員工危險源、風險評估知識的培訓不到位,廠部及車間管理人員沒有作好對員工的危險辨識方法的引導,員工的危險源辨識會無頭緒,沒有讓員工認真理解危險源風險評估的方法。員工無法與自己的的實際工作緊密結合應用。
2.2.4、日常員工危險源辨識工作未建立有效的考核管理機制。這樣缺少管理激勵機制,上級部門及車間管理人員對員工危險源管控、現(xiàn)場落實情況監(jiān)督、管理不到位。
3.如何開展好選煤廠員工日常危險源辨識風險評估工作,提高員工安全防范能力
針對員工在危險源辨識及風險評估工作中的不足,安全管理人員及車間管理人員如何組織好、管理好車間、班組員工風險源辨識及風險評估工作,充分調動員工自主安全管理的積極性。如何能切合每個車間、班組、崗位實際工作,能夠有針對性開展好風險源辨識及風險評估工作,進行如下分析、探討。
3.1、危險源辨識的內容
危險源辨識的內容主要是從人、機、環(huán)、管四個方面分別考慮,這樣既能夠保證危險源辨識結果的全面性和合理性,且方便對危險源進行分類控制和管理。危險源辨識還需要考慮三種狀態(tài)及時態(tài)。三種狀態(tài)分別指正常狀態(tài)、異常狀態(tài)、緊急狀態(tài);三種時態(tài)分別指過去、現(xiàn)在和將來。由于危險源具有潛在性,所以辨識危險源必須考慮各種情況下可能出現(xiàn)的不安全因素,同時還要考慮過去曾發(fā)生過什么事故或事故,從中吸取教訓,找出事故的原因,考慮目前系統(tǒng)中存在或潛在什么不安全因素。
3.2、危險源辨識的方法
危險源辨識常用的方法可分為兩大類:即直接經驗分析法和系統(tǒng)安全分析法。常用的直接經驗分析法主要包括:工作任務分析法;直接詢問法;現(xiàn)場觀察法;查閱記錄法等。常用系統(tǒng)安全分析法主要包括:安全檢查表法、事故樹分析等。
對于車間崗位來說,辨識危險源比較實用的方法是工作任務分析法。
3.3、針對各崗位危險源辨識及風險評估方法
崗位危險源一般指生產崗點和作業(yè)場所潛在的對作業(yè)人員有直接危害的人、機、環(huán)不安全因素和管理缺陷。
崗位危險源辨識與分析原則上采用工作任務分析法,辨識時車間班組按工作場所進行。它可以針對所有的工作任務以及每項任務的具體工序,對照相關的規(guī)程、條例、標準,并結合實際工作經驗,分析每道工序中可能存在的危險源。
對辨識出的危險源按人、機、環(huán)、管進行分類。風險評估原則上采用風險矩陣評價法進行,評估結果應按照特大、重大、中等、一般、低五個級別進行分類。一般按照如下步驟進行:
(一)工作任務梳理。從崗位入手,識別崗位的常規(guī)任務和非常規(guī)任務。
(二)工序梳理。將工作任務分解為具體工序步驟,一般從準備、執(zhí)行和收尾3個階段分解。
(三)識別每個步驟中的危害與風險。按照任務執(zhí)行中所暴露的環(huán)境、設備和行為,確定潛在的危險。
(四)認定風險類型。按照危險源隸屬的系統(tǒng),分人、機、環(huán)、管四類。
(五)評估風險后果描述。判定辨識出的潛在危險源可能導致人員傷害、設備或設施損失的情況。
(六)確定可能導致的事故類型。
按照《企業(yè)職工傷亡事故分類》(GB6441―1986)分為20類,即:
1.物體打擊; 2.車輛傷害; 3.機械傷害; 4.起重傷害;
5.觸電; 6.淹溺; 7.灼燙; 8.火災;
9.高處墜落; 10.坍塌; 11.冒頂片幫; 12.透水 ;
13.放炮; 14.瓦斯爆炸; 15.火藥爆炸; 16.鍋爐爆炸;
17.容器爆炸; 18.其他爆炸; 19.中毒和窒息;20.其他傷害。
(七)評估風險等級。結合工作實際情況,確定危害的嚴重性,通過下述方法計算風險等級:
風險等級=可能性×嚴重性
風險矩陣法: 圖略
員工風險評估舉例:
更換重介淺槽刮板
1. 停電、驗電、上鎖、作業(yè)前工器具要準備到位,防止出現(xiàn)誤起設備傷人。風險類型:人
2. 拆卸刮板:
2.1人員站立位置合適,以防在拆卸的過程當中摔倒受傷。風險類型:人
2.2拆卸刮板時作業(yè)人員相互要配合到位,防止在松動螺栓、防止刮板時造成人員傷害。
風險類型:人
2.3拆卸過程中嚴禁用大錘用力敲擊刮板與鏈條連接處,以防損壞鏈條的相關部件。風險類型:機
2.4.現(xiàn)場照明不足,導致人員作業(yè)時由于光線暗造成人員意外傷害。
風險類型:環(huán)
3. 裝配刮板
如拆卸刮板進行逐一辨識
4. 清理現(xiàn)場
4.1工器具或者其他物件清理不到位,導致刮板運行過程中出現(xiàn)卡阻等現(xiàn)象。風險類型:機
5. 送電試車
5.1試車時,人員沒有全部撤出造成人員傷害。風險類型:人
5.2試車時安全鏈沒有解開造成刮板鏈拉斷或者電機過熱動作等。
風險類型:機
風險等級:F1×H5=5一般(由于每個人作業(yè)的安全考慮程度不同,風險等級可根據自己的實際情況進行確定。)
(八)確定風險管理對象。找出可能產生或存在風險的主體。根據危險源辨識劃分的風險類型確定相應的管理對象。風險類型為“人”或“管”,管理對象為對應崗位人員;風險類型為“機”,管理對象為對應的設備、設施、工器具;風險類型為“環(huán)”,管理對象為對應的作業(yè)環(huán)境影響因素。
(九)制定風險管理標準。針對管理對象制定以消除或控制風險的準則,即要求做到什么程度。要符合相關法律法規(guī)、技術標準要求。
(十)明確管理人員。含主要責任人(管理對象或對象管理者)和直接管理人(主要責任人的直接上級)
(十一)制定風險管理措施。使管理標準得以落實的手段。要符合相關制度的要求,且具體、簡潔、可操作性強。
3.5、全方位、全過程開展好車間班組員工的危險源辨識風險評估工作。
車間、班組主要采用非正式風險評估方法(對于暫時不能消除風險的危險源要納入正式風險評估成果表中),至少包括班前、作業(yè)前和作業(yè)中動態(tài)組織的風險評估;必要時要保留記錄。評估方法、記錄形式不做限制,一般按如下方式開展:
3.5.1、班前風險評估
班前風險評估是指召開班前會過程中或之前,根據現(xiàn)場反饋信息及當班任務進行的安全風險評估。實踐中,要與班前會工作任務布置、規(guī)程措施貫徹相結合。每班班前會,帶班車間主任及班組長要組織當班人員對本班工作任務進行認真分析和風險評估,對異常情況(發(fā)現(xiàn)新危險源或已辨識出的危險源管理標準與措施不能滿足管控需要)必須明確現(xiàn)行的管控措施。班前會可采用靈活多樣的方法進行危險源辨識風險評估,提高員工的積極性,如先讓作業(yè)人員對自己工作任務危險源風險評估,其他人員及班組長車間管理人員強調補充,進行危險源辨識風險評估評比活動等。
3.5.2作業(yè)前風險評估
作業(yè)前風險評估是指生產作作業(yè)前風險評估是指班前會后、上崗前及交接班過程中組織的安全風險評估。實踐中要與現(xiàn)場交接班相結合;交接班除交待工作任務外,必須將存在的主要風險交待清楚。作業(yè)前,帶班領導、車間主任及班組長要組織每個崗位人員對所在崗位作業(yè)環(huán)境、設備設施的安全狀況進行風險評估,并落實管控措施。
3.5.3、作業(yè)過程中風險評估。
作業(yè)過程中,根據現(xiàn)場人、機、環(huán)管狀態(tài)實施對現(xiàn)場安全狀態(tài)進行的評價。實踐中要與作業(yè)規(guī)程、操作規(guī)程、安全技術措施、標準化作業(yè)流程的執(zhí)行相結合,逐步培育員工“五思而行”的習慣。即:
1.本項工作有什么風險?不知道不去做;
2.是否具備做此項工作的技能?不具備不去做;
3.做本項工作環(huán)境是否安全?不安全不去做;
篇4
一、信用風險評估方法的演進
(一)傳統(tǒng)信用風險評估階段
1.專家評價法
專家評價法主要是信貸人員通過對可能影響借款人還本付息的主要因素的分析,來判斷衡量貸款風險。目前在信貸風險管理實踐中已經逐漸形成了一些常用的方法,其中最常用的是6C法。6C是影響信貸風險的6項主要因素,即品格、資本、償付能力、抵押品、經營環(huán)境、和事業(yè)的連續(xù)性。
2.財務比率分析法
財務比率分析法是指利用企業(yè)的財務報表,計算并分析其發(fā)展?jié)摿Α攤芰Α⑦\營能力等方面的財務比率,根據各行業(yè)各地區(qū)確定的財務比率標準值對企業(yè)的財務比率打分,并給予每個財務比率一定的權重,最后匯總得分,并將分值與一定的違約率對應起來。財務比率分析法此方法的優(yōu)點是計算簡便、對比清晰、計算結果直觀。
3.信用評級分級法
信用評級分級法是金融機構在美國貨幣管理辦公室(OCC)最早開發(fā)的評級系統(tǒng)基礎上拓展而來的。該方法將貸款分為五級:正常貸款、關注貸款、次級貸款、可疑貸款和損失貸款。
(二)單一貸款信用風險評估階段
1.多變量信用風險評估模型
多變量信用風險評估模型是以特征財務指標為解釋變量,運用數量統(tǒng)計方法推導而建立起的計量經濟模型。銀行利用該模型可以預測財務危機及違約事件發(fā)生的可能性,及早發(fā)現(xiàn)信用危機信號,并據此做出信貸決策。
2.神經網絡模型
神經網絡預測模型是一種動態(tài)非統(tǒng)計模型,是對生理上真實的人腦神經網絡的結構和功能及基本特征進行理論抽象、簡化和模擬而構成的一種信息系統(tǒng),具有高度的計算能力、自學能力和容錯能力。
3.死亡率模型
1989 年,Altman 和 Asquith、Mullins 和 Wolf 分別使用保險精算方法計算出不同信用等級債券的邊際和累計死亡率表(即違約率),后來將這一方法擴展到貸款違約率的計算。
(三)現(xiàn)代信用風險評估階段
1. 信用計量模型(Credit Metrics)
1997 年,J.P Morgan 聯(lián)合當時世界一流銀行和 KMV公司共同開發(fā)出Credit Metrics模型,采用二階段法度量信用風險。目前Credit Metrics模型已經成為當今世界最為著名的信用風險度量模型之一。該模型的突出優(yōu)勢是適用范圍非常廣泛,包括傳統(tǒng)的商業(yè)貸款、固定收益證券、應收賬款等。
2.基于期權理論的KMV信用監(jiān)控模型
KMV模型又稱為預期違約率模型(EDF),其理論基礎是默頓的期權定價理論。該模型把違約債務看作企業(yè)的或有權益,把所有者權益視為看漲期權,將負債視為看跌期權,而把公司資產(股票加債務)作為標的資產。
二、信用風險評估方法對我國商業(yè)銀行的影響
目前我國商業(yè)銀行采用的信用風險評估方法還處于比較初級的階段,主要依靠一些傳統(tǒng)的信用風險評估方法,如專家評價法、財務比率評級法及信用評級法。這些傳統(tǒng)的信用風險評估方法存在諸多缺陷,概而言之,主要表現(xiàn)在以下三個方面:
1.主觀性較強,風險揭示不足。目前,我國商業(yè)銀行信用風險評估主要采取信用評級法和專家評價法相結合的方式。信用評級法雖然能夠為風險評估提供了統(tǒng)一的標準,但存在指標的選擇缺乏理論基礎,風險測量主觀因素過多等問題。
2.靜態(tài)分析多,缺乏對信用風險的動態(tài)評估。我國商業(yè)銀行在對企業(yè)進行信用評級時,大多數都側重于一些財務指標的分析,而往往忽視財務信息的及時性和企業(yè)的發(fā)展前景在信用評級中的作用,這使得銀行的信用風險評估缺乏動態(tài)性和實時性,風險評估的效果將會大大折扣。
3.局部分析多,信用風險評估缺乏全局性。我國商業(yè)銀行在提供貸款測算信貸風險時,往往關注的是某一筆貸款的信用風險,而沒有從資產組合綜合管理的角度對信用風險進行測定,沒有考慮各筆貸款之間的信用風險的相關性,這使得我國商業(yè)銀行在貸款組合方面的信用風險管理工作很難開展。
三、改進我國商業(yè)銀行信用風險評估方法的建議
我國商業(yè)銀行必須順應這一發(fā)展趨勢,盡快建立適用于自身的現(xiàn)代信用風險評估模型。為此,必須在以下幾方面多下功夫:
1.盡快建立起信用風險基礎數據庫,強化數據管理。我國銀行一方面要抓緊建立和完善關于資產負債狀況、現(xiàn)金流量、管理水平及經濟周期的影響等方面信息的客戶基礎數據庫,另一方面要建立和完善違約損失的時間序列數據庫,為采用先進模型進行信用風險評估提供完善的數據統(tǒng)計基礎。
2.建立和完善內部信用評級體系,為現(xiàn)代信用風險評估方法的應用創(chuàng)造條件。目前,我國商業(yè)銀行內部信用評級體系尚不成熟,使得一些先進信用評級方法的使用受到諸多限制,因此,我國商業(yè)銀行必須建立和完善銀行內部的信用評級體系。
3.加快信用風險管理人才隊伍建設,為現(xiàn)代信用風險評估方法的應用提供有力的人力資源支持。目前,人才短缺是我國商業(yè)銀行在應用先進信用風險評估方法上面臨的一大瓶頸,因此,為了通過提高信用風險管理質量,必須盡快培養(yǎng)一批高素質的專業(yè)風險管理人才。
參考文獻:
篇5
風險評估就是在充分掌握資料的基礎之上,采用合適的方法對已識別風險進行系統(tǒng)分析和研究,評估風險發(fā)生的可能性(概率)、造成損失的范圍和嚴重程度(強度),為接下來選擇適當的風險處理方法提供依據。根據實際需要的不同可以對風險進行定性分析和定量分析。定性分析一般是根據風險度(重要程度)或風險大小(概率×強度)等指標對風險因素進行優(yōu)先級排序,為進一步分析或處理風險提供參考,常用方法有專家打分法等。定量分析則是將體現(xiàn)風險特征的指標量化,加深對風險因素的認識,有助于風險管理者采取更具針對性的對策和措施,常用方法有敏感性分析、蒙特卡羅分析等。下面介紹常用的一些風險評估方法。
一、專家調查法
在風險識別的基礎之上,請專家對風險因素的發(fā)生概率和影響程度進行評價,再綜合整體風險水平進行評價。該方法簡單易行,可以在采用德爾菲法進行風險識別時同時進行,節(jié)約成本和時間,缺點是主觀性強,依賴于專家水平。
二、蒙特卡洛模擬法
蒙特卡洛模擬法又稱統(tǒng)計試驗法或隨機模擬法,其原理是將項目目標變量(風險評價指標)和各個風險變量綜合在一個數學模擬模型內,每個風險變量用一個概率分布來描述,然后利用計算機產生隨機數(或偽隨機數),并根據隨機數在各個風險變量的概率分布中取值,算出目標變量值,經過多次運算即可得出目標變量的期望值、方差、概率分布等指標,繪制累計概率圖,供決策者參考。
風險變量的確定,一般采用前述的風險識別方法,如果風險因素較多,可以先進行敏感性分析,選擇敏感的風險因素作為風險變量。風險變量的概率分布描述是進行模擬分析的基礎,常用的有正態(tài)分布、β分布、三角分布、梯形分布、階梯分布等,銷售量、售價、產品成本等變量多采用正態(tài)分布,工期、投資等變量多采用三角分布描述。對有歷史數據的風險變量可根據數據做統(tǒng)計分析,估計其概率分布,對沒有歷史數據的風險變量,可以采用專家調查法確定變量的概率分布。
該法由法國數學家John.ron.neuman創(chuàng)立,由于其依賴的概率統(tǒng)計理論與賭博原理類同,因此以歐洲著名賭城摩納哥首都Monte Carlo命名。該方法的優(yōu)點是使用計算機模擬項目的自然過程,比歷史模擬方法成本低、效率高,結果相對精確;可以處理多個因素非線性、大幅波動的不確定性,并把這種不確定性的影響以概率分布形式表示出來,克服了敏感性分析的局限性。不足之處是依賴于特定的隨機過程和選擇的歷史數據,不能反映風險因素之間的相互關系,需要有可靠的模型,否則導致錯誤。
三、計劃評審技術(PERT)
該方法是用網絡圖來體現(xiàn)項目中各項活動的進度和相互之間的關系,確定關鍵路徑,計算總工期及概率,再綜合考慮資源因素,得到最佳的項目計劃方案。PERT主要用于對項目的進度管理,評價進度和費用方面的風險。它適用于評價缺乏歷史經驗資料的科研或產品研發(fā)項目風險以及與進度相關的項目風險。由于該方法的前提是假設項目每項活動的時間服從正態(tài)分布或β分布,總工期和關鍵路徑都具有隨機性,但是隨著關鍵路徑的確定,這一假設就失去意義,因此具有一定的缺陷。
四、敏感性分析法
敏感性分析法是指在假定其他風險因素不變的情況下,評估某一個(或幾個)特定的風險因素變化對項目目標變量的影響程度,確定它的變動幅度和臨界值,計算出敏感系數,據此對風險因素進行敏感性排序,供決策者參考。這種方法應用廣泛,常用于項目的可行性研究階段,有助于發(fā)現(xiàn)重要的風險因素,具體又可分為單因素敏感性分析和多因素敏感性分析。其缺點在于只能體現(xiàn)風險因素的強度而不能反映發(fā)生概率,也不能反映眾多風險因素同時變化時對項目的綜合影響。
五、決策樹法
決策樹法是指利用圖解的形式,將風險因素層層分解,繪制成樹狀圖,逐項計算其概率和期望值,進行風險評估和方案的比較和選擇。一棵簡單的決策樹包括決策節(jié)點、狀態(tài)節(jié)點和結果節(jié)點,決策節(jié)點與狀態(tài)節(jié)點之間為方案分支,狀態(tài)節(jié)點引出的分支為狀態(tài)分支,決策節(jié)點上標注最終方案的收益期望值,方案分支標注方案名稱,狀態(tài)節(jié)點標注某個行動方案收益期望值,狀態(tài)分支標注狀態(tài)名稱和概率,結果節(jié)點標注收益值。一般會求出目標變量在所有風險因素所有概率組合下的期望值,再畫出概率分布圖,因此計算量與風險因素和變化的數量成指數關系,并且需要有足夠的有效數據做支撐。這種方法層次清晰,不同節(jié)點面臨的風險及概率一目了然,不易遺漏,能夠適應多階段情形下的風險分析,但用于大型復雜項目時工作量較大,也不適合用于缺乏類似客觀數據的項目。
六、影響圖法
影響圖是指由風險結點集合和反映風險關系的有向弧集合構成的無環(huán)有向圖,它是在決策樹基礎之上發(fā)展起來的圖形描述工具,包含了對風險變量相關性的描述,既可以表示變量之間的概率依賴關系,又可用于計算,能夠有效地把決策問題轉化成模型,是決策問題定性描述和定量分析的有效工具。其優(yōu)點是概率估計、備選方案、決策者偏好等資料完整;圖形直觀、概念明確;計算規(guī)模隨著風險因素個數呈線性增長。缺點是需要獲取大量的概率和效用值,對于復雜問題建模困難。
七、模糊綜合評價法
模糊理論是美國加州大學伯克力分校盧菲特?澤德教授于1965年首先提出的一種定量表達工具,用來表達某些無法明確定義的模糊性概念。事物的某些狀態(tài)或屬性如男或女,可以明確區(qū)分,但是如漂亮或不漂亮、高或矮之類帶有主觀意識的屬性,則很難以明確的標準加以區(qū)分,模糊理論接受自然界模糊性現(xiàn)象存在的事實,并將其量化,進行相關研究。
風險也具有模糊性,主要表現(xiàn)為風險的強度或大小很難進行明確的界定。模糊綜合評價法將項目風險大小用模糊子集進行表達,利用隸屬度及模糊推理的概念對風險因素進行排序,以改進的模糊綜合評價法為基礎,采用層次分析法(AHP)構建風險遞階層次結構,采用專家調查法確定各層次內的風險因素指標權重,逐級進行模糊運算,直至總目標層,最終獲得項目各個層級以及整體的風險評估結果。該方法將風險的定性和定量分析相結合,對于難以量化的風險因素如法律變動,也能進行有效分析,不依賴絕對指標,避免標準不合理導致的偏差。缺點是專家的主觀偏見和能力水平可能會影響結果,對隸屬度變化時評價結果改變的波動性利用不夠。
八、風險矩陣法
該方法又稱風險值法,1998年由Paul R等人提出。該方法將風險事件發(fā)生的概率和影響程度分級評分,然后分別作為矩陣的行和列形成風險矩陣,將風險概率和風險后果估計值(0~1)相乘得到風險值,進而按照風險事件在矩陣中的位置作出評估。該方法使用簡單快捷。缺點是計算風險概率往往需要歷史數據;由于風險的隨機性和影響的模糊性,易產生風險結。
九、人工神經網絡技術(ANN)
該方法是模仿生物大腦結構和功能而形成的一類信息處理系統(tǒng),最先由美國生物學家Warren Mcculloch和數學家Walter Pitts于1943年提出,經過幾十年的發(fā)展已經成為多學科綜合的前沿學科。人工神經網絡的基本結構單元是神經元,它一般是多個輸入、一個輸出的非線性單元,按照一定的層次結構排列,每層神經元以加權方式與其他層次上的神經元連接構成神經網絡。根據連接方式的不同,目前已有30多種神經網絡結構,最常用的是誤差反向傳播的多層前饋式網絡,即BP網絡。人工神經網絡技術運作模式是建立神經元網絡連接,通過學習規(guī)則或自組織等過程建立相應的非線性數學模型,經過多次信息輸入和輸出比對,并不斷進行修正,使輸出結果與實際值之間差距不斷縮小。優(yōu)點:具有自學習、自組織適應能力和強容錯性等特性;避免了大量的繁瑣計算,使評價工作更簡便易行;主要是通過對以往的樣本數據進行學習,獲取經驗,弱化了確定各因素權重時的人為因素。缺點:選擇網絡結構不當會影響評價結果;輸出結果不能體現(xiàn)單個風險因素的重要程度;泛化能力差,不適用于多目標的評價過程,項目具有獨特性、一次性的特點。
十、灰色評價方法
灰色系統(tǒng)理論是我國著名學者鄧聚龍于1982年提出的,他根據信息的清晰程度,將系統(tǒng)分為白色、黑色和灰色,白色系統(tǒng)信息完全可見,黑色系統(tǒng)信息未知,灰色系統(tǒng)介于兩者之間,分析過程中可充分利用已知信息將灰色系統(tǒng)的灰色性白化,分析方法有灰色聚類法、灰色關聯(lián)分析法等。灰色關聯(lián)分析是根據因素之間發(fā)展態(tài)勢的相似或者相異程度來衡量因素間關聯(lián)度的方法。灰色評價方法的優(yōu)點:對樣本量要求不高,不要求樣本服從任何分布,可以有效地克服復雜系統(tǒng)的層次復雜性、結構關系的模糊性、動態(tài)變化的隨機性、指標數據的不完全性和不確定性,排除認為影響,數據不必進行歸一化處理,可靠性強。缺點:樣本數據具有時間序列特性,綜合評價結果具有“相對評價”的缺點,需要確定分辨率,其選擇標準尚無一個合理的標準。
對項目風險定性和定量分析,為選擇最佳風險處理手段提供了可靠的依據。上述風險評估方法有各自的特點和優(yōu)勢,有的方法以全面、精確為特點,有的方法以簡單易用為優(yōu)勢,一些方法可以同時處理風險識別和風險評估,各方法之間也有相互交叉、相互引用的情況,在實際應用中應當根據掌握資料程度、項目實際情況具體選擇。1992年英國里丁大學Simister教授對英國項目管理協(xié)會的37名會員進行風險評估技術應用方面的調查,結果顯示盡管有很多新的風險評估方法,但傳統(tǒng)的調查打分法、蒙特卡洛模擬和計劃評審法使用率達70%。據統(tǒng)計,由于資料稀缺和時間緊迫,75%的項目經理傾向于采用專家調查打分,將風險評估主觀量化。未來項目風險管理將更加注重一體化和動態(tài)持續(xù)性,風險的量化分析越來越受到重視,隨著傳統(tǒng)風險評估方法不斷改進,新方法的不斷完善,風險評估將會使項目管理更加科學有效。
(作者單位:重慶大學建設管理與房地產學院)
主要參考文獻
[1]廖詩娜.PPP項目定量風險評估方法比較[J].合作經濟與科技,2010.6.
[2]楊義燦.投資項目評價的理論、方法及應用研究[D].南京: 河海大學,2000.
[3]Paul R,Garvey PR,Lansdowne ZF. Risk matrix:an approach for identifying,assessing,and ranking program risks[J].Air Journal of Logistics,1998.25.
篇6
隨著計算機信息系統(tǒng)在各軍工企業(yè)的科研、生產和管理的過程中發(fā)揮巨大作用,部分單位提出了軍工數字化設計、數字化制造、異地協(xié)同設計與制造等概念,并開展了ERP、MES2~PDM等系統(tǒng)的應用與研究。這些信息系統(tǒng)涉及大量的國家秘密和企業(yè)的商業(yè)秘密,是軍工企業(yè)最重要的工作環(huán)境。因此各單位在信息系統(tǒng)規(guī)劃與設計、工程施工、運行和維護、系統(tǒng)報廢的過程中如何有效的開展信息系統(tǒng)的風險評估是極為重要的。
一、風險評估在信息安全管理體系中的作用
信息安全風險評估是指依據國家風險評估有關管理要求和技術標準,對信息系統(tǒng)及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。風險評估是組織內開展基于風險管理的基礎,它貫穿信息系統(tǒng)的整個生命周期,是安全策略制定的依據,也是ISMS(Information Security Management System,信息安全管理體系)中的一部分。風險管理是一個建立在計劃(Plan)、實施(D0)、檢查(Check)、改進(Action)的過程中持續(xù)改進和完善的過程。風險評估是對信息系統(tǒng)進行分析,判斷其存在的脆弱性以及利用脆弱性可能發(fā)生的威脅,評價是否根據威脅采取了適當、有效的安全措施,鑒別存在的風險及風險發(fā)生的可能性和影響。
二、信息系統(tǒng)安全風險評估常用方法
風險評估過程中有多種方法,包括基于知識(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各種方法的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。
1、基于知識的分析方法
在基線風險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標準之間的差距。基于知識的分析涉及到對國家標準和要求的把握,另外評估信息的采集也極其重要,可采用一些輔的自動化工具,包括掃描工具和入侵檢測系統(tǒng)等,這些工具可以幫助組織擬訂符合特定標準要求的問卷,然后對解答結果進行綜合分析,在與特定標準比較之后給出最終的報告。
2、定量分析方法
定量分析方法是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結果就都可以被量化。定量分析就是從數字上對安全風險進行分析評估的一種方法。定量分析兩個關鍵的指標是事件發(fā)生的可能性和威脅事件可能引起的損失。
3、定性分析方法
定性分析方法是目前采用較為廣泛的一種方法,它具有很強的主觀性,需要憑借分析者的經驗和直覺,或國家的標準和慣例,為風險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣,包括討論、檢查列表、問卷、調查等。
4、幾種評估方法的比較
采用基于知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑采集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,最終達到消減和控制風險的目的。
理論上定量分析能對安全風險進行準確的分級,但前提是可供參考的數據指標是準確的,事實上隨著信息系統(tǒng)日益復雜多變,定量分析所依據的數據的可靠性也很難保證,且數據統(tǒng)計缺乏長期性,計算過程又極易出錯,給分析帶來了很大困難,因此目前采用定量分析或者純定量分析方法的比較少。
定性分析操作起來相對容易,但也存在因操作者經驗和直覺的偏差而使分析結果失準。定性分析沒有定量分析那樣繁多的計算負擔,但卻要求分析者具備一定的經驗和能力。定量分析依賴大量的統(tǒng)計數據,而定性分析沒有這方面的要求,定量分析方法也不方便于后期系統(tǒng)改進與提高。
本文結合以上幾種分析方法的特點和不足,在確定評估對象的基礎上建立了一種基于知識的定性分析方法,并且本方法在風險評估結束后給系統(tǒng)的持續(xù)改進與提高提供了明確的方法和措施。
三、全生命周期的信息系統(tǒng)安全風險評估
由于信息系統(tǒng)生命周期的各階段的安全防范目的不同,同時不同信息系統(tǒng)所依據的國家標準和要求不一樣,使風險評估的目的和方法也不相同,因此每個階段進行的風險評估的作用也不同。
信息系統(tǒng)按照整個生命周期分為規(guī)劃與設計、工程實施、運行和維護、系統(tǒng)報廢這四個主要階段,每個階段進行相應的信息系統(tǒng)安全風險評估的內容、特征以及主要作用如下:
第一階段為規(guī)劃與設計階段,本階段提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求,如信息系統(tǒng)是否以及等級等。信息系統(tǒng)安全風險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施,幫助制定有效的安全防范策略,確定安全防范的投入最佳成本,說服機構領導同意安全策略的完全實施等作用。在本階段標識的風險可以用來為信息系統(tǒng)的安全分析提供支持,這可能會影響到信息系統(tǒng)在開發(fā)過程中要對體系結構和設計方案進行權衡。
第二階段是工程實施階段,本階段的特征是信息系統(tǒng)的安全特征應該被配、激活、測試并得到驗證。風險評估可支持對系統(tǒng)實現(xiàn)效果的評價,考察其是否滿足要求,并考察系統(tǒng)運行的環(huán)境是否是預期設計,有關風險的一系列決策必須在系統(tǒng)運行之前做出。
第三階段是運行和維護階段,本階段的特征是信息系統(tǒng)開始執(zhí)行其功能,一般情況下系統(tǒng)要不斷修改,添加硬件和軟件,或改變機構的運行規(guī)則、策略和流程等。當定期對系統(tǒng)進行重新評估時,或者信息系統(tǒng)在其運行性生產環(huán)境中做出重大變更時,要對其進行風險評估活動,了解各種安全設備實際的安全防范效果是否有滿足安全目標的要求;了解安全防范策略是否切合實際,是否被全面執(zhí)行;當信息系統(tǒng)因某種原因做出硬件或軟件調整后,分析原本的安全措施是否依然有效。
第四階段是系統(tǒng)報廢階段,可以使用信息系統(tǒng)安全風險評估來檢驗應當完全銷毀的數據或設備,確實已經不能被任何方式所恢復。當要報廢或者替換系統(tǒng)組件時,要對其進行風險評估,以確保硬件和軟件得到了適當的報廢處置,且殘留信息也恰當地進行了處理,并且要確保信息系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。對于是信息系統(tǒng)的報廢處理時,應按照國家相關保密要求進行處理和報廢。
四、基于評估對象,知識定性分析的風險評估方法
1、評估方法的總體描述
在信息系統(tǒng)的生命周期中存在四個不同階段的風險評估過程,其中運行和維護階段的信息系統(tǒng)風險評估是持續(xù)時間最長、評估次數最多的階段,在本階段進行安全風險評估,首先應確定評估的具體對象,也就是限制評估的具體物理和技術范圍。在信息系統(tǒng)當中,評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應的。例如,信息系統(tǒng)中包括各種服務器、服務器上運行的操作系統(tǒng)及各種服務程序、各種網絡連接設備、各種安全防范設備和產品或應用程序、物理安全保障設備、以及維護管理和使用信息系統(tǒng)的人,這些都構成獨立的評估對象,在評估的過程中按照對象依次進行檢查、分析和評估。通常將整個計算機信息系統(tǒng)分為七個主要的評估對象:(1)信息安全風險評估;(2)業(yè)務流程安全風險評估;(3)網絡安全風險評估;(4)通信安全風險評估;(5)無線安全風險評估;(6)物理安全風險評估;(7)使用和管理人員的風險評估。
在對每個對象進行評估時,采用基于知識分析的方法,針對互聯(lián)網采用等級保護的標準進行合理分析,對于軍工企業(yè)存在大量的信息系統(tǒng),采用依據國家相關保密標準進行基線分析,同時在分析的過程中結合定性分析的原則,按照“安全兩難定律”、“木桶原理”、“2/8法則”進行定性分析,同時在分析的過程中,設置一些“一票否決項”。對不同的評估對象,按照信息存儲的重要程度和數量將對象劃分為“高”、“中”、“低”三級,集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用,保障系統(tǒng)在關鍵防護要求上得到落實,提高信息系統(tǒng)的魯棒性。
2、基于知識的定性分析
軍工企業(yè)大多數信息系統(tǒng)為信息系統(tǒng),在信息系統(tǒng)基于知識分析時,重點從以下方面進行分析:物理隔離、邊界控制、身份鑒別、信息流向、違規(guī)接入、電磁泄漏、動態(tài)變更管理、重點人員的管理等。由于重要的信息大多在應用系統(tǒng)中存在,因此針對服務器和用戶終端的風險分析時采用2/8法則進行分析,著重保障服務器和應用系統(tǒng)的安全。在風險評估中以信息系統(tǒng)中的應用系統(tǒng)為關注焦點,分析組織內的縱深防御策略和持續(xù)改進的能力,判別技術和管理結合的程度和有效性并且風險評估的思想貫穿于應用的整個生命周期,對信息系統(tǒng)進行全面有效的系統(tǒng)評估。在評估過程中根據運行環(huán)境和使用人群,判別技術措施和管理措施互補性,及時調整技術和管理措施的合理性。在技術上無法實現(xiàn)的環(huán)節(jié),應特別加強分析管理措施的制定和落實是否到位和存在隱患。
篇7
項目融資;風險評估;方法
項目融資中的風險評估存在不確定性,這些不確定性就是風險評估的難點。只有對這些不確定性因素進行風險分析,并對這些風險進行綜合分析,進而達到最后對項目融資中的風險有科學的處理方法,進而使項目順利完成。
1項目融資中風險評估的定義概念
項目融資中的風險評估就是對項目融資過程中的不確定因素和風險因素進行分析整合后,得出的綜合性的風險評估。項目融資中的風險評估既能對整個項目進行前對所要涉及的風險因素給出不同的影響評價,又能為如何規(guī)避和處置這些預計到的風險提出相應的對策。從整體上來說,項目融資中的風險評估就是為了保證項目的順利進行,同時對于后期所要發(fā)生的風險進行評估并提出解決方案。
2項目融資中風險評估的基本步驟
在項目融資中的風險評估經驗從一定程度上可以降低項目風險的概率,應用正確的風險評估步驟,可以提升提升項目融資中風險評估的成功率。作者將項目融資中風險評估的基本步驟總結如下:
(1)評估所有方法。在評估的過程中,每個影響因素和方法都要考慮到。只有這樣才能保證,在評估中不會有因素影響項目融資中風險評估的準確度。
(2)考慮風險態(tài)度。對于每個風險都要有慎重考慮的態(tài)度,態(tài)度會影響整個風險評估。由于人為的原因,每個人進行風險評估時所考慮的都不太一樣,主要是對影響因素的不同考慮,對不同的數據的重視程度也不一樣,這就使得考慮風險的態(tài)度成為影響整個項目融資中風險評估的重要方面。
(3)考慮風險的特征。對于每個發(fā)現(xiàn)的風險都要進行詳細深入的剖析,以求達到對每個識別風險的控制。
(4)建立測量系統(tǒng)。對于風險的評估要有相應的測量系統(tǒng)與之配合,建立測量系統(tǒng)從一定程度上可以根據以往的經驗進行系統(tǒng)性預測。在對已經認識的風險可以做到依據經驗進行定量或定性的測量評估。
(5)解釋結果。對于項目融資中的風險評估,在進行測量分析后要對測量的結果進行解釋。解釋不單單是為了對數據有更深刻的了解,更要對數據進行定性或定量的處理。通過解釋結果,不但能讓評估人員對測量數據有深入的了解,更能在解釋數據時,對未來要發(fā)生的風險進行推斷。
(6)做決策。做決策可以說是整個風險評估中的最后階段,對前面進行分析估計的風險進行對比做出決策,很大程度上取決以實際的情況。但我們不能排除每個決策者所獨有的見解,對于風險評估的決策,決策者的個人見解對決策也有影響。最終的決策對風險的留去,有著十分重要的影響。
3項目融資中風險評估可采用的方法
(一)定性風險評估(1)歷史資料法所謂歷史資料法,就是根據在以往項目融資中風險評估的歷史記錄,通過把現(xiàn)在項目融資中風險評估數據與歷史資料中的數據對比,進而的出相應的風險評估數值。從一定程度上來說,歷史資料法就是依靠以往的風險評估經驗進行現(xiàn)在的風險評估。這種方法有一定的作用,但有時受到歷史資料的拘束,如果沒有相應的歷史資料,這種方法就無法運用。一味的使用歷史資料法也會導致很多問題,畢竟很多歷史資料都不是十分的準確,必然會導致結果又一定的偏差。(2)理論概率分布法通過對以往項目的風險評估,可以綜合得出一定的理論概率,這種理論概率就相當于不同項目風險的比例。如果決策者沒有十分充足的項目管理經驗,又對歷史資料法運用的不是十分得心應手,就要對風險評估進行理論的概率分布修正。通過運用概論修正,達到風險評估理論上精確的目標。(3)風險事件后果的估計對于項目融資風險評估,不能僅僅進行風險評估后就結束了。對于項目融資后的風險事件估計也不能缺少,從一定程度上來說,甚至比風險評估更為重要。風險事件后的估計不但能衡量風險的各方面要素,更能確定風險評估的正確性和有效性。通過數據記錄,為以后更好的使用歷史資料法奠定基礎。
(二)定量風險評估定量風險評估包括訪談法、盈虧平衡分析、敏感性分析、決策樹分析和非肯定型決策分析。定量風險評估主要是從各種方面進行分析,通過分析得出盈虧決策的關鍵因素,進而得出風險評估的作用與效果。
4結語
項目融資中的風險評估是整個項目風險評估中的一部分,但對于整個項目風險評估來說,確實十分重要的。項目融資就是為項目提供充足的資金,是整個項目的資金保證。但相應的資金的風險評估對每個投資者來說都是十分重要的,只有風險投資達到自己的預期目標,投資者才會進行投資。筆者通過對項目融資中風險評估方法的分析總計,總結出風險評估的基本步驟和方法。希望這些方法和步驟能對從事項目融資風險評估的工作的人員給與參考和幫助。
參考文獻:
[1]彭鵬.淺析項目融資中風險評估的方法[J].經營管理者,2012(18).
[2]王靜紅.以“項目融資”方式促進房地產企業(yè)的發(fā)展[J].環(huán)渤海經濟瞭望,2012(10).
[3]期海明.商業(yè)銀行參與BT項目融資法律風險分析———以經濟適用住房建設為例[J].廣西金融研究,2013(10).
篇8
一、火災風險評估的概念
過去,人們往往依靠經驗和直觀推斷來做出決策。隨著計算機容量不斷擴大和模塊技術的發(fā)展,風險評估(riskassessment)和風險管理(riskmanagement)技術作為復雜或重大事項決策的必要輔助手段,在過去的二、三十年間,在決策分析、管理科學、運營研究和系統(tǒng)安全等領域得到了廣泛的認知和應用[1]。
通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發(fā)生的機會,它通過后果和可能性這兩個方面來具體體現(xiàn)。風險概念中包括三個因素:對可能發(fā)生的事件的認知;該事件發(fā)生的可能性;發(fā)生的后果[2]。因而,火災風險(firerisk)包含火災危險性(發(fā)生火災的可能性)和火災危害性(一旦發(fā)生火災可能造成的后果)雙重含義[3]。
現(xiàn)在,在文獻中可以看到的與“火災風險評估”相關的術語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災風險評估都是指:在火災風險分析的基礎上對火災風險進行估算,通過對所選擇的風險抵御措施進行評估,把所收集和估算的數據轉化為準確的結論的過程。火災風險評估與火災模擬、火災風險管理和消防工程之間有密切關系,為其提供定性和定量的分析方法,簡單地如消防安全設施檢查表,復雜的就會涉及到概率分析,在應用方面針對的風險目標的性質和分析人員的經驗有各種變化[4]。
較多的人傾向于從工程角度來定義火災危害性(firehazard)和火災風險(firerisk)。火災危害性指:凡是根據已有的資料認為能引起火災或爆炸,或是能為火災的強度增大或蔓延持續(xù)提供燃料,即對人員或財產安全造成威脅的任何情況、工藝過程、材料或形勢。火災危害性分析在不同的情況下有不同的針對性,目的是確定在一定的條件下有可能發(fā)生的可預見性后果。這種設定的條件稱為火災場景,包括建筑物中房間的布局、建材、裝修材料及家具、居住者的特征等與相關后果有關的各種具體信息。目前在確定后果方面的趨勢是盡可能地利用各種火災模式,輔以專家判斷。此時,危害性分析可以看作是風險評估的一個構成元素,即風險評估是對危害發(fā)生的可能性進行權衡的一系列危害性分析。
從系統(tǒng)分析的角度來看,風險具有系統(tǒng)特性和動態(tài)特性。風險實際上并非某一單一實體或事物的固有特性,而是屬于一個系統(tǒng)的特性。若系統(tǒng)發(fā)生變化,很容易就會使事先對風險所做的估算隨之發(fā)生變化。火災風險評估模式包括:系統(tǒng)認定,即明確所要評估的具體系統(tǒng)并定義出風險抵御措施的過程;風險估算,即設定關于火災的發(fā)生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統(tǒng)中的指標的過程;風險評估,對該標準或尺度進行分析和估算,確定某一特定風險值的重要性或某一特定風險發(fā)生變化的權重[5]。
二、城市區(qū)域火災風險評估的意義及發(fā)展概況
在消防方面,隨著人們安全意識的提高和建筑設計性能化的發(fā)展,對建筑工程的安全評估日益受到重視,比如美國消防協(xié)會制定的“NFPA101生命安全法規(guī)”是一部關注火災中的人員安全的消防法規(guī),與之同源的“NFPA101A確保生命安全的選擇性方法指南”,分別針對醫(yī)護場所、監(jiān)禁場所、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面[6]。
目前,我國在火災風險評價方面的研究,大部分是以某一企業(yè),或某一特定建筑物為對象的小系統(tǒng)。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業(yè)消防安全評價方法及軟件開發(fā)研究”,以“石油化工企業(yè)防火設計規(guī)范”等消防規(guī)范和德爾菲專家調查法為基礎,設計了石化企業(yè)消防安全評價的指標體系,利用層次分析法和道化指數法確定了各指標的權重,采用線性加權模型得出煉油廠的消防安全評價結果[7]。以某一特定建筑物為對象的火災風險評價也比較多,如中國礦業(yè)大學周心權教授,在分析建筑火災發(fā)生原因的基礎上,建立了建筑火災風險評估因素集,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價[8]。
與上述的安全評估不同,城市區(qū)域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量,指導城市消防系統(tǒng)改造,指導城市消防規(guī)劃。對已建成的城市區(qū)域的火災風險評估必須考慮許多因素,即城市火災危險性評價指標體系,包括區(qū)域內所存在的對生命安全造成危險的情況、火災頻率、氣候條件、人口統(tǒng)計等因素,進而評價社區(qū)的消防部署和消防能力等抵御風險的因素。除此之外,在評估過程中另一個重要的情況是要關注社區(qū)從財政及其他方面為消防規(guī)劃中所要求的總體消防水平提供支持的能力和意愿。隨著城市規(guī)模擴大、綜合功能增強,在居住區(qū)商貿中心、醫(yī)院、學校、和護理場所增多,評估方法還會相應的改變。現(xiàn)有的城市區(qū)域火災風險評估方法主要出于以下兩個目的:
(一)用于保險目的
在火災保險方面的應用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災分級法,在美國已經被視為指導社區(qū)政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區(qū)消防狀況分為10個等級,10級最差,1級最好。
ISO是按照一套統(tǒng)一的指標來對每個社區(qū)的客觀存在的滅火能力進行評估,確定該社區(qū)的公共消防級別,這套指標來自于由美國消防協(xié)會和美國自來水公司協(xié)會所制定的各種國家規(guī)范。ISO對城市消防的分級方法主要體現(xiàn)在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑結構、用途、防火間距與公共消防情況(用公共消防分級數目表達)相關聯(lián),再以統(tǒng)計數據加以調節(jié)后,來確定相應的火險費用。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統(tǒng)雖然無法反映出消防組織的其他應急救援能力,但實際上也常用于各個區(qū)域的公共滅火力量的確定。
市政消防分級表從1974年開始使用,主要考察某城市區(qū)域的7個指標情況:供水、消防隊、火災報警、建筑法規(guī)、電氣法規(guī)、消防法規(guī)、氣候條件。隨著技術進步,該表也不斷改進。1980年版抽取了CFRS中對公共消防分級的方法,給出了修訂后的滅火力量等級表,指標只包括前3項。被刪除的指標或者確少區(qū)分度,或者在全市范圍內進行評估時太過于主觀,而且74表格中包含許多評估標準是具體的規(guī)定,如果某一社區(qū)的情況沒有滿足這些規(guī)定,則歸屬為差額分,規(guī)定降低了表格可使用的彈性范圍,無法正確評估情況和技術的變化。故而ISO分級表被視為越來越“性能化”[9]。
(二)用于消防力量的部署
當今的消防組織和地方政府要擔負日益加重的安全責任,面對來自公眾的對抵御各種風險的更多的期望,以及調整消防機構人員、設備及其他預算方面的壓力,迫切需要確認某一給定轄區(qū)內的具體風險和危險的等級。
具體地說,城市區(qū)域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡。
關于火災風險對于滅火救援力量的影響,美國消防界對此的關注可以說幾經反復,其間美國消防學院、NFPA等都做了許多工作。直至20世紀90年代,國際消防局長協(xié)會成立了由150名專業(yè)人士組成的國際消防組織資質認定委員會(theCommissionofFireAccreditationInternational,CFAI),經過9年的廣泛工作,制定了“消防應急救援自我評估方法”,和制定標準的社區(qū)消防安全系統(tǒng)。另外,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準,分別幫助職業(yè)消防隊和志愿消防隊和改進為社區(qū)提供的消防救援的水平。根據NFPA最近的調查,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用,也推廣到加拿大有些地區(qū)[10]。
英國對消防救援力量的部署標準是依據內政部批準的“風險指標”,把消防隊的轄區(qū)劃分為“A”、“B”、“C”、“D”四類區(qū)域,名為“風險分級”系統(tǒng)。其目的是對消防隊的轄區(qū)進行風險評估,確定轄區(qū)內的各種風險區(qū)域,進而確定該風險區(qū)域發(fā)生火災后應出動的消防車數量和消防響應時間。1995年,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況、社區(qū)的人口統(tǒng)計情況和社會經濟因素,也沒有把建筑物內的消防安全設施納入考核范圍。故而由審計委員會報告聯(lián)合工作組與內政部的消防研究發(fā)展辦公室一起,設立了一個研究項目。該項目的目的是開發(fā)一套供消防機構劃分區(qū)域的風險等級,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規(guī)劃并能解決上述問題的風險評估方法,再對開發(fā)出的方法進行測試。最后Entec公司開發(fā)出了計算軟件,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版[11]。
三、國內外近期的城市區(qū)域火災風險評估方法
(一)國內的城市區(qū)域火災風險評估方法
張一先等采用指數法對蘇州古城區(qū)的火災危險性進行分級[15],該方法的指標體系考慮了數量危險性,著火危險性,人員財產損失嚴重度,消防能力這四個因素。1995年李杰等在建立火災平均發(fā)生率與城市人口密度﹑城區(qū)面積﹑建筑面積間的統(tǒng)計關系基礎上,選取建筑面積為主導參量,建立了以建筑面積為單一因子的城市火災危險評價公式[12]。李華軍[16]等在1995年提出了城市火災危險性評價指標體系,該體系中城市火災危險性評價由危害度﹑危險度和安全度三個指標組成,用以評價現(xiàn)實的風險,不能用來指導城市消防規(guī)劃。
(二)美國的“風險、危害和經濟價值評估”方法[13]
美國國家消防局與CFAI于1999年一起,在“消防局自我評估”及“消防安全標準”的工作的基礎上,更突出強調了“火災科學”的“科學性”,開發(fā)出名為“風險、危害和經濟價值評估(Risk,HazardandValueEvaluation)”的方法。美國消防局于2001年11月19日了該方案,這是一個計算機軟件系統(tǒng),包含了多種表格、公式、數據庫、數據分析方法,主要用于采集相關的信息和數據,以確定和評估轄區(qū)內火災及相關風險情況,供地方公共安全政策決策者使用,有助于消防機構和轄區(qū)決策者針對其消防及應急救援部門的需求做出客觀的、可量化的決策,更加充分地體現(xiàn)了把消防力量布署與社區(qū)火災風險相結合的原則。
該方法的要點集中于兩個方面:1、各種建筑場所火災隱患評估。其目的是收集各種數據元素,這些數據能夠通過高度認可的量度方法,以便提供客觀的、定量的決策指導。其中的分值分配系統(tǒng)共包括6類數據元素:建筑設施、建筑物、生命安全、供水需求、經濟價值。2、社區(qū)人口統(tǒng)計信息。用于收集轄區(qū)年度收集的相關數據元素。包括居住人口、年均火災損失總值、每1000人口中的消防員數目等數據元素。
該方法已在一些消防局的救援響應規(guī)劃中得到應用。以蘇福爾斯消防局為例,它利用該方法把其社區(qū)風險定義為高中低三類區(qū)域,進而再考察這些區(qū)域的火災風險可能性和后果:高風險區(qū)域包括風險可能性和后果都很大的以及可能性低、后果大的區(qū)域,主要指人員密集的場所和經濟利益較大的場所;中等風險區(qū)域是風險可能性大,后果小的區(qū)域,如居住區(qū);低風險區(qū)域是風險可能性和后果都較低的區(qū)域,如綠地、水域等,然后再把這些在消防救援響應規(guī)劃中體現(xiàn)出來。
(三)英國的“風險評估”方法[14]
英國Entec公司研發(fā)“消防風險評估工具箱”,解決了兩個問題:一是評估方法的現(xiàn)實性,是否在一定的時限內能達到最初設定的目標。經過對環(huán)境、管理、海事安全等部門所使用的各種風險評估方法的進行廣泛考察之后,研究人員認為如果對這些方法加以適當轉換,就可以通過不同的方法對消防隊應該接警響應的不同緊急情況進行評估。二是建立了表達社會對生命安全風險可接受程度的指標。
篇9
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業(yè)信息安全的研究只停留于網絡安全防御框架與防御技術的應用層面,缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構架與策略,文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術構建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術的改進與應用。少數文獻對電力信息安全評估模型進行了討論,但對于安全風險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風險分析需要考慮的內容;文獻[8]討論了一種基于模糊數學的電力信息安全評估模型,這種模型本質上依賴于專家的經驗,帶有主觀性;文獻[9]只提出了一種電力信息系統(tǒng)安全設計的建模語言和定量化評估方法,但是并未對安全風險的評估模型進行具體分析。
本文介紹了內蒙古電力信息系統(tǒng)風險評估的相關工作,并探討了內蒙古電力信息系統(tǒng)風險評估工作在推動行業(yè)信息安全保護方面帶給我們的啟示。
2 內蒙古電力信息安全風險評估工作
隨著電網規(guī)模的日益擴大,內蒙古電力信息系統(tǒng)日益復雜,電網運行對信息系統(tǒng)的依賴性不斷增加,對電力系統(tǒng)信息安全的要求也越來越高。因此,在電力行業(yè)開展信息安全風險評估工作,研究電力信息安全問題,顯得尤為必要。
根據國家關于信息安全的相關標準與政策,并根據實際業(yè)務情況,內蒙古電力公司委托北京數字認證股份有限公司(BJCA)對信息系統(tǒng)進行了有效的信息安全風險評估工作。評估的內容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個方面,以解決電力信息系統(tǒng)面臨的的安全風險。
3 電力系統(tǒng)信息安全風險評估的解決方案
通過對內蒙古電力信息系統(tǒng)的風險評估工作,我們可以總結出電力信息系統(tǒng)風險評估的解決方案。
4 電力信息系統(tǒng)風險評估的流程
電力信息系統(tǒng)風險評估的一般流程。
(1) 前期準備階段。本階段為風險評估實施之前的必需準備工作,包括對風險評估進行規(guī)劃、確定評估團隊組成、明確風險評估范圍、準備調查資料等。
(2) 現(xiàn)場調查階段:實施人員對評估信息系統(tǒng)進行詳細調查,收集數據信息,包括信息系統(tǒng)資產組成、系統(tǒng)資產脆弱點、組織管理脆弱點、威脅因素等。
(3) 風險分析階段:根據現(xiàn)場調查階段獲得的相關數據,選擇適當的分析方法對目標信息系統(tǒng)的風險狀況進行綜合分析。
(4) 策略制定階段:根據風險分析結果,結合目標信息系統(tǒng)的安全需求制定相應的安全策略,包括安全管理策略、安全運行策略和安全體系規(guī)劃。
5 數據采集
在風險評估實踐中經常使用的數據采集方式主要有三類。
(1) 調查表格。根據一定的采集目的而專門設計的表格,根據調查內容、調查對象、調查方式、工作計劃的安排而設計。常用的調查表有資產調查表、安全威脅調查表、安全需求調查表、安全策略調查表等。
(2) 技術分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過技術分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認已有安全技術措施是否發(fā)揮作用。
(3) 信息系統(tǒng)資料。風險評估還需要通過查閱、分析、整理信息系統(tǒng)相關資料來收集相關資料。如:系統(tǒng)規(guī)劃資料、建設資料、運行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風險評估的關鍵在于根據所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風險的結論,因此,分析方法的正確選擇是風險評估的核心。
結合內蒙電力信息系統(tǒng)風險評估工作的實踐,我們認為電力行業(yè)信息安全風險分析的方法可以分為三類。
定量分析方法是指運用數量指標來對風險進行評估,在風險評估與成本效益分析期間收集的各個組成部分計算客觀風險值,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。
定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊案例等非量化資料對系統(tǒng)風險狀況做出判斷的過程。在實踐中,可以通過調查表和合作討論會的形式進行風險分析,分析活動會涉及來自信息系統(tǒng)運行和使用相關的各個部門的人員。
綜合分析方法中的安全風險管理的定性方法和定量方法都具有各自的優(yōu)點與缺點。在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優(yōu)點與缺點。
b) 質量保證
鑒于風險評估項目具有一定的復雜性和主觀性,只有進行完善的質量控制和嚴格的流程管理,才能保證風險評估項目的最終質量。風險評估項目的質量保障主要體現(xiàn)在實施流程的透明性以及對整體項目的可控性,質量保障活動需要在評估項目實施中提供足夠的可見性,確保項目實施按照規(guī)定的標準流程進行。在內蒙古電力風險評估的實踐中,設立質量監(jiān)督員(或聘請獨立的項目監(jiān)理擔任)是一個有效的方法。質量監(jiān)督員依照相應各階段的實施標準,通過記錄審核、流程監(jiān)理、組織評審、異常報告等方式對項目的進度、質量進行控制。
6 內蒙古電力信息安全風險評估的啟示
為了更好地開展風險評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風險評估制度
信息安全風險管理是發(fā)達國家信息安全保障工作的通行做法。按照風險管理制度,適時開展風險評估工作,或建立風險評估的長效機制,將風險評估工作與信息系統(tǒng)的生命周期和安全建設聯(lián)系起來,讓風險評估成為信息安全保障工作運行機制的基石。
6.2 編制電力信息系統(tǒng)風險評估實施細則
由于所有的信息安全風險評估標準給出的都是指導性文件,并沒有給出具體實施過程、風險要素識別方法、風險分析方法、風險計算方法、風險定級方法等,因此建議在國標《信息安全風險評估指南》的框架下,編制適合電力公司業(yè)務特色的實施細則,根據選用的或自定義的風險計算方法,,制各種模板,以在電力信息系統(tǒng)實現(xiàn)評估過程和方法的統(tǒng)一。
6.3 加強風險評估基礎設施建設,統(tǒng)一選配風險評估工具
風險評估工具是保障風險評估結果可信度的重要因素。應根據選用的評估標準和評估方法,選擇配套的專業(yè)風險評估工具,向分支機構配發(fā)或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統(tǒng)。
6.4 統(tǒng)一組織實施核心業(yè)務系統(tǒng)的評估
由于評估過程本身的風險性,對于重要的實時性強、社會影響大的核心業(yè)務系統(tǒng)的評估,由電力公司統(tǒng)一制定評估方案、組織實施、指導加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結合
自評估和檢查評估各有優(yōu)缺點,要發(fā)揮各自優(yōu)勢,配合實施,使評估的過程、方法和風險控制措施更科學合理。自評估時,通過對實施過程、風險要素識別、風險分析、風險計算方法、評估結果、風險控制措施等重要環(huán)節(jié)的科學性、合理性進行分析,得出風險判斷。
6.6 風險評估與信息系統(tǒng)等級保護應結合起來
信息系統(tǒng)等級保護若與風險評估結合起來,則可相互促進,相互依托。等級保護的級別是依據系統(tǒng)的重要程度和安全三性來定義,而風險評估中的風險等級則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合結果。通過風險評估為信息系統(tǒng)確定安全等級提供依據。確定安全等級后,根據風險評估的結果作為實施等級保護、安全等級建設的出發(fā)點和參考,檢驗網絡與信息系統(tǒng)的防護水平是否符合等級保護的要求。
參考文獻
[1] 魏曉菁, 柳英楠, 來風剛. 國家電力信息網信息安全防護體系框架與策略. 計算機安全,2004,6.
[2] 魏曉菁,柳英楠,來風剛. 國家電力信息網信息安全防護體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構建電力信息網安全防護框架. 電力信息化,2004,2(7).
[4] 梁運華,李明,談順濤. 電力企業(yè)信息網網絡安全層次式防護體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統(tǒng)計算機網絡構建方案. 電網技術,2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統(tǒng)信息安全風險評估策略研究. 計算機安全,2007,6.
[7] 阮文峰. 電力企業(yè)網絡系統(tǒng)的安全風險分析和評估. 計算機安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統(tǒng)信息安全評估. 電力系統(tǒng)自動化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統(tǒng)建模和定量安全評估. 電力系統(tǒng)自動化,2005,29(10).
篇10
信息安全不是一個孤立靜止的概念,信息安全是一個多層面的多因素的綜合的動態(tài)的過程。在HTP模型中,信息安全建設是從體系建設過程、運行及改進過程、風險評估過程再到體系建設過程的一個循環(huán)往復的過程。沒有絕對的安全,信息安全的技術是不斷的前進的。所以面向企業(yè)網絡的安全體系建設是一個需要在不斷考察企業(yè)自身發(fā)展環(huán)境和安全需求的基礎上,通過對現(xiàn)有系統(tǒng)的風險評估,不斷改進的過程。整個安全體系統(tǒng)建設,不能一勞永逸,一成不變。因此,引入安全風險評估的概念和方法相當重要,它為企業(yè)網絡的自身評估提供了良好的手段,是企業(yè)網絡安全體系不斷發(fā)展的動力。
二、風險評估的基本步驟和方法
進行風險評估,首先應按照信息系統(tǒng)業(yè)務運行流程進行資產識別,明確要保護的資產、資產的位置,并根據估價原則評價資產的重要性。在對資產進行估價時,不僅要考慮資產的市場價格,更重要的是要考慮資產對于信息系統(tǒng)業(yè)務的重要性,即根據資產損失所引發(fā)的潛在的影響來決定。為確保資產估價的一致性和準確性,信息系統(tǒng)應按照建立一個統(tǒng)一的價值尺度,以明確如何對資產進行賦值。還要注意特定信息資產的價值的時效性和動態(tài)性。
其次系統(tǒng)管理員、操作員、安全專家對信息系統(tǒng)進行全面的安全性分析。對系統(tǒng)進行安全性分析的方法包括調查研究、會議座談、理論分析、進行模擬滲透式攻擊等方法,可運用的分析技術包括貝葉斯信任網絡法、事件樹分析法、軟件故障樹分析法、危害性與可操作性分析法、Petri網法、寄生電路分析法以及系統(tǒng)影響和危險度分析法。
再次對已采取的安全控制進行確認。
最后,建立風險測量方法及風險等級評價原則,確定風險的大小與等級。按照風險評估的深度,風險評估方法可分為:①基本的風險評估方法:對組織所面臨的風險全部采用統(tǒng)一、簡單的方法進行評估分析并確定一個安全標準,這種方法僅適用于規(guī)模小、構成簡單、信息安全要求不是很高的組織;②詳細的風險評估方法:對信息系統(tǒng)中所有的部分都進行詳細的評估分析;③聯(lián)合的風險評估方法:先鑒定出一個信息系統(tǒng)中高風險、關鍵、敏感部分進行詳細的評估分析,然后對其他的部分采取基本的評估分析。
在進行風險評估時,可采用定性或定量分析方法。定性評估時并不使用具體的數據表示絕對數值,而是用語言描述表示相對程度。由此得出的評估結果只是風險的相對等級,并不代表風險的絕對大小。
定量風險分析方法要求特別關注資產的價值損失和威脅的量化數據。對于具體環(huán)境的某一個安全風險時間發(fā)生的概率是安全威脅發(fā)生概率與系統(tǒng)脆弱點被利用概率的函數,根據聯(lián)合概率分布計算公式可得出安全事件L發(fā)生概率為PL=TL×VL。其中TL是未考慮資產脆弱點因素的威脅發(fā)生的發(fā)生概率,VL是資產的脆弱點被威脅利用的概率。
目前風險評估工具存在以下幾類:①掃描工具:包括主機掃描、網絡掃描、數據庫掃描,用于分析系統(tǒng)的常見漏洞;②人侵監(jiān)測系統(tǒng)(IDS):用于收集與統(tǒng)計威脅數據;③滲透性測試工具:黑客工具,用于人工滲透,評估系統(tǒng)的深層次漏洞;④主機安全性審計工具:用于分析主機系統(tǒng)配置的安全性;⑤安全管理評價系統(tǒng):用于安全訪談,評價安全管理措施;⑥風險綜合分析系統(tǒng):在基礎數據基礎上,定量、綜合分析系統(tǒng)的風險,并且提供分類統(tǒng)計、查詢、TOPN查詢以及報表輸出功能;⑦評估支撐環(huán)境工具:評估指標庫、知識庫、漏洞庫、算法庫、模型庫。
三、面向運行的風險評估
由于還沒有一個標準的建設程序和規(guī)范,因此在國內很少有企業(yè)在風險評估的基礎上進行系統(tǒng)建設,而且很多情況下選擇將網絡一次性安裝完畢。針對這種情況,我們覺得可以考慮采用面向運行的風險評估的方法,對已經建成的、正在運行的網絡進行風險評估,查找問題,然后針對風險點,逐步加以建設完善。在此基礎上,可對網絡再進行一次風險評估。檢查信息系統(tǒng)安全績效,并為進一步提升安全性能做好準備。對于一個企業(yè)來講,網絡可以由多個功能模塊組成,包括核心網絡、服務器組、廣域網、互聯(lián)網、撥號用戶等。
1.企業(yè)網絡分析
企業(yè)園區(qū)網絡主要包括核心網絡、分布層網絡、接人層網絡、服務器網絡等幾個部分。各個部分都可能受到來自企業(yè)內部的安全威脅。(1)核心網絡,核心網絡主要實現(xiàn)核心交換功能,主要的威脅為分組竊聽。(2)分布層網絡,分布層網絡為接入設備提供路由、服務質量和訪問控制等分布層服務,完成核心網絡與接入網絡的信息交互,它是針對內部發(fā)起攻擊的第一道防御。在這個網絡中可能存在未授權訪問、IP電子欺騙、分組竊聽等威脅。(3)接人層網絡,接入層網絡是為企業(yè)內部網絡最終用戶提供服務。用戶設備是網絡中最大規(guī)模的元素,因此該部分網絡可能存在大量的來自內部網絡用戶的安全威脅。如外來筆記本等不安全機器可接入內部網,對內部網的安全造成威脅,可能造成內部數據的泄露,網絡受到惡意攻擊;企業(yè)內部網上使用的電腦擅自撥號上互聯(lián)網,造成一機多網,可能感染病毒,受到互聯(lián)網上用戶的攻擊;內部網客戶端的安全補丁和殺毒軟件病毒庫沒有及時更新,無法有效地防范病毒,因此有病毒泛濫的風險等。(4)服務器網絡,服務器網絡因為向最終用戶提供應用服務,存儲大量的企業(yè)內部數據,通常會成為內部攻擊的主要目標,因此未授權訪問、應用層攻擊、IP電子欺騙、分組竊聽、信任關系利用、端口重定向等威脅時刻存在。
2.確定已經采取的安全控制手段
對于企業(yè)園區(qū)網應當采取的安全控制手段,在這里我們不做詳細講解。我們要做的就是根據網絡安全管理的設計方案,結合上面確定的風險點,進行檢查,確定在這些風險點上已經采取的安全控制措施,并確保這些措施切實有效。比如:(1)防火墻設置是否安全;(2)防火墻是否使用NAT地址轉換;(3)是否安裝入侵監(jiān)測系統(tǒng);(4)是否使用電子郵件內容過濾;(5)是否使用RFC2827和1918過濾;(6)撥號用戶是否簽訂安全協(xié)議;(7)撥號用戶是否進行強身份認證;(8)是否對用戶線路采用撥號回送程序和控制措施;(9)是否對撥號上網用戶流經關鍵接口的網絡數據包進行監(jiān)視記錄。當然這只是需要確認內容的一小部分。在確認過程中需要做到的是耐心仔細,不放過每一個細節(jié)。同時我們應當與各個部門負責人和系統(tǒng)管理員協(xié)同工作,以便取得更大的成效。
3.確定風險的等級
我們需要使用一些掃描工具,對內部網絡進行掃描,以便建立風險等級評價原則,確定風險的大小與等級。根據掃描結果,我們可以結合已經收集到的大量網絡信息,進行認真比較和評估。最后我們可以總結出發(fā)現(xiàn)的問題,并提出化解風險的建議。
篇11
綜合分析上述方法的優(yōu)缺點之后,并結合費用風險量化分析的案例,目前開展項目風險量化評估時多采用蒙特卡洛模擬法(Monte Carlo Simulation)。蒙特卡洛模擬法全面考慮風險事件的風險因素,可以直接處理每一個風險因素的不確定性,使決策更加合理和準確,它是一種多元素變化的方法,在模擬過程中可以編制計算機軟件對模擬過程進行處理,大大節(jié)約了時間。通過Monte Carlo模擬法計算出費用的累積分布函數,最后基于費用基線,估算項目的費用風險。因此,費用風險量化評估方法采用Monte Carlo模擬法。
2 費用風險量化評估步驟
根據復雜產品研制項目的特點,其費用風險量化評估的主要步驟為圖1所示。
2.1建立項目CBS,選定費用因子
CBS是開展項目詳細費用估算和費用風險評估的基礎,只有建立了詳細的CBS,才能選定相應的費用參數確定分布函數進行隨機抽樣。
2.2 確定費用因子概率分布
費用因子的概率分布對費用風險評估非常重要。一般是適當的數學分布來描述隨機變量(費用因子)的概率分布,如果沒有可直接引用的典型理論分布,則根據歷史統(tǒng)計資料或專家意見判斷隨機變量的初始概率分布。在風險分析中常用的概率分布如表1所示。
。
2.4 頻率分布與累積分布分析
假設進行了n次模擬,費用數值的最大值為MAX_c,最小值為MIN_c,將[MIN_c,MAX_c]區(qū)間均分為m段子區(qū)間,一般分為100段即可,統(tǒng)計n個費用模擬值落在每段子區(qū)間中的個數,這就是費用的頻率分布趨勢。將頻率分布分析的結果進行概率累加,即得到費用的累積分布趨勢。
3 費用風險量化管理信息系統(tǒng)設計
為了實現(xiàn)費用風險量化評估的信息化、常態(tài)化和標準化,設計開發(fā)了復雜產品研制項目費用風險管理信息系統(tǒng)。該信息系統(tǒng)具有費用風險識別、評估、應對、監(jiān)控等功能。圖3中給出了該信息系統(tǒng)的系統(tǒng)架構圖。
該信息管理系統(tǒng)采用Microsoft .Net平臺技術開發(fā),使用Spring .Net應用程序框架和NHibernate對象/關系數據庫映射工具等進行開發(fā)。該架構基于瀏覽器/服務器(B/S,Brower/Service)模式設計,系統(tǒng)架構為五層結構,即表現(xiàn)層、應用服務層、基礎服務層、統(tǒng)一訪問控制層和數據存儲層。
根據費用風險量化評估步驟,首先是建立項目CBS,建立后的CBS如圖4所示:
其次是為建立后的CBS選擇費用因子和概率分布模型,在這里選擇三角分布模型,為費用因子填寫費用信息如圖5所示:
最后對費用風險信息進行了3000次模擬,統(tǒng)計3000個費用模擬值落在每段子區(qū)間中的個數,生成費用的概率分布趨勢。將概率分布分析的結果進行概率累加,即得到費用的累積概率趨勢。如圖6所示:
4 結論
隨著技術條件要求和產品系統(tǒng)的復雜度不斷提高,給項目研制費用帶來極大的挑戰(zhàn)。結合實際情況,通過蒙特卡羅模擬法對復雜產品研制項目費用風險進行量化評估,在費用風險量化評估步驟的基礎上,開發(fā)了費用風險量化評估信息系統(tǒng),實現(xiàn)了費用風險量化評估的信息化。
參考文獻:
[1] 王力強,王利.主觀評分法在項目風險管理中的應用[J].北方交通,2012(10):114-116.
[2] 錢昊,馬維珍.層次分析法在項目風險管理中的應用[J].蘭州交通大學學報:自然科學版,2005,24(3):53-56.
[3] 汪燦星, 王俊文.基于決策樹的工程項目風險管理方法[J].四川建筑,2008,28(4):205-206.
篇12
1對象與方法
1.1對象采用便利整群抽樣法,2015年4月—2015年8月選擇全省36家醫(yī)院護理人員進行問卷調查。被調查的護士須符合以下條件:工作滿1年及以上的臨床護士和護士長。本調查共發(fā)出問卷3605份,收回有效問卷3577份,有效回收率為99.2%。1.2研究方法1.2.1問卷的設計1.2.1.1問卷的研制查閱目前相關的文獻資料,無法獲取一個較好的成熟的關于調查臨床護士對跌倒評估管理的問卷。因此,本研究根據調查表的制定原則自行研制調查問卷,通過廣泛查閱文獻,結合調查目的及調查對象的特點,通過咨詢專家及咨詢調查對象進行條目的篩選,形成初始問卷,通過預調查,對調查問卷的適用性進行評價,并進一步修訂與改進,最終形成的問卷1.2.1.2問卷的結構與內容由4部分組成,①一般情況,包括護齡、職稱、崗位、學歷、科室、醫(yī)院級別等。②跌倒評估情況,包括對現(xiàn)有跌倒評估表的使用情況、熟悉程度等12個條目。③跌倒上報情況,包括上報形式、跌倒上報表的使用情況等4個條目。④跌倒后的管理情況,包括有無統(tǒng)一管理制度及流程、有無防跌倒專責小組、防跌倒專職小組的職責等10個條目。1.2.2調查方法本研究為橫斷面調查,采用分層整群抽樣的方法。通過護理部與各科護士長聯(lián)系,向其解釋本研究的目的、意義及統(tǒng)一問卷填寫方式等,以取得支持和合作。以臨床科室為單位,專人發(fā)放問卷,統(tǒng)一指導語,以訪談和問卷相結合的方法進行調查,問卷不記姓名,當場填寫并收回。1.2.3統(tǒng)計學方法采用Excel2007雙重錄入,采用SPSS17.0統(tǒng)計軟件進行統(tǒng)計學處理。計量資料用均數±標準差(x±s)表示,采用t檢驗進行統(tǒng)計學檢驗,計數資料采用χ2檢驗,以P<0.05為差異有統(tǒng)計學意義。
2結果
2.1一般基本情況2.1.1醫(yī)院基本情況所調查醫(yī)院級別為三級醫(yī)院14家共320個病區(qū),二級醫(yī)院共22家175個病區(qū),病區(qū)床位數為8張~110張(47.1張±15.1張),內科、外科、婦產科、兒科、老年科及其他科室分別占44.6%、38.4%、9.1%、3.8%、0.8%、3.2%。2.1.2調查對象基本情況共調查臨床護理人員3577名,詳見表1。2.2跌倒評估情況36家醫(yī)院中,21家是使用MORSE跌倒評估量表,15家使用自制跌倒風險評估量表,21.8%護理人員認為目前使用的《跌倒風險評估表》對住院病人風險評估不敏感,30.0%護理人員認為目前使用的《跌倒風險評估表》對防跌倒實踐的指導意義較低,35.6%護理人員認為目前使用的《跌倒風險評估表》不全面,護士認為風險評估表中需增加的內容排前列為:照顧者認知態(tài)度(41.6%)、個人行為習慣(29.3%),77.1%的護理人員認為需對目前使用的《跌到風險評估表》進行再培訓,不同護齡及不同學歷的護士對評估表使用的熟悉程度無統(tǒng)計學差異(P>0.05)。2.3跌倒不良事件上報情況84.15%護理人員認為目前使用的跌倒事件上報表能較好地收集到病人的跌倒相關因素,26.02%護理人員認為跌倒事件上報表需增加家人/照顧者對預防跌倒的認識和態(tài)度,20.2%護理人員認為需增加個人行為習慣,19.6%護理人員認為需增加病人的身體狀態(tài),19.1%護理人員認為需增加環(huán)境等相關因素,14.3%護理人員認為需增加藥物因素。59.4%護理人員認為上報表需花費較多的時間,47.9%醫(yī)院使用書面上報,31.88%醫(yī)院使用電話上報,19.7%醫(yī)院使用網絡直報。36家醫(yī)院中,2家設計并使用《跌倒事件專用報表》,34家使用《不良事件通用報表》,其中12家醫(yī)院提供近3年跌倒不良事件發(fā)生例數,共計325例,平均每年每家醫(yī)院發(fā)生9例。2.4跌倒后的管理情況97.2%醫(yī)院有統(tǒng)一的跌倒后管理制度與處理流程。83.3%醫(yī)院有成立防跌倒專責小組,其中76.7%的專責小組職責范圍覆蓋全院,在跌倒事件發(fā)生后,75.4%醫(yī)院專責小組會到現(xiàn)場訪視,83.1%的護理人員認為專責小組會提出針對性指導和整改建議,90.4%護理人員認為跌倒事件后需要專責人員到現(xiàn)場進行訪視和指導。92.6%醫(yī)院會對跌倒事件進行案例分享,其中76.5%的分享范圍為全院性,18.81%是在科內分享,4.7%是在病區(qū)分享,97.2%護理人員認為需要進行跌倒事件分享,其中83.1%認為應在全院進行分享,13.5%認為應在科內分享,3.3%認為應在病區(qū)分享。
3討論
3.1進一步研制符合臨床需求的《跌倒危險因素評估量表》調查發(fā)現(xiàn),58.3%的醫(yī)院使用MORSE跌倒風險評估表,41.7%醫(yī)院使用自制跌倒風險評估量表,35.6%護理人員認為目前使用的評估量表不夠全面,與Oliver等[3]研究結果相符,其指出目前所使用的量表均存在不同程度的不足。目前國內外學者已研制出許多預測跌倒風險的評估量表,但是各類量表實際應用的特異度和靈敏度相差甚遠,且由于人群的人種、教育、素質等不同,評估量表的預測結果也會不同。目前使用常用的跌倒風險評估量表有Morse跌倒量表、Hendrichll跌倒風險評估模型、老年人跌倒風險評估量表、跌倒危險評估表(FallsRiskAssessmentTool,F(xiàn)RAT)、斯巴達跌倒風險評估工具、托馬斯跌倒風險評估工具(StThomas’sRiskAssessmentTool,STRATIFY)、跌倒風險指數(theFallRiskIndex,F(xiàn)RI)等7種[4],主要是從平衡能力、用藥、跌倒史、尿便失禁等方面對病人進行評估。在調查中發(fā)現(xiàn)41.6%護士認為風險評估表中需增加照顧者認知態(tài)度,上述的七種量表中均未包含此項內容,同時我們對這七個量表的條目進行分析發(fā)現(xiàn):步態(tài)和平衡能力是最公認的跌倒高危因素,這七個量表對步態(tài)和平衡的評估都是靠主觀意識判斷,未能準確地反映病人的實際情況,建議在評估表中增加反映步態(tài)和平衡能力的客觀指標,如“起立-步行測試”“五次坐立試驗”等,增加跌倒風險評估的準確性和預防措施的針對性[5]。
篇13
過去,人們往往依靠經驗和直觀推斷來做出決策。隨著計算機容量不斷擴大和模塊技術的發(fā)展,風險評估(riskassessment)和風險管理(riskmanagement)技術作為復雜或重大事項決策的必要輔助手段,在過去的二、三十年間,在決策分析、管理科學、運營研究和系統(tǒng)安全等領域得到了廣泛的認知和應用。
通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發(fā)生的機會,它通過后果和可能性這兩個方面來具體體現(xiàn)。風險概念中包括三個因素:對可能發(fā)生的事件的認知;該事件發(fā)生的可能性;發(fā)生的后果[2]。因而,火災風險(firerisk)包含火災危險性(發(fā)生火災的可能性)和火災危害性(一旦發(fā)生火災可能造成的后果)雙重含義。
現(xiàn)在,在文獻中可以看到的與“火災風險評估”相關的術語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災風險評估都是指:在火災風險分析的基礎上對火災風險進行估算,通過對所選擇的風險抵御措施進行評估,把所收集和估算的數據轉化為準確的結論的過程。火災風險評估與火災模擬、火災風險管理和消防工程之間有密切關系,為其提供定性和定量的分析方法,簡單地如消防安全設施檢查表,復雜的就會涉及到概率分析,在應用方面針對的風險目標的性質和分析人員的經驗有各種變化。較多的人傾向于從工程角度來定義火災危害性(firehazard)和火災風險(firerisk)。火災危害性指:凡是根據已有的資料認為能引起火災或爆炸,或是能為火災的強度增大或蔓延持續(xù)提供燃料,即對人員或財產安全造成威脅的任何情況、工藝過程、材料或形勢。火災危害性分析在不同的情況下有不同的針對性,目的是確定在一定的條件下有可能發(fā)生的可預見性后果。這種設定的條件稱為火災場景,包括建筑物中房間的布局、建材、裝修材料及家具、居住者的特征等與相關后果有關的各種具體信息。目前在確定后果方面的趨勢是盡可能地利用各種火災模式,輔以專家判斷。此時,危害性分析可以看作是風險評估的一個構成元素,即風險評估是對危害發(fā)生的可能性進行權衡的一系列危害性分析。
從系統(tǒng)分析的角度來看,風險具有系統(tǒng)特性和動態(tài)特性。風險實際上并非某一單一實體或事物的固有特性,而是屬于一個系統(tǒng)的特性。若系統(tǒng)發(fā)生變化,很容易就會使事先對風險所做的估算隨之發(fā)生變化。火災風險評估模式包括:系統(tǒng)認定,即明確所要評估的具體系統(tǒng)并定義出風險抵御措施的過程;風險估算,即設定關于火災的發(fā)生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統(tǒng)中的指標的過程;風險評估,對該標準或尺度進行分析和估算,確定某一特定風險值的重要性或某一特定風險發(fā)生變化的權重。
二、城市區(qū)域火災風險評估的意義及發(fā)展概況
在消防方面,隨著人們安全意識的提高和建筑設計性能化的發(fā)展,對建筑工程的安全評估日益受到重視,比如美國消防協(xié)會制定的“NFPA101生命安全法規(guī)”是一部關注火災中的人員安全的消防法規(guī),與之同源的“NFPA101A確保生命安全的選擇性方法指南”,分別針對醫(yī)護場所、監(jiān)禁場所、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面。
目前,我國在火災風險評價方面的研究,大部分是以某一企業(yè),或某一特定建筑物為對象的小系統(tǒng)。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業(yè)消防安全評價方法及軟件開發(fā)研究”,以“石油化工企業(yè)防火設計規(guī)范”等消防規(guī)范和德爾菲專家調查法為基礎,設計了石化企業(yè)消防安全評價的指標體系,利用層次分析法和道化指數法確定了各指標的權重,采用線性加權模型得出煉油廠的消防安全評價結果。以某一特定建筑物為對象的火災風險評價也比較多,如中國礦業(yè)大學周心權教授,在分析建筑火災發(fā)生原因的基礎上,建立了建筑火災風險評估因素集,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價。與上述的安全評估不同,城市區(qū)域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量,指導城市消防系統(tǒng)改造,指導城市消防規(guī)劃。對已建成的城市區(qū)域的火災風險評估必須考慮許多因素,即城市火災危險性評價指標體系,包括區(qū)域內所存在的對生命安全造成危險的情況、火災頻率、氣候條件、人口統(tǒng)計等因素,進而評價社區(qū)的消防部署和消防能力等抵御風險的因素。除此之外,在評估過程中另一個重要的情況是要關注社區(qū)從財政及其他方面為消防規(guī)劃中所要求的總體消防水平提供支持的能力和意愿。隨著城市規(guī)模擴大、綜合功能增強,在居住區(qū)商貿中心、醫(yī)院、學校、和護理場所增多,評估方法還會相應的改變。現(xiàn)有的城市區(qū)域火災風險評估方法主要出于以下兩個目的:
(一)用于保險目的
在火災保險方面的應用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災分級法,在美國已經被視為指導社區(qū)政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區(qū)消防狀況分為10個等級,10級最差,1級最好。ISO是按照一套統(tǒng)一的指標來對每個社區(qū)的客觀存在的滅火能力進行評估,確定該社區(qū)的公共消防級別,這套指標來自于由美國消防協(xié)會和美國自來水公司協(xié)會所制定的各種國家規(guī)范。ISO對城市消防的分級方法主要體現(xiàn)在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑結構、用途、防火間距與公共消防情況(用公共消防分級數目表達)相關聯(lián),再以統(tǒng)計數據加以調節(jié)后,來確定相應的火險費用。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統(tǒng)雖然無法反映出消防組織的其他應急救援能力,但實際上也常用于各個區(qū)域的公共滅火力量的確定。市政消防分級表從1974年開始使用,主要考察某城市區(qū)域的7個指標情況:供水、消防隊、火災報警、建筑法規(guī)、電氣法規(guī)、消防法規(guī)、氣候條件。隨著技術進步,該表也不斷改進。1980年版抽取了CFRS中對公共消防分級的方法,給出了修訂后的滅火力量等級表,指標只包括前3項。被刪除的指標或者確少區(qū)分度,或者在全市范圍內進行評估時太過于主觀,而且74表格中包含許多評估標準是具體的規(guī)定,如果某一社區(qū)的情況沒有滿足這些規(guī)定,則歸屬為差額分,規(guī)定降低了表格可使用的彈性范圍,無法正確評估情況和技術的變化。故而ISO分級表被視為越來越“性能化”。
(二)用于消防力量的部署
當今的消防組織和地方政府要擔負日益加重的安全責任,面對來自公眾的對抵御各種風險的更多的期望,以及調整消防機構人員、設備及其他預算方面的壓力,迫切需要確認某一給定轄區(qū)內的具體風險和危險的等級。具體地說,城市區(qū)域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡。
關于火災風險對于滅火救援力量的影響,美國消防界對此的關注可以說幾經反復,其間美國消防學院、NFPA等都做了許多工作。直至20世紀90年代,國際消防局長協(xié)會成立了由150名專業(yè)人士組成的國際消防組織資質認定委員會(theCommissionofFireAccreditationInternational,CFAI),經過9年的廣泛工作,制定了“消防應急救援自我評估方法”,和制定標準的社區(qū)消防安全系統(tǒng)。另外,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準,分別幫助職業(yè)消防隊和志愿消防隊和改進為社區(qū)提供的消防救援的水平。根據NFPA最近的調查,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用,也推廣到加拿大有些地區(qū)。
英國對消防救援力量的部署標準是依據內政部批準的“風險指標”,把消防隊的轄區(qū)劃分為“A”、“B”、“C”、“D”四類區(qū)域,名為“風險分級”系統(tǒng)。其目的是對消防隊的轄區(qū)進行風險評估,確定轄區(qū)內的各種風險區(qū)域,進而確定該風險區(qū)域發(fā)生火災后應出動的消防車數量和消防響應時間。1995年,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況、社區(qū)的人口統(tǒng)計情況和社會經濟因素,也沒有把建筑物內的消防安全設施納入考核范圍。故而由審計委員會報告聯(lián)合工作組與內政部的消防研究發(fā)展辦公室一起,設立了一個研究項目。該項目的目的是開發(fā)一套供消防機構劃分區(qū)域的風險等級,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規(guī)劃并能解決上述問題的風險評估方法,再對開發(fā)出的方法進行測試。最后Entec公司開發(fā)出了計算軟件,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版。
三、國內外近期的城市區(qū)域火災風險評估方法
(一)國內的城市區(qū)域火災風險評估方法
張一先等采用指數法對蘇州古城區(qū)的火災危險性進行分級,該方法的指標體系考慮了數量危險性,著火危險性,人員財產損失嚴重度,消防能力這四個因素。1995年李杰等在建立火災平均發(fā)生率與城市人口密度﹑城區(qū)面積﹑建筑面積間的統(tǒng)計關系基礎上,選取建筑面積為主導參量,建立了以建筑面積為單一因子的城市火災危險評價公式[12]。李華軍[16]等在1995年提出了城市火災危險性評價指標體系,該體系中城市火災危險性評價由危害度﹑危險度和安全度三個指標組成,用以評價現(xiàn)實的風險,不能用來指導城市消防規(guī)劃。
(二)美國的“風險、危害和經濟價值評估”方法
美國國家消防局與CFAI于1999年一起,在“消防局自我評估”及“消防安全標準”的工作的基礎上,更突出強調了“火災科學”的“科學性”,開發(fā)出名為“風險、危害和經濟價值評估(Risk,HazardandValueEvaluation)”的方法。美國消防局于2001年11月19日了該方案,這是一個計算機軟件系統(tǒng),包含了多種表格、公式、數據庫、數據分析方法,主要用于采集相關的信息和數據,以確定和評估轄區(qū)內火災及相關風險情況,供地方公共安全政策決策者使用,有助于消防機構和轄區(qū)決策者針對其消防及應急救援部門的需求做出客觀的、可量化的決策,更加充分地體現(xiàn)了把消防力量布署與社區(qū)火災風險相結合的原則。該方法的要點集中于兩個方面:1、各種建筑場所火災隱患評估。其目的是收集各種數據元素,這些數據能夠通過高度認可的量度方法,以便提供客觀的、定量的決策指導。其中的分值分配系統(tǒng)共包括6類數據元素:建筑設施、建筑物、生命安全、供水需求、經濟價值。2、社區(qū)人口統(tǒng)計信息。用于收集轄區(qū)年度收集的相關數據元素。包括居住人口、年均火災損失總值、每1000人口中的消防員數目等數據元素。
該方法已在一些消防局的救援響應規(guī)劃中得到應用。以蘇福爾斯消防局為例,它利用該方法把其社區(qū)風險定義為高中低三類區(qū)域,進而再考察這些區(qū)域的火災風險可能性和后果:高風險區(qū)域包括風險可能性和后果都很大的以及可能性低、后果大的區(qū)域,主要指人員密集的場所和經濟利益較大的場所;中等風險區(qū)域是風險可能性大,后果小的區(qū)域,如居住區(qū);低風險區(qū)域是風險可能性和后果都較低的區(qū)域,如綠地、水域等,然后再把這些在消防救援響應規(guī)劃中體現(xiàn)出來。
(三)英國的“風險評估”方法
英國Entec公司研發(fā)“消防風險評估工具箱”,解決了兩個問題:一是評估方法的現(xiàn)實性,是否在一定的時限內能達到最初設定的目標。經過對環(huán)境、管理、海事安全等部門所使用的各種風險評估方法的進行廣泛考察之后,研究人員認為如果對這些方法加以適當轉換,就可以通過不同的方法對消防隊應該接警響應的不同緊急情況進行評估。二是建立了表達社會對生命安全風險可接受程度的指標。
Entec的方法分為三個階段。首先應該在全國范圍內,對消防隊應該接警響應的各類事故和各類建筑設施進行風險評估,這樣得到一組關于滅火力量部署和消防安全設施規(guī)劃的國家指南。對于各類事故和建筑設施而言,由于所采用的分析方法、數據各不相同,所以對于國家水平上的風險評估設定了一個包括四個階段的通用的程序:對生命和/或財產的風險水平進行估算;把風險水平與可接受指標進行對比;確定降低風險的方法,包括相應的預防和滅火力量的部署;對不同層次的滅火和預防工作的作用進行估算,確定能合理、可行地降低風險的最經濟有效的方法。
國家指南確定后,才能提供一套評估工具,各地消防主管部門可以利用這些工具在國家規(guī)劃要求范圍內,對當地的火災風險進行評估,并對滅火力量進行相應的部署。該項目要求針對以下四類事故制定風險評估工具:住宅火災;商場、工廠、多用途建筑和民用塔樓這樣人員比較密集的建筑的火災;道路交通事故一類危及生命安全、需要特種救援的事故;船舶失事、飛機墜落這樣的重特大事故。
第三個階段是對使用上述評估工具的區(qū)域進行考查,估算其風險水平,與國家風險規(guī)劃指南對比,并推薦應具備的消防力量和消防安全設施水平。
參考文獻:
1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.
TennesseeValleyPublishing,2002.
&n2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999
3、ISO8421-1:1987(E/F)
4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.
5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.
6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.
7、趙敏學,吳立志,商靠定,劉義祥,韓冬.石化企業(yè)的消防安全評價,安全與環(huán)境學報,第3期,2003年
8、李志憲,楊漫紅,周心權.建筑火災風險評價技術初探[J].中國安全科學學報.2002年第12卷第2期:30~34.
9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.
10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.
11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.
12、李杰等.城市火災危險性分析[J].自然災害學報95年第二期:99~103.
13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.
