引论:我们为您整理了13篇安全风险评估措施范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
1 选题的背景
在企业中,中国因机械伤害占工矿商贸企业中49.3%,约占全国死亡总数的比例6.4%。根据推测计算出中国因机械伤害导致的死亡人数为0.63万人。根据相关研究报告采用1:23:350[1]的死亡、重伤、轻伤比例,以0.63万人为基础,推测出我国因机械伤害导致的重伤、轻伤人数为14.49万人、200.5万人[2]。如此多的伤亡事故的发生,就可能毁了许多人、许多家庭的幸福,甚至关系到全社会的命脉。
机械安全问题需得到重视,为实现机械安全操作,世界各国都在出相关的机械安全标准化来规范。近年来,世界各国的机械安全标准纷纷向国际标准(或欧洲标准)靠拢,以实现国际间机械安全标准化的一致性。
对于轮胎行业来说,因机械的运转,每年都会出很多事故,多是肢体伤残,甚至死亡事故。事故发生后,严重影响了设备的生产效率,要停台整顿。据日本劳动科学研究的调查,在工程机械安全事故中,有97%的事故发生率是可以采取预防措施加以防范的。安全能出效益,这也是安全风险评估的价值所在。
本文将以杭州朝阳轮胎股份有限公司成型工序的三鼓成型机为背景,浅述对其进行整体的安全进行风险评估,并提出降低风险的措施,使成型机风险水平控制在规定水平之内,以实现安全标准化生产,提高设备的本质安全。
2 三鼓成型机安全风险评估
2.1 风险分析的步骤
2.1.1 机器的限制
第一步是定义机器的限制,包括空间限制、时间限制和使用限制。该过程包括收集和分析有关机器零件、机构和功能的信息。
2.1.2 危险识别
第二步是危险识别,应针对机器全寿命周期的各个阶段以及机器在各种工作模式下的各种相关任务,识别出所有可合理预见的危险。
根据现场调研三鼓成型机的各工位,拍出照片,根据预评估,该机器存在的主要危险源及存在风险为:
胎体贴合鼓
卸胎区域
带束层鼓及成型鼓
PA/BP输送带
胎体传递环后部区域
带束层供料架及导开/卷取工位
供料模板的气缸上/下工作
胎胚定型滚压、反包阶段
后压小车装置等。
2.1.3风险评量的方法
评价方法是基于Pilz的标准和经验,因素的评价,造成伤害的程度(DPH),危险的发生概率(PO),躲避危险的概率和频率(PA)或者暴露在危险中的持续时间(FE)等体现在每个危险相关的风险。危险等级(PHR)由以下公式来计算:
PHR=PO×PA×DPH×FE
3 三鼓成型机的降低风险的措施
根据基本标准EN ISO 12100和EN ISO 14121,EN ISO 13849:2008(机器安全-控制系统部件的安全),通过安装电子的和机械非电子解决方案来降低风险,保护操作人员免受风险的威胁。以下从风险评估的流程、风险等级的确定、降低风险的优先顺序三个方面来阐述降低风险的措施与方法。
3.1 风险等级的确定
如图1。
3.2 降低风险的顺序
⑴ 本质安全设计
操作人员和危险源不在同一区域内的设计。
减少要去掉锐利的边、角、突起物;减小驱动力、减缓转速,防止手指等进入,尽可能缩小开口/可动范围。
(2)安全防护对策
通过空间与时间上进行分离,加装隔离防护等。
(3)通过补充措施降低风险
通过加装电气安全装置,如紧急停止装置,安全光栅、安全地毯、安全门、安全扫描仪、安全边缘开关、拉绳开关等。
(4)通过信息降低风险
通过加装光、声警示与标签提示,来降低风险。
3.3 三鼓成型机降低风险措施
通过安装电子的和机械非电子解决方案来降低风险,保护操作人员免受风险的威胁,将成型机风险水平控制在规定水平之内。
4 结语
该文依据国际机械安全标准,通过对三鼓成型机实施安全风险评估,可帮助轮胎企业与成型机制造企业对成型机全面识别风险,有利于将成型机风险水平控制在规定水平之内,并对风险做出正确、合理的决策。通过图文并茂等形式,给了对成型机风险评估,危险识别,并采相应措施起到一定的参考作用。通过对设备进行安全风险评估,能有效消除机械设备不安全状态,我们就能有效地预防机械伤害事故的发生。
篇2
2.1支护结构设计参数不准确
当前在深基坑支护方面采用的计算公式,大多以库朗和朗肯公式为主,这种计算公式具有很强的适用性,在深基坑支护施工方面发挥出了重要的现实影响。但相应的,这种计算公式也存在着自身的弊端,仅对简单结构和深度不足的工程基坑有效,而对于那些条件相对复杂的深基坑而言则很难进行有效地计算。在这样的环境下,如果采用这两种计算公式进行高复杂性的计算将很有可能造成内摩擦角度过大,黏聚力改变的实际问题,对于基坑工程的施工来说,将会产生很多不安全的隐患,对其他的岩土施工而言,也会造成相应的不良影响。
2.2空间效应不完善
大量的实践经验证明,深基坑坑内位移存在着“两边小,中间大”的特点,这使得长边的深基坑边坡很容易失稳,进而造成空间问题的出现。为了能够切实避免这种问题所带来的不良影响,保证深基坑施工的应有质量和成效,我们应当严格遵循平面设计应变方案,根据实际情况对支护结构进行相应的调节和改善,进而使开挖的空间能够达到相应标准。
2.3深基坑取样不完整
与此同时,针对于深基坑取样不完整的问题来说,我们应当在深基坑区域内部开挖的时候,全面考虑国家开挖指标等相关要素,进行钻探取样,进而最大限度上减少勘察工作量,减少不必要的成本费用。
2.4施工管理问题
对于基坑的安全风险评价管理来说,由于施工管理阶段涉及到的方面比较广泛,因此在施工管理中将会面临更多的安全问题,对于基坑工程的整体风险管理来说具有重要的现实意义。但是从当前的施工管理阶段上来看,在施工管理中存在很多问题和不足,严重影响到了工程的安全评估。部分企业为了能够在短时间内完成工程任务,大多会抓紧完成预定的任务,将工程的施工重点投放在经济效益上而非工程的质量上,对于我国工程建设造成了重要的不良影响。这种不科学的施工管理理念也成为了影响到基坑工程建设水平提升的重要掣肘。而很多工程中对于应当进行重点安全防范的内容缺少足够的资源投入力度也在一定程度上影响到了工程建设的安全系数。
3.基坑工程施工安全风险的预防措施
3.1提高深基坑支护的技术
为了切实提升我国基坑工程的建设质量和水平,推动我国建筑行业的不断进步,减少基坑工程建设过程中的不安全因素,我们就要从多方面共同做起。经过近些年的发展,我国在基坑项目的设计结构和框架都有了很大的技术提升,国外已经有了统一的深基坑支护的技术方案,这不仅可以提高基坑工程的施工安全质量,更能够通过相应的形式来达到简化施工难度的目的,促进工程的正常施工。从技术上的角度上来看,我国也积极吸收和借鉴国外先进技术和经验,为我国整体基坑工程的进步和发展做出了重要的贡献,施工安全问题的控制能力也得到了很大的提高。
3.2提高变形观测的技术
随着我国建设行业的不断发展,基坑工程的作用也将会得到相应凸显,为了切实应用好基坑工程在工程建设中的作用,我们就要重视起深基坑支护工作中的观测技术。从当前的发展情况上来看,应用较为广泛的观测技术主要有周边建筑变形观测法,地下管线变形观测法和边坡变形观测法。但是在技术的具体应用和选择上我们还要更多的考虑到工程的实际建设情况与环境,选择最为有效地技术手段。为了更加准确的确定所获得数据,施工的观测人员要严格的使用规定的软件和硬件,对环境进行测量,一旦出现问题应当予以及时分析和解决,制定切实可行的解决方案,在保证安全施工的基础上促进工程进度的按时进行。
篇3
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析,及时发现并指出存在的安全漏洞,以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位,其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测,找出可能被黑客利用的安全隐患,并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议,以便及早采取措施,保护系统信息资源。
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
2 风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求,因此在风险评估的准备阶段,应该完成以下工作。
1) 确定风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
2) 确定风险评估的范围
机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统,可能是单独的信息系统,可能是机构的关键业务流程,也可能是客户的知识产权。
3) 建立适当的组织结构
在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4) 建立系统型的风险评估方法
风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定,使之能够与机构的环境和安全要求相适应。
5) 获得最高管理者对风险评估策划的批准
上述所有内容应得到机构的最高管理者的批准,并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员,需要多方面的协调,必要的、充分的准备是风险评估成功的关键。因此,评估前期准备工作中还应签订合同和机密协议以及选择评估模式。
3 信息资产识别
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。
4 威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
5 脆弱性识别
脆弱性评估也称为弱点评估,是风险评估中的重要内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
6 已有安全措施的确认
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。
7 风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
8 风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。
由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。
参考文献:
篇4
电力系统越来越依赖电力信息网络来保障其安全、可靠、高效的运行,该数据信息网络出现的任何信息安全方面的问题都可能波及电力系统的安全、稳定、经济运行,因此电力信息网络的安全保障工作刻不容缓[1,2]。风险评估具体的评估方法从早期简单的纯技术操作,逐渐过渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相关标准的方法,充分体现以资产为出发点,以威胁为触发,以技术、管理、运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型[3]。
二、信息安全风险评估
在我国,风险评估工作已经完成了调查研究阶段、标准草案编制阶段和全国试点工作阶段,国信办制定的标准草案《信息安全风险评估指南》[4](简称《指南》)得到了较好地实践。本文设计的工具是基于《指南》的,涉及内容包括:
(一)风险要素关系。围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与基本要素相关的各类属性。
(二)风险分析原理。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
(三)风险评估流程。包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险消减[5]。
三、电力信息网风险评估辅助系统设计与实现
本文设计的信息安全风险评估辅助系统是基于《指南》的标准,设计阶段参考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等风险评估工具。系统采用C/S结构,是一个多专家共同评估的风险评估工具。分为知识库管理端、信息库管理端、系统评估端、评估管理端。其中前两个工具用于更新知识库和信息库。后两个工具是风险评估的主体。下面对系统各部分的功能模块进行详细介绍:
(一)评估管理端。评估管理端控制风险评估的进度,综合管理系统评估端的评估结果。具体表现在:开启评估任务;分配风险评估专家;对准备阶段、资产识别阶段、威胁识别阶段、脆弱性识别阶段、已有控制措施识别阶段、风险分析阶段、选择控制措施阶段这七个阶段多个专家的评估进行确认,对多个专家的评估数据进行综合,得到综合评估结果。
(二)系统评估端。系统评估端由多个专家操作,同时开展评估。系统评估端要经历如下阶段:a.准备阶段:评估系统中CIA的相对重要性;b.资产识别阶段;c.威胁识别阶段;d.脆弱性识别阶段;e.已有控制措施识别阶段;f.风险分析阶段;g.控制措施选择阶段。在完成了风险评估的所有阶段之后,和评估管理端一样,可以浏览、导出、打印评估的结果—风险评估报表系列。
(三)信息库管理端。信息库管理端由资产管理,威胁管理,脆弱点管理,控制措施管理四部分组成。具体功能是:对资产大类、小类进行管理;对威胁列表进行管理;对脆弱点大类、列表进行管理;对控制措施列表进行管理。
(四)知识库管理端。知识库的管理分为系统CIA问卷管理,脆弱点问卷管理,威胁问卷管理,资产属性问卷管理,控制措施问卷管理,控制措施损益问卷管理六部分。
四、总结
信息安全风险评估是一个新兴的领域,本文在介绍了信息安全风险评估研究意义的基础之上,详细阐述了信息安全风险评估辅助工具的结构设计和系统主要部分的功能描述。测试结果表明系统能对已有的控制措施进行识别,分析出已有控制措施的实施效果,为风险处理计划提供依据。
参考文献:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
篇5
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
篇6
雷电灾害是“联合国国际减灾十年”公布最严重十种自然灾害之一,我国每年因雷电灾害造成的经济损失高达50―100亿人民币,并有逐年递增的趋势,防雷减灾工作越来越受到各级政府和全社会的高度关注。雷击风险评估就是为安全、合理、经济的选择雷电防护措施提供依据,是科学防雷和全面防雷的重要工作,目前我国已有了一套雷击风险评估体系,我所正是在多年从事雷击风险评估工作经验的基础上,按照安全可靠、技术先进、经济合理的原则总结出此方法。
1风险评估概述
风险评估就是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当量度风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程都可以被量化了。简单地说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
2雷击风险评估的理论基础
2.1雷击风险评估的基准法(IT Baseline)
适用范围:使用广泛的基准法(IT Baseline)。对保密性、完整性及可用性为一般要求。在基础设施、组织、人员、技术及权宜安排方面可采取标准安全措施。包括建筑物的深度鉴定和估价,对这些建筑物的威胁评估和设施脆弱性评估。结果用于评估风险及选择合理的安全设施。
2.2非正式的雷击风险评估方法(FRAP,OCTAVE-S)
详细雷击风险评估分析的简化方法。评估前期的预备工作,协议讨论,风险分析报告撰写,总结结论。建立基于评估的技术档案,识别技术设施脆弱性;开发安全策略和计划。
3雷击风险评估的操作和优点
3.1操作
(1)工具:雷击风险评估操作中必须的设备和设施;(2)雷击风险趋势调查分析;(3)题库:雷击风险评估中必须运用的计算公式输入;(4)涉及内容:包括项目、设施的系统设计、环境、气候条件等;(5)雷击风险概况:包括国际、国内的评估方法、标准等;(6)项目所涉及的基础设施安全;(7)应用程序安全:包括商业运作的保密措施等;(8)操作安全:包括项目进行中的雷击保护措施等;(9)人员安全:主要涉及项目在进行中和竣工的雷击防护措施。
3.2优点
本雷击风险评估的操作优点主要是具有:标准化;权威性。
4雷击风险评估实践(典型事例)
4.1操作
(1)已知项目的雷击安全调查,对现场进行取证;(2)雷击风险威胁的监控;(3)潜在的雷击风险分析。
4.2从目标看评估量度
(1)确定最基本的防雷安全基线,确保当前不存在高雷击风险;(2)为建立动态雷击安全防护和纵深防御提出思路;(3)为配置防雷安全管理和人员管理提出思路;(4)指导未来五至十年内的防雷安全发展。
5信息系统风险评估
5.1确认阶段
(1)召开项目启动会、甲方介绍信息系统业务要求;(2)雷击风险评估方法确认、评估详细的实施计划;(3)签订雷击风险评估协议;(4)绘制文档。
5.2雷击风险评估现场操作
(1)雷击风险趋势调查、投资额、业务流程;(2)事件调查访谈、监控;(3)甲方的业务要求取证;(4)现场测试数据。
5.3报告阶段
(1)雷击安全风险现状报告整理汇总;(2)雷击安全风险分析;(3)信息系统技术风险综合分析、业务风险关联分析;(4)雷击安全风险解决方案、阶段总结;(5)正式提交雷击安全风险评估报告。
雷击风险评估是个综合、复杂的工程,它以大量繁杂的数据资料为基础,既包括项目原始数据,也包括相当数量现场检测、勘察、核实的数据来编制雷击安全风险解决方案,因此,对于其中的结论、观点,欢迎各方面专家指正,并进行研究、讨论。
在此应当声明的是,考虑到经济与技术结合的最大效益,国际标准和国内标准规定了防雷项目允许落闪频率和可接受的最大危险度,以上雷击安全风险评估操作方案和典型实例就是为了避免或减少雷击所造成的损失,评估中超出规范规定值的雷击损坏是可能存在的。
参考文献
[1] IEC61024-1.建筑物防雷[S].
篇7
引言
安全风险是指与安全有关的一切不确定因素,安全是相对的,风险是绝对的。安全风险管理与常规安全管理相比,不是“反应性”管理,而是“前瞻性”管理,区别在于是“事前”还是“事后”;安全风险管理,就是实施危险源辨识(隐患排查)、风险分析(是否纳入风险管理)、风险评估(风险分级)、风险控制(降低或消除风险的对策),逐步建立基于闭环、重视过程管理的安全风险管理体系。
所有的事故发生之前都有一系列的事故链条,而且事故链上有一个事件失去控制,就有可能引发事故。如果要阻止事故的发生,就必须要制止这一连串隐患和违章中的任意一个事件,截断“事故链”。化工企业工艺流程复杂,易燃、易爆因素多,事故链条更为复杂,只有变传统的单一事后事故管理为现代的事件分析与隐患管理、事后的事故管理相结合,把人、机因素进行过程风险综合分析与控制,才能推动企业安全生产、长治久安。
1 建立安全风险管控制度
立足企业安全生产管理实际,系统收集梳理企业安全风险评估管理经验教训,修订完善企业过程风险评估管理制度,推进生产安全评估工作常态化、规范化管理。管理生产安全风险评估制度的修订要注重和安全作业管理、关键装置和重点部位管理、重大危险源管理、隐患排查治理等安全管理制度有机结合,涵盖生产装置、设备、设施、贮存、运输的风险评价与控制,既包括作业现场、生产经营活动的正常和非正常情况,也包括新改扩建项目的规划、设计和建设、投产、运行、拆除各阶段的风险评价、风险控制、风险信息更新的管理,明确了全风险评估职责分工和实施步骤,要求全员参与安全风险评估和风险控制工作。对安全风险实施分级管理,从直接作业、岗位操作到关键装置与重点部位都要进行安全风险评估。同时根据生产安全评估的内容和结果,按危险级别和可能导致事故的严重程度、解决难易度进行等级划分,进入隐患治理程序,全过程跟踪监控,实现安全评估闭环管理。
2 建立安全风险管控体系
化工企业作业现场、生产经营活动的正常和非正常情况,包括新改扩建项目的规划、设计和建设、投产、运行、拆除各阶段都要进行安全风险评价、风险控制,对各环节可能存在或产生的危险、有害因素都要进行超前辨识、分析、评估和控制。化工企业依据自身企业实际合理划分企业安全管理过程的风险管控体系,明确职责、任务。公司层面要着重从建立风险评估管理机制、工作规划入手,提供组织、制度、文化和财、物保障,做好系统评价和管理评审。业务部门要根据安全生产职责和专业分工,组织策划各自专业范围内的危险因素辨识、评价和控制策划、监督检查、效果评价工作;组织编制专业范围内各类安全风险评估表样表,做好公司重大风险分析记录的审查与控制效果验收,及时做好协调、指导和检查督导工作。车间要组织制定各工序安全风险评估管理考核实施细则,对评估出的较高风险,及时按隐患排查程序上报业务主管部门,同时制订、落实好相关防范措施。班组岗位要严格执行各种规章制度、规程措施,组织好班组重点工序和岗位扎实开展“工前安全预知”活动,以交接班程序为抓手,从“人员、工具、环境、对象、票证”等方面积极推进安全风险辨识和评估工作。
3 安全风险管控实施
3.1 把生产安全风险评估工作引入日常安全生产管理。
结合《化学品生产单位安全作业规范》、安全确认制度,把安全评估工作可率先引入动火、高处、受限空间、盲板抽堵、吊装、检修、动土、断路等安全作业和工艺交接班等一些常规安全管理环节强化风险管控。可在安全作业中明确危险辨识、措施制订、安全确认和安全验收等几个环节,强化安全作业风险评估闭环管理。在工艺交接班中,可围绕“人员、工具、环境、对象”四要素,合理设定相关细节,实施百分制打分,通过定期检查和抽查进行打分考核。对于危险化学品重大危险源管理过程的安全风险管控,可结合工艺管理过程落实相关风险管控措施,指定专人负责重大危险源的登记建档及日常管理工作,可按月或是季度进行安全评估,促进生产安全风险管控到位。
3.2 把生产安全风险评估和隐患排查治理工作有机结合。
可以按照“岗位、班组、车间、部门、公司”五级隐患排查治理体系运行模式,采取专家诊断式、专业对标式、系统解剖式与职工自主查隐患相结合的方式,使用工作危害分析的方法实施生产安全风险评估,提前辨识安全风险、实施过程控制和闭环管理。对列入隐患的项目按照隐患治理程序实施定项目、定资金、定措施、定完成时限、定责任人等要求进行跟踪监控,直到隐患彻底消除为止。
3.3 对于国家重点监控的危险化品、危险工艺和重大危险源实施危险与可操作性分析
对于国家安监总局公布的重点监控的危险工艺、危险化学品以及辨识评估为危险化学品重大危险源的系统装置,可以引入中介机构进行hazop分析或是由专家团队带领企业人员系统推进危险与可操作性分析工作。
3.4 生产安全风险管控工作开展充分利用信息化手段
建立和完善安全生产预警系统,利用集中控制、视频监控、检测报警等一系列计算机技术、网络技术、信息化技术完成生产现场安全信息的收集、反馈、动态跟踪与闭环控制,实现安全生产工作动态管理,更好地服务和支持安全生产工作。各级管理人员根据管理权限可随时查阅现场安全生产运行状况,及时采取相关应对措施,使生产安全风险管控更加便捷。
4 安全风险管控实施过程中应注意的一些问题
(1)生产安全风险管控应注意划分清楚风险辨识、分析评估的范及各级管理组织的职责。
(2)制订明确的风险评估准则、时机和频次,根据风险分析、评价。
(3)风险评估应从影响人、财产和环境等三个方面的可能性和严重程度分析。
(4)选择风险控制措施时,应考虑控制措施的可行性、可靠性、先进性、安全性和经济合理性及企业的经营运行情况;可靠的技术保证和服务。控制措施应包括工程技术措施、管理措施、教育措施、人体防护措施等。
(5)安全评估查出的安全隐患,必须跟踪进行治理,直到治理完毕后组织验收。
篇8
1.2方法
1.2.1评估内容
根据《实验室生物安全通用要求》(GB19489—2008)及其他相关法律、法规和世界卫生组织等权威机构的指南,对病原微生物危害程度分类、特性、来源、传染性、传播途径、易感性、潜伏期、剂量—效应关系、致病性、在环境中的稳定性、流行病学特征,预防措施和治疗措施,实验室设施和设备,人员、实验方法、危险材料、实验器材、废弃物处理和突发事件应急控制等要素进行风险评估。
1.2.2评估过程
微生物检测人员收集病原微生物背景资料和信息,进行风险评估,确定风险控制措施,并编制风险评估报告。中心生物安全委员会对风险评估报进行校核,并组织专家评审。
1.2.3风险评估方法
从采样到分离、检测、鉴定等整个实验过程和实验活动中每个环节可能产生的风险进行一一识别,针对存在的风险,逐项进行分析、评估,并提出相应的风险控制措施,包括必须使用国家标准、行业标准等经过确认的方法进行检测,病原微生物感染性材料操作必须在生物安全柜内进行,采样检测时必须正确穿戴个人防护用品,检测人员必须具备专业背景知识和满足生物安全培训要求,生物安全设备和检测设备的正确使用、检定、校准及维护,菌(毒)株使用、保存、销毁及运输的规范,不同废弃物具体分类处理要求等。
1.2.险评估报告模式
以病原微生物概述、病原微生物检测相关实验活动风险识别及风险评估、人员风险识别及风险评估、其他风险识别及风险评估、控制风险的措施以及评估结论为主线,编写病原微生物实验活动风险评估报告。评估结论主要明确所涉及病原微生物的危害等级、需要的实验室防护等级以及个体防护等级等,并对整个实验活动过程中的风险,如人员、设施设备、实验方法、防护措施及自然灾害等方面是否能确保实验活动正常安全地完成进行简要总结。
1.2.5专家评审
组织浙江省熟悉相关病原微生物特征、实验设施设备、操作规程及个体防护设备的不同领域专家,对风险评估报告进行评审,并不断修订完善。
2结果
2.1风险评估报告
根据收集的病原微生物相关资料和实际评估内容,编制了风疹病毒、麻疹病毒、人类免疫缺陷病毒、乙型脑炎病毒、汉坦病毒和甲、乙、丙、丁、戊型肝炎病毒、霉菌和酵母菌、梅毒螺旋体、钩端螺旋体、肠球菌、溶血性链球菌、金黄色葡萄球菌、单核细胞增生李斯特菌、霍乱弧菌、副溶血性弧菌、变形杆菌、沙门菌、志贺菌、致泻性大肠埃希菌、蜡样芽孢杆菌、军团菌、小肠结肠炎耶尔森菌、脑膜炎奈瑟菌、淋病奈瑟菌、致病性嗜水气单胞菌、空肠弯曲菌、铜绿假单胞菌、类志贺邻单胞菌共32个病原微生物实验活动风险评估报告,包括10个病毒、19个细菌、2个螺旋体和1个真菌。
2.2专家评审结果
2013年12月邀请省、市级疾控中心病毒、微生物、毒理、流行病学和实验室质量管理领域的7名资深专家对32个病原微生物风险评估报告进行评审。专家们肯定了课题组风险评估方法的先进性、评估内容的完整性、风险评估报告的规范性和评估体系的可行性,并提出4条修改意见和建议:
(1)风险评估与风险控制活动复杂程度取决于实验活动实际的危险特性,并不一定都需要复杂的风险评估和风险控制,应根据各种危险源特征和强度适宜地开展风险评估和风险控制活动;
(2)风险评估既要识别各种风险源,提出科学的防范措施,将风险控制在最低水平,也应避免过度、盲目的防护;
(3)应注意到同一种病原微生物在不同实验活动时潜在的危险性不同;
(4)危害程度分类相同的不同种病原微生物对工作人员可能产生的危害不同。课题组按照专家意见重新进行风险评估,对评估报告进行修订并邀请专家再次审核修订的评估报告,认为这32个病原微生物实验活动风险评估报告对目前生物安全实验室,特别是疾控系统的二级生物安全实验室具有普遍指导意义。
3讨论
篇9
1.2信息安全风险评估的方法
随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险评估的时间,节省了大量的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。目前,常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中,定量评估方法是根据信息系统中风险相关数据,利用具体的评估算法计算出评估结果,并对结果进行分析,它能够直观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评估方法有故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、德尔菲法(Delphi)等。在风险评估的实际过程中,采用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险评估的准确性和效率,常见的定性与定量相结合的综合评估方法有层次分析法。
1.3信息安全风险评估的模型
[4]信息安全风险评估模型是信息安全风险评估的理论基础,是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示,造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多,则信息系统面临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。
2高校信息安全面临的风险及应对策略分析
随着高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评估体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制[5]。
2.1高校信息安全面临的风险分析
高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。
2.1.1技术脆弱性/漏洞风险
高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。
2.1.2非技术性风险
高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏,系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。
2.2高校信息安全面临的风险应对策略分析
在对信息安全进行风险评估时,可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本,给出处理与应对风险的相应策略,供高校决策部门和相关技术部门参考,来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前,采取相关技术措施消除风险因素,避免风险发生;风险转嫁是高校不能完全避免风险发生时,为了降低风险造成的损失,将风险转嫁给其他组织或个人承担,并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态,采取相应风险防范措施,以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果,缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下,选择自行承担风险的方式;风险追踪是高校在发现风险时,对风险的来源及发起者进行跟踪,查到根源后追究其相应责任,客观上可以降低风险发生的频率。
3高校信息安全的风险评估过程
[7]高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节,这些环节是相辅相成,缺一不可的。
3.1风险评估目标确定
风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时,应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。
3.2风险识别
风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定,关系到风险控制策略的选择,如果不能正确识别风险,就不能采取正确的风险控制策略去规避和控制风险,会大大增加风险发生的可能性。3.3风险评价风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析,通过特定的风险评估方法进行测算分析,确定风险的等级及危害程度。
3.险控制策略选择
高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上,根据风险评价结果,选取相应的风险控制策略,来降低风险发生的概率及带来的危害。
3.5风险评估效果分析
风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。
篇10
一 、 SPS协定对风险评估的规定
风险评估在SPS协定附件A中被定义为:根据可能适用的卫生与植物卫生措施评价虫害或病害在进口成员领土内传入、定居或传播的可能性,及评价相关潜在的生物学后果和经济后果;或评价食品、饮料或饲料中存在的添加剂、污染物、毒素或致病有机体对人类或动物的健康所产生的潜在不利影响。
SPS协定第2条和第5条也专门针对风险评估施加了严格的纪律。协定允许WTO成员在贸易方面给予食品安全和动植物健康以优先权,每个成员有权确定其认为适当的食品安全和动植物健康水平,并在对真实存在的有关风险进行适当评估的基础上确立SPS措施,而且还应将其所考虑的因素、所使用的评估程序和所确认的可接受的风险水平应要求公之于众。第5条第2款列举了进行风险评估应考虑的因素,包括:有关国际组织制定的风险评估技术;可获得的科学证据和方法;病虫害非疫区的存在;相关的生态和环境条件;相关的经济因素,比如有害物质传入的潜在经济影响、包含和消灭规避所选SPS措施的有害物质的成本和采用替代方法控制风险的相对成本效益。
二、 DSB对风险评估的相关阐释
DSB专家组和上诉庭在相关案例中对有关风险评估的一系列法律问题作了大量阐释,正逐步演变成为该领域的判例法,下面分别结合相关案例加以分析。
1.风险评估和SPS措施之间的关系
欧盟荷尔蒙牛肉案上诉庭将SPS措施必须基于风险评估解释为在二者之间必须存在合理关系,即一种持续的客观情况且能在SPS措施和风险评估之间被观察到,一成员也可以将其措施基于另一成员或国际组织开展的风险评估,只要在诉讼中能用风险评估证明措施合理足矣。确定风险评估和SPS措施之间关系是否存在也只能个案分析。只要措施的结论和风险评估的结论可比较,就符合第5条第1款。因为如果该成员在措施引起争议时能找到科学证据,就可以假定在措施制定时证据同样得到了考虑。因此,风险评估的缺失将被理解为存在对国际贸易变相限制的一个警示信号。日本水果检疫措施案专家组还论证了“充分科学证据”的含义,认为“充分”通常指无论“其数量、程度和范围都表明足以实现一定的目标”,要求SPS措施和科学证据之间存在足够的关系,包括措施的性质和科学证据的数量、质量。
2.风险评估的科学性问题
欧盟荷尔蒙牛肉案上诉庭认为风险评估必须是对数据的“科学”考察和事实性研究,而不包括社会价值判断在内的“政策”, “SPS协定第5条第2款对风险评估所考虑的因素的列举不是一个可‘穷尽’的列举……依照第5条第1款所评估的风险不仅仅是在严格控制的条件下在科学实验室中可探知的,而且还是在人类社会中真实存在的”。因此,成员国通常会把其措施基于主流的科学证据,当然一项措施也可以基于“来自有资格的和受尊敬来源的不同观点,特别是当有关风险具有威胁生命的特征并被觉察出对公共健康安全构成明显和逼近的威胁时”。澳大利亚鲑鱼案上诉庭也认为在风险评估中对污染和损害的可能性的适当评价必须达到某种水平的客观程度,即必须是对所认定的风险水平能够让人合理地相信的水平。SPS协定的纪律在此得到了最严格地执行,第5条第1款和第2款通过要求成员在进行风险评估时考虑可获得的科学证据、国际组织制定的风险评估技术和参考科学原理而强调了客观性。
3.风险评估的步骤
澳大利亚鲑鱼案上诉庭认为一项有效的风险评估必须包括以下步骤:a、确认措施所针对的疾病,以及导致其对当地动植物污染事件的潜在生物学和经济影响;b、对疾病传入、定居或传播以及随之而来的生物学和经济损害可能性的评估;c、对在拟采取的SPS措施条件下疾病传入、定居或传播的可能性的评估。
三 、关于风险评估制度的思考及我国的法律对策
1.建立风险评估和风险管理机制
“风险评估”最重要的启示就是必须建立科学的风险评估和风险管理机制。风险评估和风险管理在SPS协定中具有举足轻重的地位。一般而言,DSB专家组往往首先考察是否存在风险评估。如果没有,仅凭这一点就可能导致败诉。因此,我国应当尽快建立科学的风险评估和风险管理机制,首要任务是设立专门机构来负责这一工作。在鲑鱼案败诉后,澳大利亚就在农林渔业部内设立了一个澳大利亚生物安全局( Biosecurity Australia)的新机构,专门负责提供进口风险分析。
2.风险评估必须具体且包括所有风险
目前,DSB在抽象意义上对风险评估的要求已经作出了合理、清楚的陈述,产生于可能的未知因素而不能用数量表示的风险或理论上的风险量是远远不够。风险评估必须是具体的,而且可能比 SPS协定字面要求更严格。在荷尔蒙案中,上诉庭认为SPS协定并不要求一项风险评估必须识别最小程度的风险,而仅仅是可确定的风险,欧盟的研究应当锁定于特定的荷尔蒙,而非荷尔蒙的类别。此外,所有的风险必须包括在风险评估之中,甚至那些不能通过实验方法进行数量分析的对人类健康的所有威胁。欧盟当初败诉也由于没有提供这一阶段风险的证据。因此,我国在提供风险评估报告时应尽可能详尽具体,包括所能确知和考虑到的几乎所有风险。同时,还应密切跟踪WTO有关风险评估书面形式的裁定等指南。
3.突出风险评估的科学性
毫无疑问,不管所完成的风险评估如何,WTO必然会在SPS措施基于充分的科学证据这一点上持强硬立场。具体地说,我国未来开展风险评估一定要遵循澳大利亚鲑鱼案中的三步法,并考虑SPS协定第5条第2、3款所列举的因素,对数据进行“科学”考察和事实性研究,而不能是包括社会价值判断在内的“政策”。同时,注意风险评估的客观程度水平。鲑鱼案专家组认为虽然在风险评估定义的文本中并无门槛要求,但在参考了一系列客观因素后要求达到“对所作的评估和所认定的风险水平能够让人合理地相信” 的水平。这很可能意味着要求在风险评估中科学分析的力度必须是能够经得起怀疑的,哪怕不是太严格。
4.慎用非主流科学观点
虽然DSB承认非主流科学可以被用来支持风险评估,但其是否足以支持一项风险评估只能个案分析。应该说,SPS协定下的数量程序要求在全球范围内的运作都是极其近似,“伽利略现象”是十分罕见的。即便这种现象真的发生,专家组也仍然有能力去评估所谓“科学”的可信度,并得出结论。因此,我们应当慎用非主流科学观点,最好尽量把风险评估建立在主流科学观点之上。
加入WTO之后,我国一些劳动密集型和具有地域优势的农产品的出口屡遭进口国SPS措施暗箭。这说明我国作为WTO的新成员, 应对SPS问题的相关经验还需要一个积累的过程。我们缺乏应对SPS措施引起贸易纠纷的诉讼经验,缺乏参与制定国际标准和跟踪国际SPS措施变化的经验。对风险评估的研究无疑是在经验积累和学会利用SPS协定方面迈出的第一步。吸取别国在风险评估等问题上的经验教训,既保护国内公共健康又保护国内相关产业,对于我国在遵循WTO义务的同时,有效地抵御外来SPS壁垒,充分运用多边贸易机制所赋予的权利并在争端中掌握主动都是十分必要的。
参考文献:
[1]《实施卫生与植物卫生措施协定》,附件A
[2]《实施卫生与植物卫生措施协定》第5条第2款
[3]欧共体荷尔蒙牛肉案上诉庭报告,第193-194段
[4]日本水果检疫措施案专家组报告,第8段;上诉庭报告,第73段、84~85段
[5]欧共体荷尔蒙牛肉案上诉庭报告,第187段
[6]欧共体荷尔蒙牛肉案上诉庭报告,第194段
篇11
1.电梯安全风险评估概述
电梯安全风险评估是指采用定性的方法对电梯中存在的危险因素进行有效的识别、判断和及时的评价。在进行电梯安全风险评估时,主要针对电梯在使用中的安全系数和可靠度为主要对象,综合采用红外线热像仪、故障诊断检测仪灯对电梯使用中的控制和驱动系统进行监测和危险因素的有效识别,采用综合的评价方式进行安全风险的确定。在进行危险因素的确定时主要采用定期的检测和监控技术进行分析,对其中存在的风险源以及其产生的部位、产生的数量和严重程度进行有效的评估,同时采用相应的措施进行治理,减少其危险因素对于正常使用的影响。对老旧电梯进行及时的安全风险评估能够有效消除安全隐患,减少安全事故的产生,加大对于老旧电梯使用的监督和管理,实现节能减耗的目的。
在进行电梯安全风险评估的过程中主要包括以下几个环节:
1.1.准备阶段
在此阶段中需要针对电梯的损坏程度和各个零部件的老化程度进行准确的评估,制定出相应的评估措施,明确评估目的 ,对于电梯使用中的故障记录和维修记录进行收集,为维修和检测提供有效的参考依据。
1.2.风险种类的判断和风险源的确定
针对要进行评估的电梯系统的整体情况确定出各个不同的评估单元,找出电梯中存在的风险源,对电梯中易产生老化和损坏的部件进行检测,排除其中存在的危险因素。在进行判断的过程中要积极借助先进的检测仪器确定存在风险的部位,事故产生的原因和事故存在的规律。
1.3.针对存在的风险进行定性和定量评估
在进行电梯的有害因素的确定后,采用正确的评判的方法ui零部件的损坏和产生事故的可能性进行定性和定量的评估。
1.4.提出相对应的安全措施
在进行安全结果的判定后要根据产生的危险因素提出相应的改进技术和管理措施,建立起完善的应急方案,降低在事故发生后造成的损失。
1.5.形成正确的评估结果和评估建议
针对电梯中存在的主要危险因素进行有效的分析和指出,并强调重大的危险因素,针对电梯中不同的部位制定相应的预防措施。
1.6.生成评估报告
在进行风险评估后要生成相关的评估报告,为电梯的使用单位和管理单位提供方风险治理对策和参考。
2.老旧电梯安全风险评估的作用
对老旧电梯部件和使用过程中的安全等级进行准确地判断,采用相应的措施进行有效的防治能够显著降低使用中的安全风险。
2.1.有效提高老旧电梯的使用安全性和节能性
针对老旧电梯进行安全风险评估,需要使用先进的技术,采取相应的有效措施,降低使用中的安全风险,提高电梯的安全使用性能,进一步降低老旧电梯在使用的能耗,具有较强的社会效益和经济效益。在老旧式电梯中采用的控制技术较为落后,因此可以将老旧电梯进行集中的梯群的控制方式,也可以使用单双层的控制方式,能够有效降低电梯在使用中产生的能耗。在电梯的拖动方式中可以使用变片调速式改造,将减速装置转变为同步曳引机方式,采用这种方法能够有效降低电梯在使用中产生的能耗。
2.2.协调使用老旧电梯
在进行老旧电梯的安全风险评估后,能够为电梯的进一步改造和维修提供可靠的意见。在进行电梯的维修和改造的过程中由于具有较强的专业性,因此就需要采用专业的技术,这样就容易造成维修单位和管理单位之间产生不必要的经济纠纷。在对老旧电梯进行风险评估后能够出具相关的评估报告,较具有权威性,为电梯的使用和维修提供可靠的依据,减少各方之间矛盾的产生。
2.3.有效弥补现行的安全技术和规范中存在的不足
针对老旧电梯进行有效的风险评估能够有效确定电梯使用中产生的不确定危险因素,同时做出风险等级的判断,采取相应的措施进行治理和防护,对电梯的安全使用进行有效监督采取预防为主的措施,提高电梯的安全使用性能。为老旧电梯的报废提供可靠的技术支持,提高电梯的使用安全性。
3.老旧电梯安全风险评估和防治
3.1.安全风险识别
篇12
1、员工日常危险源辨识风险评估工作是风险预控安全管理体系的基础。
1.1、危险源、危险源辨识的概念
1.1.1、危险源的定义
可能造成人员伤亡或疾病、财产损失、工作环境破坏的根源或状态。
1.1.2、危险源的理解
危险源通常理解为能量物质,或者能量物质的载体。它的实质是具有潜在危险的源点或部位,是爆发事故的源头,是能量、危险物质集中的核心,是能量从那里传出来或爆发的地方。对于环境而言,危险源又常常被称作环境因素。通俗的讲就是危险危害因素是从哪里产生的,是什么东西,处于一种什么样子。
例如:洗煤厂洗煤用的水就是一种能量物质,它本身就是一种危险源,淋到电气设备上就会造成设备损坏或人员伤亡;风包是一种能量物质的载体,它本身也是一种危险源,超压就会爆炸;工作场所的煤尘也是一种危险源,得不到治理超标会使是人致病或发生爆炸。
1.2、风险评估的概念
风险评估是在危险源辨识的基础上,评估危险源发生风险的可能性以及可能造成的损失程度。内容包括、风险、风险后果、风险类型,风险等级、事故类型、危险源与风险的关系,风险评估工作流程。
危险源风险评估内容
风险评估的具体内容包括三个方面:首先要确定事故在一定时间内发生的可能性,即概率的大小;其次要估计一旦事故发生,可能造成损失的严重程度。最后,根据事故发生的可能性及损失的严重程度估计总期望损失的大小,确定风险等级。
1.3、危险源辨识风险评估重要意义
神东各选煤厂都是现代化程度较高,设备台数多,生产量大,各岗位员工劳动强度大,承包设备多的特点,在日常生产巡查、检修过程对于人员的安全防范是选煤厂安全工作中的重中之重。员工能持续做好日常危险源辨识、风险评估工作,是增强员工日常作业安全防范意识,提高风险预控能力,落实各岗位员工安全防护措施,保障员工安全作业的基础。
2、选煤厂员工日常工作危险源辨识风险评估存在的问题及原因分析
2.1、日常工作危险源辨识风险评估存在的问题
近年来,神东公司提出了危险源辨识和风险评估的理念和方法,对神东各选煤厂安全生产起到了极大地促进作用。但部分员工对危险源辨识和风险评估方法掌握不好,经常只停留在班前会上,辨识和评估不到位、不全面。在作业现场很少进行针对性的危险源辨识和风险评估,作业过程中常常把危险源辨识和风险评估忘在脑后。更没有在作业完毕后回头总结危险源辨识和风险评估是否到位,没有吸取经验教训,也没有对某项作业进行全员系统地危险源辨识和风险评估。这样会导致作业现场人员和设备不安全因素的增加。
2. 2、选煤厂员工日常危险源辨识工作中存在问题的原因分析
2.2.1、部分员工安全意识淡薄、思想麻痹,有嫌麻烦图省事的心理。这些员工也是不安全行为发生的重点人群。
2.2.2、部分岗位技能差、文化素养低员工,新员工、劳务工、驻厂服务队等不稳定人员。这些员工的自身问题,危险源辨识不熟悉。
2.2.3、对员工危险源、风险评估知识的培训不到位,厂部及车间管理人员没有作好对员工的危险辨识方法的引导,员工的危险源辨识会无头绪,没有让员工认真理解危险源风险评估的方法。员工无法与自己的的实际工作紧密结合应用。
2.2.4、日常员工危险源辨识工作未建立有效的考核管理机制。这样缺少管理激励机制,上级部门及车间管理人员对员工危险源管控、现场落实情况监督、管理不到位。
3.如何开展好选煤厂员工日常危险源辨识风险评估工作,提高员工安全防范能力
针对员工在危险源辨识及风险评估工作中的不足,安全管理人员及车间管理人员如何组织好、管理好车间、班组员工风险源辨识及风险评估工作,充分调动员工自主安全管理的积极性。如何能切合每个车间、班组、岗位实际工作,能够有针对性开展好风险源辨识及风险评估工作,进行如下分析、探讨。
3.1、危险源辨识的内容
危险源辨识的内容主要是从人、机、环、管四个方面分别考虑,这样既能够保证危险源辨识结果的全面性和合理性,且方便对危险源进行分类控制和管理。危险源辨识还需要考虑三种状态及时态。三种状态分别指正常状态、异常状态、紧急状态;三种时态分别指过去、现在和将来。由于危险源具有潜在性,所以辨识危险源必须考虑各种情况下可能出现的不安全因素,同时还要考虑过去曾发生过什么事故或事故,从中吸取教训,找出事故的原因,考虑目前系统中存在或潜在什么不安全因素。
3.2、危险源辨识的方法
危险源辨识常用的方法可分为两大类:即直接经验分析法和系统安全分析法。常用的直接经验分析法主要包括:工作任务分析法;直接询问法;现场观察法;查阅记录法等。常用系统安全分析法主要包括:安全检查表法、事故树分析等。
对于车间岗位来说,辨识危险源比较实用的方法是工作任务分析法。
3.3、针对各岗位危险源辨识及风险评估方法
岗位危险源一般指生产岗点和作业场所潜在的对作业人员有直接危害的人、机、环不安全因素和管理缺陷。
岗位危险源辨识与分析原则上采用工作任务分析法,辨识时车间班组按工作场所进行。它可以针对所有的工作任务以及每项任务的具体工序,对照相关的规程、条例、标准,并结合实际工作经验,分析每道工序中可能存在的危险源。
对辨识出的危险源按人、机、环、管进行分类。风险评估原则上采用风险矩阵评价法进行,评估结果应按照特大、重大、中等、一般、低五个级别进行分类。一般按照如下步骤进行:
(一)工作任务梳理。从岗位入手,识别岗位的常规任务和非常规任务。
(二)工序梳理。将工作任务分解为具体工序步骤,一般从准备、执行和收尾3个阶段分解。
(三)识别每个步骤中的危害与风险。按照任务执行中所暴露的环境、设备和行为,确定潜在的危险。
(四)认定风险类型。按照危险源隶属的系统,分人、机、环、管四类。
(五)评估风险后果描述。判定辨识出的潜在危险源可能导致人员伤害、设备或设施损失的情况。
(六)确定可能导致的事故类型。
按照《企业职工伤亡事故分类》(GB6441―1986)分为20类,即:
1.物体打击; 2.车辆伤害; 3.机械伤害; 4.起重伤害;
5.触电; 6.淹溺; 7.灼烫; 8.火灾;
9.高处坠落; 10.坍塌; 11.冒顶片帮; 12.透水 ;
13.放炮; 14.瓦斯爆炸; 15.火药爆炸; 16.锅炉爆炸;
17.容器爆炸; 18.其他爆炸; 19.中毒和窒息;20.其他伤害。
(七)评估风险等级。结合工作实际情况,确定危害的严重性,通过下述方法计算风险等级:
风险等级=可能性×严重性
风险矩阵法: 图略
员工风险评估举例:
更换重介浅槽刮板
1. 停电、验电、上锁、作业前工器具要准备到位,防止出现误起设备伤人。风险类型:人
2. 拆卸刮板:
2.1人员站立位置合适,以防在拆卸的过程当中摔倒受伤。风险类型:人
2.2拆卸刮板时作业人员相互要配合到位,防止在松动螺栓、防止刮板时造成人员伤害。
风险类型:人
2.3拆卸过程中严禁用大锤用力敲击刮板与链条连接处,以防损坏链条的相关部件。风险类型:机
2.4.现场照明不足,导致人员作业时由于光线暗造成人员意外伤害。
风险类型:环
3. 装配刮板
如拆卸刮板进行逐一辨识
4. 清理现场
4.1工器具或者其他物件清理不到位,导致刮板运行过程中出现卡阻等现象。风险类型:机
5. 送电试车
5.1试车时,人员没有全部撤出造成人员伤害。风险类型:人
5.2试车时安全链没有解开造成刮板链拉断或者电机过热动作等。
风险类型:机
风险等级:F1×H5=5一般(由于每个人作业的安全考虑程度不同,风险等级可根据自己的实际情况进行确定。)
(八)确定风险管理对象。找出可能产生或存在风险的主体。根据危险源辨识划分的风险类型确定相应的管理对象。风险类型为“人”或“管”,管理对象为对应岗位人员;风险类型为“机”,管理对象为对应的设备、设施、工器具;风险类型为“环”,管理对象为对应的作业环境影响因素。
(九)制定风险管理标准。针对管理对象制定以消除或控制风险的准则,即要求做到什么程度。要符合相关法律法规、技术标准要求。
(十)明确管理人员。含主要责任人(管理对象或对象管理者)和直接管理人(主要责任人的直接上级)
(十一)制定风险管理措施。使管理标准得以落实的手段。要符合相关制度的要求,且具体、简洁、可操作性强。
3.5、全方位、全过程开展好车间班组员工的危险源辨识风险评估工作。
车间、班组主要采用非正式风险评估方法(对于暂时不能消除风险的危险源要纳入正式风险评估成果表中),至少包括班前、作业前和作业中动态组织的风险评估;必要时要保留记录。评估方法、记录形式不做限制,一般按如下方式开展:
3.5.1、班前风险评估
班前风险评估是指召开班前会过程中或之前,根据现场反馈信息及当班任务进行的安全风险评估。实践中,要与班前会工作任务布置、规程措施贯彻相结合。每班班前会,带班车间主任及班组长要组织当班人员对本班工作任务进行认真分析和风险评估,对异常情况(发现新危险源或已辨识出的危险源管理标准与措施不能满足管控需要)必须明确现行的管控措施。班前会可采用灵活多样的方法进行危险源辨识风险评估,提高员工的积极性,如先让作业人员对自己工作任务危险源风险评估,其他人员及班组长车间管理人员强调补充,进行危险源辨识风险评估评比活动等。
3.5.2作业前风险评估
作业前风险评估是指生产作作业前风险评估是指班前会后、上岗前及交接班过程中组织的安全风险评估。实践中要与现场交接班相结合;交接班除交待工作任务外,必须将存在的主要风险交待清楚。作业前,带班领导、车间主任及班组长要组织每个岗位人员对所在岗位作业环境、设备设施的安全状况进行风险评估,并落实管控措施。
3.5.3、作业过程中风险评估。
作业过程中,根据现场人、机、环管状态实施对现场安全状态进行的评价。实践中要与作业规程、操作规程、安全技术措施、标准化作业流程的执行相结合,逐步培育员工“五思而行”的习惯。即:
1.本项工作有什么风险?不知道不去做;
2.是否具备做此项工作的技能?不具备不去做;
3.做本项工作环境是否安全?不安全不去做;
篇13
安全生产;风险评估;变电运行;应用
安全工作,事关经济和民生,随着科技提高,现代化发展加速,电力已成为社会生产和人民生活离不开的能源,其需求量之大、使用范围之广,使得变电运行安全管控工作和相关安全风险评估在电力行业的持续稳定发展中已成为不容忽视的组成部分。而安全风险评估则对变电运行提供了切实可靠的安全保障。
1安全风险评估对于变电运行班组管理的作用
安全风险评估在变电运行班组管理中具体指检查和评价变电系统运行中可能出现的各类风险和隐患,针对性地提出解决办法,从而达到规避风险和实现生产安全的目的[1]。变电运行一线班组的传统管理工作中,安全风险的评估工作并未得到应有的重视,随着电力系统中各项管理工作的不断规范化和细致化,安全风险评估工作应结合实际,不断提高和加强。
1.1变电设备的运行维护极端重要
随着电力行业发展日新月异,用户对电力能源的安全性、可靠性都提出了更高的要求,这就要求电网设备的运行要安全可靠,而变电设备运行系统的日常维护和故障隐患的及时排除就显得至关重要。变电设备须先完成倒闸操作,也即根据检修计划和调度指令进行设备运行状态改变,而后才能实施检修。设备巡检及倒闸操作是变电设备运行维护的主要工作,直接影响电网运行的安全性和可靠性,所以,变电设备的运行和维护在整个电网系统运行中占据了极端重要的位置。
1.2变电运行管理中急需加强安全风险管理
在变电系统运行中的班组管理工作中,不可避免地存在着安全隐患和管理漏洞,抓好风险评估,加强管理和预防,是保证变电设备安全运行的重中之重。一是要提高安全风险意识。传统工作模式及管理方式都相对轻松,安全防范意识薄弱,部分员工仅限于抄电表和打电话的工作形式,巡检设备时走马观花,对于监盘也不认真,记录不能及时填写,对工作中存在的问题停留于表面而不深入思考,思想上的放松才是最大的安全隐患。二是细化安全风险的评估工作。一线员工普遍对于已有的安全生产相关规章制度和标准规范不够重视,安全生产工作实际执行中更是大打折扣,甚至仅流于形式走过场,严重影响了安全风险的评估效果。
2变电运行班组管理中安全风险评估的应用方法
基于工作内容和性质,变电运行中的安全风险评估具有很强的综合性,是一项系统工程,离不开各方面的协同配合,就一线班组而言,风险评估的管理工作应该结合实际情况,具体问题具体分析,但是基本策略是通用不变的。
2.1转变观念,强化意识,加强重视安全生产工作的自觉性
“安全为首,预防为主,防治结合”的理念要想深入员工内心,离不开管理部门的合理有效的管控措施。管理部门应该增加必要的教育培训投入,组织员工系统全面地学习技术规范和有关规定,深刻理解并全面掌握各种操作规范及各项反措。通过系统全面深刻细致的理论学习和实践演练,强化员工的自我管理、约束和教育意识,时刻紧绷安全生产这根弦,转变散漫随意的工作作风,重新树立“安全创造效益”的理念。从根源上切除思想隐患,为变电设备安全正常运行提供必要的思想保障。
2.2改革安全风险评估在变电运行中的工作程序
依循电力运行规律,结合变电运行实际,积极创新,使安全风险评估程序更加科学可行,为变电运行提供更加切实有效的安全保障,是电力发展的新要求。以安全风险评估的基本要求为基础,把降低风险和实现安全作为目标,借由危险的识别、研判、预估和比较,得出正确判断,向相关人员提供准确结论,以便其做出合理决策,从而保证变电运行安全无碍[2]。在规范的变电运行安全评估过程中,首先要检查变电设备,查找是否存在风险隐患,若有风险,需进一步评测风险等级进行闭环管理。若风险比较大,就要作出解决问题的判断,即风险等级是否超出正常区间,如若在正常区间内,判断结果为非紧急风险;如若超出正常区间,必须提醒有关人员采取措施降低风险。落实措施后,再度进行安全风险评估,不断如此循环,建立风险分析、评估和处理问题的有机良性循环,从而达到降低风险和保证变电运行安全的目的。
2.3强化安全风险评估细节管理
管理班组应特别重视安全风险评估的细节管理工作,明确责任、落实措施,使安全风险评估工作逐步常态化、规范化、精细化。实际操作中,应在相关评估标准的基础上,综合管理生产环境、生产机械设备、安全防护用具、作业人员素质和现场管控等各方面,实时评估结合定期评估,自身评价结合上级评估,采取科学合理的评估措施,扎实深入开展安全生产细节评估,确保谁评查谁负责[3]。对发现的各类风险隐患应进行科学全面的分析,查找产生根源,划分等级大小,按照风险等级大小制定针对性的防控措施和应急方案,根据实际情况确定整改计划,强化落实措施,进而消除风险隐患,巩固安全生产基础。
3总结
变电运行的工作特点是设备量大、工作烦琐。变电站设备种类多、区域分散、采用运维站及运维一体模式后,变电站人员精减,运维人员由多向精转变提升,在这个转变过程中,安全风险评估在变电运行中的作用是无可替代的。逐步建立全方位、科学化的安全风险评估体系,完善管理机制,实现变电运行的安全有效管控,不断规避隐患、弱化并消除风险,才能使变电运行的运维一体模式持序安全平稳地深入推进。
作者:林东栋 单位:国网厦门供电公司
参考文献