在线客服

风险评估方法论实用13篇

引论:我们为您整理了13篇风险评估方法论范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。

风险评估方法论

篇1

电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。

1、风险管理的主要内容

风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。

人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。

源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(QuantitativeRiskAssessment—QRA)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。

2、风险管理的组织实施与基本流程

为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。

3、电力企业定量风险评估(QRA)

电力企业QRA的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业QRA对企业的作用主要体现在:通过QRA有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展QRA可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行QRA,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施QRA具有现实意义。

电力企业QHA的基本框架模式

电力企业QRA是指在工业系统QRA的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业QRA的基本框架模式。在具体实施时,允许依实际情况而有所改变。

3.2电力企业QRA的主要工作内容

(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定QRA实现目标和实施条件等。

(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(HZOPS)、故障模式与影响分析(FMEA)、故障模式影响及危急分析(FMECA)、故障树分析(ETA)、事故树分析(ETA)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。

风险综合集成是指对所有风险按其特性类型分门别类加以汇总整理。因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。

对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。

(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立风险数据库,既作为QRA的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。

(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。

(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。

(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(ALARP)原则。ALARP原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人ALARP区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。

篇2

 

1.1 信息安全风险

 

信息安全风险具有客观性、多样性、损失性、可变性、不确定性和可测性等多个特点。客观性是因为信息安全风险在信息系统中普遍存在;多样性是指信息系统安全涉及多个方面;损失性是指任何一种信息安全风险,都会对信息系统造成或大或小的损失;可变性是指信息安全风险在系统生命周期的各个阶段动态变化;不确定性是一个安全事件可以有多种风险;可测试性是预测和计算信息安全风险的方法。

 

1.2 信息安全风险评估

 

信息安全风险评估,采用科学的方法和技术和脆弱性分析信息系统面临的威胁,利用系统,评估安全事件可能会造成的影响,提出了防御威胁和保护策略,从而防止和解决信息安全风险,或控制在可接受范围内的风险,最大限度地保护系统的信息安全。通过评价过程对信息系统的脆弱性进行评价,面临威胁和漏洞威胁利用的负面影响,并根据信息安全事件的可能性和严重程度,确定信息系统的安全风险。

 

2 信息安全风险评估原理

 

2.1 风险评估要素及其关系

 

一般说来,信息安全风险评估要素有五个,除以上介绍的安全风险外,还有资产、威胁、脆弱性、安全措施等。信息安全风评估工作都是围绕这些基本评估要素展开的。

 

2.1.1 资产

 

资产是在系统中有价值的信息或资源,是安全措施的对象。资产价值是资产的财产,也是资产识别的主要内容。它是资产的重要程度或敏感性。

 

2.1.2 威胁

 

威胁是导致不期望事件发生的潜在起因,这些不期望事件可能危害系统。

 

2.1.3 脆弱性

 

脆弱性是资产存在的弱点,利用这些弱点威胁资产的使用。

 

2.1.4 安全措施

 

安全措施是系统实施的各种保护机制,这种机制能有效地保护资产、减少脆弱性、抵御威胁、减少安全事件的发生或降低影响。风险评估围绕上述基本要素。各要素之间存在着这样的关系:

 

(1)资产是风险评估的对象,资产价值是由资产价值计量的,资产价值越高,证券需求越高,风险越小。

 

(2)漏洞可能会暴露资产的价值,使其被破坏,资产的脆弱性越大,风险越大;

 

(3)威胁引发风险事件的发生,威胁越多风险越大;

 

(4)威胁利用脆弱性来危害资产;

 

(5)安全措施可以防御威胁,减小安全风险,从而保护资产。

 

2.2 风险分析模型及算法

 

在信息安全风险评估标准中,风险分析涉及资产的三个基本要素,威胁和脆弱性。每个元素都有它自己的属性,并由它的属性决定。资产的属性是资产的价值,而财产的威胁可以是主体、客体、频率、动机等。财产的脆弱性是资产脆弱性的严重性。在风险分析模型中,资产的价值、威胁的可能性、脆弱性的严重程度、安全事件的可能性和安全事件造成的损失,两者是整合的,它是风险的价值。

 

风险分析的主要内容为:

 

(1)识别资产并分配资产;

 

(2)确定威胁,并分配潜在的威胁;

 

(3)确定漏洞,并分配资产的脆弱性的严重程度;

 

(4)判断安全事件的可能性。根据漏洞的威胁和使用的漏洞来计算安全事件的可能性。

 

安全事件发生可能性=L(威胁可能性,脆弱性)=L(T,V)

 

(5)计算安全事件损失。根据脆弱性严重程度和资产价值计算安全事件的损失。

 

安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);

 

(6)确定风险值。根据安全事件发生可能性和安全事件造成的损失,计算安全事件发生对组织的影响。

 

风险值=R(A,T,V)=R(F(Ia,Va),L(T,V))

 

其中,A是资产;T是威胁可能性;V是脆弱性;Ia是资产价值;Va是脆弱性的严重程度;L是威胁利用脆弱性发生安全事件的可能性;F是安全事件造成的损失,R是风险计算函数。

 

3 信息风险分析方法探析

 

作为保障信息安全的重要措施,信息安全系统是信息安全的重要组成部分,而信息安全风险评估的算法分析方法,风险评估作为风险分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成为正式信息安全标准的一部分。从定性定量的角度可以将风险分析方法分为三类,也就是定性方法、定量方法和定性定量相结合。

 

3.1 定性的风险分析方法

 

定性的方法是凭借分析师的经验和知识的国际和国内的标准或做法,风险管理因素的大小或程度的定性分类,以确定风险概率和风险的后果。定性的方法的优点是,信息系统是不容易得到的具体数据的相对值计算,没有太多的计算负担。它有一定的缺陷,是很主观的,要求分析有一定的经验和能力。比较著名的定性分析方法有历史比较法、因素分析方法、逻辑分析法、Delphi法等,这些方法的成败与执行者的经验有很大的关系。

 

3.2 定量的风险分析方法

 

定量方法是用数字来描述风险,通过数学和统计的援助,对一些指标进行处理和处理,来量化安全风险的结果。定量方法的优点是评价结果直观,使用数据表示,使分析结果更加客观、科学、严谨、更有说服力。缺点是,计算过程复杂,数据详细,可靠的数据难以获得。正式且严格的评估方法的数据一般是估计而来的,风险分析达到完全的量化也不太可能。与著名的定时模型定量分析方法、聚类分析法、因子分析法、回归模型、决策树等方法相比较,这些方法都是具有数学或统计工具的风险模型。

 

3.3 定性定量相结合的风险分析方法

 

篇3

风险评估概述

(一)风险概述

风险的定义。一些学者把风险定义为损害发生的可能性。与上述意见不同,另外一些经济学家把风险定义为损失发生的不确定性,还有一种意见,把风险定义为预期与实际结果的偏离。在本文中,将风险定义为对企业的生存、发展造成损害的可能性,对其控制不当的结果是预期与实际结果的偏离。

风险的分类。风险按其来源分类,可以分为来自企业内部的风险和来自企业外部的风险,简称为内部风险和外部风险。内部与外部的划分,是以企业为界限的。

内部风险。内部风险是指来源于企业系统内部的会对企业的生存、发展造成损害的可能性,如果对内部风险控制不当,会造成企业运行结果与预期目标的偏离。

外部风险。外部风险是指来源于企业系统之外的宏观市场环境中会对企业的生存、发展造成损害的可能性,即宏观环境风险。虽然这些风险发生于企业系统之外,但仍然会对企业产生影响,如果没有及时地发现和应对这些风险,仍然会造成企业目标的偏离。

(二)风险评估

风险评估是对影响企业目标实现的现有的和潜在的风险进行识别和度量并进行评价的过程。广义的风险评估涵盖风险管理的各个要素,而狭义的风险评估仅指对风险的识别和度量。本文所指的风险评估是指狭义的风险评估,即仅包括风险识别、风险衡量和风险评价,重点关注导致风险发生的潜在风险因素、风险发生的可能性大小和风险发生后对企业的影响程度。

基于共振理论的风险评估方法的提出

(一)共振理论的启示

共振理论概述。共振理论是指两个或两个以上的物体具有相同的振动频率,一个物体振动会引起另一个物体的振动,并且在共振情况下的振幅要比单个物体自己振动的振幅要大。由此可见,共振发生的条件是频率相同。共振具有传递性,一个本来静止的物体,可以由另一个物体的振动引起自己的振动。而共振的结果很重要,它的振幅要比单个物体自己振动的振幅要大,具有更强的破坏性。

用共振理论解释企业风险的爆发。本文把企业内、外部的各种风险都进行细分为单个的风险因素,对于各风险因素来讲,其频率就是导致风险因素爆发的根本原因,那么包含了所有内部风险因素频率的集合将其定义为内部风险频率集。同理,将包含了所有宏观环境风险因素的频率的集合称为宏观环境风险频率集。再对这两个集合求交集,即得出风险频率交集,在这个集合中的频率就是将会发生共振的频率。

基于共振理论的定义,在这个交集中的频率是内、外部风险共有振动频率,满足共振的基本条件。而共振具有传递性,本来在企业中处于静止状态的内部风险因素,可能由于宏观环境中风险的振动而随之振动起来,使企业的风险加剧。特别值得关注的是,内、外部风险因素共振造成的破坏力要远大于其单个振动时的破坏力,所以具有这样频率的风险因素是需要重点关注的。

这就可以解释为什么市场环境不好时,失败的企业数量大幅上升,就是因为宏观环境风险频率集变大,与内部风险频率集发生共振的机会就大,而共振产生的破坏力强,一旦超过了企业的承受能力,企业便会走向失败。通过这一理论也可以解释企业的成败是内外部共同作用的结果,如果内部控制系统完美,宏观环境风险没有作用的切入点,那么再坏的环境也不会影响企业。但是,企业没有静止的,只要运动就会伴随着风险。为了更好地应对风险,就要求企业做好风险评估工作。

(二)基于共振理论的风险评估方法概述

1.现有的风险评估方法的缺陷,表现为:

没有系统的评估方法。目前,风险评估的方法虽然多种多样,但其着眼点仅是风险评估中的某一个具体环节,并没有形成完整、系统的评估体系,各个环节各自为战严重地削弱了评估方法的系统性。

忽视外部因素的影响。现在的评估方法,几乎将全部评估重点都放在企业内部因素上,即使有涉及到外部环境因素的,也只是赋予少部分的权重,没有考虑内外因的相互关系。外因是通过内因起作用的,所以不仅要考虑到外部环境因素的作用,也要研究它和内部因素的相互作用关系。

2.基于共振理论的风险评估方法。针对现有风险评估方法的不足之处,本文提出基于共振理论的风险评估方法,力求形成一套贯穿风险识别、风险衡量和风险评价的完整的风险评估体系,并在重视内部因素的同时,考虑外部环境因素的影响。通过分析外部环境因素与内部因素的相互作用关系,对内部风险因素进行修正。通过共振矩阵系统的反映风险评估的各个环节。在重视内部风险的同时,通过共振系数和相关系数显示出环境对于企业的影响作用,力求使评估结果更加准确和切合实际。

基于共振理论的评估方法的具体操作

(一)识别内、外部风险

企业内部风险及其识别。企业内部风险是指来自于企业内部的,由于经营不善或者管理疏漏而形成的风险。它是企业风险的直接来源。企业内部风险由于产生于企业内部,所以企业具有主动权,能够对这类风险施加控制和影响。主要包括营运风险、组织风险、财务风险、人事风险、信息系统风险等。

企业可以以现有的风险清单为基础,从中找出企业中存在的风险因素,但这只有标准化的风险因素。而每个企业都有自己特定的内部环境,许多特有风险因素没有出现在风险清单里。针对这些特有风险,可以运用控制自我评估的方法将其识别出来,以使企业的风险识别工作更加全面。

宏观环境风险及其识别。企业宏观环境,是指那些会给企业带来市场机会或环境威胁的主要社会力量,直接或间接地影响企业的管理。主要包括政治和法律环境、经济环境、科技环境、社会文化环境及自然环境等。宏观环境风险就是在这些环境中存在的对企业构成威协的风险。

在对宏观环境风险进行识别时,可以借鉴战略管理中的PETS分析法并结合企业实际按照政治和法律环境风险、经济环境风险、科技环境风险、社会文化环境风险和其他环境风险进行识别。

(二)构建共振矩阵

首先将整个风险系统分为内部风险系统和宏观环境风险系统,将内部风险系统再向下细分为若干个风险子系统,如营运风险子系统、信息风险子系统、销售风险子系统等。进一步把风险子系统再细分为具体的内部风险因素,记作Ii(i=1,2,3…)。同理,让宏观环境风险系统细分为若干个风险子系统,如政治环境风险子系统、经济环境风险子系统、科技环境风险子系统等,再将各风险子系统中的宏观环境风险因素识别出来,记作Oj(j=1,2,3…)。在此基础之上,构建共振矩阵(如图1)。

共振矩阵是用于列示企业的所有内、外部风险因素的矩阵,其横坐标为内部风险因素,纵坐标为宏观环境风险因素。这样矩阵中各交叉点显示的都是内外部风险的相互作用系数,即后述的共振系数和相关系数。风险矩阵的最大优点在于可以把任何一对内外部风险因素结合起来,评估其相互作用关系,也就是将内外部风险统筹考虑。

(三)进行风险衡量

衡量风险因素的变异程度。本文使用变异程度测定的方法,用变异系数衡量指标的偏离程度。值得注意的是,有一些风险因素是指标形式的,便于量化考核。但有一些指标是定性的,难于量化,这时可以使用专家打分的方法,将这些风险因素量化。变异系数的计算公式为:

其中,V是风险因素的变异系数,用于衡量风险因素与预期指标的偏离程度;S是该风险因素的标准差;X是期望值,在这里可以使用企业的理想指标作为期望,这样计算出的变异系数即是实际与预期的偏离程度,也是风险爆发后的结果。

计算共振系数。如前文所述,那些具有出现在风险频率交集中的频率的风险因素是重点要关注的风险因素。由于共振的破坏力远大于单个风险因素振动时造成的影响,所以那些内外部共振的风险因素的变异系数要以乘数倍增加,这个乘数称之为“共振系数”,记作Gij。但是,在物理学上尚没有计算共振产生的振幅的计算方法,通常都是通过测量得出。之于风险评估工作来说就要依据行业和企业历史数据,利用风险评估人员的经验和个人素质进行评估,估算出一个共振系数,但可以肯定的是共振系数一定大于1。

计算相关系数。相关系数是用于说明两个风险因素间相互作用关系的系数,它的取值范围为[-1,1]。取值为正说明内外部风险正相关,即宏观环境对内部风险因素有放大作用;反之,取值为负,说明内外部风险负相关,即宏观环境对内部风险因素有抵销作用。

(四)风险评价

在进行风险评价环节,首先将所权重分配给各风险子系统,即Wi使之和为1,再在各风险子系统内进行分配权重,分配至各风险因素,即wi,风险子系统内的权重之和也为1,并在风险矩阵中注明。之后,将在风险衡量环节得出的变异系数Vi填入风险矩阵,wi与Vi的乘积即为没有进行修正时的评价结果。但这是不准确的,接下来对这一结果进行修正。所有的相关系数有正有负,其取值范围为[-1,1]。若计算出的相关系数为负数,即表明宏观环境对内部风险因素有弥补作用,则用变异系数Vi乘上(1+相关系数);反之,如果相关系数为正且不为1时,说明宏观环境对内部风险因素有扩大作用,也用变异系数Vi乘以(1+变异系数);而当相关系数为1时,即产生了共振效应,为了与之区别,用共振系数Gij表示。而Gij的取值大于2,其具体数值由评估人员估计产生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最终评价结果∑wiVi'。这个结果数值越大,说明与预期偏离越远,说明企业的风险越大;反之,数值越小,说明越与预期值相符,企业面临的风险越小。

参考文献:

1.刘钧.风险管理概论.清华大学出版社,2008

2.James Roth,Ph.D. 郑桓圭译.最佳内部控制评估实务―自我评估与风险评估.中国内部审计协会,1999

3.徐二明.企业战略管理.中国经济出版社,2006

篇4

1归纳国内水利水电工程安全系数不高的缘由

水利工程潜在安全隐患系列问题主要有主观人为和客观因素引起的。主观因素是指工程作业过程中由于人为造成的不稳定因素,人为因素包括国家在施工时对该领域政策的变动和水利建设技术落后;客观因素是指自然天灾对水利水电工程的风险,主要有雨天沙石滚落和山体崩塌等。水利水电工程历来是国家重点的扶持对象,如果在进行水利水电工程建设时,国家政府工程税收变动、或是一些财政政策的积极或消极变动,都会对工程本身产生双面影响,增大其的风险程度。当然还有人为因素中的工程技术问题也是值得探讨的,不合理的投标、不周全的地质勘察和不恰当的选址会造成水利水电工程设计方案与现实可行性相差甚远。

2简析科学的风险评估方法

2.1利用统计学基础知识

水利水电工程设计者要熟悉工程地质在不同时期的状态,要对该地可能会紧急出现的风险状况做分析和评估,并且加以统计概率。根据该地出现的一种状况适用于每一种方案的损益情况,简洁明了地作出损益图表,对主观不能改变的要构建补救方案来降低损失,对可能带来不同风险的损益情况列出概率统计图。初步了解工程可能会发生的每一种灾害,才有更大几率设计好水利水电工程补救方案,降低损失,提高水利水电的安全系数。

2.2借助主观评分法管理

聘请有这领域工程专业知识的技术人员和专家在实地检测该大坝工程后根据自己的理论知识和实践经验预测该工程每一项风险评估值范围,这种方法虽然存在很大的主观臆断性,但是不可否认这是编写紧急补救方案的参考数据。在现有的风险数据上利用德尔菲法公式计算,参考众多风险评估家的观点进行分类统计,并且收集他们对水利水电工程风险管理工作的共同点。

检测该项水利水电工程是否具有很大的可用价值,风险评估概率高的灾害是否可以容易改善和被接受,若是该项工程是价值高、利用率高,灾害容易解决的便可投标该工程建设。修建好后,要进行后期保养,在一定的年限里,一般5-10年间要对水利水电工程进行全面的检查,接受一定的风险除了不能接受的后果。

2.3案例分析

澳大利亚东西水分布不均,而人口集中在东部,大牧场在西部,人类和牲畜对水需求大,刺激了水利水电程序日趋完善,澳大利亚在水利水电领域的管理系统是其他国家的“教科书”。目前澳大利亚在国际上是领先的,它已经建立了周全的风险评估系统,也成立了相关的政府部门:澳大利亚大坝委员会。水利水电管理工作首先是确定目的和研究计划,收集该项工程的相关数据进行风险评估,d大概计算风险后设计该工程的就可容忍L险准则,依照这个准则作出相关措施。

3结论和展望

水利水电工程风险有不确定因素,对其评估更具模糊性,很难精确描述出数值,但是我们可以利用模糊数学原理对风险评估指标体系进行研究,一定要做好风险评估工作以便水利水电工程持续正常运行,。我国目前对淡水需求量大,一些地区已经存在严重缺水问题,所以对水利水电工程风险评估系统理应更加重视,当然我们每个人也要珍惜水资源,杜绝浪费水资源。

参考文献:

[1]袁文杰,陆晓佰,胡明.水利水电工程风险及其应对思路的分析[J].华东科技:学术版,2005(6):197-197.

[2]王晓东.诌议水利水电工程风险及其应对思路[J].中国科技博览,2005(29):164-164.

[3]李聪波.基于风险矩阵和模糊集的绿色制造实施风险评估方法[J].计算机集成制造系统.2010(01):209-214.

篇5

电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。

1、风险管理的主要内容

风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。

人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。

源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(quantitative risk assessment—qra)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。

  

2、风险管理的组织实施与基本流程

为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。

3、电力企业定量风险评估(qra)

电力企业qra的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业qra对企业的作用主要体现在:通过qra有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展qra可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行qra,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施qra具有现实意义。

3.1  电力企业qha的基本框架模式

电力企业qra是指在工业系统qra的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业qra的基本框架模式。在具体实施时,允许依实际情况而有所改变。

3.2  电力企业qra的主要工作内容

(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管 

理、信息、地区、人文环境等,即确定qra实现目标和实施条件等。

(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(hzops)、故障模式与影响分析(fmea)、故障模式影响及危急分析(fmeca)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。

风险综合集成是指对所有风险按其特性类型分门别类加以汇总因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。

对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。

风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。

(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立

风险数据库,既作为qra的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。

(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。

(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。

(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(alarp)原则。alarp原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人alarp区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。

分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。alarp原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。  3.3  电力企业qra常用方法

篇6

〔摘 要〕针对信息系统安全风险评估的准确性问题,提出一种熵权理论与模糊集理论相结合的信息系统安全风险评估方法。该方法通过模糊集理论对信息系统所涉及的风险因素进行分析,构造各因素所对应评判集的隶属度矩阵;然后采用熵权系数法确定风险因素权重以减少主观偏差并输出信息系统安全风险等级。通过实例分析,证明该方法能较准确地量化评估信息系统风险,是一种有效、可行的评估方法。

〔关键词〕熵权;信息系统;风险评估;模糊集合;指标权重

信息系统作为国家信息化建设的重要组成部分,其安全问题涉及国家和信息系统用户的根本利益,然而就在整个信息化程度日益加深、技术进步为大家带来惊喜的同时,信息系统所面临的安全风险和威胁亦日趋严重。为保障信息系统安全与正常运行,则须找出可能导致其瘫痪的重大缺陷,而解决该问题的有效途径之一则是对其进行安全风险评估。综合国内外研究文献来看,信息系统风险评估主要依靠层次分析法、模糊综合评判法、BP神经网络法、灰色综合评价法和矩阵分析法等多种方法,目前已取得了一些研究成果[1-4]。信息系统的安全风险评估涉及资产识别、威胁识别、脆弱性识别、风险识别和风险大小的量化等,工作极富艰巨性。其中,风险的量化是非常重要的环节,直接关系到对风险状况的正确认识、安全投入的多少和安全措施部署的优先顺序[5]。由于信息系统风险包含大量模糊的、不确定性的影响因素且相互关联,相应信息不完全,使得运用传统方法评估其安全风险存在很大困难,极易降低评估的准确性。因此,针对该问题,在已有的多种评估方法基础上结合信息论中的熵权理论来对信息系统安全问题进行新视角的定量分析[6]。

1 信息系统安全风险评估基础信息系统的安全风险是客观存在的,其源自自然或人为的威胁利用信息系统存在的脆弱性造成安全事件的发生。风险评估的目的是运用科学的方法和手段系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提供有针对性的、有效的防护对策和整改措施[7]。根据BS7799标准[8]定义,风险是指威胁主体利用资产的脆弱性对其造成损失或破坏的可能性。信息安全风险R被表示为资产、威胁和脆弱性的函数,即R=g(a,t,v),其中:a为资产影响;t为对系统的威胁频度;v为脆弱性严重程度。GB/T20984-2007将资产影响、威胁频度、脆弱性严重程度均定义为5个等级[9],具体表述为:很高、高、中、低、很低。

篇7

本世纪以来接连发生的航空保安事故,促使各国政府不断强化其航空保安管理政策。有效的风险评估可为此类决策提供必要的框架依据,并最大程度地契合航空保安目标。

一、风险评估的方法论基础

航空保安风险评估,是对航空保安措施的风险及决策进行评价的一个系统过程。它使用一整套定量或定性的技术手段,评价对国家、机场、航空承运人、人群及航空设施设备可能构成的风险,并最终进行适当的航空保安决策。在此过程中,往往需要考虑以下维度:当前风险的水平;袭击可能造成的后果;后续风险超过可容忍范围时必须采取的行动。

风险评估和风险管理,均是航空保安管理系统(SeMS)中的重要组成部分,二者密不可分共同构成航空保安系统应对民航运行风险的基础,并保证航空运输实施过程的可行性和高效性。航空保安有三大核心原则:识别、贯彻和维持。风险评估主要应用识别原则,而贯彻和维持原则由风险管理过程给予体现。

风险管理的基本原则认为,若某种风险无法消除,则需要增强对已知或可能存在威胁的防御措施来降低其风险。现有的航空保安措施并不能确保民航系统免受所有类型的威胁袭击,因此,需要一套行之有效的风险管理过程为应对恐怖袭击做好准备。风险管理要求对航空运输活动进行实时监测与评估,以降低风险并减小袭击可能造成的后果;此外,风险管理也要求实施与保持长期、高效的航空保安对策,以便逐步将风险稳定在可接受的范围内,稳步改善航空保安状况。

有效的风险管理过程依赖于有效的风险评估。风险评估的目的是界定并控制任何可能对组织产生影响的风险,〔1〕它是一套描述同威胁或危险相关的风险的系统过程。风险评估过程由三个基本要素组成:威胁评估、脆弱性评估和危害性评估。〔2〕威胁评估对基于不同因素的威胁来源进行识别与评价,包括某一袭击的可能性、意向性及潜在的杀伤力;脆弱性评估用来识别可能被利用的弱点,以及如何消除这些弱点;危害性评估则被用来系统地识别与评价受威胁组织的价值和资产、重要性、象征意义及受威胁群体的状况。

在对航空保安控制的效率进行评价之后,航空保安风险评估还要评价威胁对于它所涉及的每个民航脆弱区域潜在的破坏效果。因此,实施风险评估是为了评价民航系统每个关键要素相关的风险,以及一旦威胁得逞可能造成的损失。多数情况下,风险评估程序试图在风险的影响后果与相应保安措施的支出之间达成经济学意义上的平衡。通过计算在推行航空保安对策的过程中必须损耗的经济资源总量,风险评估得出年度损耗预测(ALE)的分析结果,并在此基础上做出最终的决策。当然,推行航空保安对策的损耗仅仅是年度损耗预测的一部分。

二、航空保安风险的定量评估方法

航空保安风险是一个极其复杂的问题,对其采取的控制措施必须有利于最终决策。此前,风险评估与风险管理专家往往专注于事故风险、自然灾害风险、商业风险、项目风险与财政风险。近年来,组织机构越来越普遍地使用系统化的流程或工具来理解这些多样的风险,并进行优先性排序,尤其是那些可能带来灾难性后果的风险。美国的9·11事件使人们意识到,同航空保安相关的风险也是一种可能带来灾难性后果的风险类型。〔3〕虽然航空保安具有特殊的应对流程,但它的基本原理与其他风险却是相同的;虽然袭击和其他非法干扰行为属于特殊的威胁类型,但是它所带来的风险同其他威胁也是相同的。

定量的航空保安风险评估可以分解为威胁源评估、脆弱性评估和危害性评估三个步骤。威胁源评估需要评估并察觉国内外敌意组织的存在状况,评估全国或地区范围的威胁水平,评估民用机场周围的威胁水平等。脆弱性评估主要分析机场系统与民航基础设施的重要功能与关键部位,评估民航关键基础设施的保护系统,以及这些系统的易感性与脆弱性水平。危害性评估则分析对关键目标的袭击成功后可能导致的危害后果,评估因关键目标失效造成的间接损失以及恢复重建成本。

国际民航组织将以上风险评估过程归纳为几个易于测量的基本公式,并在全球范围内推行,其逻辑基础是建立在对威胁民航运输正常运行的外在风险进行定量评估之上的。该方法可以用以下公式来实现:

风险(R)=频率(F)×后果(C) (1)

频率(F)=发动袭击频率×预防措施失效的可能性 (2)

风险(R)=[威胁(T)×脆弱性(V)]×危害性(C) (3)

其中,威胁(T)是指针对某个特定目标发动特定类型袭击的可能性进行测算的结果;脆弱性(V)是指针对某个袭击事故的不同预防措施失效的可能性进行测算的结果;危害性(C)是指如果袭击成功后的负面影响范围。一个完整的风险评估基本过程如下图所示:

本流程的目标是为航空保安风险评估提供一个有效框架,以便支持民航保安预防措施的设计与优化。因此,定义风险评估框架的过程中可能面临的一个重要挑战是,在收集、整理和报告有关风险的情报信息时,确定多高的精确度才真正有助于航空保安决策的制定。在实现反恐目标的技术手段还未成熟之际,过高的甚至中等的精确度可能都没有必要。〔4〕为此,一些半定量的评估方法被开发出来,以补充单纯定量方法的不足。

三、航空保安风险的半定量评估方法

风险评估的半定量方法,是结合了定量方法与定性方法使用的。在定性方法中,常用现场调查与专家评分法来实现。这种方法通过风险识别将航空保安所有风险列出,设计风险调查表,再利用航空保安专家的经验,对各风险因素的重要性进行评估,确定每个风险因素的权重与等级值,将每个风险因素的权重和等级值相乘,求出该风险因素的得分,再将各个风险因素得分求和,最后综合成整个航空保安项目的风险得分。〔5〕

基于矩阵的半定量方法,是根据威胁源、脆弱性与后果分类来捕捉同航空保安相关的风险信息。为各类威胁源和脆弱性赋值,并对各类危害后果进行典型的损失测算,这将提供一套可用“损失程度”来表达的测量风险的数值系统。这套系统能够同实施成本直接比较,从而为相关风险等级提供一组有意义的收益/成本指数。半定量评估方法往往同定量评估方法配合使用,以最大限度地弥补各自缺陷,达到对航空保安风险进行准确测量的目的。

在国际民航组织提供的风险评估范例中,提供了易受攻击性矩阵的参考样本。〔6〕该范例包括“可能进行非法干扰的团伙矩阵”和“航空保安威胁种类矩阵”两个样本。这两个矩阵可共同构成后续风险管理过程的最后分析模型,也可根据需要单独使用。但由于航空保安威胁种类矩阵是针对机场的易受攻击性设计的,因此在矩阵分析中至少应包括该矩阵。

关于刻画团伙概况的易受攻击性矩阵,建立在以下共识基础上:任何团伙均可根据五大基本属性来组织以人为基础的“系统”。这五大属性具体为:领导、系统要素、基础结构、群众、战斗机制。无论可能从事非法行为的团伙名称是恐怖团体、反叛派别,还是犯罪组织,以上五大属性都是评估它的重心。“领导”属性包括团伙的统治阶层、合法政治代表的存在,领导者的人格魅力等等;“系统要素”指一个团伙通过监视、攫取武器、获取资金、培训人员等手段,将理论目标付诸实施的意志与能力;“基础结构”包括团伙的基层/分支组织的大小与数量、建成的通信网以及利用运输和供给线的效率等多方因素;“群众”属性指社会支持网络的状况;“战斗机制”是指为实现团伙目标而执行团伙行动所赋予的属性。根据以上五大属性,按照风险评估希望达到的分析深度,还可增加功能性细类,可包括诸如团伙实施暴行的能力、既有活动地点和历史、对宗旨的忠实程度、实施自杀性炸弹攻击的可能性等。各个重心的分值一旦总和,其结果即可提供团伙的概况,并对其进行针对民航的非法干扰行为的可能性与能力作出可靠评估。

航空保安威胁种类矩阵以六大类威胁为基础,其种类数量仅限于最经常影响民航保安任务的六类,在具体风险评估中还可扩大为其他因素。它包括可能进行非法行为的团伙的存在、民航遭受攻击的历史、内乱、经济危机情况、航班数量、高风险航班过境情况等。这些威胁种类所代表的重心不同于团伙概况的重心,更适合于国家、航空器运营人或机场对威胁的评估。将以上六类威胁种类的分值求和,就获得了预测被评价目标所面临威胁程度的可量化指标。在最终分析阶段,来源于两个矩阵的分值加在一起,其结果可直接评定出当前航空保安威胁的水平,并为采取相对应的保安策略提供半定量评估数据支撑。

四、航空保安风险评估方法的局限

首先,正如上文提到,作为航空保安管理系统(SeMS)的有机组成部分之一,准确而有效的风险评估只是保安管理的起点,它仅仅完成了三大保安原则的识别部分,其评估结果可服务于贯彻和维持的决策过程,却无法替代保安管理所起的作用。

其次,风险评估的方法始终处于发展当中,无论是定量评估、半定量评估还是定性评估,其优缺点都很明显,也不可能存在放之四海而皆准的普世方法;加上航空保安威胁的来源复杂多样,民航运行单位抵御风险的能力也不尽相同,且风险评估所依赖的数据准确性也难以保证,导致保安决策的及时有效变得愈加困难。鉴于此,风险评估需要整合多种评估工具和手段,并对通过这些工具和手段得出的不同结果进行综合分析,切忌偏信某种单一的评估结果。

最后,航空保安领域的任何评估方法,均来源于静态的风险数据,其结果也仅在静态风险状态下有效。当所评定的威胁和受威胁主体发生任何变化后,必须对现时数据进行即时审查与纠正。这样,通过适当的控制和管理,以上风险评估过程才可为公共安全专业人员和其他决策者提供持续有效的风险管理和保安行动策略参考。

五、结论

综上所述,任何一种航空保安风险分析技术的提出都是伴随着具体安全管理问题的出现和需要而产生的,都有其特有的适应范围和独特的解决问题的方式。在航空保安管理决策过程中,必须灵活地运用定量的评估方法与半定量的评估方法,取长补短,从航空保安管理决策的具体情况出发进行评估,并需要整合不同风险评价方法所得出的结果,对其进行综合、分析、计算,最后才能获得尽可能有效的航空保安风险发生概率及损害程度,这样才能为后阶段的管理决策和风险防范提供有力依据。

〔参考文献〕

〔1〕Conrow, E. H. Effective Risk Management: Some Keys to Success(2nd ed.).American Institute of Aeronautics and Astronautics, Inc,2003.

〔2〕 Galileo T., Micaela D.Risk Assessment Techniques for Civil Aviation Security.Reliability Engineering & System Safety,2011,Vol. 96(8),pp.892-899.

〔3〕B. John Garrick.Confronting the Risks of Terrorism: Making the Right Decisions.Reliability Engineering and System Safety,2004,Vol.86, pp.129-176.

篇8

1.2农机风险评价

农机风险评价是以实现人—机系统安全为目的,根据安全系统工程原理,采用科学的方法和程序识别、评估与农机有关的风险,分析农机事故的发生原因,并据此制定相关措施降低风险的过程。该过程一般从对农业机械限制的确定开始,继而通过危险辨识确定出潜在的危险有害因素,然后对风险进行评估和评定,据此采取相应措施消除或减小风险。农机风险评价的整体流程如图1所示。

2农业机械风险分析

2.1机械限制的确定

机械限制分为预定使用和可预见误用两种类型,应该考虑农业机械寿命周期的所有阶段,包括:①使用限制,主要指农业机械的适用范围以及农机操作者的限制方面(性别、年龄、用手习惯等);②空间限制,主要考虑农业机械的运动范围、安装和使用的空间要求、机械所需动力源要求等;③时间限制,具体指农业机械及其组件的“寿命”、规定保养的时间间隔等;④其他限制,如环境条件(作业时的最高温度和最低温度,气候潮湿或干燥,对粉尘和湿气的耐受力)、农机的室内管理和作业对象的特性[4]。

2.2农业机械危险识别

2.2.1农业机械危险分类

一般而言,农业机械危险主要分为3大类[5]:①机械危险,也就是作业过程中,农机设备直接造成人身伤亡事故的灾害性因素。机械危险的主要形式有挤压、剪切、拉入、缠绕、转动、蓄能和切割等。②非机械危险,主要是指在机械设备生产过程以及作业环境中能导致伤亡(非机械性损伤)事故或诱发职业病的因素。非机械危险的主要形式有电气危险(如农用电机绕组绝缘不良使外壳带电)、高热危险(如高热的机体,炽热的排气管)、噪声危险(如柴油机发动噪声)和振动危险(如手把、座椅振动)。③其他危险,这类危险主要由于操作者及其他客观条件(如路面状况、气候、危险材料和物质等)引起的,如农机道路交通事故、倾翻、绊倒和跌落等。不同机械可能产生不同形式的危险,危险识别的目的是在机械限制范围内确定并形成危险、危险环境和危险事件的清单。

2.2.2危险识别方法

危险识别主要有两种方法:自上而下和自下而上[6](如图2所示)。自上而下的方法以潜在伤害(如切断、刺伤)为出发点确定危险原因,即引发危险事件的操作、危险环境等。自下而上的方法则是以所有可能的危险为起点,在确定的危险环境下,考虑所有可能出错的途径(如人为差错、部件失效)和导致伤害的方式。两种方法相比较后者考虑较为全面,但过程复杂,所需时间较长。

2.3农业机械风险评估

机械伤害产生的前提是要有危险的存在,但有危险不一定都产生伤害。风险评估的目的是根据危险识别的结果对每种危险状态的风险要素进行评估,进而确定风险,并对其进行等级划分。根据风险的定义,一般把事故发生概率和事故后果严重程度作为基本的风险要素。

2.3.1事故发生概率的确定

根据相关资料,农机事故发生概率主要受以下3个因素的影响:操作人员在危险中的暴露程度、危险事件的发生状况、限制或者避免危险事件发生的可能性。据此可以根据下面的内容来确定事故发生概率这一风险要素的等级:1)操作人员暴露于危险区域的时间以及进入危险区域的人数和频率。等级划分一般为:罕见暴露、偶然暴露、每天工作时间暴露和连续暴露。2)危险事件发生频率,等级划分一般为:几乎不发生、不太可能发生、可能发生、非常可能发生和必然发生。3)限制或避免伤害发生的可能性,等级划分一般为:不可能和可能。

2.3.2事故后果严重程度的确定

该要素的等级可以通过受伤害人数和人体健康受伤害的严重程度来确定,可以把以往的历史数据作为基础资料,将事故后果严重程度等级划分如下:1)灾难性的:导致死亡或永久残废的伤害或疾病;2)严重的:导致人体严重虚弱的伤害或疾病;3)中等的:要求救护的显著伤害或疾病;4)轻微的:至多需要急救的轻伤或没有受伤。

2.4农业机械风险评估方法选择

风险评估方法包括定性评估和定量评估两类。可应用于农业机械风险评估的方法主要有风险矩阵法、风险图法、评分法以及综合评估法等。这些方法不但可以对风险水平进行排序,还可以通过减少风险的多少去评估采取的措施,进而选择最佳解决办法。风险矩阵法[7]是其中应用较广的一种机械风险评估方法,它针对每一类危险要素,将决定危险的两个风险因素划分为相应等级,形成矩阵,从而根据交叉单元对风险大小进行定性评估。风险矩阵法主要包括4个步骤:选择风险矩阵、评价事故发生概率、评价事故后果严重程度和确定风险等级。其中,在风险矩阵的选择方面,对于同一个危险要素,不同的风险矩阵可以选择不同风险等级。等级范围通常选择3级到10级,最常用的等级是4级和5级。表1给出了风险等级为4级的风险矩阵列表。

3风险评定

在风险评估之后要进行风险评定,即根据选择的评价方法对评估出的全部风险要素的综合作用进行评定。评定完成之后会得到相应的风险列表排序,然后结合实际情况和具体机械,与可接受的风险等级进行比较,如果风险在可接受范围内,则该风险评价过程结束;如果风险是不可接受的,则需要采取措施减小风险,然后再次按照图1的流程进行风险评价,直到所有风险都达到风险可接受的范围。

4基于WSR的农机风险减少策略

WSR是“物理(wuli)—事理(shili)—人理(ren-li)”方法论的简称[8],它是一种带有东方色彩的方法论,也是一种解决复杂问题的工具,由中国学者在1994年提出。其中,物理指物质运动机理、运动规律的总和;事理指做事的道理,也就是管理规律,决策方法等;人理指整个活动群体中的各种人际关系。根据WSR理论,在处理复杂问题时既要考虑对象“物”的方面,又要考虑这些“物”如何被更好地运用于“事”,同时还必须考虑人在认识问题、处理问题以及实施管理决策中的作用。把W,S,R放在一起,从而达到知物理,明事理,通人理,系统、完整地解决问题。作为一种方法论,WSR在具体的实践过程中具有重要的指导作用。

4.1农业机械风险减小的“物理”基础

风险减少中的“物理”因素主要包括农业机械的设计原理、操作规程以及识别出的所有危险因素等各种客观存在。这些客观存在是对农机安全的正确认识,是符合农机安全规律的科学基础,也是采取有效措施减少风险的前提。因此,在拟定安全措施前要根据原有物质基础对备选解决方案的可操作性进行把握。

4.2农业机械风险减小的“事理”准则

风险减小需要采取一定的措施,而措施的拟定就是在“物理”的基础上进行“事理”分析的过程,也就是要根据风险评定结果,寻求降低风险的最佳解决方案,并力求以最小投入达到最优结果。风险减小中的“事理”主要体现在:①在明确“物理”因素的基础上,寻求更有效地降低风险的方法和途径。例如,农机上转动手柄的人性化设计、农业机械安全设计技术创新方向的判断等都是“事理”因素在技术层面上的体现。②根据风险评定结果,编制农机安全事故应急预案。应急预案是应急行动快速、高效实施的保证,可以严防事故进一步扩大,有助于将事故对人员、财产的损失降至最低程度。农机事故应急预案是从根本上降低损失、减小风险的措施,因此也属于“事理”的一种体现。③个人的行为方式和特点对风险减少措施制定和实施的影响。对于同一种危险因素,不同的人可能主张采取不同措施来降低风险。这是由不同个体知识储备、经验以及能力等方面的差异造成的,属于正常现象,也是“事理”因素发挥作用的一种表现形式。在风险减小措施的制定过程中,“事理”因素居于首要地位,只有做到“明事理”才能快速找到减小风险的最优措施。

4.3农业机械风险减小的“人理”保障

风险减小的目的主要是为了保障人员安全,而这一过程也是通过人来实现的,因此人在整个风险减小措施制定的过程中居于主体地位,这是“人理”因素的体现。制定措施减小风险的过程也是一个决策过程,该过程中涉及到的人员比较复杂,设计者、监理方以及使用者三方人员代表不同的利益范畴,对风险的要求由于身份的不同而有所差别。同时,每个人的情绪、心理素质、价值取向、行为动机等都会存在差距,并且这种差距一直处于动态变化之中,因此在制定风险减小措施的过程中应该寻找那些能够制约或者推动个人行为的影响因素并加以重视,从而保证所选方案的顺利实施。此外,从宏观方面来看,农业机械化的法制建设也属于农机风险减少的“人理”范畴。健全的立法机制可以促使相关人员在农业机械的生产、使用、维修等过程中按规定办事,可以在一定程度上减小风险。与国外相比[9],我国的农业机械化立法机制还不够健全,应当吸取经验,不断完善。简而言之,“人理”就是风险减小过程中所有涉及人员的相互关系及其变化过程,并且通过研究和理顺这种关系,促使有关人员在现有“物理”的基础上,按照可接受的“事理”将农业机械风险控制在可接受水平之内。由此可见,“人理”在3者之中处于主体地位,是农业机械风险减少的保障。

篇9

[中图分类号] F270.7; TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)01- 0074- 03

1 信息安全体系的重要性

随着信息技术不断发展,信息系统已经成为一种不可缺少的信息交换工具,企业对于信息资源的依赖程度也越来越大。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性等特点,再加上本身存在技术弱点和人为的疏忽,导致信息系统容易受到计算机病毒、黑客或恶意软件的入侵,致使信息被破坏或窃取,使得信息系统比传统的实物资产显得更加脆弱。在这种大环境下,企业必须加强信息安全管理能力。但企业不单面临着信息安全方面问题,同时还面临经营合规方面的问题、系统可用性问题以及业务可持续问题等越来越多的问题。因此,要求我们探索建立一套完善的体系,来有效地保障信息系统的全面安全。

2 信息安全体系建设理论依据

信息安全管理体系(Information Security Management System, ISMS)是企业整体管理体系的一个部分,是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

在建设信息安全管理体系的方法上,ISO 27001标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上说,这些管理体系都遵循所谓的PROC过程方法。

PROC 过程模型 (Preparation-Realization-Operation-Certification)是对PDCA 管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。PROC模型如图1所示。

3 信息安全体系建设过程

根据以往经验,整个信息安全管理体系建设项目可划分成5个阶段,如果每项内容的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设总体目标,最终通过ISO/IEC 27001认证。

调研阶段: 对业务范围内所有制度包括内部的管理规定或内控相关规定,对公司目前的管理状况进行系统、全面的了解和分析。通过技术人员人工检查和软件检测等方式对组织内部分关键网络、服务器等设备进行抽样漏洞扫描,并形成《漏洞扫描风险评估报告》。

资产识别与风险评估阶段: 针对组织内部人员的实际情况,进行信息安全基础知识的普及和培训工作,让每位员工对信息安全体系建设活动有充分的理解和认识。对内部所有相关信息安全资产进行全面梳理,并且按照ISO/IEC 27001相关的信息资产识别和风险评估的要求,完成《信息资产清单》、《信息资产风险评估表》和《风险评估报告》。

设计策划阶段:通过分组现场讨论、领导访谈等多种方式对各业务部门涉及的信息安全相关内容进行细致研究和讨论。针对现有信息安全问题和潜在信息安全风险建立有效的防范和检查机制,并且形成有持续改进功能的信息安全监督审核管理制度,最终形成严格遵守ISO/IEC 27001认证审核标准的、符合组织业务发展需要的《信息安全管理体系文件》。体系对文件控制、记录控制、内部审核管理、管理评审、纠正预防措施控制、信息安全交流管理、信息资产管理、人力资源安全管理、物理环境安全、通信与操作管理(包括:笔记本电脑管理、变更管理、补丁管理、第三方服务管理、防范病毒及恶意软件管理、机房管理规定、介质管理规定、软件管理规定、数据备份管理、系统监控管理规定、电子邮件管理规定、设备管理规定)、访问控制、信息系统获取开发和维护、信息安全事件管理、业务持续性控制、符合性相关程序进行全面界定和要求。

实施阶段:项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,管理者需要正式ISMS 体系并要求开始实施,通过普遍的培训活动来推广执行。 ISMS 建立起来(体系文件正式实施) 之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查己建立的ISMS是否符合ISO/IEC 27001标准以及企业规范的要求。

认证阶段:经过一定时间运行,ISMS 达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。

4 信息安全体系建立的意义

通过建立信息安全管理体系,我们对信息安全事件及风险有了较为清楚的认识,同时掌握了一些规避和处理信息安全风险的方法,更重要的是我们重新梳理了组织内信息安全体系范围,明确了信息安全系统中人员相关职责,对维护范围内的各信息系统进行了全面的风险评估,并且通过风险评估涉及的内容确定了具体的控制目标和控制方式,引入了持续改进的戴明环管理思想,保证了体系运转的有效性。具体效果如下:

(1) 制定了信息安全方针和多层次的安全策略,为各项信息安全管理活动提供指引和支持。

(2) 通过信息风险评估挖掘了组织真实的信息安全需求。

加强了人员安全意识,建立了以预防为主的信息安全理念。

(3) 根据信息安全发展趋势,建立了动态管理和持续改进的思想。

5 决定体系建立的重要因素

5.1 加强人员安全意识是推动体系实施的重要保障

信息安全体系在一个企业的成功建立并运行,需要整个企业从上到下的全体成员都有安全意识,并具备信息安全体系相关理论基础,才能保障信息安全体系各项活动内容顺利开展。为保证信息安全体系相关任务的执行人员能够尽职尽责,组织要确定体系内人员的职责;给予相关人员适当的培训,必要时,需要为特定任务招聘有经验的人员;评估培训效果。组织必须确保相关人员能够意识到其所进行的信息安全活动的重要性,并且清楚各自在实现ISMS 目标过程中参与的方式。

ISMS 培训工作应该分层次、分阶段、循序渐进地进行。借助培训,组织一方面可以向一般员工宣贯安全策略、提升其安全意识;另一方面,也可以向特定人员传递专业技能(例如风险评估方法、策略制定方法、安全操作技术等)。此外,面向管理人员的培训,能够提升组织整体的信息安全管理水平。通常来讲,组织应该考虑实施的培训内容包括:

(1) 信息安全意识培训。在ISMS实施伊始或最终运行阶段,组织可以为所有人员提供信息安全意识培训,目的在于让所有与ISMS 相关的人员都了解信息安全管理基本要领,理解信息安全策略,知道信息安全问题所在,掌握应对和解决问题的方法和途径。

(2) 信息安全管理基础培训。在ISMS准备阶段,组织可以向ISMS项目实施相关人员 (例如风险评估小组人员、各部门代表等)提供1SO/IEC 27001基础培训,通过短期学习,帮助大家掌握ISO/IEC 27001标准的精髓,理解自身角色和责任,从而在ISMS项目实施过程中起到应有的作用。

(3) ISMS实施培训。组织可以向ISMS项目的核心人员提供ISMS实施方法的培训,包括风险评估方法、策略制定方法等,目的在于协作配合,共同推动ISMS项目有序且顺利地进行。

(4) 信息安全综合技能培训。为了让ISMS能够长期稳定地运行下去,组织可以为相关人员提供信息安全操作技能的培训,目的在于提高其运营ISMS的技术能力,掌握处理问题的思路和方法。

5.2 建立符合企业需求的ISMS,保障体系顺利落地

(1) 根据业务需求明确ISMS范围。范围的界定要从组织的业务出发,通过分析业务流程(尤其是核心业务),找到与此相关的人员、部门和职能,然后确定业务流程所依赖的信息系统和场所环境,最终从逻辑上和物理上对ISMS 的范围予以明确。需要注意的是,组织确定的ISMS 范围,必须是适合内外部客户所需的,且包含了与所有对信息安全具有影响的合作伙伴、供货商和客户的接触关系。为此,组织应该通过合同、服务水平协议 (SLA)、谅解备忘录等方式来说明其在与合作伙伴、供货商以及客户接触时实施了信息安全管理。

(2) 利用客观风险评估工具。风险评估应尽可能采用客观的风险评估工具,保证评估的准确、翔实。有效利用各种工具,可以帮助评估者更准确更全面地采集和分析数据,提升工作的自动化水平,并且最大程度上减少人为失误。当然,风险评估工具并不局限于完全技术性的产品,事实上很多评估工具都是评估者经验积累的成果,如调查问卷、扫描工具、风险评估软件等。

(3) 构建合理的ISMS文件体系。文件首先应该符合业务运作和安全控制的实际情况,应该具有可操作性;不同层次的文件之间应该保持紧密关系并且协调一致,不能存在相互矛盾的地方;编写ISMS文件时,除了依据标准和相关法律法规之外,组织还应该充分考虑现行的策略、程序、制度和规范,有所继承,有所修正。

6 结 论

企业的生存和发展,有赖于企业各项业务、管理活动的健康有序的进行,而信息化是企业一切业务、管理活动所依赖的基础。信息系统是否能够稳定、可靠、有效运作,直接关系到企业各项业务活动是否能够持续。因此,我们要对信息系统的保密性、完整性、可控性、可用性等提出全面具体的要求,建立持续改进的信息安全体系运行机制。在信息安全体系的全面应用过程中,必须重点关注以下重要事项:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织的文化保持一致;来自高级管理层的明确的支持和承诺;向所有管理者和员工有效地推广安全意识;提供适当的培训和教育。

主要参考文献

篇10

二、评估标准

由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。

ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。

为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。

三、评估流程

《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。

据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:

(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。

在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。

设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则

相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)

(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。

(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。

(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。

(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。

四、评估实例

本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。

1.资产识别与评估

数字校园的资产识别与评估包括资产识别和资产价值计算。

(1)资产识别

信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。

(2)资产价值计算

获得数字校园的信息资产详细列表后,资产识别小 组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。

由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。

因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。

2.威胁和脆弱性识别与评估

数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。

脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。

技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。

管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。

3.风险计算

完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。

对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。

将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。

本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。

风险计算的具体步骤是:

(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;

(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;

(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;

(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;

(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;

(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。

所有等级值均采用五级制,1级最低,5级最高。

五、结束语

数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。

参考文献:

篇11

一、银行监管评级系统

银行机构监管评级是从现场检查评估的基础上发展起来的。经过最近几年的发展,这种方法也被应用到非现场监管活动中。无论是在监管当局有权进行现场检查还是无权进行现场检查的监管体制下,银行监管评级系统都有助于确认出那些其状况需要引起特别注意的机构。

1.监管评级实践

在20世纪90年代,美国监管当局通过使用CAMEL评级系统,首次将评级方法引入银行机构现场检查活动中。它被美联储、OCC,以及美国存款保险公司(FDIC)等三家监管机构所使用。综合评级结果处于1(最好)和5(最差)的范围之间。问题银行案例(CAMELS评级为4级或5级的机构)的现场检查更频繁,评级结果也更频繁。与此相反,在稳健性银行案例中(CAMELS评级为1级或者2级的银行),现场检查可能只是每隔18个月做一次,同时评级结果相应的每一年或半年更新一次。

美联储使用BOPEC现场检查评级系统对银行控股公司进行评级。BOPEC评级方法来源于BOPEC的五个组成部分,即:被银行存款保险基金覆盖的银行分支机构(B),其他分支机构(O),母公司(P),盈利(E)和资本(C),加上一个独立的管理评级,BOPEC方法的每个组成部分的评级结果被标度成从1(最好)到5(最差)的范围。

在20世纪90年代中期,美国的FDIC监管当局,发展和采用了一种季度性的非现场评级系统,即CAEL。作为一个专家系统CAEL,利用简单的比率分析给出一个银行机构的季度性非现场评级结果。它利用银行季度性的监管性财务报告(call report)计算财务比率,以便在0.5(最好)到5.5(最差)的标度范围内给出银行的评级结果。

法国银行业委员会于1997年引入了年度的“防护行动的组织和加强”(ORAP)评级系统,作为一种针对单体银行的多因素分析系统。ORAP系统工作在一个经过了标准化和形式化的框架内,在14个方面给出具体的评级。每个评价内容都被划分成1(最好)到5(最差)之间的不同等级。

2.评论

现场检查评级可以有效评价一个银行机构当期财务状况和确认存在的问题。评级给出了银行机构财务状况的参照点,但评级系统的有效时间可能较短。现场检查评级方法并不是特别为跟踪银行机构财务状况变化而设计的,并且其结果可能在检查过程完成后不久就变得不可靠。美国的研究表明,尽管现场检查评级方法具有融合监管机密信息和通过监管及公共渠道可获得的信息的优点,但在现场检查过程结束两个季度后,这种信息内容的价值将开始失去价值。银行监管评级不能提供事前的观察,也不能用来把将来可能发生倒闭的银行从将来可能继续存在的银行中区分出来。而且,他们通常提供银行机构现存问题事后的特征。监管者应用评级方法主要来确认出那些需要立即采取特别监管措施的银行。

二、财务比率和同质同类组分析系统

1.财务比率和同质同类组分析

银行的财务状况被公认为一个相对一致的变量集。这些变量包括一些对资本充足、资产质量、盈利性和流动性的测量,大量的财务比率指标被应用到财务比率和同质同类组分析系统里面。同质同类组分析是通过将一组银行的财务比率放在一起来进行的。

2.各国应用情况

20世纪90年代后期,美联储发展了单体银行监测系统,来对单体银行进行更详细更具体的财务比率分析,同时将财务比率作为对具有潜在问题银行的一个基本过滤器。监测系统提供30种以上的监管类财务测度。这些测度根据银行的报告每季度测量一次。单体银行监测系统在发现银行机构的潜在脆弱性,以及银行的显著性变化的方面起到了重要的作用。

德国1997年采用的BAKred信息系统(BAKIS),是一个被德国央行与监管当局共同使用的综合性标准化信息系统。该系统采用财务比率和同质同类组分析作为该系统里面进行风险评估的一个组成内容。该系统使用了19个信用风险比率(包括清偿能力),16个市场风险比率和2个流动性风险比率。同时还有10个关于盈利性的补充性比率。在给定的任何时间点上的一个同质同类组内,该系统可以用来审核单体银行的财务比率或者根据风险类别来划分的比率。

在荷兰银行,财务比率和同质同类组分析被作为一种观察系统来使用,它包括三个产生预警信息的模块。监管当局基于银行评级结果进行估计的预测系统,输入包括一些精选的关键业绩指标,这些指标来自监管报告、年度会计报告、市场信息如一些可获得的外部评级和股价信息,以及一些宏观经济数据。

风险评估,监管工具以及估计(RATE)的框架,被英格兰银行发展成为一个综合的银行风险评估系统,并于1998年被英国金融服务机构(FSA)应用,在其对银行机构进行正式的风险评估阶段,也使用了关键比率趋势和同质同类组分析方法。

3.评 论

财务比率和同质同类组分析被看成对银行检查的一个有价值的补充。这种方法已经成为非现场监测过程的一部分,并作为一个进行持续性监管的基本的最小化的工具集。然而,最近几年,它已经从一种对某些暗含在现场检查过程中的主要财务比率进行简单的非现场计算方法进化为一种正式的风险评估工具,并使用了很多不同的具有统计形式的比率。

然而,财务比率和同质同类组分析不足以确认出银行所经历的风险的本质,特别是大型银行和专业性银行机构。财务比率是从大量变量中选出来的,各比率与银行机构财务状况之间的相关程度不一定显著到中以使它们被选入系统。给每个比率分配的权重也会显示出一些局限性。这些权重可能仅仅是在检查者个人的经验基础上被确定的,一旦权重被给定,它们将维持不变,并有可能无法根据短暂的变化做出调整,这使评估效果大打折扣。

三、银行风险综合评估系统

银行风险综合评估系统对银行机构整体风险进行全面详细评估。该方法将银行或银行集团分解为显著的业务单位,然后依照一些具体的标准对经营风险、内部结构与控制进行评估,根据标准分类判定分数,得出银行或银行集团的最终评估分数。这一方法已发展并在最近被两家G10监管权威机构所采用。

1.各国应用情况

在英国,单体银行正式全面的风险评估是由英格兰银行引入的“比率风险评估体系”的一部分,目前为英国金融服务管理局所应用。这一系统对重要经营单位的正式风险评估在对银行集团经营风险的九个评估因素的基础上完成。每个经营领域的风险基于六个评估因素,CAMEL-B,即资本、资产、市场风险、收益、负债和业务及不可量化的风险如操作风险、法律风险和信誉风险。

荷兰银行在1999年建立并运用了银行风险综合评估方法“风险分析支持工具”(RAST)。所有的风险和控制的类别都根据一个预设的矩阵被赋予了权重。所有的评估都在1-4的范围内打分,其中1代表最低的风险或是最好的控制,而4代表最高的风险和最低的控制。机构风险评估结果要与其偿债能力(资本比例)和盈利能力(股本回报率)作比较,分析结果用于为每个单独机构的监管检查作计划。

尽管英国FSA和荷兰银行所涉及的理解风险评估的方法很相似,二者仍有几处重要的不同。RATE汇总的方法论与整个机构的风险类别的汇总相关,相反的是,RAST的汇总与商业单位和基本活动相关。另外,RATE将资本和盈利认为是特定的风险单元,RAST仅仅认为它们是数据,用于在评估结束时比较与评估机构的最后得分。

2.评述

银行风险综合评估系统涉及到对银行风险的定性和定量评估,由于国内外的监督机构可能也对相同的银行机构单体机构或集团,所以需要互动才能全面评价单体机构或集团。该方法唯一同时适用于并表和非并表的单体机构或集团。

四、统计模型

统计模型和前面描述的三种方法在两个基本的方面存在差异。首先,统计模型直接反映可能导致银行机构出现问题的风险。统计模型力图在经营出现困难或者倒闭发生之前确认高风险银行。这是与其他三种方法注重银行当期状况的目标是不同的。其次,模型使用了先进的定量技术,用来确定解释变量与诸如银行的脆弱性、经营困难,以及倒闭和生存等运营结果之间的因果关系。第三,统计模型涉及到久期模型,久期不仅用来进行估计银行的倒闭概率,而且用来估计银行倒闭的可能时间。

1.各国应用情况

目前,只有美国和法国监管当局使用了统计模型。美联储和美国存款保险公司把统计模型作为非现场监管工具。为评估统计模型,美国监管当局运用了20 世纪80年代和90早期发生的倒闭银行数据。法国银行业委员会通过应用个人信用数据库和法兰西银行的统计,来构建自己的统计模型。美国货币监理署和意大利银行目前正在开发和测试早期预警模型。但这些开发或使用中的模型的方法论多种多样,分为(a)估计评级和评级降级的模型;(b)预测倒闭和生存的模型;(c)预期损失模型和(d)其他模型。

(1)估计评级和评级降级的模型

美联储在1993年为了估计检查评级结果而开发了一个双变量模型系统(SEER),SEER评级模型采用了多项式LOGISTIC回归,根据银行最近的报告数据来估计银行可能的骆驼评级结果。

1995年,美国存款保险公司开发了非现场骆驼统计评级模型(SCOR)取代CAEL非现场评级系统。该模型使用了LOGIT模型估计CAMELS评级为1或2 的银行发生降级的可能性。在SCOR模型下,评级估计的时间水平是4~6个月。估计结果将要经过12个到18个月以上的检验,但是超过6个月后其结果的精确性将开始降低。

(2)倒闭和生存预测模型

美联储SEER模型估计在随后两年中银行发生倒闭(或者平均资产的有形权益比率低于2%)的概率。该估计是建立在对银行最新的财务报告的提供的财务状况的测量基础上的。该模型采用了双变量PROBIT(概率单位)回归技术估计倒闭概率。该模型利用美国1985-1999年期间倒闭银行的特征估计银行倒闭与财务信息间的统计关系。

意大利银行正在开发久期模型,不仅用来评估银行倒闭的可能性,还包括倒闭时间。考虑到意大利有关倒闭机构的数据集充分性和广泛性不足,“倒闭”的定义已经被调整,它将经营发生重大困难的银行,或者那些被清算以及因经营艰难而被接管的银行。

(3)预期损失模型

1997年,法国银行业委员会开始采用银行业分析支持系统(简称SAABA)模型。尽管该模型是一个统计模型,但它也可以通过定性评估来完善定量分析。通过3年期个体潜在损失额加总得出整个信用资产组合的潜在损失总额。该潜在损失总额数据再根据现有准备金水平进行调整,未调整的余额表示未来潜在损失,它要从银行自由资金的当前存量中扣除。如果调整后银行自有资金仍然超过8%的最低资本金要求,那么该银行在未来3年中将保持偿付能力。

(4)其他模型

形成于20世纪80年代中期的美国联邦存款保险公司(FDIC)增长监测系统(GMS)是一种简单的早期预警系统,它以6个概要性指标的水平及季度趋势为基础计算得到综合增长监测系统(GMS)得分。拥有最高的综合GMS得分百分点(目前为95-99个百分点)则需要进一步的非现场监管,监管当局也可以对得分低于95个百分点的银行、特别是CAMEL评级得分不高的银行实施额外监管。

1995年,英格兰银行提出(但未实施)了触发比率调整机制(TRAM)早期预警模型,该模型通过各种统计方法和主观判断对银行业机构实施评估。此类评估涉及银行业功能的三个主要方面,即利润流、风险情况,以及控制与结构。各组成部分分数及TRAM总分数较高,将表明该银行业机构存在潜在问题。

2. 评述

早期预警统计模型依据严格的定量分析。因此,模型中没能反映诸如管理质量、内部控制以及信用文化、承销标准等银行特有的定性因素的影响。但事实上,定性因素特别是管理效率高低也是银行破产的重要原因。然而,很少有模型将管理质量进行量化或为管理绩效寻找现实可行的替代指标。这些模型也没有考虑由于诸如欺诈或行为不当等其他非金融因素导致的破产风险。

在统计模型中,重要的是正确识别因果变量及其相互关系以确保包括重要变量,排除伪造变量。而且,辨别因果关系的一致性同样重要。模型中包含的变量需要严格的统计程序和经济推理。在模型中,在评估期被固定时,自变量一旦被选定也应固定不变,这一点尤为关键。变量的选择应建立在对其解释和预测能力进行严格统计检验的基础上。在动态模型中,在评估期变动的情况下,应定期对解释变量的重要性进行检验,一旦检验结果显示其作为解释和预测变量的重要性已下降,这些变量从模型中排除。

至于变量的选择,赋予的权重取决于单个解释变量的重要性和预测能力,并经过严格的检验确定下来。而且,为确保评估的准确性,赋予解释变量的权重应保持连续性。

获取大量清晰可靠的原始数据是早期预警模型运行的关键因素。模型预测结果的可靠性取决于输入的原始数据的准确性。这不仅涉及到银行应监管要求所报告数据的种类和完整性,还涉及到应用于模型的其他数据库的可得性和完整性。一些已经使用早期预警模型的监管当局在不断努力改善原始数据的质量、种类和完整性。美国监管当局正在探索在其早期预警模型中使用私有部门信贷管理局数据的可能性。

尽管一些早期预警模型已经获得满意的结果,但其应用范围仍然有限。在一般的机构和时间内,正确地预测评级下降的概率、破产或幸存的概率、预期损失或破产倒闭等被证明是非常困难的。由于早期预警模型的发展还处于初始阶段,需要开展进一步的工作以改善其绩效。

参考文献:

[1]Alejandro Gaytán and Christian A. Johnson, 2002,”A Review Of The Literature On Early Warning Systems For Banking Crises,” Central Bank Of Chile Working Papers No. 183,2-5

[2]Financial Services Authority, 2006,”The FSA’s Risk Assessment Framework” ,5-10

篇12

无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,

实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。

信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

外来和尚好念经

组织在确定实施ISMS建设及ISO27001认证项目之后,通常有两种途径可以去操作,一种是自己做,在组织内部成立专人专项工作组,按照计划自我实施。另一种就是选择有实力的咨询机构,帮助组织完成此项目。两种途径各有所长,关键是看组织自身特点和看问题的角度。如果组织规模不大、业务模式简单、信息系统也不复杂,而且自身对信息安全的认识和运作已经达到了一定高度,有胜任的人员,选择自我实施就是比较经济快捷的途径。不过,如果组织规模较大、组织结构相互关联、对IT的依赖广泛,更重要的是,组织本身对信息安全的意识和运作还处于较低水平,或者发展并不均衡,这就需要有外部力量来进行引导,他们以公正独立的姿态,把一些成熟的经验移植过来,以最直接快速的方式发现组织现有问题并对症下药。此外,有经验的咨询机构和顾问通常都能比较好地把握认证机构的“偏好”和习惯,这一点尤其对最终应对审核很重要。一般来说,咨询机构可以在人员培训、全程辅导、后续支持等方面给予组织大力的支持。所谓的“当局者迷,旁观者清”、“外来和尚好念经”,在ISMS建设及认证项目上也是这个道理。

当然,无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,实施ISMS认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。

完善计划渠自成

在建设信息安全管理体系的方法上,ISO27001标准为我们提供了指导性建议,即基于PDCA的持续改进的管理模式。PDCA是一种通用的管理模式,适用于任何管理活动,体现了一种持续改进、维持平衡的思想,但具体到ISMS建立及认证项目上,就显得不够明确和细致,组织必须还要有一套切实可行的方法论,以符合项目过程实施的要求。在这方面,ISMS实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如ISO9001、ISO14001、TS16949等,大致上说,这些管理体系都遵循所谓的PROC过程方法。

PROC过程模型(Preparation-Realization-Operation-Certification)是对PDCA管理模式的一种细化,它更富有针对性和实效性,并且更贴近认证审核自身的特点。

PROC模式将整个信息安全管理体系建设项目划分成四个阶段,共包含15项关键的活动,如果每项具有前后关联关系的活动都能很好地完整,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001认证并获得认可更是水到渠成的事情。

准备阶段(Preparation):在准备阶段,项目小组要对ISMS实施及认证做好预备工作,明确ISMS实施范围,提供相关资源,建立总体的安全管理方针,进行前期培训和预先评估,分析了解业务状况,进行详细的风险评估,发掘安全需求。这一阶段包括以下五项关键活动:

・项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。

・前期培训:信息安全管理基础,风险评估方法。

・预先审核:初步了解信息安全现状,分析与ISO27001标准要求的差距。

・业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。

・风险评估:资产、威胁、弱点、风险识别与评估。

实现阶段(Realization):在实现阶段,项目小组要组织相关资源,依据风险评估结果选择控制措施,为实施有效的风险处理做好计划,同时编写、测试、修订并完善ISMS运行和认证所需的文档体系,管理者需要正式ISMS体系并要求开始实施,通过普遍的培训活动来推广执行。此阶段包括四项关键活动:

・风险处理:针对风险问题,做文件编写规划、BCP规划和技术方案规划。

・文件编写:编写ISMS各级文件,多次Review及修订,管理层讨论确认。

・实施:ISMS实施计划,体系文件,控制措施实施。

・中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。

运行阶段(Operation):ISMS建立起来(体系文件正式实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。在此阶段,应该培训专门人员,建立起内部审查机制,通过内部审计、管理评审和模拟认证,来检查已建立的ISMS是否符合ISO27001标准以及企业自己规范的要求。此阶段的关键活动有四项:

・认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。

・后期培训:审核员等角色的专业技能培训。

・内部审核:审核计划,Checklist,内部审核,不符合项整改。

・管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。

认证阶段(Certification):经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。此阶段的关键活动就是为认证做好准备:

篇13

近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。

公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。

2 企业信息安全管理体系建设过程

凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。

2.1 确立范围

首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。

从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。

2.2 安全风险评估

企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。

本次进行的安全评估,主要包括两方面的内容:

2.2.1 企业安全管理类的评估

通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。

评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。

2.2.2 企业安全技术类评估

基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。

针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。

提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:

在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。

2.3 规划体系建设方案

企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。

规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。

在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。

2.4 企业信息安全体系建设

企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。

安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。

其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:

2.5 体系运行及改进

信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。

有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。

3 总结

总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。

[参考文献]