緒論：寫作既是個人情感的抒發(fā)，也是對學術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇等級保護和風險評估范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1引言

近年來，地區(qū)地方經(jīng)濟的快速發(fā)展，用戶負荷需求水平不斷創(chuàng)出新高，電網(wǎng)規(guī)模也隨之不斷擴大，直接導致地區(qū)電網(wǎng)結(jié)構(gòu)和運行方式更加復雜，對電網(wǎng)安全運行提出更高的要求，給調(diào)控中心工作人員的日常工作帶來巨大挑戰(zhàn)。為防止人工進行運行方式評估造成遺漏，開展電網(wǎng)運行安全評估技術(shù)的研究與應(yīng)用，開發(fā)一套“電網(wǎng)運行風險評估與輔助決策系統(tǒng)”（下稱評估系統(tǒng)），為電網(wǎng)運行安全風險評估及輔助決策提供科學決策依據(jù)。

2系統(tǒng)技術(shù)路線

評估系統(tǒng)采用面向?qū)ο蠹夹g(shù)和模塊化思想，基于IEC61970、SVG標準構(gòu)建電網(wǎng)模型，并實現(xiàn)數(shù)據(jù)的同步更新及電網(wǎng)運行方式的圖形化操作、人機交互等功能。通過深入研究電網(wǎng)運行安全風險有關(guān)規(guī)程規(guī)范及風險評估理論，建立一套較為完整的風險評估指標體系和風險評估模型，對電網(wǎng)元件和系統(tǒng)的風險水平進行合理的風險分級?；诰W(wǎng)絡(luò)拓撲結(jié)構(gòu)的樹搜索法和風險評估模型，快速搜索當前電網(wǎng)的薄弱環(huán)節(jié)和脆弱節(jié)點，對電網(wǎng)運行可能存在的事故風險進行預(yù)警，以圖形界面的形式友好直觀展示出來，同時依據(jù)電力系統(tǒng)安全穩(wěn)定控制相關(guān)規(guī)定和導則，構(gòu)建專家系統(tǒng)規(guī)則知識庫及啟發(fā)式規(guī)則，運用基于網(wǎng)絡(luò)拓撲結(jié)構(gòu)的啟發(fā)式搜索算法，結(jié)合電網(wǎng)負載分布情況，對電網(wǎng)可能發(fā)生的事故風險提出相應(yīng)的防范措施及事故風險恢復供電預(yù)案，并提交電網(wǎng)安全運行風險評估及輔助決策報告。

3主要研究內(nèi)容

（1）收集、分析電網(wǎng)的網(wǎng)架架構(gòu)、統(tǒng)調(diào)及未統(tǒng)調(diào)電源、各類用戶負荷，電網(wǎng)大、小運行方式等全面數(shù)據(jù)，研究國家電網(wǎng)、安徽省電力公司、蚌埠供電公司關(guān)于電網(wǎng)調(diào)度運行安全風險評估相關(guān)技術(shù)文件和地方規(guī)定。（2）研究基于IEC61970CIM模型標準化技術(shù)和可復用公共圖形標準SVG，設(shè)計電網(wǎng)靜態(tài)模型（設(shè)備臺帳、物理連接、電網(wǎng)圖形）的準實時同步方法，研究IEC104遠動通信規(guī)約，設(shè)計運行數(shù)據(jù)實時獲取方案，達到調(diào)度自動化高級應(yīng)用功能的“即插即用”與少維護，保護資源。（3）研究電網(wǎng)風險評估理論及電網(wǎng)風險評估指標體系，構(gòu)建風險等級指標庫，對風險評估指標進行量化分級。（4）量化評估電網(wǎng)運行安全風險，科學確定電網(wǎng)運行安全風險級別，更好地指導開展電網(wǎng)安全風險評估工作，研究電網(wǎng)運行安全風險的量化評估和等級確定的具體方法。（5）研究地區(qū)電網(wǎng)運行方式風險評估模型，電網(wǎng)運行方式風險評估主要包括：系統(tǒng)風險指標體系和風險分析模塊。系統(tǒng)風險指標體系主要從電網(wǎng)分區(qū)、重要用戶、電壓等級、負荷分布及損失等方面對電網(wǎng)運行風險等級進行劃分。風險分析模塊，負責對電網(wǎng)運行風險進行分析，給出電網(wǎng)在正常運行方式下某設(shè)備故障(停運)后引起風險事故造成的風險級別，該模塊分風險辨識和風險估計兩個方面。風險辨識主要對正常運行方式下某設(shè)備進行預(yù)設(shè)故障(檢修/停運)進行風險評估，結(jié)合設(shè)備的保護措施，以影響停電區(qū)域最小為目標最終確定該設(shè)備故障(檢修/停運)造成的停電風險事故。風險估計通過對后果進行分析，給出該設(shè)備造成風險事故過程中開關(guān)變位、二次設(shè)備動作信息的情景分析，參照風險指標體系給出事故后果造成的停電區(qū)域、減供負荷、重要用戶停電等損失分析。風險評估模型根據(jù)損失分析結(jié)果最終給出該設(shè)備故障(檢修/停運)引起電網(wǎng)運行風險最高等級及風險報告。（6）研究電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點的快速搜索算法，基于網(wǎng)絡(luò)拓撲結(jié)構(gòu)和電網(wǎng)負載率分布的安全運行風險管控措施及事故風險分析恢復供電輔助決策方法，研究輔助決策功能設(shè)計和實現(xiàn)方案。（7）研究可視化圖形操作模擬、人機交互以及自動報告技術(shù)。通過模擬環(huán)境對一次指令的操作和防誤校核，同步基于專家系統(tǒng)、外放式策略庫，進行操作所帶來的電網(wǎng)狀態(tài)信息變化判斷，啟動風險評估與輔助決策，自動生成風險評估報告。

4應(yīng)用效益

評估系統(tǒng)具有顯著的特點：（1）實現(xiàn)電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點的快速搜索、風險定級與輔助決策（預(yù)案）的自動化與智能化。（2）提出基于網(wǎng)絡(luò)拓撲結(jié)構(gòu)和電網(wǎng)負載率分布的恢復供電輔助決策方法。（3)風險辨識過程中引入保護措施進行風險修正，提高風險定級的準確性。評估系統(tǒng)的實現(xiàn)，提高電網(wǎng)運行的智能化水平，為工作人員在日常電網(wǎng)運行中風險控制、應(yīng)急預(yù)案管理、智能方式安排提供多種高效的輔助決策。提升風險評估的完整性與準確性，提高電網(wǎng)供電可靠性。同時，為設(shè)備檢修、電網(wǎng)規(guī)劃等提供輔助決策信息，挖掘電網(wǎng)元件可靠運行潛力，優(yōu)化電網(wǎng)運行方式，提升電網(wǎng)安全運行水平，實現(xiàn)顯著的經(jīng)濟效益和社會效益。

篇（2）

0引言

隨著電子政務(wù)不斷推進，社會各階層對電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實特點的電子政務(wù)信息安全體系設(shè)計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行，另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點：

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

3電子政務(wù)信息安全管理體系中的風險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風險分析，構(gòu)建電子政務(wù)系統(tǒng)的風險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應(yīng)確定接受風險的準則，識別可接受的風險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

篇（3）

1．對檔案信息安全保護和保障概念混淆

信息安全是一個發(fā)展的概念，從通信保密、信息保護發(fā)展到信息保障，或者說是從保密、保護發(fā)展到保障。每個階段的安全屬性也是不斷擴展的，保密階段為保密性：保護階段為保密性、完整性和可用性；保障階段為保密性、完整性、可用性、真實性和不可否認性，甚至在國際標準《信息安全管理體系規(guī)范》ISO／IEC17799：2005中，又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標。保障階段應(yīng)采取相應(yīng)的措施達到“七性”。

信息安全保障的提出最早源自美國。1996年美國國防部(DoD)在國防部令S-3600，1對信息安全保障作了如下定義：“保護和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統(tǒng)中融入保護、檢測、反應(yīng)功能，并提供信息系統(tǒng)的恢復功能。”除安全屬性不斷豐富外，安全保障與安全保護主要區(qū)別是主動防御和動態(tài)保護。而與之對應(yīng)的信息保護是靜態(tài)保護(安全措施基本不變)和被動保護(發(fā)生安全事故后再采取防護措施)。

然而，目前大部分檔案信息安全保障仍只達到安全保護水平。將安全保護和安全保障概念混淆，造成保障階段的能力也停留在保護水平，不能從主動防御和動態(tài)保護來保障檔案信息安全。在具體操作上。仍以身份認證、數(shù)據(jù)備份、安裝防火墻、殺毒軟件和入侵檢測等被動保護措施為主。在日益復雜的檔案信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境下，檔案信息得不到應(yīng)有的保障。

2．偏重技術(shù)，忽視管理

在美國國防部對安全保障的定義中，“保護、檢測、反應(yīng)和恢復”不僅體現(xiàn)動態(tài)保護，還體現(xiàn)安全管理，安全保障也是一個管理過程。

然而長期以來，人們對檔案信息安全偏重于依靠技術(shù)。但事實上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的，尤其是對內(nèi)網(wǎng)用戶的管理?！叭旨夹g(shù)，七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則。在檔案信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計。在所有的信息安全事件中，屬于管理方面的原因比重高達70％以上，而這些安全問題是可以通過科學的信息安全管理來避免的。因此，安全管理已成為保障檔案信息安全的重要措施。

目前，國際上實現(xiàn)信息安全管理的有效手段是在信息安全等級保護制度下，進行信息安全風險評估?！霸缭?0世紀70年代初期美國政府就提出了風險評估的要求。2002年頒布的《2002聯(lián)邦信息安全管理法》對政務(wù)信息安全風險評估提出了更加具體的要求?！睔W洲等其他信息化發(fā)達國家也非常重視開展信息安全風險評估工作，將開展信息安全風險評估工作作為提高信息安全保障水平的重要手段。國外風險評估標準主要有：BS7799、ISO／1EC 17799、OCTAVE、NIST SP800―30、AS／NZ54360、SSE―CMM等。

3．缺失安全評估體系

目前，我國檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài)，沒有將基于等級保護制度下的檔案信息安全風險評估提到議事日程上來。由此造成檔案信息系統(tǒng)建立并采取安全措施后，仍不能明確自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)是否達到安全要求?還有哪些安全漏洞?可能造成多大危害?應(yīng)該怎樣解決?系統(tǒng)升級或調(diào)整后又存在哪些安全風險?如何規(guī)劃檔案信息安全保障體系建設(shè)?作為檔案信息系統(tǒng)的擁有者、檔案信息系統(tǒng)安全構(gòu)建者和檔案信息系統(tǒng)安全的監(jiān)管者，必須有統(tǒng)一的風險評估標準，才可以做到檔案信息安全與否誰也不能說了算，而應(yīng)該按照統(tǒng)一的風險評估標準來評價是否安全。應(yīng)采取什么措施。

檔案信息安全保障狀況需進行風險評估

2006年3月7日，醞釀已久的《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風險評估工作的意見》(簡稱《意見》)正式對外公布?！兑庖姟芬?。各信息化和信息安全主管部門要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風險評估工作，全面提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力。

2005年9月，國務(wù)院信息化工作辦公室專門組織成立了“電子政務(wù)信息安全工作組”，并已編制了《電子政務(wù)信息安全等級保護實施指南(試行)》，其中提出將風險評估貫穿等級保護工作的整個流程。所以，作為電子政務(wù)系統(tǒng)中保存和管理信息的檔案信息系統(tǒng)，與電子政務(wù)一脈相承，進行風險評估是遲早的事。對檔案信息安全保障進行風險評估主要有如下優(yōu)勢。

1．將檔案信息安全保障體系納入國家信息保障體系

國家已制定了風險評估標準GB／T 20948―2007《信息安全風險評估規(guī)范》，并將于2007年11月1日正式實施。作為我國信息資源重要組成部分的檔案信息，必須積極響應(yīng)國家信息安全政策和納入國家信息安全保障體系的總體格局。檔案信息安全風險評估可在此標準的基礎(chǔ)上，結(jié)合檔案信息自身特點，先開始在綜合檔案館和電信、銀行、稅務(wù)、電力等大型檔案信息管理系統(tǒng)中試驗，在此基礎(chǔ)上再逐步推廣，達到國家要求“2006年后三年內(nèi)在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風險評估工作”基本目標。

2．規(guī)范檔案信息安全保障體系建設(shè)

在檔案信息化過程中。我們已經(jīng)制定了GB／T17678.1―1999《CA D電子文件光盤存儲、歸檔與檔案管理要求。第一部分：電子文件歸檔與檔案管理》、GB／T18894―2002《電子文件歸檔與管理規(guī)范》、GB/T20163―2006《中國檔案機讀目錄格式》、DA／T 22―2000《歸檔文件整理規(guī)則》和DMT 3l一2005《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》等國家標準和行業(yè)標準，然而與檔案信息安全相關(guān)的標準尚未出臺，造成目前檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài)。檔案信息風險評估的開展。雖然可以參照國際和國家標準，但最終還必須有針對性強的行業(yè)標準。為了改變目前的現(xiàn)狀，檔案行政管理部門應(yīng)重視針對檔案信息安全保障政策和標準的建設(shè)，抓住國家推廣信息安全風險評估的機會。從風險評估作為切入點，制定檔案信息風險評估和其他安全相關(guān)標準，規(guī)范檔案信息安全保障的建設(shè)。由于對檔案信息風險評估是以信息安全保障要求為前提的，所以只要進行風險評估就可以糾正信息保護和保障的混淆，并確認是否達到相應(yīng)的保障要求。

3．貫徹安全技術(shù)和管理并重，保障檔案信息安全

等級保護和風險評估是信息安全管理的核心內(nèi)容，是信息安全管理的具體體現(xiàn)。國家提倡在等級保護制度下進行風險評估，就是在對信息系統(tǒng)劃分等級后，采用風險評估測評系統(tǒng)是否達到相應(yīng)等級的安全要求，這樣可以改變以往只建設(shè)不測評的現(xiàn)狀。同時，風險評估還要求貫穿信息系統(tǒng)的整個生命周期，即在信息系統(tǒng)的分析、設(shè)計、實現(xiàn)和運行維護的整個生命周期內(nèi)，都將進行定期或不定期的風險評估，也體現(xiàn)信息安全保障的動態(tài)安全和主動防御。以往在我們檔案信息安全保障的建設(shè)中也強調(diào)信息安全管理機制的構(gòu)建，而風險評估就是很好的體現(xiàn)。風險評估的進行過程中。有相應(yīng)的安全策略，按照“誰主管誰負責、誰運行誰負責”的要求，對在崗的每一位員工也有相應(yīng)的安全職責，這樣也提高了員工的安全意識。

4．完善檔案信息安奎保障體系

對于已建、在建或?qū)⒔ǖ臋n案信息系統(tǒng)，以往沒有進行風險評估的，應(yīng)積極開展這項工作，在沒有正式出臺專門檔案信息風險評估標準前，可參照國內(nèi)國際標準進行，或者參與到電子政務(wù)信息的等級保護和風險評估中去。當然風險評估并不是信息安全保障的唯一手段(還包括等級保護、應(yīng)急響應(yīng)和災(zāi)難恢復等)，但它是檔案信息安全保障不可或缺的一個重要環(huán)節(jié)。通過風險評估，可完善目前還沒有達到保障要求的檔案信息系統(tǒng)安全保障。另外，對于新建設(shè)的檔案信息系統(tǒng)在設(shè)計階段就要融入風險評估，這樣可以防患于未然。

篇（4）

中圖分類號：TU74 文獻標識碼：A 文章編號：

0引言

澳門大學過海隧道西起于澳門大學橫琴校區(qū)規(guī)劃路，東至澳門路環(huán)蓮花海濱大馬路，是為服務(wù)于澳門大學橫琴新校區(qū)而新建的專用過海通道。工程的線性為“Z”字型。隧道建筑長度為1.5km，其中隧道全封閉段長度約1km[1]。

為深入了解施工中存在的風險并對風險進行評價，進而規(guī)避和減緩風險，減少施工達到風險控制和管理的目的，對澳門大學橫琴校區(qū)過海隧道工程分別按照橫琴岸上段、海中圍堰明挖暗埋段和澳門岸上段（包括附屬結(jié)構(gòu)和周邊建筑物、構(gòu)筑物、管線、道路等環(huán)境保護對象）三部分，根據(jù)本工程特點，開展施工安全風險評估研究。

1風險評估方法

風險評估是指首先確定衡量風險水平的指標，然后采取科學的方法將辨識出并經(jīng)分類的風險事件按照其風險量估計的大小予以排序，進而根據(jù)給定的風險等級評定準則，對各個風險進行等級劃分的過程。通過風險評估，可根據(jù)明確的風險等級，制定相應(yīng)的風險對策，有針對、有重點地管理好風險。

本文主要采用層次分析法與專家打分法相結(jié)合的綜合集成法，不僅利用專家打分法便于操作、能夠充分利用專家系統(tǒng)的優(yōu)點，而且在風險量估計的基礎(chǔ)上，引入風險指數(shù)的概念，利用層次分析法（AHP）中各層次風險權(quán)重的排序，在風險發(fā)生可能性、風險發(fā)生后后果以及風險重要性權(quán)重三個方面來衡量風險水平的大小，并對風險重要性權(quán)重的排序進行一致性的科學檢驗，彌補了單純專家打分法主觀性較強的缺陷和不足。

2風險源及應(yīng)對措施

采用綜合集成法對與工程相關(guān)的風險事件和風險因素以及風險事件的應(yīng)對措施進行詳細的分析，限于篇幅，不一一列舉，圖1為橫琴岸上段風險構(gòu)成框架圖。

圖1橫琴岸上段風險構(gòu)成框架圖

3風險評估結(jié)果

風險等級與風險指數(shù)評估說明見表1，工程風險分析結(jié)果見圖2。

圖2 工程風險分析柱狀圖

表1 風險等級與風險指數(shù)評估表

4 工程風險評價及建議

（1）海中段施工風險>澳門岸上段>橫琴岸上段，

（2）其中施工過程中的旋噴樁止水帷幕和支撐體系風險最大，其次為降水作業(yè)和SMW工法樁的施工風險較大，鑒于車站施工可能對其造成不良影響，應(yīng)給與足夠的關(guān)注。

（3）澳門段存在過境施工的影響，同時地下管線非常重要，加強工程背景資料的收集，對施工場地進行詳實踏勘，保證對地質(zhì)條件及施工環(huán)境的充分了解，加強與澳門當?shù)毓芾聿块T溝通，滿足當?shù)馗黜棙藴始耙?guī)范要求，提早準備，保證工期及質(zhì)量，設(shè)備材料提早準備，提前安排入場。

篇（5）

為此,銀監(jiān)會于2009年出臺了《商業(yè)銀行信息科技風險管理指引》,對信息科技風險管理目標提出了具體的指導性意見。

風險管理是識別風險、評價風險、控制風險的過程,最終目標是將風險控制在可接受范圍。而風險評估是對風險發(fā)生的可能性及可能造成的影響進行分析,是識別風險、評價風險的過程,是風險管理的基礎(chǔ)。

信息科技的風險管理也需要以風險評估為基礎(chǔ)。

整體和專項兩種評估

風險評估是風險管理過程中重要的一環(huán),在安全規(guī)劃、業(yè)務(wù)連續(xù)性管理和實施等級保護等方面也離不開風險評估。

信息科技風險評估可以分為整體風險評估和專項風險評估。

整體風險評估是指對信息科技的各個方面,如治理、信息安全、信息系統(tǒng)開發(fā)、測試與維護、信息科技運行、外包、業(yè)務(wù)連續(xù)性管理等,進行全面的風險評估。專項風險評估則是指針對信息科技的某一方面、某個系統(tǒng)或為某個目的而進行的評估。常見的專項風險評估還會根據(jù)評估對象分為網(wǎng)絡(luò)評估、系統(tǒng)風險評估等。

整體風險評估側(cè)重于反映宏觀層面的風險,即全面反映影響實現(xiàn)IT目標的風險,幫助銀行高級管理層把握信息科技的整體風險狀況,從而據(jù)此來進行戰(zhàn)略決策,最終提升風險管理能力。專項風險評估則側(cè)重于反映微觀層面的風險,即反映信息科技某一方面或者某個系統(tǒng)存在的風險,據(jù)此來決定采取相應(yīng)的風險處理措施,降低相關(guān)系統(tǒng)所面臨的風險。

評估風險的七個步驟

風險有影響及可能性兩個屬性,而影響是由資產(chǎn)的價值與資產(chǎn)存在的弱點決定的,可能性是由資產(chǎn)面臨的威脅及資產(chǎn)存在的弱點決定的。因此,風險評估需要對資產(chǎn)、弱點及威脅進行綜合分析。

風險評估工作一般有以下七個步驟:描述分析評估對象,確定其目標或者價值;識別評估對象存在的弱點;識別評估對象面臨的威脅;通過分析弱點及威脅,確定風險發(fā)生的可能性;通過分析資產(chǎn)及弱點,預(yù)測風險如果發(fā)生可能帶來的影響;通過已經(jīng)分析出的可能性和影響確定風險等級;根據(jù)風險等級提出風險處理建議。

這幾個步驟可劃分為風險識別、風險分析、風險定級三個階段。

風險識別是風險評估的基礎(chǔ),只有完整地識別出被評估對象的風險才可能進行正確的風險分析、風險定級。風險識別要對評估對象存在的弱點及面臨的威脅進行識別,這是風險識別的關(guān)鍵。

整體風險評估覆蓋范圍廣,反映的是宏觀層面的風險,因此在進行整體風險評估時應(yīng)該以調(diào)查方式為主,以檢查、安全測試方式為輔。

在做整體風險評估時,要先準備詳細的調(diào)查問卷,問卷內(nèi)容涵蓋信息科技的各個方面。一般來講,銀行的IT目標是在滿足合規(guī)管理要求的前提下,支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運營。為了實現(xiàn)這個目標,需要管理流程和基礎(chǔ)資源配備作為支撐。其中,管理流程可分為IT業(yè)務(wù)創(chuàng)新支持、IT業(yè)務(wù)運營支持、IT合規(guī)管理及IT治理等四類,基礎(chǔ)資源配備包括支撐IT運行的人、信息、應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施。

篇（6）

中圖分類號：F27文獻標識碼：A

一、概述

風險評估有許多方法，工藝安全場景評估（簡稱PSSE）是其中之一。這是一種在歐美應(yīng)用較廣泛的評估方法，特別適用于工業(yè)生產(chǎn)裝置的安全評估。該方法將一個項目或一套裝置按物理空間或功能細分為若干區(qū)域，然后逐項研究風險事件是什么，后果是什么。根據(jù)以往經(jīng)驗及統(tǒng)計資料確定事件概率；根據(jù)經(jīng)驗和一些調(diào)查統(tǒng)計，確定后果嚴重性；根據(jù)概率和后果將風險定級；對于高風險和較高風險，再研究應(yīng)對措施是什么，然后再評估采取了這些措施后風險會降低到什么程度。根據(jù)項目或裝置的復雜程度、大小規(guī)模等因素，定期復檢工藝安全場景評估，重新認識風險，并重新評定風險等級。

PSSE是從風險事件發(fā)生的可能性、風險事件后果的嚴重性兩方面入手來評判一個風險事件的風險等級的。

可能性是指一個事件在多少年內(nèi)會重復發(fā)生一次，它分五級。（表1）

嚴重性是指該事件若發(fā)生，會造成多少損失，以美元計，它分五級。（表2）

然后，用一個矩形表格來定位該風險事件的風險等級，風險有四類：1類為嚴重風險；2類為較嚴重風險；3類為一般風險；4類為輕微風險。（表3）

表4是一個工藝安全場景評估表的具體例子。（表4）

二、對現(xiàn)行PSSE評分方法的討論

1、在評估過程中，先對某一風險事件的可能性展開討論，套用歐美國家的標準，帶來諸多不便，更帶來誤導。如，從C級可能性開始，以幾十年、幾百年、幾千年為一個檔次評判風險發(fā)生的可能性，可操作性很差。一個工業(yè)生產(chǎn)工廠，或一套民用運行裝置，很少會設(shè)計成使用周期一百年，更不用說一千、一萬年，即沒有工業(yè)生產(chǎn)工廠或民用運行裝置會被設(shè)計成防“萬年一遇”的風險事故。這樣，D級和E級二個可能性檔次等于空設(shè)。從表3風險等級表中也可發(fā)現(xiàn)，E例和D例幾乎都是4類風險（輕微風險）。

可能性C級所包含的時間跨度也設(shè)計得太長。筆者認為，絕大多數(shù)工業(yè)生產(chǎn)工廠或民用運行裝置的生命周期都在30～100年之間，而風險事件重復發(fā)生的可能性千變?nèi)f化。所以，這段時間段可再細分，以更貼合實際。表5是筆者建議的、并在一個項目的安全評估中應(yīng)用的可能性分級表。（表5）

2、對損失的判斷是風險評估的又一個重要方面，套用歐美國家的損失評判標準，對于國內(nèi)大多數(shù)項目更有困難。如，引進的標準對人員傷害的賠償（對項目而言即為損失）如下：

死亡及永久傷殘：10，000，000 US$

損失工作日的事故：30，000 US$

輕微傷害：3，000 US$

很顯然，我國國內(nèi)的賠償額遠低于此標準。若套用此標準，會有兩方面的偏差：第一，許多國內(nèi)認為是事故的事件，在這里不被當作事故。第二，如按此標準賠付，項目損失極大。

考慮到國內(nèi)實際情況和《工傷保險條例》，筆者建議對風險事件的嚴重性分級作如下修正，并用人民幣（RMB）為計量單位。（表6）

3、原評估方法中沒有關(guān)注環(huán)境保護問題。事實上，如果一個事故雖沒有造成人員損失或設(shè)備財產(chǎn)損失，但給環(huán)境帶來污染，其實后果也是很嚴重的。盡管有些時候，在有些地方，此類事故并不一定真的受到很大額的“罰款”，但從環(huán)境保護的角度看，這種事故應(yīng)視為大事故（即，后果嚴重的事故）。并且，注意到我國正越來越重視環(huán)保，筆者認為應(yīng)當在表4中增加一項考慮項目“是否有環(huán)境污染”。即，即使某一風險對其他方面的危害均很小，但只要有環(huán)境污染，就視為嚴重風險（1類風險）。

篇（7）

Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.

Keywords: construction; Safety risk; classification

中圖分類號：TU74文獻標識碼：A 文章編號：

引言：由于地鐵工程的特殊性研究地鐵施工安全就成了一項緊迫而意義重要的事情。我們一定要在認識我國地鐵施工安全存在的問題和隱患的基礎(chǔ)上結(jié)合地鐵工程特點及施工難點提出積極而有效地對策有助于減少地鐵安全事故的發(fā)生最大限度地保障人民生命財產(chǎn)安全從而促進城市的可持續(xù)發(fā)展。

1.開展安全風險評估的必要性

1）我國近期規(guī)劃建設(shè)線路里程約合達到1500公里。新建地鐵短期內(nèi)集中上馬，有經(jīng)驗的勘察、設(shè)計和施工力量明顯不足，使地鐵工程建設(shè)過程中的風險大大增加。

2）地鐵工程相關(guān)技術(shù)標準不夠完善，潛在技術(shù)風險不容忽視。

3）各地對于重大的安全和技術(shù)問題實行專家論證會制度，在一定程度上避免了決策失誤和安全事故的發(fā)生。但專家論證是針對某一點或一段進行，還沒有形成“工點---線路--線網(wǎng)” 全面性論證和全過程參與的機制，缺乏從系統(tǒng)性上解決安全問題的理念和手段。

4）地鐵土建工程事故為我們敲響了安全的警鐘。

2. 風險源（因素）辨識的方法

本文風險源辨識的思路是：依據(jù)在建線路地質(zhì)勘察報告、各方人員調(diào)研和現(xiàn)場踏勘情況，針對初步設(shè)計或施工圖設(shè)計、施工方（工）法對工程安全性及其周邊環(huán)境（建構(gòu)筑物、既有線、管線等）的影響，從風險的角度，參考國內(nèi)外各地特別是已修建地鐵的案例風險，結(jié)合國家、省及現(xiàn)行有關(guān)規(guī)范和標準要求，綜合風險調(diào)查法、專家調(diào)查法和經(jīng)驗數(shù)據(jù)法，識別風險源或風險事件。

3. 風險評估方法

選擇風險矩陣法進行風險評估。該方法綜合考慮風險因素發(fā)生概率和風險后果，給出風險等級，用R＝P×C表示，其中：R表示風險；P表示風險因素發(fā)生的概率；C表示風險因素發(fā)生時可能產(chǎn)生的后果。P×C不是簡單意義的相乘，而是表示風險因素發(fā)生概率和風險因素產(chǎn)生后果的級別的組合。R＝P×C定級法是一種定性與定量相結(jié)合的方法，是目前國內(nèi)外比較推崇的風險評估方法之一。

4.風險等級標準探討

有關(guān)風險等級的劃分標準，目前國內(nèi)外還沒有一個適應(yīng)性強、便于實際操作的標準，例如：風險矩陣法考慮風險因素發(fā)生概率和風險后果，給出了風險等級的劃分標準，但因缺乏明確的條件和過大的劃分區(qū)間，而使實際問題的等級劃分難以操作。

4．1基本風險分級

風險隨基坑深度，或者說土壓力的增大而增大。按照土壓力隨基坑深度的變化規(guī)律，對基坑風險的影響分級，定為四個等級（Ⅰ～Ⅳ），見表1。

表1 按基坑深度劃分的風險等級

風險等級 Ⅰ Ⅱ Ⅲ Ⅳ

基坑深度 h≤20m 20m

注：h為基坑深度。

4.2風險分級修正

4.2.1考慮擾動影響的風險級別修正

基坑工程對周圍環(huán)境的擾動不盡相同。把基坑周圍地段按其受基坑工程擾動的程度劃分為三個區(qū)，其中，Ⅰ區(qū)為基本不受擾動區(qū)，Ⅱ區(qū)為受擾動較小區(qū)，Ⅲ區(qū)為受擾動最大區(qū)。

在基坑基本風險分級基礎(chǔ)上，考慮基坑周圍地段受基坑工程擾動的程度，進行風險等級修正，見表3。

表3基坑工程擾動的修正

基本風險等級 Ⅰ Ⅱ Ⅲ Ⅳ

受

擾

動

程

度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ

Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ

Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ

4.2.2考慮環(huán)境條件的風險級別修正

基坑工程周圍環(huán)境差異性大，環(huán)境條件各不相同，根據(jù)影響程度將環(huán)境條件分為4個級別。見表4

環(huán)境條件的分級

表4環(huán)境條件的分級

環(huán)境條件分級 環(huán)境條件

Ⅰ 符合下列情況之一時：

1．農(nóng)田和植被；

2．距離江、河、湖、水道>200m。

Ⅱ 符合下列情況之一時：

1．一般性的建（構(gòu)）筑物等

2．一般性的道路等；

3．一般性的地下管線等；

4．距離江、河、湖、水道100～200m。

Ⅲ 符合下列情況之一時：

1．較重要的或?qū)Φ鼗冃蚊舾械慕ǎ?gòu)）筑物等，包括各種結(jié)構(gòu)型式的建（構(gòu)）筑物、需保護的陳舊建（構(gòu)）筑物、高架橋等。

2．較重要的道路、鐵路、地下鐵道；

3．較重要的地下管線，包括煤氣、上下水、通訊電纜、高壓電纜等

4．距離江、河、湖、水道50～100m；

Ⅳ 符合下列情況之一時：

1．重要建（構(gòu)）筑物，包括國家保護建（構(gòu)）筑物、高架橋、人防工程等。

2．重要的道路、鐵路、地下鐵道；

3．重要地下管線，包括煤氣管道、上下水管道、通訊電纜、高壓電纜等；

4．距離江、河、湖、水道

（2）環(huán)境影響的修正

根據(jù)周圍環(huán)境對基坑變形的敏感程度和基坑工程對周圍環(huán)境可能造成的危害程度，修正基坑環(huán)境風險等級，如表5。

表5環(huán)境影響的修正

基本風險等級 Ⅰ Ⅱ Ⅲ Ⅳ

環(huán)

境

分

級 Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ

Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ

篇（8）

在當前迅猛的科技信息技術(shù)傳播更新下，對于信息安全管理的工作也發(fā)生了重大的改變，其從傳統(tǒng)單一的技術(shù)管理手段改變?yōu)榧夹g(shù)與管理兩者相結(jié)合的較全面綜合管理手段；其從局部的管理模式改變到對于全局管理的系統(tǒng)管理模式；從最初存在較多問題的不完善經(jīng)驗式管理改變到目前具有著分明的安全等級科學管理模式等。在風險評估上也從評估對象的綜合評估轉(zhuǎn)變到個因評估、從目前的現(xiàn)今評估發(fā)展到對未來趨勢的評估；又從靜態(tài)的評估方式轉(zhuǎn)變到動態(tài)評估方式；從最初的手動風險評估轉(zhuǎn)變到今天的全自動技術(shù)自動評估；從信息風險的定量評估改變到定性與定量兩者相結(jié)合等，以上的改變都證實了我國在信息安全管理上不斷努力的成效。結(jié)合目前我國信息系統(tǒng)的現(xiàn)狀來說，在現(xiàn)有基礎(chǔ)上對于相關(guān)信息系統(tǒng)科學理論、方法的更進一步完善與創(chuàng)新，是勢在必行的，也是確保信息系統(tǒng)風險評估與管理工作不斷完善的必要前提。

一、信息系統(tǒng)風險評估方法的研究現(xiàn)狀

1.基于專家系統(tǒng)的風險評估工具

這種方法經(jīng)常利用專家系統(tǒng)建立規(guī)則和外部知識庫，通過調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對重要資產(chǎn)的威脅和脆弱點進行評估，產(chǎn)生專家推薦的安全控制措施。這種工具通常會自動形成風險評估報告，安全風險的嚴重程度提供風險指數(shù)，同時分析可能存在的問題，以及處理辦法。

2.基于定性或定量算法的風險分析工具。

風險評估根據(jù)對各要素的指標量化以及計算方法不同分為定性和定量的風險分析工具。風險分析作為重要的信息安全保障原則已經(jīng)很長時間。信息安全風險分析算法在很久以前就提出來，而且一些算法被作為正式的信息安全標準。這些標準大部分是定性的――也就是，他們對風險產(chǎn)生的可能性和風險產(chǎn)生的后果基于“低/中/高”這種表達方式，而不是準確的可能性和損失量。隨著人們對信息安全風險了解的不斷深入，獲得了更多的經(jīng)驗數(shù)據(jù)，因此人們越來越希望用定量的風險分析方法反映事故方式的可能性。

二、信息系統(tǒng)風險評估方法

1.對于定性評估來說，其主要的評估途徑是根據(jù)研究者在其所掌握的知識和所具備的經(jīng)驗吸取以及政策走向等非量化的資料來對信息系統(tǒng)的狀況做出不同風險情況等級的判斷。在信息系統(tǒng)風險的評測中，定性分析乃是被使用較多的分析方法，其特點主要是只關(guān)注那些構(gòu)成危險事件可能會帶來的損失，而不計算該威脅是否會發(fā)生。在實施定性評估的過程中并不使用具體的數(shù)據(jù)進行評測，而是使用指定期望值來進行評測，如，假設(shè)每一種存在的風險其風險影響度和預(yù)期風險的發(fā)生概率為低等、中等和高等，而不是確切的數(shù)字?？偟膩碚f，定性評估的優(yōu)點在于其可以使評估的結(jié)果更加深入、廣泛，但是很大的一個缺點在于其具有較強的主觀性，因此，對于定性評估來說，對評估者自身的專業(yè)素養(yǎng)和分析能力的要求是非常高的。

2.其次是定量評估，它去定性評估的區(qū)別是：定量評估是使用數(shù)量指標來對風險進行評測的，它在評估過程中，重點分析風險可能發(fā)生的概率和發(fā)生的風險危害程度所形成的比值，這與定性來說是截然相反的。因此，定量評估在進行評測的同時大大增加了運行機制和各項規(guī)范、制度等緊密結(jié)合的可操作性。定量評估的特點在于其使分析評估的目標的對目標采取的補救措施更加明確，在一目了然、清晰的數(shù)據(jù)中看到直觀的評測數(shù)據(jù)。美中不足的是，定量評估在其量化過程中容易將復雜的事物簡單化，容易造成疏漏。

3.就目前來說，將定性評估與定量評估兩者的有機結(jié)合是得到客觀、公正的評估結(jié)果最合適不過的方法，而且通過其兩者的相互融入，此消彼長，取長補短是非常科學的。因此，在對于信息系統(tǒng)的風險評估中，需要因地制宜，做到具體問題具體分析，如，在進行風險評估時，遇到關(guān)于結(jié)構(gòu)化問題相對很強的時候可采用定量分析；反之，可使用定性分析；如問題的顯示既兼有結(jié)構(gòu)化又帶有非結(jié)構(gòu)化時，就可以采用定性評估與定量評估兩者結(jié)合的評測；這樣就能使遇到的問題復雜變簡單，簡單變迎刃而解。

三、信息系統(tǒng)動態(tài)風險管理模型與對策建議

1.基于態(tài)勢評估的風險預(yù)警、防范與控制

信息系統(tǒng)安全風險態(tài)勢評估值表示系統(tǒng)當前是否安全，即通過當前態(tài)勢值和正常情況下的態(tài)勢值比較可以判斷系統(tǒng)是否安全;也可以提供可能收到的信息系統(tǒng)威脅程度有多大的信息。通過評估己能夠得到過去和當前的信息系統(tǒng)安全狀況，能給信息系統(tǒng)管理者預(yù)警。這些使得信息系統(tǒng)管理員能明確獲知信息系統(tǒng)攻擊的威脅程度，清晰的把握信息系統(tǒng)安全狀態(tài)，從而對信息系統(tǒng)現(xiàn)實的情況做出相應(yīng)的防范與控制措施?；趹B(tài)勢評估的信息系統(tǒng)風險預(yù)警、防范與控制模型圖如下:

2.信息系統(tǒng)風險評估信息安全保障體系的建立

為有效控制信息系統(tǒng)面臨的安全風險，確保信息系統(tǒng)的安全、高效和可靠運行，迫切需要構(gòu)建基于信息系統(tǒng)風險評估的整體信息安全保障體系，建立貫穿信息系統(tǒng)各個應(yīng)用環(huán)節(jié)的立體式安全防護，使其得到有效的安全保障，從而確保信息系統(tǒng)業(yè)務(wù)的順利進行。

信息安全管理體系是組織整個管理體系的一部分，它基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。建立信息安全管理體系是“需求導向型的信息安全解決方案”的典型體現(xiàn)，通過體系的建設(shè)，可以有效解決組織面臨的信息安全問題，提高組織的信息安全防護能力。

風險評估是等級保護的出發(fā)點，也是安全建設(shè)的出發(fā)點，風險評估的結(jié)果可作為實施等級保護、等級安全建設(shè)的出發(fā)點和參考點，它為信息安全管理體系的控制目標和控制措施的選擇提供依據(jù)，也是安全控制效果進行測量評估的主要方法。等級保護是指導我國信息安全保障體系建設(shè)的一項基本管理制度，它是安全管理體系建設(shè)的基本原則，它的核心內(nèi)容是對信息系統(tǒng)安全分等級、按標準進行建設(shè)、管理和監(jiān)督。

3.信息系統(tǒng)風險評估對于保護對象的有效識別

從目前國內(nèi)外信息系統(tǒng)的安全實踐看，信息系統(tǒng)存在許多威脅和潛在的風險。這些潛在的風險屬于信息安全管理范疇的問題。實施信息系統(tǒng)風險評估能夠有效識別需要保護的對象，知道了要保護什么，就會分析保護對象的特點、屬性，分析保護對象存在的脆弱性(既包括技術(shù)脆弱性，也包括管理脆弱性)和面臨的安全威脅，從而有針對性地選擇控制措施來應(yīng)對具體的風險，尤其對于管理脆弱性，可以通過制定相應(yīng)的策略和程序來加以控制，這正適合于解決信息系統(tǒng)中存在的信息安全問題。

篇（9）

中圖分類號 F062.5 [KG*2]文獻標識碼 A [KG*2]文章編號 1002-2104(2011)02-0096-04

在信息時代，信息成為第一戰(zhàn)略資源，更是起著至關(guān)重要的作用。因此，信息資產(chǎn)的安全是關(guān)系到該機構(gòu)能否完成其使命的大事。資產(chǎn)與風險是天生的一對矛盾，資產(chǎn)價值越高，面臨的風險就越大。信息資產(chǎn)有著與傳統(tǒng)資產(chǎn)不同的特性，面臨著新型風險。計算機網(wǎng)絡(luò)風險防范的目的就是要緩解和平衡這一對矛盾，將風險防范到可接受的程度，保護信息及其相關(guān)資產(chǎn)，最終保證機構(gòu)能夠完成其使命。風險防范做不好，系統(tǒng)中所存在的安全風險不僅僅影響系統(tǒng)的正常運行，且可能危害到政府部門自身和社會公眾，嚴重時還將威脅國家的安全。論文提出了在選擇風險防范策略時如何尋找合適的風險防范實施點并按照實施風險防范的具體過程來進行新技術(shù)下的風險防范，從而幫助完成有效的風險管理過程，保護組織以及組織完成其任務(wù)。

1 計算機網(wǎng)絡(luò)風險管理

計算機網(wǎng)絡(luò)風險管理包括三個過程：計算機網(wǎng)絡(luò)屬性特征分析、風險評估和風險防范。計算機網(wǎng)絡(luò)屬性特征分析包括風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個階段。在計算機網(wǎng)絡(luò)風險防范過程中，計算機網(wǎng)絡(luò)屬性的確立過程是一次計算機網(wǎng)絡(luò)風險防范主循環(huán)的起始，為風險評估提供輸入。風險評估過程，包括對風險和風險影響的識別和評價，以及降低風險措施的建議。風險防范是風險管理的第三個過程，它包括對在風險評估過程中建議的安全控制進行優(yōu)先級排序、評價和實現(xiàn)，這些控制可以用來減輕風險。

2 網(wǎng)絡(luò)風險模式研究

2.1 風險防范體系

計算機風險防范模式包括選擇風險防范措施（風險假設(shè)、風險規(guī)避、風險限制、風險計劃、研究和了解、風險轉(zhuǎn)移）、選擇風險防范策略（包括尋找風險防范實施點和防范控制類別的選擇）、實施風險防范3個過程。在實施風險防范的過程中包括對行動進行優(yōu)先級排序、評價建議的安全控制類別、成本-收益分析、選擇風險防范控制、分配責任、制定安全措施實現(xiàn)計劃、實現(xiàn)被選擇的安全控制，最后還要進行殘余風險分析。

2.2 風險防范措施

風險防范是一種系統(tǒng)方法，高級管理人員可用它來降低使命風險。風險防范可以通過下列措施實現(xiàn)：

（1）風險假設(shè)：接受潛在的風險并繼續(xù)運行IT系統(tǒng)，或?qū)崿F(xiàn)安全控制以把風險降低到一個可接受的級別。

（2）風險規(guī)避：通過消除風險的原因或后果（如當識別出風險時放棄系統(tǒng)某項功能或關(guān)閉系統(tǒng)）來規(guī)避風險。

（3）風險限制：通過實現(xiàn)安全控制來限制風險，這些安全控制可將由于系統(tǒng)弱點被威脅破壞而帶來的不利影響最小化（如使用支持、預(yù)防、檢測類的安全控制）。

（4）風險計劃：制定一套風險減緩計劃來管理風險，在該計劃中對安全控制進行優(yōu)先排序、實現(xiàn)和維護。

（5）研究和了解：通過了解系統(tǒng)弱點和缺陷，并研究相應(yīng)的安全控制修正這些弱點，來降低風險損失。

（6）風險轉(zhuǎn)移：通過使用其他措施補償損失，從而轉(zhuǎn)移風險，如購買保險。

在選擇風險防范措施中應(yīng)該考慮機構(gòu)的目標和使命。要解決所有風險可能是不實際的，所以應(yīng)該對那些可能給使命帶來嚴重危害影響的威脅/弱點進行優(yōu)先排序。同時，在保護機構(gòu)使命及其IT系統(tǒng)時，由于每一機構(gòu)有其特定的環(huán)境和目標，因此用來減緩風險的措施和實現(xiàn)安全控制的方法也各不相同。最好的方法是從不同的廠商安全產(chǎn)品中選擇最合適的技術(shù)，再伴以適當?shù)娘L險防范措施和非技術(shù)類的管理措施。

2.3 風險防范策略

高級管理人員和使命所有者在了解了潛在風險和安全控制建議書后，可能會問：什么時候、在什么情況下我們該采取行動？什么時候該實現(xiàn)這些安全控制來進行風險防范，從而保護我們的機構(gòu)？

如圖1所示的風險防范實施點回答了這個問題。在圖1中，標有“是”的地方是應(yīng)該實現(xiàn)風險防范的合適點。

總結(jié)風險防范實踐，以下經(jīng)驗可以對如何采取行動來防范由于故意的人為威脅所帶來的風險提供指導：

楊濤等：計算機網(wǎng)絡(luò)風險防范模式研究中國人口•資源與環(huán)境 2011年 第2期(1)當存在系統(tǒng)漏洞時，實現(xiàn)保證技術(shù)來降低弱點被攻擊的可能性；

(2) 當系統(tǒng)漏洞被惡意攻擊時，運用層次化保護、結(jié)構(gòu)化設(shè)計以及管理控制將風險最小化或防止這種情形的發(fā)生；

(3) 當攻擊者的成本比攻擊得到更多收益時，運用保護措施，通過提高攻擊者成本來降低攻擊者的攻擊動機（如使用系統(tǒng)控制，限制系統(tǒng)用戶可以訪問或做些什么，這些措施能夠大大降低攻擊所得）；

(4) 當損失巨大時，運用設(shè)計原則、結(jié)構(gòu)化設(shè)計以及技術(shù)或非技術(shù)類保護措施來限制攻擊的程度，從而降低可能的損失。

上面所述的風險防范策略中除第三條外，也都可運用來防范由于環(huán)境威脅或無意的人員威脅所帶來的風險。

2.4 風險防范模式的實施

在實施風險防范措施時，要遵循以下規(guī)則：找出最大的風險，然后爭取以最小的代價充分減緩風險，同時要使對其他使命能力的影響最小。實施措施通過以下七個步驟來完成，見圖2。

2.4.1 對行動進行優(yōu)先級排序

基于在風險評估報告中提出的風險級別，對行動進行優(yōu)先級排序。在分配資源時，那些標有不可接受的高風險等級（如被定義為非常高或高風險級別的風險）的風險項目應(yīng)該最優(yōu)先。這些弱點/威脅需要采取立即糾正行動以保護機構(gòu)的利益和使命。步驟一輸出―從高到低優(yōu)先級的行動。

2.4.2 評價建議的安全控制

風險評估過程中建議的安全措施對于具體的機構(gòu)和IT系統(tǒng)可能不是最適合和可行的。在這一步中，要對建議

圖1 網(wǎng)絡(luò)風險防范實施點

Fig.1 Network implementation point of risk prevention

圖2 實施風險防范措施流程及其輸入輸出

Fig.2 Implementation of risk prevention measures and

the input and output processes

的安全控制措施的可行性（如兼容性、用戶接受程度）和有效性（如保護程度和風險防范級別）進行分析。目的是選擇最適當?shù)陌踩刂拼胧┮宰钚』L險。步驟二輸出―可行安全控制清單。

2.4.3 實施成本-收益分析

為了幫助管理層做出決策并找出性價比好的安全控制，要實施成本―收益分析。第三步輸出―成本-收益分析，其中描述了實現(xiàn)或者不實現(xiàn)安全控制所帶來的成本和收益 。

2.4.4 選擇安全控制

在成本-收益分析的基礎(chǔ)上，管理人員確定性價比最好的安全控制來降低機構(gòu)使命的風險。所選擇的安全控制應(yīng)該結(jié)合技術(shù)、操作和管理類的控制元素以確保IT系統(tǒng)和機構(gòu)適度的安全。步驟四輸出―選擇好的安全控制。

2.4.5 責任分配

遴選出那些有合適專長和技能來實現(xiàn)所選安全控制的人員（內(nèi)務(wù)人員或外部簽約人員），并分配以相應(yīng)責任。步驟五輸出―責任人清單。

2.4.6 制定一套安全措施實現(xiàn)計劃

在這一步，將制定一套安全措施實現(xiàn)計劃（或行動計劃）。這套計劃應(yīng)該至少包括下列信息：

（1）風險（弱點/威脅）和相關(guān)的風險級別（風險評估報告輸出）。

（2）建議的安全控制（風險評估報告輸出）。

（3）優(yōu)先排序過的行動（標有給那些有非常高和高風險級別的項目分配的優(yōu)先級）。

（4）被選擇的計劃好的安全控制（基于可行性、有效性、機構(gòu)的收益和成本來決定）。

（5）實現(xiàn)那些被選擇的計劃好的安全控制所需要的資源。

（6）負責小組和人員清單。

（7）開始實現(xiàn)日期。

（8）實現(xiàn)完成的預(yù)計日期。

（9）維護要求。

2.4.7 實現(xiàn)被選擇的安全控制

根據(jù)各自的情況，實現(xiàn)的安全控制可以降低風險級別但不會根除風險。步驟七輸出―殘余風險清單。

3 網(wǎng)絡(luò)風險防范案例

以某市政府官方門戶網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例，首先要對網(wǎng)絡(luò)應(yīng)用系統(tǒng)進行屬性分析，風險評估，然后根據(jù)風險評估報告和承受能力來決定風險防范具體措施。

3.1 風險評估

該計算機網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全級別要求高，根據(jù)手工和自動化網(wǎng)絡(luò)風險評估，結(jié)果如下所示：

數(shù)據(jù)庫系統(tǒng)安全狀況為中風險等級。在檢查的33個項目中，共有9個項目存在安全漏洞。其中：3 個項目為高風險等級，占總檢查項目的 9％；1 個項目為中風險等級，占總檢查項目的 3％；5 個項目為低風險等級，占總檢查項目的 15％。

3.2 風險防范具體措施

選擇風險防范措施中的研究和了解同時進行風險限制。確定風險防范實施點，該數(shù)據(jù)庫的設(shè)計存在漏洞并且該漏洞可能被利用，所以應(yīng)該實施風險防范。實施步驟如下：

步驟一：對以上掃描結(jié)果中的9個漏洞進行優(yōu)先級排序，確立每個項目的風險級別。

步驟二：評價建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫被建立后針對評估報告中的安全控制建議進行分析，得出要采取的防范策略。

步驟三：對步驟二中得出相應(yīng)的若干種防范策略進行成本收益分析，最后得出每種防范策略的成本和收益。

步驟四：選擇安全控制。對上述掃描的9個漏洞分別選擇相應(yīng)的防范策略。

步驟五：責任分配，輸出負責人清單。

步驟六：制定完整的漏洞修復計劃。

步驟七：實施選擇好的防范策略，按表1對這9個漏洞進行一一修復。

表1 防范措施列表

Tab.1 List of preventive measures

漏洞ID

Vulnerability

ID 漏洞名稱

Vulnerability

Name級別

level風險防范策略

Risk prevention

strategiesAXTSGL1006Guest用戶檢測高預(yù)防性技術(shù)控制AXTSGL1008登錄模式高預(yù)防性技術(shù)控制AXTSGL3002審計級別設(shè)置高監(jiān)測和恢復技術(shù)控制AXTSGL3011注冊表存儲過程權(quán)限中支持和預(yù)防性技術(shù)控制AXTSGL2001允許遠程訪問低預(yù)防性技術(shù)控制AXTSGL2012系統(tǒng)表訪問權(quán)限設(shè)置低預(yù)防性技術(shù)控制AXTSGL3003安全事件審計低監(jiān)測恢復技術(shù)控制AXTSGL3004黑盒跟蹤低恢復管理安全控制AXTSGL3006C2 審計模式低監(jiān)測和恢復技術(shù)控制

4 總 結(jié)

在進行計算機網(wǎng)絡(luò)風險管理分析的基礎(chǔ)上，提出了新技術(shù)下的風險防范模式和體系結(jié)構(gòu)，同時將該防范模式成功應(yīng)用到某市官方網(wǎng)站的主站數(shù)據(jù)庫中。應(yīng)用過程中選擇了恰當?shù)姆婪洞胧?，根?jù)新技術(shù)下風險防范實施點的選擇流程確立了該數(shù)據(jù)庫的防范實施點并嚴格按照風險防范實施步驟進行風險防范的執(zhí)行，成功地使風險降低到一個可接受的級別，使得對機構(gòu)的資源和使命造成的負面影響最小化。

雖然該防范模式在一定程度上降低了風險的級別，但是由于風險類型的不可預(yù)見性和防范策略的局限性，該模式未必使機構(gòu)或系統(tǒng)的風險降到最低，因此風險防范有待于進一步改進和完善，這將是一個長期的任務(wù)。

參考文獻（References）

［1］蔡昱，張玉清.風險評估在電子政務(wù)系統(tǒng)中的應(yīng)用［J］.計算機工程與應(yīng)用，2004，(26)：155-159.［Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System［J］. Computer Engineering and Applications: 2004(26):155-159.］

［2］張平，蔣凡.一種改進的網(wǎng)絡(luò)安全掃描工具［J］.計算機工程，2001.27(9)：107-109,128.［Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering［J］.2001,27(9):107-109,128.］

［3］卿斯?jié)h.網(wǎng)絡(luò)安全檢測的理論和實踐［J］.計算機系統(tǒng)應(yīng)用,2001,(11)：24-28.［Qing Sihan. Network Security Detection Theory and Practice［J］. Computer SystemApplication,2001,(11):24-28.］

［4］戴志峰，何軍.一種基于主機分布式安全掃描的計算機免疫系統(tǒng)模型［J］.計算機應(yīng),2001,21(10)：24-26,29.［Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer［J］. Computer Application, 2001,21(10)：24-26,29.］

Research on Risk Precention Model of Computer Network

YANG Tao1 LI Shuren1 DANG Depeng2

( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;

篇（10）

摘　要：本文分別從財務(wù)領(lǐng)域風險源辨識、風險分析、風險評價、制定風險管控標準和措施、確定關(guān)鍵風險預(yù)警指標、組織評價及持續(xù)改進等方面，簡要介紹了如何開展財務(wù)領(lǐng)域的風險評估與管控。

關(guān)鍵詞 ：財務(wù)領(lǐng)域風險評估管控

中圖分類號：F235文獻標志碼：A文章編號：1000-8772（2015）19-0165-03

收稿日期：2015-06-12

作者簡介：金環(huán)（1973-），女，山東省平度市人，業(yè)務(wù)主管，研究方向：企業(yè)內(nèi)控與風險管理。

財務(wù)領(lǐng)域風險管控貫穿于公司的會計核算、財務(wù)報告、資金管理、資產(chǎn)財務(wù)管理、成本費用管理、擔保管理等財務(wù)相關(guān)的各項工作，是實現(xiàn)財務(wù)管理全過程真實性、合法性、效益性的有效手段。加強財務(wù)領(lǐng)域的風險評估與管控對公司管理而言就顯得尤為重要，下面就如何開展風險評估與控管進行重點闡述。

一、相關(guān)定義

1.風險評估

風險評估由風險源辨識、風險分析和風險評價三個步驟構(gòu)成，其中：

風險源辨識是通過辨識財務(wù)領(lǐng)域的風險源、影響范圍、事件及其原因潛在的后果等，形成財務(wù)領(lǐng)域的風險事件庫。

風險分析是根據(jù)獲得的信息數(shù)據(jù)和資源，采用定性的、定量的、定性和定量相結(jié)合的方法進行分析。

風險評價是將風險分析的結(jié)果與公司財務(wù)領(lǐng)域的風險控制策略、控制標準/措施比較，或者在各種風險的分析結(jié)果之間進行比較，確定風險等級，作為制定風險應(yīng)對策略的重要依據(jù)。

二、財務(wù)領(lǐng)域風險評估

（一）風險源辨識

（1）收集風險資料

由公司財務(wù)領(lǐng)域的主責部門即財務(wù)部牽頭收集本業(yè)務(wù)領(lǐng)域的風險資料，包括公司年度經(jīng)營計劃、行業(yè)資料、行業(yè)分析報告、行業(yè)風險數(shù)據(jù)等。

（2）辨識風險源

由公司財務(wù)部門根據(jù)公司風險評估計劃安排，組織本部門及相關(guān)管理人員、業(yè)務(wù)骨干通過專題研討會或其他風險源辨識方法，基于已收集的風險資料，辨識可能影響財務(wù)領(lǐng)域的風險源。

由于各公司經(jīng)營活動范圍的不同，財務(wù)領(lǐng)域的涉及業(yè)務(wù)范圍也不盡相同，從大的方面來說，可能包括會計核算與管理，稅務(wù)管理，資金管理，資產(chǎn)財務(wù)管理、收入、成本與費用管理、擔保管理等等。而每個方面里又會涉及到多個具體的環(huán)節(jié)，如資金管理中又會涉及資金管理制度、資金賬戶管理、資金支付、銀行賬戶管理、現(xiàn)金日常管理、票據(jù)管理等，各環(huán)節(jié)中又會涉及到不同的風險源。

結(jié)合某家煤炭公司的經(jīng)營活動范圍，財務(wù)領(lǐng)域涉及到會計核算與管理、稅務(wù)管理、資金管理等七項內(nèi)容，86個風險源。其中核算與會計管理制度涉及21個風險源；預(yù)算管理涉及7個風險源；稅務(wù)管理涉及5個風險源；資金管理涉及13個風險源；資產(chǎn)財務(wù)管理涉及24個風險源；收入、成本與費用管理涉及10個風險源；擔保管理涉及6個風險源。

（3）建立風險事件庫

風險事件是風險的具體表現(xiàn)，只有當風險事件發(fā)生，才能使?jié)撛诘奈ｋU轉(zhuǎn)化成為現(xiàn)實的損失。公司財務(wù)部門針對已辨識出的風險源，結(jié)合收集到的本行業(yè)財務(wù)領(lǐng)域的風險事件，建立了《風險事件庫》，包括共226項風險事件，以及風險產(chǎn)生的原因及造成的影響。如稅務(wù)管理中稅務(wù)籌劃風險事件：稅收籌劃不合理，未能實現(xiàn)最優(yōu)稅務(wù)成本，給公司造成經(jīng)濟損失、缺少針對稅務(wù)政策變化等對公司財務(wù)狀況有影響事項的分析評價工作，可能導致財務(wù)分析評估不足；關(guān)鍵崗位管理風險事件：資金管理人員和加遠礦區(qū)財務(wù)崗位未定期輪換、未建立強制休假制度對無法進行輪崗情況進行補償控制。

風險事件庫的建立對今后公司有效的進行財務(wù)領(lǐng)域的風險管控提供了重要依據(jù)。

（二）風險分析

在對公司財務(wù)領(lǐng)域進行風險分析時，要考慮導致公司風險產(chǎn)生的原因和風險源、風險事件發(fā)生的可能性、風險發(fā)生對公司可能造成的影響。在風險分析中，應(yīng)考慮公司的風險承受度，并適時與公司管理層進行溝通。具體程序：

（1）開展風險分析工作

風險評估主要通過問卷調(diào)查法、專題研討會法等方式開展財務(wù)領(lǐng)域的風險分析工作。

（2）確定風險分析方法

一般可采用定性和定量相結(jié)合的方法，定性分析，主要是運用流程分析法、問卷調(diào)查法、專題研討法、專家咨詢法等，對照風險評分標準來評價風險的重要程度。定量分析，可以通過事件樹分析、失效模式與影響分析等估計出風險后果及其姓可能性的實際數(shù)值，并產(chǎn)生風險等級的數(shù)值。計算公式為：

風險等級的數(shù)值＝風險發(fā)生的可能性評分*風險影響程度評分

（3）分析風險發(fā)生可能性

指假定不采取任何措施去影響經(jīng)營管理進程的情況下，對風險發(fā)生的概率大小或者頻繁程度進行分析，依據(jù)下面評分標準，可能性可細分為低、中、高等3個等級。

風險發(fā)生可能性評分標準：一般情況下不會發(fā)生或極少情況下才發(fā)生（如今后5-10年內(nèi)可能發(fā)生1次），就定為低風險；某些情況下發(fā)生（今后2-5年內(nèi)可能發(fā)生1次），就定為中等風險；較多情況下發(fā)生（今后1年內(nèi)可能發(fā)生1次），就定為高風險。

（4）分析風險影響程度

主要針對風險對目標實現(xiàn)的負面影響程度進行分析。通過假設(shè)特定事件、情況或環(huán)境已經(jīng)出現(xiàn)，確定某個風險事件可能會產(chǎn)生的影響程度。依據(jù)以下評分標準，影響程度可細分為低、中、高等3個等級。

（5）形成風險分析結(jié)果

風險分析工作完成后，形成對財務(wù)領(lǐng)域各項風險分析結(jié)果的一致意見，作為確定風險等級、制定風險應(yīng)對策略的依據(jù)。

（三）風險評價

通過財務(wù)領(lǐng)域的風險分析，評估風險對公司實現(xiàn)目標的影響程度，公司便可根據(jù)風險評價結(jié)果制定防范風險的應(yīng)對策略。一是確定風險應(yīng)對策略。包括某個風險是否需要應(yīng)對、風險應(yīng)對優(yōu)先次序、是否應(yīng)開展某項應(yīng)對活動、應(yīng)采取哪種途徑進行應(yīng)對等。二是公司財務(wù)部根據(jù)風險應(yīng)對策略，繪制風險應(yīng)對示意圖。

三、財務(wù)領(lǐng)域風險管控

風險評估完成后，公司財務(wù)部根據(jù)自身條件和外部環(huán)境，圍繞發(fā)展戰(zhàn)略，結(jié)合風險偏好、風險承受度，選擇風險承擔、風險規(guī)避、風險轉(zhuǎn)移、風險轉(zhuǎn)換、風險對沖、風險補償、風險控制等適合的風險管控策略。

（一）控制標準與措施

1.控制標準、控制措施的基本內(nèi)容

控制標準是財務(wù)領(lǐng)域風險管理的規(guī)范和指南，是在充分考慮公司對財務(wù)領(lǐng)域風險承受度和風險偏好，以及法律、法規(guī)和其他方面要求的基礎(chǔ)上形成的。從人員、技術(shù)、環(huán)境、管理和制度五個方面來提煉確定，通過具體的預(yù)控措施、可量化的風險指標及標準，將風險控制在可接受的范圍之內(nèi)。

控制措施是對控制標準的進一步細化，詳細闡述了財務(wù)領(lǐng)域管理過程中的每一個重要的風險管控步驟如何操作，為各級崗位開展風險管理提供具有指導性、操作性的依據(jù)，主要包括不相容職務(wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預(yù)算控制、績效考評控制等。通過制定控制措施，明確管理職責，使每個業(yè)務(wù)人員明白自己應(yīng)該如何執(zhí)行和操作。

如公司財務(wù)部基建科會計風險管控職責會涉及到往來賬務(wù)管理、資金支付、在建工程入賬的會計處理、在建工程轉(zhuǎn)固定資產(chǎn)的會計處理、存貨（甲供材）出入庫會計處理、在建工程差值評估與會計處理等。每項管控職責中還要具體到執(zhí)行操作程序，如在資金支付中，執(zhí)行操作是“根據(jù)完整和工程驗收資料編制《基建辦付款聯(lián)簽表》，裂本期工程完成金額，現(xiàn)金預(yù)算金額，支付審批金額，以及借款、預(yù)付款、材料款、電費、保證金等需從施工方扣除的金額，并計算出實際應(yīng)支付金額并簽字確認；然后編制內(nèi)部銀行賬戶付款會計憑證”

3.制定控制標準與措施的程序

（1）制定控制標準

公司財務(wù)部根據(jù)財務(wù)領(lǐng)域風險評估結(jié)果及風險應(yīng)對策略，將較抽象的風險源從人員、技術(shù)、環(huán)境、管理和制度五個方面進行提煉，形成具體管理對象。充分考慮源公司對風險承受度和風險偏好，以及國家相關(guān)經(jīng)濟法律法規(guī)、規(guī)章制度、集團及公司內(nèi)部制度的基礎(chǔ)上，制定針對財務(wù)領(lǐng)域風險的控制標準。如在資金管理方面，公司財務(wù)應(yīng)制（修）訂資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等相關(guān)管理制度，傳達集團公司的相關(guān)制度，明確資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等管理辦法、工作程序。

（2）制定控制措施

公司財務(wù)部根據(jù)業(yè)務(wù)領(lǐng)域控制標準，對業(yè)務(wù)領(lǐng)域的流程進行梳理，厘清相關(guān)管理職責劃分，詳細描述業(yè)務(wù)領(lǐng)域管理過程中的每一步驟如何操作，形成業(yè)務(wù)領(lǐng)域控制措施，為各級崗位開展風險管理提供具有指導性、操作性的依據(jù)。如：銀行賬戶管理控制措施，公司財務(wù)部資金科每年不定期通過財務(wù)檢查工作對全公司范圍內(nèi)銀行賬戶進行檢查，對全公司范圍的銀行賬戶情況進行統(tǒng)計，并對公司所有銀行賬戶的性質(zhì)，銀行賬戶未達賬項，是否與銀行簽訂補充協(xié)議，賬戶用途等是否合規(guī)，賬戶是否進入賬套，是否經(jīng)過批準等內(nèi)容進行文字記載，是否存在資金挪用，是否存在“小金庫”等情況進行檢查，并形成書面報告。

（二）建立風險預(yù)警指標/閾值

1.確定關(guān)鍵風險指標

是財務(wù)領(lǐng)域風險變化情況并可定期監(jiān)控的統(tǒng)計指標。關(guān)鍵風險指標可用于監(jiān)測可能造成損失事件的各項風險及控制措施，并作為反映風險變化情況的早期預(yù)警指標（公司管理層可據(jù)此迅速采取措施）。具體指標可能包括：固定資產(chǎn)盤點差異率、材料配件盤點差異率、煤炭盤點差異率、七項費用預(yù)算實際完成率、發(fā)現(xiàn)賬外資金金額、資金錯誤支付率、預(yù)付工程款借款賬期、預(yù)付賬款賬期、在建工程轉(zhuǎn)固定資產(chǎn)會計處理及時性、壞賬率、現(xiàn)金預(yù)算完成金額占比等。

同時，對關(guān)鍵風險指標進行詳細設(shè)計，包括名稱、說明、監(jiān)控部門、監(jiān)控頻率、計算公式、指標數(shù)據(jù)來源等。例如七項費用預(yù)算實際完成率，該指標是反映七項費用預(yù)算與實際執(zhí)行之間的偏差，主要是用來檢查財務(wù)資產(chǎn)部費用辦科長是否定期進行相關(guān)數(shù)據(jù)的收集、統(tǒng)計，若達到預(yù)警級別，是否進行相應(yīng)的預(yù)警措施。計算公式是七項費用實際完成金額/七項費用預(yù)算金額*100%，預(yù)警頻率是每月一次。

2.確定關(guān)鍵風險指標的閾值

關(guān)鍵風險指標確定后，根據(jù)歷史數(shù)據(jù)分析、管理目標以及風險偏好和承受度等，確定每一個指標不同風險狀態(tài)的臨界值，即閾值。根據(jù)風險上升趨勢將指標的閾值分為三級：輕度預(yù)警、中度預(yù)警和高度預(yù)警，其中：

1）輕度預(yù)警代表低風險，表示該領(lǐng)域存在較輕的風險，財務(wù)部應(yīng)知悉，并對該風險保持關(guān)注。

2）中度預(yù)警代表中風險，表示該領(lǐng)域存在一定的風險，應(yīng)該引起財務(wù)部的重視。

3）高度預(yù)警代表高風險，表示該領(lǐng)域面臨嚴重的風險，應(yīng)該引起財務(wù)部的高度重視，并及時采取必要措施。

如上面所述七項費用預(yù)算實際完成率，根據(jù)綜合分析，確定了三個閾值，并將指標按閾值分為三級，當指標≥90%為輕度預(yù)警，>100%≤105%是中度預(yù)警，>105%為高度預(yù)警。

（3）關(guān)鍵風險指標監(jiān)控

財務(wù)部對本部門的關(guān)鍵風險指標進行監(jiān)控，根據(jù)預(yù)警頻率，定期統(tǒng)計分析相關(guān)關(guān)鍵風險指標的數(shù)據(jù)。針對異常情況，應(yīng)及時進行調(diào)查，提出相應(yīng)的管理要求和應(yīng)對建議，并組織實施應(yīng)對措施。

四、組織評價與持續(xù)改進，實現(xiàn)閉環(huán)管理，不斷提升財務(wù)管理質(zhì)量和水平

財務(wù)風險評估與管控是一個周而復始的管理過程，需要通過組織評價分析、比較已實施的風險管理方法、措施的結(jié)果與預(yù)期目標的契合程度來評判風險管理方法、措施的科學性、適應(yīng)性和收益性，并根據(jù)檢查結(jié)果對風險管理方法、措施進行修正完善。

1.組織評價

全面評價與重點評價相結(jié)合。由于財務(wù)業(yè)務(wù)領(lǐng)域較多，各業(yè)務(wù)環(huán)節(jié)不同時期在公司經(jīng)濟活動中的重要程度也不盡相同，如公司存在大規(guī)模基建項目時，基本建設(shè)管理與核算就會面臨較多的風險，就需要對其進行高度關(guān)注，重點進行管控和評價。因此在日常管控評價中必須遵循全面性和重要性相結(jié)合的原則，使得評價活動既能夠全面評價財務(wù)領(lǐng)域風險控管情況，又能夠顧及重點業(yè)務(wù)領(lǐng)域評價的充分性。

2.持續(xù)改進

篇（11）

隨著社會的進步和發(fā)展，人們的法治觀念及自我保護意識在日益增強，醫(yī)院面臨的風險亦越來越大，尤其是精神疾病患者在精神癥狀的支配下隨時可能導致自殺自傷、傷人毀物、出走等意外事件的發(fā)生。因此更要求精神科護士具有高度的責任心和風險意識，做好精神科護理安全管理。我科認真組織學習了護理風險評估技術(shù)，并較好地在臨床工作中應(yīng)用，切實提高了護理人員的安全預(yù)見性，保障了各項安全防范措施的有效落實，降低了精神科護理風險，現(xiàn)具體報告如下。

1 資料與方法

1.1 一般資料 收集2012年11月至2013年10月期間在河南省精神病醫(yī)院早期干預(yù)一科、早期干預(yù)二科住院的首發(fā)精神障礙患者共520例，診斷均符合CCMD-3精神病診斷標準[1]。根據(jù)住院時間先后將2012年11月2013年4月的住院患者設(shè)為對照組，2013年5月至2013年10月的住院患者設(shè)為觀察組。對照組共260例，其中男性133例，女性127例，年齡25-53歲，平均（35.98±11.34）歲。診斷分別為：精神分裂癥187例，躁狂癥35例，抑郁癥29例，其它診斷9例。觀察組共260例，其中男性128例，女性132例，年齡23-50歲，平均（34.72±12.16）歲。診斷分別為：精神分裂癥189例，躁狂癥30例，抑郁癥31例，其它診斷10例。2組患者在性別、年齡、病種等方面進行比較，差異均無統(tǒng)計學意義（P>0.05）。

1.2 方法

1.2.1 對照組采用傳統(tǒng)的護理模式，按精神科護理常規(guī)進行護理 研究組在常規(guī)護理的基礎(chǔ)上應(yīng)用護理風險評估技術(shù)，對患者進行細致的精神檢查及病情觀察后，再與主管醫(yī)生進行充分的溝通，之后按照精神科風險程度評分表的內(nèi)容進行評估，確定風險等級，再根據(jù)風險等級制定個體護理計劃，實施針對性的防范措施，見表1。

1.2.2 評估標準 自殺風險評估共10項，1-7項每項分值為1分，8、9、10項分值分別為8、9、10分，風險程度：1-4分為輕度，5-7分為中度，8分及以上為重度。攻擊行為風險評估共9項，1-5項每項分值為1分，6、7、8、9項分值分別為6、7、8、9分，風險程度：1-4分為輕度，5-7分為中度，8分及以上為重度。出走風險評估共4項，1項分值為2分，2項分值為4分，3項分值為6分，4項分值為8分，風險程度：2分及以下為輕度，4-6分為中度，6分及以上為重度。

1.2.3 實行三級護理評估 一級評估：患者入院后由責任護士或當班護士建立風險程度評估表進行評估，以后由責任護士每周評估1次；二級評估：在一級評估中存在有中、高風險的患者由責任護士進行動態(tài)的每日評估；三級評估：護士長24小時內(nèi)對新入院患者及重點患者進行再次評估，每周帶領(lǐng)責任護士進行總評估1次，并指導護理計劃及防范措施的制定，檢查措施的落實情況。

1.3 觀察指標 比較2組患者住院期間自殺自傷、傷人毀物、出走等風險事件的發(fā)生率；比較應(yīng)用風險評估技術(shù)前后護理人員受傷害事件的發(fā)生率。

1.4 統(tǒng)計學方法 本研究數(shù)據(jù)采用SPSS13.0軟件進行統(tǒng)計學分析，計數(shù)資料采用χ2檢驗，以P

2 結(jié) 果

2組患者在住院期間的風險事件發(fā)生率比較見表2；應(yīng)用風險評估技術(shù)前后護理人員受傷害率比較，見表3。

3 討 論

3.1 應(yīng)用護理風險評估技術(shù)有利于降低精神科風險事件發(fā)生率 精神障礙患者大腦活動異常，思維行為異常，自理能力下降，特別是在受幻覺、妄想的支配下，往往會出現(xiàn)危害自身和傷及他人的行為[2]，故精神科護理風險事件的發(fā)生具有偶然性和突發(fā)性，護理安全存在著極大的挑戰(zhàn)。本研究結(jié)果顯示，研究組風險事件發(fā)生率明顯低于對照組（見表2），提示應(yīng)用護理風險評估技術(shù)，從患者入院到出院實施連續(xù)的三級評估方法，橫向全面地評估了風險程度，縱向評估了住院期間各個階段的風險，在危險未發(fā)生前采取積極有效的防范措施，將危險控制在萌芽狀態(tài)，從而降低風險的發(fā)生率[3]。

3.2 應(yīng)用護理風險評估技術(shù)有利于降低精神科護士受傷害率 在精神科病房與患者接觸最直接、最緊密的是護理人員，要24小時不間斷的照顧患者，被患者攻擊的危險性最高。雖然精神疾病患者的風險行為具有突發(fā)和難以預(yù)料的特點，但發(fā)生前大多有先兆表現(xiàn)，其中有嚴重幻覺、妄想和不服從管理的患者發(fā)生風險行為的可能性最大，因此，開展預(yù)見性護理極為關(guān)鍵。預(yù)見性護理是在全面了解并評估患者的病情基礎(chǔ)上，制定有效的、防患于未然的護理，其根本在于積極認識預(yù)防以及處理并發(fā)癥的發(fā)生，采取預(yù)防為主的原則，有計劃有秩序有目的地給患者提供護理服務(wù)[4]。我們通過應(yīng)用護理風險評估技術(shù)對新入院患者實行預(yù)見性護理，提前啟動防范措施，使護士受傷害率明顯下降（見表3）。同時，還有利于將護理工作由被動轉(zhuǎn)為主動，調(diào)動了護士的積極性，提升了護理人員的自身價值[5]。

3.3 應(yīng)用護理風險評估技術(shù)有利于保障精神科護理安全 風險評估技術(shù)對精神科護理有著重要的臨床指導作用，通過對精神障礙患者實施風險評估，可以先預(yù)測出風險，指引臨床護理的方向，使護理人員在臨床護理中便于抓住護理的重點，這樣既能使護理工作不再盲目又能提高護理安全質(zhì)量[6]。同時，掌握護理風險評估技術(shù)能強化護理人員的風險意識，提高專業(yè)內(nèi)涵，使其在臨床工作中能有效控制風險，提高護理安全管理質(zhì)量。

綜上所述，安全管理是精神科臨床護理工作中的重要環(huán)節(jié)，實施護理風險評估降低了風險事件的發(fā)生率和護士受傷害率，有效地保障了護理安全。因此精神科風險評估是是切實可行的精神科護理安全管理方法，具有在臨床推廣的價值。

參考文獻

[1] 中華醫(yī)學會精神科分會.中國精神障礙分類與診斷標準[M].第3版.濟南：山東科學技術(shù)出版社，2001：87-89.

[2] 郝偉.精神病學[M].第6版.北京人民衛(wèi)生出版社，2008.6.

[3] 鄧秋雁，梁艷，謝仲英，等.住院精神病人暴力危險分級及干預(yù)的研究[J].現(xiàn)代醫(yī)院，2008.1，8（1）：8-10.