風險評估等級如何劃分
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇風險評估等級如何劃分范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
風險評估等級如何劃分范文第1篇
關鍵詞 信息工程安全系統 風險評估 控制
中圖分類號:X92 文獻標識碼:A
對項目風險管理來說,風險評估是對信息工程安全資產所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎,風險評估是確定信息工程安全需求的一個重要途徑,屬于信息工程安全管理體系策劃的過程。
1 風險評估概述
風險評估是在綜合考慮成本效益的前提下,通過安全措施控制風險,使殘余風險降低到可以控制的程度。因為任何信息系統都會有安全風險,所謂安全信息系統,實際上指信息系統在實施了風險評估以后做出了風險控制,仍然存在殘余風險是可被接受的信息系統我們就稱為安全信息系統。追求信息系統安全就不能脫離全面完整的信息系統安全評估,就必須運用信息系統安全風險評估的思想和規范對信息系統進行安全評估。
風險評估的主要任務包括:(1)識別面臨的各種風險。(2)評估風險概率和可能帶來的負面影響。(3)確定承受風險的能力。(4)確定風險消減和控制的優先等級。(5)推薦風險消減對策。
1.1 信息工程安全系統項目風險評估概述
信息工程安全系統項目風險管理是圍繞信息工程安全系統項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估,因為基于風險評估可以對政府部門信息工程安全系統項目有系統全面的了解,找出潛在問題,分析原因,判斷嚴重性和相關影響,以此確定信息工程安全系統建設的需求。項目是一個過程,從項目的開始到結束,風險評估要求風險評估貫穿到信息系統的整個生命周期提出了三個環節要進行風險評估:一是信息系統規劃設計階段,二是系統驗收階段,三是信息系統運維階段。管理的不確定性,有限的資源和千變萬化的危險和漏洞,使得所有的風險不可能完全緩解。一個信息系統的項目專業人員必須要協同用戶、項目經理對信息系統各種潛在的影響進行評估,使其達到一個合理水平。
由于種種原因,信息安全系統存在著很多漏洞及缺陷,如黑客攻擊或系統本身的原因,會造成系統安全事件,給系統帶來不好的影響。因此,要對項目的信息安全風險進行相應的評估,評估的主要內容包括系統的安全漏洞和系統可能帶來的負面影響,根據相應的等級來進行劃分,評估出可能發生的安全風險。
1.2 信息工程安全系統項目風險評估過程
一般來說,系統信息工程安全項目風險評估分為四個不同的階段。
第一個階段:風險評估準備階段。
(1)根據相應的風險評估準則,調研項目的實際情況,然后制定風險評估的計劃表。按照實際操作來看,計劃通常要由三個重要的表格組成,這三個表分別是:《信息工程安全系統的描述報告》、《信息工程安全系統的分析報告》和《信息工程安全系統的安全要求報告》。通過這些表格及具體的計劃表,要對項目的風險評價進行計劃。計劃的內容一般要設計如下范圍:目的、范圍、目標、組織架構、經費預算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議,應該及時根據意見加以修改。只有獲得決策層的審核和同意后,計劃書才能獲得批準,才能夠獲得相應的資源加以執行。
(2)結合項目的具體實際,對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的,必須要結合具體的項目實際對評估的流程加以確定,如何工作,如何評估,評估結果如何衡量等。這個步驟,通常應該形成一個書面的《風險評估程序》,便于后面工作人員的具體操作。
(3)根據項目具體實際,選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別,具體的某個項目,有針對性地 選擇成本低,效果好,結合項目實際的具體方法和工具。
第二個階段:風險因素識別。
(1)對所有需要保護的信息資產加以清點。根據上文確定的三個相關報告,對單位或項目所有的資產加以清點,找出重要的、對安全有重大影響的信息資產并造冊,形成書面的《需要保護的資產清單》。(2)結合相關工具,識別出可能面臨的威脅。一般來說,目前信息安全行業都有相應的較為全面的威脅或漏洞庫,結合這些數據庫,對單位的具體資產進行詳細的清點和評估,就能找出可能面臨的威脅,編制書面的《威脅列表》。(3)根據上面的工作,參照漏洞庫,可以對整個單位信息資產面臨的脆弱性加以評估,形成書面的《脆弱性列表》。
第三個階段:風險程度分析。
(1)確認單位目前已經采用的安全防范措施。通過書面形式,對單位目前已經有的具體防范措施加以總結,填寫到《已有安全措施分析報告》。(2)對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為:涉及利益者的攻擊、對系統好奇、對自己的技術自負等,要形成書面的《威脅動機分析報告》。(3)分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估,包括強度、廣度、深度等。(4)分析信息資產的價值。信息自查的價值主要從以下幾個方面來評估:關鍵性,價格,敏感性等。(5)分析可能面臨的影響的程度。具體包括:資產損失,任務妨害,人員傷亡等。
第四個階段:風險等級評價階段。
(1)對威脅的動機加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(2)對威脅的行為能力加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(3)對系統脆弱性加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(4)對資產價值加以評估,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(5)對影響程度加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(6)對所有因素加以綜合評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。
一般來說,有公認的具體算法。但各單位具體實際情況不一而足。所以,對于公認的算法可以進行修改,或者提出自己認為更符合實際情況的算法。
2 信息工程安全系統項目風險控制
2. 1 風險控制概述
風險評估的目的是進行風險控制,進而最大可能排除系統面臨的風險。所以,在信息風險評估之后,就要進行風險控制,其目的是為了盡可能降低系統面臨的風險和漏洞。而系統的風險和漏洞,是不可能完全排除的,不論下多么大的成本。只能在一定范圍內,盡可能控制在可以接受的范圍。一般來說,為了控制可能發生的風險,主要采用以下幾種方式:(1)規避風險。規避就是避免使用。例如有一些信息資產面臨很大的風險,如果完全消除風險,需要很大的成本,需要更多的經濟投入等。那么,一個比較可行的辦法就是避免使用這樣的資產,或者一些敏感的、需要保密的數據,不在這些資產上使用,從而規避掉可能發生的風險。(2)轉移風險。這種方式的思路,就是將已經面臨風險的資產轉移到風險較低,或者沒有風險的資產上。如某單位需要處理技術上足夠復雜,沒有能力處理的業務時,可以通過尋求外包給第三方專業機構的形式,要求對方做好風險處理,從而達到轉移風險的目的。(3)降低風險。降低風險就是在資產面臨風險時,通過各種手段和方法來降低其面臨的風險。
2.2 信息工程安全系統項目風險控制過程
在信息工程安全項目管理中,風險控制可以劃分為四個階段,分別是:現有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。
在不同的階段,進行不同的工作流程和具體內容,分別如下:
第一階段:預備階段。在本階段,主要是對單位現有的信息資產激進型識別、編號、評估并造冊,形成書面報告。
第二階段:現存風險判斷。在本階段,通過各種工具和方法,對系統信息資產面臨的風險加以評級。一般來說,風險的評級主要分為兩種:可接受的系統風險和不可接受的系統風險。然后,對系統目前存在的一些風險加以判斷,到底是否能夠接受。
第三階段:確定風險控制目標。本階段主要的工作流程和內容包括:(1)分析風險控制需求。針對上面提出的不可接受的風險,分析其具體需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具體的成本和措施等。(2)確立風險控制目標。完全搞清楚其具體需求后,就可以確定風險控制的目標。
第四階段:控制措施選擇與實施。
控制措施選擇階段的工作流程和內容如下:(1)選擇風險控制方式。確定目標后,就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況,能否實現以及經濟投入成本、投入產出比等。(2)選擇風險控制措施。控制措施實施階段的工作流程和內容如下:①制定風險控制實施計劃:選擇好相應的風險控制方式后,即可制定具體的實施計劃。實施計劃必須為書面,便于后面的審查以及對照。②實施風險控制措施:采用規避、降低、轉移等具體方式來控制。實施過程應該遵循相應的工作流程和標準,并書面記錄在案。
3 結語
當前網絡信息安全技術發展迅速,任何信息系統都會有安全風險。沒有任何一種解決方案可以防御所有危及網絡信息安全的攻擊。因此我們需要不斷跟蹤新技術,對所采用的網絡信息安全防范技術進行升級完善,以確保相關利益不受侵犯。
參考文獻
[1] Stuart McClure 等.黑客大曝光――網絡安全機密與解決方案[M].北京:清華大學出版社,2006:140.
[2] 魏仕民等.信息安全概論[M].北京:高等教育出版社,2005:40-41.
[3] 曲平.安全信息管理技術的研發與運用[J].信息通信,2013.
風險評估等級如何劃分范文第2篇
關鍵詞:老舊電梯;風險評估;安全
中圖分類號:TU857 文獻標識碼:A 文章編號:1006-8937(2014)30-0084-02
隨著我國建設事業的發展,工程風險管理成為了社會與國家共同關注的問題。工程風險管理涉及發現風險、評估風險以及規避風險。為了保護人身安全、公眾利益,老舊電梯安全風險評估是工程管理者應該重視的課題。
1 老舊電梯安全隱患因素分析
在現代社會,電梯成為了人們生活密不可分的一部分,同時它又是一種存在安全隱患的特種設備,電梯一旦出現事故,可能會危害到人們的生命。分析老舊電梯安全隱患因素,對開始老舊電梯安全風險管理有重要作用。老舊電梯的安全隱患有五點。
1.1 技術落后,容易出現故障
老舊電梯普遍存在拖動與控制技術落后的問題,由于技術落后導致電梯的可靠性較低,加之使用多年,造成電梯零部件出現老化與損壞,老舊電梯的故障發生率大大提高,并且逐年增加。
1.2 老舊電梯與現行電梯安全規范的矛盾
我國電梯安全的規范文件GB 7588《電梯制造與安裝安全規范》從1987年以來,幾經修改發生了很大的變化,尤其是2003年修訂的GB 7588-2003《電梯制造與安裝安全規范》增加了大量新的安全要求,其中包含許多技術與安全性要求,顯然老舊電梯達不到現行電梯安全規范的要求。
1.3 老舊電梯老損問題嚴重
老舊電梯由于長期的工作運行,不可避免的存在線路老化、磨損的問題,電梯的主要部件有一定的使用壽命,一旦達到或超出電梯主要部件的使用壽命,電梯就等于是一顆定時炸彈。電梯的主要部件包括鋼絲繩、繼電器、曳引機、接觸器、變壓器、制動器、限速器-安全鉗、轎門門機及層門系統、緩沖器等,任何環節出現差錯都將帶來嚴重危害。
1.4 老舊電梯維護和改造困難
老舊電梯普遍存在維護經費不足的問題,以至于大多數的老舊電梯不能及時進行檢查、維護與改造。在我國的老社區中的老舊電梯得不到專業的維護,一般由物業公司管理,常常出現管理不到位的問題,一方面維修不及時,影響住戶使用;另一方面電梯維護工作無法達到新的技術標準。
1.5 我國缺乏老舊電梯報廢的相關規定與標準
截止目前,我國還沒出出臺明確的電梯報廢標準,老舊電梯沒有明確的退役時間表,沒有報廢評估的方法與標準,使得很多存在安全隱患的老舊電梯還未服役,嚴重威脅著人民的人身安全與生產安全。
老舊電梯安全隱患日益受到社會的關注,隨著人們對電梯安全需求的提高,針對老舊電梯的現狀,分析老舊電梯的安全風險評估辦法與相應措施,為老舊電梯的安全問題提供解決方案有重大意義。
2 老舊電梯安全風險評估
前文提及我國目前還沒有制定出老舊電梯報廢標準,同樣的我國也還沒有一套完善的電梯安全風險評估辦法。針對我國現存大量服役老舊電梯的現狀,制定出一套完整的電梯安全風險評估辦法刻不容緩。電梯安全風險評估是建立在進行的檢測儀器設備與系統安全工程的理論之上的,二者缺一不可。
利用設備與工程安全原理對電梯運行中存在的安全隱患因素進行檢測與分析,作出初步辨識,對這些潛在的安全隱患因素進行定量與定性分析,進而預判電梯存在的危險源、老損部件、故障概率以及電梯壽命周期,最后結合電梯安全狀況提出有效的安全措施。
一般來說,老舊電梯的安全風險評估辦法分為六個步驟,分別是準備階段、安全隱患分析與辨識階段、定量與定性評估階段、制定安全措施階段、安全風險評估結論與建議階段以及編寫安全風險評估報告階段。
安全風險評估程序依次如下:
①準備階段。收集與掌握評估對象的基本信息,與相關單位簽訂評估協議,明確權責與評估目的,準備設備與確定安全風險評估組成員。
②安全隱患分析與辨識階段。依據被評估電梯運行與維護的情況,對存在的隱患進行檢測與分析,識別出有害因素,確定風險來源、關鍵部位以及存在方式,明確電梯發生故障的方式與規律。
③定量與定性評估階段。對辨識階段的基礎上細化評估單元,對老舊電梯的安全隱患進行可能性與嚴重程度的定量與定性分析。
④制定安全措施階段。在電梯安全風險定量與定性評估后,提出有針對性的,能減少或消除安全隱患的維護方法與技術手段。
⑤安全風險評估結論與建議階段。列出評估電梯的安全隱患因素與主要威脅,指出電梯運行過程中應該重點防范的主要風險源,為電梯使用者與管理者提出安全措施與應對風險的建議。
⑥編寫安全風險評估報告階段。綜合以上評估的結果編制出風險評估報告,以備查用與借鑒。
3 老舊電梯風險識別
老舊電梯安全風險評估程序是以電梯的運行安全為出發點,對可能出現的風險進行預判,并指出風險來源與風險等級,對各項評估指標進行劃分,電梯運行環境評估、管理維護保養評估、制動功能評估、控制功能評估、曳引功能評估、限速器-安全鉗可靠性評估、轎層門與層站評估、電梯整體性能評估、電梯能耗評估、電梯安全裝置評估以及關鍵部件可靠性評估。各種指標的綜合評估能夠對發現老舊電梯的所有潛在隱患,并對各種危險因素進行分析,進行危險識別。
危險識別的辦法有很多種,不同的方法有一定的適用范圍與針對性,每一種危險識別方法能夠識別出老舊電梯中不同的危險因素。
因此,危險識別方法的運用要對癥下藥,依據具體情況靈活運用。一般而言,常用的電梯危險識別方法有三種:
3.1 對照相關標準進行識別
利用我國最新出臺的GB 7588《電梯制造與安裝安全規范》的相關標準對電梯進行危險識別。
3.2 收集電梯使用記錄
收集和查閱電梯的使用記錄,包括電梯的故障記錄與危險歷史,直接獲取電梯使用過程中的量化數據,幫助我們對電梯危險進行定量和定性的分析。可以通過事故樹分析法追溯電梯故障的原因與規律,進而辨識出影響電梯安全的危險因素。
3.3 實踐測試法
有專業的工程安全技術人員使用先進設備對電梯進行實地的現場檢測,收集測試數據,借助工作任務分析與假設分析法進行電梯危險識別。
4 老舊電梯風險等級評定及降低風險措施
老舊電梯的風險等級評定依據前文提及的安全風險評估程序,針對電梯風險評估進行等級評定,確定電梯風險的類別,制定相應的減低風險的措施。
參照我國GB/T 20900-2007《電梯、自動扶梯和自動人行道風險評估和降低的方法》與GB 24804-2009《提高在用電梯安全性的規范》標準,對老舊電梯的風險要素的等級劃分以風險帶來的損傷嚴重程度為定性參照,見表1。
依據電梯風險要素發生的概率的近似定量制定出各種風險要素的概率等級,見表2。
基于電梯風險等級對電梯風險類別進行評定,并擬定對應措施,風險類別說明見表3。
電梯風險評估優先考慮風險等級,而不是損害的嚴重程度。具體而言,電梯風險等級為“2B”的風險情節要高于“1E”,雖然“1E”的風險等級會導致嚴重的損害,但由于“2B”的高況,要優先對“2B”進行維護與修改,然后再對“1E”進行維護,這里要說明不管風險類別如何,都應該引起電梯風險評估人員的重視。這里電梯風險類別的評定與劃分僅僅是從電梯運行安全的角度出發,我們還應該考慮到電梯實際的使用環境、使用年限、使用頻率以及日常保養情況,在綜合考慮電梯管理的經濟因素,來采取具體的風險減低措施。
參考文獻:
風險評估等級如何劃分范文第3篇
【關鍵詞】現代有軌電車;社會穩定風險;評估
一、課題概況及研究意義
1.社會穩定風險評估的含義
社會穩定風險評估是指與人民群眾利益密切相關的重大決策、重要政策、重大改革措施、重大工程建設項目、與社會公共秩序相關的重大活動等重大事項在制定出臺、組織實施或審批審核前,對可能影響社會穩定的因素開展系統的調查,科學的預測、分析和評估,制定風險應對策略和預案。目的是為有效規避、預防、控制重大事項實施過程中可能產生的社會穩定風險,更好的確保重大事項順利實施。
2.現代有軌電車的發展現狀與前景
有軌電車是采用電力驅動并在軌道上行駛的輕型軌道交通車輛。現代有軌電車不同于以前的“叮當車”,是一種新型的公交方式,相對與其他交通來說,具有安全可靠、節能環保、快捷舒適、外形美觀、高效靈活、中等運量、成本低、周期短等優勢和特點。隨著我國城市建設的大力推進,城市交通擁擠備受世人注目,而現代有軌電車有別于傳統交通方式,在控制、牽引供電和車輛技術上進行了更新,載客量大、安全舒適、快速便捷、節能降噪的特點更加凸顯。據統計,截止2011年,目前近50個國家400多個城市在運營現代有軌電車系統,主要分布在歐洲、北美等地區,在澳大利亞、日本等國也得到廣泛運用。在我國,目前長春、大連有保留、改造的線路4條,上海、天津有新建線路2條,共計6條有軌電車線路正處于運營中;北京、蘇州、南京、沈陽等四個城市的多條現代有軌電車正處于建設中。
3.課題研究的意義
有軌電車線路的修建,建設周期長、投資規模大、社會影響深遠,涉及多個利益群體,與人民群眾切身利益密切相關。為了深入貫徹落實科學發展觀,堅持以人為本、執政為民,把實現好、維護好、發展好最廣大人民根本利益作為決策的出發點和落腳點,正確處理改革發展穩定的關系,著力從源頭上預防和化解社會矛盾,最大限度增加和諧因素,保障和促進經濟社會又好又快發展,需對社會穩定風險進行評估。
本文以寧波市鄞州區現代有軌電車一期工程為例,探討應如何對現代有軌電車項目進行科學合理的社會穩定風險評估。
二、項目概況
寧波市鄞州區現代有軌電車一期項目工程長8.16 公里,起自姜山鎮南大東路站,經天童南路、鄞州大道、寧南南路、寧南北路止于嵩江中路路口南側的寧南立交南站。全線設站12 座,全線平均站間距723m。鄞州區有軌電車投資估算總額為10.68 億元,技術經濟指標為1.31 億元/正線公里。
三、評估方法
1.項目特點分析
寧波市鄞州區現代有軌電車實驗線一期項目工程途經南部商務區、鄞州區政府、萬達廣場等敏感地段。對于在沿線途經多個居住區及商業中心區,修建一條軌道交通線路,從維護社會穩定風險方面考慮,如何制定行之有效的工作協調機制、對沿線多數居民、單位環境和交通影響的控制措施,是確保項目保證工期并加快建設的關鍵。為盡可能保證軌道建設與用地規劃相銜接,梳理用地情況、主要敏感點,并有針對性制定維穩措施。
2.調查方案設計與實施
本次工作結合選擇采用收集資料、媒體公示、專家評議等形式開展社會穩定風險調查工作。
四、風險調查評估
1.風險識別清單
根據項目具體情況對風險因素進行分類梳理,并結合當地經濟社會與擬建項目的互適性,從初步識別的各類風險因素中篩選出主要的、關鍵的單風險因素,將主要單風險因素制成風險因素識別表如下:
2.風險因素與評估重點
結合各風險因素的特點進行分析,得出各風險因素相應的評估重點,如下表所示。
3.風險評估方法
每個項目根據其特點可采用不同的評估方法,本項目擬采用風險評價矩陣來進行評估,具體就是:首先進行風險的識別,在風險識別的基礎上,采用定性與定量相結合的方法,對每個主要風險因素的風險程度做進一步分析、預測和估計,綜合分析和估計引發風險事件的可能性(概率)、影響程度,采用風險概率―影響矩陣(也稱風險評價矩陣)來評判其風險程度,并進行排序,編制形成主要單因素風險程度匯總表,以揭示其關鍵性的風險因素。
根據以上矩陣即可計算整個項目的總體風險,進而根據項目的風險等級標準確定整個項目的風險等級。
4.風險等級的劃分
根據國家和省部委的相關規定,社會穩定風險等級分為3 個等級,即:高風險、中風險、低風險。
高風險:大部分群眾對項目有意見、反應特別強烈,可能引發大規模。
中風險:部分群眾對項目有意見、反應強烈,可能引發矛盾沖突。
低風險:多數群眾支持但少部分人對項目有意見,通過有效工作可防范和化解矛盾。
五、項目社會穩定風險綜合評估
1)風險分析匯總表
根據在上述的風險分析結果,編制形成項目主要單因素風險程度匯總表,以揭示其關鍵性的風險因素(W),見下表。
為了在采取控制措施時能分清輕重緩急,常常給風險劃一個等級。按照風險事故發生后果的嚴重程度劃分每類風險因素的權重(I),取值范圍為[0,1],I 取值越大表示該類風險在所有風險中的重要性越大,所有風險權重累計為1。在綜合分析的基礎上,對專家評分結論進行加權綜合,確定該項目各社會穩定風險因素權重見下表:
2)綜合評估
單風險因素風險程度分值(R)的取值為:低風險程度取值0-1 區間,中風險程度取值1-2 區間,高風險程度取值2-3 區間。綜合風險的分值越高,說明項目的風險越大。寧波市鄞州區有軌電車示范線一期工程的社會穩定風險評估表如下:
從上表可以看出,鄞州區有軌電車項目建設可能引發的不利于社會穩定的綜合風險值為0.64,為低風險等級。
六、評估結論
筆者通過本次有軌電車的社會穩定風險調查,對項目的各個階段(決策、準備、實施、運營)有可能發生的各類風險進行了分類梳理,最終篩選出11 項風險因素。針對上述11 項風險因素,筆者分別從合法性、合理性、可行性、可控性四個方面,對鄞州區有軌電車項目進行了社會穩定風險的評估。同時利用風險矩陣方法對項目建設可能引發的不利用社會穩定風險進行了綜合評估,評估結果等級為低風險等級。
七、結 語
本文以寧波市鄞州區現代有軌電車一期項目的社會穩定風險評估為例,詳述了風險評估的依據、方法、識別、程序等內容,探討了應如何科學合理的對城市現代有軌電車項目進行社會穩定風險評估,僅供其他類似工程項目參考借鑒。
參考文獻:
[1] 趙振庭. 重大工程項目社會穩定風險指標體系與評估研究. 西南交通大學碩士學位論文,2014
風險評估等級如何劃分范文第4篇
Abstract: Starting from the main content, the necessity of implementation and the application of total risk management in enterprises, this article expounds the importance of total risk management in enterprise development, and shows its procedures, contents and requirements.
關鍵詞: 企業;全面風險;管理
Key words: enterprise;total risk;management
中圖分類號:F270.7 文獻標識碼:A 文章編號:1006-4311(2013)22-0139-03
1 風險的概念
“風險”一詞的由來,最為普遍的一種說法是,在遠古時期,以打魚捕撈為生的漁民們,他們認識到,在出海捕撈打魚的生活中,“風”即意味著“險”,因此有了“風險”一詞的由來。現代意義上的風險一詞,已經大大超越了“遇到危險”的狹義含義,企業全面風險管理,所指的風險是指未來的不確定性對企業目標所產生的影響。其基本的核心含義是“未來結果的不確定性或損失”,如果采取適當的措施使破壞或損失的概率不會出現,或者說智慧的認知,理性的判斷,繼而采取及時而有效的防范措施,那么風險可能帶來機會,由此進一步延伸的意義,不僅僅是規避了風險,可能還會帶來比例不等的收益,有時風險越大,回報越高、機會越大。
2 風險管理典型案例
法國興業銀行是世界上最大的銀行集團之一,是法國第二大銀行,市值僅次于法國巴黎銀行。該行2008年1月24日披露,因其精通電腦的一位名叫杰羅姆·科維爾的交易員沖破銀行內部層層監控進行非法期貨交易,該行因此蒙受了49億歐元(約合71.6億美元)的巨額虧損。據稱,這也是有史以來涉及金額最大的交易員欺詐事件。這一數額巨大的欺詐案件一度引起了法國總統薩科齊的關注,監管當局已著手對此展開調查。法國財政部報告認為:興業銀行風險監控機制有問題,內部監控系統多個環節有可能存在漏洞。存在的主要風險有:沒有有效監督交易員盤面資金,沒有有效跟蹤資金流動,沒有遵守后臺與前全隔離規則,過分相信電腦系統,而忽視了對風險和流程的管理。當今隨著經濟全球化的不斷發展,企業在市場競爭中,無論是在人力資源方面、財務方面,還是法律方面、內部控制等方面都充滿了風險,一個企業要想在這個風險重重的環境之中,求生存、鞏固現有市場、保持繁榮、發展壯大、始終立于不敗之地,就要充分認識到企業全面風險管理的重要性。
3 風險管理的意義
近些年來風險管理逐步成為了國際上關注的熱點,在一些發達國家,風險管理不僅在理論上發展迅速,而且很多企業都已認識到風險管理的重要性,越來越多地將風險管理應用到企業管理的各個方面。尤其是在諸如安然、世通等事件發生后,風險管理更加為各國所重視,美國還出臺了薩奧法案來規范上市公司的行為,薩奧法案被稱為是自羅斯福總統以來對美國商業界影響最為深遠的改革法案。
在我國,風險管理理論的發展及應用相對滯后,有相當一部分企業普遍存在風險管理意識不足,缺乏風險策略、風險管理較為被動、缺少風險管理專業人才,以及風險管理技術、資金不足等問題。企業切實實行全面風險管理、運行風險管理基本流程可以獲得很多好處,最主要的有:標本兼治,從根本上提高企業風險管理水平。全面風險管理體系幫助企業建立動態的自我運行、自我完善、自我提升的風險管理平臺,形成風險管理長效機制,從根本上提升企業風險管理水平。達到與企業整體經營戰略相結合的風險最優化。全面風險管理把風險管理納入企業戰略執行的層面之上,將企業成長與風險相聯,設置與企業成長及回報目標相一致的風險承受度,從而使企業將戰略目標的波動控制在一定范圍內,支持企業戰略目標實現并隨時調整戰略目標,保障企業穩健經營。
2006年,國務院國有資產監督管理委員會,了《中央企業全面風險管理指引》,強調企業全面風險管理是一項十分重要的工作,關系到國有資產保值增值和企業持續、健康、穩定發展。要求央企逐步開展全面風險管理工作,進一步提高企業管理水平,增強企業競爭力,促進企業穩步發展。
中國石油天然氣股份有限公司在2004年開始著手建立以薩奧法案為依據,COSO框架為基礎的內部控制體系,2005年通過了普華永道會計師事務所的外部審計。內控體系開始正式運行。2010年,股份公司開始選取試點單位按照國資委要求,開展全面風險管理工作。2011年,根據集團公司通知文件要求,錦州石化公司作為第二批推廣單位,逐步開展2012年公司風險管理報告的編制工作。公司內控與風險管理辦公室,借鑒試點單位的經驗,按照風險管理報告的要求,于2011年下旬,開始組織開展公司全面風險管理工作。
4 在錦州石化公司開展風險管理工作
4.1 工作目標 圍繞公司“十二五”發展規劃及2012年目標,以煉化生產業務為核心,按照風險評估的程序和方法,開展公司層面的風險評估,分析確定2012年公司可能面臨的重大風險,并制定相應的重大風險管理策略與解決方案,完成公司2012年風險管理報告的編制工作。
4.2 評估范圍 錦州石化公司現有生產裝置85套,原油加工能力達到750萬噸/年。本次風險評估工作以生產經營業務為核心,充分考慮影響公司目標實現的資源、環境、市場、競爭、組織與運營等內部因素和外部因素,識別和評估企業生產活動的重要風險。涉及的范圍主要包括:總經理辦公室、生產技術處、機動設備處、安全環保處、規劃計劃處、財務處、人事處(組織部)、企管法規處(內控與風險管理辦公室)、審計處、紀委監察處、企業文化處、工程管理部、營銷調運部、物資采購部、信息中心、礦區服務事業部16個單位和部門。
4.3 組織方式 公司成立了企業風險評估領導工作組,設立企業風險評估領導工作組辦公室,統一指揮各部門的風險評估工作。具體負責編制《錦州石化公司2012年風險管理報告工作實施方案》、《錦州石化公司風險評估標準》,組織開展培訓和為各單位開展工作進行技術指導,匯總分析公司層面風險數據庫,督促各單位工作進度及審核階段性工作質量,協調解決實施過程中遇到的問題,編制《錦州石化公司企業風險管理報告》。
4.4 評估程序(圖1)
4.4.1 建立風險評估基礎。以集團公司風險評估方法為指引,通過研究公司煉化生產核心業務架構,明確公司風險管理的目標,確定風險管理的范圍,對公司層面各項風險進行分類,編制風險識別指引,建立公司風險評估標準。
4.4.1.1 對風險進行分類。依據集團公司風險分類標準及全面風險管理相關理論研究成果,結合公司實際,以煉化經營業務為核心,將公司層面風險分類為戰略風險、經營風險、報告風險和合規風險四大類。再把上述各類風險以專業為指引進行細化,將公司層面戰略、經營、合規、報告4大類33項納入16個單位識別的范圍,編制了《風險識別主要事項指引》,明確了各類風險涉及的單位,為開展識別指出方向。
4.4.1.2 統一風險評估標準。按照集團公司《風險評估規范》,結合公司實際,風險評估辦公室制定《錦州石化公司風險評估標準》。在標準制定過程中,我們充分與各主要處室,包括總經理辦公室、安全環保處、生產技術處、規劃計劃處、財務處、人事處、物資采購等部門結合溝通研討,在集團公司規定的風險評估規范的基礎上,結合錦州石化公司的實際,對財務損失的金額、健康安全環境評估的影響數值進行了細化分級,并降低了損失額度,最低從5萬元起開始評估;在營運影響因素中重點突出生產運行過程中的多種影響因素;在企業聲譽及法律法規因素中補充完善了違反公司3項規章制度等的影響后果,使標準的應用更接近煉化核心業務,更具有可操作性。此外,針對評估小組成員在業務能力、技術水平或工作經歷等情況進行類別劃分,設置4個層次、4種評估打分權重,采用加權平均方法,統一設計《公司層面風險評價打分表》。通過增加、補充和完善,形成本公司風險評估標準。
風險評估標準主要包括可能性和影響程度標準。
風險發生的可能性:可能性分五級,分別以5、4、3、2、1五個分值進行評分。考慮風險發生的可能性時,可以從發生概率、大型災害/事件類、日常營運三種標準中,選擇一種標準對風險發生的可能性進行評分。
風險影響程度:影響程度分為五級,分別以5、4、3、2、1五個分值進行評分。考慮風險的影響程度時,可以從財務損失、企業聲譽、法律和規章制度、健康安全環境、營運及穩定六個方面,選擇其中一個主要方面對風險的影響程度進行評分。
4.4.2 目標設置與分解。圍繞公司發展戰略總體思路,結合本部門\單位職責,各專業部門將公司“十二五”發展規劃、2012年主要生產經營目標及KPI指標進行分解落實,在目標設置環節,各專業部門以目標為基礎,按計劃開展風險識別、評估工作。
4.4.3 風險識別。各專業小組圍繞本專業工作目標,通過采取查閱領導講話、通報、座談、討論、網絡、問卷調查等方法展開信息收集,對可能影響公司目標實現的內外部風險因素、風險事件進行識別并記錄。各專業評估小組以公司下達的《風險識別主要事項指引》為參考,全面開展風險識別,以風險易發和高風險領域為重點,開展風險事件庫的收集和風險數據庫的建立工作。
4.4.3.1 風險事件庫建立情況。各專業小組圍繞公司“十二五”規劃及2012年度生產經營目標,從內、外部角度,自下而上廣泛收集相關風險事件。16個專業小組共收集國內、國外、同行業及本企業近五年來發生的重大風險損失事件182個,這些案例設計健康安全環境、舞弊及誠信、法律、投資、信息安全、生產中斷與產能不匹配、穩定、價格波動等業務領域。安全環保工作小組還對公司曾經發生過的重大風險事件,從發生的過程、造成的損失或影響、產生的原因、事件的處理以及防止同類事件發生所采取的對策等方面,進行了分析研究。經公司風險評估辦公室匯總整理,形成《風險事件庫》,為風險分析和風險評估提供依據。
4.4.3.2 公司層面風險數據庫建立情況。各專業小組參考集團公司風險數據庫,結合公司領導講話、國內外同行業披露的風險等信息,經過培訓、研討、案例分析等過程,分階段按部門逐項驗收,展開風險再識別工作。3月末,16家單位共識別出包含生產中斷風險、健康安全環境風險、人力資源風險、物資采購舞弊風險、交通風險、合同風險、質量風險、起重傷害風險、觸電風險、中毒和窒息風險、資金流動管理風險、價格波動風險、市場需求風險、生產技術落后風險、勞動關系風險等各類風險70個。其中,經營風險占70%,合規風險占14.28%,戰略風險占4.30%,報告風險占11.42%。(見圖2)。風險評估幫公司匯總整合同類項并組織分析,在些基礎上編制完成了公司層面的風險數據庫,如圖2:
4.4.4 風險分析。針對風險分析,我們主要應用了風險事件成因分析法和調查問卷法。借助風險評估標準工具,開展風險分析。風險評估辦公室組織16家風險評估單位成員,認真學習《錦州石化公司風險評估標準》,通過講解和討論,大家明確了如何確定風險的可能性及風險的影響程度;如何設定打分權重;如何計算風險等級分值等內容。為第三階段開展的風險評估工作奠定了基礎。從3月14日開始,由16個各專業小組組織相關人員按照《錦州石化公司風險評估標準》,對識別出的風險,從風險發生的可能性及影響程度進行分析,初步確認本專業重要風險。各專業小組根據評分結果,將已確認的中級(分數在5分以上)風險,填寫《重大風險匯總表》后上報風險評估辦公室。
4.4.5 風險評價。從3月20日開始,風險評估辦公室根據各評估工作小組提供的風險分析及評估結果,對初步確認的中級以上重要風險進行匯總、分析,形成各專業重要風險數據庫匯總表,共計43個重要風險;公司評估工作組針對43個重要風險再次評估,按評估方法排序,確定風險偏好,評估出公司層面重大風險,并將重大風險繪制成風險熱力圖。
4.4.5.1 公司風險評估小組確定公司風險評估方法。結合風險分析過程的可能性和影響程度的判定,按照如下權重設置及統計計算方法,完成中等級以上風險再評估。公司級評估權重:副總師以上領導40%、處級干部30%、科級干部20%、業務人員10%。
R=■(A■×C■)×■(B■×C■)
R—風險等級分值;Ai—第i類人員風險發生可能性平均分值;Bi—第i類人員風險影響程度平均分值;Ci—第i類人員權重;n—人員類別總數。風險等級分值=風險影響程度分值*風險發生可能性分值。對已評價風險按風險等級分值進行排序,參照風險等級(見表1)確定重大風險。原則上R值大于12分以上的風險確定為公司的重大風險加以控制;低于此風險作為重要和一般風險加以控制。
4.4.5.2 公司風險評估辦公室組織進行重大風險評估。風險評估辦公室以問卷的形式,對43個重要風險進行再次評估,評定出風險等級。此次評估共發出問卷382份,回收率100%。問卷發放的對象為四個層次,第一層為副總以上公司領導,第二層是機關及直屬單位處級領導,第三次為機關及直屬單位科級干部,第四層次為機關及直屬單位科員。風險評估辦公室通過計算、統計、匯總,確定公司風險偏好,選擇風險分值大于10的風險,共計20個風險初步列為公司層面需控制的風險,其中,重大風險7個(12分以上),重要風險13個(分值10-11),并將該評估結果上報公司主管領導審核。
4.4.5.3 繪制風險熱力圖
參考文獻:
[1]李慶虎,段學仲,張佰睿.企業全面風險管理:識別、評估與控制[J].中國總會計師,2007(09).
風險評估等級如何劃分范文第5篇
論文關健詞:應用流分析;風險評估;流量分組
1概述
基于互聯網的新技術、新應用模式及需求,為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障,OA,ERP等關鍵業務與BT,QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素,據CNCERT/CC獲得的數據表明,2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用,使得傳統的基于端口的流量監控方法失去了作用。
如何有效地掌握網絡運行狀態、合理分配網絡資源,成為網絡管理者們的當務之急。針對以上需求,作者設計并實現了一套網絡應用流分析與風險評估系統(TrafficAnalysisandRiskAssessmentSystem,TARAS)。
當前,網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術,這是目前應用流分析最新技術。然而,簡單的流量分析并不能確定網絡運行狀態是否安全。因此,在流量分析的基礎上,本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估,使網絡運行狀態安全與杏這個不確定性問題得到定性評估,這是當前網絡管理領域需要的。
2流量分析模型
目前應用流識別技術有很多,本文提出的流量識別方法是對SubhabrataSen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構,提高效率。
應用識別模塊在Linux環境下使用Libpcap開發庫,通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率,采用了類似于Linux下的NetFilter框架的設計方法,結構見圖1。
采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法,提高了效率;(2)借鑒狀態防火墻的技術,使用面向流(flow)的識別技術,對每個TCP連接的只分析識別前10個報文,對于該連接后續的數據報文則直接查找哈希表進行分類,這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。
在匹配模塊設計過程中,筆者發現如果所有的協議都按照基于協議特征的方式匹配,那么隨著協議數量的增大,效率又會成為一個需要解決的問題。
因此,在設計應用流識別模塊時,筆者首先考慮到傳輸層端口與網絡應用流之間的聯系,雖然兩者之間沒有絕對固定的對應關系,但是它們之間存在著制約,比如:QQ協議的服務器端口基本不會出現在80,8000,4000以外的端口;HTTP協議基本不會出現在80,443,8080以外的端口等,因此,本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類,提高匹配效率。
對于端口不固定的應用流識別,采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面,這樣可以提高查找的速度。另外,不同的網絡環境所常用的網絡應用流也不同,因此,也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性,它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略,但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。
3風險評估模型
本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。
3.1應用流的分組
網絡應用種類多、變化頻度高,這給應用流的評估帶來了麻煩,如果要綜合考慮每一種應用流對網絡帶來的影響,顯然工作量是難以完成的。因此,本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮,將識別后的流量進行歸類分組。筆者在長期實驗過程中,根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則,即將網絡流量分為:關鍵業務,傳統流量,P2P及流媒體,攻擊流,其他5類。應用流分組確定了流量評估的維度,這樣有利于提高評估的效率。表1列舉了部分應用流的分組。
應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類,并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息,并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時,向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小,而輸出有2個:
(1)整個網絡的流量分布矩陣。
(2)異常主機流量分組中的成份。
筆者引入流量矩陣的概念。流量矩陣A的數學定義為
其中,aij表示第i臺主機的第j組流量的大小,aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。
由于TCP/IP協議的廣泛應用,網絡流量中的絕大部分使用基于TCP的傳輸層協議,因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為
其中,Lij表示第i臺主機第J組應用流的網絡連接數。
在網絡通信過程中,每個流量分組的通信主機數量具有參考價值,在此引入通信主機數量矩陣,數學描述為
其中,hij為表示某一分組流量的通信主機數目。
另外,流量分組模塊在接收到安全響應模塊的請求時,會向其發送該異常網絡節點的應用流類別信息。
信息內容為:主機IP地址,主機應用流分組名,應用流名稱列表。
3.2應用流的風險評估
網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。
本節首先確定該模型的評估的對象、指標和目標,評估的具體方法如下:
(1)流量安全評估的對象是每個網絡節點的應用流分組。
(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。
(3)評價的目標是確定各應用流的安全性。
(4)評估方法是以先定量后定性的方法為原則,具體方法如下:
1)制定各分組流量的安全評估規則,為量化評估提供依據。
2)參照安全評估規則,根據3個量化指標評價網絡用戶流量的安全性,并得到安全評分。
3)根據安全性評價集,將量化后的安全評分指標定性化。另外,對于攻擊流進行特別評估,并且當出現攻擊流時,攻擊流安全等級代表主機安全等級。
安全評估子模型的結構如圖3所示。
3.2.1各分組流量的安全定量評價
對于不同分組的通信行為和流量特點,本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。
對于各流量安全評估節點,A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A,L,H)=Sij(1≤i≤n,1≤j≤5),用于表示目標節點流量安全評估的量化結果,從而實現對目標安全狀況的定量分析。
將該評價方法設為F則該過程可用數學描述如下:
其中,Sij為各網絡節點中應用流分組的安全評分。
3.2.2流量安全定性評價
量化后的安全評分對與安全程度的描述仍然有很大的不確定性,因此,需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。
以上5個安全等級對于流量的安全性的區分如下:
(1)安全狀態表明該分組流量屬于正常情況;
(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;
(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;
(4)危險狀態主要指該分組流量危害網絡的正常運行;
(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。
量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th,將該過程用運算h表示為
其中,Tij為第i臺主機第j組應用流的安全等級。
4實驗結果
4.1應用流的識別率
由于TARAS系統能夠識別多種應用流量,因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因,TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到,TARAS對各種協議的識別存在漏報和誤報的情況。具體來看,eMule應用由于大量使用UDP傳輸數據,因此識別率不高。另外,http協議通常使用傳輸層80端口,但這個端口也被QQ和MSN2個聊天軟件使用,除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口,因此,在識別過程中http協議會產生誤報,即將非http協議數據也當作http協議計算。
4.2應用流的風險評估
為了測試TARAS系統風險評估的準確性,筆者在擁有8臺主機的局域網中做相關測試,并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。
主機17使用傳統應用FTP執行下載任務,其他流量分組中無或只有極少流量,從表7可以看出,該主機的傳統應用分組流量達到2Mb/s,此時傳統應用流量分組應該達到威脅級別,而其他分組應該都是安全級別,主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊,從表7可以發現,該主機高危分組的流量為2048kb/s,此時該分組應該達到高危級別,而其他分組由于流量為0因此為安全,主機的總體評價為高危。主機177使用BT進行下載,并使其流量達到1536kb/s,根據風險評估策略,該主機的P2P及流媒體分組應該達到威脅級別,其他分組應該都是安全級別,主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。
對比表7和表8可以發現,TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差,但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全,誤差在可接受范圍內。
5結束語
本文針對當前網絡管理面臨的問題,將應用流成份分析和風險評估引入到網絡流量分析和評估領域中,設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題:
