安全风险评估措施精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全风险评估措施主题范文,仅供参考,欢迎阅读并收藏。
第1篇:安全风险评估措施范文
摘要:本文通过深入分析一起典型海上救助拖带作业案例风险点,总结出一种海上救助拖带作业的风险评估方法,并结合工作实践,提出了此类救助风险评估注意事项和作业中较为实用的风险防范措施和方法。
关键词:救助 拖带 风险评估安全 防范
0引言
近年来,受极端恶劣天气的异常影响,海上安全形势的复杂多变,涉海突发事件呈现多发趋势,救助遇险种类呈现出多元化和复杂化的特点,救助船舶面临着更为复杂多样的风险和挑战。据统计2016全年,我国东海海域船舶因机械故障遇险出动救助次数为19起,占救助总量的13%,数量呈逐年上升趋势。此类救助常采取拖带救助方式,作业难度大、风险高。尤其拖救超大型船舶流程繁琐而复杂,风险控制要求高。因此对海上救助拖带作业风险进行深入的研究,作业前充分开展风险评估,采取相应的防范措施,对于保障此类救助作业的安全十分重要。
1典型案例
2017年1月23日深夜,满载钢材及合板某散货船(长189m 、宽32m、吃水12m、满载5.7万吨钢材和三合板)航行在中国沿海某水域,主机发生故障,现场风力7至8级,处于漂航状态,请求紧急救助。救助船接到救助指令后,立即组织实施作业风险评估,落实防范措施。24日上午,救助船抵达现场开始带缆,并起拖。主拖缆放至500m,拖缆共640m(其中30m龙须缆,110m短缆,500m主拖缆)。由于事发海域,水深、风大、涌高,并受黑潮流的严重影响,被拖船左右甩偏荡,为此,救助船采取降车、降速并及时调整航向,通知预险船操舵跟随救助船,以减小偏荡。24日下午,救助船掉头后,发现被拖船左右偏荡非常严重,偏荡幅度最大达180°,救助船分析当时流压态势,通过慢车、调整航向、协调遇险船操舵来控制,调整姿态,最终顺利抵达某港引水锚地,救援结束。
2 风险评估
2.1开展风险评估,首先要获取风险评估要素
上述典型案例中,救助船舶根据当时的天气海况、失去动力船舶的状况、救援的需求等,获取风险评估要素有以下几个方面:
(1)遇险船舶为满载钢材等货物的大型船舶,质量大,吃水深,救助作业中没有任何动力设备协助。拖带航行期间,无法配合救助船作业,容易产生大幅偏荡导致救助船操纵困难和断缆。
(2)遇险船船员缺乏救助作业经验和相关知识,需要救助船舶船员进行指导。
(3)到达目的地,没有其他船舶配合难以在狭窄水域或指定地点锚泊。
(4)风浪大,救助船舶摇晃剧烈,现场人员转运和实施相关救助作业风险较大。海况有进一步恶化趋势,将加剧救助作业的难度和风险。
(5)由于海况恶劣,救助船在作业中也可能发生意外,增加拖带救助作业的不确定性。
2.2通过分析、评估、判断,标明以上要素发生风险事件的可能性概率
通过评估,再标明出该风险要素发生的后果严重程度。风险等级可通过事故发生的可能性概率和事故的后果严重程度的乘积计算得出,即风险等级=可能性×严重性。
如得出风险等级为微小风险,一般无须采取任何行动方法措施;如得出风险等级为可容忍的风险,无须任何额外的控制措施,但可考虑增加具有成本效益的解决方法,或作一些改善,而无须付出额外的成本。需保持监控,确保在控制之中;如得出风险等级为中度风险,应采取行动降低风险,但所用成本应小心衡量,不可太高,同时应在限定时间内实施降低风险的措施;如得出风险等级为重大的风险,降低风险之前,不得开始工作,同时也可能需要为降低风险付出大量资源。若风险涉及进行中的工作,必须采取紧急防范行动;如得出风险等级为不可容忍的风险,降低风险之前,不论工作是否已经开始,都必须停止。
2.3 确定风险等级
救助作业风险评估救助船舶在实施救助作业前意识到作业存在的风险,并在本船的能力下采取相应措施后进行评估,判断作业安全是否可控,确定每一个工作过程风险等级,并采取相应的防范措施,只有在风险可控下船舶方可实施救助作业。但如果任一个工作过程风险等级为判定为重大风险,救助船舶可通过改进措施,对改进措施后的风险重新评估,如风险可控,作业方可实施。一旦以船舶的自身能力已无法控制作业安全风险,应立即向岸基指挥部门报告,由岸基指挥部门采取措施给予岸基支持,再次开展风险评估,确定降低和控制风险措施,如果岸基指挥部门评估风险不可控,救助作业应立即暂停或终止。风险评估流程图详见图2-1所示。
3拖航救助的风险防范
(1)针对本文典型案例,救助船舶制定了以下防范措施来降低风险等级
① 及时与遇险船舶进行沟通,了解其船舶主机设备的损坏情况。
② 将救助船将要执行的救助计划告知遇险船,使其了解救助工作的方法和步骤,便于配合。
③ 再次检查测试救助船相关设备情况,提高设备运行的可靠性,降低风险。
④ 落实人员到岗,细化工作步骤,落实安全措施。
⑤ 落实可能出现的应急情况下的应急预案。
⑥ 如有必要,选派合适人员登遇险船舶开展工作,便于沟通和现场作业指导。
⑦ 针对到达目的地后可能出现的失控情况,申请岸基支援,增加辅助拖轮协助作业。
(2)对于救助作业前期的风险评估、风险源的甄别和风险防范措施等,救助船和岸基指挥部门应在作业前应进行充分的确认措施落实情况,以达到对预知风险的可控。
(3)在执行救助大型船舶拖航任务时,还应充分考虑到主机功率及安全负荷,留足安全余量,避免主机长时间高负荷或超负荷运转,对机器和其他机械设备造成损伤。
(4)遇险船舶已接受大风浪考验且未危及安全的前提下,如气象海况好转,救助区域环境许可,应考虑选择恰当的时机实施救助,避免恶劣海况下的产生无谓的风险和损耗,但在等待过程中应做好充分的应急准备,如遇险人员应急接救准备等。
(5)作业期间还应加强作业船舶和现场指挥人员、协调人员、遇险船舶的沟通协调,以确保船舶实施救助或实战训练达到最佳的效果。救助船舶应避免盲从现场其他人员或岸基指挥人员的要求,要充分考虑自身安全,要预判好趋势的发展对救助作业和安全带来的困难,避免盲目作业,以免对自身和遇险对象造成更严重的伤害。
4救助评估作业注意事项
(1)评估要素一次救助作业过程应进行分段,细分工作过程、作业步骤和流程。例如,救助主机故障抛锚船可分为“航行抵达救助区域——带缆——启拖——拖航——指定地点抛锚解拖”等,应尽可能细分。
(2)可能存在风险应对每一分段的作业要素的风险分别进行评估,并尽可能列举每一段作业存在的所有风险。例如,指定地点被拖船抛锚解拖过程中可能存在的风险,如锚地抛锚船多,水域狭窄、富裕水深不足、顺流进入指定地点船队操控困难、主拖缆拖底损坏、被拖船抛锚后锚链倒拖走锚等。
(3)可能导致事故和健康危害对可能存在风险中的每一个不安全的风险进行评估可能造成的后果。例如,顺流进入指定地点船队操控困难存在的危害与抛锚船发生碰撞、无法顺水抛锚、无法锚地掉头等。
(4)降低和控制风险措施中应针对存在的风险和危害制定相应的措施进行控制和降低。例如:针对4.3中的例子,措施可采用控制船队船速,选择顶水进锚地,或者锚地外绕行顶水进入,或者锚地外缘开敞水域抛锚等。
(5)船舶在现有措施能够安全完成救助作业的情况下,事先救助作业风险评估应为可容忍风险和小风险,如评估为重大风险和不可容忍风险时,必须暂停或终止作业报岸基指挥部门。如本文典型案例中拖带航行期间产生了大幅偏荡,该风险极易导致救助船操纵困难和断缆,为重大风险,救助船舶采取了慢车、调整航向等措施控制,有效地避免了断裂事故的发生。
(6)在评估满足作业条件后方可开展救助作业,但一旦船长认为现场救助作业可能危及船舶、人员或海洋环境时,应立即暂停或终止救助作业,并向岸基指挥部门报告,由指挥部门制定措施再次评估,直到可行,一旦不可行,应终止作业。
(7)岸基指挥部门评估结果应及时传递至救助船舶,为其作业提供依据,救助船舶应严格落实好岸基指挥部门提供的措施,同时应把落实的措施记录于《航海日志》中。
第2篇:安全风险评估措施范文
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
第3篇:安全风险评估措施范文
根据以往学者研究及实践表明,对计算机信息安全保障的工作可归纳为安全管理、安全组织以及安全技术等三方面的体系建设。而确保其保障工作的顺利展开需以信息安全的风险评估作为核心内容。因此对风险评估的作用主要体现在:首先,信息安全保障需以风险评估作为基础。对计算机信息系统进行风险评估过程多集中在对系统所面临的安全性、可靠性等方面的风险,并在此基础上做出相应的防范、控制、转移以及分散等策略。其次,信息安全风险管理中的风险评估是重要环节。从《信息安全管理系统要求》中不难发现,对ISMS的建立、实施以及维护等方面都应充分发挥风险评估的作用。最后,风险评估的核查作用。验收信息系统设计安装等是否满足安全标准时,风险评估可提供具体的数据参考。同时在维护信息系统贵过程中,通过风险评估也可将系统对环境变化的适应能力以及相关的安全措施进行核查。若出现信息系统出现故障问题时,风险评估又可对其中的风险作出分析并采取相应的技术或管理措施。
二、计算机信息系统安全风险的评估方法分析
(一)以定性与定量为主的评估方法。
计算机信息系统安全风险评估方法中应用较为广泛的主要为定性评估方式,其分析内容大多为信息系统威胁事件可能发生的概率及其可能造成的损失。通常以指定期望值进行表示如高值、中值以及低值等。但这种方式无法将风险的大小作出正确判断。另外定量分析方法对威胁事件发生的可能性与其所造成的损失评估时,首先会对特定资产价值进行分析,再以客观数据为依据对威胁频率进行计算,当完成威胁影响系数的计算后,便将三者综合分析,最终推出计算风险的等级。
(二)以知识和模型为基础的风险评估。
以知识为基础的风险评估通常会根据安全专家的评估经验为依据,优势在于风险评估的结构框架、实施计划以及保护措施可被提供,对较为相似的机构可直接利用以往的保护措施等便可实现机构安全风险的降低。另外以模型为基础的评估方式可将计算机信息系统自身的风险及其与外部环境交互过程中存在的不利因素等进行分析,以此实现对系统安全风险的定性评估。
(三)动态评估与分析方式。
计算信息系统风险管理实际又可理解为信息安全管理的具体过程,一般会将信息安全方针的制定、风险的评估与控制、控制方式的选择等内容包含在内。整个评估与分析方式具有一定的动态特征,以PDCA为典型代表,其计划、实施、检查以及改进实现了对风险的动态管理。
(四)典型风险评估与差距分析方法分析。
典型风险评估主要包括FTA、FMECA、Hazop等方法,对计算机信息系统设计中潜在的故障与薄弱之处,都可提出相应的解决措施,以FTA故障树分析为典型代表,在分析家算计信息系统的安全性与可靠性方面极为有效。差距分析方式往往以识别、判断以及具体分析的方式对系统的安全要求与当前的系统现状存在的差距进行系统风险的确定,存在的差距越大则证明存在的风险越大。
三、结论
第4篇:安全风险评估措施范文
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
第5篇:安全风险评估措施范文
关键词隧道风险评估
中图分类号: U45文献标识码: A
1前言
近些年来,随着我国公路建设的快速发展,隧道施工作业的安全风险、安全事故增多,为减少重特大生产安全事故发生,有效控制施工风险,降低人员伤亡和经济损失,从隧道工程的地址环境条件、建设规模、结构特点等孕险环境与致险因子入手,对隧道施工安全的风险评价的程序和方法进行探索性研究,达到隧道施工安全风险评价超前策划、积极应对控制的目的。
2 评价流程
2.1编制依据
按照根据交通部文件《公路桥梁和隧道工程施工安全风险评估指南(试行)》有关要求,结合国道324改线工程建设实际情况以及相关的国家和行业标准、规范及规定。
2.2隧道概况
2.2.1、地理位置及工程范围
寨仔山隧道为分离式双线隧道,隧道全长1875m(左线1852m),属长隧道,隧道最大埋深约为194m,单洞建筑限界:净高5.0m,隧道净宽10.25m,紧急停车带单洞建筑限界:净高5.0m,隧道净宽13.0m。隧道进洞口位于R=12000m的竖曲线上,隧道左右线洞内纵坡均为-0.8%的单向坡。
2.2.2、地形地貌概况
隧道区地貌属构造、剥蚀形成的低山,隧道穿越北西走向的低山区,地表起伏较大,山体植被较发育,部分地段见有基岩出露。
2.2.3、地质情况
隧道区范围内地层岩性为素填土、填石、粉质粘土、残积砂质粘性土、全风化、散体状强风化、碎裂状强风化花岗岩,下伏基岩为燕山早期第三次侵入花岗岩。
地下水主要为基岩裂隙水,赋存于基岩裂隙、节理中,水量较贫乏,富水性不均。主要接受大气降水补给,以泉形式向地势低洼及沟谷处迳流排泄。本隧道区地表水为大气降水,雨季时,水量丰富,对隧道施工和营运无影响,地下水主要赋存于基岩裂隙中,主要接受大气降水的补给,基岩透水性弱,对隧道影响较小,隧道施工范围地下水稳定水位埋深6.90~12.50m。
2.2.4、总体施工方案
本隧道以Ⅲ、Ⅳ级围岩为主,隧道正洞除洞口Ⅴ级围岩浅埋、扁压段采用三台阶七步法开挖外,其他均采用台阶法或全断面法开挖施工,按锚喷构筑法施工,采用光面爆破。
开挖前进行超前地质预测预报,隧道施工过程中加强监控量测,以掌握围岩动态和支护工作状态,及时调整隧道的施工和支护方案,保障围岩稳定和施工安全。全隧除洞口段采用斜切或斜切延伸衬砌外,其余段落均采用复合式衬砌。各工作面施工均采用无轨运输,仰拱全幅超前拱墙施工,整体式液压模板台车衬砌,压入式通风。
3、风险评估程序和风险评估方法
3.1、风险评估程序
(1)对施工阶段的初始风险进行评价,分别确定各风险因素对安全风险发生的概率和损失。分析各风险因素的影响程度,主要确定风险因素影响对施工安全的影响。
(2)提出各风险因素的等级及残留风险等级,综合确定寨仔山隧道隧道风险等级。
(3)根据评价结果制定相应的风险对策专项施工方案并确定监控责任。
(4)上级单位对风险评估报告进行审定,并针对高度风险等级,组织专家组评审,形成隧道安全风险评审意见。
(5)国道324改线工程项目经理部各负其责,做好隧道风险过程管理。
施工阶段风险评估流程图
满足直至整个隧道完工
3.2、风险评估方法
以专家调查法为主线,综合运用风险层次分析法、矩阵法、核对表法。
3.3、风险分级及接受标准
(1)事故发生概率等级标准
在综合考虑了地形地质条件、原勘测、设计有关资料后,将各种风险因素导致相应事故发生的的概率及后果分别用1~5五个数值来表示,其中,概率等级 “1”~“5”分别代表“很不可能”、“不可能”、“偶然”、“可能”、“很可能”,
(3)风险等级标准
后果等级“1”~“5”分别代表“轻微的”、“较大的”、“严重的”、“很严重的”、“灾难性的”;并定义概率及后果的估值的乘积为风险指数,依据《铁路隧道风险评估与管理暂行规定》风险等级标准将风险指数分为“极高(Ⅰ级)、高度(Ⅱ级)、中度(Ⅲ级)、低度(Ⅳ级)”四个等级。其事故发生概率、后果等级与风险等级(指数)关系如表5所示:
风险等级关系 表5
(4)风险接受准则
公路隧道风险接受准则与采取的风险处理措施如表6。
风险接受准则表6
4、风险评估内容
4.1、总体风险评估内容
隧道工程施工安全总体风险评估主要考虑隧道地质条件、建设规模、气候与地形条件等评估指标,评估的分类、赋值标准可参见隧道工程总体风险评估指标体系表7。
根据本标段寨仔山隧道的实际情况如下:
围岩情况:Ⅴ、Ⅵ级围岩长度占全隧道长的20%
隧道施工区域不会出现瓦斯
有部分可能发生涌水突泥的地质
开挖断面:中断面(单洞双车道隧道)
隧道全长:左洞长1852m,右洞长1875m,累计单洞长3727m
洞口形式:水平洞
洞口特征:隧道进口施工困难
可以确定出寨仔山隧道工程施工安全总体风险大小为:R=G(A+L+S+C)=(1+0+0)(2+3+1+2)=8
属于等级Ⅱ(中度风险)。
4.2、总体风险评估结论
寨仔山隧道工程施工安全总体风险大小为:8分,风险等级属于:等级Ⅱ(中度风险)。 虽然总体风险评估为Ⅱ,但根据作业风险特点以及类似工程事故情况。需进行专项风险评估。
5、专项风险评估基本程序
5.1寨仔山隧道钻爆法施工作业程序分解及危险源普查和辨识
风险源辨识是风险评估的基础,包括3个步骤:工程资料的收集整理、施工作业程序分解、施工作业可能发生的安全事故辨识,从人、机、料、法、环等方面对可能导致事故的致险因子进行分析,制定风险源风险分析表。
5.2重大风险辨识
根据《公路隧道工程施工安全风险评估指南》,施工阶段风险评估应在施工图阶段风险评估的基础上,结合实施性施工组织设计对寨仔山隧道进行评估,主要侧重于施工安全,重点对塌方、涌水突泥、洞口塌方、瓦斯爆炸等典型风险进行评估。
根据本标段寨仔山山隧道工程施工区段坍塌事故可能性实际情况如下:
1)围岩级别A:Ⅳ、Ⅴ级
2)断层破碎情况B:存在宽度20m以下小规模断层破碎带
3)渗水状态C:干—滴渗
4)地质符合性D:工程地质条件与设计文件基本一致
5)施工方法E:施工方法基本适合水文地质条件的要求
6)施工步距F:a,Ⅴ、Ⅵ级围岩衬砌到掌子面距离在70m以下或全断面开挖衬砌到掌子面距离在120m以下。b、一次性仰拱开挖长度在8m以下
折减系数Γ为:1.
可以确定出寨仔山隧道工程施工区段坍塌事故可能性为:P=1*(0.9*4+1+1+1+2)=9。等级为3,可能发生坍塌事故。
根据本标段寨仔山隧道工程施工区段瓦斯爆炸事故可能性实际情况如下:
瓦斯含量A:无瓦斯
洞内通风B:洞内掌子面最小风速达标
机械设备防爆情况C:采用防爆设备
瓦斯监测体系D:洞内瓦斯监测体系完备
折减系数Γ为:1.
可以确定出寨仔山隧道工程施工区段瓦斯爆炸事故可能性为:
P=1*0*(1+2+1)=0,等级为0,不存在瓦斯爆炸的可能性。
根据本标段寨仔山隧道工程施工区段涌水突泥事故可能性实际情况如下:
岩溶发育程度A:岩溶不发育,有岩溶裂隙、小溶洞发育
断层破碎带B:施工区段不存在断层破碎带或较大裂隙
周围水体情况C:隧道周围不存在补给性水体
折减系数Γ为:1.
可以确定出寨仔山隧道工程施工区段涌水突泥事故可能性为:
P=1*1*(1+0)=1,等级为1 不可能发生涌水突泥事故。
6、对策措施及建议
6.1、 风险对策措施
按照评估的结果,寨仔山隧道涌水突泥分值为1,瓦斯爆炸分值为0,均为不可能发生的风险,属于可忽略的风险范围,此类风险较小,不需采取风险处理措施和监测。坍塌分值为9,风险等级为3,可能发生坍塌事故,属于高度(Ⅲ级)的风险类别为不期望风险,此类风险较大,必须采取风险处理措施降低风险并加强监测,且满足降低风险的成本不高于风险发生后的损失。
6.2、隧道易坍塌对策措施
(1)加强超前地质预报工作。对开挖面前方地层进行探测预报,判明地层和含水情况,为超前支护和止水提供依据,及时修改或加强超前支护和支护参数。尤其是施工开挖接近设计探明的富水带时,要认真及时地分析和观察开挖工作面岩性变化,遇有探孔突水、突泥、渗水增大和整体性变差等现象,及时调整施工方法。
(2)加强施工监控量测,实行信息化施工。对地表沉降、拱顶下沉、围岩收敛进行量测,及时对数据进行整理分析,及时反馈于设计和施工,及时优化设计参数和施工方法。当量测数据表明围岩收敛变形接近控制标准的警戒值时,尽快采取加强措施进行加固,抑制变形,防止因变形突变引起坍塌。
(3)据不同地质情况和开挖方式,采用超前小导管预注浆加固地层的超前支护措施,注浆选材视不同岩层和地下水情况分别采用水泥浆、水泥—水玻璃双液浆,通过注浆加固周边围岩,提高其自承能力,减少围岩松弛变形。
(4)对不同围岩,分别采取上部弧形导坑预留核心土法、短台阶法、全断面法等开挖方法。上部预留核心土法分步开挖时,支护要及时闭合成环,每一环支护均施作锁脚锚杆,加强支护,防止拱脚下沉和内移,引起过大变形,导致拱部岩层坍塌。
(5)严格控制开挖工序,尤其是一次开挖进尺,杜绝各种违章施工。控制爆破装药量,减小对软弱破碎围岩的扰动。
(6)保证施工质量。超前预注浆固结止水、钢架制作、支护和衬砌混凝土质量必须符合设计及规范要求。
(7)施工期间,洞口应常备一定数量的抢险材料,如方木、型钢钢架等,以备急用。
6.3、洞口危石地段对策措施
洞口段施工遵循先防护后开挖的原则。施工过程中加强对边仰坡的监测,在异常时立即停止施工,对坡面危石进一步处理。施工顺序:清除坡面危石加固坡面评估加固措施防护施工。
7、 风险评估结论
经风险评估,寨仔山隧道的塌方、洞口失稳等属于高度风险(Ⅲ级)。为确保安全风险得到有效控制和管理,按照本次评估的风险对策措施并制订专项安全施工方案进行重点管理和控制。
结束语:由于隧道施工过程中人的因素、物的状态以及施工管理缺陷等等因素不断地改变,所以施工安全风险风险评估需要动态管理,根据实际情况持续改进。才能达到预防为主的目的。
参考资料
《公路桥梁和隧道工程施工安全风险评估指南(试行)》
第6篇:安全风险评估措施范文
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
第7篇:安全风险评估措施范文
电子文件风险评估是电子文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。基于风险评估的电子文件安全管理体系能够对电子文件信息安全状况进行“把脉”,提出针对性的“诊疗”手段,而不是传统管理被动的“头痛医头脚痛医脚”。
一、电子文件风险评估的意义
(一)风险评估是电子文件安全管理的前提和基础。由于自身的特点,电子文件的风险始终客观存在。档案工作者的努力目标就是利用一切先进的技术和方法,把风险降到最低,把损失控制在最小的范围内。运用风险管理的理念和方法,对电子文件进行风险评估,能够对电子文件进行科学、全面的分析,查找可能威胁电子文件的风险,在风险发生之前作出判断,采取措施,及时应对。因此,风险评估对档案工作具有重大意义,是传统档案管理方法的有益补充。
(二)风险评估是进一步完善电子文件安全管理的关键环节。它能够利用科学的量化标准,对风险发生的概率及其可能造成的损失进行预测和分析,并在此基础上对存在风险的环节进行改进和完善。电子文件安全管理实行风险评估能够使管理者全面、清晰地把握电子文件存在的危险和不足,有利于进一步改进管理方法,理清管理思路,完善管理制度,全面提升电子文件管理水平。
(三)风险评估是实施电子文件安全等级保护的必然要求。要对各类电子文件实施安全等级保护,就要在电子文件安全管理中开展风险评估,对电子文件安全管理体系中存在的风险进行安全预测,科学定级,分级管理。
(四)风险评估是实现电子文件管理国际化的重要途径。随着信息安全工作的发展,风险管理在电子文件管理中的作用越来越得到人们的认可,信息安全风险评估也从单一的技术手段发展成为一种科学的管理体系,科学统一的技术规范和评定依据逐渐成为风险评估的必需。由于信息安全事关国家利益,大部分发达国家都制订了电子文件风险评估标准,并将之作为行业的技术性法规。电子文件管理广泛开展风险评估,有利于推广信息技术安全保护标准化,有利于促进国际间技术交流合作,是实现电子文件管理国际化的重要途径。
二、电子文件风险评估工作的困境
(一)风险认识存在偏差。电子文件已经成为档案产生、保存和管理的主要形式,由于其自身特点,各种各样的危险始终紧随着电子文件,但许多人对电子文件风险的认识却存在不同偏差。有的风险意识薄弱,认为传统纸质档案对保存环境要求条件高,需要预防微生物、虫害、啮齿动物等的损害,还要时刻注意光照、温度、湿度、灰尘等因素,而电子文件只需要一台计算机就能解决所有问题,而且保存简单、利用方便,一劳永逸。也有的认为电子文件作为信息技术的产物,必然面临不可读、失真、黑客等威胁,且一旦造成损失,往往是荡然无存又无法挽救,其风险无可避免。也有的认为现代信息技术十分先进,只要建立科学的管理体系,采纳先进的管理技术,绝对能够避免电子文件的风险。正是因为存在对风险认识的各种偏差,导致管理者和利用者没有科学、正确地认识电子文件的风险,或者麻痹大意,或者失去信心,或者陷入一味追求绝对安全的误区。正是因为存在各种对风险认识的偏差,目前我国电子文件风险管理水平较低,尤其缺乏必要的风险评估活动。
(二)安全风险评估工作滞后。一是没有一支专业的风险评估队伍。电子文件风险评估是一项专业化非常强的工作,我国有一些风险意识较强的已经尝试开展风险管理,但仍然没有一支专业的风险评估队伍。二是评估标准亟待完善。根据国家信息安全等级保护“自主定级,自主保护”的原则,应该根据自身情况制订科学的定级标准,严格执行,确保电子文件安全管理。但我国大部分目前尚未制订信息安全保护等级标准,没有真正执行电子文件等级保护的规定。三是风险管理缺乏系统性。电子文件风险管理是一个系统工作,包括风险管理规划、风险评估、风险应对和风险监控等四个基本环节。风险评估是整个风险管理的基础性工作,但评估的结果必须与风险管理的其他环节紧密结合,特别是要具体指导风险应对和风险监控活动。由于电子文件风险管理刚刚起步,还没有建立系统的风险管理机制,无法真正实现风险评估“有理可依,有据可循”。
(三)电子文件管理停留在传统安全保护阶段。电子文件是档案管理的特殊对象,一些档案工作者没有认识到电子文件既是“档案”又是“电子信息”的特点,管理停留在传统安全保护阶段,没有采取先进的风险管理方法,给电子文件管理遗留下不少安全隐患。一是管理过程缺乏全程性,认为保护是电子文件归档后的任务,没有意识到电子文件形成和利用中存在的风险。二是安全管理停留在静态、被动阶段,没有根据电子文件的发展和单位管理体系内部情况的变化实施动态的风险评估和风险应对。三是大多数没有积极引入远程技术、异地备份、云计算等先进的技术加强电子文件安全管理。
(四)信息资产安全形势严峻。信息资产的安全保护和开发利用是提高办学效益、提升影响力的重要途径。电子文件已经逐步取代纸质文件成为主要的档案载体,储存着数量庞大的数据资产、软件资产、师生信息、科研资料等。由于电子文件的特点,信息资产存在着高风险性,往往一被泄漏就失去资产包含的价值。许多资产管理者和档案工作者低估信息资产的价值,忽视电子文件信息保护,导致信息资产安全面临着严峻的形势。
三、基于风险评估的电子文件安全管理体系
(一)以风险管理规划完善安全管理体系。风险管理规划能够对电子文件管理工作进行统筹规划,有利于今后电子文件管理的持续、有序、顺利开展。应根据电子文件管理的需要,制订电子文件风险规划,将电子文件安全管理的实施目标、构建原则、构建方法、工作内容建成一个基本框架,进而确立和完善电子文件安全管理体系。
(二)以风险评估标准规范安全管理策略。电子文件安全管理策略就是针对电子文件安全管理的全局性、基础性、系统性问题所制定的政策和措施,是对电子文件安全管理的总体思路和指导方针。电子文件安全管理策略是否科学、合理、适宜,关系着电子文件管理目标和任务能否顺利实现。风险评估标准是电子文件风险评估的工具,直接决定了安全评估的结果,为风险管理的具体工作提供了操作性指导,因此也影响着电子文件安全管理策略的制定。电子文件风险评估标准的制定既要建立在国际组织和国家政府颁布的信息安全管理标准的基础上,又要结合电子文件信息安全的具体情况,兼顾定性分析和定量分析的方法,从而达到对电子文件安全管理策略的战略指导和操作规范。
(三)以风险评估结果引导安全管理工作。电子文件风险评估之所以能够发挥作用,最主要是评估的结果对整个风险管理工作的指导意义。风险评估能够初步识别出电子文件安全管理工作中的存在风险及造成因素,并根据风险因素的危害程度确定风险等级,提出应对措施,引导今后的管理工作。
(四)以风险应对策略提升安全管理水平。电子文件风险评估的根本目的是预测文件管理的危险因素并采取有效的应对策略,最大限度地减少各种风险因素造成的损失。为了保证电子文件信息的保密性、完整性、真实性和可用性,电子文件风险应对策略必须对信息资产管理、文件管理和业务管理进行统筹规划,根据风险因素选择采用风险预防、风险规避、风险转移、风险减轻或风险接受等五种基本策略应对风险。一个优秀的电子文件安全管理体系能够根据电子文件管理的需要采取风险应对措施,并在此基础上改进文件管理的方法,通过风险应对在实际上不断提高文件管理体系的科学水平。
第8篇:安全风险评估措施范文
在“三个体系”建设工作中,档案安全体系是指档案安全保障各个构成要素有机的系统的相互联系、相辅相成的总体,由档案安全基础设施、技术支撑、组织管理、法规标准等若干部分组成。档案安全保障体系建设的任务非常繁重,涉及众多方面,而摆在我们面前的一个紧迫问题,显然涉及如何从理论和实践的角度把档案安全体系建设的各项任务落到实处。在今年中国档案学会相继召开的“三个体系建设高层论坛”和“2010中国档案工作者年会”上,笔者曾就此作过一些探讨,笔者以为,不妨把风险评估作为一个切入点和着力点,带动档案安全体系建设各项任务的全面落实。
档案安全风险评估机制的建立
应对危机、化解风险,首先要能够充分意识到危机和风险的存在。在档案安全体系建设过程中,引入风险评估机制,研究制定档案安全风险评估指标体系及其实施办法,并且抓紧开展相关试点,适时在全国各级档案部门全面推开,对于推动档案安全体系的科学健康构建无疑具有重要意义。
我国有句俗话,叫做“风起于青萍之末”,说的是凡事均有先兆。海恩法则认为:每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。人们对导致事故发生的隐患、征兆往往容易忽略,甚至发现后没有引起足够的重视,这是导致意想不到的安全事故发生的重要原因。
如何紧密跟踪初起之“风”,及时发现档案管理中可能存在的安全隐患呢?我们应当及早研究和建立档案安全风险评估机制,通过对档案安全状况开展风险评估,指导各单位立足于防患未然,采取更加具有针对性的安全防范措施,预防安全事故发生,并为处置安全事故提供科学依据。
一个档案部门如果发生安全事故,问题往往出在管理工作的某个薄弱环节。短板理论认为:“一只木桶可以装多少水,取决于木桶上最短的那块板。”也就是说,一只木桶再高再大,如果有一块板不够高,最终也只能由最短的那块板决定木桶装水的多少。也就是我们经常所说的主要矛盾,只有明白事务的薄弱环节,抓住问题的关键所在,抓住问题的主要矛盾,才能抓住解决问题的关键,以获得最大限度的成功。对档案馆可能存在的安全风险进行系统的、规范的、科学的评估,就是为了及时查找各个环节可能存在的漏洞或隐患,弄清楚本单位安全管理的“短板?所在,有针对性地及时把各种漏洞予以堵塞,把隐患消灭在萌芽状态。
有些短板,可能不是一大块,而只是一个小窄条,但其危害同样是致命的。因此,千万不要小看一些似乎不打紧的不安全因素。“千里之堤,溃于蚁穴”,以及著名的“蝴蝶效应”,说的都是这个道理。殊不知,“蝴蝶在热带轻轻扇动一下翅膀,遥远的国家就可能造成一场飓风。”指的是在一个动力系统中,初始条件下微小的变化能带动整个系统的长期的巨大的连锁反应。档案安全管理过程中存在的任何细微隐患,如果不加以及时察觉并及时消减,也有可能演变成大的漏洞,甚至直接导致灾难性后果。安全隐患,无论大小,必须一律加以解决,将其消灭在萌芽状态。
档案安全风险评估工作相关要求
所谓档案安全风险评估(RiskAssessment),就是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估。档案安全风险评估,是档案部门风险管理的基础,是确定档案安全需求的一个重要途径,属于档案安全保障体系策划的过程。
档案安全风险评估工作的目标是,通过档案安全风险评估结果,找出档案安全管理中的薄弱环节,以此为基础,及时采取必要措施,并对各种要素加以调节,以便最大可能地规避和降低风险,使档案尽可能地保持稳定状态,而对已经处于不安全或不稳定状态下的档案使之达到新的稳定状态。
档案安全风险评估工作的主要任务包括:识别档案面临的各种风险;评估风险概率和可能带来的不利影响;确定风险控制和消减的优先等级;提出和推荐风险防控与消减对策;等等。
识别档案面临的各种风险,了解档案安全威胁源。近些年来,我国一些档案部门遭受了地震、洪水、泥石流等自然灾害的直接破坏,一些档案部门经受了的冲击,一些档案部门暴露了基础设施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相应的后果。2009年3月德国科隆市档案馆坍塌,源于城市建设中的地铁施工;2005年11月民族文化宫图书和经卷被水浸泡,源于基础设施老化失修导致的水管爆裂。可见,很多因素都有可能对档案安全带来直接或间接的风险而构成档案安全的威胁源。
评估风险概率和可能带来的不利影响。在档案部门可能遇到的安全风险中,有一些属于系统性的风险,而另一些属于偶然性的风险。有一些属于地域性的风险,如沿海地区可能遇到的台风影响;还有一些属于周期性的风险,如长年发生在我国南方一些地区的洪涝灾害风险等。要根据不同风险的类型和特点,确定风险控制和消减的优先等级和措施强度,并提出和推荐相应的风险防控与消减对策。
总之,在档案安全风险评估过程中,需要注意确定所保管档案的内在价值;要梳理档案面临的潜在威胁源有哪些,导致威胁的问题所在,威胁发生的可能性有多大;现有保管条件环境存在哪些弱点而可能易于遭受威胁攻击,程度如何;一旦威胁事件发生,档案会遭受怎样的损失,或者面临怎样的不利影响等。
档案安全风险评估的方法有基线评估法、详细评估法、组合评估法等。在档案安全风险评估的实际工作中,我们可以采用通常使用的一种比较简单的评估,方法,即基线评估法。采用基线风险评估(Baseline Rrisk Assessment),档案馆可以根据自己的实际情况,对档案保管系统进行安全基线检查,(即拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓安全基线,就是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
档案安全风险评估指标体系构建
档案安全基线评估途径的采用,关键在于安全基线的选择,也就是有必要
建立一个系统的、可操作性较强的档案安全要求指标体系。档案安全风险评估指标体系基本框架的搭建,要统筹考虑档案实体安全、信息安全等各个方面。
近年来,国家档案行政管理部门对各省级国家档案馆和中央国家机关档案部门开展了档案安全专项督察工作,重点检查相关部门档案安全基础设施是否完备,档案安全防护设施是否齐全,档案安全规章制度是否健全,档案安全日常管理是否到位。尽管该项工作还仅仅是初步的、定性的、粗放的,但无疑是档案安全风险评估工作的滥觞,是一项有益的探索。我们现在的任务是,怎样把这项工作做得更加定量化、更加精细化、更加科学化、更加规范化。这就需要在调查研究的基础上建立一套系统全面、导向明确、易于评估、具有可操作性的要求、规范和约束性指标,作为我们开展档案安全风险评估的基线。档案安全基线风险评估,需要的资源少,周期短,操作简单,可以直接而简单地实现基本的安全水平,并且满足档案馆履行功能的基本要求。
在制定档案安全基线相关要求时,要重点关注档案安全管理的环境条件、规章制度、安全措施、应急和抢救机制、日常管理等主要方面。既要关注与档案实体安全直接相关的要求,也要关注与档案信息安全保密密切相关的规范。要通过对潜在的各种安全威胁源的精心梳理和相关需求分析,抓住关键和重点,不能“披头散发”,无所不包。与此同时,要遴选和锁定一些必要的刚性指标,如防火等级,抗震等级,温湿度范围,照度,空气质量,容灾等级,等等,便于规范掌握和量化操作。
事实上,选择安全基线可依据和利用的资源非常丰富,如《档案法》及其实施办法,保密法等。在档案实体安全方面,有诸如《档案馆建筑设计规范》、《档案馆建设标准》、《档案库房技术管理暂行规定》、《档案馆防治灾害工作指南》,等等。在档案信息安全方面,比如《电子信息系统机房设计规范》、《计算机信息系统安全保护等级划分准则》、《信息安全应急响应计划规范》、《信息安全风险管理指南》、《终端计算机系统安全等级技术要求》、《基于互联网电子政务信息安全实施指南》,等等。
第9篇:安全风险评估措施范文
【关键词】 护理风险评估; 精神科; 安全管理
doi:10.14033/ki.cfmr.2016.35.041 文献标识码 B 文章编号 1674-6805(2016)35-0080-03
护理风险是指临床护理工作中可能发生的危害患者人身安全、影响治疗的不良事件[1]。精神科患者因不能自行有效控制自身思维及行为活动,造成多种不安全因素出现,如:暴力攻击行为、自杀/自伤、出走(擅自离院)、噎食、跌倒/坠床、压疮等不良事件发生,危及患者与护理人员的安全。如何防范护理风险事件的出现成为了医院精神科护理工作的重要内容,同时也是医院护理管理工作中的难点及重点。为了减少精神科不良事件的发生,笔者所在医院自2015年5月开展风险评估表对患者护理风险进行评估,给予针对性护理管理,取得了理想成果,现报告如下。
1 资料与方法
1.1 一般资料
选取2014年8月-2015年12月笔者所在医院1200例精神疾病住院患者进行研究,所有研究病例均根据住院时间先后实施分组,将2014年8月-2015年4月的589例设为对照组,2015年5-12月的611例设为观察组。对照组男389例(66.04%),女200例(33.96%),年龄13~75岁,平均(33.3±5.4)岁。疾病分布:精神分裂症170例(28.86%),持久的妄想(偏执性精神病)98例(16.64%),双相(情感)障碍128例(21.73%),癫痫所致的精神障碍89例(15.11%),分裂情感88例(14.94%),精神发育迟滞伴发精神障碍16例(2.72%)。观察组男411例(67.27%),女200例(32.73%),年龄11~78岁,平均(32.3±3.4)岁。疾病分布:精神分裂症168例(27.50%),持久的妄想(偏执性精神病)105例(17.18%),双相(情感)障碍135例(22.09%),癫痫所致的精神障碍93例(15.22%),分裂情感96例(15.71%)精神发育迟滞伴发精神障碍14例(2.29%)。两组病例资料比^,差异无统计学意义(P>0.05)。
1.2 方法
对照组采取精神科常规的护理常规,主要包括:患者的日常饮食、生活、服药及预防不良事件发生等。观察组患者在此基础上给予护理风险评估及预防安全管理模式,具体如下。
1.2.1 成立风险管理小组及对护理人员进行培训 成立以护理部的3名质控组长指导,各病区护士长为组长的风险管理小组。护理部对护理风险管理制度、管理预案、评分标准等进行修订,确定明确的风险级别。护理部对护理人员进行风险评估相关知识的培训,增强护理人员风险评估意识及提高评估水平。
1.2.2 风险评估方法 病房采取三级风险评估,一级评估:由责任护士或当班护士按风险评估表的内容对新入院患者,在2 h内采取询问患者或家属及送治人员,以及观察患者的言行举止完成暴力攻击行为、自杀/自伤、出走(擅自离院)、噎食、跌倒/坠床、压疮等风险评估,患者住院期间病情有变化当班护士要完成风险评估。确立风险程度,对于高危风险履行风险告知,并让患者或家属签名,做好标识,采取相应的防范策略;二级评估:按照一级评估结果对存在高危风险因素的病例实施全天动态评估,护士长及相关责任人还要保证各项防范措施的落实;三级评估:护士长72 h内对高风险的患者再评估,审核后将结果上报护理部,督查风险防范管理制度的落实,发现问题,及时纠正偏差。护理部对重点高危患者进行现场查看评分及措施的落实情况,并给予指导。
1.2.3 风险警示标识 根据风险评估结果,将高危风险患者(存在暴力攻击行为、自杀/自伤、擅自离院、噎食、跌倒/坠床、压疮的患者)作为重点护理管理对象,写在白板上提醒,在其床头卡上设置安全警示标识,跌倒高危患者还在其腕带上贴上警示标识。餐厅设“防噎食专座”,有噎食风险患者进食时集中管理,专人看护。
1.2.4 护理风险的防范 具有高危风险因素的患者需要作为临床重点监护对象,安置于重点病房,加强环境安全管理,密切观察病情变化,加强巡视,严格交接班制度,加强宣教,认真执行工作制度,并严格按照工作流程进行,针对性地实施安全护理措施,正确使用各种安全警示标识。若发现其存在新的危险因素,则应给予二次风险评估,并采取适当的应对方式,防范风险。科室护士长定期检查安全风险防范措施的落实情况,发现问题及时反馈并限期整改。对评出的高风险患者由各病区护士长审核并上报护理部备案。见表1、表2。
1.3 观察指标
比较两组患者在住院期间护理不良事件发生率、护士风险评估率、风险告知率、患者健康教育知晓率及患者对护理的满意度。
1.4 统计学处理
使用SPSS 17.0统计软件进行数据处理。计量资料以(x±s)表示,采用t检验,计数资料以率(%)表示,采用字2检验,P
2 结果
两组研究病例不良事件发生情况及风险评估开展前后相关因素的比较,见表3、表4。观察组不良事件发生率少于对照组(P
3 讨论
护理风险具有突发性和难以预测性[2]。护理风险不仅影响患者的治疗,严重者还可导致患者死亡。精神科患者受疾病因素影响,或受其他刺激性因素影响,可导致其出现自杀自伤、暴力攻击、外走等危急事件。并且,精神科患者长时间接受抗精神病药物治疗,噎食、跌倒的危险性也较高。因此提升医院护理人员识别风险水平,增强紧急事件处理能力具有重要的临床意义[3]。
有研究显示,积极发现及识别潜在风险、现有风险,并对风险进行评级,给予对症处理,能够有效降低风险事件发生率[4]。所以强化风险管理,提高护理人员的安全意识及风险防范意识,这对减少护理风险事件的发生有重大意义。要防止高风险事件的发生,就要把发生护理不良事件后的消极处理变为发生前的积极预防,即如何将处置行为变为控制行为,消除或减少护理安全隐患[5]。本研究表明,通过风险评估表,患者住院期间不良事件发生率明显低于对照组。
精神科护理工作属于高危风险工作,不仅具备医院护理工作要求的专业性,还具有精神科的特殊性。这就要求精神科护理人员掌握基本护理技能外,还要熟知护理风险评估知识及常用的评估技能。患者入院后开展风险评估预见性评估,将高危风险病例进行重点监护,同时开展安全防范护理[6]。才能在工作中避免或减少精神科意外事件的发生。护理风险评估单是针对护理风险的预见性护理,它需要护理人员有较强的专业知识、敏锐的观察力、良好的沟通能力及对应急事件的处理能力,能预见性地对可能存在的风险进行评估,并及时采取适当的应对措施[7]。通过对护士进行风险评估能力的培训,并定期开展精神科护理风险应急预案演练培训,提高精神科护理人员对风险因素的识别能力和处置能力。本研究表明,通过风险评估表,护士执行风险评估率及对风险因素的识别和处置能力优于对照组。
护士应用风险评估表在精神病患者入院当天评估其现存的及其潜在危险因素,从而制定出相应的预防及护理措施,对存在高危风险的患者迅速实施护理风险管理,并向患者及家属告知风险及有针对做好安全指导。同时,护士通过对患者的各种风险进行评估,患者存在及潜在的健康问题有了总体的了解,从而有条理、针对性对患者及家属进行健康教育,患者及家属提高了防范意识,保证患者安全。本研究表明,通过风险评估表,护士的风险告知率及患者健康教育知晓率优于对照组。
实施护理风险评估,使护理人员在临床护理工作中便于抓住工作的侧重点,主次分明,掌握病情做到心中有数,护理安全及护理质量明显提高;护理风险管理的实施,能够有效提高护理人员的业务素质,从传统的被动服务转为主动服务[8]。护士主动与患者交流,建立有效的沟通方式,掌握其心理动态,适时给予心理疏导,并积极为患者解决各种实际问题,拉近了患者与护士的距离,增进了相互之间的信任度,有助于提高患者对医疗护理的依从性及满意度。本研究表明,通过风险评估表,护理质量与患者满意度优于对照组。
参考文献
[1]韦丙茹.护理风险评估及预防在心血管内科中的应用价值[J].临床医学研究与实践,2016,1(11):131-132.
[2]谭宝玲.心血管病急诊患者心机标志物升高的临床意义[J].中国医学创新,2012,9(3):36-37.
[3]李凤香,陈晓燕,曾伟娴,等.风险管理理念在精神科护理流程再造中的应用[J].现代临床护理,2009,8(7):52-54.
[4]梁严霞,龙小艳,杨春霞.护理风险管理在外科中的应用研究[J].齐齐哈尔医学院学报,2013,34(10):1508-1509.
[5]杨丽.精神科风险管理中强化细节管理方法与效果[J].护理管理杂志,2010,10(9):665-666.
[6]覃金荣,杨带兰.预见性风险评估在精神科安全护理的干预效果研究[J].当代护士,2016,24(5):75-76.
[7]李绿亚.风险管理在心血管内科护理中的应用[J].中国基层医药,2013,20(16):2557-2559.
