等级保护和风险评估精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的等级保护和风险评估主题范文,仅供参考,欢迎阅读并收藏。
第1篇:等级保护和风险评估范文
关键词:电子政务 信息安全
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
第2篇:等级保护和风险评估范文
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
第3篇:等级保护和风险评估范文
[关键词] 基础地理;信息系统;安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0155- 03
1 引 言
风险是以一定的发生概率的潜在危机形式存在的可能性,而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制,以最小的成本将风险导致的各种损失结果减少到最小的管理方法。随着信息化向纵深发展,基础地理信息系统被广泛应用,但信息安全方面的威胁也大大增加,具体到市县级基础地理信息系统中存在各类风险,这些风险有着自身的特点,对系统的影响也随着不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险,这些风险会对信息系统核心资产的安全性、完整性和可用性造成破坏。对测绘行业信息安全风险的评估是进行有效风险管理的基础,是对风险计划和风险控制过程的有力支撑,而如何识别和度量风险成为一个难题,目前测绘地理信息行业没有一个行业性安全评估类或者安全管理类规范标准,通用安全评估规范在很多方面对于测绘地理信息系统复杂性和行业特点缺乏适用性,往往较难落地,为此提出市县级国土资源基础地理信息系统安全风险评估规范研究。
2 国内外信息安全风险评估的研究现状
信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性,以及发生安全问题的后果严重性,目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究,期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头,政府控管体制健全,己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者,1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估; 1999年,美国总审计局在总结实践的基础上,出版了相关文档,指导美国组织进行风险评估;2001年美国国家标准和技术协会(NIST)推出SP800系列的特别报告中也涉及到风险评估的内容;欧洲各国对信息安全风险一直采取“趋利避害”的安全策略,于2001-2003年完成了安全关键系统的风险分析平台项目CORAS,被誉为欧洲经典。我国信息安全评估起步较晚,2003年7月,国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作;8月,信息安全评估课题组对我国信息安全工作的现状进行了调研,完成了相关的评估报告,总结了风险评估是信息安全的基础性工作;2004年3月国家《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿;2005年2月至9月,开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作;2007年7月我国颁布了《信息安全技术信息安全风险评估规范》(GB/T 20984一2007)并于2007年11月1日实施;2008年4月22日,在国家信息中心召开了《信息系统风险评估实施指南》预制标准第二次研讨会,此次会议主要就标准工作组制定的《实施指南》目录框架进行了详细研究与讨论,《信息系统风险评估实施指南》作为GB/T 20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题,将充实信息安全风险评估和风险管理具体实施工作。
3 市县级基础地理信息系统安全风险评估规范研究方法和手段
3.1 市县级基础地理信息系统安全风险评估规范研究方法
市县级基础地理信息系统安全风险评估规范研究通过综合分析评估后的资产信息、威胁信息、脆弱性信息,最终生成风险信息。资产的评估主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了威胁的严重程度;威胁评估是对资产所受威胁发生可能性的评估;脆弱性的评估是对资产脆弱程度的评估;具体如下:
(1)资产评估。资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用对资产进行分析,识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果,可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,从而得出信息系统的安全等级。同时,可以明确各业务系统的关键资产,确定安全评估和保护的重点对象。
在此基础上,建立针对市、县、乡三级基础地理信息系统中的资产配置库,对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。
(2)威胁评估。威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体(威胁源)、威胁途径和威胁方式,威胁主体是指可能会对信息资产造成威胁的主体对象,威胁方式是指威胁主体利用脆弱性的威胁形式,威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。
在此基础上,充分调研,分析现有记录、安全事件、日志及各类告警信息,整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁,形成风险点列表。
(3)脆弱性评估。脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。
通过研究,将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库,从而为脆弱性检测在“安全配置”方面提供指标支撑。
(4)综合风险评估及计算方法。风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。在风险评估模型中,主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
综合风险计算方法:根据风险计算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:风险值=资产价值×威胁可能性×弱点严重性,下表是综合风险分析的举例:
注:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
风险的级别划分为5级(见表1),等级越高,风险越高。
各信息系统风险值计算及总体风险计算则按照风险的不同级别和各级别风险的个数进行加权计算,具体的加权计算方法如下。
风险级别权重分配:
极高风险 30%
高风险 25%
中风险 20%
低风险 15%
很低风险 10%
各级别风险个数对应关系(即各级别风险相对于很低风险的个数换算):
极高风险 16
高风险 8
中风险 4
低风险 2
很低风险 1
风险计算公式R’=K(av,p,n)=av×p×n,其中,av代表各级别风险求平均后总和,p代表相应的风险级别权重,n代表相应的风险个数权重。
总体风险值=R’(极高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市县级基础地理信息系统安全风险评估规范研究的手段
(1)专家分析。对于已有的安全管理制度和策略,由经验丰富的安全专家进行管理方面的风险分析,结合江苏省基础地理信息系统安全建设现状,指出当前安全规划和安全管理制度存在的不足,并给出安全建议。
(2)工具检测。采用成熟的扫描或检测工具,对于网络中的服务器、数据库系统、网络设备等进行扫描评估;为了充分了解各业务系统当前的网络安全现状及其安全威胁,因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估,对象包括各类主机系统、网络设备等,扫描评估的结果将作为整个评估内容的一个重要参考依据。
(3)基线评估。采用基线风险评估,根据本行业的实际情况,对信息系统进行安全基线检查,拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
(4)人工评估。工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的缺乏智能性等诸多因素,因而有着很大的局限性;而人工评估与工具扫描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈,业务流程了解等方式,对评估对象进行全面的评估。
(5)渗透测试。在整个风险评估的过程中,结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性。
第4篇:等级保护和风险评估范文
一、企业各级信息管理部门职责,主要分为总部信息部门和各分部信息管理部门进行管理。
企业总部信息管理部门负责企业整体信息技术风险评估、统一建设信息系统的风险评估和总体层面信息系统的风险评估,并对企业信息技术风险评估工作进行指导和检查。
各分部信息管理部门负责本单位信息技术风险评估工作,组织本单位层面信息系统的风险评估,并将信息技术风险评估报告总部备案。
各级信息业务使用部门职责是在同级信息管理部门的组织下,参与和本部门业务相关的信息系统风险评估工作。
二、信息技术风险分类及主要内容
信息技术风险主要包括信息技术项目风险、信息技术服务连续性风险、信息资产风险、供应商风险、应用风险、基础设施风险、战略与新兴技术风险等。
信息技术项目风险是指信息技术项目无法交付的风险,包括因项目管理关键要素未能有效控制,导致项目延期、消耗资源超支、与计划相比功能减少、交付产品未达标准、实施期间造成业务中断等。
信息技术服务连续性风险是指由于信息系统的不可靠造成业务操作中断,包括因信息技术服务水平过低等导致的宕机或系统响应时间过长等造成业务中断。
信息资产风险是指未能有效保护与保存信息资产,包括信息系统装载的信息资产损毁、丢失以及不当泄露等。
供应商风险是指在信息技术项目交付和日常运营过程中,由于供应商未能交付信息技术产品或服务,或已交付但未达到标准,对信息系统和服务造成即时或潜在的影响。
应用风险主要指信息系统不能满足关键业务需求及信息技术应用故障,包括系统在操作性、功能性、可靠性、可维护性等方面存在缺陷对业务造成的负面影响。
基础设施风险是指由于信息基础设施不能正常运行带来的风险,包括基础设施构件发生故障、替换不当、配置不当等。
战略与新兴技术风险是指由于企业的信息技术能力有限,对战略和新的技术环境缺乏足够的适应能力,包括信息技术总体规划和信息技术架构设计缺乏整体、战略角度的考虑,缺乏灵活性等
三、信息技术风险评估方法
信息技术风险评估前期工作主要是针对信息技术风险评估对象收集相关的内部、外部初始信息,进行必要的筛选、提炼、对比、分类、组合等,以支撑信息技术风险评估工作。信息技术风险评估工作由信息管理部门会同有关业务部门共同完成。
信息技术风险评估包括风险识别、风险分析、风险评价。风险识别是通过查找信息系统支撑的各业务单元、各项重要经营活动及其重要业务流程,系统化地识别风险来源和风险类别;风险分析是对识别出的风险及其特征进行明确定义与描述,分析和描述风险发生的概率及风险发生的条件;风险评价是综合资产的价值、资产面临的威胁、威胁发生的可能性、现有控制体系已经提供的保护等多种因素,按照风险测量方法和风险等级评价原则,评估风险对企业目标的影响程度和风险的价值等。
信息技术风险评估要从战略、运营、项目等多个层面进行综合分析。在战略层面,主要关注信息技术能力与业务战略的一致性、应对新技术发展带来的威胁等;在运营层面,关注危害信息系统及基础设施有效性的风险、绕过系统安全措施的风险、造成重要资源损失或不可用的风险、违反法律法规的风险等;在项目层面,关注项目目标不能达到时所带来的后续风险等。
信息技术风险评估包括各类风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件之间的相关性等组合效应,从策略上对风险进行统一集中管理
信息技术风险识别、分析和评价采用定性与定量相结合的方法。定性方法可采用问卷调查、专家咨询、情景分析、政策分析、行业标杆比较、访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。
根据信息技术风险评估工作实际,可请有IT风险管理经验的人员参加,以及聘请资质、信誉好的专业机构协助实施。
五、信息技术风险评估后续工作
信息技术风险评估后续工作主要包括制定风险管理策略、实施风险管理、持续跟踪改进等。
制定风险管理策略,主要是根据企业自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具,并制定风险管理所需人力和财力资源的配置原则。
实施风险管理可通过风险承担、风险规避、风险转移、风险降低4种方法进行。总部和分部信息管理部门在实施信息技术风险管理方面应采取有效控制措施,尽量规避或降低信息技术风险。
持续跟踪改进主要指对信息技术风险实行动态管理,总部和分部信息管理部门应定期或不定期开展风险识别、分析、评价工作,及时发现新的风险和原有风险的变化并进行评估。
六、信息技术风险管理监督、检查
第5篇:等级保护和风险评估范文
关键词:调度安全;风险管理
Abstract: according to the years work experience in the work found that many potential safety problems, puts forward the safety of electric key management is to find out the unsafe ACTS, to the conduct of the safety risk assessment, according to the results of the evaluation to determine major hazard installation (not the risk to the) to make major hazard control measures can prevent or reduce accident risk.
Keywords: scheduling security; Risk management
中图分类号:TM73文献标识码:A 文章编号:
1危险辨识和风险评估方法
1.1危险辨识
人的行为对于电网安全非常重要,要特别重视人的因素在电网全中的重要性。依据国家标准GB/T 13816-1992《生产过程危险有害因素分类与代码》的规定,生产过程中的危险、有害因素可分为6类;电力调度工作中的危险因素与其中第5类危险因素辩识密相关,即行为性危险,其有害因素包括:指挥错误(指挥失误、违章挥、其他指挥错误);操作失误(误操作、违章作业、其他操作失误);护失误;其他错误;其他行为性危险和有害因素。
1.2风险评估
风险评估是运用安全系统工程的方法,对系统的安全性进行定和定量的分析,以确认系统发生危险的可能性及其严重度。电力统常用作业条件风险性评价法(亦称格雷厄姆———金尼法)进行定评估判定重大危险(重大危险源)。
作业条件风险性评价法主要是以与系统风险性有关的3种因指标值的乘积来评价系统人员伤亡风险性的大小,其表达式为:D=L×E×C。
L-发生事故的可能性大小;E-人体暴露于危险环境中的频繁程;C-发生事故可能造成的后果;D-风险性分值。
事故发生的可能性L值:将L值最小定为0.1,最大定为10,在.1~10之间定出若干个中间值,具体如下表1。
人体暴露于危险环境中的频繁程度E值:将E值最小定为0.5,最大定为10,在0.5~10之间定出若干个中间值,具体如下表2。
发生事故产生的后果C值:将需要救护的轻微伤害的C值规定为1,把造成多人死亡的C值规定为100,其他情况值为1~100之间,具体如下表3。
发生事故产生的后果D值:根据经验,把风险性分值划分为5个等级(风险性等级的划分凭经验判断,难免带有局限性,应用时需要根据实际情况予以修正),具体情况如下表4。
江西电力系统将风险等级3及以上的风险定为重大危险源。
2电力调度安全风险及防范措施
电网调度运行人员是电网的直接指挥者,承担着管辖范围内电网安全、可靠、经济运行的重任。各级调度人员在日常工作和电网异常事故处理时的每一项调度指令都必须正确,发生调度误操作、事故误处理,将会导致设备损坏、人身伤亡甚至电网振荡解列和大面积停电事故,造成巨大的经济损失和不良社会影响。
根据危险辩识和风险评估方法,调度误操作和调度事故误处理发生事故存在可能性,但不会经常发生,(L)值取3;每天都有可能遇到操作和事故处理,(E)值取6;一旦发生调度误操作和调度事故误处理,事故产生的后果是非常严重的,(C)值取15。D=L×E×C=3×6×15=270危险性分值D=270,处于160~320之间,危险等级在3级以上,属高度危险,所以,调度误操作和调度事故误处理为重大危险源。
2.1调度误操作
调度误操作多为习惯性违章所致。调度人员应提高安全风险意识和责任感,定期参加安全教育培训,学习安全规程,严格执行相关规定,杜绝习惯性违章行为。调度操作过程中具体防范措施如下:
2.1.1检修工作票的审核与答复。认真审核工作票填写是否规范,工作内容、工作时间、设备双重命名编号、特殊说明等是否清楚、明确;合格的工作票按调度规程规定执行工作答复,不规范的工作申请票退回重填。
2.1.2拟写操作指令票。应由有资格并熟悉系统运行方式的调度员拟写操作指令票;拟写前应认真核对工作申请票,核对模拟盘及SCADA画面,核对现场设备状态(变电站接线方式、变压器中性点投切、继电保护投退对系统的影响及停送电设备对系统的影响);当涉及两级以上调度联系操作时,应将电网方式和设备状态、开工许可与完工汇报写入调度操作指令票中。
2.1.3审核操作指令票。审票调度员应是对所辖电网非常熟悉、且调度专业知识比较全面的主值及以上调度员;审核内容包括操作指令是否规范、操作步骤是否合理、方式调整是否合理、是否按保护要求调整并考虑停电范围的影响。
2.1.4预发操作指令票。经审核合格的计划工作,其调度指令票应按规定时间提前预发,如未按预定时间预发,则该调度指令票作废。不论在网上传票或传真方式传票,都必须经电话与现场核对预发票内容;预发调令时应互通单位、姓名、岗位、核对调令票编号和预发时间,并说明是预发调令。
2.1.5调度操作。当值调度员应保持良好的精神状态以防止误操作;操作时注意当时环境,尽量错开电网负荷高峰时段、避开恶劣天气(雷、雨、雾、冰雪、大风等);操作前调度员应熟悉掌握电网事故应急预案,根据电网情况做好危险点分析及事故预想,明确操作目的并执行“三核对”,掌握操作引起的潮流和电压变化;操作应按预计时间准时操作,操作中严格执行、发令、复诵、录音、汇报制度,按调令票顺序执行并有监护。遇特殊情况需更改操作顺序时应履行相关规定,一、二次部分配合操作应及时,区间调度配合操作时应清楚移交系统、设备状态。
2.1.6操作完毕。调令执行完毕后,调度员应明确调令执行完毕时间,将设备状态及时通知相关运行部门或检修单位,及时许可工作开工。
2.2调度事故误处理防范措施
2.2.1事故预防。根据负荷变化、气候、季节以及现场设备检修情况等做好当班事故预想及危险点分析;遇重大节日及特殊运行方式下应编制相应事故预案。
2.2.2事故信息收集与初步分析判断。调度员应全面收集事故信息,了解事故情况,核对相关信息,准确掌握当时电网运行方式,事故地点的天气情况,清楚现场设备、保护、安全自动装置动作状况,清楚负荷性质,明确各级调度管辖范围的设备,并按设备管辖归属及时汇报相关调度,根据需要协助和配合事故调查与处理。
2.2.3事故处理。根据已掌握的信息分析事故情况下的电网运行方式及电网解环点;考虑并注意事故处理过程中因电网运行方式变化引起的潮流、电压变化及设备运行限额。按调度规程规定的电压、频率异常、系统振荡等多种故障的事故处理原则进行事故处理;使用设备双重命名,使用统一的调度术语规范事故处理操作;尽快隔离故障点,消除事故根源;严格执行发令、复诵、录音、汇报制度,并做好详细记录。
2.2.4调整运行方式,防止事故扩大。调度员应按照稳定原则,及时调整事故处理后的电网运行方式,保持正常设备继续运行和对用户的连续供电;尽快恢复对已停电用户的供电,特别是厂用电和重要用户的保安用电。
3结束语
第6篇:等级保护和风险评估范文
在“三个体系”建设工作中,档案安全体系是指档案安全保障各个构成要素有机的系统的相互联系、相辅相成的总体,由档案安全基础设施、技术支撑、组织管理、法规标准等若干部分组成。档案安全保障体系建设的任务非常繁重,涉及众多方面,而摆在我们面前的一个紧迫问题,显然涉及如何从理论和实践的角度把档案安全体系建设的各项任务落到实处。在今年中国档案学会相继召开的“三个体系建设高层论坛”和“2010中国档案工作者年会”上,笔者曾就此作过一些探讨,笔者以为,不妨把风险评估作为一个切入点和着力点,带动档案安全体系建设各项任务的全面落实。
档案安全风险评估机制的建立
应对危机、化解风险,首先要能够充分意识到危机和风险的存在。在档案安全体系建设过程中,引入风险评估机制,研究制定档案安全风险评估指标体系及其实施办法,并且抓紧开展相关试点,适时在全国各级档案部门全面推开,对于推动档案安全体系的科学健康构建无疑具有重要意义。
我国有句俗话,叫做“风起于青萍之末”,说的是凡事均有先兆。海恩法则认为:每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。人们对导致事故发生的隐患、征兆往往容易忽略,甚至发现后没有引起足够的重视,这是导致意想不到的安全事故发生的重要原因。
如何紧密跟踪初起之“风”,及时发现档案管理中可能存在的安全隐患呢?我们应当及早研究和建立档案安全风险评估机制,通过对档案安全状况开展风险评估,指导各单位立足于防患未然,采取更加具有针对性的安全防范措施,预防安全事故发生,并为处置安全事故提供科学依据。
一个档案部门如果发生安全事故,问题往往出在管理工作的某个薄弱环节。短板理论认为:“一只木桶可以装多少水,取决于木桶上最短的那块板。”也就是说,一只木桶再高再大,如果有一块板不够高,最终也只能由最短的那块板决定木桶装水的多少。也就是我们经常所说的主要矛盾,只有明白事务的薄弱环节,抓住问题的关键所在,抓住问题的主要矛盾,才能抓住解决问题的关键,以获得最大限度的成功。对档案馆可能存在的安全风险进行系统的、规范的、科学的评估,就是为了及时查找各个环节可能存在的漏洞或隐患,弄清楚本单位安全管理的“短板?所在,有针对性地及时把各种漏洞予以堵塞,把隐患消灭在萌芽状态。
有些短板,可能不是一大块,而只是一个小窄条,但其危害同样是致命的。因此,千万不要小看一些似乎不打紧的不安全因素。“千里之堤,溃于蚁穴”,以及著名的“蝴蝶效应”,说的都是这个道理。殊不知,“蝴蝶在热带轻轻扇动一下翅膀,遥远的国家就可能造成一场飓风。”指的是在一个动力系统中,初始条件下微小的变化能带动整个系统的长期的巨大的连锁反应。档案安全管理过程中存在的任何细微隐患,如果不加以及时察觉并及时消减,也有可能演变成大的漏洞,甚至直接导致灾难性后果。安全隐患,无论大小,必须一律加以解决,将其消灭在萌芽状态。
档案安全风险评估工作相关要求
所谓档案安全风险评估(RiskAssessment),就是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估。档案安全风险评估,是档案部门风险管理的基础,是确定档案安全需求的一个重要途径,属于档案安全保障体系策划的过程。
档案安全风险评估工作的目标是,通过档案安全风险评估结果,找出档案安全管理中的薄弱环节,以此为基础,及时采取必要措施,并对各种要素加以调节,以便最大可能地规避和降低风险,使档案尽可能地保持稳定状态,而对已经处于不安全或不稳定状态下的档案使之达到新的稳定状态。
档案安全风险评估工作的主要任务包括:识别档案面临的各种风险;评估风险概率和可能带来的不利影响;确定风险控制和消减的优先等级;提出和推荐风险防控与消减对策;等等。
识别档案面临的各种风险,了解档案安全威胁源。近些年来,我国一些档案部门遭受了地震、洪水、泥石流等自然灾害的直接破坏,一些档案部门经受了的冲击,一些档案部门暴露了基础设施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相应的后果。2009年3月德国科隆市档案馆坍塌,源于城市建设中的地铁施工;2005年11月民族文化宫图书和经卷被水浸泡,源于基础设施老化失修导致的水管爆裂。可见,很多因素都有可能对档案安全带来直接或间接的风险而构成档案安全的威胁源。
评估风险概率和可能带来的不利影响。在档案部门可能遇到的安全风险中,有一些属于系统性的风险,而另一些属于偶然性的风险。有一些属于地域性的风险,如沿海地区可能遇到的台风影响;还有一些属于周期性的风险,如长年发生在我国南方一些地区的洪涝灾害风险等。要根据不同风险的类型和特点,确定风险控制和消减的优先等级和措施强度,并提出和推荐相应的风险防控与消减对策。
总之,在档案安全风险评估过程中,需要注意确定所保管档案的内在价值;要梳理档案面临的潜在威胁源有哪些,导致威胁的问题所在,威胁发生的可能性有多大;现有保管条件环境存在哪些弱点而可能易于遭受威胁攻击,程度如何;一旦威胁事件发生,档案会遭受怎样的损失,或者面临怎样的不利影响等。
档案安全风险评估的方法有基线评估法、详细评估法、组合评估法等。在档案安全风险评估的实际工作中,我们可以采用通常使用的一种比较简单的评估,方法,即基线评估法。采用基线风险评估(Baseline Rrisk Assessment),档案馆可以根据自己的实际情况,对档案保管系统进行安全基线检查,(即拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓安全基线,就是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
档案安全风险评估指标体系构建
档案安全基线评估途径的采用,关键在于安全基线的选择,也就是有必要
建立一个系统的、可操作性较强的档案安全要求指标体系。档案安全风险评估指标体系基本框架的搭建,要统筹考虑档案实体安全、信息安全等各个方面。
近年来,国家档案行政管理部门对各省级国家档案馆和中央国家机关档案部门开展了档案安全专项督察工作,重点检查相关部门档案安全基础设施是否完备,档案安全防护设施是否齐全,档案安全规章制度是否健全,档案安全日常管理是否到位。尽管该项工作还仅仅是初步的、定性的、粗放的,但无疑是档案安全风险评估工作的滥觞,是一项有益的探索。我们现在的任务是,怎样把这项工作做得更加定量化、更加精细化、更加科学化、更加规范化。这就需要在调查研究的基础上建立一套系统全面、导向明确、易于评估、具有可操作性的要求、规范和约束性指标,作为我们开展档案安全风险评估的基线。档案安全基线风险评估,需要的资源少,周期短,操作简单,可以直接而简单地实现基本的安全水平,并且满足档案馆履行功能的基本要求。
在制定档案安全基线相关要求时,要重点关注档案安全管理的环境条件、规章制度、安全措施、应急和抢救机制、日常管理等主要方面。既要关注与档案实体安全直接相关的要求,也要关注与档案信息安全保密密切相关的规范。要通过对潜在的各种安全威胁源的精心梳理和相关需求分析,抓住关键和重点,不能“披头散发”,无所不包。与此同时,要遴选和锁定一些必要的刚性指标,如防火等级,抗震等级,温湿度范围,照度,空气质量,容灾等级,等等,便于规范掌握和量化操作。
事实上,选择安全基线可依据和利用的资源非常丰富,如《档案法》及其实施办法,保密法等。在档案实体安全方面,有诸如《档案馆建筑设计规范》、《档案馆建设标准》、《档案库房技术管理暂行规定》、《档案馆防治灾害工作指南》,等等。在档案信息安全方面,比如《电子信息系统机房设计规范》、《计算机信息系统安全保护等级划分准则》、《信息安全应急响应计划规范》、《信息安全风险管理指南》、《终端计算机系统安全等级技术要求》、《基于互联网电子政务信息安全实施指南》,等等。
第7篇:等级保护和风险评估范文
Abstract: In the market competition intense situation, the enterprise besides the dependence product quality, the price, the post-sale service, the advertisement and so on increases the market share day by day, the selling on credit is also one important method. But under traditional account receivable management pattern, many enterprises, because sells on credit besets with a crisis finance, even goes bankrupt. But uses the financial risk management some experiences to carry on the risk management to enterprise's account receivable, without doubt is reduces the risk, to avoid a crisis's efficient path.
关键词:风险管理 风险识别 风险评估
Key word: Risk management risk recognition risk assessment
应收账款的风险是应收账款遭受损失的不确定性。这个不确定性主要是指损失是否发生以及损失的大小不确定。应收账款的风险管理就是识别、评估与控制企业应收账款损失的程序。
一、应收账款的风险识别
风险识别,是风险评估和风险控制的基础。在进行风险分析时,找出企业应收账款面临的风险因素,并将这些风险与企业销售收款业务流程联系起来,以便发现各种潜在的风险。这里示范性地列出几条:
1. 交易双方产生的贸易纠纷;
2. 客户经营管理不善,无力偿还到期债务;
3. 交易对象有意占用企业资金;
4. 交易对象蓄意的商业欺诈。
对于上面的每一种原因,我们还可以继续追究下去,找出原因中的原因。例如,交易双方产生的贸易纠纷,我们要看是合同中的特定条款约定不明确,还是产品质量的缺陷导致顾客不满意拒绝付款;而后三种情况则是要检讨信用政策和销售收款的业务流程,在赊销审批时,是否对客户的信用情况进行评估,是否对没有资格的客户进行赊销,是否给予客户不适当的信用额度,是否发生越权审批,是否存在销售人员与客户相互勾结,损害企业利益的情况。
风险的识别离不开相关部门的密切配合,尤其是销售部门。客户往往会有意隐瞒一些不愿透露的信息,有些客户甚至故意提供虚假的资信状况信息。而销售人员直接与客户交往,最容易了解客户情况,发现客户的异常行为。像拖欠员工工资、频频更换主管、开始销售不动产等信息对我们识别风险非常有用,如果我们能对销售人员进行一定的培训,提高他们捕捉客户风险信息的能力,就可以帮助企业尽早发现风险,避免造成损失。
二、应收账款的风险评估
在损失发生前,我们要评估发生损失的可能性,而在损失发生后,我们要评估损失的大小。
评估工作离不开客户信息的搜集。一般说来,我们可以阅读客户的财务报告、实地访问或电话联络、总结以往与客户的交易经验、借助大众传播媒介或专业的信用中介机构等等。
高风险的客户发生损失的可能性和损失的程度都比较高,所以,有必要对客户进行风险等级的划分,在此我们的依据是客户的信用状况。什么变量能够用来说明客户的信用状况呢?二十世纪初亚历山大・沃尔提出沃尔评分法,他选择了流动比率、存货周转率、应收账款周转率等七项财务比率,分别规定各项财务指标在该模型中的比重,综合为100分,然后确定标准比率相比较,评出每项指标的得分,汇总求得总的得分。得分越高,客户的风险等级越低,依此将客户划分为高、中、低风险等级。这只是一种定量模型,还有其他一些定量分析和定性分析的模型,企业可以根据自身情况选择适当的模型。在进行定量分析的时候,往往借助于客户的财务报告,要注意报表本身的局限性,辨别其中可能存在被粉饰的情况.
在实际操作中,我们还需注意客户的风险等级并不是一成不变的,市场瞬息万变,今天的低风险客户明天可能就成了高风险客户,因此,要定期根据客户的最新情况,对客户的风险等级进行再评定。
应收账款的损失包括逾期应收账款的资金成本,附加收账费用,坏帐损失,这些直接的损失比较显而易见。另外,还有一些间接的损失,比如,企业赊销时虽然能使企业产生较多的利润, 但是并未真正使企业现金流入增加, 反而使企业不得不运用有限的流动资金来垫付各种税金和费用, 加速了企业的现金流出,主要表现为:
1.企业流转税的支出;
2. 所得税的支出;
3.因资金周转不灵而向银行借债的利息费用;
4.因拖欠供应商货款而无法取得购货的现金折扣,或因为资信的降低而无法获得较优的购货优惠。
如果同一时间发生多起损失,超出了企业对应收账款损失最大的承受能力,企业就可能陷入严重的财务危机,甚至是破产。
三、应收账款的风险控制
所谓风险控制,是指在风险识别和风险评估的基础上,针对所存在的风险因素,积极采取控制措施,以消除风险因素或减少风险因素的危害性。
风险控制措施可以分为五种:避免风险、预防风险、降低损失、转移风险和承担风险。在损失发生前,我们可以避免、预防或转移风险,避免发生损失;在损失发生时和发生后,我们可以采取措施降低损失或承担损失。下面依次介绍。
1、避免风险
避免风险又称规避风险。经过风险评估后,我们将某客户评估为高风险,那么我们可能就不给其赊销,这样就规避了风险。不过在运用这一措施的时候,需要注意以下三点:
(1)当风险很高或者管理风险的成本极高时,规避风险是合适的;
(2)有些风险是不可避免的,比如自然灾害、瘟疫、经济危机等;
(3)不愿意承担风险,就没有销售的机会,不能有风险就规避,现在只接受现金交易的企业是很少见的,因此,我们不能因噎废食,应收账款虽然有风险,但是我们可以有选择地接受风险,从而获得与风险相匹配的收益。
2、预防风险
预防风险就是要降低发生损失的可能性。
首先,通过风险评估,我们可以划分特定企业的风险等级,如果能够只和一些低风险的客户交易,那么企业应收账款的综合风险将会大幅度降低。
其次,营销管理大体上有五种观念:生产观念、产品观念、推销观念、市场观念和社会观念。在我国,大部分企业还停留在产品观念和推销观念上,如果企业能够采用市场营销观念,把市场的需要放在首位,生产出满足消费者需求的产品,就能获得较强的竞争力,从而争取到低风险的客户。同时,产品如果获得终端消费者的认可,客户也能尽快将产品销售出去,从而使企业尽快收回货款。
另外,在进行风险识别的时候,我们发现很多风险其实是来源于企业销售收款相关的内部控制制度不健全,为此国家财政部出台了《内部控制规范―销售与收款(试行)》及《财政部关于建立健全企业应收账款管理制度的通知》来指导和规范企业的销售和收款行为,企业应该在这些法规的指导下,建立健全相关的内部控制制度,比如:
(1)严格赊销审批制度。
在签订销售合同前,信用部门或信用岗位要按照有关合同管理的规定,详细审查对方的主体资格、经营范围、资信及履约能力等情况,由企业法定代表人或财务经理审阅合同文本,并由企业顾问对合同的合法性、严密性进行审查,确保合同规范有效,预防出现交易纠纷或者遭受商业欺诈。
(2)定期核对
财务部门定期与销售部门核对回款记录,重点监控出现到期而没有对方签字的应收账款,并及时采取措施处理,避免出现不受法律保护的债权纠纷。
3、降低损失
当企业有好的投资机会,此时却由于很多应收账款未能及时收回,没有足够的资金时,可以利用应收账款进行融资,主要有以下四条途径:
(1)应收账款证券化
在我国,一些外贸出口企业可实施出口应收账款跨国证券化,它是指将出口销售形成的应收账款经过组合包装出售给国外的特殊目的载体,由其经过信用增级,从而在国际资本市场上发行资产支持债券,提前收回应收账款的一种融资方式。
(2)应收账款的抵借
应收账款的抵借是将企业的应收账款作为抵押品向银行获得借款的一种融资方式,分为整体抵借和特定抵借。尤其使用于中小型企业,因为中小型企业的信用地位与社会地位使其不但难以进入直接融资市场,间接融资也是困难重重,客观上制约了中小企业优势的发挥。应收账款的抵借能够满足中小企业的资金需求,加速应收账款的周转率。
(3) 委托专业机构追讨或采取仲裁、法律诉讼的形式
对于有能力付款却恶意拖欠的客户,可以委托专业机构追讨应收账款,由其行使债权人的追讨工作,如果还不行,就只好通过仲裁或法律诉讼来捍卫自身的正当权益了。
(4)在合同中约定所有权保留条款
根据我国《合同法》第134条规定:“当事人可以在买卖合同中规定买受人未履行支付价款或其他义务的,标的物所有权属出卖人。” 这样,只有客户在付清全部货款时,才能取得货物的所有权,即使客户破产了,由于该货物的所有权仍然属于企业,不会作为破产财产,从而很大程度上保障了应收账款的安全。
4、转移风险
当企业不愿意为某些应收账款承担风险时,就要考虑如何将风险转移掉,有些相关机构以其信息资源的优势,可以参与到企业应收账款的处置中来,通过主动承担风险,参与企业所创价值的分配,主要有以下几种方式:
(1)应收账款的无追索权让售
就是把应收账款作为商品卖给金融机构,从而将风险转移掉。在我国,一些商业银行大都只接受有追索权的应收账款融资业务,但相信在不久的将来,我国将会出现一批专门从事应收账款经营的公司,商业银行的业务也将不仅仅局限于有追索权的应收账款融资业务。
(2)为特定的应收账款上保险
虽然我国的保险业目前尚未开展这项业务,但有风险的地方就会有保险,保险业为应收账款提供保险是迟早的事。
(3)取得第三方担保
当某客户被评价为高风险等级时,企业一般只与其进行现金的交易,但是如果有第三方愿意为其提供担保,承担连带责任的话,我们也应该考虑对其采用赊销,一旦发生损失,我们可以对第三方进行追讨。
5、承担风险
在风险评估时,企业为每个客户评定了风险等级,并设定了信用额度,这便是企业愿意对某一客户承担的最大的赊销风险额。在日常业务中,企业可以连续地接受某一客户的订单,只要对该客户的赊销额不超过其信用额度,就可以对其办理赊销业务;一旦超过信用额度,除非经企业有关部门批准,否则不能再对该客户提供赊销。它虽然不一定能够提高客户付款的及时性,但它可以限制客户不付款引起的损失。企业应定期对客户的信用额度重新加以核定,使信用额度保持在企业所能承担的风险范围之内。
第8篇:等级保护和风险评估范文
关键词:深基坑支护;施工风险;措施
Abstract: with the city construction and large public facilities construction of booming development, underground space development and use of the project as an important part of the construction of the foundation pit engineering is headed in the direction of the super, super deep development. The work of the deep foundation pit construction high technical requirements and dangerous factor is big, accidents often brings uncounted losses of life and property. Therefore, in deep foundation pit engineering implementation process, should make full scientific predictions may risk in, and effective risk analysis and control. This paper, based on his years of work experience of the construction of the foundation pit supporting structure's risk and its evaluation is discussed and studied, based on the construction of the concrete measures to deal with risk, so that the meaning of the experience.
Keywords: deep foundation pit supporting; Construction risk; measures
中图分类号:TV551.4文献标识码:A 文章编号:
引言
随着改革开放的发展,国家经济建设取得了长足的进步, 从而带动了岩土工程包括开挖和支护工程技术的发展和进步,至少在面的方面己是广泛地铺展。目前,各地基本建设中的各类建筑朝着高、大、深、重等方面的发展势头仍方兴未艾。可以预计,基坑开挖与支护技术的各个方面均将继续得到全面而深入的应用和推广,各种支护型式和设计计算方法将会在“点”上更深入而形成“点深面广”的发展势态。城市建设迅速发展,深基坑支护结构优选问题正在成为建筑工程界的热点和难点问题之一,深基坑支护开挖风险大,影响因素多,条件复杂。与场地岩土工程条件,基坑周围环境状况,地下水条件,施工工序流程及监测措施相关,由于深基坑支护计算理论都是在某些简化假定的前提下建立,具有一定的局限性,多半依靠传统理论和地区经验进行设计与施工深基坑工程是一个复杂的系统工程,其施工技术要求高、危险系数大、发生事故时往往带来难以估量的生命财产损失。因此,在深基坑工程实施过程中,应充分科学地预测可能遇到的风险,并进行有效地风险分析与控制。本文结合自己多年的工作经验队基坑支护结构施工的风险及其评价进行了探讨和研究,提出应对施工风险的具体措施,以便具有借鉴之意义。
施工过程风险及评价
2.1施工过程风险评价的主要方法
基坑工程施工是城市基础设施建设的关键环节,也是劳动安全与社会公共安全监管的重点,个别基坑发生或引发安全事故,除可能导致项目巨大的费用、工期损失外,还会对项目参与各方带来无法挽回的社会声誉损失,昭示出基坑工程的严肃性和复杂性。因此,在深基坑工程实施前,应充分科学地预测可能遇到的风险,并进行有效地风险分析与控制。现行的风险评估理论和风险评估技术主要集中在基于不确定性理论、概率及数理统计、模糊数学、决策理论等多种理论方法。目前,对基坑工程施工的风险评估工作还停留在定性和简单的定量评估水平上。
2.2 风险评估评价指标体系及其权重
(1)风险评估评价指标体系
风险评估指标体系的设计直接关系到评价结果的客观性、准确性和有效性。要构建一个合理的评价指标体系,必须坚持一定的原则。指标体系应能反映影响施工风险的各个方面,从不同的角度来反映被评价系统的主要特征和状况,同时指标选取应该具代表性、典型性,避免意义相近、重复的指标。根据上述指标体系设计原则,建立了深基坑施工风险评估第一层次指标体系包括自身经济损失、第三方损害、工期延误以及环境伤害四个评估指标。在经济损失方面包括人员机具材料损失、恢复损失两个指标,在第三方损害方面,以第三方生命财产损害、公共设施损害为评估指标,在工期延误方面,以抢救延误、灾后重建延误为评估指标,在环境伤害方面,包括永久性伤害和暂时性伤害两个评估指标。
(2)风险评估影响因子权重分析
权重的确定是采用模糊层次分析法( AHP) 。层次分析方法是把同级各个因素两两相互比较,按比较重要性大小在一个九标度表中进行仿数量化,各因子数量值构成一个构造判断矩阵,该矩阵在一致性检验后,其最大特征值对应的向量为对应各因子的权重向量。模糊层次分析法是将层次分析法中的成对比较数值加以模糊化,再以几何平均法求模糊权重。
(3)深基坑施工风险评估等级确定
首先,要根据各个基坑工程实际施工情况确定风险因子。评估人员需要确定的数据包括施工风险因子发生的概率(P) 以及导致的风险事故损失等级(C),从而确定其相应估值。依据深基坑风险事故损失等级,风险发生概率,考虑风险度接受程度,可以确定深基坑施工风险等级。具体计算过程如下:(1) 确定深基坑工程单项施工风险因子;(2) 计算各个施工风险因子相对于风险事故损失等级的权重:Wi =风险事故损失等级估值×风险评估指标体系中的风险因素相对权重( i = 1,2……8);(3) 计算风险事故损失等级总权重,计算公式为:总权重W=ΣWi ( i = 1,2……8);(4) 计算深基坑工程单项施工风险因子风险度,计算公式为:单项风险度R =风险发生概率P ×权重总分数W;(5) 依据风险度数值,结合风险评估矩阵,确定施工风险因子风险等级。
应对深基坑支护施工的风险应采取的措施
为减少基坑开挖对周围环境影响,在基坑工程方案设计前,应对基坑周围环境状况进行详细调查, 对现状进行拍照记录。做好深基坑工程勘察工作,提供准确可靠的岩土参数作为设计依据。合理选用地下水处理方案,包括止水或排水方案,充分考虑地下水对支护结构受力的影响,降水对周围环境的影响。信息化施工和动态设计:进行信息化施工,发现问题及时调整设计方案,有针对性采取保护措施。深基坑支护结构的几种施工方案及其措施如下:
3.1悬臂式支护结构
挡土结构的使用是在现场不允许基坑维持其天然坡度的情况下用于保持基坑开挖稳定的构筑物,悬臂式挡土结构可能是地下连续墙、木桩、钢筋混凝土桩、钢板桩等。
3.2锚杆挡墙支护结构
锚杆式挡土墙指的是由钢筋混凝土板和锚杆组成,依靠锚固在岩土层内的锚杆的水平拉力以承受土体侧压力的挡土墙。为便于立柱和挡板安装,大多采用竖直墙面。立柱间距2.5~3.5m,每根立柱视其高布置2~3 根锚杆,锚杆的位置应尽量使立柱受弯分布均匀。锚杆一般水平向下倾斜10°~45°。锚杆的有效锚固长度在岩层中一般不小于4m,在稳定土层内,应有9~10m。锚孔内灌以膨胀水泥砂浆;锚孔口与墙面间一段锚杆采用沥青包扎防锈。挡墙分级设置时,每级高度不大于6m,两级之间留有1~2m 的平台,以利施工操作和安全。
3.3混合支护结构
这是由挡墙和固定挡墙就位的组合挡土结构体系,挡墙可以是板桩(钢、混凝土、木),有挡板或无挡板的立柱(或桩),钢筋混凝土灌注桩和地下连续墙等。而固定挡墙就位(支点)主要有撑梁支撑、斜撑或锚杆等。
3.4地下连续墙支护结构
地下连续墙施工震动小、噪声低,墙体刚度大,防渗性能好,对周围地基无扰动,可以组成具有很大承载力的任意多边形连续墙代替桩基础、沉井基础或沉箱基础。对土壤的适应范围很广,在软弱的冲积层、中硬地层、密实的砂砾层以及岩石的地基中都可施工。初期用于坝体防渗,水库地下截流,后发展为挡土墙、地下结构的一部分或全部。房屋的深层地下室、地下停车场、地下街、地下铁道、地下仓库、矿井等均可应用。
结束
深基坑工程的施工技术要求高、危险系数大、发生事故时往往带来难以估量的生命财产损失。因此在深基坑工程实施过程中,应充分科学地预测可能遇到的风险,并进行有效地风险分析与控制。本文结合自己多年的工作经验队基坑支护结构施工的风险及其评价进行了探讨和研究,提出应对施工风险的具体措施,以便以后类似工程借鉴。
参考文献:
[1]张蔷.高层建筑深基坑边坡支护结构综述[J].华北水利水电学院学报,1998,(01).
第9篇:等级保护和风险评估范文
Tao Liqun;Zhu Fengqi;Lv Fenghua;Jing Zhirui
(Jiangsu Tobacco Industrial Co.,Ltd.,Nanjing 210011,China)
摘要:品牌是企业核心价值与核心竞争力的重要体现,实施卷烟品牌战略对于卷烟企业可持续发展具有重要的推动作用。卷烟品牌风险管理作为卷烟企业品牌战略的重要组成部分,是卷烟企业进一步加强品牌战略的重要保证。本文通过分析卷烟品牌价值链中风险的形成机理,建立了集风险识别、风险评估、风险控制于一体的卷烟品牌风险管理体系,为卷烟企业强化品牌管理、构建品牌战略提供了可借鉴的研究成果。
Abstract: Brand stands for the core values and core competitiveness of enterprises, and carrying out brand strategy is of importance to enterprises' sustainable development. As important component of the brand strategy, cigarette brand risk management is the significant guarantee for enterprise to extend its brand strategy. This paper analyzes the forming mechanism of the cigarette brand risk among the brand value chain, and proposes a model of cigarette brand risk management. This model consists of risk identification, risk assessment and risk control, which provides experience for cigarette enterprises to explore tobacco brand tactics and strengthen brand management.
关键词:卷烟品牌 品牌风险管理 风险识别 风险评估 风险控制
Key words: cigarette brand;brand risk management;risk identification;risk assessment;risk control
中图分类号:F273文献标识码:A文章编号:1006-4311(2011)29-0110-03
0引言
我国是全世界最大的烟草生产国与消费国,烤烟种植面积、烤烟产量、烤烟增长速度、卷烟产销量、卷烟增长速度、吸烟人数、吸烟人数增长数量、烟税增长速度均为世界第一[1]。据保守数据:中国有3.5亿烟民,占世界烟民总数的25%,其烟草生产占全球的35%,而烟草消费占全球的32%。烟草行业每年对国家的税收贡献超过1000亿元,占国家税收收入的10%。从以上数据可以看出烟草行业在我国国民经济中的重要作用。然而,在国家烟草专卖体制下,国产卷烟的市场化运作程度很低,各卷烟企业对卷烟品牌的重视程度还很不够。随着我国加入WTO的进一步深入,卷烟行业逐渐对外开放,众多国外知名企业,如“555”、“万宝路”等,争相进入我国卷烟市场,给我过卷烟企业带来了极大的压力。面对国内外烟草市场格局的变化,在国家烟草专卖局制定的《中国卷烟科技发展纲要》中阐述了,中国卷烟业发展所面临的机遇和挑战,明确了中国卷烟科技发展的主要任务,提出了中式卷烟发展的目标,以积极地姿态提高国内烟草行业的竞争力。
品牌风险,也称为品牌危机,是指在企业品牌建设中,对企业品牌造成严重威胁的、不确定性的和有危机感的情境或者事件。国内外学者对品牌风险管理进行了深入的研究,从不同的角度对品牌风险给出了自己的理解。吴狄亚、卢冰(2002)首次提出了品牌危机的定义:“品牌危机指的是由于企业外部环境的突变和品牌运营或营销管理的失常,而对品牌整体形象造成不良影响并在很短的时间内波及到社会公众,使企业品牌乃至企业本身信誉大为减损,甚至危机企业生存的窘困状态。[2]”钟唯希(2003)则把这个概念进一步明晰化,把诱发品牌风险的因素细化,并指出,品牌风险的实质就是信任危机[3]。郭盈盈(2006)首次从媒介和信息传播角度对品牌危机下了定义,指出“品牌危机是指品牌所代表的产品(服务)及其组织的自身缺失或者外部不利因素以信息的形式传播于公众,……,使得该品牌面临严重威胁的突发状态[4]”。
品牌风险管理是一项复杂的系统工程,针对企业品牌价值链形成的过程中的各种相关因素,从系统的角度,结合先进的品牌风险管理理论,运用各类风险管理技术和信息技术,对品牌风险进行管理。东方船(2000)指出,品牌是企业“整个战略系统的完整体系”[5]。刘庆玉等(2005)认为品牌本质上是一个复杂的价值系统,需要企业资源系统各要素的协同作用稳定发展[6]。系统角度的品牌风险管理研究在于扩大研究的范畴,上升到企业的战略管理层面,从宏观的角度来考察品牌风险的形成。
从以上研究可以看出,品牌风险管理越来越引起了企业管理者的重视,随着市场化的发展,品牌战略已经成为企业立足于市场中的重要基础因素。本文通过对卷烟品牌实施品牌风险进行风险管理,开展品牌风险要素的识别和预警,以及品牌风险的处理等,能够促进卷烟品牌又快又好地健康发展。因此,如何有效地识别、防范和管理企业卷烟品牌风险,是我国卷烟企业急需解决的一个关键问题,也是我国卷烟行业从传统保护行业走向市场化过程中的一个管理新课题。
1卷烟品牌风险管理框架
从风险的一般原理出发,烟草品牌风险可以定义为烟草品牌的持续盈利能力受到不利因素冲击而导致的不确定性。在卷烟品牌建设中,在品牌环境、品牌载体、品牌运作的过程中,存在着各类薄弱点,风险源就是通过影响这些弱点来达到影响卷烟品牌的目的。针对这些风险源,采取一定的应对措施加以控制,即进行品牌风险管理,是一项综合全方位的管理任务。卷烟品牌风险形成机理的概念模型如图1所示。
品牌风险管理是一种通过对风险的识别、评价和控制,以最少的成本将风险导致的各种不利后果减少到最低限度地科学方法[7]。烟草品牌风险管理的一般过程为:首先,对卷烟品牌的经营的内外环境进行分析,识别风险;其次,对识别的风险影响因子进行风险评估,根据已有的风险表征指标对各风险因子进行评价;最后,得出卷烟品牌风险管理的应对对策,建立品牌风险预警体系,如图2所示。2卷烟品牌风险管理策略过程分析
卷烟品牌风险管理的一般过程主要包括风险识别、风险评估和风险控制三个方面,通过三个方面的综合集成,能够建立一套完善的卷烟品牌风险管理策略。
2.1 风险识别风险识别主要分为风险因子定义、风险因子提取和风险因子识别,风险识别要根据定义的风险因素的类型、特征,提取风险因素,进而定位到风险事件。风险因素的提取是指通过对风险源进行分析,对其中关键的影响因子就行抽象化处理,得出具体的因素指标。风险因素的识别要求识别出影响品牌风险的关键因子,剔除次要因子。卷烟品牌风险因素是指导致卷烟品牌运作的实际结果与预期目标产生差异的因素。查阅相关研究文献,在分析我国卷烟品牌当前风险管理的现状的基础上,初步将风险因素分为四大类:宏观环境因素、生产价值链、商品流通价值链、行业竞争与企业决策,如图3所示。
2.2 风险评估风险评估是指对识别的风险因子进行估计的工作,以考虑其对卷烟品牌的各方面所造成的影响和损失的严重性,来确定是否采取措施进行管理,或者采取何种措施加以控制。风险评估分为三个步骤:确定风险表征指标、选取风险评估模型、进行风险评估。
2.2.1 风险表征指标风险表征指标是风险出现时所反应的某个侧面的度量指标变化,显然,表征指标在理论上是无限可分的,但从管理的实际出发需遵循可理解性、准确性、易于操作性等原则。从品牌持续成长的表征出发,通过头脑风暴法集思广益,然后对得到的结果进行分析处理,得出影响卷烟品牌风险的三大类7个表征指标:一是从公众的视角产生的三个指标,分别为品牌忠诚度、品牌公关知名度、品牌声誉度;二是从品牌在行业内的个性视角来产生的两个指标,分别为品牌竞争力和品牌免疫力;三是考虑品牌的成长和扩张的两个指标,分别为品牌成长性和品牌辐射度。这些指标分别从不同的视角刻画了卷烟品牌的风险产生的过程。
2.2.2 风险评估模型风险评估模型是评估结果是否可靠的关键,风险评估模型要能够体现出卷烟品牌所面临的各类风险类型,根据不同类型的风险要素的影响程度,按照一定的评价策略,对其进行相应的分析,最后得出风险等级信息。具体的风险评估模型如图4所示。其中,风险要素分为三种类型:一是可度量的风险因素;二是定性描述的风险事件;三是企业内部运作的风险。针对三种不同类型的风险源,分别采取影响分析、威胁分析、脆弱性分析三种不同的分析方法,得出相应的风险信息,然后对这些信息进行风险评估,最后得出相应的风险等级信息。
2.2.3 风险评估在选定了品牌风险表征指标,建立了风险评估模型后,接下来要完成的就是根据现有的风险因子信息进行卷烟品牌的风险因子评估,每一个风险因子按照评估的流程进行分析,得出其对卷烟品牌的影响度。风险因子评估的目的:①测定风险路径影响因子,给出警情判断;②根据对警情的综合判断,按照一定的规则对影响因素进行警情排序;③根据判断的结果,对重要警情进行线路标注,然后再标注的基础上对其进行控制。风险因子评估的流程如图5。
2.3 风险控制对策风险控制,也称为风险管理,是根据一定的风险管理策略对产生品牌风险的要素、事件等进行管理的过程,以期起到化解风险的作用。风险控制主要包括风险控制策略的制定以及相应的组织体系的建设,此外还涉及重要警源的管理流程设计、风险管理投资与立项的管理等。卷因品牌风险控制策略的制定和实施需要经历四步:①风险预测。对可能发生的风险损失有足够的估计,发现潜在的风险和损失。②风险决策。采取定量和定性的方法进行科学的决策,提出风险控制的可行性方案。③实施风险控制方案。采取各种有效措施来降低风险,保证方案顺利实施。④方案的成果评价。
2.3.1 风险控制框架获得了卷烟品牌风险的评估结果后,需要采取适当的风险控制策略,对潜在的风险因素进行控制,达到预防的目的。常用的风险控制策略有风险回避、风险应对、风险转移和风险自留等。风险回避是以放弃或拒绝承担风险作为控制方法来回避损失发生的可能性。 风险应对是卷烟品牌通过降低风险发生概率和减少风险发生带来的损失来达到控制风险目的的手段和方法。风险转移是通过若干技术手段和经济手段,将风险部分的或全部转移给其他人承担。风险自留是对一些无法避免和无法转移的风险,采取现实态度,在不影响根本利益的同时,将风险自愿承担下来。风险控制是一个复杂的过程,在控制的过程中,涉及到卷烟的生产、销售、流通等各个环节,涉及企业内部各主体,如何权衡各方的权利和义务是摆在决策者面前的一个难题。为了便于协调企业内部各部门之间的关系,需要设计一套规范的风险流程机制,并将其上升为企业的规章制度,保征风险控制策略能够顺利实施。经过研究,本项目设计了风险控制了基本机制,如图6所示。
2.3.2 风险控制组织体系良好的风险管理组织体系是风险控制策略得以实施的重要保证。为了进行风险的预警和控制,企业需要设定专门的负责品牌风险管理的组织。但考虑到烟草公司现有管理体系是在实践中形成的,有其存在的基础和合理性,同时为了更好的调集各部门在风险控制中的积极性。因此,本项目认为将卷烟品牌的风险管理作为管理的一个侧面,作为一种新的管理职能,融入到现有的管理体系中,更符合现实情况。为了便于风险控制策略的实施,本项目设计了一套风险管理的组织体系,该体系能够很好的融入到各部门、各组织,有利于开展风险控制工作。基本思想是在现有组织体系中建立一个职能团队式的品牌风险管理小组,来制定或者审核风险控制的方案,清理风险危机。风险管理小组不一定是实际存在的部门,而是在企业部门中选定风险管理人员,在市场部设定风险管理经理,同时在经理层设定一位风险管理主管领导的团队,该团队是协调组织各部门落实风险管理的运作中心。相应的组织形式如图7所示。风险管理小组成员需要由各部门业务精炼,具有较强风险洞察力的人员组成。各部门风险人员的职责就是随时监测卷烟品牌风险影响因子,并及时反馈信息,向风险经理汇报相关指标的变化情况;其次还要负责本部门与全公司之间的协调,保证相关风险管理行动在部门内顺利开展。风险经理的职责是定期召开风险管理会议,收集各部门风险指标数据,进行分析,并做出风险管理决策。
3结束语
卷烟品牌风险管理对于卷烟企业的品牌建设具有重大的意义。随着我国卷烟行业环境的变革,企业内部的显现出来的各种因素对于企业的进一步发展或多或少的产生着各种影响,尤其对于卷烟品牌价值链的形成会带来巨大的影响。
本文在系统分析卷烟品牌建设的基础上,针对卷烟品牌价值链形成的全过程,建立了卷烟品牌风险识别、风险评估和风险控制的卷烟品牌风险管理体系,并针对三个方面进行了深入具体的分析,分别建立了卷烟品牌风险识别、风险评估和风险控制的策略,建立了一个相对完整的卷烟品牌风险管理流程体系。本文的研究对于卷烟企业应对卷烟品牌风险的管理具有现实的指导意义。
参考文献:
[1]赵全意.探索中国烟草的品牌之路.中国经贸导刊,2001,(22):32-33.
[2]吴狄亚,卢冰.企业品牌危机防范[J].经营管理者,2002,(2):44-45.
[3]钟唯希.品牌预警管理研究[D].武汉:武汉理工大学,2003.
[4]郭盈盈.品牌危机分析及其管理研究[D].成都:西南交通大学,2006.
[5]东方船.切开危机看品牌[J].中国广告,2000,(2):61-62.
