安全風險評估

安全風險評估:現(xiàn)代企業(yè)安全管理的必備手段在一個企業(yè)中，誘發(fā)安全事故的因素很多，”安全風險評估”能為全面有效落實安全管理工作提供基礎資料.并評估出不同環(huán)境或不同時期的安全危險性的重點，加強安全管理，采取宣傳教育、行政、技術及監(jiān)督等措施和手段，推動各階層員工做好每項安全工作。使企業(yè)每位員工都能真正重視安全工作，讓其了解及掌握基本安全知識，這樣，絕大多數(shù)安全事故均是可以避免的。這也是安全風險評估的價值所在。當任何生產經(jīng)營活動被鑒定為有安全事故危險性時，便應考慮怎樣進行評估工作，以簡化及減少風險評估的次數(shù)來提高效率。安全風險評估主要由以下3個步驟所組成:識別安全事故的危害、評估危害的風險和控制風險的措施及管理。第一個步驟:識別安全事故的危害識別危害是安全風險評估的重要部分。若不能完全找出安全事故危害的所在，就沒法對每個危害的風險作出評估，并對安全事故危害作出有效的控制。這里簡單介紹如何識別安全事故的危害。危險材料識別一識別哪些東西是容易引發(fā)安全事故的材料，如易燃或爆炸性材料等，找出它們的所在位置和數(shù)量，處理的方法是否適當。危險工序識別一找出所有涉及高空或高溫作業(yè)、使用或產生易燃材料等容易引發(fā)安全事故的工序，了解企業(yè)是否已經(jīng)制定有關安全施工程序以控制這些存在安全危險的工序，并評估其成效。用電安全檢查一電氣安全事故是當今企業(yè)的一個帶有普遍性的安全隱患，對電氣的檢查是每一個企業(yè)安全風險評估必不可少的一項內容。用電安全檢查包括檢查電氣設備安裝是否符合安全要求、插座插頭是否嚴重超負荷、電線是否老化腐蝕、易燃工作場所是否有防靜電措施、電器設備有無定期維修保養(yǎng)以避免散熱不良產生熱源等。工作場地整理一檢查工場是否存在安全隱患，如是否堆積大量的可燃雜物(如紙張、布碎、垃圾等)，材料有否擺放錯誤，腳手架是否牢固等等。工作場所環(huán)境安全隱患識別一工作場所由設施、工具和人三者組成一個特定的互相銜接的有機組合的環(huán)境，往往因為三者之間的聯(lián)系而可能將安全事故的危害性無限擴展。識別環(huán)境中的安全危險性十分重要，如一旦發(fā)生安全事故，人員是否能立即撤離，電源是否能立即切斷等等。安全事故警報一找出工作場所是否有安全事故警報裝置或安排，并查究它們能否操作正常。其它一留意工作場所是否有其他機構的員工在施工，例如:當裝修工程進行，裝修工人所使用的工具或材料均可增加安全隱患。第二步驟:控制風險的措施風險控制就是使風險降低到企業(yè)可以接受的程度，當風險發(fā)生時，不至于影響企業(yè)的正常業(yè)務運作。選擇安全控制措施為了降低或消除安全體系范圍內所涉及到的被評估的風險，企業(yè)應該識別和選擇合適的安全控制措施。選擇安全控制措施應該以風險評估的結果作為依據(jù)，判斷與威脅相關的薄弱點，決定什么地方需要保護，采取何種保護手段。安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高，那么所建議的控制措施就是不合適的。如果控制措施的費用比企業(yè)的安全預算還要高，則也是不合適的。但是，如果預算不足以提供足夠數(shù)量和質量的控制措施，從而導致不必要的風險，則應該對其進行關注。通常，一個控制措施能夠實現(xiàn)多個功能，功能越多越好。當考慮總體安全性時，應該考慮盡可能地保持各個功能之間地平衡，這有助于總體安全有效性和效率。風險控制根據(jù)控制措施的費用應當與風險相平衡的原則，企業(yè)應該對所選擇的安全控制措施嚴格實施以及應用。達到降低風險的途徑有很多種，下面是常用的幾種手段1） 免風險:比如:改善施工程序及工作環(huán)境等。2） 轉移風險:比如:進行投保等。3） 減少威脅:比如:阻止具有惡意的軟件的執(zhí)行，避免遭到攻擊。4） 減少薄弱點:比如:對員工進行安全教育，提高員工的安全意識。5） 進行安全監(jiān)控:比如:及時對發(fā)現(xiàn)的可能存在的安全隱患進行整改，及時做出響應?？山邮茱L險任何生產在一定程度上都存在風險，絕對的安全是不存在的。當企業(yè)根據(jù)風險評估的結果，完成實施所選擇的控制措施后，會有殘余的風險。為確保企業(yè)的安全，殘余風險也應該控制在企業(yè)可以接受的范圍內。風險接受是對殘余風險進行確認和評價的過程。在實施了安全控制措施后，企業(yè)應該對安全措施的實施情況進行評審，即對所選擇的控制措施在多大程度上降低了風險做出判斷。對于殘留的仍然無法容忍的風險，應該考慮增加投資。風險是隨時間而變化的，風險管理是一個動態(tài)的管理過程，這就要求企業(yè)實施動態(tài)的風險評估與風險控制，即企業(yè)要定期進行風險評估。一般而言，當出現(xiàn)以下情況時，應該重新進行風險評估：1） 當企業(yè)新增企業(yè)資產時；2） 當系統(tǒng)發(fā)生重大變更時；3） 發(fā)生嚴重安全事故時；4） 企業(yè)認為非常必要時。一個企業(yè)要做到防患于未然，安全事故危害的風險評估工作是非常重要的，同時，要配合完善的監(jiān)察和檢討制度，并有良好的記錄。做好安全管理，是保護企業(yè)的寶貴人力資源、財產和信譽的上策安全風險評估相關政策安全風險評估是信息安全保障工作的基礎和重要環(huán)節(jié)，《國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)[2003]27號）》、《國家網(wǎng)絡與信息安全協(xié)調小組關于開展信息安全風險評估工作的意見（國信辦[2006]5號）》等相關文件都明確提出信息安全風險評估的必要性，及對信息安全風險評估工作的重視。概述安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。風險評估工作貫穿信息系統(tǒng)整個生命周期，包括規(guī)劃階段、設計階段、實施階段、運行階段、廢棄階段等。安全風險評估過程?資產識別與賦值:對評估范圍內的所有資產進行識別，并調查資產破壞后可能造成的損失大小，根據(jù)危害和損的大小為資產進行相對賦值;資產包括硬件、軟件、服務、信息和人員等；?威脅識別與賦值:即分析資產所面臨的每種威脅發(fā)生的頻率，威脅包括環(huán)境因素和人為因素；?脆弱性識別與賦值:從管理和技術兩個方面發(fā)現(xiàn)和識別脆弱性，根據(jù)被威脅利用時對資產造成的損害進行賦值；?風險值計算:通過分析上述測試數(shù)據(jù)，進行風險值計算，識別和確認高風險，并針對存在的安全風險提出整改建議。?被評估單位可根據(jù)風險評估結果防范和化解信息安全風險，或者將風險控制在可接受的水平，為最大限度地保障網(wǎng)絡和信息安全提供科學依據(jù)。安全風險評估內容折疊信御安全服務綜合國內外相關標準，展現(xiàn)信息系統(tǒng)當前的安全現(xiàn)狀，為下一步控制和降低安全風險、改善安全現(xiàn)狀、實施信息系統(tǒng)的風險管理提供決策依據(jù)。?主機安