風險評估等級如何劃分匯總十篇
時間:2023-06-15 17:25:13
序論:好文章的創(chuàng)作是一個不斷探索和完善的過程,我們?yōu)槟扑]十篇風險評估等級如何劃分范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
篇(1)
風險是一個矛盾體,既是絕對的,也是相對的,從企業(yè)管理的角度來講,管控的是相對風險,所以風險評估技術(shù)方法的研究首先要確定應(yīng)用的對象;機巡作業(yè)風險評估技術(shù)針對的是機巡作業(yè)管控,所以機巡作業(yè)風險評估技術(shù)方法就應(yīng)基于機巡作業(yè)企業(yè)的管理需求即管控目標來進行設(shè)計;風險評估技術(shù)方法的研究主要基于后果考慮具體因子的設(shè)計,形成機巡作業(yè)風險評估技術(shù)標準。機巡作業(yè)風險評估流程設(shè)計如下。(1)評估范圍的劃分——根據(jù)企業(yè)安全生產(chǎn)目標,確定風險管控目標;(2)危害因素的辨識——選取風險后果對管控目標能夠造成影響的危害因素作為風險評估的對象;(3)風險評估——針對線路風險后果及涉及的各種危害因素,對線路風險進行定性評估,確定危害因素風險等級;(4)制定風險控制措施——對各危害因素制定控制措施,必要時還要制定新的控制措施。
1持續(xù)風險評估標準設(shè)計
中心引用可量化風險管理理念,采取現(xiàn)場作業(yè)“三維度”科學評價取值法,即根據(jù)涉及電網(wǎng)風險、現(xiàn)場風險以及作業(yè)環(huán)境風險相結(jié)合的“三維度”量化風險值,制定機巡作業(yè)中心持續(xù)作業(yè)風險評估技術(shù)標準。1.1危害因素辨識對。機巡作業(yè)影響因素進行分析,有交叉跨越方式與數(shù)量、作業(yè)環(huán)境、作業(yè)性質(zhì)、電網(wǎng)等級、電網(wǎng)風險、巡視區(qū)域、飛行地域、線路密集程度、巡視機型等九個因素。1.2制定評估標準。(1)交叉跨越方式與數(shù)量。跨越1個危險點至4個危險點,所有機型取值分別為1/1.5/2/2.5,穿越一個點危險指數(shù)為100。(2)作業(yè)環(huán)境性質(zhì)區(qū)域特征等指標,如表1所示。(3)電壓電網(wǎng)風險及機型等級指標,如表2所示。(4)線路密集程度指標。線路密集程度分為兩種,相鄰線行≥100m,所有機型取值1,相鄰線行50~100m(山區(qū)為100~150m)之間,所有機型取值1.5。1.3風險量化評估。1.3.1量化計算。根據(jù)電網(wǎng)風險、現(xiàn)場風險、作業(yè)環(huán)境風險量化結(jié)果對應(yīng)的取值,使用量化評估公式:量化值(M)=[交叉跨越方式及數(shù)量系數(shù)]*[作業(yè)環(huán)境系數(shù)]*[作業(yè)性質(zhì)系數(shù)]*[電壓等級系數(shù)]*[電網(wǎng)風險系數(shù)]*[巡視區(qū)域系數(shù)]*[飛行地域系數(shù)]*[線路密集程度系數(shù)]*]巡視機型系數(shù)]。1.3.2機巡作業(yè)風險定級。根據(jù)計算出的量化值,將機巡作業(yè)分為以下五級:(1)特高的風險:400≤風險值,考慮放棄、停止。(2)高風險機巡作業(yè):200≤風險值<400,需要立即采取糾正措施。(3)中風險機巡作業(yè):70≤風險值<200,需要采取措施進行糾正。(4)低風險機巡作業(yè):20≤風險值<70,需要進行關(guān)注。(5)可接受風險機巡作業(yè):風險值<20,容忍。1.4現(xiàn)有控制措施。根據(jù)確定的風險和涉及的人員、電網(wǎng)情況,查找目前已有的控制措施,包括:管理人員的現(xiàn)場督察、檢查;改善飛行和控制技術(shù)等已經(jīng)應(yīng)用的工程技術(shù);防止風險而使用的安全工器具和個人防護用品、安全標識;保證人員意識和技能而開展的常態(tài)化人員學習與教育培訓;為降低風險損失而采取的應(yīng)急措施等。
2應(yīng)用實例
對500kV嘉上甲線N1-N216的線路進行實際風險評估,通過2.3.1公式進行計算,(油動固定翼/有人機/多旋翼)綜合風險值分別為6.75/6.75/13.5,都在巡線的容忍范圍內(nèi)。
3結(jié)語
本文對機巡作業(yè)風險評估技術(shù)方法的研究更多的是一種指引,文中一些影響因素的選取與賦值參考了廣東電網(wǎng)機巡作業(yè)中心的一些數(shù)據(jù),但這不是一個絕對的標準,仍不能完全適用于所有的機巡企業(yè),每個企業(yè)在應(yīng)用時,要通過一定范圍的試用,通過試用評估結(jié)果對一些因素與賦值進行修訂與完善,這樣才能形成適用于企業(yè)的風險評估技術(shù)方法。
參考文獻
[1]中國南方電網(wǎng)有限責任公司,安全生產(chǎn)風險管理體系[M].北京:中國標準出版社,2012.
[2]中國南方電網(wǎng)有限責任公司,安全生產(chǎn)風險管理體系審核指南[M].北京:中國標準出版社,2012.
篇(2)
中圖分類號:F830.5 文獻標識碼:B 文章編號:1674-0017-2014(8)-0093-04
近年來,人民銀行為貫徹落實“風險為本”監(jiān)管理念,創(chuàng)新工作模式,改進工作方法,通過建立和完善金融機構(gòu)洗錢風險評估框架和指標體系,分輕重、有主次地督促指導金融機構(gòu)履行反洗錢工作職責,有效監(jiān)控和防范潛在的洗錢行為。本文主要運用模糊聚類分析對金融機構(gòu)進行分類,并根據(jù)實際應(yīng)用找出合理分類,從而建立洗錢風險評估模型。
一、洗錢風險評估的模糊聚類分析
聚類分析是數(shù)理統(tǒng)計中研究“物以類聚”的一種方法。傳統(tǒng)的聚類分析把每個樣本嚴格地劃分到某一類,屬于硬劃分的范疇,具有非此即彼的性質(zhì)。實際上大多數(shù)對象并沒有嚴格的屬性,它們在性態(tài)和類屬方面存在著中介性,具有“亦此亦彼”的性質(zhì),適合進行軟劃分。1965年Zadeh教授在《Fuzzy Set》一文中提出了模糊集理論,并很快應(yīng)用到多個領(lǐng)域。模糊集理論的提出也為傳統(tǒng)聚類分析的軟劃分提供了有力的分析工具,人們用模糊的方法來處理聚類問題,就稱之為模糊聚類分析。在模糊聚類中,每個樣本不再僅屬于某一類,而是以一定的隸屬度分別屬于每一類。由于模糊聚類可以得到樣本屬于各個類別的不確定性程度,表達樣本類屬的中介性,即建立起樣本對于類別的不確定性的描述,從而客觀地分型劃類。模糊聚類分析成為已聚類分析研究的主流,并廣泛應(yīng)用于社會科學和自然科學等領(lǐng)域。
模糊聚類分析為洗錢風險評估提供了一個科學的研究視角和方法。洗錢風險評估是人民銀行在了解金融機構(gòu)的基礎(chǔ)上,客觀評估其反洗錢工作機制的健全性以及面臨的洗錢風險,為采取合理的監(jiān)管措施奠定基礎(chǔ)。在風險監(jiān)管程序中,風險評估是決定分類監(jiān)管是否有效的關(guān)鍵和前提,其準確性如何,主要取決于風險評估指標體系和風險等級劃分的科學性。根據(jù)以上特點,本文提出了用模糊聚類分析方法對金融機構(gòu)在一定期間的反洗錢工作情況進行評估,并把金融機構(gòu)按照風險程度劃分等級,得出的結(jié)果為反洗錢分類監(jiān)管提供重要依據(jù)。
二、建立金融機構(gòu)洗錢風險評估模型
(一)建立數(shù)據(jù)矩陣
設(shè)論域U = { x1,x2,…,xn} 為被分類對象,每個樣本有m 個指標表示其性狀,即xi = { xi1,xi2,…,xim} ( i = 1,2,…,n) ,可得原始數(shù)據(jù)矩陣為
式中:x表示第n個分類對象的第m個數(shù)據(jù)的原始數(shù)據(jù)。
(二)數(shù)據(jù)標準化
在實際問題中,不同的數(shù)據(jù)一般有不同的量綱,為了使不同的量綱可以進行比較,一般需要對其數(shù)據(jù)做一定的變換,即標準化。本文采用極差變換對樣本數(shù)據(jù)進行標準化。
式中,x是第i 個對象第j 個指標的原始數(shù)據(jù),xmax和xmin分別為不同對象的同一指標的最大值和最小值。x'為第i 個對象第j 個指標的標準化數(shù)值。
(三)建立模糊相似矩陣
設(shè)U={ x1,x2,…,xn },xi = { xi1,xi2,…,xim },采用最大最小法計算相關(guān)系數(shù)rij,建立模糊相似矩陣,xi與xj的相似度rij= R(xi,xj)。
式中,rij∈[0,1](i= 1,2,…,n,j= 1,2,…,m)是表示第i個對象與第j個對象在各指標上的相似程度的量。
(四)改造相似關(guān)系為等價關(guān)系
通過平方法求R的傳遞閉包,即R自乘R*R=R2,再自乘R2*R2= R4,直到Rk=R2k,則等價模糊矩陣t( R)=Rk =R2k,k∈N。求出等價模糊矩陣后,依次從等價模糊矩陣的數(shù)據(jù)取值,求λ截值對應(yīng)的聚類。當λ的值越大時,分類越多。
(五)確定分類數(shù)
關(guān)于分類數(shù)的確定,目前是聚類分析中尚未完全解決的問題之一,但在實際運用中主要是根據(jù)研究的目的,從實用的角度出發(fā),選擇合適的分類數(shù)。
三、評估模型在金融機構(gòu)洗錢風險評估中的應(yīng)用
(一)選取指標
本文在反洗錢動態(tài)評價指標體系的基礎(chǔ)上,分別選取內(nèi)控制度建設(shè)與執(zhí)行情況(U1)、組織機構(gòu)建設(shè)情況(U2)、大額交易和可疑交易報告情況(U3)、客戶身份識別和客戶身份資料及交易記錄保存情況(U4)、宣傳培訓開展情況(U5)、報表資料報送情況(U6)等六項指標組成金融機構(gòu)風險信息指標體系。為分析方便統(tǒng)一定義為:
U=(U1,U2,U3,U4,U5,U6)
樣本集用V表示,選取人民銀行西安分行營管部管轄的22家金融機構(gòu)做樣本對象數(shù),分別表示為V1,V2,V3,……,V22,則U=(Vnm)22×6如表1所示:
(二)對數(shù)據(jù)進行標準化。
利用MATLAB編程求出模糊相似矩陣和等價模糊矩陣,由于篇幅有限,相關(guān)矩陣沒有列出。進行聚類,得到分類結(jié)果。
從得到的等價模糊矩陣可知,取不同的置信水平λ,就有不同的分類結(jié)果。當λ=1時,每個樣本自成一類,隨λ值的降低,由細到粗逐漸分類,本文有20個不同λ值,分類就有20種,此處不再贅述。由于在實際應(yīng)用中,對金融機構(gòu)洗錢風險的劃分主要是分為高、中、低三類風險,因此可以分析得出,當λ=0.882964,可將22個樣本分為三類,即第1類為[1:V1, V3, V4, V6, V7, V8, V9, V11, V12, V13, V14, V15, V16, V17, V18, V19, V20, V21, V22,],第2類為[2:V2],第3類為[3:V5, V10,]。從原始數(shù)據(jù)可以看出,第1類金融機構(gòu)的各指標數(shù)值要好于第3類,第3類金融機構(gòu)的各指標數(shù)值要好于第2類,因此第2類金融機構(gòu)定為高風險,第3類為中等風險,第1類為低風險。
上述22家金融機構(gòu)洗錢風險評估及分類結(jié)果可以看出,銀行業(yè)金融機構(gòu)反洗錢工作水平總體上相對要好于保險業(yè)、證券期貨業(yè),城市金融機構(gòu)反洗錢風險程度相對要低于農(nóng)村地區(qū)金融機構(gòu)。此外,結(jié)合日常和年度考核實際情況,不難發(fā)現(xiàn),處于低風險的金融機構(gòu),大部分金融機構(gòu)內(nèi)控制度健全且修訂及時,反洗錢部門及崗位職責明確,認真落實了人民銀行有關(guān)反洗錢工作的安排部署,全年有計劃地開展過有規(guī)模的反洗錢宣傳至少2次,參加人民銀行組織或自主開展業(yè)務(wù)培訓3次以上,且重點突出,內(nèi)容豐富。此類金融機構(gòu)在執(zhí)行“一法四規(guī)”時,大額和可疑交易報告流程清晰,并主動進行了人工分析,采取有效措施進行了初次、持續(xù)性客戶身份識別,交易記錄保存完整,并對客戶進行了風險分類管理。部分金融機構(gòu)能及時上報重大可疑交易報告,積極配合人民銀行開展反洗錢行政調(diào)查,經(jīng)公安機關(guān)立案偵查破獲過重大案件。而處于中等風險和高風險的金融機構(gòu)在開展反洗錢工作中,內(nèi)控制度雖較全面,但操作性不強或者有的直接沿用上級機構(gòu)的制度,未將法律的宏觀要求與自身行業(yè)特性有機結(jié)合,未深入研究各類業(yè)務(wù)產(chǎn)品的交易特征,與反洗錢法規(guī)要求存在一定差距。從人民銀行現(xiàn)場檢查或巡查的事實認定中可以看出,有些機構(gòu)在開展反洗錢三大核心業(yè)務(wù)時,執(zhí)行制度不到位的情況偶有發(fā)生,研究各類業(yè)務(wù)和客戶的風險分類開展高風險客戶識別的工作不夠細化,大額和可疑交易報告的質(zhì)量還有待提高。
四、相關(guān)結(jié)論和政策建議
基于風險評估分類結(jié)果可以得出以下結(jié)論:一是分為同一類風險等級的金融機構(gòu),存在類似的洗錢風險,因此可根據(jù)分類結(jié)果對各等級分配不同程度的監(jiān)管資源,制定有針對性的監(jiān)管措施,實行分類監(jiān)管;二是處于同一類風險等級的某一金融機構(gòu)出現(xiàn)洗錢行為時,應(yīng)重點加強對該類風險等級的監(jiān)管;三是通過日常工作或連續(xù)幾年的分析結(jié)果,若發(fā)現(xiàn)某一金融機構(gòu)長期處于高風險等級,應(yīng)對其進行重點監(jiān)測,并采取相應(yīng)的監(jiān)管措施。
金融機構(gòu)的風險等級不僅能客觀地反映其反洗錢工作情況,同時也為人民銀行的監(jiān)管提供了依據(jù)。因此通過以上結(jié)論可以得出以下幾點建議措施:一是針對行業(yè)間、地區(qū)間不平衡的現(xiàn)象,對不同行業(yè)采取分類監(jiān)管。人民銀行可利用反洗錢工作聯(lián)席會議協(xié)調(diào)機制,加強行業(yè)間的溝通與交流,分別對銀行、保險、證券期貨業(yè)金融機構(gòu)采取切合自身實際的、有針對性的監(jiān)管措施;對于基礎(chǔ)扎實的行業(yè),監(jiān)管重點應(yīng)放在如何提升反洗錢工作層次上,對于基礎(chǔ)較薄弱的行業(yè),則更多地傾向于基礎(chǔ)性工作的指導;對于農(nóng)村地區(qū)金融機構(gòu),建議其上級機構(gòu)在反洗錢系統(tǒng)開發(fā)和配套上給予一定的資金扶持,并綜合運用現(xiàn)場巡查、電話詢問等指導性措施,深入實地了解情況,提出指導意見,增強監(jiān)管的持續(xù)性和實效性。二是對于不同風險等級的金融機構(gòu),合理配置監(jiān)管資源,優(yōu)化整合監(jiān)管方式。對于低風險機構(gòu),以政策輔導為主,提供信息資源和技術(shù)支持以激發(fā)其內(nèi)生動力,給予一定的正向激勵措施,引導金融機構(gòu)建立洗錢風險防范的長效機制;對于中等風險機構(gòu),定期進行風險提示和通報應(yīng)關(guān)注的風險點,并督促檢查其整改落實情況;對于高風險機構(gòu),應(yīng)正式發(fā)出預警通知,采取現(xiàn)場巡查、約見高管等方式,督促金融機構(gòu)高級管理層逐步改進反洗錢工作,并適當加大現(xiàn)場檢查力度,將分析評估情況報金融機構(gòu)上級機構(gòu)。三是對于連續(xù)幾年都處于高風險的機構(gòu),要采取較嚴厲的持續(xù)監(jiān)管,根據(jù)現(xiàn)場檢查認定的問題,按照相關(guān)法律法規(guī),啟動行政處罰程序,建議行業(yè)監(jiān)管部門取消高級管理層任職資格,必要時責令對其停業(yè)整頓或吊銷經(jīng)營許可證。
參考文獻
[1]梁保松.模糊數(shù)學及應(yīng)用[M].北京:科學出版社,2007。
[2]杜金福.我國實施風險為本反洗錢原則的探討[J].中國金融,2012,(11):10-12。
[3]羅海航等.風險為本的反洗錢監(jiān)管動態(tài)評估體系建設(shè)研究[J].西部金融,2013,(1):90-93。
[4]孫宏.推進“風險為本”反洗錢工作的途徑探討[J].吉林金融研究,2012,(16):57-59。
[5]周等.風險為本反洗錢監(jiān)管制度的構(gòu)建研究[J].海南金融,2011,(12):49-52。
The Application of Fuzzy Clustering Analysis to the Money Laundering Risk Assessment of Financial Institutions
QIAN Hongwu PENG Xi
篇(3)
中圖分類號:S851.2 文獻標識碼:B 文章編號:1007-273X(2013)08-0049-01
藍耳病是由豬繁殖與呼吸障礙綜合征病毒變異毒株引起的一種急性高致病性傳染病,病毒致病力強,傳播速度快,豬群發(fā)病率和死亡率高。該病還可引起豬的免疫抑制,損害機體免疫功能,導致免疫失敗,常造成豬瘟、大腸桿菌病等多種疫病混合或繼發(fā)感染,引起生豬大批死亡,是嚴重危害世界養(yǎng)豬業(yè)的豬病之一。如何做好區(qū)域性高致病性豬藍耳病風險評估至關(guān)重要。
1 藍耳病發(fā)生風險因素層次分析法
從流行病學三要素著手,通過咨詢專家確定影響藍耳病疫情發(fā)生的各種風險因素,再運用層次分析法分析,通過建立層次分析結(jié)構(gòu)模型,構(gòu)造判斷矩陣,然后確定藍耳病發(fā)生風險因子的相對重要性。
2 藍耳病發(fā)生風險評估方法的建立
目前,生豬養(yǎng)殖狀況對預防與控制藍耳病流行存在如下困難:第一,個別養(yǎng)殖場(戶)不按規(guī)定執(zhí)行免疫程序,疫苗使用劑量不足,存在漏防漏免現(xiàn)象;第二,外引動物控制監(jiān)管不夠,外引帶毒豬只或病豬引入后引起豬成片發(fā)病;第三,市場監(jiān)管不到位。
2.1 藍耳病疫病發(fā)生風險評估指標體系
根據(jù)流行病學特點,結(jié)合藍耳病病原學、流行病學、環(huán)境學、組織管理學等學科,建立起藍耳病風險評估指標體系。風險評估指標體系包括準則層3項風險因素,指標層12項風險因素。風險因素遵循目的明確、系統(tǒng)全面、聯(lián)系緊密、相對穩(wěn)定可靠、可操作性及可行性六項原則。
2.2 藍耳病發(fā)生風險評估模型構(gòu)建
此模型由目標層、準則層和指標層組成。依據(jù)評估指標的建立原則分析藍耳病發(fā)生風險性評估指標的基本性質(zhì)、指標之間的相互關(guān)聯(lián)以及層次隸屬關(guān)系,通過咨詢專家及結(jié)合實際,將藍耳病發(fā)生風險因素進行歸類。
3 藍耳病發(fā)生風險因素權(quán)重表
根據(jù)風險評估模型,建立風險的判斷矩陣,結(jié)合相關(guān)領(lǐng)域?qū)<覍τ绊懰{耳病發(fā)生風險相關(guān)因素相對重要程度定量賦值,計算出各層權(quán)重。
4 建立風險評估等級制度
將發(fā)生風險劃分為3個等級,即高風險區(qū)、中度風險區(qū)和低風險區(qū)。高風險區(qū):風險值≥0.6,風險系數(shù)1;中度風險區(qū):0.3≤風險值
利用風險評估函數(shù)來計算高致病性豬藍耳病發(fā)生的風險評估綜合值,即將12個子風險因素的分析值相加,以分析值確定風險等級。
5 藍耳病發(fā)生風險評估分析
5.1 傳染源相關(guān)因素發(fā)生風險分析值
篇(4)
中圖分類號:S157.1 文獻標志碼:A 文章編號:1001-5485(2015)12-0041-05
1研究背景
我國是一個多山的國家,山丘區(qū)面積約占全國陸地面積的2/3。復雜的地形地質(zhì)條件、暴雨多發(fā)的氣候特征、密集的人口分布和人類活動的影響,導致山洪災(zāi)害發(fā)生頻繁。據(jù)《全國山洪災(zāi)害防治規(guī)劃報告》數(shù)據(jù)統(tǒng)計,我國山丘區(qū)流域面積在100km2以上的山溪河流約5萬條,其中70%因受降雨、地形及人類活動影響會發(fā)生山洪災(zāi)害[1]。由于山洪災(zāi)害的發(fā)生具有突發(fā)性強、來勢猛、時間短等一系列特點,且其造成的危害對人們的生命財產(chǎn)影響巨大[2],因此,關(guān)于山洪災(zāi)害的研究早在20世紀初就已經(jīng)開始了。經(jīng)過半個多世紀的發(fā)展,山洪災(zāi)害的研究已經(jīng)涉及成因、空間分布特征、災(zāi)害損失評估、風險評價與制圖等各方面[3-11]。風險評估與管理逐漸也成為國際上倡導和推廣的減災(zāi)防災(zāi)有效途徑之一[12]。目前,山洪災(zāi)情評估工作得到了來自地學工作者、工程專家和各級政府部門的高度重視,并逐漸成為國際性的研究項目。特別是在山洪風險評估方面的表現(xiàn)尤為突出[7-11]。但是,這些評價工作的對象往往是泥石流、滑坡或單純的溪河洪水等單一災(zāi)種,評價單元基本以行政區(qū)域為單元,缺乏流域系統(tǒng)性、災(zāi)害種類完整性,評價指標選擇也無可比性[2-6]。其次,目前對大尺度范圍上的山洪災(zāi)害區(qū)劃成果,多為如何防治山洪災(zāi)害的目的進行的,是一種黑箱模型,未完整給出各山洪溝的危險性、易損性和風險等級水平,因而無法準確判斷不同區(qū)域的山洪風險等級。因此,本文將借鑒全國山洪災(zāi)害防治規(guī)劃中對山洪災(zāi)害的定義,將由降雨在山丘區(qū)引發(fā)的洪水及由山洪誘發(fā)的泥石流、滑坡等對國民經(jīng)濟和人民生命財產(chǎn)造成損失的災(zāi)害統(tǒng)一納入研究范圍[1]。以小流域為評價單元,開展四川省山洪災(zāi)害風險評估研究,以期為四川省山洪災(zāi)害管理及防治提供一定的理論依據(jù)。
2研究方法與數(shù)據(jù)來源
2.1研究方法
本研究對風險評估的方法,仍借鑒聯(lián)合國有關(guān)自然災(zāi)害風險的定義,即風險是危險性與易損性的乘積。其中危險性是災(zāi)害的自然屬性,易損性則是災(zāi)害的社會屬性。風險分析在危險性和經(jīng)濟社會易損性分析的疊加基礎(chǔ)上完成。因此,本研究的內(nèi)容主要包括危險性分析、易損性分析以及二者疊加基礎(chǔ)上的風險分析。最后,在風險分析的結(jié)果基礎(chǔ)上,采用一定的區(qū)劃原則和方法,結(jié)合全國山洪災(zāi)害防治規(guī)劃中的一級區(qū)劃和二級區(qū)劃,對四川省山洪災(zāi)害風險進行更進一步的三級分區(qū),形成風險區(qū)劃圖。由于在進行危險性和易損性分析時,選取的指標較多,各個指標在危險性和易損性大小中的貢獻不同,為定量評價各指標在其中的權(quán)重,本研究選用層次分析法進行分析。其基本原理為:首先建立山洪災(zāi)害危險性、易損性分析評價指標體系,每一層都有1個或2個評價因素對應(yīng)上層目標層,根據(jù)這些相互影響,相互制約的因素按照它們之間的隸屬關(guān)系排成3層評價結(jié)構(gòu)體系;然后,根據(jù)專家經(jīng)驗針對某一個指標相對于另一個指標的重要程度進行打分,打分后即建立判別矩陣。根據(jù)山洪災(zāi)害的成因和特點,結(jié)合目前現(xiàn)有數(shù)據(jù)情況,本研究選取的危險性和易損性評價指標體系見表1和表2。在進行山洪災(zāi)害危險性和易損性的評價時,為了將不同的指標體系組合后用一個統(tǒng)一的量化標準對其等級進行劃分,首先根據(jù)已有數(shù)據(jù)的分布區(qū)間按照StandardDeviation分類方法,對危險性和易損性水平進行劃分,根據(jù)實際需要,共劃分為5個等級,各個等級的指標范圍見表1和表2。
2.2數(shù)據(jù)來源
四川省山洪歷史災(zāi)害資料來自四川省山洪災(zāi)害防治分區(qū)項目調(diào)查數(shù)據(jù)。該數(shù)據(jù)以小流域為單元,其面積界定為<200km2[1]的小流域共計2471條(近50a來發(fā)生過山洪災(zāi)害的小流域)。部分縣域,小流域單元數(shù)據(jù)是由國家氣象局與國家科技基礎(chǔ)條件平臺建設(shè)項目———系統(tǒng)科學數(shù)據(jù)共享平臺提供;四川省內(nèi)及周邊82個站點年雨量數(shù)據(jù)來自中國氣象局數(shù)據(jù)庫;DEM(90m)數(shù)據(jù)來自SRTM;土地利用數(shù)據(jù)來自中國科學院資源環(huán)境科學數(shù)據(jù)中心;巖性數(shù)據(jù)來自中國地質(zhì)調(diào)查局的1∶250萬中國數(shù)字地質(zhì)圖;基礎(chǔ)土壤數(shù)據(jù)來自中國科學院南京土壤研究所的1∶100萬中國土壤屬性數(shù)據(jù)庫。
3山洪災(zāi)害風險評估與區(qū)劃
3.1危險性指標體系及評估
根據(jù)危險性各評價指標及對各指標數(shù)值的綜合統(tǒng)計分析,結(jié)合專家的經(jīng)驗判斷,參與者均為全國山洪災(zāi)害防治規(guī)劃中承擔相應(yīng)數(shù)據(jù)資料分析的專家(共3位),各位專家根據(jù)經(jīng)驗判斷各級指標間的相對重要性,然后利用層次分析法確定出危險性各指標的權(quán)重值,如表3所示。結(jié)合ArcGIS的空間分析計算,將各指標危險性分級圖轉(zhuǎn)換為柵格格式(見圖1(a)至圖1(e)),結(jié)合上表給出的每個指標所確定的綜合權(quán)重值,利用ArcGIS的柵格疊加計算功能,可得到山洪災(zāi)害危險性圖(見圖1(f))。具體計算方法為:山洪災(zāi)害危險性=0.041×最大24h暴雨極值+0.021×最大24h暴雨極值變差系數(shù)+0.207×最大1h暴雨極值+0.105×最大1h時暴雨極值變差系數(shù)+0.035×地形坡度+0.04×地形起伏度+0.091×小流域主溝比降+0.19×河網(wǎng)緩沖區(qū)+0.071×歷史災(zāi)害緩沖區(qū)。
3.2易損性指標體系及評估危險性
根據(jù)易損性評價指標體系,依據(jù)層次分析法計算了四川省山洪災(zāi)害易損性指標的權(quán)重值(見表4)。在ArcGIS中,將各指標分級圖轉(zhuǎn)換為柵格格式(見圖2(a)至圖2(c)),結(jié)合表4給出每個指標所確定的綜合權(quán)重值,利用ArcGIS的柵格疊加計算功能,可得到山洪災(zāi)害易損性成果圖(見圖2(d))。具體計算方法即為山洪災(zāi)害易損性=0.18×溝道兩側(cè)范圍人口數(shù)量+0.42×溝道兩側(cè)范圍人口密度+0.18×地均GDP+0.12×人均住房數(shù)量+0.06×歷史災(zāi)害死亡人數(shù)+0.04×歷史災(zāi)害沖毀房屋數(shù)。
3.3山洪風險評估
根據(jù)山洪風險度R等于危險度H乘以易損度V的定義,利用ArcGIS的空間分析疊加功能,可以計算山洪災(zāi)害的風險度圖。在處理數(shù)據(jù)時,首先將危險性分級圖和易損性分級圖進行歸一化取值(0~1)見表5,然后進行柵格相乘計算,即可得到四川省山洪災(zāi)害的風險圖,其取值范圍為0~1之間。根據(jù)山洪災(zāi)害風險區(qū)等級劃分標準進行分級,可得到四川省山洪災(zāi)害風險分級圖,如圖3所示。
3.4山洪風險區(qū)劃
根據(jù)山洪災(zāi)害風險分級結(jié)果,結(jié)合全國山洪災(zāi)害防治規(guī)劃中的一、二級防治分區(qū)范圍,采用基于空間鄰接系數(shù)的聚類分析方法,對風險分級結(jié)果中的最小單元進行逐級向上合并,根據(jù)主導因素與綜合因素相結(jié)合、區(qū)域單元內(nèi)部相對一致、以人為本的經(jīng)濟社會分析等山洪災(zāi)害區(qū)劃原則,劃分出全國山洪災(zāi)害風險區(qū)劃單元。以四川省山洪災(zāi)害風險等級為基礎(chǔ)進行最小單元聚類,在ArcGIS中疊加全國山洪災(zāi)害防治二級區(qū)劃(四川省境內(nèi))成果,同時根據(jù)四川省自然條件和山洪災(zāi)害防治現(xiàn)狀,將四川省境內(nèi)的西南地區(qū)細分為3個三級區(qū)(圖4所示Ⅰ-8-3,Ⅰ-8-1,Ⅰ-8-2),原二級區(qū)劃中的藏南地區(qū)、藏北地區(qū)、秦巴山地區(qū)由于面積不大,山洪災(zāi)害現(xiàn)狀和自然條件比較一致,因此不做進一步劃分(如圖4所示的Ⅲ-1,Ⅲ-2和I-4)。因此,四川省山洪災(zāi)害風險區(qū)劃共涉及6個區(qū)劃單元,如圖4所示。在完成風險性等級劃分圖和區(qū)劃圖以后,以各風險區(qū)劃單元為單位,統(tǒng)計各三級區(qū)內(nèi)風險度等級分布特征。表6為四川省各風險區(qū)劃單元內(nèi)風險度等級面積統(tǒng)計,表7為四川省各風險區(qū)風險等級比例統(tǒng)計。從表7中可見,四川盆地及周邊為山洪災(zāi)害中高風險區(qū),為四川省山洪災(zāi)害重點防治地區(qū)。其它地區(qū)山洪災(zāi)害風險等級較低,在進行山洪災(zāi)害防治時,應(yīng)以防治措施為主,同時加強災(zāi)害監(jiān)測的預警預報。
4結(jié)論
(1)整個四川省的山洪災(zāi)害風險等級水平處于較高水平,特別是四川盆地及周邊地區(qū)是山洪災(zāi)害的高風險值地區(qū),中風險區(qū)等級以上的面積占到了整個四川盆地及周邊總面積的近80%,這一區(qū)域也是四川省人口、經(jīng)濟密度最大的區(qū)域,因此山洪災(zāi)害防治任務(wù)艱巨。其次,秦巴山地區(qū)是四川省山洪災(zāi)害次嚴重地區(qū),中風險區(qū)等級以上的面積占到了整個四川省秦巴山地區(qū)總面積的18%。其它幾個三級區(qū)域山洪災(zāi)害風險水平不高,大多處于低風險和較低風險水平,山洪災(zāi)害防治應(yīng)以防治措施為主,同時加強災(zāi)害監(jiān)測的預警預報。(2)由于山洪災(zāi)害的成因機理十分復雜,特別是溪河洪水及其誘發(fā)的滑坡、泥石流災(zāi)害成因更為復雜,在進行山洪災(zāi)害危險性、易損性評估時,評價指標體系應(yīng)在深入研究成因機理的基礎(chǔ)上進行選取,但限于目前研究成果和資料的可獲取性限制,本研究風險評估結(jié)果的準確性仍有待驗證。
參考文獻:
[1]長江水利委員會.全國山洪災(zāi)害防治規(guī)劃報告[R].武漢:長江水利委員會,2005.(ChangjiangWaterRe-sourcesCommission.TheMountainTorrentDisasterPre-ventionandControloftheNationalPlanningReport[R].Wuhan:ChangjiangWaterResourcesCommission,2005.(inChinese))
[2]唐川,師玉娥.城市山洪災(zāi)害多目標評估方法探討[J].地理科學進展,2006,25(4):13-21.(TANGChuan,SHIYu-e.Multi-ObjectiveEvaluationMethodofMountainTorrentDisasterinUrbanArea[J].ProgressinGeography,2006,25(4):13-21.(inChinese)
[3]石凝.閩江流域災(zāi)害性洪水形成機理分析[J].水文,2001,21(3):30-33.(SHINing.FloodingDisas-terMechanismofMinjiangRiverWatershed[J].Hydrol-ogy,2001,21(3):30-33.(inChinese))
[4]謝洪,陳杰,馬東濤.2002年6月陜西佛坪山洪災(zāi)害成因及特征[J].災(zāi)害學,2002,17(4):42-47.(XIEHong,CHENJie,MADong-tao.MountainTorrentDisasterCausesandCharacteristicsofFoping,ShaanxiProvinceinJune,2002[J].Journalofcatastrophology,2002,17(4):42-47.(inChinese))
[5]韋方強,崔鵬,鐘敦倫.泥石流預報分類及其研究現(xiàn)狀和發(fā)展方向[J].自然災(zāi)害學報,2004,13(5):10-15.(WEIFang-qiang,CUIPeng,ZHONGDun-lun.ClassificationofDebrisFlowForecastandItsPresentSta-tusandDevelopmentinReseach[J].JournalofNaturalDisasters,2004,13(5):10-15.(inChinese))
[6]許有鵬,于瑞宏,馬宗偉.長江中下游洪水災(zāi)害成因及洪水特征模擬分析[J].長江流域資源與環(huán)境,2005,14(5):638-644.(XUYou-peng,YURui-hong,MAZong-wei.CauseofFloodDisastersandFloodCharacter-isticSimulationAnalysisoftheMiddleandLowerRea-chesoftheYangtzeRiver[J].ResourcesandEnviron-mentintheYangtzeBasin,2005,14(5):638-644.(inChinese))
[7]張春山,李國俊,張業(yè)成,等.黃河上游地區(qū)崩塌、滑坡、泥石流地質(zhì)災(zāi)害區(qū)域危險性評價[J].地質(zhì)力學學報,2003,9(2):143-153.(ZHANGChun-shan,LIGuo-jun,ZHANGYe-cheng,etal.Collapse,LandslideandDebrisFlowandGeologicalDisastersRiskAssess-mentofUpstreamoftheYellowRiver[J].JournalofGe-omechanics,2003,9(2):143-153.(inChinese))
[8]趙士鵬.中國山洪災(zāi)害的整體特征及其危險度區(qū)劃的初步研究[J].自然災(zāi)害學報,1996,5(3):93-99.(ZHAOShi-peng.AnElementaryStudyonWholeChar-acteristicsofMountainTorrentsDisasterSysteminChinaandItsHazardRegionalization[J].JournalofNaturalDisasters,1996,5(3):93-99.(inChinese))
篇(5)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)28-6402-04
目前,信息安全是非常重要的,在各單位和部門進行的信息系統(tǒng)安全風險評估實踐中,必須全面考慮各種涉及安全風險因素的影響。由于系統(tǒng)本身的復雜性,其風險因素涉及面廣,且存在著諸多具有模糊性和不確定性的影響因素;同時有關(guān)風險因素影響的歷史數(shù)據(jù)也非常有限,很難利用概率統(tǒng)計方法來量化風險。[1]因此,信息系統(tǒng)的安全風險評估,往往需要依靠有關(guān)專家的判斷來進行。對于上述問題,模糊綜合評判法是一種行之有效的解決方法。模糊綜合判斷法是建立在模糊數(shù)學理論基礎(chǔ)上的一種風險評估方法,其應(yīng)用模糊關(guān)系進行的合成原理,對一切邊界不清、不易定量等描述的風險因素采取定量化方法,然后對系統(tǒng)的安全風險進行綜合評估。
在應(yīng)用模糊綜合評判法對信息系統(tǒng)進行風險評估時,其關(guān)鍵問題是各風險因素的權(quán)重如何分配。對于采用傳統(tǒng)的方法對風險因素賦值,忽略了專家主觀判斷的不確定性和模糊性,難以對一致性和矩陣性差異的判斷,而且一致性檢驗還缺少科學依據(jù)等問題。
本文針對傳統(tǒng)方法的不足問題,對信息系統(tǒng)每一層風險因素使用了模糊一致判斷矩陣來表示。用模糊一致矩陣中的排序方法求解各風險因素的權(quán)重。[2]在此基礎(chǔ)上運用多級模糊綜合評判法來對信息系統(tǒng)的安全風險進行綜合評估,得出系統(tǒng)的安全風險等級。
1 建立評估指標體系的層次結(jié)構(gòu)模型
信息系統(tǒng)安全風險評估涉及很多因素,為了能夠深入分析問題,需要對影響評估結(jié)果的風險因素進行整體分析和評估。因次,需建立按照一定層次結(jié)構(gòu)的體現(xiàn)指標體系的結(jié)構(gòu)模型,如圖1所示。建立是層次結(jié)構(gòu)模型可以對信息系統(tǒng)的評估指標進行深入的分析,結(jié)構(gòu)模型主要包括目標層、準則層和指標層三個層次關(guān)系,各層之間存在一定的關(guān)系,其中,目標層是最高層,代表是風險評估的總體目標,中間層是準則層,主要設(shè)定對系統(tǒng)進行風險評估的準則,對風險評估的總目標進行分解,然后獲得若干個準則,并用多個元素分別表示。為了能更準確的表示,在準則層可以在劃分子準則層。指標層處在于最底層,是進行系統(tǒng)安全風險評估的具體評估指標,表示影響目標實現(xiàn)的各種因素,如指標不能完全表達意思,可以繼續(xù)劃分子層,稱為二級評估指標,風險指標體系如圖2所示。
2 模糊一致判斷矩陣的構(gòu)造和排序
定義1:若模糊矩陣R=[(rij)nxn]能夠滿足條件:[rij]+[rji]=1,i,j=1,2,...,n,則稱R為模糊互補矩陣。
定義2 :若模糊互補矩陣R=[(rij)nxn]能夠滿足條件:[rij=rik-rjk+0.5,i,j,k=1,2…,n],則稱R為模糊一致矩陣。
模糊一致矩陣的性質(zhì)有如下三點:
3)如果R滿足中分傳遞性,即當[λ≥0.5]時,若[rij] [≥λ], [rjk] [≥λ],則有[rik] [≥λ];當
[λ≤] 0.5時,若[rij] [≤λ], [rjk] [≤λ],則有[rik] [≤λ]。
根據(jù)模糊一致矩陣的性質(zhì),得出了人們的決策思維的習慣,對其合理性解釋如下:
1)[rij]是元素[i]與[j]相對重要性的度量,如果[rij]越大,那么元素[i]與[j]越重要,[rij] >0.5
表示[i]比[j]重要;反之,[rij]
2)[rij]表示元素[i]比[j]重要的隸屬度,那么1-rij表示[i]不比[j]重要的隸屬度,即[j]比[i]重
要的隸屬度,即[rji]=1-[rij],R是模糊互補矩陣。
3)如果元素[i]與[j]相比較,前者比后者重要,同時元素[j]比k也重要,則元素[i]一定比元素k重要;反之,如果元素[i]不比[j]重要,且元素[j]不比k重要,那么元素[i]一定不比元素k重要。
另外,模糊一致矩陣的構(gòu)造采用“0.1~0.9”標度法,使得模糊判斷矩陣的一致性也基本反映出人類思維的一致性,即可以反映人在判斷過程中存在的不確定性和模糊性。[3]由此可見,模糊一致矩陣符合人類的思維特征,與人類對復雜決策問題的思維、判斷過程是一致的,通過構(gòu)造模糊一致矩陣可以在一定程度上反映群體專家判斷的模糊性。
在決策者進行模糊判斷的時候,構(gòu)造的判斷矩陣通常是模糊互補矩陣而不是模糊一致矩陣,由模糊互補矩陣構(gòu)造模糊一致矩陣的方法如下:
對模糊互補判斷矩陣R=[(fij)nxn]按行求和,記為[ri=j=1nfij,(i=1,2…,n)],對其進行以下數(shù)學變換:
[rij=ri-rj2n+0.5] (1)
則由此建立的矩陣R=[(rij)nxn]是模糊一致矩陣。
模糊一致矩陣排序的方法由式(2) 給出,若模糊矩陣R=(rij)nxn是模糊一致矩陣,那么排序值可由公式2計算:
[wi=1n-12α+1nαj=1nrij] (2)
在上式中 滿足:[α]≥ [n-12],且當[α]越大時,權(quán)重之間的差異越小;[α]越小,權(quán)重之間的差異則越大;當[α]=[n-12] 時,權(quán)重之間的差異達到最大。
由上可知,可以利用對參數(shù)[α]的不同取值來進行權(quán)重結(jié)果的靈敏度分析,有助于決策者做出正確的權(quán)重判斷。
如若邀請n位專家(視具體情況而定)對信息系統(tǒng)進行安全風險評估。主要分為以下幾個步驟,第一,采用相互比較法構(gòu)造判斷矩陣[Α′]。第二,使用0.1-0.9標度法(見表1)來表示兩元素比較的值,從而可以判斷矩陣的元素取值范圍是0.1,0.2,…,0.9。判斷矩陣[A′=(aij)nxn],其元素值[aij]反映了專家對各風險因素相對重要性的認識。
3 多級模糊綜合判斷
1)確定因素集U和評語集V
信息系統(tǒng)安全風險評估的層次結(jié)構(gòu)模型建立后,因素集U就確定了。評語集的確定要根據(jù)實際需要而定,一般將評語等級劃分為3-7級,如采用很危險、危險、中等、安全、很安全。
2)單因素模糊判斷,確定評判矩陣R
單因素模糊評判是對單個因素[ui] (i=1,2,...,n)的評判,得到V上的模糊集[Ri=(ri1,ri2,…rim)],其中[rij]對評語集中的元素[vj]的隸屬度。單因素模糊評判是為了確定因素集U中各因素在評語集V中的隸屬度,建立一個從U到V的模糊關(guān)系,從而導出隸屬度矩陣R=[(rij)nxm]。
3)模糊綜合評判
初級模糊評判主要是對U上權(quán)重集W=(W1,W2,...WK)和評判矩陣R的合成,評判結(jié)果通常用B表示。
[B=w?R=(w1,w2,…,wk)?r11r21?rk1r12r22?rk2……?…r1mr2m?rkm=(b1,b2,…,bm)] (4)
其中,“。”為模糊合成算子,為綜合考慮個評估因素的影響并保留單因素評估的全部信息,對模糊合成算子采用M(·,)算子。當權(quán)重集和隸屬度均具有歸一性時M(·,)即為矩陣乘法運算,并且此時B也是歸一化的。
多級模糊綜合評判:對于多層次系統(tǒng)而言,需要從最底層開始評判,并將每層的評判結(jié)果作為上層的輸入,組成上層的評判矩陣,直到最高層的評判結(jié)束。二級模糊綜合評判如圖3所示。
4 評估結(jié)果的判定
利用多級模糊綜合評判得到的最終向量B對評估結(jié)果作出判定,在判斷準則使用情況基本分為兩種:最大隸屬度準則和加權(quán)平均準則。
最大隸屬度準則:取評估結(jié)果中最大隸屬度所對應(yīng)的安全等級作為系統(tǒng)安全風險評估的最終結(jié)果。
加權(quán)平均準則:根據(jù)實際情況對評估結(jié)果向量驚醒等級賦值,即賦予不同等級評語vj規(guī)定值[βj],以隸屬度[bj]為權(quán)數(shù),被評估信息系統(tǒng)的風險綜合評分值為:
結(jié)合表3安全風險隸屬等級劃分標準,即可判定信息系統(tǒng)當前的安全風險等級,
5 結(jié)論
本文針對信息系統(tǒng)安全風險評估中因素多、難度大等問題,在引入模糊一致判斷矩陣方法的基礎(chǔ)上運用了多級模糊綜合評判法,對信息系統(tǒng)安全風險進行了綜合評估,得到了科學的、合理的安全風險等級,從而為管理員實施安全管理控制策略提供科學的依據(jù)。
參考文獻:
[1] 李鶴田,劉云,何德全.信息系統(tǒng)安全風險評估研究綜述[J].中國安全科學學報,2006,16(1):108-113.
篇(6)
隨著信息化的發(fā)展,管理者的職能也在不斷變化。對于如何加快信息化的進程來說,傳統(tǒng)工業(yè)時代下的管理控制模式已經(jīng)不能適應(yīng)發(fā)展的需求,因此,需要建立更加有效的信息化管理體制,確保信息化建設(shè)有序推進,最終實現(xiàn)組織信息化發(fā)展的戰(zhàn)略目標。
在信息化時代下,完善的體制架構(gòu)被劃分為機構(gòu)協(xié)調(diào)、職能分工和運作規(guī)則等幾個部分。就機構(gòu)協(xié)調(diào)而言,不再是傳統(tǒng)的金字塔模式,即信息自下而上層層傳遞,決策由上而下層層布置;而是采用更加扁平的組織流模式,管理趨向于文化,而不在是制度,組織的信息化水平越高,即信息傳遞速度越快,內(nèi)容描述得越精準,管理就變得越簡單,國家或企業(yè)的安全就更加可控。
實施科學風險評估
風險評估作為保障信息安全的重要措施之一,其在信息化發(fā)展方面起著至關(guān)重要的作用。隨著信息化的不斷發(fā)展,各種社會組織都越來越多地依賴于信息技術(shù)和信息系統(tǒng)來處理其信息和管理業(yè)務(wù),從而提高自身競爭力,風險管理也隨之在信息化的推進和管理中扮演越來越重要的角色。信息化作為兩化融合的重要組成部分,所涉及的眾多信息都具有保密性,即使安全功能再強大的網(wǎng)絡(luò)系統(tǒng),也有被非法攻擊的可能性,因此,對基于兩化融合思路的信息安全風險評估服務(wù)也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風險評估模式,是保障信息安全的有效措施,也已成為世界各國兩化融合工作的新方向。
信息安全風險管理是一個包括識別風險、評估風險以及采取措施降低風險至可以接受的程度在內(nèi)的全過程,其目標是要保護重要的信息系統(tǒng)和信息安全,幫助管理層更好地做出與管理風險相關(guān)的各種決策,幫助管理層更好地審批和建設(shè)信息系統(tǒng),掌握其可能面臨的風險。它從風險管理角度,運用科學的方法和手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平。這樣綜合評估的結(jié)果可以幫助風險管理進行決策,即需要采取什么樣的風險管理措施,優(yōu)先次序是什么,以及如何落實這些風險控制措施。
進行整體安全防范
對信息網(wǎng)絡(luò)的整體安全防范應(yīng)該在風險評估的基礎(chǔ)上進行相應(yīng)的信息安全等級保護和重要信息安全保護。信息安全等級保護是指國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。實行信息安全等級保護制度,能夠充分調(diào)動國家、法人和其他組織及公民的積極性,發(fā)揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統(tǒng)安全建設(shè)更加突出重點、統(tǒng)一規(guī)范、科學合理,對促進我國信息安全的發(fā)展將起到重要推動作用,進而保障兩化融合的順利實施。
篇(7)
農(nóng)業(yè)機械是指在作物種植業(yè)和畜牧業(yè)生產(chǎn)過程中,以及農(nóng)、畜產(chǎn)品初加工和處理過程中所使用的各種機械。農(nóng)業(yè)機械包括農(nóng)用動力機械、農(nóng)田建設(shè)機械、土壤耕作機械、種植和施肥機械、植物保護機械、農(nóng)田排灌機械、作物收獲機械、農(nóng)產(chǎn)品加工機械、畜牧業(yè)機械和農(nóng)業(yè)運輸機械等。農(nóng)機安全是指從人的需要出發(fā),在操作者使用機械的全過程中,達到使人的身心免受外界因素危害的存在狀態(tài)和保障條件。簡單來講,就是農(nóng)機設(shè)備本身應(yīng)當符合安全要求,并且設(shè)備操作者在操作時應(yīng)該符合安全要求。
1.2農(nóng)機風險評價
農(nóng)機風險評價是以實現(xiàn)人—機系統(tǒng)安全為目的,根據(jù)安全系統(tǒng)工程原理,采用科學的方法和程序識別、評估與農(nóng)機有關(guān)的風險,分析農(nóng)機事故的發(fā)生原因,并據(jù)此制定相關(guān)措施降低風險的過程。該過程一般從對農(nóng)業(yè)機械限制的確定開始,繼而通過危險辨識確定出潛在的危險有害因素,然后對風險進行評估和評定,據(jù)此采取相應(yīng)措施消除或減小風險。農(nóng)機風險評價的整體流程如圖1所示。
2農(nóng)業(yè)機械風險分析
2.1機械限制的確定
機械限制分為預定使用和可預見誤用兩種類型,應(yīng)該考慮農(nóng)業(yè)機械壽命周期的所有階段,包括:①使用限制,主要指農(nóng)業(yè)機械的適用范圍以及農(nóng)機操作者的限制方面(性別、年齡、用手習慣等);②空間限制,主要考慮農(nóng)業(yè)機械的運動范圍、安裝和使用的空間要求、機械所需動力源要求等;③時間限制,具體指農(nóng)業(yè)機械及其組件的“壽命”、規(guī)定保養(yǎng)的時間間隔等;④其他限制,如環(huán)境條件(作業(yè)時的最高溫度和最低溫度,氣候潮濕或干燥,對粉塵和濕氣的耐受力)、農(nóng)機的室內(nèi)管理和作業(yè)對象的特性[4]。
2.2農(nóng)業(yè)機械危險識別
2.2.1農(nóng)業(yè)機械危險分類
一般而言,農(nóng)業(yè)機械危險主要分為3大類[5]:①機械危險,也就是作業(yè)過程中,農(nóng)機設(shè)備直接造成人身傷亡事故的災(zāi)害性因素。機械危險的主要形式有擠壓、剪切、拉入、纏繞、轉(zhuǎn)動、蓄能和切割等。②非機械危險,主要是指在機械設(shè)備生產(chǎn)過程以及作業(yè)環(huán)境中能導致傷亡(非機械性損傷)事故或誘發(fā)職業(yè)病的因素。非機械危險的主要形式有電氣危險(如農(nóng)用電機繞組絕緣不良使外殼帶電)、高熱危險(如高熱的機體,熾熱的排氣管)、噪聲危險(如柴油機發(fā)動噪聲)和振動危險(如手把、座椅振動)。③其他危險,這類危險主要由于操作者及其他客觀條件(如路面狀況、氣候、危險材料和物質(zhì)等)引起的,如農(nóng)機道路交通事故、傾翻、絆倒和跌落等。不同機械可能產(chǎn)生不同形式的危險,危險識別的目的是在機械限制范圍內(nèi)確定并形成危險、危險環(huán)境和危險事件的清單。
2.2.2危險識別方法
危險識別主要有兩種方法:自上而下和自下而上[6](如圖2所示)。自上而下的方法以潛在傷害(如切斷、刺傷)為出發(fā)點確定危險原因,即引發(fā)危險事件的操作、危險環(huán)境等。自下而上的方法則是以所有可能的危險為起點,在確定的危險環(huán)境下,考慮所有可能出錯的途徑(如人為差錯、部件失效)和導致傷害的方式。兩種方法相比較后者考慮較為全面,但過程復雜,所需時間較長。
2.3農(nóng)業(yè)機械風險評估
機械傷害產(chǎn)生的前提是要有危險的存在,但有危險不一定都產(chǎn)生傷害。風險評估的目的是根據(jù)危險識別的結(jié)果對每種危險狀態(tài)的風險要素進行評估,進而確定風險,并對其進行等級劃分。根據(jù)風險的定義,一般把事故發(fā)生概率和事故后果嚴重程度作為基本的風險要素。
2.3.1事故發(fā)生概率的確定
根據(jù)相關(guān)資料,農(nóng)機事故發(fā)生概率主要受以下3個因素的影響:操作人員在危險中的暴露程度、危險事件的發(fā)生狀況、限制或者避免危險事件發(fā)生的可能性。據(jù)此可以根據(jù)下面的內(nèi)容來確定事故發(fā)生概率這一風險要素的等級:1)操作人員暴露于危險區(qū)域的時間以及進入危險區(qū)域的人數(shù)和頻率。等級劃分一般為:罕見暴露、偶然暴露、每天工作時間暴露和連續(xù)暴露。2)危險事件發(fā)生頻率,等級劃分一般為:幾乎不發(fā)生、不太可能發(fā)生、可能發(fā)生、非常可能發(fā)生和必然發(fā)生。3)限制或避免傷害發(fā)生的可能性,等級劃分一般為:不可能和可能。
2.3.2事故后果嚴重程度的確定
該要素的等級可以通過受傷害人數(shù)和人體健康受傷害的嚴重程度來確定,可以把以往的歷史數(shù)據(jù)作為基礎(chǔ)資料,將事故后果嚴重程度等級劃分如下:1)災(zāi)難性的:導致死亡或永久殘廢的傷害或疾病;2)嚴重的:導致人體嚴重虛弱的傷害或疾病;3)中等的:要求救護的顯著傷害或疾病;4)輕微的:至多需要急救的輕傷或沒有受傷。
2.4農(nóng)業(yè)機械風險評估方法選擇
風險評估方法包括定性評估和定量評估兩類。可應(yīng)用于農(nóng)業(yè)機械風險評估的方法主要有風險矩陣法、風險圖法、評分法以及綜合評估法等。這些方法不但可以對風險水平進行排序,還可以通過減少風險的多少去評估采取的措施,進而選擇最佳解決辦法。風險矩陣法[7]是其中應(yīng)用較廣的一種機械風險評估方法,它針對每一類危險要素,將決定危險的兩個風險因素劃分為相應(yīng)等級,形成矩陣,從而根據(jù)交叉單元對風險大小進行定性評估。風險矩陣法主要包括4個步驟:選擇風險矩陣、評價事故發(fā)生概率、評價事故后果嚴重程度和確定風險等級。其中,在風險矩陣的選擇方面,對于同一個危險要素,不同的風險矩陣可以選擇不同風險等級。等級范圍通常選擇3級到10級,最常用的等級是4級和5級。表1給出了風險等級為4級的風險矩陣列表。
3風險評定
在風險評估之后要進行風險評定,即根據(jù)選擇的評價方法對評估出的全部風險要素的綜合作用進行評定。評定完成之后會得到相應(yīng)的風險列表排序,然后結(jié)合實際情況和具體機械,與可接受的風險等級進行比較,如果風險在可接受范圍內(nèi),則該風險評價過程結(jié)束;如果風險是不可接受的,則需要采取措施減小風險,然后再次按照圖1的流程進行風險評價,直到所有風險都達到風險可接受的范圍。
4基于WSR的農(nóng)機風險減少策略
WSR是“物理(wuli)—事理(shili)—人理(ren-li)”方法論的簡稱[8],它是一種帶有東方色彩的方法論,也是一種解決復雜問題的工具,由中國學者在1994年提出。其中,物理指物質(zhì)運動機理、運動規(guī)律的總和;事理指做事的道理,也就是管理規(guī)律,決策方法等;人理指整個活動群體中的各種人際關(guān)系。根據(jù)WSR理論,在處理復雜問題時既要考慮對象“物”的方面,又要考慮這些“物”如何被更好地運用于“事”,同時還必須考慮人在認識問題、處理問題以及實施管理決策中的作用。把W,S,R放在一起,從而達到知物理,明事理,通人理,系統(tǒng)、完整地解決問題。作為一種方法論,WSR在具體的實踐過程中具有重要的指導作用。
4.1農(nóng)業(yè)機械風險減小的“物理”基礎(chǔ)
風險減少中的“物理”因素主要包括農(nóng)業(yè)機械的設(shè)計原理、操作規(guī)程以及識別出的所有危險因素等各種客觀存在。這些客觀存在是對農(nóng)機安全的正確認識,是符合農(nóng)機安全規(guī)律的科學基礎(chǔ),也是采取有效措施減少風險的前提。因此,在擬定安全措施前要根據(jù)原有物質(zhì)基礎(chǔ)對備選解決方案的可操作性進行把握。
4.2農(nóng)業(yè)機械風險減小的“事理”準則
風險減小需要采取一定的措施,而措施的擬定就是在“物理”的基礎(chǔ)上進行“事理”分析的過程,也就是要根據(jù)風險評定結(jié)果,尋求降低風險的最佳解決方案,并力求以最小投入達到最優(yōu)結(jié)果。風險減小中的“事理”主要體現(xiàn)在:①在明確“物理”因素的基礎(chǔ)上,尋求更有效地降低風險的方法和途徑。例如,農(nóng)機上轉(zhuǎn)動手柄的人性化設(shè)計、農(nóng)業(yè)機械安全設(shè)計技術(shù)創(chuàng)新方向的判斷等都是“事理”因素在技術(shù)層面上的體現(xiàn)。②根據(jù)風險評定結(jié)果,編制農(nóng)機安全事故應(yīng)急預案。應(yīng)急預案是應(yīng)急行動快速、高效實施的保證,可以嚴防事故進一步擴大,有助于將事故對人員、財產(chǎn)的損失降至最低程度。農(nóng)機事故應(yīng)急預案是從根本上降低損失、減小風險的措施,因此也屬于“事理”的一種體現(xiàn)。③個人的行為方式和特點對風險減少措施制定和實施的影響。對于同一種危險因素,不同的人可能主張采取不同措施來降低風險。這是由不同個體知識儲備、經(jīng)驗以及能力等方面的差異造成的,屬于正常現(xiàn)象,也是“事理”因素發(fā)揮作用的一種表現(xiàn)形式。在風險減小措施的制定過程中,“事理”因素居于首要地位,只有做到“明事理”才能快速找到減小風險的最優(yōu)措施。
4.3農(nóng)業(yè)機械風險減小的“人理”保障
風險減小的目的主要是為了保障人員安全,而這一過程也是通過人來實現(xiàn)的,因此人在整個風險減小措施制定的過程中居于主體地位,這是“人理”因素的體現(xiàn)。制定措施減小風險的過程也是一個決策過程,該過程中涉及到的人員比較復雜,設(shè)計者、監(jiān)理方以及使用者三方人員代表不同的利益范疇,對風險的要求由于身份的不同而有所差別。同時,每個人的情緒、心理素質(zhì)、價值取向、行為動機等都會存在差距,并且這種差距一直處于動態(tài)變化之中,因此在制定風險減小措施的過程中應(yīng)該尋找那些能夠制約或者推動個人行為的影響因素并加以重視,從而保證所選方案的順利實施。此外,從宏觀方面來看,農(nóng)業(yè)機械化的法制建設(shè)也屬于農(nóng)機風險減少的“人理”范疇。健全的立法機制可以促使相關(guān)人員在農(nóng)業(yè)機械的生產(chǎn)、使用、維修等過程中按規(guī)定辦事,可以在一定程度上減小風險。與國外相比[9],我國的農(nóng)業(yè)機械化立法機制還不夠健全,應(yīng)當吸取經(jīng)驗,不斷完善。簡而言之,“人理”就是風險減小過程中所有涉及人員的相互關(guān)系及其變化過程,并且通過研究和理順這種關(guān)系,促使有關(guān)人員在現(xiàn)有“物理”的基礎(chǔ)上,按照可接受的“事理”將農(nóng)業(yè)機械風險控制在可接受水平之內(nèi)。由此可見,“人理”在3者之中處于主體地位,是農(nóng)業(yè)機械風險減少的保障。
篇(8)
工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)入侵是利用網(wǎng)絡(luò)系統(tǒng)的漏洞進行病毒感染的過程。在核電站內(nèi),網(wǎng)絡(luò)有1E級與非1E級之分。按照核電站設(shè)計規(guī)范,數(shù)據(jù)只能由1E級網(wǎng)絡(luò)向非1E級網(wǎng)絡(luò)單向傳輸[2]。網(wǎng)絡(luò)的隔離可通過“硬設(shè)置”(如:在兩級網(wǎng)絡(luò)間設(shè)置網(wǎng)橋)或“軟設(shè)置”(如:在1E級網(wǎng)絡(luò)上設(shè)置防火墻或在任一方網(wǎng)絡(luò)的標準化接口的讀寫方式上設(shè)置讀寫命令,或完全自主設(shè)計網(wǎng)絡(luò)接口完成網(wǎng)絡(luò)數(shù)據(jù)單向傳輸?shù)膯栴})等方式來實現(xiàn)。按照業(yè)務(wù)職能和安全需求的不同,網(wǎng)絡(luò)可劃分為以下幾個區(qū)域:滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域;滿足在線業(yè)務(wù)需要DMZ區(qū)域;滿足ICS管理與監(jiān)控需要的管理區(qū)域;滿足自動化作業(yè)需要的控制區(qū)域。通過設(shè)置各個網(wǎng)絡(luò)段的隔離(如:工業(yè)防火墻)和進行按重要防護級別進行區(qū)域劃分來達到信息安全“縱深防御”的基本要求。
1.2核安全分級
核設(shè)施的不同安全級別,決定了需要防護的等級的差異。因此,在進行核設(shè)施風險評估時,要對核設(shè)施的安全等級有全面的了解。根據(jù)核設(shè)施的重要程度確定風險評估的級別。據(jù)分析,核電站的典型事故主要包括以下方面:蒸汽發(fā)生器傳熱管破裂、給水管道破裂、蒸汽管道破裂、反應(yīng)堆冷卻劑泵停運、穩(wěn)壓器波紋管破裂等。根據(jù)事故產(chǎn)生后果的嚴重性,將核電廠內(nèi)部設(shè)施的安全性分為四級:核安全1級~核安全4級。核安全1級設(shè)備指發(fā)生事故后產(chǎn)生后果最嚴重、對安全性要求最高的設(shè)備:核安全4級設(shè)備為一般性設(shè)備,發(fā)生故障后不會引起核事故的發(fā)生,因此也稱非核級。反應(yīng)堆壓力容器、反應(yīng)堆冷卻劑泵、主冷卻管道、穩(wěn)壓器等屬于核安全l級,余熱排除系統(tǒng)、蒸汽發(fā)生器二次側(cè)等屬于核安全2級。核安全1級、2級部件對核電站整體的安全性至關(guān)重要,是監(jiān)測和維護的重點。
1.3電力SCADA系統(tǒng)
為了維持和控制龐大的廣域系統(tǒng),網(wǎng)絡(luò)系統(tǒng)中起著重要的作用。電力行業(yè)的基本工具是能源管理系統(tǒng)(EMS)和SCADA系統(tǒng)。遠程終端單元(RTU)是安裝在本地發(fā)電廠或變電站,收集電力系統(tǒng)運行信息,并將它們發(fā)送到控制中心的微波和/或光纖的通訊網(wǎng)絡(luò),執(zhí)行從控制中心發(fā)出的控制指令。這意味著,操作人員可以在控制中心監(jiān)控并控制整個電力系統(tǒng)。EMS分析所收集的信息SCADA,并幫助更準確地掌握電力系統(tǒng)的操作狀態(tài)。再加上自動發(fā)電控制(AGC),當?shù)氐碾娫措妷海瑹o功功率控制(VQC),SCADA系統(tǒng)構(gòu)成的控制系統(tǒng)的電源系統(tǒng)。
2評估方法
2.1風險評估定義
進行風險評估是按照相關(guān)法規(guī)要求,在核電站建造的不同階段,提交初步安全分析報告和最終安全分析報告,并在通過核安全審評后才能進行下階段工作。數(shù)字化核電站的儀控設(shè)計必須考慮如何滿足相關(guān)法規(guī)和標準要求。從安全審評的角度看待這些設(shè)計可以大大減少設(shè)計變更的可能性及由于設(shè)計上的安全問題而導致的工程延期。總體設(shè)計思想是在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性[3]。資產(chǎn)的屬性是資產(chǎn)價值;威脅的屬性是威脅出現(xiàn)的頻率;脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析主要內(nèi)容為:對資產(chǎn)進行識別,并對資產(chǎn)的重要性進行賦值;對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;對資產(chǎn)的脆弱性進行識別,并對具體資產(chǎn)的脆弱性的嚴重程度賦值;根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件發(fā)生的可能性;根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失;根據(jù)安全事件發(fā)生的可能性以及安全事件的損失,計算安全事件一旦發(fā)生對組織的影響,即風險值。考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險,以下面的范式形式化加以說明:風險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))。其中,R表示安全風險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。在描述框架對風險的優(yōu)先次序和校準之前,重要的是要明白風險分析的基本概念(例如風險方程)。對發(fā)生的事件的可能性考慮到威脅可能實現(xiàn)的可能性,例如,對于網(wǎng)絡(luò)病毒,則需要在網(wǎng)絡(luò)上進行防病毒控制。如果采用類似的概率表達可能,則有:事件發(fā)生的可能性=威脅產(chǎn)生的可能性×脆弱性出現(xiàn)的可能性,風險有可能性和后果兩個方面,其中后果由特定的威脅或漏洞,具體對組織的資產(chǎn)負面影響[4-6]。風險R(后果/單位時間)=事件概率P(事件/單位時間)×造成的后果C(后果/事件),見圖1。
2.2評估過程
風險評估準備:確定評估范圍、組織評估小組、評估目標、評估工具和評估方法。風險因素識別:資產(chǎn)識別、威脅識別、脆弱點識別。風險評估方法:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。評估過程中涉及的可能性規(guī)模見表1。定性的風險評估的輸出是一個資產(chǎn)或場景的列表,有一個整體的風險級別排列。表2的矩陣范例描述了總體風險級別是如何得出的。例如:賦給每個威脅可能性級上的概率為1.0時表示高,0.5表示中,0.1表示低;賦給每個影響級上的值為100時表示高,50表示中,10表示低。在定義評估范圍時,要對控制系統(tǒng)邊界和機構(gòu)責任進行分析,可以通過一組進程、通信、存儲、資源等來確定。在控制系統(tǒng)的邊界范圍內(nèi)的每個要素必須滿足:處于相同的直接管理控制下;具有相同的功能或使命目標;有相同的直接管理控制;有相同的功能或使命;有本質(zhì)上相同的運行特性和安全需求;位于相同的通用運行環(huán)境中。見圖2。
2.3安全級別生命周期
相關(guān)圖示見圖3。3概率安全評價方法的結(jié)合PSA對分析系統(tǒng)的風險采用系統(tǒng)的、定量的描述,并對系統(tǒng)的風險避免提出改進的方法。這種評估方法的價值取決于分析者對所分析系統(tǒng)的了解、掌握的數(shù)據(jù)是否全面及可靠的程度。與PSA方法相對的另一種方法是確定論的方法,通過考慮出現(xiàn)典型事故時(基準事件),應(yīng)采取預防或緩解措施。隨著PSA方法的發(fā)展和計算機在PSA方法中的應(yīng)用,確定論方法越來越顯示出局限性,主要表現(xiàn)在:嚴重的初始事件并不一定導致嚴重的后果;相反看起來并不嚴重的初始事件卻可以導致嚴重的后果;只考慮安全系統(tǒng)的單一故障,不考慮系統(tǒng)的完全失效;沒有定量的描述。目前,美國在PSA的應(yīng)用領(lǐng)域處于領(lǐng)先地位。美國核管會新的核電廠監(jiān)督檢查大綱的一個重要建立基礎(chǔ)就是PSA的應(yīng)用。同時,PSA也廣泛應(yīng)用于NRC的法規(guī)制定、修改及對電廠所提與許可證條件相關(guān)的變更申請的審批。美國近幾年來有多座核電廠提升了功率,正是PSA應(yīng)用所取得的一個重要成果。雖然PSA在核電領(lǐng)域已經(jīng)廣泛應(yīng)用,但在核電信息安全領(lǐng)域,PSA方法還沒有得到應(yīng)用。目前,信息安全領(lǐng)域相關(guān)的標準如ISA99和IEC62443等提出了信息安全評估方法。當設(shè)計一個新的系統(tǒng)或檢查一個現(xiàn)有系統(tǒng)的安全性,通過將系統(tǒng)劃分成區(qū)域,定義區(qū)域的連接管道,確定其保護等級。如何實現(xiàn)這一步在IEC62443-3-2中有詳細描述。一旦一個系統(tǒng)的區(qū)域模型建立,每個區(qū)域和管道分派給一個目標SAL,基于事件的后果分析,描述所希望實現(xiàn)的安全性保障。我們的研究目標之一是將PSA的成熟分析技術(shù)應(yīng)用于核電領(lǐng)域的信息安全。這將進一步加強系統(tǒng)的風險評估的精度[7]。
篇(9)
1 風險管理概念解析
風險管理是組織管理活動的一部分,其管理的主要對象就是風險。在GB/T 23694—2013 / ISO Guide 73:2009《風險管理 術(shù)語》中曾經(jīng)指出,風險管理由一系列的活動組成,這些活動包括了標識、評價、處理和可能影響組織正常運行事件的整個過程,其準確的定義為:風險管理(risk management)是指在風險方面,指導和控制組織的協(xié)調(diào)活動。
與風險管理定義密切相關(guān)的,還有“風險管理框架”和“風險管理過程”兩個詞匯。
風險管理框架(risk management framework)是指為設(shè)計、執(zhí)行、監(jiān)督、評審和持續(xù)改進整個組織的風險管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中給了三個有用的注解,分別為:風險管理框架是要素集合,這個框架并不是單獨存在的,這就體現(xiàn)了風險的特點之一,就是一系列的“點”,這些點是要被嵌入(be embedded)。特別值得指出的是,校準(align))、整合(integrate)和嵌入(embed)是信息管理安全領(lǐng)域,也是整個管理學領(lǐng)域的常見詞匯。其中,在戰(zhàn)略層面一般強調(diào)校準,即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略,都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細的策略或流程層次,則強調(diào)整合或嵌入。例如,已經(jīng)有人力資源的管理規(guī)程,需要嵌入安全管理的部分,或者已經(jīng)有事件管理規(guī)程,將其與信息安全事件管理進行整合。總之,校準、整合和嵌入是值得深入研究的三種方法。
風險管理過程強調(diào)的是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。
風險管理過程才體現(xiàn)了信息安全應(yīng)該如何做(how)的問題。
嚴格講,風險管理不僅僅是過程,是一系列的活動。因此,在下文的圖3中,我們特別指出: 風險管理的階段劃分僅作示意。
2 風險評估及其過程
在GB/T 23694—2013 / ISO Guide 73:2009中,風險評估并不是作為一個單獨的過程定義的。其中定義為:風險評估(risk assessment)包括風險識別、風險分析和風險評價的全過程。
風險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中雖然也是類似的定義,但是當時并沒有單獨把“風險識別”作為一個單獨的階段。或者說,在當時的定義中,“風險識別”是作為“風險分析”的一個階段而出現(xiàn)的,詳細定義為:風險評估包括風險分析和風險評價在內(nèi)的全過程。
為了更好地理解其中的變化,我們在表1中給出了風險評估包括的階段的術(shù)語定義。
無論如何劃分,風險評估都要完成下面這些活動:
在上述三個步驟中,步驟一與步驟二較為通用,或者說,截至到風險分析階段,我們需要確定風險的等級,這都可以按照通用的標準或方法提前定義好。步驟三則不同,這個步驟需要結(jié)合組織自己定義的風險準則。
3 區(qū)分風險評估與風險管理
我們可以簡單地認為,風險評估是風險管理的一個階段,只是在更大的風險管理流程中的一個評估風險的階段。如果把風險管理理解成一個“對癥下藥”的過程,那么風險評估就是其中的“對癥”過程,只是找到問題所在,并沒有義務(wù)解決。而風險管理是在整個組織內(nèi)把風險降低到可接受水平的整個過程。主要階段包括風險評估和風險應(yīng)對(risk treatment) )。
風險管理是一個持續(xù)循環(huán),不斷上升的過程,它被定義為一個持續(xù)的周期,每隔一個階段就開始新的循環(huán),這些循環(huán)要貫穿組織的始終,是組織管理的一部分。風險評估則更像“搞運動”,其一般按照一定的時間間隔進行,但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機構(gòu)變化等,都可能啟動新的風險評估過程。
風險管理的循環(huán)過程不是在原地踏步的,它的每一次新循環(huán)都應(yīng)該上一個新的臺階,呈螺旋上升的形狀。如圖3所示。
這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風險評估,在每一次風險評估中都會發(fā)現(xiàn)潛在的問題,并在接下來的風險應(yīng)對過程中加以解決,從而使組織管理風險的能力得到提升。
4 風險應(yīng)對概念解析
無論風險評估步驟進行得多么完美,都只是找到了問題,而解決問題應(yīng)該是組織的最終目的。風險應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進措施的過程。
風險應(yīng)對(risk treatment)是指處理8)風險的過程。在GB/T 23694—2013 / ISO Guide 73:2009中,對這個定義也有詳細的注解,包括:
篇(10)
風險管理方法已廣泛應(yīng)用于新加坡建筑現(xiàn)場安全管理,成為項目管理的重要組成部分。通過新加坡所采取的各種措施來看,采用風險管理對現(xiàn)場安全事故的發(fā)生起到了有效預防作用。因此對我國而言,有必要也將風險管理運用到施工現(xiàn)場。
1、安全管理的原則
1.1從管理事故轉(zhuǎn)變到要在事故發(fā)生前識別出危險并將其消滅在萌芽狀態(tài),即從源頭上控制事故的發(fā)生。
1.2主動規(guī)劃,積極采取預防措施來營造安全的工作環(huán)境,改變以遵守法律為準繩的被動管理。
1.3對于糟糕的現(xiàn)場安全管理采取高額罰款來阻止事故的發(fā)生,讓管理者意識到糟糕的現(xiàn)場安全管理所付出的代價比事故發(fā)生后所付出的代價還要高。
1.4將安全管理的概念融入到建筑產(chǎn)業(yè)鏈的各個環(huán)節(jié)中去,強調(diào)從發(fā)展商、設(shè)計者、主承包商、分承包商、現(xiàn)場安全管理人員、技術(shù)人員到生產(chǎn)人員各個環(huán)節(jié)貫徹安全管理的概念。
2、安全管理中引入風險管理的程序
現(xiàn)場安全管理引入了全套風險管理的方法,主要內(nèi)容包括: (1)現(xiàn)場工作活動的風險評估; (2)控制及監(jiān)控風險; (3)把風險傳達到現(xiàn)場所有人員。其中風險評估是風險管理中最為重要的環(huán)節(jié),也是現(xiàn)場安全管理的核心內(nèi)容。風險評估的基本程序如圖1所示。
圖1風險評估程序
風險評估的方法多種多樣,但都包括了3個基本步驟,即危險識別、風險評價和風險控制。風險評估的最終結(jié)果就是要找到有效的風險控制措施。所有控制措施均以“層級控制方法”為原則。
2.1準備工作
準備工作主要包括:研究現(xiàn)場平面布置圖、作業(yè)流程;列出現(xiàn)場所有工作活動;列出現(xiàn)場所用到的化學藥品;列出使用的機械設(shè)備和工具;學習相關(guān)法律法規(guī);查找以往事故記錄;學習相關(guān)技術(shù)規(guī)范;查找檢查記錄;學習現(xiàn)場風險控制的方法;準備安全及健康審計報告;研究從員工、客戶、供應(yīng)商及其他人員方面得到的安全反饋信息;建立安全工作程序;準備其它信息(如產(chǎn)品手冊);準備以往相關(guān)安全評估報告。
2.2危險識別
危險識別是風險評估中最為重要的環(huán)節(jié),因為只有首先識別出了危險,才能談到如何控制危險。危險識別要考慮到以下4個方面的內(nèi)容:
2.2.1現(xiàn)場危險,按性質(zhì)不同可分為:化學品危險(如酸、堿和溶劑),生物危險(如細菌、真菌和病毒),電器危險(破損的電線),人體機能損傷(重復工作、單一工作姿勢,長期站立等),機械危險(使用已損壞的設(shè)備、叉車、吊車、動力擠壓設(shè)備等),物理危險(噪音、熱及輻射等),人為造成的危險(超時工作、監(jiān)督不善)。
2.2.2現(xiàn)場危險的識別,從下列方面進行考慮:工作方法,使用的機電設(shè)備、工具,人工加工材料,化學品的使用(在現(xiàn)場應(yīng)有化學品安全技術(shù)說明書MSDS),使用的機械設(shè)備,臨時結(jié)構(gòu),工作環(huán)境條件,設(shè)備的布置和擺放。
2.2.3釀成的事故或?qū)】档膿p害,主要有:高空跌落,高空墜物,水平滑倒,電擊,窒息,溺水,噪音致耳聾,皮膚病,結(jié)構(gòu)倒塌,火患和爆炸,物體撞擊,軟組織受傷等。
2.2.4危險可能對4類人造成傷害:現(xiàn)場直接生產(chǎn)工人員,現(xiàn)場非生產(chǎn)人員,到訪人員和公眾。
2. 3風險評價
風險評價主要是對風險等級和接受程度進行評價,這是控制現(xiàn)場危險,保證工作安全和健康的基礎(chǔ),風險評價包括4個方面的內(nèi)容:
2.3.1現(xiàn)有風險控制措施的評價,如現(xiàn)場人員配帶基本安全裝備(安全帽、安全鞋、安全背帶、防護服等),要對這些基本安全裝備的有效性、可造成的后果及可釀成的事故進行評價。
2.3.2評價潛在危險的嚴重程度,按危險造成傷害的程度劃分為3個等級。具體可分為輕度(低)、中度(中)、高度(高)。
2.3.3判斷危險發(fā)生的機率
危險發(fā)生的機率分為3種,包括:罕見(發(fā)生的機率極少);偶爾(可能或有時會發(fā)生);經(jīng)常(時常發(fā)生)。判斷危險發(fā)生的機率應(yīng)考慮到以往事故記錄、現(xiàn)場經(jīng)驗判斷及公開的信息3個方面因素。
2.3.險等級
一旦確定風險嚴重程度和發(fā)生機率后,我們可以判定其風險等級,根據(jù)不同的風險等級,采用不同的方法予以消除。
2.險控制
確定現(xiàn)場活動風險等級后,就可以采取相應(yīng)的風險控制措施將危險降低到可以接受的程度,這主要通過減少風險的嚴重程度和發(fā)生機率來實現(xiàn),如表1所示。
表1風險種類及控制措施
風險等級 接受程度 推薦措施
低等風險 接受 不必采取額外的控制措施,但需要經(jīng)常檢查確認定義的風險等級是否確切,保證風險等級不會隨著時間的推移而升高
中等風險 可以接受 要對危險進行詳細的評估,確保風險等級被降到在規(guī)定的時間內(nèi)最低
高等風險 不接受 工作開始前,至少要將高等風險降至中等風險;特點是:沒有臨時風險控制措施,也不能僅依靠個人保護配備來控制危險;如有需要,應(yīng)在工作開始前,將其消除;工作開始后,要立即采取管理措施來阻止危險發(fā)生
風險控制的最基本原則就是從危險產(chǎn)生的源頭上消除或降低危險。危險的控制或降低應(yīng)按照“層級控制方法”來實施,可歸納為5種方法:消除、替代、工程措施、管理措施和個人保護配備。以上各種方法一般不可交互使用,除非是工程措施和管理措施可在一起使用。具體的“層級控制方法”介紹如下:
2.4.1消除
消除是指將可能發(fā)生的危險或事故徹底根除,從而將已識別出的可能發(fā)生的事故變?yōu)椴豢赡馨l(fā)生,這是一種永久的解決措施,也是應(yīng)首先考慮使用的控制措施。一旦危險被根除,其它的風險管理措施也就不需要了,例如:現(xiàn)場監(jiān)控、監(jiān)督、培訓、安全審計、過往記錄參考等。
2.4.2替代
替代是指用風險等級較低的控制措施來替代較高等級的風險,如:用非石棉材料取代石棉材料,用溶劑性油漆替代水基油漆。
2.4.3工程措施
工程措施是采取物理的方法來限制危險的發(fā)生,包括改變工作環(huán)境及工作程序、隔離危險等。
2.4.4管理措施
管理措施主要是指通過建立工作程序、說明、規(guī)章制度等來減少或消除可能發(fā)生的危險,強調(diào)在施工的各工序、工作步驟間做好文件記錄,適時判斷分析,以采取適當安全措施。例如:在工地建立工作準入系統(tǒng),進行職業(yè)健康及安全(OSH)培訓,張貼海報、警告標識,工作培訓等。
2.4.5個人保護配備
