導(dǎo)語：如何才能寫好一篇風(fēng)險評估采用的方法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：風(fēng)險評估　評估方法　檔案館風(fēng)險

風(fēng)險評估是指在風(fēng)險事件發(fā)生之前或之后(尚未結(jié)束)，對該事件給人們生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作，即量化測評某一事件或事物帶來的影響或損失的可能程度。所謂檔案館安全風(fēng)險評估(RiskAssessment)，就是對檔案實體和檔案信息資源所面臨的威脅及其可能造成影響的可能性的評估。

檔案館風(fēng)險評估方法研究就是對整個風(fēng)險評估過程中使用和涉及到的形式和途徑進行探索，為檔案館風(fēng)險評估提供一種具體的、可行的、普適的理論支持和應(yīng)用基礎(chǔ)。評估方法為風(fēng)險評估工作提供了量化的、具體的衡量指標和尺度，使風(fēng)險評估工作有規(guī)律可循、有方法可依，為評估工作的開展奠定重要的基礎(chǔ)。

一、風(fēng)險評估方法介紹

風(fēng)險評估方法有很多種，在其他領(lǐng)域適用的，在檔案館不一定適用，究竟選擇哪種方法，一定要根據(jù)工作性質(zhì)、工作流程、工作對象等做出選擇。普遍使用的可以分為三個大類，即定性評估法、定量評估法和定性定量結(jié)合評估法。

第一，定性評估法是指采用文字或描述性的級別說明風(fēng)險的影響程度和這些風(fēng)險出現(xiàn)的可能性。較為典型的有經(jīng)驗評估法。

經(jīng)驗評估法，又稱專家調(diào)查法，是以專家作為信息獲取的對象，依靠專家的知識和實踐經(jīng)驗，由專家對風(fēng)險程度作出判斷和預(yù)測的一種方法。通過專家的分析，可以識別某一事件或者對象可能遇到的絕大部分風(fēng)險類型，列出風(fēng)險表格，并按等級程度進行排列。例如，首先，采用查找文獻、調(diào)查檔案修復(fù)專業(yè)人員等方法列舉出檔案修復(fù)過程中通常可能出現(xiàn)的風(fēng)險；然后，列出評價標準，根據(jù)檔案修復(fù)的經(jīng)驗對風(fēng)險因子進行分析和評價，列出表格并使用等級進行標識；最后，將各種風(fēng)險因子相結(jié)合，推斷出檔案修復(fù)過程中各類風(fēng)險的等級。

第二，定量評估法是指利用數(shù)量特征、數(shù)量關(guān)系和數(shù)量變化進行分析的方法，通過對歷史記錄、實驗數(shù)據(jù)、相關(guān)文獻資料、研究等數(shù)據(jù)的分析，來判斷風(fēng)險影響程度大小和可能性的一種方式。具有典型代表性的是概率統(tǒng)計法。

概率統(tǒng)計法又稱數(shù)理統(tǒng)計法，是指研究自然界中隨機現(xiàn)象出現(xiàn)規(guī)律的一種數(shù)學(xué)方法。風(fēng)險的發(fā)生雖然具有隨機性，但也有著特定的規(guī)律，即在一定的發(fā)生頻次范圍內(nèi)，其出現(xiàn)概率是一個客觀存在的定值。概率統(tǒng)計法理論基礎(chǔ)完善，分析過程簡單，無需進行大量復(fù)雜的運算，但是歷史數(shù)據(jù)的積累收集及估算則相對較為困難。

第三，定性定量結(jié)合評估法是指將定性評估法和定量評估法結(jié)合起來，綜合考慮二者的優(yōu)缺點，將二者優(yōu)點結(jié)合而得到的一種方法，首先對風(fēng)險因子進行總體性質(zhì)的確定，然后進行定量分析，在量化基礎(chǔ)上再進行風(fēng)險評估。常用的代表方法是風(fēng)險矩陣法。

風(fēng)險矩陣法，就是在矩陣的基礎(chǔ)上，將各個因子按類別分別放在行和列上，然后用數(shù)量來描述和計算風(fēng)險因子的關(guān)系、大小，確定因子相對等級的一種方法。風(fēng)險矩陣法具有簡單快捷的優(yōu)勢，但計算概率時需要歷史數(shù)據(jù)，此外由于劃分的依據(jù)是主觀的，依賴于人對評價風(fēng)險的良好判斷力，不能夠為風(fēng)險評估提供較高的精度。

二、風(fēng)險評估方法在檔案部門的具體應(yīng)用

不同風(fēng)險評估方法的特點各異，應(yīng)用的形式和角度也有所不同。如何針對不同的風(fēng)險源，采用不同的評估方法，需要具體分析檔案部門不同風(fēng)險類型的情況而定。

1.經(jīng)驗評估法

經(jīng)驗評估法適用于缺乏歷史數(shù)據(jù)和具體資料，或者因素?zé)o法采用客觀標準進行衡量的風(fēng)險類型。例如，在檔案修裱過程中，檔案面臨的風(fēng)險類型多樣，如字跡洇化、紙張起皺等。上述風(fēng)險并不適宜采用精確的數(shù)字或概率來衡量，只可以通過經(jīng)驗評估法來評價此類風(fēng)險的等級。

首先，列舉出檔案修裱過程中可能出現(xiàn)的風(fēng)險類型，并確定風(fēng)險評估因子，如：字跡洇化、紙張起皺、紙張破損、誤揭補、誤裁剪。

其次，對“風(fēng)險可能性”與“風(fēng)險危害性”兩個評估因子進行定性，及描述性評估，如表1所示：

再次，將風(fēng)險評估的描述性語言進行處理，根據(jù)修裱過程中不同風(fēng)險的屬性進行綜合打分，如表2所示：

最后，綜合兩個風(fēng)險因子進行分析，給出各風(fēng)險類型的綜合風(fēng)險大小，1級表示風(fēng)險很小，5級則表示風(fēng)險巨大，如表3所示：

為最大程度避免專家評估法主觀性強、量化程度低的缺陷，可采用多專家打分求均值的方法。即每一位專家對不同風(fēng)險因素的排序進行編號，再將編號相加，求取平均值，并按照均值大小進行排序，得到的結(jié)果便是檔案修復(fù)過程中各風(fēng)險的等級程度。此方法有效地增加了評估結(jié)果的客觀程度，對檔案修復(fù)風(fēng)險有更加全面的認識和評價。

2.概率統(tǒng)計法

概率統(tǒng)計法適用于具有衡量標準、歷史數(shù)據(jù)或者可以進行量化的風(fēng)險類型，并且這些風(fēng)險的有關(guān)因素可以進行賦值運算。例如：庫房日常管理中的溫度、濕度控制等。上述風(fēng)險發(fā)生頻率或概率是可以量化統(tǒng)計的數(shù)值，則該風(fēng)險等級的評估可以使用數(shù)據(jù)進行分析。

首先，以年為單位，利用歷史數(shù)據(jù)確定溫度區(qū)間出現(xiàn)的概率大小，如表4所示。然后，估算不同溫度區(qū)間對檔案的危害性，如表5所示。

根據(jù)不同溫度區(qū)間對檔案的影響程度，對溫度區(qū)間對檔案的危害性賦值。按照等間距原則，在0－1范圍內(nèi)對風(fēng)險的強度進行賦值，如表6所示。

最后，綜合“溫度區(qū)間出現(xiàn)的概率”與“溫度區(qū)間對檔案的危害性”兩個風(fēng)險因子，依據(jù)公式R(風(fēng)險等級)＝P(風(fēng)險可能性)×D(風(fēng)險危害性)，計算出風(fēng)險值最大的溫變區(qū)間，如表7所示：

比較風(fēng)險等級的數(shù)值大小，將三個數(shù)值按大小順序排列(3－2－1)，3級風(fēng)險最高，1級風(fēng)險最低。每日庫房溫度檢測時，當溫度取值所屬的區(qū)間就是當日溫度的風(fēng)險等級，針對不同等級的風(fēng)險程度采取溫度調(diào)控的措施。

3.風(fēng)險矩陣法

風(fēng)險矩陣法是定性評估法與定量評估法相結(jié)合的產(chǎn)物，具有二者的優(yōu)點，既可以用描述性語言定性，又可以采用數(shù)值定量的風(fēng)險類型。例如：檔案館庫房管理中的若干風(fēng)險，這些風(fēng)險可以先使用語言進行描述，然后再利用賦值法進行計算，最后得出風(fēng)險等級情況。

以檔案庫房管理的若干種風(fēng)險為例，列舉出的風(fēng)險類型有：風(fēng)險1是庫房管理制度不健全：風(fēng)險2是消防滅火設(shè)施不齊全；風(fēng)險3是溫濕度、光照等外界因素控制不當；風(fēng)險4是檔案滅菌殺蟲等處理不當。

首先，使用定性評估法對上述風(fēng)險進行評估，如表8所不：

然后，根據(jù)定性評估的描述，對各風(fēng)險類型進行賦值，按照等間距原則，在0－1范圍內(nèi)對風(fēng)險因素進行賦值，如表9所示：

最后，利用矩陣對風(fēng)險因素進行分析，從而判斷風(fēng)險等級，如圖1所示：

根據(jù)風(fēng)險矩陣圖，可以查找出各風(fēng)險類型對應(yīng)的風(fēng)險等級值，即庫房管理制度不健全為等級4，消防滅火設(shè)施不齊全為等級3，溫濕度、光照等外界因素控制不當為等級3，檔案滅菌殺蟲等處理不當為等級4。

三、風(fēng)險評估方法

的優(yōu)缺點比較

綜合前述的介紹可知，經(jīng)驗評估法、概率統(tǒng)計法及風(fēng)險矩陣法是檔案館風(fēng)險評估的三種重要方法。通過上述表格來看，以經(jīng)驗評估法為代表的定性法不能夠精確計算風(fēng)險值的大小，只能夠通過主觀經(jīng)驗來推測和判斷風(fēng)險發(fā)生概率及危害性程度；以概率統(tǒng)計法為代表的定量法可以通過絕對的數(shù)值衡量風(fēng)險發(fā)生的概率，但對于風(fēng)險危害程度的大小則需要通過賦值法來轉(zhuǎn)化：以風(fēng)險矩陣法為代表的定性定量結(jié)合法集中了前二者的優(yōu)點，評估過程與結(jié)果清晰明了，但存在著誤差失真的情況。三類方法相互結(jié)合、互為補充。為檔案館各類風(fēng)險的評估提供可靠的依據(jù)和參考，見表10。

篇2

1.1定性、定量風(fēng)險評估方法研究

定性評估方法可分為層次分析法、模糊綜合評價法、故障樹法、事故樹法、包絡(luò)分析法、可靠性工程理論、灰色關(guān)聯(lián)理論和肯特指數(shù)法等。目前，我國研究人員結(jié)合英國Muhlbauer的評價方法，建立了多種定性風(fēng)險評估指標體系[5]，同濟大學(xué)張琳、北京化工大學(xué)馬令申、西南石油學(xué)院汪濤等根據(jù)各自研究方向建立了相應(yīng)風(fēng)險評估體系。上海大眾燃氣公司的汪定怡、呂學(xué)珍也建立了城市燃氣輸配管道風(fēng)險評價指數(shù)體系；南京工業(yè)大學(xué)趙建平、繆春生等人研究了在役液化氣壓力管道質(zhì)量模糊綜合評價。定量評估方面，國內(nèi)外研究相對較少，目前的研究多是針對某一種燃氣事故災(zāi)害的提出相應(yīng)的分析模型，還沒有廣泛認可的燃氣管網(wǎng)風(fēng)險評估整體思路，且對于事故后果的分析模型和計算方法較多，沒有普遍認可的分析模型。近十年來，國內(nèi)外高校、企業(yè)研究和工程技術(shù)人員在城鎮(zhèn)燃氣管網(wǎng)風(fēng)險評估方面行了一些新的嘗試，取得了一定可供借鑒的研究成果。張甫仁等[6]，提出了基于首末端監(jiān)控的雙向同步仿真與實地監(jiān)測相結(jié)合的時差最小化的三色泄漏定位方法和基于GIS的城市燃氣管網(wǎng)區(qū)域風(fēng)險評價方法，為獲得高精度泄漏危險性和對已發(fā)事故的分析和再現(xiàn)提供了參考。鄭飛[7]采用數(shù)據(jù)挖掘技術(shù)，解決了國外成熟管道風(fēng)險評估模型運用于上海燃氣管道風(fēng)險評估過程中參數(shù)設(shè)置的合理性問題，使評估結(jié)果更符合本地實際情況。姜棟方[8]等在模糊數(shù)學(xué)理論的基礎(chǔ)上，結(jié)合層次分析法與模糊綜合評價法，建立了城市燃氣管道風(fēng)險評價模型，從而避免了由于依靠專家打分確定權(quán)重帶來的主觀因素的影響，使評價結(jié)果更準確可靠。該方法目前還需要在實際運用中不斷的去修改算法，使評價結(jié)果更接近實際。杜學(xué)平[9]等探討了燃氣管道泄漏事故分類方法與回歸分析方法的結(jié)合，得出了便于調(diào)用的簡單函數(shù)，為定量風(fēng)險評估中事故率的確定提供了一種操作性較強的計算方法。林武春[10]等借助必要的檢測技術(shù)對可能導(dǎo)致埋地管道失效的部位進行檢測，再結(jié)合導(dǎo)致埋地管道失效的各種因素，最后根據(jù)模糊數(shù)學(xué)風(fēng)險評價方法，對埋地管道進行風(fēng)險評估。王文和[11]等以某市在役燃氣管道為例，使用模糊數(shù)學(xué)語言表達了埋地燃氣管道的失效可能性和失效后果，采用模糊綜合評價模型對燃氣管道的失效可能性和失效后果進行了評價，并以美國石油協(xié)會(API)風(fēng)險矩陣表征了埋地燃氣管道的風(fēng)險等級，得到不同管道單元的風(fēng)險級別和管道單元數(shù)，根據(jù)不同的風(fēng)險等級采取不同的策略或措施，完善管道的完整性管理，降低管道的使用風(fēng)險，確保城市燃氣管網(wǎng)的正常安全運行。彭偉[12]等根據(jù)煤氣站的實際情況，選擇合理的評價指標，建立各因素之間的層次模型，然后通過AHP-模糊綜合評判方法，對煤氣站安全現(xiàn)狀進行評價。余碩成[13]分析總結(jié)了穆氏法與模糊綜合評價法在城市燃氣管道風(fēng)險評估上的適用范圍，采用模糊綜合評分法對上海市區(qū)范圍內(nèi)使用年代較長的鑄鐵燃氣管道進行了風(fēng)險評估。袁金彪[14]等根據(jù)城市燃氣管道風(fēng)險因素的多樣性和可變性特點，根據(jù)可變因素的變動值，動態(tài)搜集風(fēng)險評估所需要的數(shù)據(jù)，實現(xiàn)管道系統(tǒng)持續(xù)循環(huán)的風(fēng)險評估。劉茂等[15]在進行城市燃氣管道風(fēng)險評估中，引入了管線的致死長度，并定義其為在此管線長度內(nèi)的失效能對特定地點的人產(chǎn)生致死效應(yīng)。在此基礎(chǔ)上，進行了個人風(fēng)險的定量計算，即管線失效率與致死長度的乘積，并基于個人風(fēng)險的可接受水平確定了管線的危險距離。黃鄭華[16]對西安市1997年以來發(fā)生的燃氣泄露事故進行了統(tǒng)計分析，確定了燃氣泄露火災(zāi)事故特點，根據(jù)火災(zāi)事故特點，選擇計算模型，計算了噴射火的危害程度和范圍。HamidRezaJafari[17]通過GIS與信息疊加方式，建立了定量風(fēng)險評估模型，對伊朗北部一城市燃氣管道所有有效的風(fēng)險因素進行了識別和預(yù)測，并將管道按500米長度劃分為若干段，分別計算每個段的風(fēng)險水平。M.JabbariGharabagh[18]利用概率標引模型，開發(fā)了一種新的計算模型，該模型了以前大多數(shù)模型的不足，并用于燃氣管道全面的風(fēng)險評估和管理。M.H.Alencar[19]采用多目標決策模型，建立了多維風(fēng)險評估方法，通過該方法進行燃氣管道風(fēng)險評估，能為管理部門開展燃氣管道風(fēng)險評估提供寶貴且可信的信息。

1.2與其它技術(shù)聯(lián)用的綜合評估技術(shù)研究

近年來，隨著GIS、計算機數(shù)據(jù)庫技術(shù)以及HSE管理體系的逐漸發(fā)展成熟，城市燃氣管道風(fēng)險評估的方法逐漸多樣化，形成了多種技術(shù)聯(lián)用的綜合風(fēng)險評估技術(shù)，并在實踐中得到了推廣應(yīng)用。湯仁鋒[20]等通過現(xiàn)代計算機技術(shù)，利用ArcSDE和SQLServer的空間數(shù)據(jù)庫管理技術(shù)，Adobe的Flex地圖表達RIA技術(shù)，BEST方式的SOA服務(wù)技術(shù)，ArclMS的地圖數(shù)據(jù)與服務(wù)等技術(shù)，設(shè)計開發(fā)了城市燃氣系統(tǒng)風(fēng)險評估應(yīng)用系統(tǒng)，為燃氣風(fēng)險管理和應(yīng)急管理提供技術(shù)工具。該系統(tǒng)實現(xiàn)了城市生命線的數(shù)據(jù)的空間化存儲、管理、表達及風(fēng)險分析模擬，具有很好的用戶體驗，實用性強，共享性高，可擴充性強等優(yōu)點。蔣漳河[21]針對城市燃氣管道安全評估與管理現(xiàn)存的不足，提出應(yīng)用預(yù)防為主、持續(xù)改進、全員參與的HSE管理理念與風(fēng)險評估、預(yù)警、控制的技術(shù)建立城市燃氣管道HSE風(fēng)險評估與管理的技術(shù)體系。綜合事故發(fā)生可能性與事故后果影響等級建立HSE風(fēng)險矩陣作為風(fēng)險評價標準和預(yù)警依據(jù)。通過構(gòu)建該技術(shù)體系實現(xiàn)對城市燃氣管道的持續(xù)動態(tài)安全評估與管理，為企業(yè)提供參考。谷洪雁[22]將GIS和DEA方法引入對城市燃氣管道失效后果損失的評估與預(yù)測，通過數(shù)字化某市地圖及其燃氣管道圖將其疊加，并輸入管道的性質(zhì)，利用數(shù)據(jù)包絡(luò)分析(DEA)模型對管道進行損失評估。從而，為風(fēng)險較大的管段提供降低風(fēng)險的信息和借鑒的樣本。張魯冰等[23]在參考國內(nèi)外先進燃氣風(fēng)險評估研究成果基礎(chǔ)上，結(jié)合上海燃氣管道實際情況，建立了適合本地情況的風(fēng)險評估模型，并結(jié)合GIS技術(shù)，使燃氣管道風(fēng)險評估系統(tǒng)更具有可操作性。鄭海旭[24]將GIS用于埋地燃氣管道風(fēng)險分析中，采用GIS軟件做出管道風(fēng)險評估圖。尤秋菊[25]對北京市近年來的燃氣狀況進行了分析，運用系統(tǒng)安全分析的“人一機一環(huán)一管”理論，找出了影響燃氣突發(fā)事件風(fēng)險發(fā)生的可能性因素和后果嚴重性因素，從而建立了風(fēng)險可能性和后果嚴重性的指標體系。

2建議

對燃氣管道進行風(fēng)險評估的目的在于利用較少的成本實現(xiàn)燃氣管道的科學(xué)化管理，保障人民生命、財產(chǎn)的安全和社會穩(wěn)定，減少災(zāi)難性事故的發(fā)生，從而使燃氣管道運營者獲得較高的經(jīng)濟效益，并保證人員和社會財產(chǎn)的安全。燃氣管道風(fēng)險評估是一項復(fù)雜的工程活動，涉及到材料科學(xué)、經(jīng)濟學(xué)、可靠性、社會學(xué)等多學(xué)科的知識理論。筆者根據(jù)調(diào)研資料和所在城市燃氣管道風(fēng)險評估方面的一些做好，提出以下幾方面建議：(1)以筆者所在的烏魯木齊市為例，由于城市燃氣管道建設(shè)過程中缺乏統(tǒng)一的規(guī)劃，隨著地面建設(shè)活動的增加，存在著地下管線運行狀況底數(shù)不清。根據(jù)燃氣管道風(fēng)險評估特點，要進行準確的風(fēng)險評估，一定程度上依賴于該城市燃氣管網(wǎng)基礎(chǔ)數(shù)據(jù)信息的完整程度。目前，烏魯木齊市燃氣管道還缺乏管道地面建設(shè)情況、管道腐蝕、人口分布及城市其它生命線分布等基本信息情況，因此，當?shù)厝細?、安監(jiān)等主管部門應(yīng)定期組織力量對城市所轄范圍內(nèi)燃氣管道現(xiàn)場進行核查，建立風(fēng)險影響因素數(shù)據(jù)庫。(2)為了使管道信息數(shù)據(jù)庫具有規(guī)范性和通用性，國家燃氣管道主管部門應(yīng)盡早制訂管道信息數(shù)據(jù)庫的基本要求和錄用標準。我國目前還缺乏燃氣管道歷史事故數(shù)據(jù)，在風(fēng)險評估時主要借鑒EGIG的燃氣管網(wǎng)事故歷史數(shù)據(jù)進行估算，這在一定程度上制約了評估結(jié)果的可信性，建議相關(guān)部門建立一個實時的城鎮(zhèn)燃氣管網(wǎng)事故數(shù)據(jù)庫，定期錄入全國各地燃氣管網(wǎng)發(fā)生的事故，為研究開發(fā)我國的管道風(fēng)險評價體系作好基本數(shù)據(jù)準備。(3)目前，國內(nèi)外所建立的定性風(fēng)險評估指標體系，尚未考慮燃氣管網(wǎng)事故在社會范圍內(nèi)引起的心理影響和事故后果。在實際的災(zāi)害應(yīng)急管理過程中，燃氣管網(wǎng)事故將會形成較大的社會影響力，在不同階層、不同屬性人群中造成較強的社會心理影響。因此，可以進一步研究城市燃氣管網(wǎng)事故后果所造成的其他類型的事故后果影響(4)風(fēng)險評估的目的是為了更好地進行風(fēng)險控制，為決策者提供制定措施的依據(jù)。定性和定量評估結(jié)果對于管理者難以有直觀的感官認知，可以充分利用計算機、GIS等相關(guān)技術(shù)，并通過可視化的方式進行直觀的顯示，更好地為風(fēng)險控制的決策服務(wù)。

3結(jié)束語

篇3

關(guān)鍵詞：項目融資；風(fēng)險評估；方法

項目融資中的風(fēng)險評估存在不確定性，這些不確定性就是風(fēng)險評估的難點。只有對這些不確定性因素進行風(fēng)險分析，并對這些風(fēng)險進行綜合分析，進而達到最后對項目融資中的風(fēng)險有科學(xué)的處理方法，進而使項目順利完成。

1 項目融資中風(fēng)險評估的定義概念

項目融資中的風(fēng)險評估就是對項目融資過程中的不確定因素和風(fēng)險因素進行分析整合后，得出的綜合性的風(fēng)險評估。項目融資中的風(fēng)險評估既能對整個項目進行前對所要涉及的風(fēng)險因素給出不同的影響評價，又能為如何規(guī)避和處置這些預(yù)計到的風(fēng)險提出相應(yīng)的對策。從整體上來說，項目融資中的風(fēng)險評估就是為了保證項目的順利進行，同時對于后期所要發(fā)生的風(fēng)險進行評估并提出解決方案。

2 項目融資中風(fēng)險評估的基本步驟

在項目融資中的風(fēng)險評估經(jīng)驗從一定程度上可以降低項目風(fēng)險的概率，應(yīng)用正確的風(fēng)險評估步驟，可以提升提升項目融資中風(fēng)險評估的成功率。作者將項目融資中風(fēng)險評估的基本步驟總結(jié)如下：

（1）評估所有方法。在評估的過程中，每個影響因素和方法都要考慮到。只有這樣才能保證，在評估中不會有因素影響項目融資中風(fēng)險評估的準確度。

（2）考慮風(fēng)險態(tài)度。對于每個風(fēng)險都要有慎重考慮的態(tài)度，態(tài)度會影響整個風(fēng)險評估。由于人為的原因，每個人進行風(fēng)險評估時所考慮的都不太一樣，主要是對影響因素的不同考慮，對不同的數(shù)據(jù)的重視程度也不一樣，這就使得考慮風(fēng)險的態(tài)度成為影響整個項目融資中風(fēng)險評估的重要方面。

（3）考慮風(fēng)險的特征。對于每個發(fā)現(xiàn)的風(fēng)險都要進行詳細深入的剖析，以求達到對每個識別風(fēng)險的控制。

（4）建立測量系統(tǒng)。對于風(fēng)險的評估要有相應(yīng)的測量系統(tǒng)與之配合，建立測量系統(tǒng)從一定程度上可以根據(jù)以往的經(jīng)驗進行系統(tǒng)性預(yù)測。在對已經(jīng)認識的風(fēng)險可以做到依據(jù)經(jīng)驗進行定量或定性的測量評估。

（5）解釋結(jié)果。對于項目融資中的風(fēng)險評估，在進行測量分析后要對測量的結(jié)果進行解釋。解釋不單單是為了對數(shù)據(jù)有更深刻的了解，更要對數(shù)據(jù)進行定性或定量的處理。通過解釋結(jié)果，不但能讓評估人員對測量數(shù)據(jù)有深入的了解，更能在解釋數(shù)據(jù)時，對未來要發(fā)生的風(fēng)險進行推斷。

（6）做決策。做決策可以說是整個風(fēng)險評估中的最后階段，對前面進行分析估計的風(fēng)險進行對比做出決策，很大程度上取決以實際的情況。但我們不能排除每個決策者所獨有的見解，對于風(fēng)險評估的決策，決策者的個人見解對決策也有影響。最終的決策對風(fēng)險的留去，有著十分重要的影響。

3 項目融資中風(fēng)險評估可采用的方法

（一）定性風(fēng)險評估

（1）歷史資料法

所謂歷史資料法，就是根據(jù)在以往項目融資中風(fēng)險評估的歷史記錄，通過把現(xiàn)在項目融資中風(fēng)險評估數(shù)據(jù)與歷史資料中的數(shù)據(jù)對比，進而的出相應(yīng)的風(fēng)險評估數(shù)值。從一定程度上來說，歷史資料法就是依靠以往的風(fēng)險評估經(jīng)驗進行現(xiàn)在的風(fēng)險評估。這種方法有一定的作用，但有時受到歷史資料的拘束，如果沒有相應(yīng)的歷史資料，這種方法就無法運用。一味的使用歷史資料法也會導(dǎo)致很多問題，畢竟很多歷史資料都不是十分的準確，必然會導(dǎo)致結(jié)果又一定的偏差。

（2）理論概率分布法

通過對以往項目的風(fēng)險評估，可以綜合得出一定的理論概率，這種理論概率就相當于不同項目風(fēng)險的比例。如果決策者沒有十分充足的項目管理經(jīng)驗，又對歷史資料法運用的不是十分得心應(yīng)手，就要對風(fēng)險評估進行理論的概率分布修正。通過運用概論修正，達到風(fēng)險評估理論上精確的目標。

（3）風(fēng)險事件后果的估計

對于項目融資風(fēng)險評估，不能僅僅進行風(fēng)險評估后就結(jié)束了。對于項目融資后的風(fēng)險事件估計也不能缺少，從一定程度上來說，甚至比風(fēng)險評估更為重要。風(fēng)險事件后的估計不但能衡量風(fēng)險的各方面要素，更能確定風(fēng)險評估的正確性和有效性。通過數(shù)據(jù)記錄，為以后更好的使用歷史資料法奠定基礎(chǔ)。

（二）定量風(fēng)險評估

定量風(fēng)險評估包括訪談法、盈虧平衡分析、敏感性分析、決策樹分析和非肯定型決策分析。定量風(fēng)險評估主要是從各種方面進行分析，通過分析得出盈虧決策的關(guān)鍵因素，進而得出風(fēng)險評估的作用與效果。

4 結(jié)語

項目融資中的風(fēng)險評估是整個項目風(fēng)險評估中的一部分，但對于整個項目風(fēng)險評估來說，確實十分重要的。項目融資就是為項目提供充足的資金，是整個項目的資金保證。但相應(yīng)的資金的風(fēng)險評估對每個投資者來說都是十分重要的，只有風(fēng)險投資達到自己的預(yù)期目標，投資者才會進行投資。筆者通過對項目融資中風(fēng)險評估方法的分析總計，總結(jié)出風(fēng)險評估的基本步驟和方法。希望這些方法和步驟能對從事項目融資風(fēng)險評估的工作的人員給與參考和幫助。

參考文獻：

[1]彭鵬.淺析項目融資中風(fēng)險評估的方法[J].經(jīng)營管理者，2012（18）.

[2]王靜紅.以“項目融資”方式促進房地產(chǎn)企業(yè)的發(fā)展[J].環(huán)渤海經(jīng)濟t望，2012（10）.

[3]期海明.商業(yè)銀行參與BT項目融資法律風(fēng)險分析――以經(jīng)濟適用住房建設(shè)為例[J].廣西金融研究，2013（10）.

篇4

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認證平臺、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險評估是構(gòu)建和維護信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)。

二、評估標準

由于信息安全風(fēng)險評估的基礎(chǔ)性作用，包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標準于2005年10月15日正式，作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動，同時也為評估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標準沒有制定明確的信息安全風(fēng)險評估流程，組織可以自行選擇適合自身特點的信息安全風(fēng)險評估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展，我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007），這是我國自主研究和制定的信息安全風(fēng)險評估標準，該標準與ISO27001系列標準思想一致，但對信息安全風(fēng)險評估過程進行了細化，使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展。

三、評估流程

《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）等標準為風(fēng)險評估提供了方法論和流程，為風(fēng)險評估各個階段的工作制定了規(guī)范，但標準沒有規(guī)定風(fēng)險評估實施的具體模型和方法，由風(fēng)險評估實施者根據(jù)業(yè)務(wù)特點和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系（CVSS）等風(fēng)險評估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價值、威脅等級和脆弱性等級，然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表。數(shù)字校園信息安全風(fēng)險評估的詳細流程如下：

（1）資產(chǎn)識別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進行識別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格，更重要的是要考慮資產(chǎn)對組織的信息安全重要程度，即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度，預(yù)計損害程度越高則賦值越高。

在確定了資產(chǎn)的機密性、完整性和可用性的賦值等級后，需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種：一種方法是選取資產(chǎn)機密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級；還有一種方法是對資產(chǎn)機密性、完整性和可用性三個賦值進行加權(quán)計算，通常采用的加權(quán)計算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點確定。

設(shè)資產(chǎn)的機密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級值為，則

相加法的計算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識別：威脅分為實際威脅和潛在威脅，實際威脅識別需要通過訪談和專業(yè)檢測工具，并通過分析入侵檢測系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點對潛在可能發(fā)生的威脅進行充分識別和分類。

（3）脆弱性識別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測，然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別，包括對已有的控制措施的有效性也一并識別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨對威脅和脆弱性進行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關(guān)聯(lián)。

（5）風(fēng)險值計算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值，并最終得到整個數(shù)字校園的風(fēng)險值分布表，并依據(jù)風(fēng)險接受準則，確認可接受和不可接受的風(fēng)險。

四、評估實例

本文以筆者所在高職院校的數(shù)字校園作為研究對象實例，利用前面所述的信息安全風(fēng)險評估流程對該實例對象進行信息安全風(fēng)險評估。

1.資產(chǎn)識別與評估

數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。

（1）資產(chǎn)識別

信息安全風(fēng)險評估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組，小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程，詳細地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊、工作日志等）、人員和服務(wù)等。為了對資產(chǎn)進行標準化管理，識別小組對各個資產(chǎn)進行了編碼，便于標準化和精確化管理。

（2）資產(chǎn)價值計算

獲得數(shù)字校園的信息資產(chǎn)詳細列表后，資產(chǎn)識別小 組召開座談會確定每個信息資產(chǎn)的價值，即對資產(chǎn)的機密性、完整性、可用性進行賦值，三性的賦值為1～5的整數(shù)，1代表對組織造成的影響或損失最低，5代表對組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點，采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。

由于資產(chǎn)價值的計算結(jié)果為1～5之間的實數(shù)，為了與資產(chǎn)的機密性、完整性、可用性賦值相對應(yīng)，需要對資產(chǎn)價值的計算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。

因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點防范，不重要的可以不用考慮或者減少投入。在識別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點關(guān)注。不同的組織對關(guān)鍵資產(chǎn)的判斷標準不完全相同，本文將資產(chǎn)等級值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識別清單中予以注明，如表1所示。

2.威脅和脆弱性識別與評估

數(shù)字校園與其他計算機網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項資產(chǎn)可能面臨多個威脅，一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡(luò)威脅時，需要檢查入侵檢測系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害，進而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機房物理環(huán)境設(shè)計缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識別主要采用問卷調(diào)查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測工具檢測脆弱性，可以獲得較高的檢測效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術(shù)脆弱性識別和評估。

管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無效的安全控制措施會提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實施、運行和維護等過程同步建設(shè)與完善，具有較強的針對性，識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進行，避免遺漏。

3.風(fēng)險計算

完成數(shù)字校園的資產(chǎn)識別、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后，進入風(fēng)險計算階段。

對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標準提供的“構(gòu)建威脅場景”方法進行風(fēng)險分析。“構(gòu)建威脅場景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進行風(fēng)險計算。為了便于計算，需要將前面各個階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法，風(fēng)險值計算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險計算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計算安全事件可能性值；

（b）對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計算安全事件損失值；

（d）對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值；

（e）根據(jù)安全事件可能性等級值和安全事件損失等級值，查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值；

（f）對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值。

所有等級值均采用五級制，1級最低，5級最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作。本文的信息安全風(fēng)險評估方法依據(jù)國家標準，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險評估的有效性和科學(xué)性，使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國教育信息化，2010（4）.

篇5

1材料與方法

1.1風(fēng)險因素確定

動物衛(wèi)生風(fēng)險分析尤其注重流行病學(xué)調(diào)查,通過流行病學(xué)調(diào)查,做到細分風(fēng)險事件,掌握風(fēng)險事件發(fā)生發(fā)展過程,查找與疾病發(fā)生、傳播有關(guān)的風(fēng)險因子[9]。根據(jù)這一方法本研究查閱草魚出血病有關(guān)文獻資料,羅列相關(guān)風(fēng)險因子。同時從2010年5月至10月,在全國草魚主養(yǎng)區(qū)調(diào)查草魚出血病流行情況。根據(jù)該疫病流行特點,咨詢多位草魚研究人員、魚病獸醫(yī)師、生產(chǎn)一線工作人員等,根據(jù)他們的生產(chǎn)經(jīng)驗推薦草魚出血病發(fā)生的有關(guān)風(fēng)險因子,最后總結(jié)、歸納。

1.2風(fēng)險評估指標體系構(gòu)建

風(fēng)險指標是反映風(fēng)險事件發(fā)展的尺度和衡量標準,在對事件進行評估時,風(fēng)險指標體系的構(gòu)建需要充分考慮其代表性、系統(tǒng)性、綜合性和易獲性等原則,能夠反映疫病的現(xiàn)狀和客觀規(guī)律[10]。層次分析法是一種多目標的風(fēng)險決策工具,它可以將復(fù)雜的系統(tǒng)問題條理化、層次化、清晰化[11]。草魚出血病的發(fā)生受多種因素的影響,利用層次分析法將上述羅列的因素加以歸納總結(jié),以構(gòu)建草魚出血病發(fā)生的風(fēng)險指標體系。

1.3風(fēng)險因子權(quán)重確定

采用德爾菲法確定權(quán)重[12]。依據(jù)構(gòu)建的草魚出血病風(fēng)險指標體系,建立判斷矩陣,比較兩個因素重要程度時,根據(jù)因素間的相對重要程度給1~9分,其中1表示同等重要,3稍微重要,5比較重要,7重要,9絕對重要,反之填1/3、1/5、1/7、1/9;偶數(shù)表示重要程度介于前后奇數(shù)之間,最后通過矩陣求解權(quán)重[12]。以調(diào)查表方式咨詢了國內(nèi)50余位有關(guān)專家,進行風(fēng)險權(quán)重確定,專家主要包括從事草魚出血病研究的科研人員、水產(chǎn)技術(shù)推廣人員、養(yǎng)殖戶或魚病獸醫(yī)人員等。1.險評估模型選擇本研究根據(jù)陸生動物常用風(fēng)險評估方法[68],借鑒生態(tài)學(xué)環(huán)境綜合評價方法[10],結(jié)合草魚出血病特點和發(fā)病規(guī)律,綜合考慮各指標體系,構(gòu)建草魚出血病發(fā)生風(fēng)險評估模型。

2結(jié)果與分析

2.1風(fēng)險因素

通過歸納、分類、總結(jié),最后確定引起草魚出血病發(fā)生的風(fēng)險因素主要有魚種、免疫、水溫、水質(zhì)、池塘狀況、放養(yǎng)密度、飼養(yǎng)管理、發(fā)病史、天氣等9個方面。

2.2風(fēng)險指標體系

針對9大方面的風(fēng)險因素,利用層次分析法構(gòu)建草魚出血病風(fēng)險指標層次體系,該體系包括9個目標層和26個風(fēng)險指標層,如圖1所示。2.3風(fēng)險權(quán)重通過對9個目標層構(gòu)建判斷矩陣,兩因素比較、計算,求解出B1B9(B1魚種、B2免疫、B3水質(zhì)、B4放養(yǎng)密度、B5水溫、B6飼養(yǎng)管理、B7發(fā)病史、B8天氣、B9池塘狀況等)的權(quán)重集合為W={0.167;0.202;0.124;0.109;0.101;0.097;0.092;0.081;0.064},其中B2免疫與B1魚種的權(quán)重值最高。矩陣一致性檢驗CR=0.094,小于0.10,因此矩陣具有較滿意的一致性。各風(fēng)險指標層權(quán)重見圖1。

2.4各風(fēng)險指標量化賦值標準

2.4.1一等級重要風(fēng)險指標賦值

根據(jù)各風(fēng)險因子性質(zhì),魚種是否帶毒和魚種是否接受免疫具有重要影響權(quán)重,如果其賦值為1,即能夠直接被評估為高風(fēng)險。C1魚種是否帶毒*:本研究中發(fā)現(xiàn)某一地區(qū)草魚種常來自相對集中的苗種場或養(yǎng)殖戶。在江西南昌和佛山南海區(qū)的幾個重點苗種場進行不定期抽樣監(jiān)測,將樣品冰凍帶回實驗室進行RT-PCR檢測。檢測結(jié)果為陽性的草魚種,即判斷為魚種攜帶病毒,為高風(fēng)險,權(quán)重系數(shù)為1,直接賦值1分;C4魚種是否接受免疫*:通過養(yǎng)殖戶生產(chǎn)記錄可知,魚種下塘后從未接受免疫措施,即為高風(fēng)險,權(quán)重系數(shù)為1,直接賦值1分;這兩個指標只要符合其中之一,即整個養(yǎng)殖系統(tǒng)發(fā)生草魚出血病的風(fēng)險為高。以上兩點均不符合,則按下述逐條賦分。

2.4.2三等級評判標準

風(fēng)險指標分為可測量風(fēng)險指標和不可測量風(fēng)險指標兩類。不可測量風(fēng)險指標按照三等級評判標準分為高、中、低3個風(fēng)險等級,對應(yīng)的風(fēng)險量化值為:1、0.66、0.33。這類指標賦值情況見表1。

2.4.3四等級評判標準

根據(jù)危害識別細化原則,某些風(fēng)險指標可按照四級評判標準分為高、較高、中、低4個等級,對應(yīng)的風(fēng)險量化值為:1、0.75、0.5、0.25,具體各指標說明見表2。

2.5評估模型

采用綜合評分法來表述草魚出血病發(fā)生的風(fēng)險概率,其函數(shù)模型為:,ijijijR=∑wp其中,R為草魚出血病發(fā)生概率,wij表示第i項風(fēng)險指標層j項風(fēng)險指標的絕對權(quán)重,pij表示第i項風(fēng)險指標層j項風(fēng)險指標的風(fēng)險賦值。

2.6模型驗證

2010年510月利用該模型對3個草魚養(yǎng)殖區(qū)華中(湖南、湖北、安徽)、華南(廣東、江西)和西南(廣西、四川、重慶)121份草魚出血病病例進行模型驗證,通過現(xiàn)場鑒定或?qū)嶒炇曳肿訖z測共確診草魚出血病37例,占30.58%。華中、華南、西南3個養(yǎng)殖區(qū)域病毒性草魚出血病發(fā)生率分別為35.7%、23.08%、34.21%。3個區(qū)域中,華南地區(qū)草魚出血病疫苗使用情況較普遍,達63.33%;而華中地區(qū)和西南地區(qū)疫苗使用率都比較低,僅為7.35%和4.54%。應(yīng)用該模型對調(diào)查收集的3個養(yǎng)殖區(qū)草魚養(yǎng)殖情況、疫苗使用情況、養(yǎng)殖技術(shù)、管理技術(shù)和疫病流行情況等進行半定量風(fēng)險評估,得出華中地區(qū)草魚出血病發(fā)生風(fēng)險概率為0.699,西南地區(qū)為0.69,華南地區(qū)為0.568?？梢钥闯?廣東地區(qū)發(fā)生草魚出血病風(fēng)險較華中和西南地區(qū)低。這跟筆者調(diào)查的實際養(yǎng)殖情況較符合,模型評估結(jié)果較準確。

3討論

動物衛(wèi)生風(fēng)險分析是當前國際通行的實施動物衛(wèi)生科學(xué)管理的重要技術(shù)手段,是對動物衛(wèi)生事件進行預(yù)防性風(fēng)險管理的一種通用工具。在陸生動物衛(wèi)生風(fēng)險分析方面近年來已開展不少研究工作,如禽流感[68]、口蹄疫[13]等的風(fēng)險分析。本研究以進出口風(fēng)險評估方法(IRA)[14]為基本思路,初步構(gòu)建了草魚出血病發(fā)生的半定量風(fēng)險評估模型,為水生動物疫病發(fā)生風(fēng)險評估提供了可以借鑒的方法。動物疾病的發(fā)生與多種因素有關(guān),眾多評估動物疫病發(fā)生風(fēng)險的報道常采用生態(tài)綜合評估模型的方法[12],這些模型綜合考慮各方面因素,為采取風(fēng)險管理決策提供依據(jù)[15]。李靜等[6]2006年構(gòu)建的高致病性禽流感發(fā)生的風(fēng)險評估框架包括8個方面因素,17個子風(fēng)險因素;之后王靖飛等[8]對風(fēng)險因素進行提煉,使得評估模型更準確,風(fēng)險管理措施針對性更強。藍泳鑠等[7]構(gòu)建的模型則有22項風(fēng)險因素。本研究同樣采用上述方法,初步構(gòu)建了草魚出血病發(fā)生風(fēng)險的評估模型。

目前常用的風(fēng)險評估方法有定性、半定量和定量3種[16]。定性風(fēng)險評估是風(fēng)險分析的初級階段,以“高、中、低”來表示風(fēng)險評估結(jié)果,它以較強的靈活性尤其適合初次開展研究的學(xué)科。定量風(fēng)險評估方法以事件發(fā)生的概率為基礎(chǔ),建立風(fēng)險因素與后果之間的向量依存關(guān)系,以數(shù)字形式表述風(fēng)險評估結(jié)果,準確性高[17]。定量風(fēng)險評估是風(fēng)險分析的高級階段,需要豐富的數(shù)據(jù),工作量大,難度高。草魚出血病嚴重影響草魚健康養(yǎng)殖,但是在水生動物疫病風(fēng)險評估方面可利用的資源和數(shù)據(jù)非常有限,模型構(gòu)建難度較大,這在初次進行風(fēng)險評估的學(xué)科尤為突出[1718]。本研究模型在構(gòu)建過程中充分利用現(xiàn)有資料,緊密結(jié)合草魚出血病發(fā)生特點,并以調(diào)查表形式采用德爾菲法確定權(quán)重。專家組成多樣,既有科研人員,又有一線生產(chǎn)經(jīng)驗豐富的專家,保證了評估結(jié)果的真實可靠,矩陣一致性較好(CR=0.094)。另外,構(gòu)建的半定量風(fēng)險評估模型,結(jié)合了定性風(fēng)險評估靈活性強和定量風(fēng)險評估結(jié)果相對準確的雙重優(yōu)點。

篇6

關(guān)鍵詞：項目風(fēng)險 評估

中圖分類號：A715文獻標識碼： A

引言: 風(fēng)險的基本含義是損失的不確定性，這也是決策理論學(xué)者常用的風(fēng)險定義。美國項目管理協(xié)會（PMI）曾定義風(fēng)險為“項目實施過程中不確定事件的機會對項目目標產(chǎn)生的累積不利影響結(jié)果”。 建筑工程項目從其籌劃、設(shè)計、建造到竣工后投入使用。整個過程都存在著各種各樣的不確定性，無論是工程建設(shè)項目業(yè)主，承包商、咨詢商還是建筑設(shè)計方，材料設(shè)備供應(yīng)商，都面臨著不可回避的風(fēng)險。這些風(fēng)險若得不到準確的預(yù)測和合理的處置，項目的預(yù)定目標將難以順利實現(xiàn)，甚至造成不可估量的損失。因此重視風(fēng)險管理是建筑工程項目成功的重要因素之一。

一、風(fēng)險評估的意義

風(fēng)險評估是在風(fēng)險識別之后，對工程項目風(fēng)險的量化過程。它是指采取科學(xué)方法將辨別出來并經(jīng)過分類的風(fēng)險按照其權(quán)重大小給予排序，綜合考慮風(fēng)險事件發(fā)生的概率和引起損失的后果。對于不同權(quán)重的風(fēng)險，管理者應(yīng)該給予不同程度的重視

二 、正確識別風(fēng)險

1、明確風(fēng)險識別的對象并搜集大量的風(fēng)險信息對工程投資項目風(fēng)險進行識別的第一步就是明確風(fēng)險識別的對象，對施工周期內(nèi)建設(shè)項目的各個階段進行分析，準確辨別出風(fēng)險識別的對象。對風(fēng)險識別對象中一些客觀存在的和潛在的風(fēng)險進行搜集整理，建立大量的關(guān)于風(fēng)險的數(shù)據(jù)和信息，并且對這些數(shù)據(jù)和信息進行分類整理。

2、對風(fēng)險中一些不確定因素進行統(tǒng)計

依據(jù)一些風(fēng)險管理人員的經(jīng)驗，正確的分析和判斷風(fēng)險中的一些不確定因素。在此過程中首先應(yīng)該正確的推測風(fēng)險因素是不是存在不確定性，如果是確定的，則在以后的施工中可以很好的避免，而如果是不確定的，則需要判斷其是不是客觀存在的，從而對風(fēng)險進行正確的識別。

3、確立各種風(fēng)險事件并進行分類

通過以上對風(fēng)險數(shù)據(jù)的大量統(tǒng)計和對投資項目中一系列風(fēng)險事件的確立而對工程投資項目風(fēng)險進行分類，從而加深對風(fēng)險的認識，了解到風(fēng)險的性質(zhì)，從而能夠全面的掌握風(fēng)險，正確的進行風(fēng)險評估。

4、推測各種風(fēng)險發(fā)展的結(jié)果

根據(jù)實踐經(jīng)驗和以上對風(fēng)險事件的分類對以后風(fēng)險事件的發(fā)展做出一定的推測，初步推測出風(fēng)險發(fā)生的時間和可能引發(fā)風(fēng)險的原因以及風(fēng)險出現(xiàn)的方式及發(fā)展等。

5、編制風(fēng)險識別報告

根據(jù)以上對風(fēng)險的分類以及對風(fēng)險發(fā)展結(jié)果的推測編寫風(fēng)險識別報告，使得人們能夠更為直觀的了解到風(fēng)險的預(yù)測、產(chǎn)生及發(fā)展的過程，從而正確的對工程項目投資風(fēng)險進行評估。

工程項目進展狀況。風(fēng)險的不確定性常常與工程項目所處的生命周期階段有關(guān)。在項目初期,項目風(fēng)險癥狀往往表現(xiàn)得不明顯,隨著工程項目的實施,工程項目風(fēng)險及發(fā)現(xiàn)風(fēng)險的可能性會增加。 工程項目類型，一般來說,普通項目或重復(fù)率較高的工程項目的風(fēng)險程度比較低;技術(shù)含量高或復(fù)雜性強的工程項目的風(fēng)險程度比較高。數(shù)據(jù)的準確性和可靠性，用于風(fēng)險識別的數(shù)據(jù)或信息的準確性和可靠性應(yīng)進行評估。 概率和影響程度，用于評估風(fēng)險的兩個關(guān)鍵方面。

三、評估方法

風(fēng)險評估就是在充分掌握資料的基礎(chǔ)之上，采用合適的方法對已識別風(fēng)險進行系統(tǒng)分析和研究，評估風(fēng)險發(fā)生的可能性（概率）、造成損失的范圍和嚴重程度（強度），為接下來選擇適當?shù)娘L(fēng)險處理方法提供依據(jù)。根據(jù)實際需要的不同可以對風(fēng)險進行定性分析和定量分析。定性分析一般是根據(jù)風(fēng)險度或風(fēng)險大小等指標對風(fēng)險因素進行優(yōu)先級排序，為進一步分析或處理風(fēng)險提供參考，常用方法有專家打分法等。對項目風(fēng)險定性和定量分析，為選擇最佳風(fēng)險處理手段提供了可靠的依據(jù)。上述風(fēng)險評估方法有各自的特點和優(yōu)勢，有的方法以全面、精確為特點，有的方法以簡單易用為優(yōu)勢，一些方法可以同時處理風(fēng)險識別和風(fēng)險評估，各方法之間也有相互交叉、相互引用的情況，在實際應(yīng)用中應(yīng)當根據(jù)掌握資料程度、項目實際情況具體選擇。

風(fēng)險評估的方法主要包括下面幾種：調(diào)查與專家打分法、模糊數(shù)學(xué)法、敏感性分析、綜合評估法、概率統(tǒng)計法、主觀評分法、模糊層次分析等。

1調(diào)查與專家打分法

調(diào)查與專家打分法是一種最常用、最簡單且易于應(yīng)用的風(fēng)險估計方法。先列出項目中存在的風(fēng)險，填寫風(fēng)險調(diào)查表，再利用專家的經(jīng)驗對風(fēng)險的重要性進行評估。

2模糊數(shù)學(xué)法

對模糊行為和活動建立模型。模糊數(shù)學(xué)從二值邏輯的基礎(chǔ)上轉(zhuǎn)移到連續(xù)邏輯上來，以嚴格的數(shù)學(xué)方法去處理模糊現(xiàn)象。

3敏感性分析法

敏感性分析法在項目風(fēng)險評估中，通常一般被認為是一個有用的決策工具。它是根據(jù)利率變化、成本費用等幾個影響目標成本的主要因素，來評估風(fēng)險程度的一種方法。

4綜合評估法也稱為主觀評估法，它是一種簡單易學(xué)、容易掌握、實踐性強的風(fēng)險評估方法，對于確定性風(fēng)險評估和不確定性風(fēng)險評估都適用，在實際風(fēng)險評估中被廣泛采用。

四、風(fēng)險響應(yīng)

對事件發(fā)生的可能性及影響程度進行定性或定量評估后，可以采用風(fēng)險圖、數(shù)量表等方式將其描述出來，以利于管理者針對不同的風(fēng)險類型采用不同的風(fēng)險管理策略。，就是在對風(fēng)險從單獨或關(guān)聯(lián)角度、業(yè)務(wù)層次和公司總體層次進行評估后，根據(jù)各類風(fēng)險的大小而采取的相應(yīng)的管理策略。管理者會采用整體風(fēng)險或組合風(fēng)險的觀點，根據(jù)風(fēng)險的評估結(jié)果，通過成本與收益分析確定相應(yīng)的風(fēng)險管理策略，將公司剩余風(fēng)險控制在可承受范圍內(nèi)并與公司風(fēng)險偏好相一致。其主要表現(xiàn)為以下幾種類型

1風(fēng)險回避。企業(yè)現(xiàn)有的活動會帶來風(fēng)險，管理策略之一就是回避這種風(fēng)險

2風(fēng)險減少。這一風(fēng)險管理策略是為了減少風(fēng)險發(fā)生的可能性或后果，或兩者兼而有之。

3風(fēng)險分散。通過轉(zhuǎn)移或共享風(fēng)險來減少風(fēng)險發(fā)生的可能性或后果。

險接受。不采取相應(yīng)的對策，一切順其自然。

風(fēng)險管理的四種策略都是根據(jù)企業(yè)的風(fēng)險偏好或風(fēng)險承受度來制定的。風(fēng)險回避策略指采用其他的任何風(fēng)險管理方式，都不能使風(fēng)險降低到企業(yè)可接受的水平上。風(fēng)險減少和風(fēng)險分散管理策略就是通過這些策略的實施，使剩余風(fēng)險與公司的風(fēng)險偏好或者說風(fēng)險承受度保持一致。風(fēng)險接受意味著內(nèi)在風(fēng)險已在公司的風(fēng)險可承受范圍之內(nèi)。對風(fēng)險管理策略進行成本與收益分析。風(fēng)險管理策略的成本包括直接成本，間接成本，有時還需要包括機會成本。風(fēng)險管理策略收益的計算往往比較困難。在許多情況下，風(fēng)險管理策略的收益是結(jié)合相關(guān)目標的實現(xiàn)來進行評估的。在處理特定風(fēng)險時不能忽略潛在的一些機遇。事件有有利事件和不利事件，風(fēng)險管理策略的目的也不能僅為了降低已確認的風(fēng)險。企業(yè)管理者可以根據(jù)實現(xiàn)情況，采取一些創(chuàng)新的管理策略。風(fēng)險管理策略并不需要將風(fēng)險降低到最低。風(fēng)險管理的真正含義是當某一風(fēng)險管理策略實施后的剩余風(fēng)險高于公司的風(fēng)險承受度時，公司的管理者需要重新審視相應(yīng)的管理策略，修正管理策略以使剩余風(fēng)險與公司的風(fēng)險承受度相一致。在某些情況下，重新考慮公司的風(fēng)險偏好與風(fēng)險承受度。

總結(jié)：根據(jù)風(fēng)險評估結(jié)果，對本單位存在的安全風(fēng)險進行整改消除，從安全技術(shù)及安全管理兩方面，落實信息安全風(fēng)險控制及管理，確保信息系統(tǒng)安全穩(wěn)定運行。強化風(fēng)險規(guī)避意識，注重誠實信用。企業(yè)的發(fā)展必須樹立質(zhì)量競爭意識，摒棄短期利益驅(qū)動，以質(zhì)量求信譽，以信譽求發(fā)展，深化對風(fēng)險的認識，其危害影響企業(yè)信譽度，加強信用的意識來防范風(fēng)險。

參考文獻：

[1] 尹貽林主編，工程造價管理相關(guān)知識.北京，中國計劃出版社，2001（4）

[2] 王德海，現(xiàn)代項目管理的理論與方法，北京，中國農(nóng)業(yè)出版社，1998

篇7

【關(guān)鍵詞】基層央行；風(fēng)險評估；內(nèi)部審計

隨著市場經(jīng)濟體制的日益完善和人民銀行職能的不斷變化，基層人民銀行以往很多被忽視的風(fēng)險和問題日漸顯露，如依法行政中的法律風(fēng)險、聲譽風(fēng)險，資產(chǎn)的市場風(fēng)險、流動性風(fēng)險，內(nèi)部管理中的操作風(fēng)險等?；鶎友胄锌赡芤媾R的風(fēng)險是其內(nèi)部審計選擇審計項目以及確定審計重點領(lǐng)域的依據(jù)。本文從風(fēng)險導(dǎo)向?qū)徲嫷慕嵌?，以人民銀行?？谥行闹虚_展風(fēng)險量化評估的實踐為例，介紹風(fēng)險評估的理論模型、評估方法，提出基層央行開展風(fēng)險導(dǎo)向?qū)徲嫷木唧w建議。

一、風(fēng)險評估采用的理論模型

?？谥行闹虚_展風(fēng)險量化評估采用“剩余風(fēng)險=固有風(fēng)險-控制有效性”的剩余風(fēng)險評估模型，既要考慮固有風(fēng)險，又要考慮內(nèi)部控制有效性。

（一）固有風(fēng)險的評估

固有風(fēng)險的評估采用風(fēng)險矩陣法，根據(jù)“影響程度”和“可能性”之間的關(guān)聯(lián)程度判定，如下圖所示：

注：將風(fēng)險事件的影響程度級別和發(fā)生可能性級別分別標注在風(fēng)險矩陣的橫軸和縱軸上，橫軸和縱軸的交匯區(qū)域所對應(yīng)的風(fēng)險等級即為該風(fēng)險事件的風(fēng)險等級。綠色區(qū)域、黃色區(qū)域、橙色區(qū)域和紅色區(qū)域分別對應(yīng)的風(fēng)險等級為1、2、3、4級。

風(fēng)險影響程度的評級標準，按照風(fēng)險可能引發(fā)的資金損失、聲譽損失、業(yè)務(wù)連續(xù)性損失，將風(fēng)險的影響

程度由低到高依次劃分為1-4級。風(fēng)險發(fā)生可能性的評級標準，按照風(fēng)險事件實際發(fā)生的歷史數(shù)據(jù)、業(yè)務(wù)的復(fù)雜程度以及變化情況，將風(fēng)險發(fā)生的可能性由低到高依次劃分為1-4級。

（二）控制有效性的評價

控制有效性評估，從“以往審計結(jié)果”和“內(nèi)部控制變化情況”兩個方面衡量。按照各類審計或檢查中發(fā)現(xiàn)問題的嚴重程度、審計頻率、問題整改和內(nèi)部控制變化情況，對內(nèi)部控制有效性進行評估。內(nèi)部控制有效性越高，對應(yīng)的風(fēng)險級別越低。反之，風(fēng)險級別越高。風(fēng)險由低到高依次劃分為1-4級。

（三）剩余L險的計算方法

最終剩余風(fēng)險量化分值采用風(fēng)險因素加權(quán)平均法計算。計算公式為：剩余風(fēng)險級別=（∑各類固有風(fēng)險權(quán)重x風(fēng)險級別+∑各項內(nèi)部控制有效性權(quán)重×風(fēng)險級別）+（∑各類固有風(fēng)險權(quán)重+∑各項內(nèi)部控制有效性權(quán)重）。具體運用風(fēng)險評估表進行計算。

二、風(fēng)險評估的實施過程

?？谥行闹虚_展風(fēng)險量化評估，主要采取以各職能部門初評和專家組復(fù)核確認的方式組織實施，靈活運用會議座談、專家討論、現(xiàn)場審計測試等方法，廣泛收集整理數(shù)據(jù)，并對數(shù)據(jù)反復(fù)進行修正，最終以風(fēng)險評估專家組審議的方式，從審計角度確定所有業(yè)務(wù)單元的風(fēng)險值。

（一）前期準備階段

一是制定《?？谥行闹袡C關(guān)風(fēng)險量化評估方案》，明確風(fēng)險評估的目標、對象、范圍、方法和程序等。二是要求各處室指定一名業(yè)務(wù)骨干作為評估員，負責(zé)本處室各業(yè)務(wù)活動風(fēng)險評估的具體工作。

（二）組織開展初評

組織全行27個處室對132項業(yè)務(wù)活動進行風(fēng)險初評。初評評按照《?？谥行闹袡C關(guān)風(fēng)險量化評估方案》要求開展，各處室撰寫風(fēng)險初評報告，提出審計需求，并針對高風(fēng)險業(yè)務(wù)提出應(yīng)對措施和建議。

（三）成立風(fēng)險評估專家組對初評評結(jié)果進行復(fù)評和審議

內(nèi)審部門組織成立了風(fēng)險評估專家組，在各處室風(fēng)險自評的基礎(chǔ)上，對各項業(yè)務(wù)活動的風(fēng)險事項進行再識別、再評估，審議確定各項業(yè)務(wù)活動的風(fēng)險等級，最后由內(nèi)審部門綜合考慮專家組的意見，確定各業(yè)務(wù)單元的剩余風(fēng)險評估值。

（四）風(fēng)險評估的結(jié)果

通過初評和專家組復(fù)核審議，得出全行27個處室132項業(yè)務(wù)單元的剩余風(fēng)險等級，并進行排序（如表2所示）。其中，高風(fēng)險業(yè)務(wù)活動10項；偏高風(fēng)險業(yè)務(wù)活動11項；中等風(fēng)險業(yè)務(wù)活動56項；低風(fēng)險業(yè)務(wù)活動55項（風(fēng)險分值為3.0以上的為高風(fēng)險，2.5-3.0的為偏高風(fēng)險，2.0-2.5的為中等風(fēng)險，2.0以下的為低風(fēng)險）。

（五）審計策略

風(fēng)險評估結(jié)果的運用，現(xiàn)階段主要體現(xiàn)為以風(fēng)險為基礎(chǔ)的內(nèi)部審計計劃及審計方案的制定。根據(jù)剩余風(fēng)險大小，對業(yè)務(wù)活動按風(fēng)險排序劃分風(fēng)險等級，不同的風(fēng)險等級制定不同的審計策略，優(yōu)先把高風(fēng)險業(yè)務(wù)作為審計項目規(guī)劃的重點。根據(jù)風(fēng)險評估的結(jié)果制定以下審計策略：一是重點關(guān)注類。剩余風(fēng)險值在3.0以上（含3.0）的業(yè)務(wù)活動為審計重點關(guān)注類，如發(fā)行基金押運、財務(wù)收支、發(fā)行庫內(nèi)業(yè)務(wù)、第三方支付業(yè)務(wù)、外匯檢查與處罰、國庫退庫業(yè)務(wù)、人民幣清分、復(fù)點、銷毀等高風(fēng)險領(lǐng)域的業(yè)務(wù)活動，應(yīng)在一年內(nèi)開展審計。二是有效關(guān)注類。剩余風(fēng)險值在2.5（含2.5）-3.0的業(yè)務(wù)活動為審計有效關(guān)注類，如集中采購、基建、發(fā)行庫區(qū)管理、紀念幣（鈔）出入庫、發(fā)行庫設(shè)施與門禁管理、金融信息安全管理等偏高風(fēng)險領(lǐng)域的業(yè)務(wù)活動，應(yīng)在2年內(nèi)開展審計。三是合理關(guān)注類。剩余風(fēng)險值在2.0-2.5（含2.0）的業(yè)務(wù)活動為審計合理關(guān)注類，如企業(yè)征信系統(tǒng)建設(shè)、會計核算業(yè)務(wù)、支付系統(tǒng)管理、車輛管理等中等風(fēng)險領(lǐng)域的業(yè)務(wù)活動，應(yīng)在3年內(nèi)開展審計。四是一般關(guān)注類。剩余風(fēng)險值在2.0以下的業(yè)務(wù)活動為審計一般關(guān)注類，如黨委宣傳工作、老干部管理、金融研究工作等低風(fēng)險領(lǐng)域的業(yè)務(wù)活動，建議3年至5年審計一次或根據(jù)需要開展審計。

三、幾點體會

（一）開展風(fēng)險導(dǎo)向?qū)徲嫞L(fēng)險評估是基礎(chǔ)

只有確定了各項業(yè)務(wù)單元的風(fēng)險等級大小和排序，才能根據(jù)風(fēng)險情況確定審計策略，提出內(nèi)部審計年度計劃，優(yōu)先安排審計資源對高風(fēng)險領(lǐng)域開展審計。

（二）風(fēng)險事件識別是關(guān)鍵

風(fēng)險事件是各項業(yè)務(wù)活動的風(fēng)險點，內(nèi)審部門在制定審計方案和實施現(xiàn)場審計時，應(yīng)將風(fēng)險評估過程中識別出來的風(fēng)險事件作為審計、測試的重點，做到“審計關(guān)注風(fēng)險，風(fēng)險引導(dǎo)審計”。

篇8

關(guān)鍵詞:電子政務(wù)信息安全

0引言

隨著電子政務(wù)不斷推進，社會各階層對電子政務(wù)的依賴程度越來越高，信息安全的重要性日益突出，在電子政務(wù)的信息安全管理問題中，基于現(xiàn)實特點的電子政務(wù)信息安全體系設(shè)計和風(fēng)險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務(wù)信息安全的總體要求

隨著電子政務(wù)應(yīng)用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務(wù)，迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行，另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全，因此應(yīng)充分保證以下幾點：

1.1基礎(chǔ)設(shè)施的可用性：運行于內(nèi)部專網(wǎng)的各主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。

1.2數(shù)據(jù)機密性：對于內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性。

1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴格的控制之下，只有經(jīng)過認證的設(shè)備可以訪問網(wǎng)絡(luò)，并且能明確地限定其訪問范圍，這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。

1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份，并且最好是異地備份。

2電子政務(wù)信息安全體系模型設(shè)計

完整的電子政務(wù)安全保障體系從技術(shù)層面上來講，必須建立在一個強大的技術(shù)支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數(shù)據(jù)存儲安全，數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略

在技術(shù)支撐平臺方面，核心是要解決好權(quán)限控制問題。為了解決授權(quán)訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計，然而由于一個終端用戶可以有許多權(quán)限，許多用戶也可能有相同的權(quán)限集，這些權(quán)限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復(fù)雜性和存儲空間，從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度。為了解決這個問題，作者建議根據(jù)X.509標準建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端、驗證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成，在該模型中：

2.1終端用戶：向驗證服務(wù)器發(fā)送請求和證書，并與服務(wù)器雙向驗證。

2.2驗證服務(wù)器：由身份認證模塊和授權(quán)驗證模塊組成提供身份認證和訪問控制，是安全模型的關(guān)鍵部分。

2.3應(yīng)用服務(wù)器：與資源數(shù)據(jù)庫連接，根據(jù)驗證通過的用戶請求，對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理，并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求。

2.4LDAP目錄服務(wù)器：該模型中采用兩個LDAP目錄服務(wù)器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機構(gòu)和責(zé)任制度等的制定和落實；安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)、密鑰的管理。

3電子政務(wù)信息安全管理體系中的風(fēng)險評估

電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全、經(jīng)濟安全、社會穩(wěn)定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風(fēng)險分析，構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。

3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級五個安全等級。對電子政務(wù)的五個安全等級定義，結(jié)合系統(tǒng)面臨的風(fēng)險、系統(tǒng)特定安全保護要求和成本開銷等因素，采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全。

3.2采用全面的風(fēng)險評估辦法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險評估的步驟及方法，另外，一些組織還提出了自己的風(fēng)險評估工具，例如OCTAVE、CRAMM等。

電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險評估指南》等標準和指南，從資產(chǎn)評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風(fēng)險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息，最終生成風(fēng)險信息。

在確定風(fēng)險評估方法后，還應(yīng)確定接受風(fēng)險的準則，識別可接受的風(fēng)險級別。

4結(jié)語

電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別，包括:辦公手段不同，信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同，實現(xiàn)行政業(yè)務(wù)流程的集約化、標準化和高效化是電子政務(wù)的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務(wù)的目的之一，也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中，要抓住其特點，從技術(shù)、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.清華大學(xué)出版社.2006.

篇9

關(guān)鍵詞:電網(wǎng)規(guī)劃；風(fēng)險評估；可靠性

中圖分類號： U665 文獻標識碼： A

引言

隨著我國電力需求的快速增長, 電網(wǎng)建設(shè)規(guī)模不斷擴大, 電力系統(tǒng)的安全可靠問題日益成為用戶和電力部門共同關(guān)注的焦點。近年來, 世界各地多次爆發(fā)的大規(guī)模停電事故給人民生活、社會安定帶來了巨大沖擊, 保證系統(tǒng)的可靠供電成為電力部門的首要任務(wù).

本文將風(fēng)險評估理論應(yīng)用于電網(wǎng)的規(guī)劃設(shè)計,提出了對電力系統(tǒng)事故發(fā)生概率和事故后果進行綜合評估的模型和算法。通過工程案例應(yīng)用分析,論證了風(fēng)險評估方法在電網(wǎng)規(guī)劃設(shè)計中的可行性和實用性, 為發(fā)展和完善傳統(tǒng)的電網(wǎng)規(guī)劃設(shè)計方法提供了一種新的思路。

一、引入風(fēng)險評估的必要性

目前電網(wǎng)規(guī)劃設(shè)計研究大多數(shù)集中在滿足未來負荷需求的基礎(chǔ)上,確定待建輸電線路的數(shù)量和位置以使總的投資成本最低這樣一個問題。在這種規(guī)劃設(shè)計思路指導(dǎo)下,規(guī)劃設(shè)計人員將根據(jù)未來電源和負荷的預(yù)測情況,構(gòu)建合理的電網(wǎng)框架結(jié)構(gòu),并通過常規(guī)的短路電流及穩(wěn)定校驗等電氣計算,最終確定所采用的規(guī)劃設(shè)計方案。這種規(guī)劃設(shè)計方案的比選原則,主要考慮了初投資等電網(wǎng)規(guī)劃中的經(jīng)濟性問題,對系統(tǒng)的可靠 性則 普遍 采用 N-1安全準則校驗,并且僅考慮預(yù)想事故發(fā)生后的靜態(tài)安全約束。因此,必須在電網(wǎng)規(guī)劃中對事件發(fā)生的概率和后果進行綜合評判,這里將引入系統(tǒng)風(fēng)險的概念。風(fēng)險和可靠性存在若干相通的含義,分別描述同一事實的兩個方面。更高的風(fēng)險意味著更低的可靠性,反之亦然。風(fēng)險定量評估的目的在于建立表征系統(tǒng)風(fēng)險的指標,即能夠綜合考慮失效事件發(fā)生的可能性和這些事件發(fā)生后果的嚴重程度。顯然,一種可行的選擇就是在工程規(guī)劃、設(shè)計、運行和維修中引進風(fēng)險管理,以使系統(tǒng)的風(fēng)險水平保持在可接受的范圍內(nèi)。

二、風(fēng)險評估模型和指標計算

對電網(wǎng)規(guī)劃方案的風(fēng)險評估,可采用狀態(tài)枚舉法或蒙特卡羅模擬法。蒙特卡羅模擬法便于處理負荷的隨機變化特性,計算量幾乎不受系統(tǒng)規(guī)模和復(fù)雜程度的影響,但其計算時間較慢;而狀態(tài)枚舉法一般用于元件失效概率較小或者運行工況較為簡單的情形。由于在電網(wǎng)規(guī)劃設(shè)計階段,更著重于各個規(guī)劃方案之間的橫向比較,而對模型和參數(shù)的準確性要求不高;另一方面規(guī)劃設(shè)計出的方案往往具有較強的承載風(fēng)險能力,因此本文采取在應(yīng)用上更為靈活的狀態(tài)枚舉法進行系統(tǒng)規(guī)劃方案的風(fēng)險評估,同時制定合理的簡化原則以降低計算的復(fù)雜程度。

2.1 風(fēng)險指標計算方法

基于潮流過負荷校驗的風(fēng)險指標計算是指,利用n-r預(yù)想事故掃描(潮 流 分析)確定系統(tǒng)的失效狀態(tài)(線路過負荷或者節(jié)點低電壓),進而進行風(fēng)險指標計算。具體方法和步驟如下:(1)建立多級負荷水平根據(jù)系統(tǒng)年負荷預(yù)測曲線,將負荷水平劃分為若干等級并形成相應(yīng)的分析案例。對每一級負荷水平案例分別進行風(fēng)險指標計算。(2)利用枚舉技術(shù)選擇并確定系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)概率按下式計算:

其中:P(s)是僅考慮元件停運事件的系統(tǒng)狀態(tài)s的概率;nd為在系統(tǒng)狀態(tài)s中不可用的元件數(shù);n為系統(tǒng)元件總數(shù);Ui、Uj是元件i與j的與停運相關(guān)的不可用率:

式中:λi為元件與停運相關(guān)的失效率(失效次數(shù)/年);μi=8760/MTTRi為 元 件i與 停 運 相 關(guān) 的 修 復(fù) 率 (修 復(fù) 次 數(shù) /年 );M T T R i為元件i的平均停運時間(h/次);fi為元件i的平均停運頻率(停運次數(shù)/年)。在實際計算中,fi和MTTRi均可由歷史統(tǒng)計數(shù)據(jù)獲得,λi由式(2)經(jīng)變換后求取:

(3)預(yù)想事故分析針對給定狀態(tài)進行潮流過負荷/節(jié)點低電壓校驗。如果系統(tǒng)存在過負荷線路或低電壓節(jié)點,則記錄該狀態(tài)為一個失效狀態(tài)。針對過負荷的線路,調(diào)整系統(tǒng)中各發(fā)電機的出力以消除過負荷,如仍然存在過負荷的線路,根據(jù)各負荷節(jié)點潮流靈敏度確定需要削減的負荷量。①計算系統(tǒng)和分項風(fēng)險指標根據(jù)各級負荷水平下分析結(jié)果計算風(fēng)險指標。

①負荷削減概率PLC

其中:Fi是多級負荷模型中第i個負荷水平下系統(tǒng)全部失效狀態(tài)的集合;NL是負荷水平分級數(shù),由實際負荷數(shù)據(jù)確定;Ti是第i個負荷水平的時間長度(h);T是負荷曲線的時間期間全長(h),通常為一年。

②期望缺供電量EENS(MW·h/年)

其中,C(s)是狀態(tài)s的負荷削減量(MW)。

③期望負荷削減頻率EFLC(次/年)

其中,m(s)在不考慮降額狀態(tài)時即為系統(tǒng)元件的總數(shù)。

④負荷削減平均持續(xù)時間

ADLC(h/次 )

式(4)～(7)適用于各個母線、分區(qū)或整個系統(tǒng)的指標計算。對于母線/分區(qū)指標,Fi是只涉及到與某一母線/分區(qū)負荷削減相對應(yīng)的系統(tǒng)失效狀態(tài)集合;對于系統(tǒng)指標,則是與任意母線負荷削減相對應(yīng)的系統(tǒng)失效狀態(tài)的集合。

2.2 風(fēng)險指標計算簡化原則

(1)預(yù)想事故重數(shù)簡化

隨著預(yù)想事故重數(shù)(r)的增加,系統(tǒng)枚舉狀態(tài)的規(guī)模也急劇增大,嚴重妨礙了風(fēng)險指標的有效計算。為此,采取如下簡化原則:1）假定位于不同區(qū)域的線路故障關(guān)聯(lián)性很小,從而忽略其后果分析,即只考慮位于同區(qū)的多條線路同時發(fā)生故障;2）對于3重以上事故,假定其發(fā)生概率趨近于零,從而可忽略其后果分析,即不再計入風(fēng)險指標計算當中;3）如果一個r重事故掃描的判定結(jié)果為失效狀態(tài),則假定與該事故相關(guān)的(r+k)重事故掃描的判定結(jié)果均為失效狀態(tài),且負荷消減量相同,從而忽略其后果分析。

(2)負荷水平等級簡化

事實上,在進行多級負荷水平的風(fēng)險評估時,應(yīng)針對負荷曲線上的所有負荷水平分別進行分析,再根據(jù)負荷水平持續(xù)時間進行指標匯總,但負荷水平的多樣性將直接導(dǎo)致計算分析規(guī)模的擴大。

三、電網(wǎng)規(guī)劃設(shè)計的風(fēng)險評估應(yīng)用

首先,在明確的規(guī)劃設(shè)計準則和清晰的規(guī)劃設(shè)計目標指導(dǎo)下進行電網(wǎng)規(guī)劃設(shè)計;其次,根據(jù)現(xiàn)有電網(wǎng)進行風(fēng)險評估后的結(jié)果與相關(guān)的技術(shù)分析以及規(guī)劃時間跨度內(nèi)的負荷水平與發(fā)電規(guī)劃,再結(jié)合電網(wǎng)運行人員的長期運行經(jīng)驗,提出有針對性地強化電網(wǎng)的有效措施,制定可行的規(guī)劃設(shè)計方案以滿足未來電網(wǎng)可靠性要求;最后,借助于風(fēng)險評估工具對制定的每個規(guī)劃設(shè)計方案進行可靠性預(yù)測分析與經(jīng)濟分析,最后依據(jù)總的投資成本最小或成本效益比最大的原則確定最佳規(guī)劃設(shè)計方案。

四、結(jié)語

本文將風(fēng)險評估理論與電網(wǎng)的規(guī)劃設(shè)計相結(jié)合, 提出了綜合電力系統(tǒng)故障發(fā)生概率和故障失效后果進行系統(tǒng)風(fēng)險評估的模型和算法。通過對電網(wǎng)規(guī)劃設(shè)計方案風(fēng)險指標的計算, 實現(xiàn)了在電網(wǎng)規(guī)劃設(shè)計中量化處理可靠性問題的目標, 進一步完善了傳統(tǒng)的電網(wǎng)規(guī)劃設(shè)計方法。

參考文獻

[1]孫強,張運洲,李雋,王樂,曾沅.  電網(wǎng)規(guī)劃設(shè)計中的風(fēng)險評估應(yīng)用[J]. 電力系統(tǒng)及其自動化學(xué)報. 2009(06)

篇10

【關(guān)鍵詞】風(fēng)險管理；建立背景；風(fēng)險評估；風(fēng)險處置；批準監(jiān)督；監(jiān)控審查；溝通咨詢；系統(tǒng)生命周期

當今我們是如何看待網(wǎng)絡(luò)與信息化？對個人，人需要信息化還是信息化“綁架”人？對企事業(yè)單位和社會團體，組織依賴信息化還是信息化成就組織？對經(jīng)濟發(fā)展，經(jīng)濟發(fā)展帶動了信息技術(shù)還是信息技術(shù)促進了經(jīng)濟發(fā)展？對社會穩(wěn)定，信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負面的？對國家安全，信息化是國家安全的利器還是禍害？沒有標準答案，但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險管理的內(nèi)容有哪些呢？我們作了以下的探討：

1.風(fēng)險管理的基本架構(gòu)與概念

1.1 風(fēng)險管理的基本架構(gòu)（如圖1-1所示）

1.2 風(fēng)險管理工作內(nèi)容

1.2.1 風(fēng)險管理工作主要內(nèi)容有：建立背景、風(fēng)險評估、風(fēng)險處置、批準監(jiān)督、監(jiān)控審查、溝通咨詢（如圖1-2所示）。

1.2.2 系統(tǒng)生命周期中的風(fēng)險管理：掌握系統(tǒng)規(guī)劃階段的風(fēng)險管理工作；掌握系統(tǒng)設(shè)計階段的風(fēng)險管理工作；掌握系統(tǒng)實施階段的風(fēng)險管理工作；掌握系統(tǒng)運行維護階段的風(fēng)險管理工作；掌握系統(tǒng)廢棄階段的風(fēng)險管理工作（如圖1-3所示）。

信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實際情況，經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會風(fēng)險管理運用好風(fēng)險管理的實質(zhì)內(nèi)容。

1.3 相關(guān)概念

1.3.1 通用風(fēng)險管理定義是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。

1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險管理方式？

常見問題：安全投資逐年增加，但看不到收益；按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個領(lǐng)域；當了CIO，時刻擔(dān)心系統(tǒng)出事，無法預(yù)見可能會出什么事。

問題根源淺析：沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低；沒有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風(fēng)險。決策者沒有看到安全投資收益報告，資金劃撥無參考依據(jù)。沒有殘余風(fēng)險清單，在什么條件可被觸發(fā)，如何做好控制?？偟膩碚f可以概括為以下三點：（1）信息安全風(fēng)險和事件不可能完全避免，沒有絕對的安全。（2）信息安全是高技術(shù)的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。（3）因此管理信息安全必須以風(fēng)險管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險，而不是完全消除風(fēng)險。

風(fēng)險管理是信息安全保障工作有效工作方式。好的風(fēng)險管理過程可以讓機構(gòu)以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平。好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險。而不是將保貴的資源用于解決所有可能的風(fēng)險。風(fēng)險管理是一個持續(xù)的PDCA管理過程，即計劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解，在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，做需求分析計劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國各省市部分基層院試運行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個持續(xù)的不斷完善的管理過程。

在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，也就會出現(xiàn)數(shù)據(jù)大集中，數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失，這就是它與生俱來的風(fēng)險，那么我們認識了這一點，就應(yīng)該采用相應(yīng)的技術(shù)措施來控制風(fēng)險。什么是信息安全風(fēng)險管理？了解風(fēng)險+控制風(fēng)險=管理風(fēng)險。定義一：GB/Z 24364《信息安全風(fēng)險管理指南》指：信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險，使風(fēng)險降低到可接受水平的過程。

1.3.3 正確的風(fēng)險管理方法是前瞻性風(fēng)險管理加反應(yīng)性風(fēng)險管理。

（1）前瞻性風(fēng)險管理：評估風(fēng)險、實施風(fēng)險決策、風(fēng)險控制、評定風(fēng)險管理的有效性。（2）反應(yīng)性風(fēng)險管理：保護人身安全、遏制損害、評估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過程并更新安全策略。風(fēng)險管理最佳實踐。簡單的例子：流行性感冒是一種致命的呼吸道疾病，美國每年都會有數(shù)以百萬計的感染者。這些感染者中，至少有100，000人必須入院治療，并且約有36，000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險管理方法。

1.3.4 全國使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險管理的目標是它能做好：保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義，信息安全風(fēng)險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險只考慮那些對組織有負面影響的事件。

2.風(fēng)險管理的工作內(nèi)容

2.1 背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準備，進行相關(guān)信息的調(diào)查和分析。風(fēng)險管理準備：確定對象、組建團隊、制定計劃、獲得支持。信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標、技術(shù)和管理上的特點。信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

2.2 信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息系統(tǒng)的安全風(fēng)險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險。所以信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔1-3年就進行一次全面安全風(fēng)險評估。風(fēng)險評估是分析確定風(fēng)險的過程。風(fēng)險評估的目的是控制風(fēng)險。風(fēng)險評估是風(fēng)險管理的起點和基礎(chǔ)環(huán)節(jié)。風(fēng)險管理是在倡導(dǎo)適度安全。

2.3 風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)。現(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以。處理目標確認：不可接受的風(fēng)險需要控制到怎樣的程度。處理措施選擇：選擇風(fēng)險處理方式，確定風(fēng)險控制措施。處理措施實施：制定具體安全方案，部署控制措施。常用的四類風(fēng)險處置方法如下：

2.3.1 減低風(fēng)險：通過對面臨風(fēng)險的資產(chǎn)采取保護措施來降低風(fēng)險。首先應(yīng)當考慮的風(fēng)險處置措施，通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構(gòu)成風(fēng)險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險。減低風(fēng)險辦法：減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護資產(chǎn)：采用各種防護措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持；降低負面影響：采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉(zhuǎn)移風(fēng)險：通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險。通常只有當風(fēng)險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險。在本機構(gòu)不具備足夠的安全保障的技術(shù)能力時，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機構(gòu)，從而避免技術(shù)風(fēng)險。通過給昂貴的設(shè)備上保險，將設(shè)備損失的風(fēng)險轉(zhuǎn)移給保險公司，從而降低資產(chǎn)價值的損失。

2.4 批準監(jiān)督。批準：是指機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風(fēng)險管理活動的決定。監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險管理主循環(huán)的有效性。

3.安全風(fēng)險評估實踐與國家相關(guān)政策

3.1 國家對開展風(fēng)險評估工作的政策要求

3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的信息安全風(fēng)險等因素，進行相應(yīng)等級的安全建設(shè)和管理”

3.1.2 《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風(fēng)險評估工作的相關(guān)要求：風(fēng)險評估的基本內(nèi)容和原則；風(fēng)險評估工作的基本要求；開展風(fēng)險評估工作的有關(guān)安排。

3.2 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的實施要求

3.2.1 信息安全風(fēng)險評估工作應(yīng)當貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段，通過信息安全風(fēng)險評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護或過保護的情況。

3.2.2 在信息系統(tǒng)建設(shè)完成驗收時，通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預(yù)期的安全目標。

3.3 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的管理要求

3.3.1 信息安全風(fēng)險評估工作敏感性強，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當，反而可能引入新的風(fēng)險，《意見》強調(diào)，必須高度重視信息安全風(fēng)險評估的組織管理工作。

3.3.2 為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，《意見》提出以下要求：（1）參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。（2）風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。（3）對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進行。

3.3.3 加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標準，盡快完善并頒布《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》等國家標準，各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范。

3.4 2071號文件對電子政務(wù)提出要求

為落實《國家電子政務(wù)工程建設(shè)項目管理暫行辦法》（發(fā)改委[2007]55號令）對風(fēng)險評估的要求，發(fā)改高技【2008】2071號文件《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》提出了具體要求：（相當于“信息安全審計”）電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作；評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險的影響等；項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作，作為項目驗收的重要依據(jù)；項目驗收申請時，應(yīng)提交信息安全風(fēng)險評估報告；系統(tǒng)投入運行后，應(yīng)定期開展信息安全風(fēng)險評估。

參考文獻

[1]信息安全測評中心.信息安全保障[Z].