开展安全风险辨识评估(精选8篇)
为认真贯彻落实《山西省煤炭厅关于全省煤矿构建安全风险分级管控和隐患排查治理双重预防机制的通知》(晋煤执发(2017)293号)的文件精神,结合《煤矿安全生产标准化考核定级办法(试行)》的内容和我矿的实际情况,现决定开展2018安全风险辨识评估工作,特制定本方案。
一、工作目标
全面开展安全风险辨识评估工作,认真辨识安全生产过程中的风险区域、关键因素和薄弱环节,评估安全生产过程中风险区域、关键因素和薄弱环节中的各类风险,确定各类风险等级,制定科学有效、切实可行的管控措施,建立完善安全风险分级管控体系,实现关口前移、精准监管、源头治理、科学预防、有效管控。通过深入开展安全风险辨识评估工作,进一步完善事故隐患排查治理工作各项内容,确保2018年实现安全风险分级管控和隐患排查治理双重预防机制标谁化、信息化,从根本上防范事故发生,构建公司安全生产长效机制。
二、组织机构
为加强安全风险辨识评估工作的组织领导,确保安全险辨识评估工作取得实效,特成立“安全风险辨识评估”工作组,对安全风险辨识评估工作全面指导和检查。
组 长:矿 长
副组长:安全矿长 技术矿长 生产矿长 通风矿长 机电矿长
通风副总 地测副总 机电副总 成 员:技术科长 执行科长 机运科长 地测科长 安监站长
监控主任 调度主任 回采队长 掘进队长 机电队长
通风队长 运输队长 探水队长 机修车间队长 工作组下设安全风险辨识评估办公室,办公室设在安监站,办公室主任由安监站长担任,负责安全风险辨识评估工作协调、审核、统计、汇总等工作。
三、工作计划
1、开展培训(12月20日)。为切实做好安全风险辨识评估工作,由安监站牵头,围绕“安全风险分级管控概念及逻辑关系”和“安全风险辨识评估流程”两方面重点内容,组织各部门及队组管理人员开展安全风险辨识评估技术培训工作,通过开展培训,进一步强化安全风险辨识评估理论知识,规范安全风险辨识评估过程中术语应用,有力保障安全风险辨识评估工作顺利开展。
2、排查风险点(12月21日-12月22日)。排查风险点是开展风险辨识评估的基础工作,也是重点环节,各部门专业技术组及专业技术人员要切实结合公司实际,根据作业场所和具体作业情况,全员、全过程、全方位排查公司可能导致事故发生的风险点,排查结束后,及时将排查结果于12月23日前报送至安监站,安监站对风险点进行筛查、审核,并汇总,做好风险辨识前准备。
3、风险辨识(12月23日-12月25日)。风险辨识是一项非常重要、基础的工作,同时也是一项耗时耗力的工作,涉及面广,是关系到安全风险分级管控工作是否落地的关键因素之各部门专业技术组及人员在开展风险辨识工作前,要将风险点内作业活动的作业步骤进行划分,划分完成后,根据作业步骤,以作业条件危险性分析法(LEC),采用查阅资料、询问交谈、现场检查等方法,辨识每一步骤存在的危害因素和导致事故的类型。各部门辨识完成后,于12月25日前,将辨识结果报送至安监站,安监站对辨识结果进行筛查、审核、汇总,做好风险评估前准备工作。
4、风险评估,确定风险等级(12月25日-12月27日)。风险评估是评估风险等级以及确定风险是否可容许的全过程,公司风险评估主要采用作业条件危险性分析法即LEC法。各部门专业技术组及技术人员根据前期风险辨识出的所有结果,一一对应进行评估工作,参与评估人员务必认真、严谨,充分考虑所有因素,听取所有参与评估人员的意见,由风险发生的可能性和可能造成的损失评定分数,对于出现不确定情况的分数,可以对照表格给分数进行集体讨论确定,依次确定重大风险、较大风险、一般风险和低风险。各部门专业技术组及技术人员在风险评估结東后,于12月28日前,将评估结果报送安监站,安监站对评估结果进行筛查、汇总,做好制定管控措施和分级管控准备工作。
5、明确管控措施,实施分级管控(12月28日-12月29日)。根据风险辨识评估的结果,各部门专业技术组及技术人员按照标准要求,从工程技术措施、管理措施、培训教育措施、个体防护措施和应急处臵措施五个方面方面,制定科学有效切实可行的管控措施,管控措施制定完成后,于12月30日前报送安监站,安监站对管控措施筛查、审核后,按照风险类别等级,逐一实施分级管控(公司、部室、队组、班组、岗位)。
6、编制安全风险清单,进行风险公告警示(12月30日-12月31日)。安全风险辨识评估结束后,安监站对所有辨识评估出的安全风险,编制公司安全风险清单,并将风险清单进行公布,让每名员工都了解风险点的基本情况、防范措施以及应急措施,同时根据辨识评估结果,更新岗位风险告知卡。
四、职责分工
(一)、领导组职责
1、制定安全风险分级管控工作制度,制定工作方案,明确辨识程序、评估方法、管控措施以及层级责任、考核奖惩等内容。
2、制定安全风险辨识的程序和方法(通过对系统的分析、危险源的调查、危险区域的划定、存在条件及触发因素的分析、潜在危险性分析)。
3、指导、督促各专业科室和队组开展安全风险分级管控工作。
(二)、办公室职责
1、办公室负责安全风险分级管控检查、督促安全风险分级管控工作的实施。
2、组织相关人员对全矿安全风险分级管控实施情况进行检查、考核。
3、承办上级部门和矿安全风险分级管控工作领导组交办的其他工作。
(三)、职责分工
1、矿长是安全风险分级管控的第一责任人,对安全风险分级管控全面负责。对安全风险分级辨识评估工作进行总体牵头和安排,并按照矿井安全风险评估辨识结果应用于确定安全生产重点工作,指导和完善生产计划、灾害预防和处理计划、应急救援预案,对安全风险评估辨识的危险因素,按管控措施要求,进行安全管控措施的安排。
2、技术负责人对安全风险辨识评估工作提供技术指导,并对评估分级结果和管控措施进行技术审核。
3、安全矿长负责对安全风险分级管控实施的监督、管理、考核。
4、各副矿长具体负责实施分管系统范围内的安全风险分级管控工作。
5、各副总及业务科室负责具体实施专业系统的安全风险辨识、评估分级、控制管理、公告警示等工作。
6、各队负责人负责本作业区域和工艺工序的安全风险管控措施的落实。
7、班组长负责本作业区域的安全风险辨识管控,岗位人员负责安全风险管控工作的具体承办,对安全风险辨识评估工作的后续落实,进行现场跟进,负责本岗位的安全风险管控措施的实施。
8、安监站负责安全风险分级管控工作的具体开展,督促各专业及业务科室,定期对矿井所有范围内的危险因素进行排查辨识评估等级,及时更新完善矿井安全风险相关内容,对现场风险管控措施落实情况进行监督检查,建立风险分级管控管理档案。
9、瓦斯防治中心负责全矿范围内瓦斯、煤尘、通风系统、压风自救和供水施救系统、瓦斯监测系统、防灭火监测系统及主要回风巷等地点安全风险辨识评估分级工作,并编制落实相关管控措施。
10、监控中心负责通讯广播系统、信息传输系统、地面机房和信息传输设备、电子显示屏等安全风险辨识评估分级工作,并落实相关管控措施。
11、机运管理中心负责井上下大型机械设备、运输及地面机电检修房、风机房、配电室、井下变电所、水仓、水泵房等安全风险辨识评估分级工作,并落实相关管控措施。
12、水害防治中心负责地质构造、水灾等安全风险辨识评估分级工作,并落实相关管控措施。
13、技术科负责井下各作业地点顶板、巷壁、支护等风险辨识评估分级工作,并落实相关管控措施。
14、安监站负责办公区域、宿舍楼、炸药库、材料库、检身房、充灯房等安全风险辨识评估工作,并落实相关管控措施。
五、工作要求
(一)加强组织钡导。各部门要高度重视本次安全风险辨识评估工作,部门负责人要亲自抓起,积极组织、认真安排,同时各队组负责人要紧密配合生产业务科室风险辨识评估工作,向生产业务科室提供在风险辨识评估工作中必要的参考资料,确保风险辨识评估工作取得实效。(二)强化工作推动。各部门严格按照工作计划,根据工作职责范围,如期开展风险辨识评估工作,并按期向安监站报送,确保安全风险辨识评估各阶段工作高效率、高标准、高质量完成。
(三)注重联动配合。各部门在开展安全风险辨识评估工作过程中要互相配合、互相沟通,辨识评估过程中,出现流程上的问题,要及时与安监站联系,安监站做好协调、指导工作,营造互相促进、密切配合的氛围。
(四)发挥经验特长。安全风险辨识评估工作是一项线长面广的工作,各生产业务科室在辨识评估过程中,要充分听取各队组内有经验的员工建议和意见,确保风险辨识工作全面覆盖、不留死角。
关键词:生产人员,风险评估,安全长效
1 专业管理的目标描述
在安全生产诸要素中, “人”是最关键而又最活跃的因素, 也是影响安全生产最主要的因素。积极探索开展人员安全风险专项评估, 并以此来指导和安排安全生产工作, 具有重要意义。为此, 结合违章记分、自查自纠反违章、《安规》考试、历史安全事件、岗位安全风险大小、承担的工作任务情况等建立和量化了生产人员安全风险指标, 制订印发生产人员安全风险评估标准, 开展生产人员风险评估, 发布生产人员安全风险评价报告, 用来指导和安排安全生产工作。
2 专业管理的主要做法
2.1 全力推进生产人员风险评估平台建设
(1) 建立组织体系。公司成立以分管领导任组长、安质部主任任副组长的人员风险评估领导小组, 负责人员评估期间的组织领导。同时下设人员风险评估实施小组, 负责人员风险评估的标准建设与出具风险评估报告。
(2) 建立实施标准和评估范围。搭建人员风险评估标准是人员风险评估的理论基础, 由实施小组充分讨论, 试点开展, 不断调整, 最终确定了12个维度的人员风险开展评分。即:专业风险评分、任务风险评分、岗位风险评分、责任类型风险评分、专业工龄风险评分、理论水平风险评分、能力水平风险评分、安全意识风险评分、违章风险评分、安全事件风险评分、个体情绪风险评分、身体素质风险评分。以此形成了《国网湘西供电公司生产人员安全风险评估评分标准 (试行) 》。实施小组又根据评分标准, 进行了试点评分, 充分讨论, 最终确定了风险等级确定标准。即《国网湘西供电公司生产人员安全风险等级确认标准 (试行) 》。湘西公司还根据自身情况, 考虑首次开展人员风险评估只针对生产班组“三种人”。各基层单位在湘西公司开展“三种人”评估结束后可根据标准自行对本单位生产班组成员再进行班组其他人员的安全风险开展评估。
(3) 评估标准培训。为促进人员风险评估工作的顺利开展, 开展了以学习两个“标准”为主要内容的培训班, 培训对象为各生产单位、专业室、县公司的安全专责人员, 使其对各自的工作内容有了清楚的认识, 对工作要求、工作流程有了清晰的思路, 为人员风险评估的实际运用奠定了基础。
2.2 扎实开展生产人员风险评估
(1) 根据《国网湘西供电公司生产班组人员安全生产风险评估评分标准 (试行) 》, 由人员风险评估实施小组建立湘西供电公司生产班组人员“三种人”安全风险评估基础数据库模板。
(2) 下发基础数据库模板, 由各生产单位、专业室、县公司的安全专责收集近3年以来各项评估指标模板需要的基础数据, 并根模板要求填写基础数据, 并对数据的真实性负责。
(3) 风险评分。公司根据人员风险评估实施小组制订的《国网湘西供电公司生产班组人员安全生产风险评估评分标准 (试行) 》结合个单位上报的安全风险评估基础数据。对所有生产班组的每一位“三种人”均进行12个维度的风险评分。即:专业风险评分、任务风险评分、岗位风险评分、责任类型风险评分、专业工龄风险评分、理论水平风险评分、能力水平风险评分、安全意识风险评分、违章风险评分、安全事件风险评分、个体情绪风险评分、身体素质风险评分。
(4) 人员风险等级确定:按照《国网湘西供电公司生产班组人员 (“三种人”) 安全风险评估数据库》综合计算评分结果, 根据分数的高低确定风险等级。即:一级风险 (较高风险) 、二级风险 (中等风险) 、三级风险 (较低风险) 、四级风险 (很低风险) 、五级风险 (极低风险) 。
(5) 人员风险评估运用。经历了前期的基础数据填报, 建立了完整的评估基础数据库, 由实施小组开展生产人员“三种人”进行数据审查、评分、风险等级确认, 出具《国网湘西供电公司“三种人”安全风险评估报告》。湘西公司进行的人员风险评估共涉及所有基层单位生产一线班组621人。其中工作票签发人112人, 一级工作负责人125人, 二级工作负责人144人, 工作许可人240人。确认一级风险11人, 二级风险36人, 三级风险189人, 四级风险330人, 五级风险55人。公司对各风险点采取相应的预防及纠正措施, 使其风险消除或降低到可接受的程度, 并以此来指导和安排安全生产工作, 保证安全生产。
3 评估与改进
3.1 评估
湘西公司此次风险评估从构建评分办法、评分标准、建立人员风险评估基础数据库、填报数据、审核数据、出具分析报告, 工作共历时1个月。由于是初次开展此类评估工作, 在无外界任何借鉴的情况下, 难免出现评估方法和手段不合理、不科学的情况。但这将是人员风险评估一次有益的尝试, 意义重大, 特别是这样技术密集、风险高危的电力企业, 对安全生产指导和安排安全生产工作提供了宝贵的依据。发现风险是防止风险发生的前提, 降低和消除风险是此次风险评估的重要意义所在, 只要不断地完善评估方法和手段, 相信未来的人员风险评估工作会越来越科学、越来越好地服务生产作业, 为公司构建本质安全长效机制做出应有的贡献。
3.2 改进
(1) 把握此次人员风险评估的契机, 利用《国网湘西供电公司生产人员安全风险评估评分标准 (试行) 》、《国网湘西供电公司生产人员安全风险等级确认标准 (试行) 》, 各基层单位充分发挥主观能动性, 再次对生产班组的其他班员开展风险评估, 举一反三, 发现风险人员、防范风险发生。
(2) 启动收集《国网湘西供电公司生产人员安全风险评估评分标准 (试行) 》、《国网湘西供电公司生产人员安全风险等级确认标准 (试行) 》实施应用意见, 不断完善标准的科学性、实用性。
参考文献
[1]国网 (安监/2) 406-2014, 国家电网公司电力安全工作规程[Z].
[2]全国人大常委会.中华人民共和国安全生产法 (2014年修订) [Z].
【关键词】安全生产风险;作业风险评估;变电专业
0.前言
电力生产活动涉及电网、设备、生产环境、作业及管理等方面的风险。安全生产风险管理体系提出了九大管理单元,对安全生产各个环节进行管理。九大单元(模块)包括:安全管理、风险评估与控制、应急与事故管理、作业环境、生产用具、生产管理、职业健康系统、能力要求与培训、检查与审核。九大单元(模块)又由51个要素、159个管理节点和480条管理子标准组成。这九个单元指出了安全生产需要管理的范围,要素指出了需要具体管理的工作内容,管理节点指出了要素的管理关键点和流程节点,子标准是各个流程节点的工作要求或方法。单元、要素、节点、子标准之间相互关联或链接,形成基于风险的安全生产管理有机整体。[1]其中风险评估与控制管理单元中的作业风险评估是变电运行专业其中一个重要的风险评估工作,是安全生产风险管理体系持续运转的重要环节,也是确保变电运行专业现场作业风险可控、预控的关键。
1.作业风险评估的一般方法
风险评估的一般方法是PES法,就是说在进行风险等级分析时需考虑三个因素:由于危害造成可能事故的后果;暴露于危害因素的频率;完整的事故顺序和发生后果的可能性。
风险评估公式:风险值 =后果(S)×暴露(E)×可能性(P)
在使用公式时,根据现有的基础数据和风险评估人员的判断与经验确定每个因素分配的数字等级或比重。后果、暴露、可能性的定义如下:
后果:指所考虑的风险造成的最可能后果,包括伤害,疾病,财产损坏。事故的后果,从100分的“灾难”到1分的“小割伤或擦伤”,按程度分别赋予相应的数值。
暴露:指危害事件发生的频率,这个危害事件是第一个可能启动事故序列的意外事件。危险事件发生的频率,从10分的“持续通过”到0.5分的“特别的少”按层次分别赋予相应的数值[1]。
2.作业风险评估工作开展的工作方法
电力企业风险评估有三类:a.基准风险评估,即对企业生产作业流程进行全面的风险评估,并作为持续改进的基准。b.基于问题的风险评估,即针对企业基准风险评估中所确定高风险对象,或生产过程中发生事故、事件暴露的高风险问题进行风险评估;c.持续风险评估,即企业开展持续的风险评估,及时、动态修改风险评估内容,并做出相适应的规避风险措施。[1]变电运行专业的作业风险评估属于基准风险评估,每年定期开展。年度作业风险评估开展流程如下:
一是作业风险评估技能回顾,主要是对班组代表开展作业风险评估技能专项培训。重点回顾作业风险评估方法,基准作业风险评估工作的顺利开展。
二是作业风险评估回顾、评估内容更新,主要是对上一年度已完成的作业风险评估、作业风险评估概述,根据最新作业任务清单,结合年度审查中关于作业风险评估所发现的问题,重新运用PES作业风险评估方法,组织人员审查班组有关评估结果。
三是回顾、更新关键任务。运行人员在作业风险评估结果的基础上,回顾各项关键任务,形成关键任务分析,为作业表单修编工作提供依据。
四是是修编作业风险概述。根据作业风险评估结果,形成本班组作业风险概述。
最后是风险评估结果应用。就是说跟据本班组的作业风险概述,审查有关控制风险的管理措施和技术措施的落实情况,制定有关措施的实施工作计划,推进计划的落实。
3.作业风险评估工作在变电运行的运用
在开展变电运行的作业风险工作过程中往往存在以下两个问题:一是全员参与性不足,特别是资历较深的运行人员。这会影响到评估结果的准确性,同时也失去了全面增强全体人员风险意识的机会。二是作业风险评估结果不能应用到作业表单,进而不能有效控制现场风险。
为了解决全员参与性不足的问题,我们采取分组讨论--集中审核的方式,资历较深的运行人员被平均分到小组中讨论,充分发挥他们经验丰富的优点,为作业风险评估提供依据。集中审核时采取交叉审核方式,有利于保证人员参与作业风险评估的完整性。为了解决作业风险评估结果的应用性问题,在执行作业表单时必须对表单中的风险评估结果进行审核,发现作业风险评估结果未能应用到新作业表单中时,应该立即启动安全风险管理体系中的纠正与预防流程,提出修编建议。
下面以500kV某变电站为例,阐述作业风险评估在变电运行中的开展情况:
(1)根据相关作业风险评估工作方案,500kV某变电站选派安全区代表参加局组织的安全风险管理体系知识和作业风险评估培训班,接着在站内开展作业风险评估知识培训,以保证作业风险评估方法的全员掌握。
(2)经过全体人员讨论和梳理,本专业共有作业任务59项。
(3)利用安全活动或交接班的机会,将59项作业任务分成三组开展作业风险评估工作,然后集中交叉审核和讨论,最后汇总成为《区域内作业风险评估填报表》。
(4)最后形成本站的作业风险概述。总结出500kV某变电站日常工作中存在的主要危害有9种。对这9种危害进行评估,得出可接受及低风险主要分布在化学危害、职业健康、物理危害、人机功效、环境危害。中等风险危害有7个,中等风险危害有行为危害、化学危害、职业健康、物理危害、人机功效、环境危害,包括误碰故障设备、错投退压板、合(分)刀闸不到位、受伤的人、开路的CT等等。作业风险结果为修编作业表单提供依据。
(5)根据作业风险评估结果,修编运行专业的作业表单。目前500kV某变电站共有42份通用变电作业表单和8份专用变电作业表单,为变电运行现场工作提供有效可靠的风险预控措施。
4.结语
安全生产风险管理体系是南方电网公司在安全生产管理方面的创新,也是落实南网方略的具体体现。作业风险评估工作是四大风险评估工作之一,对变电运行专业现场风险预控有非常重要的意义。变电专业的作业风险评估已经开展了一段时间,虽然取得了一定的成果但仍存在有发展的空间。这主要是指如何将作业风险评估结果更有效指导现场作业,从而达到现场作业风险可控的目的。在这个问题上我们仍然需要在实践中继续探索。这需要基层变电专业坚持持续改进的原则,为深入践行安全生产风险管理体系继续向前。 [科]
【参考文献】
为了落实好《关于开展2015年危险源辨识及风险评估工作的通知》精神,提高全员危险源识别和风险管控能力,形成一套规范的“一个流程”管理,分公司危险源辨识及风险评估宣讲组开展为期一个月的管内10个站区巡回宣讲活动,确保分公司2015年危险源辨识工作落到实处。
一、成立宣讲活动小组,统一宣讲思想
2015年1月4日成立以分公司经理助理曹利民同志为组长,丰汉羽等25人为组员的宣讲组,1月5日宣讲组成员集中,进行了统一宣讲思想培训。采用“两集中、一分散”的方法进行宣讲,即:机关宣讲组集中统一思想,到达站区后组织站区管理人员、技术骨干再进行一次集中宣讲,站区宣讲完毕后分专业到各工队进行危险源辨识指导工作。
二、宣讲活动陆续展开,陆续总结提高,确保宣讲活动扎实有效
(一)精心组织、认真安排,使宣讲活动井井有条。分公司曹助理精心策划,各位宣讲员、基层各单位严格按宣讲活动安排参加宣讲活动,使得本次活动按照既定计划按期完成。
(二)严格监督,不走形式,使宣讲工作讲求实效。宣将组在宣讲期间加强了检查指导,确保宣讲人员听课人员的到位,确保宣讲质量,在宣讲活动过程中,每个站点曹助理都身先士卒具体策划,如何讲职工能听懂、落实好,并且每次宣讲完毕,宣讲组要进行宣讲情况回访,将建议和意见吸取,在下个点时完善。比如:有的站点提出,将风险预控管理办法职工听不懂如何做,应该举例进行说明,宣讲组一一采纳。
(三)陆续宣讲,陆续丰富宣讲内容
首先,安全监察室体系主管就如何开展危险源辨识,危险源分类、辨识范围,采用什么样的方法辨识,辨识形成的记录都一一进行了明确,举例进行说明。其次,曹助理就风险预控管理体系建设的重要性和必要性给全员进行灌输,体系建设不是搞不搞的问题,是搞好的问题,要求全员必须放下身段仔细研究,做好体系建设。再次,要将危险源辨识宣讲开展成一次全员接受安全教育的过程,开展成一次案例教育的过程,开展成总结过去,展望今后工作的动员会和发动会的过程,根据生产实际制定危险源名称、预控措施和控制标准。同时要求每位参训人员在工作时考虑上班前亲人的嘱托,回忆事故、故障现场惨烈画面,考虑亲人撕心裂肺的悲痛场面,回想自家墙上的全家福,再次考虑朔黄发展蓝图。时刻牢记危险源时时处处存在,风险预控工作是一项长期的工作,必须反复抓、抓反复,确保个人、公司安全长治久安。最后,邀请站点管理人员互动,讲自己亲身经历的危险事,讲发生在自己管辖的危险事,激发全员危险源辨识的积极性、主动性。
(四)效果明显
通过宣讲,基层全员对风险预控管理体系“一个流程”管理有了更深层次的认识,统一分公司上下全力推动风险预控管理体系建设的思想,变“被动辨识”为“主动辨识”,从辨识结果来看,较往年有了更大的进步,危险源名称更接地气、措施针对性更强、标准简明扼要,方便职工记忆,便于全员应用,为分公司安全生产保驾护航打下良好的基础。
三、存在不足
1、宣讲组成员自身业务素质不高。
2、安排不合理,宣讲时间不充足,与其他任务冲突。
四、下一步工作打算。
1、年初外聘教师进行一次集中轮训,保证宣讲内容、思想统一。
2、加强领导监督,创新宣讲形式,丰富宣讲内容,提高宣讲的效率、效果。
为贯彻落实上级建立安全生产分级管控和隐患排查治理双重预防机制建设的有关文件要求,坚决遏制和防范教育领域重特大安全事故发生,按照“把风险管控挺在隐患排查治理前面,把隐患排查治理挺在事故发生前面,防止隐患酿成事故”的原则,依据我市前期下发的隐患排查清单,我们探索制订了本指导说明。望每所学校都要按照此说明,因校制宜,积极探索建立和完善本校风险分级管理和隐患排查治理双重管理机制,进一步强化风险管理,落实相关要求,完善相关措施,确保教育安全。
一、主要内容。为便于帮助和指导学校建立风险分级体系,在前期风险隐患清单编制和主体责任清单编制的基础上,我们对13项一级指标、68项二级指标的268个潜在隐患(风险点)进行了辨识分级。
二、风险分级。对268个风险点按危险程度分为1、2、3、4级,1级为最危险级,依次降低,分别用红色、橙色、黄色、蓝色表示。
三、落实分级管控措施。每个风险点必须明确管控责任,制定管控措施,包括制度管理措施、物理工程措施、在线监测措施、视频监控措施、自动化控制措施、应急管理措施等。并建立安全风险公告、确认和落实措施告知“明白卡”。
四、登记造册。学校要结合各自实际,可以对此清单进行拆分、组合、补充、修改、完善,力求将学校所有风险点逐一登记,建立风险管控档案,形成一校一册,并报当地教育局安全管理科室。
五、加强隐患排查治理。学校要主动定期排查隐患和不安全因素,发现问题立即整改。一时难以整改的要落实整改措施、整改责任、资金、时限和预案,并限时完成。要采取自查、全员查、家长查、协作区互查、聘请专家查、邀请部门查等方式,确保隐患不酿成事故。
六、提升应急处置能力。落实各项风险特别是1、2级风险应急处置措施,完善各类应急处置预案。加强部门联动,定期实施应急演练,提升全员应急能力。
七、落实主体责任。学校要进一步巩固和深化去年“学校安全主体责任年”成效和形成的机制,按照主体责任清单要求,不断强化自查自纠。强化安全“一岗双责”,做到每个部位、每个环节、每项风险、每条隐患都有人管,都尽职责。
八、强化教育和培训。要采取集中教育和日常教育相结合,掌握知识和实际演练相结合,平台教育和常规教育相结合,正常授课与学科渗透相结合,教育与板报、广播等广泛宣传相结合,学校和有关部门相结合、日常安全提醒和微信、QQ群安全信息推送相结合等方式,小学安全教育以游戏和模拟为主,初中以活动和体验为主,高中以体验和辨析为主,不断提高学生安全素养。密切家校沟通,巩固安全教育成效。要定期对教职工进行安全培训,提高教职工安全管理能力。
九、县(市、区)要做好检查指导。各县(市、区)要在学校风险分级管控基础上,每年分析、排查、评估、研判安全风险,并将风险确定为“红、橙、黄、蓝”4个等级(红色为最高),制定区域内学校风险管控和隐患分布地图。落实每处风险监管(管理)责任,强化管控措施,加强检查指导,确保风险处在可管可控状态。建立健全安全风险公告警示和重大风险安全预警机制,定期对红色、橙色安全风险进行分析、评估预警。
各县(市、区)教育局、各校在执行过程中,发现问题,请及时报我局安全科。上级教育部门下发文件或标准后,执行上级规定。
——阿图什市社会稳定风险评估工作经验材料
自开展社会稳定风险评估工作以来,阿图什市把社会稳定风险评估工作作为深化平安建设的务实之举,积极探索建立社会稳定风险评估机制,大力推行稳定风险评估工作,切实从源头上预防和减少不稳定因素和公共安全事件的发生,实现了由被动保稳定到主动促稳定的转变,由事后化解到事前防范的转变,保障了经济社会又好又快的发展。
一、健全机构,加强领导,狠抓落实。市委、市政府切实加强各级、各部门评估机制建设,配齐配强人员。在市一级建立了以市委副书记、政法委书记、公安局长为组长,各相关职能部门负责人为成员的社会稳定风险评估工作领导小组,领导小组下设办公室,组织协调相关职能部门对决定的重大工程项目做好“事前、事中、事后”各项的监督工作,具体部署组织开展评估工作。同时,各乡、街道,相关责任部门也成立了社会稳定风险评估工作领导小组,结合实际,制定和落实针对性、操作性强的专项稳定风险评估制度和配套办法,从源头上筑牢坚实防线。进一步明确了职责,做到了组织机构、人员落实到位,使社会稳定风险评估工作常抓不懈。各级各部门高度重视,精心组织,扎实推进,使这项工作迅速在全市铺开。
二、健全制度,完善措施,确定等级。为了加快推进稳评工作制度建设,形成健全有效地预防和约束机制,使“关口”前移,变被动化解为主动预防,形成改革、发展、稳定的良心互动。市委、市政府相继出台了《关于建立阿图什市社会稳定风险评估机制的实施意见》,明确了社会稳定风险评估的基本原则、工作范围和主要内容、决策程序和责任追究等事项。印发了《关于对重点项目进行社会稳定风险评估的通知》和《关于做好社会稳定风险评估工作的通知》,转发了《克州2011年重大事项社会稳定风险评估工作流程图》,制定了《加强建设领域管理减少社会稳定风险的实施方案》和《建立了社会稳定风险评估制度》等一系列规范性文件,今年来,市评估办及时召开稳定风险评估工作领导小组会议,推进稳评工作,对评估任务和责任进行了细化和分解,各稳评责任部门结合各自行业特点,紧密联系当前 项目建设和改革事项的实际情况,也制定了符合本部门、本行业实际情况的,可操作性的社会稳定风险评估办法、规范程序、步骤,做到了综合评估,科学决策。建立预警机制,确定风险等级。对现行风险、潜在风险和可能诱发风险的因数事前进行综合分析,建立四级预警机制,分类处置,即:存在严重稳定风险,可能引发重特大涉稳事件的为一级预警,不准实施;存在较大稳定风险短期内难以解决的为二级预警,暂缓实施;存在一定风险但可以控制的为三级预警,分步实施;稳定风险较小的为四级风险,准予实施。阿图什前两年,因电瓶三轮车在城市载人拉客引发的出租车车主上访事件,对是否取缔非营运电瓶三轮车在城市载人拉客这一问题事前进行了社会风险评估,考虑到此事涉及数百人的谋生问题,如贸然采取“取缔”措施,将会引起该群体的极大不稳定,经研究决定,将其定位在一级风险。为降低稳定风险,我们按照社会稳定风险评估的工作流程,首先确定了该评估项目,明确了市公安交警大队为项目评估的责任主体,负责项目的牵头和具体组织实施稳评工作;并研究制定了评估方案,在责任领导、组织形式、时间和工作步骤上进行了统筹安排,同时将方案 报请了市政府及社会稳定风险评估领导小组征得同意后组织实施。其次,市公安交警大队针对项目内容、牵涉面、涉及范围、项目情况进行了综合分析,预测稳定风险。通过组织专题座谈,组织干部、群众,人大代表、政协委员等人员进行座谈,预测风险;发放调查问卷,在社会面开展抽样调查,听取民意;组织实地查看,请城建、交通、运管等部门和出租车、电瓶三轮车司机及群众代表到城市街面进行实地查看,分析可行性,预测风险;广泛公示公告,在项目涉及和影响的范围内,在广播电视台、克州日报进行15天公示公告,让群众有充分的知情权、参与权和话语权,得到了群众的认可和好评。再次,对项目进行听证论证,由市委政法委、综治办组织协调召开公安、城建、交通、运管、信访、法制办等部门和干部群众代表听证会,对项目的稳定风险进行了论证,为稳评工作的科学评估提供了可靠的依据;同时,广泛征求人大、政协以及维稳、信访和公安等部门意见和听取基层意见和相关利益群体代表(出租车、电瓶三轮车司机)的利益诉求,综合分析,综合各类意见、建议进行分析,预测可能存在的稳定风险;制定应对措施,市公安交警大队根据评估综合出来的稳定 风险,制定了有效防范化解措施和应急预案。最后,形成评估报告,由市公安交警大队对可能引发的各种社会稳定风险逐项进行分析预测后,形成《社会稳定风险评估报告》,对稳定风险作出风险很大、较大、较小的评价,并报请市稳定风险评估领导小组审定;审查评估报告,由市评估办召开评估领导小组会议,对市公安交警大队提交的《评估报告》进行综合分析,作出重大事项可实施、暂缓实施和不实施决定,并向责任主体反馈。市公安交警大队根据反馈意见,形成可行性报告,提交市政府由市政府形成文件下发,最后决定由“取缔”改为“限载”,确保了新政策出台后没有引发不稳定问题。
三、创新思路,科学部署,强势推进。2010年,阿图什市开始推行社会稳定风险评估工作,由市委政法委、综治办牵头,先后在建设、教育、水利、农业等部门确定了4个评估项目,作为我市社会稳定风险评估试点项目。并对已经评估并付诸实施的事项,坚持全程跟踪并做好后续工作,及时预测、发现和化解遇到的矛盾问题,确保政策、决策的正确执行和改革举措、项目建设的顺利进行。今年来,我市已在确定的13个评估项目中,对4个项目进行了社会稳定风险评估,以市建设 局为责任主体的菜窖路改扩建、城市保障性住房、农村安居富民、廉租(公租)房建设项目在实施前,公开重大工程建设项目,深入群众,广泛宣传发动,开展民意调查、设置意见箱、举报电话、走村入户、召开群众座谈会等形式,广泛征求群众意见和建议,得到了群众的认可和好评。按照重大事项社会稳定风险评估工作十七项流程,分别从项目合法性、合理性、可行性,环境影响,抵制拆迁,社会稳定五个方面可能存在的稳定风险进行了分析和评估。为确保整个工程的顺利进行,我们将安置、拆迁、补偿、回迁等事项的风险评估贯穿工作的始终,确定了市四套班子领导负责两天一调度,由责任主体部门负责逐项化解涉稳风险。经不懈努力,所有涉稳风险均得以有效化解,未发生影响社会稳定的事件,目前,各项目正在稳步实施中。
四、创新方法,规范运作,初显成效。市委、市政府明确了重大事项的决策部门或重大项目的实施部门是稳评工作的责任主体,市评估办是考核验收的责任主体。全市逐步形成了“风险评估五步工作法”,要求第一步确定评估对象,组建工作班子,全面熟悉掌握有关情况;第二步深入调查研究,收集各方反映,要求对拟 定的每个重大事项,必须通过收集相关文件资料、问卷调查、民意测验等方式掌握评估对象基本情况;第三步预测风险等级,评估风险,要对事项实施后可能出现的不稳定因素,可能引发的矛盾冲突所涉及的人员数量、范围作出准确预测;第四步分析评审,履行审批程序,在分析论证基础上,形成评估报告,与决策建议、政策草案、项目报告、改革方案一同研究商定;第五步根据评估结论,作出实施、暂缓实施或暂不实施的决定,同时做好全程跟踪,保障了事项顺利实施。自稳评工作开展以来,阿图什市大力推行社会稳定风险评估及试点工作,赢得了广大群众对重大事项进行稳定风险评估的支持,及时预防化解社会矛盾50余起,征集群众意见200余条,整改建议30余条。通过大力推行社会稳定风险评估工作,从源头上预防和减少了社会不稳定因素和群体性上访事件的发生,为全市大建设、大开发、大发展营造了良好的社会治安环境,确保了重大建设项目的顺利实施,促进了全市经济社会又好又快的发展。
近年来, 随着煤矿安全监管力度的加大, 我国煤矿安全事故总体上有所下降, 但与欧美国家相比, 事故总量依然偏大。2010年度我国煤矿百万吨死亡率降至0.374, 而欧美国家煤矿百万吨死亡率只有0.02~0.03[1]。究其根源, 实际上煤矿安全事故的发生不是一个孤立的事件, 而是由多种风险因素相互作用的结果, 其中管理的失误是造成安全事故的主要原因[2,3], 事故的发生过程分为风险的出现和释放两个阶段 (王如君2005) [4], 在安全与危险的矛盾运动过程中, 管理失误引发安全流变与突变, 导致安全风险事故的发生[5,6];煤矿安全事故致因因素的属性、因素之间的关联以及系统的结构及演化, 各子系统之间的关联性、反馈动态性、非线性的因果关系等是引发煤矿事故的关键因素 (李贤功2010) [7]。由于煤矿安全事故的发生是人与物的相互作用而产生的一个复杂的动态系统, 人的不安全行为和物的不安全状态是引发煤矿安全事故的直接原因 (肖丹, 邸志强等2009) [8], 所以, 以人和物以及由人和物所延伸和泛化出来的各要素及各要素之间的关系等为研究对象来分析辨识煤矿安全风险致因及其演化机理成为当前的研究热点。傅贵, 殷文韬等 (2013) [9]认为煤矿安全事故归因于管理的漏洞, 将煤矿安全事故的致因首先分解为组织行为、个人行为两个层面, 并构建了新型现代事故致因链, 即行为安全“2-4”模型, 并据此制定煤矿安全管理措施;田水承和李红霞 (2007) [10]析了煤矿安全事故的三类危险源, 认为第三类危险源是事故发生的根本原因;陈红和龙如银 (2006) [11]从员工行为角度分析了煤矿安全事故致因, 进行了煤矿重大事故的“行为栅栏”体系设计;陈红、祁慧等 (2007) [12]对中国煤矿重大事故中故意违章行为进行了分析研究, 并构建了相关影响因素结构方程模型, 为煤矿重大事故风险管控提供了依据;许名标 (2006) [13]、王帅 (2007) [14]等认为管理的失误产生管理体制、人员、机械设备、环境和信息等的缺陷, 进而引起员工的不安全行为、设备和设施的不安全状态, 从而导致煤矿安全事故的发生;崔凯 (2013) [15]通过对煤矿安全管理中人因要素的分析, 构建出三类与煤矿安全管理紧密相关的人因指标模块, 并在煤矿构建了人因安全测评室。
以上对煤矿安全事故致因分别从不同的层面进行了研究, 取得了一定的成就, 对煤矿安全事故致因理论及安全管理工作起到推动作用。但是, 针对煤矿安全管理方面的风险致因研究还存在一定的不足。第一, 静态因素识别多, 动态因素分析与预测较少, 实际上, 煤矿安全管理是个复杂的动态、非线性、时变系统, 其风险因素也是动态的, 多元的;第二, 结果式研究偏多, 先兆式研究少, 一般是从事故发生导致损失以后去查找事故发生的原因, 寻求安全管理上的漏洞, 忽视事前安全管理方面的风险排查;第三, 主要采用定性研究方法, 定量分析和实证研究不足;第四, 注重安全管理风险因子本身的研究, 缺乏对各类风险因子的相互作用及其演化机理的研究。煤矿安全管理风险因子是多元的, 各系统内外的风险源、系统间的作用、变化等导致安全管理系统失调就会引发一系列的风险, 其风险的演化路径是相当复杂的, 每个系统的震荡或系统间发生碰撞都可能会引发风险的演化, 导致安全事故的发生。
本文研究对象为煤矿安全管理风险源辨识, 实证研究煤矿安全管理中人和物以及由人和物所延伸和泛化出来的各种风险因子及它们间的风险演化机理, 以期形成全面系统的煤矿安全管理多元风险演化机理模型体系, 为煤矿进行高效安全管理提供依据。
1 煤矿安全管理多元风险辨识
煤矿安全管理风险因子是指影响煤矿安全的与管理活动相关的一些不确定要素, 这些要素共同构成了潜在风险源。
鉴于目前煤矿安全管理现状, 本文采用文献追踪、领域专家访谈和打分相结合的方法, 对煤矿安全管理风险因子进行探讨。针对淮南某一矿、淮南某二矿、淮北某矿业企业等单位的部分管理人员进行深度访谈。参考国内外煤矿安全管理风险因子的相关文献, 全面分析影响煤矿安全管理的相关因素, 确定了60个指标作为本文的研究解释变量, 如表1所示。
采用粗糙集知识对属性进行约简, 消除冗余属性, 提炼出重要属性。在此基础上, 请18位煤矿安全管理领域的专家和26位相关专业的博士、硕士研究生, 对属性约简后的风险因子按照其对影响煤矿安全管理严重程度进行统计、打分和归类。根据约简和打分结果, 最终提炼整理出五大类共18项风险因子, 确定为煤矿安全管理主要风险因子, 其分类及风险描述如表2所示。
2 研究假设
本文研究假设模型的提出基于以下前提:
1) 风险因子在一般情况下是处于相对稳定的静止或游离状态, 一旦出现系统的震荡会引发风险因子的运动, 不同类型的风险因子运动方向是不同的。
2) 风险载体是指能承载或携带风险因子的人、物及各种潜在效应, 包括物质载体、信息载体、人员载体等, 风险因子的运动需要在载体的携带下进行, 不同的载体会携带风险因子向不同的方向运动。
3) 风险演化路径是指风险因子从潜在风险源出发, 依附于风险载体, 沿着特定的渠道向风险接受体靠近, 该渠道即为风险演化路径。渠道有长有短, 有宽有窄, 有单一渠道, 也有多元渠道, 所以风险演化的路径也是多元的。
4) 风险接受体即是被风险影响和辐射到的相关系统或要素, 包括相关人、物、企业的业务流程、职能部门、相关企业或其他利益相关者。
5) 安全管理系统的震荡需要有外力的作用, 这种外力即为风险诱因, 即促使潜在风险源中的风险因子与载体结合, 并沿着风险演化路径向风险接受体运动的驱动力。在没有风险诱因的情况下, 风险因子表现为无规则缓慢运动或相对静止状态。风险诱因在某种程度上增加了风险因子与载体结合的概率, 并提高了其向风险接受体运动的速度, 且不同的风险诱因会使风险因子沿不同的方向运动。如管理方法不当, 缺乏有效的激励机制即管理模式风险因子在风险诱因 (如员工缺乏责任感) 作用下会使风险向人员方向运动, 员工可能出现违规操作, 工作缺乏激情等;同样这个风险因子如果在诱因 (如组织职责不清) 促动下会使风险向管理决策方向运动, 即缺乏组织效力, 从而导致缺乏最佳决策方案, 计划制定是以决策为前提和基础的, 决策的偏差就会导致计划制定缺陷, 紧接着会出现计划执行与控制等一系列的偏差, 最终引发多元风险, 导致事故的发生, 造成重大经济损失甚至人员伤亡。
6) 风险演化要具备三大要素, 即风险因子、载体和诱因, 风险因子是多元的, 风险诱因及载体也是多方面的, 风险因子和诱因是不确定的, A风险因子可能是B风险的诱因, B风险因子也可能是A风险诱因, 其中管理失误是主要风险诱因。风险因子依附于风险载体并在诱因的作用下, 形成风险流并进行演化, 风险演化路径是不确定的, 既可能沿纵向路径演化, 也可能沿横向路径演化, 还可沿纵横多元交叉路径进行演化。
7) 风险演化是风险事故的必要条件, 并不是所有风险演化都能引发风险事故, 只有风险演化聚集的能量达到一定程度才能穿越风险墙 (风险因子和风险接受体之间的无形的虚拟墙, 即组织对风险的固有防范能力) , 感染风险接受体形成风险事故。
风险因子类型的合理划分与归类是研究风险演化的前提和基础, 基于以上假设, 对影响煤矿安全管理的18项风险因子进行归类, 归为五种类型:安全管理监控系统类, 安全管理组织类, 安全管理模式类, 安全管理能力类, 安全管理要素类。
本文在借鉴事故因子理论的基础上, 结合我国煤矿安全事故发生的规律和特点, 综合分析煤矿安全管理的现状及存在的问题, 构建煤矿安全管理风险演化机理假设模型, 如图1所示。
煤矿现有的安全监控系统、管理组织、管理模式、管理能力、管理要素中存在着风险因子。管理失范是主要的风险诱因, 对风险的演化起到诱发促动的作用, 风险因子与风险载体结合, 在促动诱因作用下形成风险流, 聚为风险波, 经过风险演化路径, 能量低的风险波被风险墙阻回, 被阻回的风险波可能消退, 也可能和后一轮风险波重新聚集形成新的风险波, 继续演化;能量高的风险波穿过风险墙, 感染风险接受体导致安全事故发生并造成初始损失, 经过应急处理形成最终损失。
3 研究过程
为了验证风险因子归类的正确性及风险演化机理模型构建的合理性, 本文设计了相关问卷, 首先通过探索性因子分析对煤矿安全管理风险因子的归类情况进行验证, 然后建立结构模型方程, 对风险因子、风险诱因及其间相互作用的演化机理假设模型进行研究, 探明各因素间的内在作用及演化机理。
3.1 数据处理
针对以上所分5类共18项安全管理风险因子, 进行相关问卷设计, 问卷主要包括两部分内容:一是统计被调查人的基本信息;二是问卷的主体, 要求根据5类共18项安全管理风险因子进行打分, 并就该18项风险因子对煤矿安全管理的影响作用进行评价, 确定因素的重要性。用改进的Likert (李克特) 量表计分法进行评价, 为了增加测量精度, 将此量表改进为9点法, “5”表示该风险因子对安全管理的影响最大, “1”表示最小, “2~4”依此表示“一般”、“大”“较大”, 居于“最大”与“一般”之间用1.5表示, “较大”与“最大”之间用4.5表示, 其余以此类推。为了提高问卷的准确性, 对所设计的问卷进行了预测试。邀请淮南谢一矿和张北矿的30名煤矿安全管理人员参加测试, 并让他们指出问卷中可能存在的问题, 将这些管理层人员的有益建议吸纳入调查问卷中。对问卷进行了压缩, 将原先设计的53个问题压缩为42个。使用修改确定后的问卷在淮南谢一矿、张北矿和淮北一些矿业企业等单位进行发放。共发出280份问卷, 有效回收198份, 有效回收率达到70%以上。受访人员中, 企业高层管理人员占总人数的23.4%, 中层管理人员占46.3%, 一般员工占30.3%。
3.2 风险因子归类验证
本文首先采用SPSSl8.0软件对统计结果进行KMO测度和Bartlett球形检验。检验结果显示, KMO测度值为0.829, 可以做因子分析 (通常情况下, KMO测度值越接近于1, 越适合做因子分析) ;Bartlett球形检验值为0.0086, 其统计值显著性概率小于0.01。说明Bartlett球形检验值数据通过检验[16]。
随机选择三分之一的样本, 利用SPSSl8.0软件进行探索性因子分析, 选择上述5类风险因子作为主成分因子。对原始因子荷载进行方差最大正交旋转。按照特征根大于1的原则, 这5类因子对总数据的总体解释程度为因子累计方差贡献率, 从表3可以看到, 其累计方差贡献率为75.599%, 可以对总数据进行解释。
3.3 风险演化机理模型检验
本文采用AMOSl8.0软件对提出的煤矿安全管理风险演化机理假设模型进行拟合, 其卡方值与自由度的比率NC测试值为1.62, 拟合系数CFI为0.95, 规范拟合系数NFI值为0.96, 近似方差的均方根RMSEA值为0.077, 拟合优度指数GFI为0.94, 调整后的拟合优度指数AGFI为0.91, 非范拟合指数NNFI为0.92。其测试值与理想参照数值结果如表4所示。各项指标均满足最低要求, 表明模型的拟合程度较高。说明本文所提出的风险演化机理假设模型是成立的。
4 结论与建议
由上述分析可知, 本文提出的煤矿安全管理多元风险演化机理假设模型是成立的。第一, 煤矿安全管理风险因子可划分为安全管理监控系统、管理组织、管理模式、管理能力、管理要素5个大类, 共提炼出18个风险因子, 管理失范对风险演化起到诱发促动作用, 是风险演化的主要诱因;第二, 煤矿安全管理风险因子存在如图1所示的相互关系及演化机理。
【关键词】信息系统;信息安全;风险评估;评估方法
【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影響,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、发布。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年
【开展安全风险辨识评估】推荐阅读:
安全隐患风险辨识07-06
学校开展安全教育09-13
开展年终安全检查简报07-15
信息安全教育开展情况09-18
开展安全月活动报道07-11
工地开展vr安全体验馆06-26
开展学校安全教育周活动总结09-07
关于开展消防安全检查的通知09-22
煤矿开展安全大讨论的思想认识06-19
关于开展安全体检专项活动的通知06-25
