建设安全评估范文
时间:2023-09-15 06:19:07
建设安全评估篇1
城市公共安全;公共安全评估;智慧城市;大数据
This paper describes the prospect of constructing and improving a public safety assessment system under the concept of smart city. The level of traditional safe city construction can be improved and the traditional city public safe system can realize the entity, modeling and computable relay on the internet of things, cloud computing, and big-data technologies. In this way, city safety system, which is sensible and automatically measured, is constructed.
city public safety; public safety assessment; smart city; big data
当前,智慧城市的建设已经从理论层面落实到中国很多城市的实际建设层面。中兴通讯作了不少实践,并有一些自己的提炼思考。在智慧城市中,城市公共安全的建设作为基础性需求,不容忽视。为有效预防、减少和降低城市公共安全风险,保护人民生命财产安全,实现经济社会可持续发展,有必要规范城市公共安全风险评估工作。
本文从智慧城市建设的实际出发,探讨基于智慧城市建设理念的城市公共安全建设与评估体系,为具体智慧城市系统建设提供借鉴。
1 智慧城市建设理念
智慧城市理念论述众多:从城市管理者角度来看,智慧城市意味着一种发展城市的新思维、新策略,是新型城镇化的必然需要,是一种在新一代信息技术支撑下,实现城市全面数字化后可视、可测量的智能化城市管理和运营模式,可以推动城市服务能力和管理水平的跨越式提升。从信息化专家的角度来看,智慧城市是城市信息化发展到高级阶段的一种形态,是城市的信息化经历数字化、智能化后的必然结果。从市民角度来看,智慧城市意味着生活品质、民生服务、居住环境等得到极大提升,新一代信息技术深入渗透到市民的衣、食、住、行等各个方面,智能、便捷与舒适成为城市生活的典型特征。
智慧城市是借助信息技术,把已有的各种生产要素优化组合,以更加精细和动态的方式管理生产和生活,形成技术集成、综合应用、高端发展的集约、智能、绿色、低碳的城市。基于此,我们认为智慧城市具有信息(Information)、智能(Intelligence)、创新(Innovation)、市民与城市互动(Interaction)的“4I”特征。
城市作为人类社会高度发展的组织形态,作为众多个人构成的集体活动实体,实际上在城市整体需求上也体现出了与个人需求相对应的层次需求模型。马斯洛理论把人的需求分成生理需求(Physiological Needs)、安全需求(Safety Needs)、爱和归属感(Love and Belonging,亦称为社交需求)、尊重(Esteem)和自我实现(Self-actualization)5类,依次由较低层次到较高层次排列。由此,安全需求不论对个人还是一个城市都是仅次于“活着”或者“存在”的基础性需求。
一个城市的安全需求是众多个人安全需求的集合,是一种公共安全的需求。城市安全关系到城市中的每个人。在智慧城市建设中,安全是一个基本模块。进行安全城市建设,必须坚持安全建设与评估两条腿走路,相互促进,共同发展[1-15]。
2 智慧化的安全城市系统
构建
在智慧化的城市公共安全建设中,物联网是城市公共安全基础信息采集、汇集的基础架构,大数据分析则是对海量基础数据进行模型分析的基本技术支撑,而云计算架构则为高强度的、成本可接受的柔性计算能力获取提供了基础保障。这些新技术的成熟应用是使整体城市公共安全体系构建成为可能的关键。
2.1 城市公共安全建设现状
近些年,城市公共安全的信息化建设主要落地到平安城市建设方面。构建平安城市业已成为政府建设共识。但当前平安城市的建设尚存在如下具体问题:
(1)信息系统缺乏整合
相关信息主要为公安等具体部门服务,缺乏从城市层面的共享与整合,其他城市管理部门建立了大量“烟囱式”的监控系统,缺乏标准互不相通;部门间的信息没有实现共享,“信息孤岛”现象非常普遍。基本上各方各自建设,各自享受自己的建设成果;各城市的电子防控系统多呈现分而治之状态,一个平安城市系统中有几种甚至十几种安防平台,且大多数之间没有实现互联。
(2)信息系统与城市中其他系统联动较少
缺乏业务的有机整合,视频监控系统自成一体,覆盖面小,应用面窄,缺乏与应急联动、警务指挥、城市管理等业务的高效整合,视频监控信息与警用地理信息系统(PGIS)及其他公安信息没有进行关联。
(3)各城市普遍存在“重建设、轻应用”的现象
智慧城市建设过程,对与智慧城市建设相配套的运作管理机制、服务模式、政策措施,要进行妥善的分析和梳理。建设与管理并重才是实现智慧城市最终目标的重要保障。信息化部署完成了,它只是个系统,是工具。此后,需要相应的城市管理人员和市民一起使用这套系统,并从中汲取“智慧”的价值,这才能达到真正意义上的智慧城市。
2.2 智慧理念下城市公共安全实践
当前,依托智慧城市理念和物联网、大数据、云计算技术,从技术角度看,城市公共安全建设可有如下升级方向:
(1)大联网平台建设
随着GB/T28181-2011《安全防范视频监控联网系统信息传输、交换、控制技术要求》于2012年6月1日正式生效,大联网平台建设已经成为未来几年平安城市建设的首要任务。城市公共安全建设的视频监控联网管理平台,必须开放系统能力,能够与主流监控厂商前端设备进行信息对接及互操作,可进行不同平台和设备之间的业务组合和调用,实现不同平台信息的往来交互。
(2)信息全网可调用
通过视频监控系统大联网平台建设的逐步深化,使得区域内经过授权的监控平台的操作台,均能够在区域范围内自由调动信息。同时,以上的互联和共享将完全在权限可控的状态下进行,以最大限度保证海量数据的有序使用。
(3)业务流程实战整合
发展应用型的城市公共安全建设专业化系统。城市公共安全系统的核心在于系统与警务的日常工作紧密结合,这样视频信息才能成为真正的“大数据”。和警方已经建设或者正在建设众多数字化的业务信息系统有效关联,使得平台系统更加贴近公安部门的实际业务应用,做到“三实”,即实际、实战、实效,从而贴近公安实战,促进信息共享,提高工作效率。
(4)高清设备的大量使用
公安对于城市公共安全系统建设从追求数量转变为追求质量的阶段。更高的清晰度成为提升视频监控质量的首要诉求。高清摄像机和高清编码器等被平安城市建设大量引入,同时移动高清摄像机也被各方案补充引入。
(5)视频智能分析深度应用
海量的视频文件、日志信息的挖掘、分析,可以有效提升治安监控系统的工作效率。通过对视频内容进行视频诊断、视频浓缩、视频检索、视频压缩等先进视频处理技术等,使视频资源从粗放无序的数据真正转化为精细可用的信息,并最终实现高效应用。
(6)云计算的大量使用
高清视频的广泛使用及城市级视频网络的完善将会产生大量视频数据,只有云计算的强大架构扩展能力,高可用性将使海量视频数据的有效处理成为可能。这对于对城市安全管理意义重大。
基于以上对城市公共安全系统建设的理解,中兴通讯提出了自己的平安城市解决方案,总体架构如图1所示。
3 安全城市的评估和实践
从实践中看,无论在之前的平安城市建设还是最新智慧城市架构下的智慧公安系统建设,不少地方都已经构建城市公共安全类相关系统,在不少城市也已经初步形成较完整的体系。但在这些系统建设中,是否有从城市公共安全评估的角度出发,更严谨地在事前基于评估数据更合理规划整体方案,在系统建成后根据实际使用情况评估城市安全水平的提升或变化,从而适度调整相关系统侧重或在后续建设中更加科学地、有针对性地对重点地区、重点问题进行安全系统规划和实施,这是需要考虑的问题。
实际情况中这方面通常被忽略。很多系统的规划设计,往往是侧重在“设计”系统本身,说明系统本身要解决的问题。而对系统所要解决的真正问题缺乏量化。相当于说,事先缺乏定量评估问题,事后缺乏定量评估成效。很多系统上马了,只能笼统地说“有了提升”,最多总体而言某个指标提升或下降了之类。而这些和城市公共安全评估应达到的“以评估指导规划,以评估调整布设,以评估安排升级”的要求有很大差距。
3.1 城市公共安全风险识别方法
影响城市公共安全风险评估进展的主要因素包括:评估时间、力度、展开幅度和深度,所有这些因素都应和城市实际安全状况和城市特性的不同点相符合。对不同的城市而言,应该选择适合本城市特性和发展水平的风险评估方法。这样的评估过程与正在进行的平安城市或智慧城市安全建设是一个并行关系,相互吸收经验,相互促进。
根据对各要素的指标量化及计算方法的不同,城市公共安全风险分析可分为定性分析、半定量分析和定量分析,或这些分析方法的组合。
3.1.1 城市公共安全的定性分析方法
定性分析方法是一种被广泛应用的风险分析方法,在城市公共安全分析中也同样如此。定性分析方法对风险产生的可能性和后果可用如“低、中、高”这样定性表达程度的表示方式。
但在城市公共安全风险的实际定性分析过程中,有时仅仅使用“低、中、高”这样的程度表达并不能显著分辨不同风险值间的差别,因此,在实践中,有时会考虑给这些主观判断的值设定一个数据化的结果,比如,设“高”为“3”,“中”为“2”,“低”为“1”。该“3”、“2”、“1”,并非一个客观的实验值,相反只是一个相对值。对本意仅用来确定等级的对应等级数据进行过度解读,可能会导致错误的决策。
城市公共安全风险的定性分析常用于:在开始细致风险分析前的最初风险鉴别,以找出可能需要更细致分析的风险;或者相关风险可能不值得花更多资源去进行更充分分析;或者实际具备的数据不足以进行更细致定量分析的场合。
城市公共安全的定性分析是基础性的分析方法。即使在可采用更进一步评估方法的场合,定性分析依然是非常重要的选择。
3.1.2 城市公共安全的半定量分析
半定量分析是在定性分析基础上的提升,同时也是对花费更大的完全定量分析的妥协。在半定量分析中,定性分析的某些定性分析数据可能已是确定数字,但每个子项所确定的数字并不一定与具有非常精确的对应关系。
在应用半定量分析时需要小心,因为半定量分析可能不能正确地区分各种不同风险,尤其是当分析结果或可能性处于极端状态的时候。因此,在实际分析时可将“可能性”分解成两个要素“暴露频率”和“概率”。所谓暴露频率是风险来源存在的程度,而概率是当相应风险源存在时产生后果的可能性。在上述两者间关系不是完全独立时需要审慎对待分析结果,因为相互干涉后的分析结果可能产生偏差。这是半定量分析需要注意避免的问题。
3.1.3 城市公共安全的定量分析
城市公共安全的定量风险分析主要关注两个基本数据:风险事件发生概率和风险对应可能损失的资产。这两者相乘的结果称为年度预期损失(ALE)或年度成本估算(EAC)。理论上可依据ALE计算威胁事件的风险等级并有针对性地做出相应的决策。
ALE的具体计算方法是首先评估城市单项资产的价值V;然后根据客观数据计算威胁的频率P;最后计算威胁影响系数μ:
ALE=V×P×μ
显然的,城市公共安全整体ALE值应该是各单项ALE的总和。
但上述方法存在数据可靠性问题。定量分析依赖准确数据,而准确数据整体上依赖于人类的科学发展水平。对于某些安全威胁,人们确认已可掌握相应数据信息,但对于另一些威胁来说,可能还无法掌握实际数据。这是定量分析当前的局限性。
在定量分析实际应用中,对于这样定量化的困难,可尝试使用客观概率和主观概率相结合的方法进行。客观概率用于有人们已经掌握客观数据的情形;主观概率则针对尚无法掌握直接根据数据的情况,此时将利用包括经验数据、主观判断等进行替代。举例来说,在社会稳定度评估中,对于攻击行为的威胁可考虑如动机、手段和机会等要素。
总体而言,完全定量分析方法的使用是有相当难度的。但从城市公共安全精细化、智能化及未来发展来说,定量分析毕竟是城市公共安全最希望采用的方法。
3.2 “全生命周期”公共安全评估实践
我们认为,一个真正的智慧城市公共安全系统在城市公共安全评估价值这方面应具备“全生命周期性”。所谓“全生命周期性”,是指应在智慧城市公共安全系统建设的规划设计、实施部署、使用运维、系统升级4个阶段全面引入城市公共安全评估方法,通过评估数据的变化指导上述4个过程形成闭环,不断提升整体城市安全系统的水平及有效性。
具体来说,在系统规划设计阶段,首先要做的是基于现有信息系统形成的各类数据,有针对性地对待建系统所要解决的公共安全问题现状进行评估,形成各类辅助决策分析结果,指导规划设计体现出应有的重点问题的侧重性、区域的差异性等。
针对平安城市的高清智能卡口布设问题:
(1)规划阶段进行风险识别和定量分析
利用比如历史报警数据、案事件区域数据、车流量数据、人口分布数据等计算出整体区域风险度分布图。将该数据所体现的区域差异性和整体卡口布设其他因素进行叠加,最终确定实际卡口布设位置、区域密度方案。
(2)在实施部署阶段多次联调测试及系统试运行
获取相关测试数据,进而评估系统整体有效性,发现系统不足,及时调整、改进系统本身及相关部署。
(3)运维阶段进行长效的公共安全评估
系统将在这个阶段持续给出城市公共安全状况评估,这不仅是给决策者对城市整体安全管理所用,也是给系统运营维护方面甚至于系统自身进行系统参数调整的必要依据。如果说决策人根据相关评估进行决策和调整是传统安全系统应做到的,那么系统自身根据自身产生的安全评估在事先系统设计模式下进行相关参数调整才是真正“智慧”城市公共安全系统的智慧体现。
毫无疑问,如果安全评估体系长效机制建立起来的话,系统升级参考相关评估进行就是非常自然的事了。系统的自我调节总是有效有限的,社会状况的变化、科技水平的提升则是永远的,所以,在反应现实公共安全状况的评估持续给出情况下,规划新的系统升级就是水到渠成的事情。系统升级某种意义上又回到了“规划设计”阶段,在持续评估的机制下,整个城市的公共安全体系将形成这样一个全生命周期、不断螺旋式提升的正向轨道。辅助这个全生命周期循环的形成,也正是智慧城市公共安全评估最大价值所在。
4 结束语
当前中国智慧城市建设方兴未艾。智慧城市建设投资巨大、影响深远,而城市公共安全是城市基础性需求之一,因此非常有必要在智慧城市的规划阶段就将城市公共安全评估体系纳入其中。传统上城市公共安全定量评估分析的方法,可以应用最新的物联网、大数据、云计算技术,从而降低评估的成本。这正是我们在后续智慧城市建设中需要不断探索、落实的事情。
参考文献
[1] GB/T 20000.4-2003. 标准化工作指南第4部分:标准中涉及安全的内容 [S]. 2003.
[2] ISO Guide 73:2009. Risk management - Vocabulary [S]. ISO, 2009.
[3] ISO 31000:2009. Risk management - Principles and guidelines [S]. ISO, 2009.
[4] AS/NZS 4360:2004. Risk management [S]. AS/NZS, 2004.
[5] 刘茂, 王振. 城市公共安全学――原理与分析 [M]. 北京: 北京大学出版社, 2009.
[6] 张继权. 城市公共安全学――应急与疏散 [M]. 北京: 北京大学出版社, 2009.
[7] 深圳市政府. 深圳市公共安全白皮书 [R]. 深圳市政府, 2013.
[8] 宋明哲. 现代风险管理 [M]. 北京: 中国纺织出版社, 2003.
[9] 刘波等. 灾害管理学 [M]. 长沙: 湖南人民出版社, 1998.
[10] 薛澜等. 危机管理 [M]. 北京: 清华大学出版社, 2003.
[11] 公安部加强和改进公安工作调研小组. 第20次全国公安会议专题研究报告 [R]. 公安部, 2003.
[12] 马鑫, 黄全义, 疏学明. 物联网在公共安全领域中的应用研究 [J]. 中国安全科学学报, 2010,19(3):12-16.
[13] 田依林. 城市公共安全应急管理信息系统建设模型 [J]. 武汉理工大学学报, 2007,47(2):2-5.
[14] 陆永. 物联网条件下的公共安全管理 [J]. 城市问题, 2011,8(4):22-24.
建设安全评估篇2
加强组织领导,精心准备
1 高度重视,认真准备。市档案局(馆)荣华局馆长先后两次对评估工作作了重要批示。各区县档案馆和专业(部门)档案馆领导对档案安全风险评估活动高度重视,认真落实档案安全风险评估工作要求,查漏补缺,做了大量细致的准备工作,特别是各单位“一把手”接到评估《通知》后,亲自部署,成立领导小组,组织相关人员召开会议,对《通知》进行了认真的学习、分析和讨论,动员大家集中力量投入到评估准备工作中去,把档案安全风险评估活动的各项准备工作细化到项,责任到人。
2 建立专门组织,确保评估活动有效开展。市档案局(馆)成立了档案安全风险评估工作领导小组,由方昀副局长任组长,成员为市档案局(馆)办公室、法制处、机关处、企业处、安全保卫处、保管部、电子信息部和开放利用部主要负责人。安全保卫处和法制处具体负责本次评估活动的实施,评估活动办公室设在安全保卫处,同时成立4个评估组,由安全保卫处和法制处负责同志带队,抽调办公室、机关处、企业处、电子信息部等处室共计18名成员参加整个评估活动。
3 制订评估标准,确保评估活动的严肃性和权威性。档案安全风险评估工作没有相对应的行业评估标准,天津市档案局(馆)领导和相关部门负责人根据档案系统法律法规和行业标准,对相关条款反复论证,几易其稿,制定了此次评估标准,为评估的开展提供了依据。
4 加强督促指导,确保评估活动取得成效。制定了切实可行的实施方案,下发了评估《通知》,明确了评估工作目标、主要任务、评估对象、评估方式、时间安排和成绩评定等内容。加强与评估单位联系,指导迎检工作,督促安全措施落实。
严格评估标准,督导评估内容落实
1 档案安全制度普遍健全。各档案馆普遍实行了档案安全责任制,由“一把手”负总责,加强了对档案安全、保密工作的领导,层层签订档案安全保密责任书,明确了各级安全责任。各档案馆制定了档案安全各项制度,如《档案安全责任制》、《档案工作人员岗位职责》、《档案库房管理制度》、《档案安全保密制度》、《档案查阅利用制度》等。经评估,各项制度落实情况普遍较好,其中天津市社保中心档案馆、市公安局档案馆等单位将国家档案局、天津市档案局及本系统制定的各项有关档案工作的规章制度汇编成册发至各基层单位档案室,并监督、指导各项制度的落实。开发区档案馆和电力公司档案馆等单位将评估内容中的“制度建设”装订成册,以便工作人员随时学习相关制度规定。
2 基础设施明显改善。近年来,天津市档案基础设施建设取得了较大的发展,档案保管条件普遍提高。各档案馆领导对档案馆合建设非常重视,部分馆合资金投入较大,全市档案馆合建设有了明显改善,如北辰区档案馆新馆已投入使用;河西区档案馆、武清区档案馆新馆已建成,宝坻区档案馆新馆建设方案已得到区政府的正式批复,开始筹建。天津市社保中心档案馆新馆在建设中,预计2012年即可落成使用。
各档案馆对档案安防设备的投入进一步加大,档案安全保管和利用水平进一步提升。如公安史志档案馆今年投入资金300万元对档案库房进行了彻底改造,新安装了指纹锁门禁系统、电脑控制的智能型密集架等,使档案保管和利用条件得到了提升,宁河县档案馆投入160万元,加强了安防设备的投入。大部分档案馆对消防报警和灭火系统较为重视,各单位都配备手提式灭火器,部分单位安装了消防自动报警系统和自动灭火系统,如北辰区档案馆、红桥区档案馆、南开区档案馆、大港档案馆和电力公司档案馆在档案库房中安装了消防自动灭火系统;大部分档案馆安装了监控系统,部分档案馆还安装了大屏幕监视监控系统,如:北辰区档案馆、公安史志档案馆;大部分档案馆档案库房内配备了温度和湿度检测和调控设备,城建档案馆等单位还安装了温湿度检测控制系统;大部分档案馆配有防盗报警系统,在档案库房外安装了报警监视系统,保证了值班人员能随时处置突发事件。
3 保密安全落实较好。各档案馆普遍对计算机系统安全、数据存储备份安全及设备安全等工作较为重视。各档案馆基本上能实现馆藏档案电子数据系统与办公、互联网的隔离,能够定期查杀电脑病毒,定期维护升级电脑病毒软件,采取各种措施,确保安全;对接收到电子文件进行集中保存、集中备份,对档案数据进行多种介质备份;能够单独使用介质,能够将计算机或系统与非计算机或系统物理隔离。
4 应急方案演练普遍加强。各档案馆结合自身实际情况制定了较为完善的防火、防盗、防水等应急预案,大部分档案馆能组织相关人员就火灾等预案定期演练。
经评估组认真评审,28家单位全部合格,其中评为优秀的单位有13家,占被评估单位的46.4%,评为良好的单位有7家。占被评估单位的25%。
评估活动实践,取得较好成效
1 解决了一批影响档案安全问题,消除了部分安全隐患。各档案馆以评估为契机,不仅完善各项制度,而且加强了各项安全措施建设。塘沽档案馆及时为库房等重要场所安装了门禁;南开区档案馆为消除火灾隐患,投入十多万元重新更换了老化线路;西青区档案馆对局馆重要场所增加了监控点位,扩大了视频监控范围,提高了档案安全管理水平;宁河县档案馆加快档案数字化建设进度,已完成全部馆藏扫描工作,平时查阅档案,做到档案实体不出库房,确保档案实体安全。在评估过程中,评估组还对房地产登记发证交易中心档案馆档案库房等重要场所钥匙交给物业保管,存在安全隐患的做法,予以了及时纠正。
2 摸清了全市档案馆档案安全底数。市档案局评估组本着实事求是的态度,对全市各区县档案馆、专业(部门)档案馆共28个单位逐一评估,按照局领导的指示,严格标准,不走过场。通过评估,掌握了全市各档案馆档案安全第一手资料,第一次大面积全面摸清全市档案馆档案安全底数。
3 推动了天津市档案安全体系建设。
自2010年国家档案局杨冬权局长从战略的高度提出“建立档案安全体系”以来,市档案局领导以高度的责任感和使命感,以敏锐的洞察力,紧扣档案系统发展脉搏,率先提出“在全市范围内建立和推行档案安全风险评估长效机制”,全市各区县档案馆、专业(部门)档案馆积极配合,加快了天津市档案安全体系建设步伐,推进天津市档案安全体系建设发展,为档案系统安全体系建设做了积极的探索和实践。
评估活动存在的问题
1 各区县、各专业(部门)档案馆基础设施建设存在安全隐患。经评估发现,全市大部分档案馆档案安全问题集中出现在基础设施方面:一是部分档案馆库建设滞后,不符合标准要求,存在安全隐患;二是消防报警和灭火系统不完善,部分区县档案馆无消防自动报警和灭火系统,在一定程度上影响对火险、火灾情况的预防和处置;三是有些档案馆未安装防盗报警系统;四是大部分档案馆监视监控设备安装不到位,库房内和档案利用场地无监控,在档案保管和利用环节存在一定的安全隐患五是大部分档案馆未建立温湿度监测控制系统,经实地检查,个别档案馆库房内的温湿度不达标,不利于档案的长久安全保管;六是电源管理工作有待改进,部分档案馆存在线路老化的现象,容易引发火险。七是门禁管理系统薄弱,大部分档案馆未安装门禁管理系统。
2 档案技术保护和信息保密工作中新技术、新方法运用不多。
除个别新建档案馆或者是规划在建的档案馆外,绝大多数档案馆未能设置计算机房屏蔽设施,大多数档案馆未做到档案数据远程备份。在档案安全保护技术方面,受资金投入的限制,大部分档案馆的原有档案基础设施建设仍有欠账,无力推广档案安全保护的新技术。档案信息化对档案信息保密安全要求越来越高,部分档案馆信息保密方法和措施不多,效果不明显,存在―定的安全隐患。
3 评估标准内容还需要细化,评分环节还需要统一。由于今年是第一次开展安全评估活动,各省市没有先例可借鉴,在评估标准和评分环节上都存在需要进一步研究和细化的内容。主要表现在:一是区县档案馆和专业(部门)档案馆在评估标准上应有所区别。二是4个评估组在实际评估活动中,对同一个评估项目扣分标准不够统一。
后续应进一步的工作
1 强化认识,加大档案安全宣传力度,提高档案安全意识。要充分认识档案安全的重要性,坚持和推进安全发展的理念不动摇。在工作部署上,实行责任到人;在具体工作安排上,要统筹安排,有部署有检查。加强档案干部业务培训,提高工作人员责任心。对工作人员要严格要求,规范工作流程,确保各个工作环节衔接准确,不出差错。特别是新搬迁或待搬迁的档案馆领导和工作人员要提高安全意识,加大安防力量,及时建立或调整应急预案,确保档案安全的迁入新馆。
2 针对存在的问题,及时整改。各档案馆应立即行动起来,对照此次评估工作中查出的有关问题,逐一进行整改,制定切实可行的整改方案,对重点问题、尤其是长期得不到解决的问题,要采取积极有效的措施,及时查漏补缺,全面提高各项工作的水平,以确保档案安全。
3 争取资金支持,加大基础设施投入。这次评估的结果表明,各档案馆在档案安全基础设施建设方面的欠账普遍较多,各档案馆确实要从保证档案安全、保证档案事业发展的需要出发,积极争取地方政府财政资金支持,加大安全设备投入力度,不断完善档案安全基础设施。
思考
通过这次档案安全评估活动,我们认为开展档案安全评估,是推动档案安全系统建设的重要手段,是保障档案安全的一项有效措施。为此:
全方位开展档案安全评估。档案安全涉及档案工作的每个部门,档案安全评估应针对国家综合档案馆、专业部门档案馆和档案室。
分层分级建立档案安全评估体系。省市县各级综合档案馆和专业部门档案馆保管档案的重要程度不同,档案安全的要求不同,应分层分级建立档案安全评估体系,进一步细化和分类档案安全评估指标。
运用先进技术,科学确定评估标准。应采用德尔菲法、层次分析法、熵权理论等先进的评估方法,细化评分内容,科学合理确定权重,使档案安全的评估标准更加完善、科学、合理。
建设安全评估篇3
【关键词】网络终端 数据 系统功能模块 量化模型
1 引言
随着计算机网络的普及和信息化的推进,网络与信息安全问题也日益突出,我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验,IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内,更重视网络系统内部数据的安全保护,网络终端是重要文件和重要数据的存放源头,许多安全事件往往发源于网络终端,来自终端的泄密事件、安全威胁也频频显现,网络终端安全管理已成为信息安全管理体系的薄弱环节。
对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析,并评估这些风险可能带来的安全威胁及影响程度,将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力,最大程度地保护信息资产。
目前,国内关于评估网络终端安全状况还没有统一的标准,网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨,尝试量化网络终端评估系统指标,将网络终端安全风险控制在可靠水平,从而最大程度提高终端安全水平。
2 网络终端安全评估方法
选择何种安全评估方法将直接影响到评估过程的各个环节,可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。
2.1 定量风险评估
定量评估对构成风险的各个要素和潜在的损失水平赋以数值,当量度风险的所有要素都被赋值后,建立起综合评价的数学模型,从而完成风险的量化计算。定量评估数据较为直观,分析方法相对客观,但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。
2.2 定性风险评估
定性评估主要依据研究人员的知识和经验,或业界标准、历史教训、政策走向等非量化
资料对系统风险作出评估,是一种模糊分析方法。定性分析操作相对简单,结论较为全面,但主观性强,易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。
2.3 综合风险评估
综合风险分析是将定性与定量评估相结合的一种分析方法,在不容易获得准确数据的情况下使用定性分析,在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法(简称AHP),它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。
3 网络终端安全评估指标体系研究
3.1 建立评估体系的原则
我国《信息安全风险评估规范》将风险评估的基本要素定义为:资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时,需要考虑以下4大原则:(1)必须遵循国际、国内信息安全评估规范,评估指标体系还应符合业务要求及应用特点,尽量满足用户及应用环境对网络终端安全性的要求。(2)设定的指标应涵盖终端安全所有风险要素,覆盖技术、管理各个层面,也囊括主观、客观各种因素。(3)指标的含义、目标应当明确,指标体系整体条理清晰,数据收集渠道应具现实操作性,保障定量分析的可行性。(4)评估指标要独立于网络终端安全的具体内容,不与其他指标内涵发生重叠。
3.2 网络终端安全评估框架设计
本文遵循评估体系建立原则,对网络终端安全状况建立起层次评估指标体系,拟将指标体系分为四层,详见表1。
实现网络终端安全状况评估指标体系,分为三步:一是建立层次评估指标体系;二是确定评估指标;三是对各个评估指标赋予权值。指标数据有多种来源,包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后,参照终端安全评估指标体系,采用文档审查、调查表等方式获得安全状况数据,再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。
3.3 网络终端安全量化评估模型建立
本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集,对被评估事物的模糊指标进行量化,再利用模糊变换原理对各指标进行综合评价。
3.3.1 建立评价对象因素集
设层次型评估指标体系为U,把因素集U分为n组,记做U={U1,U2,…,Un},其中Ui∩Uj≠Φ,i≠j(i,j=1,2,…,n)。设第i个子集为Ui={Ui1,Ui2,…,Uin},其中i表示第i组的单因素个数。
3.3.2 设置评判集和分配权重系数
设V={V1,V2,…,Vn}为评判集,由不同等级的描述组成的集合。m一般取奇数,评判集适用于任一层次和任一因素的评判。
3.3.3 单级模糊综合评价
成立一个评估专家小组,由专家对每个评估指标评判,并确定评估指标属于等级评判集中哪个级别,统计评估指标被评判为相应等级的专家数,相应等级专家数占专家总人数的百分比,即得到评估指标在此等级的隶属度,进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj,利用复合运算求出子因素Ui的综合评判结果:Bi=AiΟRi=(bi1 bi2 … bim),i=1,2,…,n。
3.3.4 计算最终综合评价结果
对单因素评价结果Bi再进行高层次的模糊综合评判,由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后,对多级因素集进行综合评价,得出评判因素U的最后评价结果为:B=AΟR=(b1 b2 … bm)。可根据评估指标的层次情况循环本轮计算,直至得到最满意的综合评价结果。
3.3.5 综合评价结果分析
模糊综合评价的最终结果不是一个单值,而是一个模糊子集,这样,能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出,最底层指标需要人为做隶属度判断,所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产(A)在保密性、完整性、可用性要求的不同程度,将三个属性划分为五个等级,对不同等级赋予不同数值;根据威胁(T)出现的频率对威胁进行赋值并划分五个等级;脆弱性(V)识别针对每一项资产,同样将其划分为五个等级。对网络终端安全评估值进行五等级划分,分别是好、良、中、差、极差,等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。
根据三个基本要素的最终赋值,并结合网络终端安全评估模型(图1),分析计算出网络终端安全评估值,计算过程分四步:(1)由A、T、V及风险发生概率决定网络终端安全评估值。(2)计算威胁利用脆弱性导致终端安全事件发生的可能性P,记为P=F1(T,V),P=T+V。(3)对资产造成的损失程度和威胁值、脆弱性、资产价值有关,记为L=F2(P,A),L=PXA。(4)考虑威胁发生并对资产造成的损失与风险发生的概率R,得出终端安全评估值S,S= F(L,R) ,S=LXR。
3.4 网络终端安全评估系统的设计与实现
3.4.1 系统需求分析
安全性评估分析,重点评估风险可能造成的威胁及影响,向系统管理员提交细致可靠的分析报告,让管理员掌握策略漏洞和安全状况,并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求:(1)识别网络终端资产。(2)对网络终端进行漏洞扫描,提供准确、客观的定量评估数据。(3)动态监测网络运行的终端资源,分析可能面临的威胁及发生的可能性。(4)进行终端安全评估,得到综合量化评估结论。(5)将数据、量化评估结果以报告形式输出。(6)给出安全解决方案或加固建议等,提高网络终端安全性。(7)管理使用评估系统的用户,分配不同权限。
3.4.2 网络终端安全评估系统设计
为减少系统资源占用,本文将评估系统设计在内网一台服务器上,设软件运行环境为Windows 2002/2003 Server,服务器被要求接入核心交换机。系统架构如图2所示。
3.4.3 系统功能模块实现
网络终端安全评估系统主要分为五大模块:资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。
(1)资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息,后者从资产数据库里读取终端IP地址、用户名、密码等信息,建立主机对象,将主机对象传给回调函数。
(2)脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端,并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。
(3)威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中,资源监测模块动态监测本地、远程终端资源,获取资源状态信息。
(4)终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估;完全评估则根据建立的安全评估指标体系里的指标因素集,利用多级模糊综合评判方法进行评估。
(5)响应模块。根据评估结果,匹配响应库里定义的规则,给出解决方案或加固建议。
系统接口设计方面,将系统分为三层:用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告;逻辑处理层实现上述五大模块的各项功能;数据中间层则屏蔽数据库细节,连接系统和多个数据库。系统接口设计如图3所示。
4 结束语
本文提出一套网络终端安全评估指标体系,建立起网络终端量化评估模型,将评估项目尽可能具体量化,以减少人为主观影响。下一步可考虑根据安全评估系统,对终端安全量化评估模型做进一步探索和改进,完善系统设计并扩充评估功能。
参考文献
[1]国家质量技术监督局.GB17859-1999,计算机信息系统安全保护等级划分准则[S].1999.
[2]国家质量监督检验检疫总局.GB/Z 24367-2009,信息安全技术 信息安全风险管理指南[S].2009.
[3]吴亚飞,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007(04).
[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪,2006,5:17-19.
[5]Xiaoping Wu,Yu Fu,Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution,Communication,Control,and Management.International Colloquium,2009,4:365-369.
[6]GB/T 20984-2007,信息安全技术信息安全风险评估规范[S].2007.
作者单位
1.国网重庆市电力公司客户服务中心 重庆市 400023
建设安全评估篇4
关键词 信息安全;风险评估;电子政务;实施;研探
中图分类号TP39 文献标识码A 文章编号 1674-6708(2014)114-0236-02
随着经济发展和社会信息化推进,网络和信息系统在电子政务领域的基础性作用日益凸显。网络和信息系统自身存在的风险和面临的威胁,给电子政务的持续健康发展埋下了安全隐患。2013年,美国中情局(CIA)前职员爱德华・斯诺登披露了美国绝密监控项目“棱镜计划”,全世界因此陷入一场“网络窃听风暴”。严峻的网络和信息安全威胁让电子政务面临前所未有的考验。
1 信息安全风险评估
信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段,为识别管理问题、制定管理策略服务的系统工程;是以威胁为出发点,结合系统脆弱性判断的评估过程;是周期性了解安全风险,采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节,是发现信息安全存在问题,找到解决方案的有效手段。
2 开展工作的重要意义
2006年,国家网络与信息安全协调小组审议通过了《关于开展信息安全风险评估工作的意见》。2014年,中央网络安全和信息化领导小组成立,体现了党中央全面深化改革的意志和保障网络安全、维护国家利益的决心。在3月份召开的全国“两会”上,人大代表和政协委员纷纷为网络和信息安全建言献策,网络和信息安全再一次提升到国家安全和社会稳定的政治高度。信息安全风险评估是信息系统安全建设的起点和基础,为防范和化解信息安全风险从而最大限度地保障网络和信息安全提供了科学依据。
3 应用和实施研探
围绕国家网络信息化建设和开展信息安全风险评估工作部署要求,以某副省级省会城市为例,对该市开展信息安全风险评估工作进行研究和探讨。
3.1 工作思路
该市风险评估工作宜采用“试点先行、逐步展开”的工作思路。首先选择1-3家系统建设完善、涉及社会安定的重要单位作为试点,如劳动保障、民政、商业银行等部门,摸清工作规律,建立工作机制,锻炼风险评估队伍。根据试点经验,逐步在全市建立定期开展风险评估的日常工作机制。
3.2 工作方式
宜采用自评估为主,检查评估督促为辅的工作方式。自评估即网络和信息系统的拥有、运营、使用单位按照发起的的风险评估。检查评估是指信息安全职能部门依法开展的信息安全风险评估。检查评估是对自评估结果进行的验证性评估,也是更专业更深入的信息安全风险评估。
3.3 工作机制
1)“市信息安全风险评估领导小组”,组织协调风险评估工作的部署和实施。组长由分管信息安全工作的市领导同志担任,成员由相关单位领导同志组成;
2)“市信息安全风险评估工作小组”,对风险评估工作进行统一安排和具体实施。组长由市信息化主管部门分管领导同志担任,成员由试点单位业务系统负责同志和技术支撑单位有关领导同志组成;
3)“市信息安全风险评估专家小组”,聘请信息安全领域专家负责对风险评估进行技术咨询和评审工作。
3.4 进度安排
该市信息安全风险评估工作可分为试点准备阶段、组织实施阶段、总结阶段和全面开展阶段。
3.4.1 试点准备阶段(约2个月)
深入调查研究并确定试点单位和评估形式,可联合第三方评估机构作为技术支撑单位。领导小组召集各成员单位宣传中央网络安全和信息化领导小组指示精神。工作小组指导试点单位建立业务信息系统风险评估实施方案,并邀请专家小组对方案进行评审。
3.4.2 组织实施阶段(约4个月)
各成员单位在全面准备的基础上进入具体评估,分别进行试点实施方案编写、信息资产分析、现场实施方案编写、现场核查测试等工作,以获取风险评估所必需的各项数据信息,完成系统脆弱性分析、系统资产分析、系统威胁和风险分析。
3.4.3 总结阶段(约2个月)
由相关各方以及专家小组对所有分析报告进行审核并提出相关建议,保证风险评估的科学性和合理性。同时对试点工作取得的经验、成果、认识、教训和风险评估过程中存在的问题进行深入总结。
3.4.4 全面开展阶段(长期)
根据试点的经验和教训,形成规范的评估指南和管理办法,建立健全信息安全风险评估长效机制,在全市开展信息安全评估工作。
4 思考和建议
4.1 信息安全是“一把手工程”
信息安全风险评估工作需要相关单位领导给予足够的重视,切实落实各部门的责任,加强资金、设备、人力等投入支持。信息安全无小事,不能片面地认为“信息安全是技术部门的事”,信息安全工作应该由“一把手”亲自抓,在风险评估中信息系统主管单位、建设单位、运行单位、使用单位应统筹协调,共同推进。
4.2 谁主管、谁负责,谁运营、谁负责
信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,因此必须高度重视信息安全风险评估的组织管理工作,要求信息系统拥有、运营或使用单位和有关管理部门明确责任,规避风险,在信息安全风险评估工作中切实负起组织领导的责任。
4.3 培养人才,锻炼队伍
面对信息安全专业人才缺乏、信息安全从业人员素质参差不齐的现状,信息化主管部门应该以风险评估工作为契机,促进信息安全人才培养和信息安全保障队伍建设。加强对各有关单位信息安全从业人员的政策宣贯、业务锻炼和专业技术培训,为信息安全保障体系建设和信息化发展提供政治合格、业务过硬的人才队伍。
4.4 投入有产出,安全即效益
在市场经济环境下,对经济活动应该进行理性的投入产出分析。风险评估的投入产出分析是以网络和信息系统的潜在风险为前提的,资金投入规避了可能产生的损失和不良影响,达到了预期安全目标,即是见到了效益。信息化主管部门应合理安排资金投入,争取政府支持一块、试点单位出一块、技术支撑单位减免一块,以确保信息安全风险评估工作顺利开展。
参考文献
[1]ISO/IEC 17799:2005信息安全管理实施指南.
[2]GB 17859-1999计算机信息系统安全保护等级划分准则.
建设安全评估篇5
关键词煤矿;安全与职业卫生;现场评估
1煤矿安全与职业卫生评估基本情况
1.1概述煤矿安全与职业卫生评估是山东煤矿安全监察局贯彻“安全第一、预防为主、综合治理”的安全生产方针,推进煤矿安全监察工作“关口前移、超前防范”的一项重要创新之举。笔者自2011年连续6年在煤矿开展现场评估的实践证明:帮助煤矿查隐患、提建议、促整改、强基础,对煤矿安全生产以及安全基础建设起到了极大促进作用。1.2现场评估的依据与要求现场评估是一项综合过程,依据山东煤矿安监局制定的评估标准,采用定性与定量的方式,通过在煤矿现场查资料、看现场、座谈交流,从而发现问题、提出建议,经交流讨论后形成结论。遵循客观公正、科学准确的原则;遵守职业道德,严禁;贯彻落实中央“八项规定”精神,执行山东煤监局“五不准”要求。1.3现场评估的内容2011年为安全生产保障、采煤、掘进、机电、运输、通风、防治水等7个专项;2012年至2015年为:安全生产保障、采煤、掘进、机电、运输、通风系统、瓦斯防治、综合防尘、防灭火、监测监控、防治水、压风自救、供水施救、职业卫生、紧急避险、安全标志、安全培训、应急管理、人员定位、通讯联络等20个专项;2016年为安全生产保障、采煤、掘进、冲击地压防治、机电、运输、通风系统、瓦斯与煤尘爆炸防治、防灭火、安全监控系统、地质保障与防治水、职业危害防治、安全培训、人员位置监测系统、通信联络系统、应急救援等16个专项。
2现场评估的实施
2.1制定指导方案从评估组组成、专家选聘、现场评估要求及流程等方面制定指导方案,以使现场评估工作有所遵循。2.2组建评估组评估组一般由1名领队、11-12名评估专家、3名保障人员组成。(1)领队:由本中心人员担任,负责评估的日常组织、安全管理与廉洁自律,签发评估报告。(2)专家组:结合省内不同区域煤矿水、火、瓦斯、冲击地压等灾害类型特点,选聘忠于职守、乐于奉献、实事求是、依法行事,具有丰富经验的知名技术人员组成专家组,并划分为综合保障、采掘、机电运输、一通三防、地质防治水、职业卫生等专业组,负责各相关专业的评估,对评估结果的准确性、完整性、公正性负责,编制修改所评估的专业报告。指定1名技术业务优良、责任心强、善于管控的专家任专家组长,负责专家组的工作,对评估报告进行审核确认。(3)保障人员负责评估组的后勤联络工作。2.3现场评估现场评估时间一般2天/矿。主要有首次会议、查阅资料、现场察看、核查及交流、专业组讨论、集中讨论、末次会议等环节。(1)首次会议由领队主持并简要介绍现场评估有关事项与要求;专家组长对专业分工、时间进度等做出安排;矿方结合采掘工程平面图介绍采、掘、机、运、通等生产系统、“六大系统”建设与运行、灾害预防与控制以及职业卫生等情况。(2)查阅资料与现场察看。按照分工,在查阅规章制度、作业规程、图纸的基础上,对井上、下现场进行察看,并携带噪声计、风表、米尺等工具进行简单测量。根据资料与现场察看情况,进行符合性、一致性核查。发现问题,向矿方陪同人员讲明所依据的法律法规、标准、规范,经充分交流沟通后提出合理解决问题的指导意见,以利于问题的整改。(3)评估结论。根据查阅资料、察看现场情况,专家之间对发现的非自身专业问题及时相互交流通报;各专业组交流讨论初步确定需要提出的问题与建议,提交评估组集中讨论后形成最终的现场评估结论。(4)末次会议。领队主持,专家组长通报评估结论并征求矿方的意见,如无异议,双方在书面文件上签字确认。
3现场评估的特点与成效
3.1特点(1)借脑用智,查缺补漏。安全隐患、职业病危害因素无时无处不在,企业自身熟视无睹、习以为常。依靠专家开展现场评估,对制度建设、作业现场、安全管理等方面既查问题,又提建议,出谋划策,促进整改,在一定程度上可以解决煤矿安全生产工作中的系统性与深层次问题。(2)全面覆盖,细查深查。充分利用专家专业优势,对采掘工作面、探放水施工作业点和主要生产系统、机房、硐室全覆盖,对系统各环节、要素进行解剖式诊断,有利于发现问题。(3)抓大带小,上下兼顾。关注大系统、大问题,同时,不放过小问题、小隐患;对井上与井下、制度措施与执行落实、图纸资料与现场实际等环节审阅察看,做到统筹兼顾。(4)与时俱进,针对性强。结合不同时期安全生产工作的重点,例如“打非治违”、“四化”建设等有针对性的评估。(5)重视服务、推广先进。从事煤矿技术与管理工作多年、积淀深厚的专家们发现问题时积极与矿方人员交流沟通,从制度建设、规程编制、现场管理等方面传授经验,同时,注重宣传先进技术、先进生产工艺、先进管理方法等,带动矿方人员提高水平,推动基础建设。(6)认真通报,及时报告。对发现的问题与提出的建议书面通报矿方;对有可能构成重大隐患的,及时向监管监察部门报告,以便采取措施,消除隐患。3.2成效(1)注重评估效果,有针对性地解决问题。2011年针对小煤矿多的现实,重点关注机电设备及其管理薄弱环节,发现某矿井下配电柜使用闸刀开关,及时报告相关部门;2012年职业卫生纳入评估专项,对职业卫生机构设置、制度建设、劳动防护用品发放等进行重点评估,督促煤矿企业尽快落实到位;2013年结合《生产经营单位生产安全事故应急预案编制导则》(GB/T29639-2013)、《国家安全监管总局、国家煤矿安监局关于印发<煤矿井下安全避险“六大系统”建设完善基本规范(试行)>的通知》,对煤矿企业应急预案编制,“六大系统”建设基本要求、管理维护、验收、监督检查等进行重点评估;2014年在关注“四化”建设的同时,针对省内冲击地压矿井与采深超过800m的矿井实际,专门聘请省内冲击地压防治专家进行重点评估,发现某矿3203采面已形成孤岛开采后,建议其在未装备微震与应力观测系统前停止回采,并及时向监察部门报告。(2)注重现场实际,消除事故隐患。对现场查出的架空乘人装置制动闸磨损失效、运送柴油油罐机车轮对挡盖缺失、局部供风量不足导致局部通风机喝循环风等影响生产安全的急切问题,要求矿方立即做出现场处理。(3)发挥技术支撑作用,配合监察执法工作。2012年结合淘汰设备使用,2014年结合“双七条”、山东煤监局“九个七条规定”,以及“六打六治”打非治违专项行动,2016年防范煤矿大事故等,充分发挥技术机构的专业优势,紧密配合安全生产工作的主线,充分体现了评估工作与监察执法的时效性与紧密性对预防事故发生起到了积极作用。山东煤监局持续深化“六个执法”、提升123工作思路,2015年山东煤矿安全生产形势创历史最好水平,96%的煤矿实现了“零死亡”,全年发生一般事故6起,死亡8人,百万吨死亡率0.055。(4)交流提高,提升安全基础建设。评估专家长期在煤矿一线工作,既懂技术理论,又有实践经验;既精通煤矿设备性能、采煤工艺,又了解煤矿安全与职业卫生管理工作的规律,对存在的安全隐患及时发现,提出解决的思路、方案和建议,并与矿方技术人员沟通交流,起到了现场培训、传帮带的效果,使矿方人员丰富了知识,开阔了视野,提升了水平。笔者现场评估矿井2011年15处、2012年42处、2013年60处,2014年69处、2015年29处、2016年正在进行中。从评估的情况看,2012年有的矿井发现问题及提出建议90余条,2015年减少至30余条,从另一个侧面也表明安全基础建设逐年提高。
4结束语
通过煤矿安全与职业卫生现场评估感到:煤矿企业将安全管理与评估工作有效衔接,评估已经成为企业安全管理体系中不可或缺的一个重要组成部分;煤矿企业认真细致地开展对标自评,促进了安全隐患的排查与整改;煤矿企业结合“四化”建设,积极研发和推广应用先进技术,矿井安全装备水平不断提升。煤矿安全与职业卫生现场评估是煤矿安全监管监察工作的有益补充,是引进社会专业技术力量推动煤矿安全基础建设的创新。如果能采用政府划拨专项经费,或者采用政府购买服务的方式进行评估,同时,结合大数据对评估结果进行利用,将会使评估工作更有成效。
【参考文献】
[1]山东煤矿安全监察局.关于印发《煤矿安全程度评估办法》的通知[Z].2011,11号.
[2]山东煤矿安全监察局.山东煤矿安全监察局关于印发《山东煤矿安全与职业卫生评估办法》(试行)的通知[Z].2012,137号.
[3]山东煤矿安全监察局.山东煤矿安全监察局关于印发《山东煤矿安全与职业卫生评估指导意见(试行)》的通知[Z].2016,80.
建设安全评估篇6
关键词 信息系统;风险评估;网络;信息安全;意义
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2014)04-0166-01
“十二五”规划实施以来,经济持续快速增长,信息化建设稳步推进,网络和信息系统高速发展。然而,网络和信息系统风险对国家安全、公共安全和社会稳定构成了严重威胁。2013年11月,党的十八届三中全会决定设立国家安全委员会,完善国家安全体制和国家安全战略。在2014年3月召开的全国“两会”上,人大代表和政协委员纷纷为网络和信息安全建言献策,网络和信息安全再一次提升到国家安全和社会稳定的政治高度。
1 信息系统风险评估
风险,指遭受损失、伤害、毁灭的可能性。风险是由于非行为主体可控因素,使得这些因素被外力利用而造成的损失。在信息安全领域,指由于信息系统的脆弱性,人为或自然威胁导致安全事件发生的可能性及其造成的影响。信息系统风险评估是识别并判断信息系统面临风险的过程。风险评估是一个结合技术手段,为识别管理问题、制定管理策略服务的系统工程;是以威胁为出发点,结合系统脆弱性判断的评估过程;是周期性了解安全风险,采取相应安全控制措施的前提。它为降低网络风险、实施风险管理和控制提供了重要依据。风险评估是加强信息安全保障体系建设和管理的关键环节,是发现信息安全存在问题,找到解决方案的有效手段。
2 信息系统安全现状
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
3 国家信息安全战略部署
2014年2月,中央网络安全和信息化领导小组成立并召开第一次会议。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
4 信息系统风险评估的重要意义
4.1 确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
4.2 夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
4.3 信息安全管理的“利器”
信息安全的一大特点就是看不见摸不着就“中招”,如病毒攻击、黑客入侵、网络泄密等,在不知不觉中就已经遭受了重大损失。信息安全是高科技较量,没有科学的方法和手段,很难全面发现潜在的问题和威胁。“工欲善其事,必先利其器。”风险评估便是信息安全管理的“利器”。
4.4 寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4.5 既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。1995年英国标准协会提出《信息安全管理实施细则》BS7799,2000年,BS7799通过国际标准化组织ISO认可并成为国际标准。2002年美国颁布《联邦信息系统安全认证和认可指南》,为信息系统风险评估提供了政策和技术支持。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
参考文献
[1]ISO/IEC 17799:2005信息安全管理实施指南.
[2]GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则.
[3]GB/T 19716-2005信息技术 信息安全管理实用规则.
作者简介
建设安全评估篇7
近年来,国内对食品安全风险管理的研究与讨论与日俱增。根据《食品安全法》,我国目前正在通过建立食品安全风险监测与评估制度来进行食品安全风险管理。风险管理作为核心议题,受到国内外众多学术界、企业界和政府的高度关注。本文就食品安全风险管理的基本理论及如何该理论进行了阐述和探讨。
一.食品安全风险管理的基本理论
1. 食品安全风险的定义
食品安全风险是指发生食品不安全事件的可能性和严重性[1]。
2. 风险管理的定义
风险管理是根据风险评估的结果,选择和实施适当的管理措施,尽可能有效地控制食品风险,保证公众健康[2]。
3. 食品安全风险管理的结构
食品安全风险管理可分为4个部分:风险评价、选择评估、执行评估、监控和回顾。
4. 食品安全风险管理的原则
4.1 遵循结构性方法
风险管理结构性方法的要素包括风险评价、风险管理选择评估、风险管理决策执行以及监控和回顾。
4.2 决策的主要目标是保护人类健康
可接受风险水平的判定应该首先考虑人类健康,而且风险水平的差异应避免随意性或不公正性。
4.3 决策和活动应当透明
风险管理应当识别所有风险管理过程要素的系统程序和文件,包括决策的制定。对于所有利益相关方面而言都应当遵循透明性原则。
4.4 风险评估政策的制定应是风险管理的重要组成部分
在风险评估政策的制定过程中,对于有价值的指南或政策性意见的选择,特别是有可能被应用到专门的风险评估过程决策中的意见,应当与风险评估人员事先沟通,在风险评估之前做出决策。
4.5 应当确保风险评估过程的科学独立性
风险管理和风险评估职能应当相互分离,这是确保风险评估过程科学完整所必须的,并且这也有利于减少风险评估和风险管理之间的利益冲突。虽然在职能上应相互分离,但风险管理者和风险评估者应当相互合作。风险分析是一个循环反复的过程,风险管理者和风险评估者之间的相互合作在风险分析的实际工作中是非常重要的,而且是不可缺少的[3]。
4.6 应考虑风险评估结果的不确定性
在任何可能的情况下,风险评估都应包含关于风险不确定性的定量分析,而且定量分析必须采用风险管理者容易理解的形式。这样,风险决策制定才能将所有不确定性范围的信息考虑在内。
4.7 应当保持与所有利益相关者进行充分的信息交流
保持与所有利益相关者的相互交流是风险管理整体过程中不可缺少的一项重要工作。风险信息交流不仅仅是一个信息交换的过程,其更为主要的功能是通过风险交流,使那些对于风险管理来说切实有效的信息和意见能够真正应用到管理决策中。
4.8 应当是一个持续循环的过程
风险管理应当是一个持续的过程,应定期对风险管理决策进行评估和审查。
转贴于 http://
二.如何运用食品安全风险管理理论
1.加强风险评估
风险评估是运用食品安全风险管理理论的前提。风险评估的结果是制定或修订食品安全标准和对食品安全实施监督管理的科学依据;重点应该加强以下几方面的工作来提高风险评估的水平:(1)加强食品安全风险评估体系建设:建立食品安全风险评估实体机构,培养从事风险评估专业人员队伍;(2)加强风险评估技术研究:加强危害识别技术、危害特征描述技术、暴露评估技术研究,加强评估所用模型和软件的开发,加强食品和食品中新的危害物质的系统毒理安全性评价,将风险评估建立在自主性的危害识别科学研究基础上;(3)加强风险评估基础数据的采集和信息平台的建设:加大用于人群暴露评估的膳食消费数据库建立,加强不同地区不同类别食品中各类污染物水平检测,从而获得食品污染物数据;(4)有序开展食品中化学物和微生物的危险性评估:根据我国食品安全监管重点和国际关注热点,制定食品安全风险评估规划,提出有限风险评估计划,并对食品中化学性污染物和生物性污染物开展有序评估,评估结果作为制定食品安全标准和食品安全风险管理的依据;(5)积极开展食品安全风险交流:使得消费者正确认识食品安全问题,防止食品安全问题放大。
2.完善食品安全监管体系,加强食品安全风险管理的基础建设
高素质的监管队伍、完善的检测体系、有力的资金保障、科学的管理制度是开展食品安全风险管理的基础。要加强食品安全风险管理的基础建设,必须采取以下措施:(1)建立综合监管队伍:增加行政监管人员、执法人员、专职食品巡查队伍、基层协管员、信息员队伍和食品安全专家组;(2)完善食品安全检验检测体系:增加各类部级质检中心、省级食品检验机构、县级食品理化实验室等;(3)保障食品抽检经费:要将食品检验和购样经费列入各级财政预算;(4)加强制度建设:形成以普查建档、监督抽查、市场准入、巡查企业、回访政府、查处违法行为六项制度为核心的制度体系。
3.开展危害调查分析,查清食品安全风险源
全面查清食品安全风险源,是确保食品质量安全隐患早发现、早控制、早处理的重要手段。应当从以下四个方面进行推进:(1)开展食品安全危害因素调查:根据调查结果,编制食品生产技术和监管工作规范,开展以大型企业为重点的飞行检查,排除食品安全隐患;(2)大胆应用国外成熟经验和信息:广泛收集国外食品安全标准等风险评估数据,为制定科学监督措施提供了依据;(3)推动技术机构加强风险评估能力建设:省级、市级的质检院应当努力推进食品安全风险评估和质量监督检验中心的建设工作;(4)落实食品抽检制度,及时消除食品安全风险:应当针对危害风险源监测抽查食品,发现有风险隐患的企业,根据情况严重性给予勒令整改、停产或查处,还要及时开展行业整顿,消除潜在的行业性食品风险隐患。
4.畅通信息交流渠道,广泛收集食品安全风险信息
发挥企业、群众的主动性和专家的专业性,拓宽信息交流渠道,是掌握食品安全风险的重要途径。应当积极做好以下四项工作:(1)每月定期开展食品安全接待日活动:积极接待来访群众,认真受理群众的举报投诉和意见建议;(2)加强热点信息收集:通过专业的信息平台,建立起质监部门与消费者、企业及社会的快速信息通道,并安排专人负责食品安全舆情检测;(3)畅通专家信息交流渠道:建立由省内重点院校食品专业教授、食品行业和食品检验专家组成的食品安全专家组,定期开展信息交流咨询,为食品安全提供有力的技术支撑;(4)积极应用食品电子监管系统:通过对各类监管信息数据的统计分析,及时采取风险管理措施。
5.实施动态重点整治,遏制系统性食品安全风险
建设安全评估篇8
关键词:档案馆;档案管理;安全;评估措施
随着时代的发展、社会的进步,国家的档案信息越来越多,加强档案的安全管理就显得格外的重要的,因此国家在不断加强档案馆的构建,为档案的管理构建一个安全的环境,消除安全隐患,降低安全风险,确保档案管理的安全性。档案安全管理主要是确保各个要素的统一性,加强各个要素之间的联系,其构成主要包括档案管理的安全设备、档案管理的规章制度、管理系统、管理技术等其它的部分。近几年我国档案馆发生安全事故最根本的原因在于档案馆内部的管理人员没有认真的对档案安全风险进行评估,对档案馆日常中的一些问题没有进行及时的解决,最终导致安全事故的发生。因此现阶段最主要的任务就是对档案馆存在的一些安全风险及时的进行评估,这能有效的防止安全事故的发生,而且在发现安全问题之后要采取有效的安全防护措施,彻底的消除安全隐患。下面我们就简单的说说应该从那几个方面对档案馆档案安全管理进行评估,并制定科学的解决方案,彻底消除安全风险,确保档案管理的安全性。
一、档案安全管理评估的内容
(一)对档案安全管理的基本制度进行评估
档案安全管理的制度是非常重要的,它对档案的安全管理起了一定的保障,同时它还能对管理人员进行阅读,使管理人员按照规章制度来工作。在对档案安全管理制度的评估上,首先要评估管理的基本制度是否健全,制度制定的是否合理科学、以及制度的实用性,这都直接影响着档案安全管理的成效。因此档案管理应该制定严格的管理制度,强化对管理人员的知识培训,在培训的过程中要让管理人员熟练的掌握《档案法》,其次就是加强对员工业务能力的培训,拓展管理的层次。
(二)对档案馆的安全防护进行评估
在经济日益发展的今天,国家的档案越来越多,这无疑就增加了管理的难度,尤其是近几年档案馆都发生了档案丢失事故,一旦档案的丢失,不仅对档案馆造成很大的影响,而且对整个社会以及国家都会造成极大的影响,甚至会使整个国家损失惨重,因此加强档案馆的防护是非常有必要的,在各个档案管理馆都必须安装监控设备以及摄像仪器,对整个档案馆进行全面的监控,并且在档案馆里安装报警器,一旦档案丢失,就立即报警,这能有效的确保档案的安全性。
(三)对档案馆安全设施的评估
时代的发展,社会的进步,国家的档案会越来越多,因此加强档案管理设备的建设是是档案管理事业长久发展的保障。虽然近几年我国许多档案管理馆完善了档案管理的基础设施,而且制度相对的比较健全,但是仍有一些地区没有意识到档案管理的重要性,在档案管理上没有投入大量的资金,安全管理的设施比较缺乏,管理的制度以及管理的理念仍比较落后,这是当前档案管理最重要的问题。因此各个地区的领导应该认识到档案安全管理的重要性,在管理上一定要投入大量的资金,不断完善管理的安全实施以及管理制度,这在一定程度上能消除管理的安全隐患,确保档案管理的安全性。
二、加强档案馆档案安全管理评估实践的效果
(一)解决档案安全管理问题,消除安全隐患
随着时代的发展,各个档案馆的评估方式也发生了很大的改变,评估的理念以及评估的方式都有了质的飞跃,档案管理馆自己不仅可以完善安全管理制度,而且还能加强对档案馆设备的完善,为档案的安全管理创造了一个良好的管理环境。而且各个管理馆都积极的开展风险评估活动,同时还有专家调查房地产登记交易中心档案馆、档案库房等主要场所交给业务员保管的情况,对其中存在的一些安全隐患及时的进行修改,这能彻底的解决档案管理的安全问题,及时的消除安全隐患,确保档案管理的安全性。
(二)积极的了解档案馆管理的安全底线
为了解决当前我国档案馆管理的安全问题,档案机构在进行安全评估的过程中,必须要坚持实事求是的原则,一切从实际出发,不仅要对档案馆进行风险评估,而且还要对档案馆的安全管理设备、管理制度以及管理方式进行评估,对此要严格的要求,防止形式化,并且对评估的结果要及时的上报,对有问题的地方要求档案管理员积极的纠正,这样档案机构就可以把握全部的档案资料,全面的掌握档案安全管理的底线,这能有效的消除管理中的安全问题,确保档案管理的安全。
(三)有利于档案馆构建安全体系
自从国家领导提出构建档案安全管理体系以来,各个档案馆的领导都在积极部署档案安全管理体系,并且领导的责任感和使命感都有很大的提升,在构建的过程中具有较强的洞察力,将安全管理体系作为档案馆构建的命脉,并积极的提出档案安全管理的制度以及安全评估制度。而且在构建的过程中加大了资金的投入,不仅完善了安全管理的设施,同时还加强了对管理人员的培训,提升管理人员的自身素质以及管理技能,更新了管理的理念以及管理方式,使整个档案的管理焕然一新,进一步加快了档案管理体系的构建。
三、总结
总的来说,随着时代的发展,社会的进步,档案资料会越来越多,管理的难度也会加强,尤其是近几年我国很多的档案管理馆都发生了档案丢失的事故,因此档案安全的管理引起了领导的重视,强化了安全评估体系,主要是从安全管理的设备、管理的制度以及管理信息的保密性进行评估,并制定科学、完整、信息化的档案评估内容,加强评估的工作,彻底的消除安全隐患,确保管理的安全性。
参考文献:
[1]蒋一虹.档案安全管理研究述评[J].云南档案.2014(08).
[2]曹凤.加强档案安全体系建设之我见[J].兰台世界.2014(S3).
[3]张艳波.关于档案安全体系的探析[J].黑河学刊.2014(06).