风险评估及管理范文
时间:2023-11-19 10:30:22
风险评估及管理篇1
关键词:体检中心;风险管理;护理纠纷;满意度
随着社会的不断发展,人们对健康的需求逐渐提升,由从前的生病就医发展到定期对身体体检的习惯【1】。体检中心也更受人们青睐,体检业务也呈逐年增长趋势。但由于护理人员与体检者接触时间相对较紧迫,一些护理细节稍不严谨处理,易导致护理差错和护理纠纷的发生,大大提高了护理风险的发生率【2】。因此,建立良好的风险管理制度,能有效降低风险系数,为体检者提供更好的护理服务。本文通过对我院门诊体检中心2013年5月实施护理安全风险管理对策后,取得较满意的临床成效,现将成果汇报如下。
1资料与方法
1.1 一般资料 选取2012年4月至2013年4月在我院体检中心进行体检的1000名体检者作为对照组的研究对象。选取2013年5月至2014年5月在我院开展护理风险管理期间的1000名体检者作为观察组。其中对照组中男性578名,女性422名,年龄20~70岁,平均年龄(42.3±6.22)岁,文化程度:大学及以上412名,高中375名,初中及以下213名;观察组中男性567名,女性433名,年龄19~70岁,平均年龄(43.2±5.97)岁,文化程度:大学及以上408名,高中387名,初中及以下205名。两组患者的性别、年龄、学历等一般资料,经统计学比较,无统计学差异性(P〉0.05),具有可比性。
1.2 方法
1.2.1 护理风险诱发因素每日固定护理人员现场进行风险调查评估,结合相关的资料和书籍并及时组织护理人员进行讨论分析,总结潜在护理风险因素包括:①体检者因素:对医务人员的期望值较高,希望得到较多护理人员的关心,多给一些建议和知识讲解。因此,护理服务不周到,没满足体检者的需求易造成体检者的不满情绪,易引发护理纠纷事件;②护理人员因素:缺乏专业的理论和操作技能,例如静脉采血未能一次成功、健康宣教不到位等引起患者不满意,造成护理纠纷发生。③环境因素:空间小,布局欠合理,内科和抽血穿插一起,一层楼常聚集较多体检者,难分诊,体检者互相影响。秩序混乱,影响体检者的情绪,导致体检者情绪激动,从而引发护理投诉。因为人多,体检者大声谈话,影响医生听诊;影响健康知识宣教;影响护士抽血前、中、后的查对,包括:体检者身份、年龄、性别、抽血项目、试管选择的核对,漏抽血(空试管),影响体检质量。引发护理纠纷。④管理制度不健全:体检流程不合理,体检者分诊不合理。没有建立具有针对性的风险管理制度,导致护理工作落实不到位。
1.2.2根据诱发因素进行相应的风险防范
1.2.2.1 完善体检中心管理制度针对护理人员所评估的诱发风险因素,建立有效的护理风险保障制度。护士长组织护理人员,每日利用半小时时间共同学习风险管理政策内容和相关法律知识,以强化护理人员的风险意识。护士长通过不定期的护理成员考核,将所得成绩记为年终总评。通过考核方式让护理人员提示护理知识,并时刻让其提高警惕心理,从而提升体检中心的服务质量。
1.2.2.2 提高护理人员技术水平和职业道德素质护士长每月安排一次技能培训。通过培训强化护理人员的专业技能及应急事件处理能力,例如晕针时的紧急处理措施。同时,加强护理人员的思想教育,坚持以人性化护理服务为宗旨。护理人员只有具备良好的服务态度和扎实的理论知识,才能获得体检者的满意评价。因此,护理人员要多与体检者进行沟通交流,及时解决体检者提出的疑问。灵活运用Maslow的需求层次理论解决体检者的需求问题【3】。为体检者进行治疗时做到“请”字开头,“谢”字结尾。
1.2.2.3 积极改善体检中心环境及服务为了便于提高检查率,实施全程导诊服务,每间诊室的体检者均采取排队取号就诊模式。同时,加强医护人员的配备,过量的工作负荷是诱发风险的关键因素。体检者进行检查时,每间诊所尽可能仅安排一名医生,一名护士和一名体检者,这样能有效保护好体检者隐私,给体检者一个较宽敞的就诊环境。对候诊的患者根据其所取号的科目,进行健康知识宣教。同时,为每位体检者讲解正确留取标本的方法和检查时的注意事项。照顾好年老体迈的体检者,给予轮椅免费使用,必要时可开通绿色通道。对未婚女性进行妇科检查时,详细告知检查可能带来的不良后果(处女膜可能被破坏),为孕妇进行检查时,必须详细解释检查的目的和不良后果,并获取其同意方可执行。
1.2.2.4 不断总结工作经验,改进体检流程整改分诊流程,由原来二楼改为一楼分诊,部分护理人员提早15分钟上班,增加分诊护理人员,直接从一楼分诊导诊到各层楼,减少二楼体检者的人流,保持每层楼环境安全安静,减少医疗护理隐患。
1.3效果评价通过制定相关的调查问卷,对进行调查研究的患者进行问卷调查。比较两组患者对护理人员的技术和非技术的满意情况,分为非常满意、满意和不满意三种情况。满意度=(非常满意+满意)×100%。
1.4统计学方法 运用SPSS17.0统计学软件分析,凡计数资料用构成比或率形式表示,采用χ2检验。
2结果
2.1通过问卷调查,比较实施风险管理前后,患者对护理人员的技术和非技术的满意度比较,详见表3。
表3 实施风险管理前后,患者对技术性及非技术服务的满意度情况比较[n(%)]
3 讨论
随着时代不断更新进步,法律体系愈发完善,人们通过运用法律手段保护自身利益的观念较前增强。护理是个特殊服务行业,稍有疏忽大意便能导致护理纠纷和投诉事件,使护理风险程度大大提高【4-5】。人们常用“前脚进病房,后脚进牢房”来形容护理工作性质的艰难。然而,护理风险却贯穿整个护理服务工作,因此护理人员只有持有严谨的工作作风、扎实的理论知识和规范的技能操作,才能保证护理过程的安全性【6】。
本研究通过对体检中心进行护理风险因素评估,从而制定有效的风险干预对策。同时,通过加强护理人员的专业技能水平,培养护理人员的严谨慎独工作思想,有效的控制了护理风险的发生率。本研究结果表明,运用护理风险管理制度后,护理人员对患者实施的技术性和非技术得到了患者的肯定,技术的满意度高达98.8%,非技术的满意度高达96.8%,明显优于实施前的满意度,经统计学比较,差异具有显著统计学意义(P〈0.01)。
综上所述,体检中心护理工作任务繁重,与体检者接触最为频繁。实施护理风险管理制度后,增强了护理人员的安全意识和风险意识,有效降低了护理纠纷和护理投诉的发生率,提高了患者对护理服务的满意度。
参考文献:
[1] 陈晋利,云洁,陈洁.护理风险管理在体检中心的应用[J]. 临床误诊误治, 2011, 6(24): 103-104.
[2]余媛, 钱媛. 内科门诊风险管理中的环境建设[J]. 护理研究: 上旬版, 2012, 26(10): 2664-2665.
[3]敢志惠, 王娟, 李媛媛. 马斯洛需要层次理论在外科护理中的应用[J]. 河南外科学杂志, 2013, 19(6): 150-151.
[4]李旭光, 王晨. 科学公正做好医疗事故鉴定工作提升鉴定公信力[J]. 中国药物与临床, 2014, 14(1): 134-135.
[5]沈亚菊. 风险管理在护理管理中的应用[J]. 护理实践与研究, 2013, 9(22): 73-74.
风险评估及管理篇2
【关键词】 急诊科护理; 风险评估; 管理对策
急诊科护理风险是指急诊科护士在护理工作中及患者在接受护理过程中有可能发生的一切不安全事件[1]。护理风险是一种客观存在的职业风险,不可能完全避免。护理风险能造成对患者身心伤害、导致医院遭受经济损失或影响医院正常的工作秩序和声誉。造成护理风险的主要因素有护士因素、患者因素、管理因素、医师因素等。如何尽早发现和有效处理各种护理风险隐患,减少护患纠纷和护理差错事故的发生,确保护理安全,已成为护理管理者面临的重要课题。急诊科是风险系数极高的科室之一,为有效规避护理风险,降低医疗纠纷,保证患者安全,近年来,笔者所在科室采用自制的急诊科护理风险隐患评估表强化急诊科护理风险管理,效果较好,现报告如下。
1 资料与方法
1.1 临床资料 2010年1月~12月,本院急诊室共有护士10名,年龄20~45岁。主管护师1名,护师2名,护士7名;大专学历6名,中专学历4名。
1.2 方法 根据笔者所在科室实际情况,自制急诊科护理风险隐患评估表,评估表评估项目共包括16项护理风险因素内容,包括:(1)制度不健全/执行不严格;(2)岗位责任心不强/脱岗、惰岗;(3)操作规程不完善/执行不严格;(4)知识缺乏/经验不足;(5)无菌操作及消毒隔离不严格;(6)观察、处置不及时/延误救治;(7)查对不严格/输血、给药错误;(8)手术患者或部位识别错误;(9)告知不当/护患沟通不良;(10)一次性用品或药源性不安全;(11)仪器设备或服务设施不安全;(12)院内跌倒、烫伤、压疮等;(13)护理记录不当,医护记录不一致;(14)人力不足或配置不当;(15)带教不力;(16)其他。对上述每一项不安全因素内容进行评估,以确定患者是否存在本项护理风险,可能发生护理风险的主要问题及后果、发生护理风险原因分析以及消除护理风险的整改措施及管理对策,最后对评估效果进行评价。责任护士每天对患者评估1次,根据评分调整护理干预方法。统计2010年、2011年急诊科发生护理差错、事故、意外、纠纷例数,并与实施护理风险评估前的2009年急诊科发生护理差错、事故、意外、纠纷例数进行比较。
1.3 统计学处理 选用SPSS 17.0进行统计学分析,P
2 结果
实施护理风险评估后,与未实施护理风险评估2009年比较,急诊科2010年发生护理差错事故情况明显下降,差异有统计学意义(P
3 讨论
3.1 常见护理风险 护理工作是一种高风险的工作,而急诊科急救因其突发性,是医院救治过程中非常容易出现问题的一个阶段[2],如护士技术不熟练或动作慢、操作失误或言语不当、出诊记录缺陷或漏记,在急救转运的途中没有向患者或家属交代清楚途中可能出现的各种危险,对急救器材操作不熟悉,护士责任心不强,未严格按操作常规和制度执行医嘱,皮试或注射前未询问患者是否有无过敏史,当医嘱不详时未明确医嘱等直接影响了抢救的质量和速度,必须引起高度重视。
研究结果显示,本院急诊科在实施护理险评估后,与未实施护理风险评估的2009年比较,2010年与2011发生护理差错事故情况分别下降至2009年的15.38%和7.69%,说明进行护理分险评估,确定患者是否存在某项护理风险,可能发主护理风险的主要问题及后果、发生护理风险原因分析以及消除护理风险的整改措施及管理对策,是护理风险管理的基础。急诊科风险管理的重点是加强急诊护理风险管理,提高急诊科护理人员的风险意识和应对能力。
3.2 护理风险管理对策
3.2.1 完善医院管理制度,牢固树立“以人为本,以患者为中心”的思想,不断转变服务观念,加强急救业务培训,加强护理管理,建立护理风险管理组织,制定完善风险管理制度。进行急诊专业思想、医德医风教育,规范抢救物品、药品、仪器的应用与管理,增强急诊护士法律意识,加强护理记录单的管理,规范护理文件书写,积极与患者及家属进行有效的沟通。在治疗和护理过程中充分体现爱心和真诚,从而建立良好的护患关系,提高风险防范意识,建立护患告知制度,强化护患共同承担风险意识[3]。
3.2.2 建立预防急诊科护理风险干预流程 对急诊科护士进行相关知识的培训,使每位护士都能熟练地根据急诊科护理风险隐患评估表准确评估患者护理风险。对新入院患者由专职的护士进行评估筛查,对筛查出的有护理风险患者实施常规护理干预和特殊护理干预,如对有褥疮高风险患者使用气垫床、气圈、局部易压部位使用褥疮贴等[4]。对有跌倒高风险患者在床头挂“小心跌倒”的安全警示牌。提醒各级工作人员、患者及家属在患者活动时给予协助和警告,以防跌倒[5]。
风险管理的重点是加强护理风险管理,提高护理人员的风险意识和应对能力[6,7]。通过实施急诊科护理的风险评估,使急诊护理安全管理制度化、规范化、标准化,减少了医疗差错、事故与纠纷,切实为患者提供放心、安全、满意的全程优质服务,提高了患者满意率。
参 考 文 献
[1] 缪薇菁.护理风险管理的研究进展[J].中华护理杂志,2007,42(9):830.
[2] 李小平.风险管理在急诊护理安全工作中的实施及效果[J].护理研究,2007,21(12):3367.
[3] 何元风.护理管理中实施风险管理的效果与分析[J].现代护理,2007,13(1):83-84.
[4] 杨春莉,杜金莲.骨科患者压疮风险评估与护理干预[J],2011,32(6):1016.
[5] 李新辉,陈丽丽.老年病房跌倒危险因素及预防研究进展[J].全科护理,2008,6(11A):2829-2831.
[6] 申萍,孙琳,朱剑萍.护理风险管理的实施成效[J].护理学杂志,2006,2l(10):85-87.
[7] 吾金取初.实施护理风险管理,控制护理缺陷[J].中国当代医药,2011,18(8):112-115.
风险评估及管理篇3
[关键词]档案管理;信息化;优势;安全风险;评估
doi:10.3969/j.issn.1673 - 0194.2015.18.132
[中图分类号]G270.7 [文献标识码]A [文章编号]1673-0194(2015)18-0-01
随着时代的不断发展,信息化建设成为档案管理发展的必然趋势,对现代档案管理工作的开展及档案资源的应用有着非常重大的意义。档案管理信息化是实现档案管理规范化、现代化的一大重要途径,同时也是档案资源实现共享,得到广泛应用的必然要求。
1 档案管理信息化的必要性
在当今档案管理信息量急速增加、种类繁多、信息载体多样的情况下,传统的档案管理模式已与社会信息化发展相脱节。这必然要求档案管理信息化,在满足时展需要的同时更好地促进档案管理事业的发展,充分实现档案的功能和价值。档案管理信息化发展是档案发展的必然要求,当今社会已具备了档案管理信息化发展完善的条件,使其发展成为可能。第一,具备软硬件基础。硬件基础主要体现在各单位的档案管理部门已具备打印机、复印件以及扫描仪等高新技术设备,另外,对计算机的配置也满足了档案管理部门的工作需求。第二,规范的管理机制。其标准体现在整理、统计、服务及技术等多个方面。第三,人们的信息化意识逐渐增强。随着计算机网络技术在生产生活中的广泛应用,人们的信息化意识逐渐增强,同时人们对信息化相关设备技术的操作能力也已满足日常生产生活的需要。这为档案管理信息化的发展提供了良好的社会环境和思想环境,并在一定程度证实了档案管理信息化建设的迫切需求。
2 档案管理信息化的优势
2.1 利于存储
在档案管理信息化中,档案管理不再占用巨大空间,且提高了管理效率,档案只需储存在计算机中。同时,也解决了纸质档案在存储期间的自然损害问题,提高了档案资料存储的长期性。经过高新技术进行“原文扫描“后,利于实现“原文”再现。
2.2 便于查询
在传统的档案管理模式中,查询资料需档案管理人员自大量的纸质信息中,通过肉眼查找。档案管理信息化彻底改变了这一费时、费力的查询方式,通过档案信息管理系统即可实现档案资料的即时、准确查询。这大大提高了档案资料的使用质量、精度和效率。
2.3 实现信息共享
档案管理信息化通过信息网络可促进组织、单位内部的信息共享,使档案资源的使用更加快捷,及时满足组织、单位内部对档案信息的需求。专用的信息技术,可实现档案资料的异地远程管理和使用,最大程度地发挥了档案的作用。
2.4 实现档案的分级管理
在档案管理信息化中,可通过相应的网络权限设置,规定使用者的调阅权限,实现档案资料的分级管理,这有利于资料保密。同时,系统查询记录可自动记录调阅情况,以更好地落实责任追究制。
2.5 提高工作效率
传统的档案管理工作中,档案的收集、整理、保管以及利用等都需要通过手工劳动实现,这需要花费大量的人力和物力资源。而档案管理信息化改变了传统的工作方式,档案资料经微机处理后,实现了按“件”整理归档,其整理、保管及利用等环节均可在电脑上操作。同时,工作人员的工作由以前的集中工作转变为分散工作。另外,系统中按“件”整理的资料,使得文件的插入变得简单,便于文件完善。可见,档案管理信息化在降低工作人员劳动强度的同时也提高了工作人员的工作效率。
3 档案管理信息化安全风险评估
3.1 档案管理信息化安全风险评估的必要性
档案管理信息化的优势逐渐体现出来,且其特点鲜明,与社会发展相协调,是现代化发展的一个重要趋势。信息化的管理方法,能给人们的生活带来方便,与此同时,信息的安全问题也引起了人们的注意。在对档案进行信息化管理的过程中,应确保信息的安全性,保证信息传输路径的安全,并确保数据的完整性。
3.2 档案管理信息化安全风险评估中的存在的问题
目前档案管理信息化安全风险评估存在的问题主要有以下几个方面。第一,对信息安全评估不够重视。各组织、单位的管理层对档案管理信息化安全评估的重视程度不能与档案管理信息化安全评估的重要性呈正比,远远达不到现阶段信息安全的需要。第二,评估技术人员匮乏。各组织、单位内部,对档案管理信息化安全评估的重视程度不够,导致安全评估人员的专业知识及经验严重不足,不能满足其工作需求,甚至相关部门的档案管理信息化安全评估形同虚设。第三,工作流程及技术标准有待完善。就目前档案管理信息化安全评估的发展状况而言,需要完善其工作流程及相关的技术标准。其工作流程和技术标准要根据具体环境及情况而制定,以实现流程和标准的科学性、合理性。特别是评估中的分析方法如定性分析、定量分析等,需要进一步完善。第四,评估工具有待更新。随着信息化的不断推进,其安全问题也日渐暴漏。原有的评估工具已不能满足现阶段解决相关安全问题的需要。因此,必须加大评估工具的开发和推广力度,切实满足档案管理信息化安全评估的需求。
4 结 语
档案管理信息化是档案管理随时展的必然趋势,其与传统的档案管理方式相比有着明显的优势。同时,档案管理信息化所具有的信息安全也需引起重视,要积极解决信息化安全评估中的相关问题,促进安全评估,从而在根本上促进档案管理信息化的发展。
主要参考文献
[1]沈静.高校档案管理信息化的优势及安全风险评估研究[J].四川教育学院学报,2011(4):1-4.
风险评估及管理篇4
【关键词】 门诊静脉输液; 学龄前; 风险评估; 护理管理
doi:10.14033/ki.cfmr.2016.35.042 文献标识码 B 文章编号 1674-6805(2016)35-0082-02
门诊是医院必不可少的组成部分,承载着医院大量的工作,具有人员流动性大、患者多、工作量大等特点,导致护理人员无法较好地对每位患者进行完善的护理,门诊医疗纠纷发生率高。静脉输液是给予患者给药治疗的一种重要方法,尤其是儿科患者,80%以上患儿在治疗期间使用静脉输液治疗,且多以外周静脉输液治疗为主。学龄前患儿发育未成熟、血管细小,加之无法忍受疼痛引起的不适,反应较大,可引发不同程度的输液并发症[1]。故在儿科门诊行静脉输液治疗过程中,易出现护患纠纷,影响护患关系。因此在保证输液安全的基础上,给予患儿流程化、规范化、科学化、标准化及人性化的护理至关重要,可降低护患纠纷发生率[2]。本研究为提高护理质量、改善门诊输液管理、减少护患纠纷,对门诊行静脉输液的学龄前患儿进行护理管理与风险评估,并分析其效果,报道如下。
1 资料与方法
1.1 一般资料
选取笔者所在医院2015年1-10月儿科门诊收治的学龄前患儿80例进行研究。所有患儿均以静脉输液进行治疗,输注药液种类≥2种,输注时间≥2 h/次;无意识障碍及精神障碍;患儿家属对本研究均知情。随机分为对照组40例,其中男22例,女18例,年龄3~7岁,平均(4.73±0.89)岁,输液时间3~5 d,平均(3.64±0.22)d;试验组40例,其中男24例,女16例,年龄3~6岁,平均(4.23±0.51)岁,输液时间3~6 d,平均(3.85±0.42)d。两组患儿年龄、输液时间等基本资料比较,差异无统计学意义(P>0.05)。
1.2 方法
给予对照组输液患儿常规护理管理。试验组患儿在常规护理基础上采用安全、预防性护理,内容如下,(1)沟通护理:行输液治疗前,护理人员与患儿家属进行有效的沟通,发放留置针输液及静脉输液注意事项的健康教育处方,将家属的疑虑消除,获取家属的支持与理解。输液时,根据患儿的年龄、输液次数,给予其铃铛、动漫画及拨浪鼓等不同玩具分散注意力,并在输液结束后对主动配合治疗的患儿进行语言与糖果鼓励,以获得患儿合作。指导家属对患儿进行正确固定,及时分散其注意力,并依据患儿生长发育情况选取穿刺点;在不经意间一次性成功完成穿刺,降低穿刺疼痛。(2)完善固定:给予学龄前患儿手板进行固定,固定时将注射部位充分暴露,便于护理人员对穿刺点的状况进行清晰的观察。(3)穿刺后沟通:护理人员向患儿家属介绍输液药物作用及不良反应,并交代整个输液过程注意事项。(4)输液巡视:护理人员对行输液治疗的患儿进行巡视,每小时1次,对留置针留置第3天的患儿进行每30分钟1次的巡视,观察患儿的输液情况、穿刺点情况及病情变化。并设置输液泵报警处理,含“气泡”、“阻塞”、“输完”。(5)完善记录:将患儿的穿刺部位及周围情况、病情情况及巡视时间、巡视护士签字正确记录在护理记录与交接班记录中。(6)输液结束后沟通:为提高患儿再次输液配合度,可表扬患儿;拔针后指导患儿家属对穿刺血管进行较好的护理,避免不良事件出现。(7)健康宣教:护理人员对患儿家属进行健康宣教,指导患儿家属相关疾病知识,使其充分的、正确认识疾病;告知家属治疗与预防疾病方法,指导其日常护理方法,提高治疗效果。
1.3 观察指标及评价标准
对两组患儿的输液效果、护理满意度及患儿家属呼叫换液率进行比较。(1)输液管理过程评估:采用学龄前患儿静脉输液预防措施与风险评估量表进行评定。1度外渗:患儿皮肤表现苍白,体温低,水肿范围在2.5 cm以下,无或伴有轻度疼痛;2度外渗:水肿范围在2.5~15 cm,伴有轻度疼痛;3度外渗:水肿范围在15 cm以上,伴有中度疼痛及麻木感;4度外渗:水肿范围在15 cm以上,伴有重度疼痛,皮肤变色,并出现渗出、淤斑及肿胀,水肿呈凹陷性,出现循环障K[3]。(2)护理满意度:输液结束后,向患儿家属发放笔者所在医院制定的满意度调查问卷,包括工作质量、环境整洁程度、服务态度及穿刺技术,分为,非常满意:患儿家属对工作质量、环境整洁程度、服务态度及穿刺技术非常满意;满意:患儿家属对工作质量、环境整洁程度、服务态度及穿刺技术满意;一般满意:患儿家属对工作质量、环境整洁程度、服务态度及穿刺技术一般满意;不太满意:患儿家属对工作质量、环境整洁程度、服务态度及穿刺技术不太满意;很不满意:患儿家属对工作质量、环境整洁程度、服务态度及穿刺技术非常不满。护理满意度=(非常满意例数+满意例数+一般满意例数)/总例数×100%。
1.4 统计学处理
采用SPSS 18.0软件进行数据处理,计量资料以(x±s)表示,采用t检验,计数资料以率(%)表示,采用字2检验,P
2 结果
2.1 两组患儿药液外渗发生率对比
输液过程中对照组出现药液1度外渗7例(17.50%),2度3例(7.50%),3度1例(2.50%),4度0例(0),总药液外渗发生率为27.50%(11例);试验组出现药液1度外渗2例(5.00%),2度1例(2.50%),3度0例(0),4度0例(0),总药液外渗发生率为7.50%(3例)。对照组患儿药液外渗发生率高于试验组,差异有统计学意义(P
2.2 两组患儿家属护理满意度对比
对照组患儿家属对护理满意度(60.00%)低于试验组(87.50%),差异有统计学意义(P
2.3 两组患儿家属呼叫换液率对比
对照组患儿家属呼叫换液率45.00%(18例),护理人员主动更换22例(55.00%);试验组患儿家属呼叫换液率32.50%(13例),护理人员主动更换27例(67.50%)。对照组患儿家属呼叫换液率明显高于试验组,差异有统计学意义(P
3 讨论
近年来,随着人们生活方式及习惯发生改变,学龄前儿童患病率明显上升。因学龄前儿童年龄小,无法较好的适应陌生环境,在护理人员实施静脉输液时其配合度低,易引发不良事件。而为保护静脉输液留置针及注射部位,使护理人员能够清晰观察,需使用胶带将穿刺点呈心形固定,易被患儿家属接受;同时护理人员与家属及时的进行有效的沟通,强化巡视,将相关资料记录完整,可提高患儿家属配合度及首次穿刺成功率,减轻患儿疼痛[4]。
临床研究表明,外周静脉穿刺易发生药液渗漏情况,外周静脉药液外渗是指药液由血管渗入外周组织,造成患者皮肤出现溃疡、红肿及水泡等症状,或皮肤出现迟发性损害[5]。药液外渗多发生于儿科静脉输液,尤其为学龄前患儿[6]。患儿因害怕输液,哭闹剧烈,易导致留置针回血症状,影响穿刺效果;患儿血管细小、穿刺点血管不佳及过快的输液速度等是引发药液渗漏的主要因素。本研究在输液过程中试验组患儿家属呼叫换液率(32.50%)低于对照组(45.00%),护理人员主动更换药液率(67.50%)高于对照组(55.00%),差异有统计学意义(P
综上所述,制定完善的护理流程、管理方式,加强护理人员管理,是提高护理质量的重要组成部分,可保证静脉输液质量。对门诊静脉输液的学龄前患儿进行风险评估,并给予其安全、全面的护理管理,可降低不良事件发生率,增强护理人员工作责任感,提高患儿及其家属配合度、护理满意度,提升医院形象。
参考文献
[1]王晓琴,刘宴伟,刘剑英.小儿门诊静脉输液安全隐患分析及护理对策[J].实用医学杂志,2015,31(7):1199-1200.
[2]杨辉,李婵,赵璎.儿科门诊输液安全管理中细微服务理念的应用[J].中国实用护理杂志,2013,29(z2):119.
[3]余庭霞,吴玉美,滕红娣.静脉输液安全管理的调查[J].护理研究,2013,27(15):1454-1456.
[4]林慧萍,马维红,赵娜.婴幼儿患者门诊静脉输液护理管理工作的探索与实践[J].中国医药导报,2014,11(11):139-141.
[5]娇燕,冯秀梅.护理管理干预对急诊和门诊静脉输液质量的影响[J].海南医学,2014,25(18):2797-2798.
[6]周望梅,梁丽云.规范化静脉输液流程在门诊优质护理服务中的应用[J].护理学报,2013,20(4):18-20.
[7]贺文健.影响门诊注射室静脉输液患者满意度的因素与相应护理[J].国际护理学杂志,2013,32(4):873-875.
[8]尚晓辉,孙瑞平.门诊学龄前患儿静脉输液的安全管理及护理措施[J].中华现代护理杂志,2014,20(34):4351-4353.
风险评估及管理篇5
风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。③风险评估贯穿于系统建设生命周期的各阶段。
2.信息安全风险评估方法
(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。(2)风险评估的主要内容。①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。(3)风险评估方法。①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。(4)信息安全风险的计算。①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。
3.风险评估模型选择
参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。(1)安全风险管理过程模型。①风险评估过程。信息安全评估包括技术评估和管理评估。②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。
4.结语
本文在综合风险和比较多种评估标准和方法的基础上,针对现行网络的安全现状和安全需求,提出了网络风险评估的模型和风险计算方法,以及时发现、弥补和减少信息安全漏洞,为提高信息系统的安全性,降低网络失泄密风险提供一定的帮助。
风险评估及管理篇6
关键词: 科技评估 风险投资 风险管理
1 科技评估
1.1 科技评估的概念
2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的,遵循一定的原则、程序和标准,运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲,科技评估是对与科学技术活动有关的行为,根据委托者的明确目的,由专门的机构和人员依据大量的客观事实和数据,按照专门的规范、程序,遵循适用的原则和标准,运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。
1.2 科技评估的范畴
科技评估的范畴主要是职能性评估和经营性评估两大方面,职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断,为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断,为他们对被评事物的决策、判断提供参考依据。在市场经济条件下,科技评估作为一种咨询活动,不应仅仅只为政府决策服务,还应深入到市场中的各类科技活动之中,接受非政府机构委托的评估任务,如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。
1.3 科技评估的分类
科技评估可从不同角度分类。从评估时间上,可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估,主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质,但不同于一般的预测分析;事中评估是在科技活动实施过程中进行的监督性评估,着重检验是否按照预定的目标、计划执行,对前面工作的进展与预期效果进行比较,并对未来进行预估,以发现问题,调整或修正目标与策略;事后评估是科技活动完成后进行的评估。另外,从评估空间上,可分为国家评估和地方评估;从评估规模上,可分为宏观评估、中观评估和微观评估;从评估方法上分,可分为定性评估、定量评估及定性与定量相结合的评估;从评估形式上,可分为通信评估、会议评估、调查评估、专访评估和组合评估等。
1.4 科技评估的方法
评估方法有广义和狭义两种概念,广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法,狭义概念特指评估分析与综合的方法。
科技评估可选用的方法多种多样,关键是要依据不同对象,有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。
2 风险投资的风险管理
风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿,都是企图运用系统的、综合的现代科学管理方法,有效地扩大投资活动的有利因素,控制和抑制不利因素,达到以最小的成本,安全、可靠地实现风险投资利益的最大化。
2.1 风险识别
风险识别是风险管理的第一步,是指对企业面临的,以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂,无论是潜在的,还是实际存在的,是静态的,还是动态的,是企业内部的,还是与企业相关联的外部的,所有这些风险在一定时期和某一特定条件下是否客观存在,存在的条件是什么,以及损害发生的可能性等,都是在风险识别阶段应予以回答的问题。在风险投资中,风险一般可以分为两类:系统风险和非系统风险。系统风险是由公司之外的各种因素引起的,如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险,是不能通过多角化投资而分散的,因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险,它是由公司本身的商业活动和财务活动带来的,如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等,其可以通过多角化投资组合而分散,是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者,其关心的往往只是项目的系统风险,因非系统风险完全可以通过合理的投资组合而得到分散。
2.2 风险衡量
风险衡量对已经识别的风险进行分析评估,以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类,定性风险评价方法又可分为主观评价法和客观评价法,传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起,并且设法将传统上的主观方法的定性分析特征转向定量分析上,由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中,最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法,“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率,然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权,最后将这些加权数值进行加总,就得到一个风险企业的综合风险分数值,将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。2.3 风险控制
风险控制是指在对风险进行全面的分析之后,实施各种风险控制工具,力图在风险发生之前消除各种隐患,减少损失产生的原因及实质性因素,将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。
3 科技评估与风险投资的风险管理
科技评估与风险管理既有联系也有区别,科技评估作为一种专业化判断活动,在介入风险投资的
风险管理后,其任务便是对风险进行识别和衡量,其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见,在风险投资的风险管理中,科技评估实质是风险的识别和衡量的过程,而风险管理还包括了风险控制的实施过程,这样科技评估就可以作为风险管理一个组成部分,实现两者的有机结合,促进共同发展。科技评估与风险投资的风险管理的关系如附图所示:
3.1 科技评估是提高风险投资管理效率的重要手段
科技评估经过近十年的发展,已有一整套较为完备的评估规范和技术方法,在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟,同时,由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估,对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段,国家还未出台较为完备的有关风险投资事业的行政法规,风险投资机构的风险管理机制还很不健全,对风险管理人才培训的投入和重视程度还远远不够,因此,将科技评估运用到风险投资的风险管理中将能充分发挥其作用,提高管理效率。
3.2 科技评估方法是衡量风>!
定量和定性方法相结合是科技评估方法应用的基本思路,这与现代风险评价所采取的方法既有相近又有其独到之处,科技评估中最常用的方法是多指标综合评估方法,它是在对多个影响因素进行分析研究之后,设计一套相应的评估指标体系,并对每一个评估指标都制定具体的标准和统一的计算方法,使其能对金额、人数等可计量的指标进行定量评估,同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。
3.3 科技评估是推动风险投资管理创新的动力
引入评估机制,使风险投资机构的投资选择与投资决策相分离,使得风险投资管理更为透明化,也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作,将能使风险投资机构的管理层能更客观地认识到投资风险,从而可集中精力于投资决策,通过管理体制的创新,保证投资的科学性和安全性,也提高了投资成功率。
3.4 科技评估参与风险投资管理是其自身发展的需要
科技评估工作现阶段主要是为各级科技行政管理部门,主要是国家和省、市科技管理部门服务,而且大部分科技评估机构是由科技管理部门所属的有关单位,如软科学研究机构、科技咨询机构、科技情报机构等部门产生,但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等,在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而,评估水平难以提高。因此,科技评估机构作为一种社会中介服务机构,和各类资产评估机构一样,应逐步社会化和多元化,如参与到风险投资管理的咨询工作中,只有社会化、多元化,才能充分引进竞争机制,优胜劣汰,提高评估水平,促进科技评估事业的发展。
3.5 科技评估促进风险投资实现动态管理
风险投资从进入到退出的全过程中,无时无处不存在着风险,实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度;进行投资后,还应深入到所投资的企业进行跟踪调查分析,对企业生产经营、财务状况,市场竞争状况,企业的发展趋势与步骤等,经常进行科学的、系统的分析与判断,发现潜在的风险,及时采取有效措施,杜绝它的发生或降低它的危害;风险投资退出后,还要对风险投资的效果进行测评,总结经验与教训,作为今后投资决策的参考。可见,风险投资的风险管理是一个动态的过程,实现管理目标需要实施一系列的评估,科技评估的事前、事中和事后评估能够满足这一要求,促进风险管理动态管理。
参考文献
1 国家科技评估中心编.科技评估规范,科技评估概论[M].北京:中国物价出版社,2001
2 杜沔.关于风险投资中的风险控制工具的探讨[J].中国科技产业,2001(7)
3 曹红辉,彭作刚.创业投资——知识经济时代的创业新概念[M].北京:中国城市出版社,1999
风险评估及管理篇7
一、指导思想
以科学发展观为指导,坚持“安全第一、预防为主、综合治理”方针,通过开展风险评估,摸清底数、明确责任、强化措施、精准防治,有效控制事故风险,及时消除安全隐患,规范基层风险管理,落实“一案三制”,提升全市事故灾难应急处置能力,为建设宜居幸福的现代化国际城市营造良好的安全环境。
二、工作目标
镇街的风险评估完成率达到90%以上;各有关部门对本行业(领域)进行风险评估,重点行业(领域)完成率达到80%以上。重点风险目标得到有效防控,安全隐患及时进行整治,基层应急管理进一步规范,应急处置能力得到提升。
三、工作内容
各级各部门要结合本地区、本行业(领域)的安全生产实际,按照《基层安全生产风险评估导则》(见附件1)要求,做好风险评估和风险控制。
(一)前期准备
各级各部门应制定风险评估工作方案,分区域、分行业落实责任单位和人员,明确评估对象与范围,确定方法程序和时限要求,组建评估组;收集相关法规、标准和事故案例等资料。
(二)风险评估
各级各部门按照确定的评估程序开展风险评估,认真梳理地区、行业(领域)的风险类型和级别,明确防控目标,核查应急资源。
识别风险类型。在合理划分评估单元的基础上,梳理危险有害因素,明确危险点,识别风险类型。上级网格要以镇街、行业、主要生产经营单位等下一级网格为基础,结合评估对象所在地理位置、自然条件、行业特点、危险有害因素分布及状况等划分评估单元;从厂址、总平面布置、建构筑物、物质、生产工艺与设备、公用工程及其辅助设施、作业环境、安全管理等方面进行危险有害因素辨识。
分析风险程度。加强事故隐患较多单位、危险源较集中区域、高危行业的风险分析,重点做好风险承受能力与控制能力的分析。依据同类(或相近)企业发生的事故案例进行类比分析,对高危行业采用重大事故模拟分析,并结合危险、有害因素及周边情况进行定性、定量分析,根据分析结果,确定可能受影响的周边单位和人员。风险承受能力的分析可从风险影响范围内人群的心理素质、防灾应急知识、经济能力,设施的承受能力等方面进行,可采用情况报告、专家分析和专项调研等方法。风险控制能力的分析可从预警预测能力、应急预案、应急组织体系、应急处置能力、应急资源保障水平等方面进行。可选择安全检查表法、预先危险性分析、作业条件危险性评价法、事故后果模拟分析法等定性、定量评价方法。
评定风险等级。评估风险因素导致事故发生的可能性及其严重程度,可利用LSR等方法判定风险级别。
形成评估结论。提出危险有害因素引发各类事故的可能性及其严重程度的预测性结论,给出评估对象在评估条件下是否与国家有关法律法规、标准、规章、规范的符合性结论。明确评估对象可能存在的主要事故类型和危害程度,确定重点防控目标。
(三)风险控制
各级各部门针对评估中梳理出的隐患风险,要加强整改防控并积极落实相关应对措施。
加强防控,及时预警。各级各部门要指导督促企业结合安全隐患自查自纠和风险监控点上报,明确风险目标并加强防控;对于新发现的重大危险源,要按规定程序立即报区市安全监管等部门;对于重大隐患,要立即采取必要的预警防控措施,并在第一时间报至上级有关部门核实。
落实责任,及时整改。各级各部门要对评估分析出的安全隐患和风险实施分级管理,落实属地安全管理责任、部门监管责任以及安全隐患和风险点单位的主体责任,各级领导要加强对基层定点单位的监督检查。针对安全隐患和风险,要及时制定整改防控措施并积极落实。
完善预案,核实资源。针对评估中核实的隐患和风险,制定科学应对措施,调整完善有关应急预案;依据应急能力与风险相适应的原则,落实各类应急资源;规范基层应急管理,提升应急处置能力。
(四)评审总结
各级各部门按期完成评估报告的编制并报至上级主管部门。上级主管部门要组织专家对评估报告进行评审。各级各部门完成评估后,要及时在网格化监管平台提报评估报告及工作总结。
四、工作步骤
结合我市安全生产工作安排,年风险评估工作按“准备、评估、评审、总结”四个阶段进行:
(一)准备阶段(时间:4月30日前)
各级各部门制定风险评估工作方案,落实责任人员,明确评估对象与范围,确定方法程序和时限要求,组建评估组;收集相关法规、标准等资料和相关事故案例等内容。
(二)评估阶段(5月1日至6月10日)
各镇街应在5月15日前完成本辖区风险评估,并将风险评估报告提报至市政府安委会办公室;各有关部门于5月25之前完成本行业(领域)的风险分析;在6月10日之前完成本网格的风险评估,形成风险评估报告,并上报市政府安委会办公室。
(三)评审阶段(6月11日到6月30日)
市政府安委会将于6月底前组织有关部门及专家完成对各镇街及各有关部门的风险评估报告的评审工作。
(四)总结阶段(7月1日到7月10日)
各镇街及各有关部门要结合评审意见对风险评估报告进行修改完善。各级各部门须于7月3日前通过网格化系统提报本网格的风险评估报告和工作总结。
五、保障措施
(一)加强领导,落实责任。各镇街及各有关部门要高度重视,成立风险评估工作领导小组。在组织领导本级网格风险评估工作的同时,指导督促下一级网格落实风险评估责任,鼓励引导社区级网格开展风险评估。
(二)统一部署,分级实施。各级各部门要制定工作方案,统一部署风险评估工作。根据本地区、本行业(领域)的特点、企业类型、危险有害因素分布及状况等情况,做好分级实施的工作安排,合理分配任务,逐级负责落实,有计划、有组织、有步骤地开展评估工作。
(三)完善机制,巩固提升。各镇街及各有关部门要从实际情况出发,切实推进评估工作长效机制建设,总结制定适合本地区、本行业的评估实施方案,确定每年年底前完成基层安全生产风险评估,为制定下一年度的安全生产工作计划提供支撑,推动安全生产重点工作的深入开展,消除隐患,防范风险,落实应急措施,促进安全生产应急能力大幅提升。
(四)重点指导,典型示范。市政府安委会将结合实际,对重点行业企业分布较多的镇街予以重点指导,督促其按照《导则》,切实开展风险评估。各有关部门要根据行业区域分布特点,指导镇街做好风险评估工作。
风险评估及管理篇8
关键词:信息安全;风险评估;系统设计
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念――PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
参考文献
[1]GB/T 20984-2007,信息安全风险评估规范[S].信息安全技术.