風險評估
折疊安全事故
識別危害是安全風險評估的重要部分。若不能完全找出安全事故危害的所在,就沒法對每個危害的風險作出評估,并對安全事故危害作出有效的控制。這里簡單介紹如何識別安全事故的危害。
(1)危險材料識別一識別哪些東西是容易引發安全事故的材料,如易燃或爆炸性材料等,找出它們的所在位置和數量,處理的方法是否適當。
(2)危險工序識別一找出所有涉及高空或高溫作業、使用或產生易燃材料等容易引發安全事故的工序,了解企業是否已經制定有關安全施工程序以控制這些存在安全危險的工序,并評估其成效。
(3)用電安全檢查一電氣安全事故是當今企業的一個帶有普遍性的安全隱患,對電氣的檢查是每一個企業安全風險評估必不可少的一項內容。用電安全檢查包括檢查電氣設備安裝是否符合安全要求、插座插頭是否嚴重超負荷、電線是否老化腐蝕、易燃工作場所是否有防靜電措施、電器設備有無定期維修保養以避免散熱不良產生熱源等。
(4)工作場地整理一檢查工場是否存在安全隱患,如是否堆積大量的可燃雜物(如紙張、布碎、垃圾等),材料有否擺放錯誤,腳手架是否牢固等等。
(5)工作場所環境安全隱患識別一工作場所由設施、工具和人三者組成一個特定的互相銜接的有機組合的環境,往往因為三者之間的聯系而可能將安全事故的危害性無限擴展。識別環境中的安全危險性十分重要,如一旦發生安全事故,人員是否能立即撤離,電源是否能立即切斷等等。
(6)安全事故警報一找出工作場所是否有安全事故警報裝置或安排,并查究它們能否操作正常。
(7)其它一留意工作場所是否有其他機構的員工在施工,例如:當裝修工程進行,裝修工人所使用的工具或材料均可增加安全隱患。
折疊控制風險
風險控制就是使風險降低到企業可以接受的程度,當風險發生時,不至于影響企業的正常業務運作。
1.選擇安全控制措施
為了降低或消除安全體系范圍內所涉及到的被評估的風險,企業應該識別和選擇合適的安全控制措施。選擇安全控制措施應該以風險評估的結果作為依據,判斷與威脅相關的薄弱點,決定什么地方需要保護,采取何種保護手段。
安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高,那么所建議的控制措施就是不合適的。如果控制措施的費用比企業的安全預算還要高,則也是不合適的。但是,如果預算不足以提供足夠數量和質量的控制措施,從而導致不必要的風險,則應該對其進行關注。
通常,一個控制措施能夠實現多個功能,功能越多越好。當考慮總體安全性時,應該考慮盡可能地保持各個功能之間地平衡,這有助于總體安全有效性和效率。
2.風險控制
根據控制措施的費用應當與風險相平衡的原則,企業應該對所選擇的安全控制措施嚴格實施以及應用。達到降低風險的途徑有很多種,下面是常用的幾種手段:
1)免風險:比如:改善施工程序及工作環境等。
2)轉移風險:比如:進行投保等。
3)減少威脅:比如:阻止具有惡意的軟件的執行,避免遭到攻擊。
4)減少薄弱點:比如:對員工進行安全教育,提高員工的安全意識。
5)進行安全監控:比如:及時對發現的可能存在的安全隱患進行整改,及時做出響應。
3.可接受風險
任何生產在一定程度上都存在風險,絕對的安全是不存在的。當企業根據風險評估的結果,完成實施所選擇的控制措施后,會有殘余的風險。為確保企業的安全,殘余風險也應該控制在企業可以接受的范圍內。
風險接受是對殘余風險進行確認和評價的過程。在實施了安全控制措施后,企業應該對安全措施的實施情況進行評審,即對所選擇的控制措施在多大程度上降低了風險做出判斷。對于殘留的仍然無法容忍的風險,應該考慮增加投資。
風險是隨時間而變化的,風險管理是一個動態的管理過程,這就要求企業實施動態的風險評估與風險控制,即企業要定期進行風險評估。一般而言,當出現以下情況時,應該重新進行風險評估:
1)當企業新增企業資產時;
2)當系統發生重大變更時;
3)發生嚴重安全事故時;
4)企業認為非常必要時。
一個企業要做到防患于未然,安全事故危害的風險評估工作是非常重要的,同時,要配合完善的監察和檢討制度,并有良好的記錄。做好安全管理,是保護企業的寶貴人力資源、財產和信譽的上策
折疊安全風險
折疊相關政策
安全風險評估是信息安全保障工作的基礎和重要環節,《國家信息化領導小組關于加強信息安全保障工作的意見(中辦發[2003]27號)》、《國家網絡與信息安全協調小組關于開展信息安全風險評估工作的意見(國信辦[2006]5號)》等相關文件都明確提出信息安全風險評估的必要性,及對信息安全風險評估工作的重視。
折疊風險管理
安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。風險評估工作貫穿信息系統整個生命周期,包括規劃階段、設計階段、實施階段、運行階段、廢棄階段等。
折疊評估過程
◆資產識別與賦值:對評估范圍內的所有資產進行識別,并調查資產破壞后可能造成的損失大小,根據危害和損的大小為資產進行相對賦值;資產包括硬件、軟件、服務、信息和人員等;
◆威脅識別與賦值:即分析資產所面臨的每種威脅發生的頻率,威脅包括環境因素和人為因素;
◆脆弱性識別與賦值:從管理和技術兩個方面發現和識別脆弱性,根據被威脅利用時對資產造成的損害進行賦值;
◆風險值計算:通過分析上述測試數據,進行風險值計算,識別和確認高風險,并針對存在的安全風險提出整改建議。
◆被評估單位可根據風險評估結果防范和化解信息安全風險,或者將風險控制在可接受的水平,為最大限度地保障網絡和信息安全提供科學依據。
折疊評估內容
