安全風險評估

如何識別安全事故的危害

識別危害徠是安全風險評估的重要部分。若不能完全找出安全事故危害的所在,就沒法對每個危害的風險作出評估,並對安全事故危害作出有效的控制。這裡簡單介紹如何識別安全事故的危害。

風險評估


在一個企業中,誘發安全事故的因素很多,“安全風險評估”能為全面有效落實安全管理工作提供基礎資料,並評估出不同環境或不同時期的安全危險性的重點,加強安全管理,採取宣傳教育、行政、技術及監督等措施和手段,推動各階層員工做好每項安全工作。使企業每位員工都能真正重視安全工作,讓其了解及掌握基本安全知識,這樣,絕大多數安全事故均是可以避的。這也是安全風險評估的價值所在。
當任何生產經營活動被鑒定為有安全事故危險性時,便應考慮怎樣進行評估工作,以簡化及減少風險評估的次數來提高效率。安全風險評估主要由以下3個步驟所組成:識別安全事故的危害、評估危害的風險和控制風險的措施及管理。

安全事故


(1)危險材料識別一識別哪些東西是容易引發安全事故的材料,如易燃或爆炸性材料等,找出它們的所在位置和數量,處理的方法是否適當。
(2)危險工序識別一找出所有涉及高空或高溫作業、使用或產生易燃材料等容易引發安全事故的工序,了解企業是否已經制定有關安全施工程序以控制這些存在安全危險的工序,並評估其成效。
(3)用電安全檢查一電氣安全事故是當今企業的一個帶有普遍性的安全隱患,對電氣的檢查是每一個企業安全風險評估必不可少的一項內容。用電安全檢查包括檢查電氣設備安裝是否符合安全要求、插座插頭是否嚴重超負荷、電線是否老化腐蝕、易燃工作場所是否有防靜電措施、電器設備有無定期維修保養以避免散熱不良產生熱源等。
(4)工作場地整理一檢查工場是否存在安全隱患,如是否堆積大量的可燃雜物(如紙張、布碎、垃圾等),材料有否擺放錯誤,腳手架是否牢固等等。
(5)工作場所環境安全隱患識別一工作場所由設施、工具和人三者組成一個特定的互相銜接的有機組合的環境,往往因為三者之間的聯繫而可能將安全事故的危害性無限擴展。識別環境中的安全危險性十分重要,如一旦發生安全事故,人員是否能立即撤離,電源是否能立即切斷等等。
(6)安全事故警報一找出工作場所是否有安全事故警報裝置或安排,並查究它們能否操作正常。
(7)其它一留意工作場所是否有其他機構的員工在施工,例如:當裝修工程進行,裝修工人所使用的工具或材料均可增加安全隱患。

控制風險


風險控制就是使風險降低到企業可以接受的程度,當風險發生時,不至於影響企業的正常業務運作。
1.選擇安全控制措施
為了降低或消除安全體系範圍內所涉及到的被評估的風險,企業應該識別和選擇合適的安全控制措施。選擇安全控制措施應該以風險評估的結果作為依據,判斷與威脅相關的薄弱點,決定什麼地方需要保護,採取何種保護手段。
安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高,那麼所建議的控制措施就是不合適的。如果控制措施的費用比企業的安全預算還要高,則也是不合適的。但是,如果預算不足以提供足夠數量和質量的控制措施,從而導致不必要的風險,則應該對其進行關注。
徠通常,一個控制措施能夠實現多個功能,功能越多越好。當考慮總體安全性時,應該考慮儘可能地保持各個功能之間地平衡,這有助於總體安全有效性和效率。
2.風險控制
根據控制措施的費用應當與風險相平衡的原則,企業應該對所選擇的安全控制措施嚴格實施以及應用。達到降低風險的途徑有很多種,下面是常用的幾種手段:
1)免風險:比如:改善施工程序及工作環境等。
2)轉移風險:比如:進行投保等。
3)減少威脅:比如:阻止具有惡意的軟體的執行,避免遭到攻擊。
4)減少薄弱點:比如:對員工進行安全教育,提高員工的安全意識。
5)進行安全監控:比如:及時對發現的可能存在的安全隱患進行整改,及時做出響應。
3.可接受風險
任何生產在一定程度上都存在風險,絕對的安全是不存在的。當企業根據風險評估的結果,完成實施所選擇的控制措施后,會有殘餘的風險。為確保企業的安全,殘餘風險也應該控制在企業可以接受的範圍內。
風險接受是對殘餘風險進行確認和評價的過程。在實施了安全控制措施后,企業應該對安全措施的實施情況進行評審,即對所選擇的控制措施在多大程度上降低了風險做出判斷。對於殘留的仍然無法容忍的風險,應該考慮增加投資。
風險是隨時間而變化的,風險管理是一個動態的管理過程,這就要求企業實施動態的風險評估與風險控制,即企業要定期進行風險評估。一般而言,當出現以下情況時,應該重新進行風險評估:
1)當企業新增企業資產時;
2)當系統發生重大變更時;
3)發生嚴重安全事故時;
4)企業認為非常必要時。
一個企業要做到防患於未然,安全事故危害的風險評估工作是非常重要的,同時,要配合完善的監察和檢討制度,並有良好的記錄。做好安全管理,是保護企業的寶貴人力資源、財產和信譽的上策。

安全風險


相關政策

安全風險評估是信息安全保障工作的基礎和重要環節,《國家信息化領導小組關於加強信息安全保障工作的意見(中辦發[2003]27號)》、《國家網路與信息安全協調小組關於開展信息安全風險評估工作的意見(國信辦[2006]5號)》等相關文件都明確提出信息安全風險評估的必要性,及對信息安全風險評估工作的重視。

風險管理

安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析網路與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵禦威脅的防護對策和整改措施。風險評估工作貫穿信息系統整個生命周期,包括規劃階段、設計階段、實施階段、運行階段、廢棄階段等。

評估過程

◆資產識別與賦值:對評估範圍內的所有資產進行識別,並調查資產破壞后可能造成的損失大小,根據危害和損的大小為資產進行相對賦值;資產包括硬體、軟體、服務、信息和人員等;
◆威脅識別與賦值:即分析資產所面臨的每種威脅發生的頻率,威脅包括環境因素和人為因素;
◆脆弱性識別與賦值:從管理和技術兩個方面發現和識別脆弱性,根據被威脅利用時對資產造成的損害進行賦值;
◆風險值計算:通過分析上述測試數據,進行風險值計算,識別和確認高風險,並針對存在的安全風險提出整改建議。
◆被評估單位可根據風險評估結果防範和化解信息安全風險,或者將風險控制在可接受的水平,為最大限度地保障網路和信息安全提供科學依據。

評估內容

信御安全服務綜合國內外相關標準,展現信息系統當前的安全現狀,為下一步控制和降低安全風險、改善安全現狀、實施信息系統的風險管理提供決策依據。
◆主機安全評估:對主機的配置、服務進行安全評估。
◆系統安全評估:對各類計算機系統(Windows、Linux等)的配置、服務和安全防護能力進行評估。
◆網路安全評估:對網路設備、網路服務、網路拓撲以及Web應用等進行評估,得出評估報告。
◆業務系統評估:評估常見業務應用(ERP、OA、CRM等)系統。