緒論：寫作既是個人情感的抒發(fā)，也是對學術真理的探索，歡迎閱讀由發(fā)表云整理的11篇安全風險評估方式范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

中圖分類號：TN2 文獻標識碼：A 文章編號：1674-098X（2013）01（b）-0-01

隨著我國建設事業(yè)的迅速發(fā)展，在企業(yè)的經營管理活動中，工程的風險管理日益受到重視；風險無處不在，電梯行業(yè)更是如此。面對復雜的經濟環(huán)境和激烈的市場競爭，如何發(fā)現(xiàn)風險、評估風險、規(guī)避風險成為企業(yè)管理者不得不面對的一個重大課題。風險管理是指為了達到一個既定目標，對企業(yè)所承擔的風險進行管理的系統(tǒng)過程，其采取的方法、措施應符合公眾利益、人身安全、環(huán)境保護以及有關法規(guī)的要求。風險管理過程包括風險識別、風險評估、風險響應、風險控制四個方面。

1 風險識別是前提

作為一個企業(yè)要想得到健康長足的發(fā)展，就應該注重安全生產，實施風險管理，收集相關風險信息，確定風險因素，編制風險識別報告。制定多種防范措施，減少風險給企業(yè)帶來的各種損失。隨著我國經濟的快速發(fā)展，電梯行業(yè)迅速崛起，我國目前的電梯產、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設備，它的安全運行關系到人們的生命和財產安全。確保電梯在設計、生產、安裝和運行過程中不發(fā)生安全事故，是電梯企業(yè)進行風險管理的首要問題。

2 風險評估是理論支撐

風險評估就是利用已有的數(shù)據資料和相關專業(yè)方法，分析風險因素發(fā)生的概率和損失量，確定風險量和風險等級。電梯屬于一種大型機電一體化特種設備，目前，國內還沒有統(tǒng)一的和完整的電梯安全評估準則和程序，建立一套比較完善的電梯安全評估準則、程序和方法，已迫在眉睫。電梯安全風險評估是應用安全系統(tǒng)工程的原理和先進檢測儀器設備，對在用電梯運行系統(tǒng)中存在的危險因素進行辨識、檢測和分析，通過對潛在的影響電梯系統(tǒng)運行安全的危險因素進行定性、定量分析，預測電梯系統(tǒng)中存在的危險源、分布部位、數(shù)量、故障概率以及嚴重程度等影響電梯系統(tǒng)壽命周期內的安全狀況，從而提出采取降低風險的對策和措施。

電梯作為大型特種機電設備有著其特殊性，它不是整機出廠而是需要在現(xiàn)場進行安裝、調試。從設計、銷售、運輸、安裝、維護等各個環(huán)節(jié)都存在一定的風險，它貫穿于各個環(huán)節(jié)。因此電梯風險評估過程要從電梯的安全要求出發(fā)，進行風險情節(jié)與風險源的識別；依據電梯的不同階段劃分為不同的評估單元，可分為設計制造評估、安裝調試評估、使用管理與維護保養(yǎng)評估等幾個大的單元。每個大的單元根據國家規(guī)范和相關標準分別包含不同的內容；設計制造評估單元主要依據《特種設備安全監(jiān)察條例》、《電梯制造與安裝安全規(guī)范》（GB7588-2003）、《電梯技術條件》（GB/T10058-2009）、《電梯試驗方法》（GB/T10059-2009）等國家規(guī)范，參考世界發(fā)達國家現(xiàn)行的標準，對企業(yè)的資質、技術水平、管理能力等進行理論分析；安裝調試評估單元主要依據《電梯安裝驗收規(guī)范》（GB/T10060-2011）、《電梯工程施工質量驗收規(guī)范》（GB50310-2002）等國家規(guī)范，進行風險分析；使用管理與維護保養(yǎng)評估單元依據《電梯監(jiān)督檢驗和定期檢驗規(guī)則―曳引與強制驅動電梯》（TSGT7001-2009）、《電梯使用管理與維護保養(yǎng)規(guī)則》（TSGT5001-2009）、《電梯、自動扶梯和自動人行道維修規(guī)范》（GB/T18775-2009）、《提高在用電梯安全性的規(guī)范》（GB24804-2009）等國家規(guī)范，分別進行曳引能力評估、制動能力評估、限速器一安全鉗可靠性評估、電梯控制系統(tǒng)評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運行性能評估等；其目的就是對電梯運行系統(tǒng)中存在的危險因素進行辨識和分析。尋找與事故發(fā)生有關的原因、條件和規(guī)律，由此可辨識出電梯各個環(huán)節(jié)中導致事故發(fā)生的有關危險源；當條件發(fā)生變化時應重新進行評估。

3 風險響應策略

風險響應是對預測可能發(fā)生的風險采取的策略，常用的對策包括風險規(guī)避、減輕、自留、轉移、投保等，要有完善的風險管理計劃。計劃一般要包括以下幾個方面（1）管理目標（2）管理范圍（3）管理方法及依據（4）風險等級（5）管理職責及權限（6）風險跟蹤（7）資源預算。針對電梯行業(yè)來講，掌握好國家的政策和行業(yè)動態(tài)，運用新技術、新標準，本著節(jié)能、環(huán)保、安全、降低電梯成本，在研發(fā)設計時期，要搞好市場調研，滿足不同的消費群體的需求；在運輸過程中，對不可控制的意外風險，采取向保險公司投保進行風險轉移；在安裝維護階段，要求施工人員要經過專業(yè)知識培訓并考核合格，持證上崗；上崗前要進行三級安全教育，進入現(xiàn)場要遵守公司的安全規(guī)章制度，對使用的電動工具要定期安全檢查，做好現(xiàn)場的安全防護，公司不定期進行自檢和專檢，督促落實好各項制度。

4 風險控制措施

根據對危險源的識別，評估危險源造成的風險，確定風險等級，制定出不同風險水平的控制措施計劃表。一般風險等級劃分為五個等級，可忽略風險、可容許風險、中度風險、重大風險、不容許風險。

針對不同危險源采取相應降低風險的措施，將技術管理和程序控制有機結合起來，盡可能利用技術進步來改善安全控制措施；制定可行、有效、成本效益最佳的應急方案；提高各類設施的可靠性，增加安全系數(shù)，減少故障，設置安全監(jiān)控系統(tǒng)，改善作業(yè)環(huán)境；加強員工培訓，克服不良習慣，嚴格按章辦事，幫助其保持良好的生理和心理狀態(tài)。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風險，制定出相應的防范措施，進行安全交底和技術交底，按規(guī)定搭設腳手架并加裝防護網，預留的洞口和廳門口按要求進行封堵并張貼安全警示標志。電梯每天在不停的運轉，由于設備部件不斷磨損，電氣元件老化等原因，電梯不可避免的出現(xiàn)一些故障，有可能發(fā)生如停梯、關人、沖頂、蹲底等風險；因此在維修保養(yǎng)過程中，要嚴格按照國家規(guī)范，每半月進行一次清潔、、調整、檢查，確保電梯各項性能滿足使用要求。

5 結語

隨著社會對電梯安全需求的不斷提高，電梯安全越來越被人們重視，為了充分認識電梯系統(tǒng)的危險性，就必須對電梯的各個環(huán)節(jié)進行細致、系統(tǒng)的分析；在此基礎上，進行風險的綜合評估，了解潛在的危險和薄弱環(huán)節(jié)，采取科學有效的控制措施，進行風險管理。規(guī)避顯性和隱性的各種風險，按照計劃-實施-檢查-處置 循環(huán)上升的PDCA模式進行風險控制，避免電梯事故的發(fā)生，提升企業(yè)的綜合管理水平。

篇（2）

二、計算機信息系統(tǒng)安全風險的評估方法分析

（一）以定性與定量為主的評估方法。

計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式，其分析內容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產價值進行分析，再以客觀數(shù)據為依據對威脅頻率進行計算，當完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風險的等級。

（二）以知識和模型為基礎的風險評估。

以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據，優(yōu)勢在于風險評估的結構框架、實施計劃以及保護措施可被提供，對較為相似的機構可直接利用以往的保護措施等便可實現(xiàn)機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風險的定性評估。

（三）動態(tài)評估與分析方式。

計算信息系統(tǒng)風險管理實際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計劃、實施、檢查以及改進實現(xiàn)了對風險的動態(tài)管理。

（四）典型風險評估與差距分析方法分析。

典型風險評估主要包括FTA、FMECA、Hazop等方法，對計算機信息系統(tǒng)設計中潛在的故障與薄弱之處，都可提出相應的解決措施，以FTA故障樹分析為典型代表，在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風險的確定，存在的差距越大則證明存在的風險越大。

篇（3）

二、計算機信息系統(tǒng)安全風險的評估方法分析

（一）以定性與定量為主的評估方法

計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式，其分析內容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產價值進行分析，再以客觀數(shù)據為依據對威脅頻率進行計算，當完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風險的等級。

（二）以知識和模型為基礎的風險評估

以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據，優(yōu)勢在于風險評估的結構框架、實施計劃以及保護措施可被提供，對較為相似的機構可直接利用以往的保護措施等便可實現(xiàn)機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風險的定性評估。

（三）動態(tài)評估與分析方式

計算信息系統(tǒng)風險管理實際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計劃、實施、檢查以及改進實現(xiàn)了對風險的動態(tài)管理。

（四）典型風險評估與差距分析方法分析

典型風險評估主要包括FTA、FMECA、Hazop等方法，對計算機信息系統(tǒng)設計中潛在的故障與薄弱之處，都可提出相應的解決措施，以FTA故障樹分析為典型代表，在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風險的確定，存在的差距越大則證明存在的風險越大。

篇（4）

隨著社會經濟快速發(fā)展，信息傳遞無論是速度還是容量均不斷創(chuàng)造新的高度。信息傳遞方式與人們的生活、工作、學習息息相關。信息產業(yè)發(fā)展蒸蒸日上，建立在信息技術基礎上的信息系統(tǒng)存在一定風險，易受到黑客攻擊，且信息系統(tǒng)充斥各種病毒，系統(tǒng)運行過程存在一定風險。基于此必須做好信息系統(tǒng)安全建設，進行安全風險評估，奠定安全基礎。

1 風險評估概述

互聯(lián)網快速發(fā)展極大提高人們的生活、工作、學習效率，與此同時發(fā)來一系列安全隱患。人們通過互聯(lián)網可實現(xiàn)信息有效獲取，信息傳遞過程中仍舊可能出現(xiàn)信息被第三方截取情況，信息保密性、完整性、可靠性等均收到影響。網絡環(huán)境雖然方便信息處理方式，但也帶來一系列安全隱患。

從信息安全角度而言，風險評估就是對信息系統(tǒng)自身存在的的種種弱點進行分析，判斷可能存在的威脅、可能造成的影響等。綜合風險可能性，便于更好展開風險管理。風險評估是研究信息安全的重要途徑之一，屬于組織信息安全管理體系策劃過程。

風險評估主要內容包括：識別信息系統(tǒng)可能面對的各種風險、風險出現(xiàn)的概率、風險可能導致的后果、風險消除策略、風險控制策略等。信息系統(tǒng)構成極為復雜，因此信息系統(tǒng)安全風險評估是一項綜合性工作，其組織架構較為繁雜，主要包括技術體系、組織結構、法律體系、標準體系、業(yè)務體系等。

20世紀八十年代，以美國、加拿大為代表的發(fā)達國家已建立起風險評估體系。我國風險評估體系建立較晚，至今只有十幾年時間。目前我國安全風險評估已得到相關部門高度重視，為其快速發(fā)展奠定堅實基礎。

網絡環(huán)境雖然帶來無窮便利，卻也帶來各種安全隱患。互聯(lián)網環(huán)境下信息系統(tǒng)易被黑客攻擊。一切社會因素均與信息系統(tǒng)聯(lián)系在一起，人們生活在同一信息系統(tǒng)下總是希望自身隱私得到保護，因此在建設信息系統(tǒng)是必須做好信息安全風險評估，規(guī)避信息系統(tǒng)存在的各種風險，提高信息系統(tǒng)安全性，讓人們生活在安全信息環(huán)境中。

2 信息安全風險評估方法

網絡的出現(xiàn)對人們的生活和思維方式帶來極大變革，信息交流更加方便，資源共享程度無限擴大，但是網絡是一個較為開放的系統(tǒng)，對進入網絡系統(tǒng)的人并未有一定約束，因此必然導致安全隱患的出現(xiàn)。隨著信息系統(tǒng)建設不斷深入，信息系統(tǒng)必將對社會經濟、政治、文化、教育等造成巨大影響。基于此需要提升信息系統(tǒng)安全風險評估合理性，降低安全隱患，讓人們在安全的信息環(huán)境下生活和工作。

2.1 定性評估方法

定性評估是信息安全風險評估使用最頻繁的方法，此法基于評估者通過特有評估方法，總結經驗、歷史等無法量化 因素對系統(tǒng)風險進行綜合評估，從而得出評估結果。該中方法更注重安全風險可能導致的后果，忽略安全時間可能發(fā)生的概率。定性評估中有很多因素無法量化處理，因此其評估結果本身就存在一定不確定性，此種評估方法適用于各項數(shù)據收集不充分情況。

定性評估雖然在概率上無法保障，但可挖掘出一些較為深刻的思想，其結論主觀性較強，可預判斷一些主觀性結論。基于此需要評估人員具較高職業(yè)素養(yǎng)，不受限與數(shù)據及經驗的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。

德爾菲法是定性評估中較為常見評估方法之一，經過多輪征詢，將專家的意見進行歸結，總結專家預測趨勢，從而做出評估，預測未來市場發(fā)展趨勢，得出預測結論。從本質上來說，德爾菲法是一種匿名預測函詢法，其流程為：征求專家匿名意見――對該項數(shù)據進行歸納整理――反饋意見給專家――收集專家意見――…――得出一致意見。德爾菲法是一種循環(huán)往復的預測方法可逐漸消除不確定因素，促進預測符合實際。

2.2 定量評估方法

定量評估與定性評估是相互對立的，此種方法需要建立在一切因素均標準化基礎上。定量評估首先需要收集相關數(shù)據，且需保證數(shù)據準確性，之后利用數(shù)學方法建立模型，驗證各種過程從而得出結論。定量評估需要準備充足資料，是一種利用公式進行結果推到的方法。從本質上來說定量評估客服定性評估存在的不足，更具備客觀性。定量評估可將復雜評估過程量化，但該種方法需要建立在準確數(shù)據基礎上。定量評估方法主觀性不足，其結論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。

故障樹評估法采用邏輯思維進行風險評估，其特點是直觀明了，思路清晰。是一種演繹邏輯推理方法，其推理過程由果及因，即在推理中由結果推到原因，主要運用于風險預測階段，得出風險發(fā)生具體概率，并以此為基礎得出風險控制方法。

2.3 定性評估與定量評結合綜合評價方法

由前文可知定性評估和定量評估各自存在優(yōu)缺點。定性評估主觀性較強，客觀性不足。定量評估主觀性不足，客觀性較強。因此將二者結合起來便可起到互補不足的效果。定性評估需要耗費少量人力、物力、財力成本，建立在評估者資質基礎上。定量評估運用數(shù)學方法展開工作，預測結果較為準確，邏輯性較強，但成本較高。從本質上來看，定性為定量的依據，定量是對定性的具體化，因此只有將二者結合起來才能實現(xiàn)最佳評估效果。

3 信息安全風險評估過程

信息安全風險評估建立在一定評估標準基礎上，評估標準是評估活動開展的基礎和前提。信息安全風險評估過程需要評估技術、工具、方法等全面支持，在此基礎上展開全面風險評估，結合實際情況選擇合適評估方法。正確的評估方法可提高信息安全風險評估結果準確性，這就要求評估過程中需建立正確評估方法，克服評估過程存在的不足，從而取得最佳結果。

4 結束語

當今信息系統(tǒng)不斷發(fā)展完善，為保證信息系統(tǒng)運行環(huán)境的安全性必須對信息系統(tǒng)進行安全風險評估。信息安全風險評估具有多種方法，實際評估中應該結合實際情況選擇合適方法，提高信息安全風險評估結果準確性，為建立安全信息環(huán)境奠定堅實基礎。

參考文獻

[1]應力.信息安全風險評估標準與方法綜述[J].上海標準化，2014（05）：34-39.

[2]張玉清.信息安全風險評估綜述[J].通信學報，2015（02）：45-53.

篇（5）

當今我們是如何看待網絡與信息化？對個人，人需要信息化還是信息化“綁架”人？對企事業(yè)單位和社會團體，組織依賴信息化還是信息化成就組織？對經濟發(fā)展，經濟發(fā)展帶動了信息技術還是信息技術促進了經濟發(fā)展？對社會穩(wěn)定，信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負面的？對國家安全，信息化是國家安全的利器還是禍害？沒有標準答案，但值得思考。檢察業(yè)務系統(tǒng)風險管理的內容有哪些呢？我們作了以下的探討：

1.風險管理的基本架構與概念

1.1 風險管理的基本架構（如圖1-1所示）

1.2 風險管理工作內容

1.2.1 風險管理工作主要內容有：建立背景、風險評估、風險處置、批準監(jiān)督、監(jiān)控審查、溝通咨詢（如圖1-2所示）。

1.2.2 系統(tǒng)生命周期中的風險管理：掌握系統(tǒng)規(guī)劃階段的風險管理工作；掌握系統(tǒng)設計階段的風險管理工作；掌握系統(tǒng)實施階段的風險管理工作；掌握系統(tǒng)運行維護階段的風險管理工作；掌握系統(tǒng)廢棄階段的風險管理工作（如圖1-3所示）。

信息安全風險管理是信息安全保障工作中的一項基礎性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作。我們的檢察業(yè)務系統(tǒng)是順應信息化發(fā)展及業(yè)務需求的實際情況，經過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務需求的背景下建立的。那么我們應該要掌握一套完善的管理方式去做好這件事。那就是要學會風險管理運用好風險管理的實質內容。

1.3 相關概念

1.3.1 通用風險管理定義是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情則押后處理。

1.3.2 檢察業(yè)務系統(tǒng)信息安全工作為什么需要風險管理方式？

常見問題：安全投資逐年增加，但看不到收益；按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應優(yōu)先撥向哪個領域；當了CIO，時刻擔心系統(tǒng)出事，無法預見可能會出什么事。

問題根源淺析：沒有根據風險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導致有限資金的有效利用率低；沒有根據企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風險。決策者沒有看到安全投資收益報告，資金劃撥無參考依據。沒有殘余風險清單，在什么條件可被觸發(fā)，如何做好控制。總的來說可以概括為以下三點：（1）信息安全風險和事件不可能完全避免，沒有絕對的安全。（2）信息安全是高技術的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。（3）因此管理信息安全必須以風險管理的方式，關鍵在于如何控制、化解和規(guī)避風險，而不是完全消除風險。

風險管理是信息安全保障工作有效工作方式。好的風險管理過程可以讓機構以最具有成本效益的方式運行，并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險。而不是將保貴的資源用于解決所有可能的風險。風險管理是一個持續(xù)的PDCA管理過程，即計劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解，在全國使用統(tǒng)一的檢察業(yè)務系統(tǒng)，做需求分析計劃組織開發(fā)業(yè)務系統(tǒng)--全國各省市部分基層院試運行使用--檢查業(yè)務系統(tǒng)的可行性及需要完善的報告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個持續(xù)的不斷完善的管理過程。

在全國使用統(tǒng)一的檢察業(yè)務系統(tǒng)，也就會出現(xiàn)數(shù)據大集中，數(shù)據大集中天生的脆弱性就是數(shù)據集中的銷毀或丟失，這就是它與生俱來的風險，那么我們認識了這一點，就應該采用相應的技術措施來控制風險。什么是信息安全風險管理？了解風險+控制風險=管理風險。定義一：GB/Z 24364《信息安全風險管理指南》指：信息安全風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構內部識別、優(yōu)化、管理風險，使風險降低到可接受水平的過程。

1.3.3 正確的風險管理方法是前瞻性風險管理加反應性風險管理。

（1）前瞻性風險管理：評估風險、實施風險決策、風險控制、評定風險管理的有效性。（2）反應性風險管理：保護人身安全、遏制損害、評估損害、確定損害部位、修復損害部位、審查響應過程并更新安全策略。風險管理最佳實踐。簡單的例子：流行性感冒是一種致命的呼吸道疾病，美國每年都會有數(shù)以百萬計的感染者。這些感染者中，至少有100，000人必須入院治療，并且約有36，000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結合才是最佳風險管理方法。

1.3.4 全國使用統(tǒng)一的檢察業(yè)務系信息安全風險管理的目標是它能做好：保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義，信息安全風險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。

2.風險管理的工作內容

2.1 背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析。風險管理準備：確定對象、組建團隊、制定計劃、獲得支持。信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點。信息系統(tǒng)分析：信息系統(tǒng)的體系結構、關鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

2.2 信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據。

信息系統(tǒng)的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風險。所以信息安全評估是一個長期持續(xù)的工作，通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和基礎環(huán)節(jié)。風險管理是在倡導適度安全。

2.3 風險處理是為了將風險始終控制在可接受的范圍內。現(xiàn)存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以。處理目標確認：不可接受的風險需要控制到怎樣的程度。處理措施選擇：選擇風險處理方式，確定風險控制措施。處理措施實施：制定具體安全方案，部署控制措施。常用的四類風險處置方法如下：

2.3.1 減低風險：通過對面臨風險的資產采取保護措施來降低風險。首先應當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。減低風險辦法：減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時給系統(tǒng)打補丁，關閉無用的網絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護資產：采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；降低負面影響：采取容災備份、應急響應和業(yè)務連續(xù)計劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉移風險：通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。通常只有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產生重大影響的風險。在本機構不具備足夠的安全保障的技術能力時，將信息系統(tǒng)的技術體系（即信息載體部分）外包給滿足安全保障要求的第三方機構，從而避免技術風險。通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。

2.4 批準監(jiān)督。批準：是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定。監(jiān)督：是指檢查機構及其信息系統(tǒng)以及信息安全相關的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時發(fā)現(xiàn)已經出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性。

3.安全風險評估實踐與國家相關政策

3.1 國家對開展風險評估工作的政策要求

3.1.1 信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風險評估工作，對網絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網絡與信息系統(tǒng)的重要性、程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理”

3.1.2 《國家網絡與信息安全協(xié)調小組〈關于開展信息安全風險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風險評估工作的相關要求：風險評估的基本內容和原則；風險評估工作的基本要求；開展風險評估工作的有關安排。

3.2 《關于開展信息安全風險評估工作的意見》的實施要求

3.2.1 信息安全風險評估工作應當貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設計階段，通過信息安全風險評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標，有針對性地制定和部署安全措施，從而避免產生欠保護或過保護的情況。

3.2.2 在信息系統(tǒng)建設完成驗收時，通過風險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預期的安全目標。

3.3 《關于開展信息安全風險評估工作的意見》的管理要求

3.3.1 信息安全風險評估工作敏感性強，涉及系統(tǒng)的關鍵資產和核心信息，一旦處理不當，反而可能引入新的風險，《意見》強調，必須高度重視信息安全風險評估的組織管理工作。

3.3.2 為規(guī)避由于風險評估工作而引入新的安全風險，《意見》提出以下要求：（1）參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規(guī)，并承擔相應的責任和義務。（2）風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協(xié)議。（3）對關系國計民生和社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的信息安全風險評估工作必須遵循國家的有關規(guī)定進行。

3.3.3 加快制定和完善信息安全風險評估有關技術標準，盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準，各行業(yè)主管部門也可根據本行業(yè)特點制定相應的技術規(guī)范。

3.4 2071號文件對電子政務提出要求

為落實《國家電子政務工程建設項目管理暫行辦法》（發(fā)改委[2007]55號令）對風險評估的要求，發(fā)改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求：（相當于“信息安全審計”）電子政務工程建設項目應開展信息安全風險評估工作；評估的主要內容應包含：資產、威脅、脆弱性、已有的安全措施和殘余風險的影響等；項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據；項目驗收申請時，應提交信息安全風險評估報告；系統(tǒng)投入運行后，應定期開展信息安全風險評估。

參考文獻

篇（6）

風險是一個矛盾體，既是絕對的，也是相對的，從企業(yè)管理的角度來講，管控的是相對風險，所以風險評估技術方法的研究首先要確定應用的對象；機巡作業(yè)風險評估技術針對的是機巡作業(yè)管控，所以機巡作業(yè)風險評估技術方法就應基于機巡作業(yè)企業(yè)的管理需求即管控目標來進行設計；風險評估技術方法的研究主要基于后果考慮具體因子的設計，形成機巡作業(yè)風險評估技術標準。機巡作業(yè)風險評估流程設計如下。(1)評估范圍的劃分——根據企業(yè)安全生產目標，確定風險管控目標；(2)危害因素的辨識——選取風險后果對管控目標能夠造成影響的危害因素作為風險評估的對象；(3)風險評估——針對線路風險后果及涉及的各種危害因素，對線路風險進行定性評估，確定危害因素風險等級；(4)制定風險控制措施——對各危害因素制定控制措施，必要時還要制定新的控制措施。

1持續(xù)風險評估標準設計

中心引用可量化風險管理理念，采取現(xiàn)場作業(yè)“三維度”科學評價取值法，即根據涉及電網風險、現(xiàn)場風險以及作業(yè)環(huán)境風險相結合的“三維度”量化風險值，制定機巡作業(yè)中心持續(xù)作業(yè)風險評估技術標準。1.1危害因素辨識對。機巡作業(yè)影響因素進行分析，有交叉跨越方式與數(shù)量、作業(yè)環(huán)境、作業(yè)性質、電網等級、電網風險、巡視區(qū)域、飛行地域、線路密集程度、巡視機型等九個因素。1.2制定評估標準。(1)交叉跨越方式與數(shù)量。跨越1個危險點至4個危險點，所有機型取值分別為1/1.5/2/2.5，穿越一個點危險指數(shù)為100。(2)作業(yè)環(huán)境性質區(qū)域特征等指標,如表1所示。(3)電壓電網風險及機型等級指標，如表2所示。(4)線路密集程度指標。線路密集程度分為兩種，相鄰線行≥100m，所有機型取值1，相鄰線行50～100m（山區(qū)為100～150m）之間，所有機型取值1.5。1.3風險量化評估。1.3.1量化計算。根據電網風險、現(xiàn)場風險、作業(yè)環(huán)境風險量化結果對應的取值，使用量化評估公式：量化值(M)=[交叉跨越方式及數(shù)量系數(shù)]*[作業(yè)環(huán)境系數(shù)]*[作業(yè)性質系數(shù)]*[電壓等級系數(shù)]*[電網風險系數(shù)]*[巡視區(qū)域系數(shù)]*[飛行地域系數(shù)]*[線路密集程度系數(shù)]*]巡視機型系數(shù)]。1.3.2機巡作業(yè)風險定級。根據計算出的量化值，將機巡作業(yè)分為以下五級：(1）特高的風險：400≤風險值，考慮放棄、停止。(2）高風險機巡作業(yè)：200≤風險值＜400，需要立即采取糾正措施。(3）中風險機巡作業(yè)：70≤風險值＜200，需要采取措施進行糾正。(4）低風險機巡作業(yè)：20≤風險值＜70，需要進行關注。(5）可接受風險機巡作業(yè)：風險值＜20，容忍。1.4現(xiàn)有控制措施。根據確定的風險和涉及的人員、電網情況，查找目前已有的控制措施，包括：管理人員的現(xiàn)場督察、檢查；改善飛行和控制技術等已經應用的工程技術；防止風險而使用的安全工器具和個人防護用品、安全標識；保證人員意識和技能而開展的常態(tài)化人員學習與教育培訓；為降低風險損失而采取的應急措施等。

2應用實例

對500kV嘉上甲線N1-N216的線路進行實際風險評估，通過2.3.1公式進行計算，（油動固定翼/有人機/多旋翼）綜合風險值分別為6.75/6.75/13.5，都在巡線的容忍范圍內。

3結語

本文對機巡作業(yè)風險評估技術方法的研究更多的是一種指引，文中一些影響因素的選取與賦值參考了廣東電網機巡作業(yè)中心的一些數(shù)據，但這不是一個絕對的標準，仍不能完全適用于所有的機巡企業(yè)，每個企業(yè)在應用時，要通過一定范圍的試用，通過試用評估結果對一些因素與賦值進行修訂與完善，這樣才能形成適用于企業(yè)的風險評估技術方法。

參考文獻

[1]中國南方電網有限責任公司，安全生產風險管理體系[M].北京：中國標準出版社，2012.

[2]中國南方電網有限責任公司，安全生產風險管理體系審核指南[M].北京：中國標準出版社，2012.

篇（7）

民以食為天，食以安為先。食品安全關乎到每一個人的的日常生活及健康安全，但是近年來隨著一系列的重大食品安全事故如紅心鴨蛋事件、多寶魚事件，尤其是“三鹿奶粉事件”的發(fā)生以致一時滿城風雨而人心惶惶。此類食品安全事件的頻繁發(fā)生不僅表明我國食品安全的不確定因素在增加，亦從側面反映了制售假冒偽劣食品問題尚未根治，連續(xù)不斷被曝光的各類食品安全事故也側面催生了《食品安全法》的頒行。該法的實施不僅標志著實施已近14年的食品衛(wèi)生法的終結更是顯示了中國食品安全監(jiān)管觀念及監(jiān)管模式的本質轉變。新法充分考慮到科技發(fā)展對食品行業(yè)的未來影響，取消了食品行業(yè)的免檢制度且規(guī)定將制定統(tǒng)一的食品安全國家標準，其中尤為引人注目的是新法相關法規(guī)所提出來的食品安全風險評估制度。

一、目前我國食品安全風險評估機制所面臨的嚴峻考驗

在廣大公眾對食品安全風險評估制度在我國食品安全監(jiān)管的作用翹首以待之時，我國政府亦不斷加強食品安全監(jiān)管的力度，對食品實行嚴格的質量安全監(jiān)管并積極推行食品安全的國際交流與合作以致全社會的食品安全意識明顯提高。在食品安全風險評估與監(jiān)管工作上，不但采取分段監(jiān)管為主兼以品種監(jiān)管為輔的方式，整個食品安全風險評估過程當中更是涉及的衛(wèi)生與工商以及部門質檢等多個部門的進行全方位參與。但是新法出臺后接連被曝光的卷土重來的三聚氰胺、陰魂不散的地溝、漂白蘑菇以及染色饅頭等事件卻讓公眾不禁對新法的效力大失所望，尤其是對食品安全風險評估的結果甚至機制產生質疑。以2010年7月的漂白蘑菇事件為例，北京小學生張皓通過科學實驗對食用菌進行了熒光增白劑檢測，11月底“小學生調查蘑菇九成被漂白”等報道見報，但此報道的數(shù)據與北京市食品安全辦公室12月1日所通報對北京市場銷售食用菌熒光增白物質專項監(jiān)測情況稱樣品監(jiān)測合格率為97.73%的結論相差巨大，該差距引發(fā)了廣大公眾的關注進而成為了社會熱點事件。小學生與政府部門調查結果的巨大反差也引發(fā)公眾質疑，在一家網站發(fā)起的關于該事件的投票中，有1100多票選擇相信小學生卻只有8票投向相信工商局。[1]很多的人基于此提出食品安全的風險評估應當構建公眾參與機制，那么公眾是否應當參與食品安全風險的評估呢？又當如何促使公眾參與呢？

二、公民參與食品安全風險評估機制的必要性

食品安全風險評估是對特定食品安全危害可能造成的負面后果進行定性或者定量分析，一般包括危害識別、危害特征描、暴露評估、風險特征描述等內容，它是食品安全風險規(guī)制的基礎，也是科學防范食品安全風險的重要前提。[2]從《食品安全法》的相關規(guī)定可知目前我國現(xiàn)行食品安全風險評估模式為專家理性模式。基于食品安全風險評估的不確定性和依附性，專家理性模式的不足以及法律所賦予公民的參與權以及公眾參與食品安全風險評估的優(yōu)勢可知公眾參與食品安全風險評估機制是完全有必要的。

（一）食品安全風險評估的不確定性和依附性特征

首先，目前我國的食品安全風險評估采用的是基于科學的專家理性模式，而科學本身有具有的不確定性影響著風險評估過程，加之導致不利健康影響的因素又層出不窮，致使許多的風險領域還處于未知狀態(tài)，且風險評估過程存在大量的數(shù)據缺口需要在論證過程中引入假設與推理。因此，食品安全風險評估中普遍存在著不確定性，以致于該評估事實上并不是純粹客觀、中立的量化推理，即使科學家持理性客觀立場，也可能基于資料選取、詮釋或推理過程的差異，而得出全然不同的結論。[3]而風險的本質具有主觀性的特點，即現(xiàn)代風險并不完全是物質的存在，相當程度上是由社會定義和建構的，因此食品安全風險評估具有不確定性。

其次，《食品安全法》第十三條第二款規(guī)定，國務院衛(wèi)生行政部門負責組織食品安全風險評估工作，成立由醫(yī)學、農業(yè)、食品、營養(yǎng)等方面的專家組成的食品安全風險評估專家委員會進行食品安全風險評估。根據該條文的規(guī)定食品安全風險評估專家委員會是由國務院衛(wèi)生行政部門負責組織的，該法雖未明確說明該委員會是否屬于國務院衛(wèi)生行政部門下屬的機構，與行政部門的關系又是什么，但是各種提交的風險數(shù)據或決策建議有受到行政處罰者意向影響的嫌疑又屢為公眾所質疑，我國現(xiàn)在擔任食品安全風險評估的機構大多隸屬于行政部門，且在經費來源方面幾乎完全依靠政府，故我國食品安全風險評估具有依附性。

（二）專家理性食品安全風險評估模式的不足

客觀地說，食品風險評估所要求的專家理性模式在很多方面都具有優(yōu)勢，專家相對與普通公眾而言，其通常擁有關于某一方面的相對完整、全面和客觀的專業(yè)知識，且能夠根據具體情況預見不同方案所導致的不同的結果。然而，專家在實施評估的時候，主要是從統(tǒng)計學的角度或者概率的角度出發(fā)，但是食品安全風險不僅僅是一種客觀的物理性存在，也是一種社會的、心理的和文化的建構。以2008年奶粉行業(yè)的“三聚氰胺”事件所引發(fā)的連鎖反應為例，根據上海市食品協(xié)會的一份調查，“三聚氰胺”事件對上海整個食品行業(yè)的影響都很大，一時間聞“奶”色變，包括甜食、休閑食品行業(yè)等都受到了不小的沖擊，很多以奶粉作為原料的甜食、休閑食品品牌深受其害，甚至已經產生了恐慌情緒。這與專家理性模式所隱含的以單一的物質性維度作為判斷食品安全風險的否定性后果不太一致，也從側面驗證了專家理性不足與獨立性不強的弊端。此外，由于參與評估的食品專家自身某些因素（如成為食品生產商的利益代言人）可能導致評估結果的不準確，而評估機制效力的有效性僅限于專家的評估結果，則有可能致使食品風險可能性的增加，有時甚至會造成嚴重后果。

此種模式要求設立評估專家委員會對食品風險進行監(jiān)測和評估，將食品安全風險評估決定權徹底交給專家，其中預設了專家的完全理性和絕對“正義”，此種預設在科學程式和經驗事實上都是欠妥當?shù)模绊懼称钒踩L險評估制度效用的發(fā)揮，同時也帶來了一些不可回避的問題如實施后我國食品安全事件依然頻發(fā)。可見我們在肯定食品安全風險專家治理模式的同時，也要注意其中存在的可能缺陷，其中通過適度增加公眾參與的相關規(guī)定來彌補這種模式不足，以提高食品安全風險評估結果的科學性和可接受性。[4]

（三）公眾參與食品安全風險評估的優(yōu)勢

首先，憲法第 41 條明確規(guī)定了參與監(jiān)督權作為公民的一項基本權利，《食品安全法》在立法理念上體現(xiàn)憲法的這一原則精神，并在第10條規(guī)定，任何組織或者個人有權舉報生產經營中違反本法的行為，有權向有關部門了解食品安全信息，對食品安全監(jiān)督管理工作提出意見和建議。因此公眾具有參與食品安全風險評估的權利。其次，依靠公眾參與以及群防群治才能使食品安全風險評估機制愈加完善，事實表明僅依靠專家理性食品安全風險評估模式下的食品安全環(huán)境是不能令廣大消費者所滿意的，只有廣大公眾參與到食品安全風險評估機制才有可能在源頭上從各方面全方位考慮到食品安全的需求。再者，食品安全風險評估機制需要公眾參與，食品安全監(jiān)管只是手段，而通過嚴格依法監(jiān)管進而為廣大公眾提供安全可靠的各類食品才是最終目標。政府每做出一項服務承諾不僅意味著對一定社會公共資源的利用與配置且還意味著就解決食品安全問題對公民和社會應當履行的社會責任，但在食品安全監(jiān)管過程中，由于缺少公眾的合理參與一定程度上導致了政府做出的監(jiān)管服務承諾沒有實際兌現(xiàn)，故不管是何種類型的服務承諾，都應該通過建立公民有效參與和社會評議承諾考核制度來保障實現(xiàn)。

此外，基于風險信息的不對稱且專家理性與公眾的理性的差距，誰又愿意將自己的健康與生命交給一個自己素不相識甚至還可能覺得有點不靠譜的專家呢？而公眾參與一方面有利于減少利益集團或行政機關風險評估的危險，彌補專家受“從屬性偏見”的影響而產生的不足，另一方面通過參與風險評估而正確認識風險可增進公眾對于風險評估結果的支持和接受同時亦可防止專家借口專業(yè)判斷而恣意作為而避免走向所謂的技術統(tǒng)治。

三、促使公民參與食品安全風險評估機制的建議

隨著現(xiàn)代社會行政民主化進程的加快，公眾參與行政是不可避免的話題，而食品安全風險評估為公眾所參與更是大勢所趨不可避免。由于食品安全風險評估上的科學證明被附加了相應的價值因素，因而專家與民意之間的價值共識也就成了風險溝通中的重要內容，而在我國目前此種內容主要是通過公眾參與的方式進行表述。而通過給予法律保障與拓寬公眾參與渠道、實行分層次公眾參與方式并加強相關宣傳教育、政府做好公眾參與的反饋與提升評估透明度等能夠較好的促使公眾參與食品安全風險評估。

給予相關制度法律保障并多方位拓寬公眾參與渠道

（一）立法機構在立法的時候應該列出公眾參與食品安全風險評估的相關規(guī)定，充分保證公眾參與評估的知情權與參與權，公眾可以獲取相關的信息并提出自己的意見及表達想法，并相信有關程序會考慮其所提出的意見，可以積極參與提出意見與選擇方案，可以評論部分正式方案，能夠得到政府的反饋并被通知進程及結果。[5]如食品安全委員會召開正式或非正式的專家咨詢與論證會議時，應該有相關的法律規(guī)定有一定比例的公眾代表參加并能夠充分代表公眾的意愿；再如政府制定相關食品評估的法規(guī)的相關信息、文件和發(fā)表之時，應當充分考慮公眾對該法規(guī)制定的時間、事實及現(xiàn)實基礎的合理性評價，公眾可以任何方式獲得政府所依賴的信息。

由于法律法規(guī)所明確規(guī)定的公眾參與食品安全風險評估的渠道極少，公眾參與往往面對的是訴求無門的尷尬境地，因此拓寬公眾參與渠道刻不容緩。如允許公眾通過非政府組織在食品風險評估時對政府的決策提出建議，開辟專門的意見收集機構并落實到位；再如允許公眾利用媒體與新媒體反應公眾的意愿，以廈門的PX事件為例，當?shù)氐墓娡ㄟ^短信突破信息限制和封鎖進而聚合了公眾力量最后使得PX項目改變了選址而取得了突破性的勝利。 （二）實行分層次公眾參與方式并加強相關的宣傳教育

由于不同的公眾主體在參與的主觀目的、采用的方式和掌握的技術方法的不同，因而不同的公眾主體在參與的程度和深度上存在非常大的差距。參與的方式不當，有些參與就成了一種形式，甚至成為決策部門欺騙民眾民意的手段。而有誠意的既深入的且有效的公眾參與是一個信息充分披露、公眾完全知情、形成交流互動、公眾充分享有并不斷擴大參與權利的過程。根據阿恩斯坦的觀點，與公眾擁有的最終決策權相適應，公眾參與呈現(xiàn)出八個階梯，從小到大依次排列為：操縱、訓導、告知、咨詢、展示、合作、授權以及公眾控制。根據具體情況，如以知識為基礎或者以技術水準為基礎，選擇與之相適應的公眾參與方式，以期達到最好的公眾參與效果。

作為有效改善我國食品安全監(jiān)管問題的一個有效途徑，我們需要政府和公眾的共同努力，加強對公眾參與食品安全風險評估的宣傳力度，提升公眾的參與意識，引導公眾有序的參與到食品安全風險評估的工作中來。根據調查顯示，日前在我國針對公眾參與食品安全監(jiān)管的宣傳和教育活動并不多，主要是一些零散的媒體節(jié)目或是相關部門在街頭開展的食品安全宣傳活動且缺少對與食品相關的從業(yè)者的專業(yè)教育和培訓。要想讓公眾參與到食品安全風險評估工作中，普及食品安全方面的相關知識是必不可少的。關于這點我們可以借鑒以美國食品安全評估機制中的公眾參與模式的宣傳，注重對食品行業(yè)相關單位及其從業(yè)人員的教育與培訓并通過培訓來強化企業(yè)對于社會的責任感并將其作為企業(yè)自強自律增加企業(yè)的市場競爭能力的重要部分，此外相關食品監(jiān)管機關如食品藥品監(jiān)督管理局等與新聞媒體合作，定期或不定期的對公眾食品安全的相關信息并進行食品安全知識的大幅度宣傳。

（三）政府應做好公眾參與食品安全風險評估的反饋并提升評估的透明度

對公眾參與的反饋是獲取參與實效和增強公眾參與信心的關鍵。然而政府的政策通常對食品安全風險評估機制的相關因素起著重要的甚至決定性作用，而公眾對食品安全風險評估機制的參與卻往往流于形式并未起到實質性的監(jiān)管作用甚至淪落為政府的推諉的替罪羊。故建立一個真實有效的食品安全公眾參與反饋機制，最主要的是應在公眾與政府食品安全監(jiān)管部門這兩者之間搭建一個溝通和反饋的平臺進而實現(xiàn)政府監(jiān)管部門與公眾的良性互動。政府食品安全決策與監(jiān)管部門應對于公眾所反應的食品安全問題要積極應對并深入調查，對存在的問題要進行嚴肅對待并及時將處理結果及地通報給公眾。政府部門對于公眾提出的意見或建議應當加以重視，對征求的意見進行相關科學的論證，避免敷衍了事，對于不能接受的建議亦應說明理由及時反饋給公眾并感謝其熱心參與。總之，政府監(jiān)管部門需要切實遵循服務型政府的辦公理念，在公眾的心目中樹立威信，使公眾感覺到被尊重與被重視進而增加公眾參與食品安全風險評估的積極性。而食品安全風險評估的專門機構應該制定并公開評估機構的內部管理及公眾參與評估運行程序，公布出版的各類風險評估結果以及相應的科學建議，并公開評估過程中的各類會議日程與記錄以及科學專家的利益聲明等以提升評估的透明度，將整個評估程序置于陽光之下以構建良好的食品安全環(huán)境。

四、結語

食品是我們賴以生存與發(fā)展的基礎，食品安全與否關系到整個社會每位公民的身體健康與生命安全，食品安全不僅僅事關人類的生存問題，更是一個影響到地區(qū)、國家乃至世界政治經濟的大問題。本文認為解決食品安全問題不能只依靠政府的行政強制管理，更需要全社會的共同關注與監(jiān)督，為確保公眾自身的利益不受侵害，就必須將公眾參與引入到食品安全風險評估機制中。通過給予相關制度法律保障并多方位拓寬公眾參與渠道，實行分層次公眾參與方式促使公眾積極參與到食品安全風險評估機制中并加強對公眾進行相關的食品安全宣傳教育，而政府應做好公眾參與食品安全風險評估的反饋并提升評估的透明度。使得公眾參與食品安全風險評估機制不再是一紙空文而能落到實處，為塑造良好的食品安全環(huán)境提供體制架構支持。

【參考文獻】

[1] 戚建剛：《我國食品安全風險規(guī)制模式之轉型》，《法學研究》2011年第1期

[2] 楊小敏：《我國食品安全風險評估模式之改革》，《浙江學刊》2012年第2期

[3] 曾娜：《我國食品安全風險評估機制的問題探討》，《昆明學院學報》2010年 第5期

篇（8）

一、風險評估開展背景

杭州華電半山發(fā)電有限公司（以下簡稱“半電公司”）是一家有著50多年歷史的發(fā)電企業(yè)，長期以來，重視風險防范工作，逐步建立了一系列內控制度，加強風險管控，采取一些積極措施應對風險，如定期召開經濟活動分析會，對年度目標完成情況、預算執(zhí)行情況及面臨的燃料供應及價格、電價、用電需求等經營形勢變化情況進行深入、全面分析，制訂相應的風險應對措施，化解經營風險、降低經營風險。各有關職能部門在日常工作中也注重風險管理，及時收集相關信息，了解有關方面情況，及時報告公司管理層，提出一些建議供公司領導決策，并采取相關措施防范風險。

在安全生產方面，公司制訂各種安全管理制度和預案，開展安全生產大檢查，防范安全風險等；在廉潔自律方面，開展廉潔風險防控工作，防范廉潔風險；在內部控制方面，建立健全內控管理機制，每年開展內控評價工作，提升內控管理和風險管理水平。半電公司通過采取一系列措施保障安全生產目標和經營目標的實現(xiàn)。

但是多年來，半電公司規(guī)范化、常態(tài)化的風險評估機制并沒有真正建立。近年來，公司內外部環(huán)境不斷發(fā)生深刻變化，面臨的形勢錯綜復雜，存在著方方面面的風險。在半電公司內部，煤機逐步淘汰或關停，燃機發(fā)電規(guī)模不斷取得新發(fā)展，但員工總數(shù)不斷減少，并出現(xiàn)老齡化趨勢，難以滿足企業(yè)快速發(fā)展。在經營上，燃料價格、電價、發(fā)電利用小時等影響企業(yè)效益的關鍵性因素不能得到穩(wěn)定保障。在半電公司外部，國家不斷深化改革，電力市場競爭日益激烈，政府對環(huán)保的要求越來越高，上級公司對企業(yè)的管控越來越嚴，對管理和效益提出更高的要求，半電公司在經營等方面所面臨的問題和矛盾越來越突出。在這樣的復雜形勢和嚴峻環(huán)境下，僅通過定期召開經濟活動分析會等方式方法，以及缺乏對風險進行科學化、規(guī)范化、常態(tài)化的評估，難以很好地識別風險、分析風險、評估風險，防范經營風險和其他面臨的種種風險，半電公司整體風險管理水平難以顯著提高。對企業(yè)來說，面臨的風險很多，從大類來說，有安全風險、經營風險、廉潔風險等，從具體來說，有法律風險、資金風險、人力資源風險、采購風險等等。因此，從上述現(xiàn)狀看，很有必要建立健全風險評估機制，有效開展風險評估工作。同時，對風險評估工作進行監(jiān)督與客觀評價，提出風險評估工作存在的問題或不足，促進風險評估工作形成制度化、規(guī)范化、常態(tài)化，從而提升風險管理水平，以達到防范風險的目的。

二、風險評估工作開展情況

風險評估就像有效的剎車系統(tǒng)，能夠保障企業(yè)安全、高速運行、基業(yè)長青。公司風險評估工作實行2+1+5管理模式（2是指全覆蓋、全流程；1是指內控評價；5是指五道防線，崗位、部門、職能部室、審計部、風險管理委員會），該模式從火電企業(yè)現(xiàn)實出發(fā)，它以基于風險控制為導向的流程控制為核心，將風險評估工作嵌入經營管理活動中，支持企業(yè)可持續(xù)發(fā)展。

全覆蓋是指從制度、流程手冊、風險數(shù)據庫、評價手冊等方面實現(xiàn)全覆蓋。整個企業(yè)自上而下各相關部門通過積極參與、互相配合、統(tǒng)籌兼顧，全員參與、分級負責的方式，全面復審、修訂、編制規(guī)章制度和流程手冊，形成有效的標準制度清單、管理流程手冊及風險數(shù)據庫。

全流程是指從企業(yè)整體角度審視各項業(yè)務和管理活動，對全部業(yè)務流程進行分析、梳理和完善，形成包含管理業(yè)務模塊和具體業(yè)務流程《管理業(yè)務流程控制手冊》，包括控制范圍、控制目標、流程主要風險、相關政策或制度依據、業(yè)務流程圖和流程說明六個部分。管理流程是按業(yè)務順序的邏輯關系對企業(yè)制度的進一步闡釋，既確保了制度有效執(zhí)行，又預防了風險的發(fā)生。

內控評價就像給人查體看病一樣。經過對流程控制情況進行評價后，有無缺陷和剩余風險一目了然。半電公司縝密的內部控制評價為內部控制體系規(guī)范運行提供了保障，也是基于風險管理為導向的內部控制運行模式取得效果的保證。內部控制評價是按照內部控制五要素，遵循風險導向原則對重要性業(yè)務及重要管理環(huán)節(jié)進行評價，最后形成內控評價報告，內控評價報告是內控評價的主要成果。

風險管理的五道防線，企業(yè)依托內部控制，筑牢風險管理五道防線。這五道防線分別是：崗位、部門、職能部室、審計部、風險管理委員會即公司領導班子。通過五道防線的層層防控，各類風險被有效化解，風險可控在控。五道防線，互相牽制、互相促進，“嚴防死守”緊抓內控牛鼻子，把風險控制在企業(yè)可承受的程度之內。

為全面提升風險管理水平，推進公司風險評估工作，有效防范和化解風險，確保公司持續(xù)、穩(wěn)定、健康發(fā)展，實現(xiàn)風險防范目的，公司于2014年經過充分研究和醞釀后，決定推進公司風險評估工作。為使各部門學習、掌握風險評估知識，開展好風險評估工作，總經理工作部于2014年6月份舉辦了風險評估實務知識培訓班，在培訓的基礎上，總經理工作部于當年3季度組織各職能部門開展了首次風險評估工作。為保障風險評估工作的規(guī)范性、有效性，審計部對風險評估工作進行了檢查與客觀評價，公司風險評估工作邁出了實質性步伐。

從評估工作檢查情況看，各職能部門雖開展了風險評估工作，評估的風險事項符合要求，運用了有關評估方法和標準，編寫了風險評估報告，但也存在規(guī)范性、正確性、準確性等問題。問題主要有以下幾個：

采用的評估方式單一。在評估方式上，僅有一個部門采用訪談方式，其他部門均采用會議討論方式，各部門都未綜合運用會議討論、訪談、問卷調查等評估方法。無論采用訪談方法還是采用會議討論方法的部門，參與人員基本為本部門人員。由于評估方式單一和缺乏人員參與的廣泛性，對評估結論的正確性可能產生一定的影響。

界定標準不夠明確。評估的界定標準不夠明確，如確定“是否重大風險”沒有很明確的界定標準（即如何由風險發(fā)生可能性和風險損失度兩個維度標準確定是否為重大風險）。

評估結論的隨意性較大。本次評估雖然采用定性方法，但多數(shù)部門對于評估結論沒有有效結合實際或缺乏歷年發(fā)生的有關情況及歷史數(shù)據等，特別是對“風險損失度”中的直接經濟損失的評估隨意性較大，缺乏支撐依據。

評估過程闡述不具體。一些部門在風險評估報告中對于風險評估情況的闡述過于簡單，沒有具體闡述風險評估過程等。

措施、方案不夠具體。一些部門對于主要風險的防控措施和重大風險的解決方案比較粗略或空洞，缺乏詳細的應對措施和具體實施計劃。

明年風險評估方向不明確。個別部門在評估報告中雖然分析了一些面臨的風險，但對明年的重點風險評估方向不夠明確。

三、總結經驗，不斷改進，加強實踐

2015年3月公司繼續(xù)啟動年度重大風險評估工作，在去年開展的基礎上，不斷加以完善，明確評估方法，根據不同方面的風險，完善風險評估中“是否重大風險”和“風險損失度”的界定標準和依據。本次風險評估綜合運用多種方式，保障風險評估的真實性和評估結論的準確性。同時加強監(jiān)督評價工作，形成“三道監(jiān)督防線”，包括事前、事中、事后的監(jiān)督。

（一）事前監(jiān)督

評估工作實施前開展風險事項調查，了解當前面臨的關鍵性風險有哪些，在此基礎上分析確定各部門風險評估事項，提高風險評估的實效性。公司各相關部門認真組織、深入研究，根據當前內外部形勢變化、生產實際情況，從安全、經營等多角度分析識別本部門當前重點面臨的風險。各部門在分析面臨重點風險時，牢牢把握準確性、全面性、時效性三項原則。

本次開展風險評估信息收集工作的部門主要有總經理工作部、財務部、物資部、燃料管理部、人事部、政治部、安保部、生產營運部、生產技術部、基建管理部、紀委監(jiān)察辦等職能部門。上報的風險評估信息主要包括稅務風險、隊伍穩(wěn)定風險、維穩(wěn)風險、廉潔風險、泄密風險、職業(yè)危害風險、安全監(jiān)督風險、環(huán)境保護風險、能耗指標管理風險、天然氣價調險、工程質量管理風險、電子商務風險等。

風險評估信息的準確收集，是風險評估工作的第一步，是做好該項工作的基礎，在此之后，才能識別和評估影響目標實現(xiàn)的風險。并且采取必要的措施對這些風險進行控制。通過風險評估工作，不斷增強公司風險管控實效性，深化公司風險管理工作。

（二）事中監(jiān)督

各部門評估工作綜合運用會議討論、訪談和問卷調查三種方法，根據上述三項方法得出的結論來確定風險等級及應對措施，避免評估工作簡單化、形式化。

本次評估工作在去年開展的基礎上，不斷加以改進，首先參與人員廣泛，不僅局限于本部門；其次綜合運用三種方法，使得評估結果更為準確。最大的亮點是內控管理辦公室派員參加部門風險評估的會議討論，加強過程監(jiān)督。

風險評估部門在確定好會議討論時間后，將會議時間和地點報內控管理辦公室備案，內控管理辦公室根據風險內容派員參加，起到指導、咨詢、監(jiān)督作用，會后匯報討論情況。

同時部門及時通知與會人員，與會人員充分做好與風險討論相關的準備工作。討論時，與會人員圍繞風險產生的原因、應對措施等方面積極發(fā)言，各部門討論會要形成規(guī)范的會議紀要。本次風險評估工作中，內控管理辦公室派員參加了天然氣價格調整、安全監(jiān)督、環(huán)境保護、信息系統(tǒng)安全、能耗指標管理及網絡采購等風險評估討論會。

內控管理辦公室對各部門風險評估報告及相關評估資料的規(guī)范性、真實性等進行審查，對不符合要求的風險評估報告予以退回，并要求當事部門及時糾正和完善。

（三）事后監(jiān)督

各部門制訂的風險應對措施、方案應具體、可行，符合實際，能起到防范風險作用，并在日常工作中予以落實。落實措施必須形成相關材料，總經部和審計部組織內控評價人員對措施落實情況進行檢查。

篇（9）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194（2015）21- 0155- 03

1 引 言

風險是以一定的發(fā)生概率的潛在危機形式存在的可能性，而不是已經存在的客觀結果或既定事實。風險管理是通過對風險的識別、衡量和控制，以最小的成本將風險導致的各種損失結果減少到最小的管理方法。隨著信息化向縱深發(fā)展，基礎地理信息系統(tǒng)被廣泛應用，但信息安全方面的威脅也大大增加，具體到市縣級基礎地理信息系統(tǒng)中存在各類風險，這些風險有著自身的特點，對系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產生的風險，這些風險會對信息系統(tǒng)核心資產的安全性、完整性和可用性造成破壞。對測繪行業(yè)信息安全風險的評估是進行有效風險管理的基礎，是對風險計劃和風險控制過程的有力支撐，而如何識別和度量風險成為一個難題，目前測繪地理信息行業(yè)沒有一個行業(yè)性安全評估類或者安全管理類規(guī)范標準，通用安全評估規(guī)范在很多方面對于測繪地理信息系統(tǒng)復雜性和行業(yè)特點缺乏適用性，往往較難落地，為此提出市縣級國土資源基礎地理信息系統(tǒng)安全風險評估規(guī)范研究。

2 國內外信息安全風險評估的研究現(xiàn)狀

信息安全風險評估經歷了很長一段的發(fā)展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到技術與管理相結合的科學方法。由于信息安全問題的突出重要性，以及發(fā)生安全問題的后果嚴重性，目前評估工作已經得到重視和開展。國內外很多學者都在積極投身于信息安全的研究，期望找到保護信息安全的盔甲。美國在信息安全風險管理領域的研究與應用獨占鰲頭，政府控管體制健全，己經形成了較為完整的風險分析、評估、監(jiān)督、檢查問責的工作機制。DOD作為風險評估的領路者，1970年就已對當時的大型機、遠程終端作了第一次比較大規(guī)模的風險評估； 1999年，美國總審計局在總結實踐的基礎上，出版了相關文檔，指導美國組織進行風險評估；2001年美國國家標準和技術協(xié)會（NIST）推出SP800系列的特別報告中也涉及到風險評估的內容；歐洲各國對信息安全風險一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關鍵系統(tǒng)的風險分析平臺項目CORAS，被譽為歐洲經典。我國信息安全評估起步較晚，2003年7月，國信辦信息安全風險評估課題組啟動了信息安全風險評估相關標準的編制工作；8月，信息安全評估課題組對我國信息安全工作的現(xiàn)狀進行了調研，完成了相關的評估報告，總結了風險評估是信息安全的基礎性工作；2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿；2005年2月至9月，開始了國家基礎信息網絡和重要信息系統(tǒng)的信息安全風險評估試點工作；2007年7月我國頒布了《信息安全技術信息安全風險評估規(guī)范》（GB/T 20984一2007）并于2007年11月1日實施；2008年4月22日，在國家信息中心召開了《信息系統(tǒng)風險評估實施指南》預制標準第二次研討會，此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論，《信息系統(tǒng)風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規(guī)范》和《信息安全風險管理規(guī)范》之后又一技術性研究課題，將充實信息安全風險評估和風險管理具體實施工作。

3 市縣級基礎地理信息系統(tǒng)安全風險評估規(guī)范研究方法和手段

3.1 市縣級基礎地理信息系統(tǒng)安全風險評估規(guī)范研究方法

市縣級基礎地理信息系統(tǒng)安全風險評估規(guī)范研究通過綜合分析評估后的資產信息、威脅信息、脆弱性信息，最終生成風險信息。資產的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析，從資產的相對價值中體現(xiàn)了威脅的嚴重程度；威脅評估是對資產所受威脅發(fā)生可能性的評估；脆弱性的評估是對資產脆弱程度的評估；具體如下：

（1）資產評估。資產評估的主要工作就是對市、縣、鄉(xiāng)三級基礎地理信息系統(tǒng)風險評估范圍內的資產進行識別，確定所有的評估對象，然后根據評估的資產在業(yè)務和應用流程中的作用對資產進行分析，識別出其關鍵資產并進行重要程度賦值。根據資產評估報告的結果，可以清晰的分析出市、縣、鄉(xiāng)三級基礎地理信息系統(tǒng)中各主要業(yè)務的重要性，以及各業(yè)務中各種類別的物理資產、軟件資產和數(shù)據資產的重要程度，從而得出信息系統(tǒng)的安全等級。同時，可以明確各業(yè)務系統(tǒng)的關鍵資產，確定安全評估和保護的重點對象。

在此基礎上，建立針對市、縣、鄉(xiāng)三級基礎地理信息系統(tǒng)中的資產配置庫，對資產的名稱、類型、屬性以及相互關系、安全級別、責任主體等信息進行描述。

（2）威脅評估。威脅是指可能對資產或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式，威脅主體是指可能會對信息資產造成威脅的主體對象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會采用威脅方法利用資產存在的脆弱性對資產進行破壞。

在此基礎上，充分調研，分析現(xiàn)有記錄、安全事件、日志及各類告警信息，整理本行業(yè)信息系統(tǒng)在物理、網絡、主機、應用和數(shù)據及管理方面面臨的安全威脅，形成風險點列表。

（3）脆弱性評估。脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業(yè)務系統(tǒng)。

通過研究，將建立本行業(yè)的涉及主要終端、服務器、網絡設備、安全設備、數(shù)據庫及應用等主要系統(tǒng)的基線庫，從而為脆弱性檢測在“安全配置”方面提供指標支撐。

（4）綜合風險評估及計算方法。風險是指特定的威脅利用資產的一種或一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結合。在風險評估模型中，主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性，風險的屬性是風險發(fā)生的后果。

綜合風險計算方法：根據風險計算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：風險值=資產價值×威脅可能性×弱點嚴重性，下表是綜合風險分析的舉例：

注：R表示風險；A表示資產；V表示脆弱性；T表示威脅；Ia表示資產發(fā)生安全事件后對組織業(yè)務的影響（也稱為資產的重要程度）；Va表示某一資產本身的脆弱性，L表示威脅利用資產的脆弱性造成安全事件發(fā)生的可能性。

風險的級別劃分為5級（見表1），等級越高，風險越高。

各信息系統(tǒng)風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數(shù)進行加權計算，具體的加權計算方法如下。

風險級別權重分配：

極高風險 30%

高風險 25%

中風險 20%

低風險 15%

很低風險 10%

各級別風險個數(shù)對應關系（即各級別風險相對于很低風險的個數(shù)換算）：

極高風險 16

高風險 8

中風險 4

低風險 2

很低風險 1

風險計算公式R’=K（av，p，n）=av×p×n，其中，av代表各級別風險求平均后總和，p代表相應的風險級別權重，n代表相應的風險個數(shù)權重。

總體風險值=R’（極高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市縣級基礎地理信息系統(tǒng)安全風險評估規(guī)范研究的手段

（1）專家分析。對于已有的安全管理制度和策略，由經驗豐富的安全專家進行管理方面的風險分析，結合江蘇省基礎地理信息系統(tǒng)安全建設現(xiàn)狀，指出當前安全規(guī)劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測。采用成熟的掃描或檢測工具，對于網絡中的服務器、數(shù)據庫系統(tǒng)、網絡設備等進行掃描評估；為了充分了解各業(yè)務系統(tǒng)當前的網絡安全現(xiàn)狀及其安全威脅，因此需要利用基于各種評估側面的評估工具對評估對象進行掃描評估，對象包括各類主機系統(tǒng)、網絡設備等，掃描評估的結果將作為整個評估內容的一個重要參考依據。

（3）基線評估。采用基線風險評估，根據本行業(yè)的實際情況，對信息系統(tǒng)進行安全基線檢查，拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。

（4）人工評估。工具掃描因為其固定的模板，適用的范圍，特定的運行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評估與工具掃描相結合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結果。人工檢測評估主要是依靠具有豐富經驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談，業(yè)務流程了解等方式，對評估對象進行全面的評估。

篇（10）

（一）探索意義

我國城市公共安全風險評估作為風險評估中國化的一個具體實踐范疇，具有世界城市公共安全風險評估的一般性特征，同時又是一種有著特定內涵背景與現(xiàn)實要求的舉措。

開展公共安全風險評估，是我國城市對接世界先進城市公共安全管理大趨勢的主動作為。隨著經濟全球化和互聯(lián)網時代的到來，人類社會已進入了高風險時期。城市更是處于“風險膠囊”之中，人口高度密集、快速流動，經濟要素高度積聚，政治、文化及國際交往活動頻繁，往往成為公共安全風險的重災區(qū)。世界先進城市是一個全面且本質安全的城市，雖然它們的公共安全管理措施各有千秋，但將風險評估納入政府管理職能體系，把風險評估作為風險管理的第一道防線和核心分析框架[1]卻是共同選擇。英國倫敦、日本東京、美國紐約等國際化大都市結合各自的市情，建立了各具特色的城市風險評估體系，[2]其常態(tài)運作效用顯著。我國城市正在朝著“安全發(fā)展示范城市”這一目標努力，然而，城市公共安全領域仍存在著諸多不安全的因素，屢屢發(fā)生重大安全事件。這些事件暴露了在公共安全風險評估上存在的諸多問題。開展公共安全風險評估，正是基于對風險評估發(fā)展趨勢的前瞻預判，因勢而謀，順勢而為。

開展公共安全風險評估，是城市政府落實國家法律規(guī)定，履行政府社會管理和公共服務職能的根本要求。中央從國家長治久安的高度，強調開展風險評估的重要性及迫切性，對風險評估作了明確部署。2007年11月施行的《中華人民共和國突發(fā)事件應對法》第5條規(guī)定“國家建立重大突發(fā)事件風險評估體系，對可能發(fā)生的突發(fā)事件進行綜合性評估，減少重大突發(fā)事件的發(fā)生，最大限度地減輕重大突發(fā)事件的影響”。第20條要求“省級和設區(qū)的市級人民政府應當對本行政區(qū)域內容易引發(fā)特別重大、重大突發(fā)事件的危險源、危險區(qū)域進行調查、登記、風險評估”。這就需要城市政府對照中央的新要求，找出城市政府職能存在的短板，拿出有效舉措，力爭有所突破。

（二）探索概貌

一些城市對風險評估進行了積極實踐并取得了一定經驗，探索主要從五個方面展開。

一是專項風險評估。一些城市早在上個世紀90年代就組織專業(yè)團隊或第三方機構對城市安全進行專項風險評估（如火災風險）。近年來主要集中在兩個領域。其一是社區(qū)災害風險評估。2009～2011年，上海市民政局探索建立上海市社區(qū)綜合風險評估模型，包括社區(qū)風險評估模型的開發(fā)以及社區(qū)風險地圖的繪制兩部分。社區(qū)風險評估模型的開發(fā)主要包括社區(qū)脆弱性評估、社區(qū)致災因子評估以及社區(qū)減災能力評價三部分。社區(qū)風險地圖包括五類內容：危險源、重要區(qū)域、脆弱性區(qū)域、安全場所以及應對措施。[3]其二是安全生產領域。天津港“8?12”爆炸事故后，2015年11月濱海新區(qū)啟動城市安全風險評估。2016年8月完成全區(qū)城市安全風險評估，形成濱海新區(qū)《城市安全風險評估報告》《城市安全風險電子地圖》以及多套方案。《城市安全風險評估報告》主要對濱海新區(qū)的危險化學品工業(yè)風險單元、危險品運輸風險單元、人員密集場所風險單元、其他風險單元等4大類35小類的城市安全風險源進行了定性定量分析，在風險評估的基礎上對各類風險源進行了分級，評估了各區(qū)域中各類安全風險的安全分布。根據評估結果，制作形成了《濱海新區(qū)城市安全風險電子地圖》，將各類、各級別的風險源繪制在一張電子地圖上。廣州市安監(jiān)局歷時1年時間于2016年6月完成《廣州城市安全風險評估》，這是全國范圍內首次針對城市級別安全生產全領域開展的風險評估工作。評估將廣州市的城市安全單元分解為工業(yè)風險單元、城市人員密集場所單元、城市公共設施單元等3類風險單元，34種風險源進行了風險評估和分級，辨識出各種風險源中的一級特別高風險單元和二級高風險單元，并采用科學的方法評估了廣州市城市整體和各區(qū)的安全風險水平，明晰了重大事故風險構成，并繪制了廣州市城市安全風險地圖。

二是大型公共活動風險評估。風險評估作為一種有效的管理手段，在最近幾年我國大型公共活動中得到了廣泛運用。2008年北京奧運會首次引入了風險評估，形成了73份風險評估報告。[4]北京奧組會依據這些風險評估報告，構成了多層次、全方位的“五個一”（一個根本、一個原則、一個機制、一個保障、一個關鍵）的奧運風險管理體系。2010年上海世博會的風險評估[5]也卓有成效。評估分為自然災害、事故災害、公共衛(wèi)生、社會安全和新聞管理五大類，每一大類都內含若干小類。專業(yè)管理部門根據自身的職責范圍，開展專項的風險識別和評估。例如，上海氣象局完成了《上海世博會氣象災害風險初始評估報告》《上海世博會惡劣天氣風險評估報告》《世博軸陽光谷氣象災害安全評估報告》《上海世博會開幕式惡劣天氣風險評估報告》等風險評估報告，為相關部門及時整改提供依據。

2011年第26屆世界大學生夏季運動會在深圳市舉辦。按照統(tǒng)一部署，各區(qū)、各部門和單位針對轄區(qū)和工作領域范圍內各類風險進行全面排查，分析評估。深圳市氣象部門全面開展氣象災害風險評估。大運會主賽區(qū)龍崗賽區(qū)委員會組織專門的科研學術機構對賽區(qū)內各類風險和重大危險源（點）進行了全面調查和深入分析，對可能發(fā)生的30種風險進行評估，完成了《龍崗賽區(qū)突發(fā)事件風險評估報告》。醫(yī)療衛(wèi)生指揮部形成《大運會突發(fā)公共衛(wèi)生事件風險評估技術報告》。其他專項指揮部和賽區(qū)均開展了風險分析和評估工作，為總指揮部的決策提供了有力支持。[6]

三是重大工程、重大決策和重大事項風險評估。2004年漢源事件發(fā)生后，四川省遂寧市于次年在全國率先探索率先建立重大工程建設項目穩(wěn)定風險評估制度。2007年4月，中央維護穩(wěn)定工作領導小組決定在全國推廣遂寧經驗。隨后，很多城市把重大事項社會穩(wěn)定風險評估制度建設引入維穩(wěn)工作中，在組織領導體制、評估內容和流程等方面具有不同的特色，形成了不同特點的評估模式。

四是中德災害風險管理合作項目試點風險評估。國家行政學院和有關地方政府通過項目試點，引入了德國等發(fā)達國家在風險評估工作中的先進做法，并且將國外經驗本土化，從風險評估參數(shù)體系、各參數(shù)臨界值設定、風險發(fā)生可能性判定到風險矩陣圖標繪，形成了一整套適應試點地的風險評估體系。公共風險治理與預案優(yōu)化子項目于2010年12月在重慶市九龍坡區(qū)啟動，九龍坡區(qū)對轄區(qū)內自然災害類、事故災害難的風險點、危險源進行全面排查、識別和登記。[7]另一個子項目于2011年10月在深圳市寶安區(qū)啟動，形成了寶安區(qū)的風險評估模型。該模型將整個風險管理流程有機串聯(lián)起來，而且在風險損害計量中充分考慮各類影響，創(chuàng)新提出風險值和風險圖譜概念。[8]

五是城市全區(qū)域全類別的風險評估。2012年10月，深圳啟動全市公共安全評估，成為我國最早開展城市公共安全評估的地區(qū)。市應急辦組織四家專業(yè)機構，對全市自然災害、公共衛(wèi)生、事故災難、社會安全等公共安全領域進行評估，于2013年4月完成了各類別評估報告、《城市公共安全白皮書》的編制工作。[9]對識別出的每一項風險，綜合分析風險發(fā)生的可能性和后果嚴重性，對照風險矩陣圖，評定風險等級，確定風險大小。風險發(fā)生的可能性，由低到高分為低等級、中等級、高等級、極高等級4個等級。評估結果是共識別公共安全風險源138項，其中，中低等級風險87項，高等級風險46項，極高等級風險5項，全市公共安全總體風險為中等偏高水平，在洪澇災害、地質災害、火災事故、交通事故、生產安全事故、等方面，面臨較高風險。

二、城市公共安全風險評估的現(xiàn)實難題

（一）風險評估缺少頂層設計，準備工作不到位

由于我國城市公共安全管理的重點在于應急管理，導致對風險評估的重要性認識不足、重視不夠，僅將風險評估作為應急管理的一種手段，沒有從城市公共安全管理戰(zhàn)略高度對風險評估進行統(tǒng)一謀劃和系統(tǒng)化設計。

一是基礎理論研究供給不足。我國學術界對城市公共安全風險評估的研究還在探索階段，沒有提出一套成熟的理論框架，尤其是通過經驗研究的方式展現(xiàn)評估機制在理論和實踐兩方面存在問題的研究還比較少，缺少能夠進入政府決策的應用性、實戰(zhàn)性的成果。開展風險評估的城市很少組織專門的課題研究，評估缺乏科學系統(tǒng)的理論支撐和指導，評估原則、評估指標體系、評估模型、評估依據、評估技術與方法、評估程序等沒有規(guī)范化、標準化。

二是制度供給不足。我國還沒有出臺一部公共安全風險評估的法律法規(guī)，只是在《突發(fā)事件應對法》《安全生產法》等法律的個別條文中有所涉及。城市風險評估只是政府系統(tǒng)內部的工作指導類的規(guī)則制度，并非由立法機關等部門制定的正式法律法規(guī)。

三是人才供給不足。政府部門自身力量并不足以開展風險評估工作，從事風險評估的人員大多數(shù)是臨時抽調的，不具有專業(yè)背景。風險評估業(yè)務培訓少方式單一，政府部門工作人員對風險評估業(yè)務了解不深、流程不熟，難以滿足評估需求。特別是培訓內容主要講評估怎么操作、風險等級分數(shù)怎么劃定等技術性問題，評估的理論依據很少涉及，很多評估工作者對風險評估的內在邏輯與學理基礎缺乏必要的認識，在實際評估中“知其然而不知其所以然”，容易造成評估的盲目性。

（二）風險評估主體單一，落實“政府主導、專業(yè)評估、公眾參與”原則不嚴

一是出現(xiàn)了評估的決策者與實施者合二為一的現(xiàn)象。安全評估工作領導小組、市應急辦、相關職能部門和各區(qū)政府主導和掌控整個評估，既負責提出評估動議，也負責召集專家學者和基層代表參與評估，難免會將自己的傾向性意見滲透其中，使評估陷入“既當運動員又當裁判員”窘境，必然影響風險評估的客觀性、中立性。

二是專業(yè)團隊和專業(yè)機構的獨立性和客觀性不夠。牽頭開展專項風險評估工作的是由市應急委、安委會各成員單位的各類專家、專業(yè)人員為骨干組成評估隊伍，他們來自體制內，存在著附和政府決策的可能性。通過政府采購的方式，引入了專業(yè)機構，但它們的評估經費來源于政府，主要利用相關部門和各區(qū)的各類風險評估的結果，只是對存在空白和模糊的領域和區(qū)域進行補充調研和評估。

三是公眾的角色只是被動的意見的收集對象，而不是主動的評估參與者。政府部門通過政府網站和新聞媒體，公開征集深圳市公共安全評估和公共安全體系的建設意見和建議。然而這種方式過于簡單，沒有多途徑、多渠道廣泛征求意見，公眾對評估結果的影響力極為有限。評估報告沒有公開供公眾和媒體查詢，公眾只能從報紙電視等媒介了解到的評估結果信息往往是零星的、不及時的、不完整的、不連續(xù)的。政府對評估結果運用情況的公開就更少了。

（三）評估體系不完善，影響了風險評估的科學性

一是評估方法的局限性。中華人民共和國國家標準《風險管理風險評估技術》（標準編號：GB/T27921-2011）中列出的風險評估技術共有31種，有定量的、半定量的、定性的及其組合。城市公共安全風險評估所采用的方法以宏觀定性為主，具體有比較分析法、專家打分法、風險矩陣法。專家打分法依靠專家的主觀判斷，會因專家專業(yè)背景、工作經驗的不同以及對自己研究領域內容特別的關注，導致風險判斷的偏移和評估結果的偏倚。風險矩陣法雖通過對風險因素發(fā)生的概率和影響程度進行量化評分，使得風險評估從定性分析轉向半定量分析，但對事件發(fā)生可能性及影響因素的定量分級仍為經驗性判斷，分級缺少量化指標。這些方法與定量分析相比雖然簡單且易于操作，但卻影響到評估結果的精確度。

二是沒有建立統(tǒng)一的風險評估指標體系。由于影響城市公共安全因素的不確定性和復雜性，對城市公共安全風險評估指標選取與設置、評估指標的權重衡量確實有難度，但這并不意味著不需要建立統(tǒng)一的風險評估指標體系。一些城市雖然統(tǒng)一了風險評估的技術路線、風險確定的基本方法，但沒有建立統(tǒng)一的評估指標體系和評估模型，這勢必影響對風險的評價精度，使評估結果難以具有可預測性與權威性。

（四）評估有空白

一是城市的重大風險源沒有納入評估范圍。最大的風險就是不知道風險，深圳光明“12?20”滑坡事故印證了這句話。深圳的淤泥渣土臨時受納場成了風險評估的“漏網之魚”，說明沒有做到“應評盡評”，導致在決策方案中沒有考慮采取有效措施予以防控。

二是忽視風險變化。每年由于內外部環(huán)境的變化，城市風險是流動的，舊風險消失了，新風險卻出現(xiàn)了。因此，風險評估并不是一個線性的過程，而是根據情形不斷改變，不可以一評了之。但很多城市政府由于缺乏風險動態(tài)捕獲機制，對新出現(xiàn)的風險變化，忽視了動態(tài)監(jiān)測與跟蹤評估。

（五）把控評估的“結果導向”不牢，評估結果的應用“虛化空轉”

風險評估只是一種管理手段，其目的和價值不僅要發(fā)現(xiàn)風險，而且要建立機制，制定風險減緩的決策和措施，[12]有效控制、化解風險。城市公共安全風險評估在這方面存在的缺陷有：評估中落實防范、化解和處置措施的牽頭部門和配合部門仍不明確，容易造成評估后的防范化解和動態(tài)跟蹤等工作難以有效落實；風險評估是制定應急預案的基礎和依據，然而，應急預案并沒有按照評估結果進行修訂；分析和開發(fā)利用不夠，評估的功能作用難以發(fā)揮。

三、完善城市公共安全風險評估的對策建議

為解決城市公共安全風險評估中出現(xiàn)的上述問題，我們提出以下幾點對策性建議。

（一）深化認識，筑牢城市公共安全風險評估的“地基”

城市政府要從落實“安全第一，預防為主”原則的高度來認識城市公共安全風險評估的戰(zhàn)略地位，增強打牢城市公共安全風險評估“地基”的內生動力。

一是加強學術研究，為城市公共安全風險評估持續(xù)、健康發(fā)展提供理論保障。加快對國外先進評估理論、方法的吸收和消化。在借鑒國外先進理論、方法的基礎上，構建中國城市特色的公共安全風險評估理論體系。城市政府應該通過政策扶持、課題扶持等手段引導城市的學術力量進入風險評估領域，對發(fā)表的基礎理論和方法研究成果給予獎勵。

二是完善法律法規(guī)體系，為城市公共安全風險評估持續(xù)、健康發(fā)展提供制度保障。城市政府要依據國家公共安全法制的要求，針對風險源的特點，適時把風險評估這一行政行為逐步上升為法規(guī)，同時頒布風險評估配套文件，規(guī)范評估事項、主體、指標內容、流程、結果運用及責任認定等具體的環(huán)節(jié)與內容，形成完整的制度框架。

三是盡快健全教育和培訓體系，為城市公共安全風險評估持續(xù)、健康發(fā)展提供人才保障。在城市高校設立專門的“城市公共安全風險科技評估”專業(yè)，鼓勵高校、科研院所培養(yǎng)城市公共安全風險評估方面的高層次人才。城市黨校和行政學院把城市公共安全風險評估作為一門主要課程來建設，加強對各級領導干部的培訓，讓干部自覺把風險評估作為一種重要的工作方法和工作技能。

（二）實行“開放透明”評估，將一元主導的行政化評估轉型升級為多元化評估

一是建立一個良好的協(xié)同評估模式。建立決策與評估職能相分離制度，保證評估的獨立性、客觀性。城市政府要破除“一元評估”思維，改善評估的開放性，通過制定相應的政策措施，引導公眾和專業(yè)機構有序參與風險評估和提供評估服務，讓更多的社會主體進入評估體系。

二是提高專業(yè)評估機構的公信力。一方面，專業(yè)機構要堅持公共利益最大化的價值取向，加強行業(yè)自律，增強評估的責任心和使命感，使評估不受自身利益和政府利益的驅使。另一方面，政府要加強對專業(yè)機構的監(jiān)管，建立針對專業(yè)機構的“黑名單制度”，對評估機構進行跟蹤監(jiān)測，將不能勝任的評估機構納入黑名單，通過淘汰機制凈化第三方評估環(huán)境。

三是以完善的法律制度提高風險評估的透明度，避免吸納公眾參與風險評估的隨意性與主觀選擇性。從評估的目標規(guī)劃、指標設計、實際評估，到結果反饋等環(huán)節(jié)和過程中的公眾參與，都要科學規(guī)范一系列制度化的程序，最大限度地讓公眾真正參與評估，充分保障公眾的知情權、表達權和監(jiān)督權。遵循“公開是原則、不公開是例外”的原則，開展精細化風險溝通，除不宜公開的敏感信息外，將風險評估報告通過本區(qū)域內的主流電視臺、報社和廣播電臺配合政府門戶網站消息，并且在公示日期范圍內多時段、多頻率地重復，以達到公眾充分知曉的目的，確保在“陽光”下防范和糾正評估中可能出現(xiàn)的偏見或錯誤。

（三）完善評估體系，提高風險評估的科學性

一是積極探索風險評估方法。城市公共安全風險強調空間異質性、綜合性，注重多重風險的分析。因此，風險評估方法應堅持定量分析與定性分析相結合的原則，綜合運用風險矩陣分析、分析流程圖、數(shù)學建型、情景構建等方法，對城市可能承受的各種風險進行分析和計算。充分運用無線通訊技術（GPRS）、地理信息技術（GIS）、數(shù)據庫技術等信息技術，開發(fā)風險評估工具，將可規(guī)范化的內容如評估表格、評估要素、評估流程、評估模型等，開發(fā)形成輔助評估框架或評估工具，不斷提高風險評估質量。

二是構建“雙維度”指標體系。目前在國際上有三種主要的公共安全評價框架：單純能力評價、單純脆弱性評價、能力與脆弱性綜合評價。[10]城市公共安全風險評估涉及到多種類型的事件事故，同時還體現(xiàn)了城市系統(tǒng)對突發(fā)狀況做出的反應。所以在構建城市公共安全風險評估指標體系時，需要從公共安全涉及領域與影響兩個維度綜合考慮。領域維度方面采用公共安全突發(fā)事件的分類方法，將其分為自然災害、事故災害、公共衛(wèi)生、社會安全，每一類又分若干種。影響維度細分脆弱性與能力兩個方面。脆弱性評估是針對人類社會經濟系統(tǒng)對致災因子的敏感（反映）程度。能力評估指可能受到危害的城市系統(tǒng)，通過抵御或變革，從而在職能和結構上達到或保持可接受水平的適應水平。分別從上述兩個維度上對城市公共安全指標進行篩選，得到一套有可操作性、針對性強的城市公共安全風險評估指標體系。

（四）動態(tài)化精準化追蹤風險，切實做到“應評盡評”

一是開展詳細的風險調查，確保風險評估的全面性。全面開展城市風險點、危險源的普查工作，對所有可能影響城市公共安全的風險源、風險類型、可能危害、發(fā)生概率、影響范圍等做到“情況清、底數(shù)明”，防止“想不到”的問題引發(fā)的安全風險。整合各類信息資源，完善城市隱患、風險數(shù)據庫，編制城市安全風險清單，繪制城市安全風險分布電子地圖，為城市安全決策提供可靠的信息支持。

二是追蹤識別風險，確保評估的前瞻性。風險評估不僅是對已知風險的分析，更重要的是要前瞻性地考察風險的變化趨勢以及可能出現(xiàn)的新的風險類別和性質。[11]要根據城市最新形勢發(fā)展變化，不斷查找公共安全風險評估的空白，組織專業(yè)機構定期、不定期開展風險評估工作，并使之成為政府的常規(guī)管理職能，每年編制和公布《風險登記冊》，及時反饋風險變化的信息，持續(xù)優(yōu)化改進風險評估。

（五）建立健全評估結果應用機制，避免評估報告“束之高閣”

一是將風險評估機制擢升為一種城市公共安全管理治道變革的重要工具。這就需要我們以風險評估為契機，著眼于政府治理方式創(chuàng)新，圍繞政府職能轉變，助推一種以風險防范為核心的新的治理范式的形成。[12]這種新的治理范式，化過程控制為結果導向，將風險評估融入城市公共安全管理乃至政府決策科學化、民主化、法治化建設的各項舉措中，使風險評估機制真正成為政府自我糾錯的倒逼機制。

二是選擇適當?shù)募夹g處置風險。根據薄弱評估結果，選擇風險處置的辦法。風險處置的4T策略主要包括風險保留、風險轉移、風險降低、風險規(guī)避。[13]根據風險等級，采取不同的策略，“一風險一策”或多措并舉，實現(xiàn)風險的標本兼治。

三是風險評估與應急預案要緊密銜接聯(lián)動。應急預案的編制應與風險源辨識和風險評價形成前后對應的邏輯關系，要根據風險評價確定哪些是不可接受的風險，針對篩選出的不可接受的風險，再根據風險源的大小及城市的現(xiàn)實條件，建立起點、線、面相結合的預案體系，提高應急預案的針對性和操作性。

參考文獻：

[美]保羅?布萊肯，等.突發(fā)事件戰(zhàn)略管理：風險管理與風險評估[M].北京：中央編譯出版社，2014.2.

鐘開斌.國際化大都市風險管理：挑戰(zhàn)與經驗[J].中國應急管理，2011（4）.

上海市民政局.加強社區(qū)風險評估工作[J].中國減災，2013（3）.

閃淳昌.應急管理：中國特色的運行模式與實踐[M].北京：北京師范大學出版社，2011.244.

容志.風險防控視閾下的城市公共安全管理體系構建――基于上海世博會的實證分析[J].理論月刊，2012（4）.

潘俊杰.大力提升安全發(fā)展質量為建設現(xiàn)代化國際化先進城市筑牢安全保障[J].中國應急管理，2014（10）.

鄒積亮.政府突發(fā)事件風險評估研究與實踐[M].北京：國家行政學院出版社，2013.123.

孫玉衛(wèi)，等.風險評估模型在深圳市寶安區(qū)中德災害風險管理試點項目中的應用研究[J].中國應急管理，2012（4）.

深圳市應急管理辦公室.強化風險管理夯實安全基礎――深圳市開展城市公共安全風險評估并公共安全白皮書[J].中國應急管理，2014（10）.

朱正威，等.中國區(qū)域公共安全評價及其相關因素分析[J].中國行政管理，2006（1）.

篇（11）

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

軍隊院校信息化建設始于上個世紀90年代初開始，如今軍校教育教學、機關辦公、學員管理等基礎業(yè)務對網絡信息系統(tǒng)的依賴程度越來越大，同時面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然學校采取了安全監(jiān)測、入侵防護等安全技術措施，但由于學員網絡安全保密意識不強，網絡安全技術掌握不到位的欠缺，管理方法針對性不強，軍隊院校學員網絡安全風險高，以至網絡安全事件甚至泄密事件時有發(fā)生。而衛(wèi)勤軍校學員在平時的學習工作中均有可能會涉及并接觸到更多的軍事秘密，面臨的信息安全問題更加嚴峻。因此，迫切需要對衛(wèi)勤軍校學員的網絡信息安全現(xiàn)狀及風險因素進行客觀有效的分析和評估，依據評估結果為針對軍校學員的網絡信息安全管理提供指導，進而有針對性地采取綜合性網絡安全風險的有效管理措施。

2 軍校學員信息安全面臨的風險

2.1 網絡信息環(huán)境復雜，安全風危險性高

信息時代，互聯(lián)網的應用已經深入到各個領域，但其共享性、開放性和互聯(lián)性的特點，使得環(huán)境越來越復雜，危險不安全因素越來越多。

一是網絡黑客攻擊。網絡攻擊包括黑客攻擊、病毒感染以及針對性軍事機構、軍隊人員的網絡監(jiān)視，如軍校附近的企業(yè)、網絡監(jiān)聽。目前信息系統(tǒng)技術發(fā)達，網絡黑客可以通過極限攻擊、讀取受限文件、拒絕服務以及口令恢復等一系列技術獲取信息，對軍隊保密安全形成威脅。學員在使用網絡時感染病毒導致文件丟失、破壞，發(fā)生嚴重的安全事故。此外，針對軍事機構和軍事人員的網絡監(jiān)視并不少見， 增加了軍校學員網絡信息安全的風險。

二是網絡陷阱。特別是一些博客、論壇，借軍事愛好、討論敏感話題、套取軍事信息此外，有些人在網絡上設置陷阱，一旦發(fā)現(xiàn)軍人身份的網絡用戶便主動接近，通過交流和獲取軍隊內部信息。同時，由網絡海量信息形成的巨大信息流，其中摻雜著諸多不良信息，更有人借網絡進行非法活動的傳播，對大學生進行鼓動和教唆，嚴重危害學員身心健康。現(xiàn)代社會的多元化很大程度上反映到了互聯(lián)網上，隨著網絡的發(fā)展，論壇社區(qū)、交友網站的興起，微博、QQ、MSN等交流交互方式的流行，智能手機的廣泛應用，吸引著軍校學員接觸網絡，給學員自身、學校甚至軍隊的信息安全都帶來很大的威脅。

三是病毒感染網絡沉迷。互聯(lián)網的虛擬性極大程度地吸引著學員不斷接觸網絡，其中網絡戀情和網絡游戲是最主要的沉迷對象。人生觀和價值觀正在形成過程中的大學生分辨能力和自制能力較差，加上軍隊院校相對封閉的環(huán)境，部分軍校學員沉迷于網絡戀情或網絡游戲而不能自拔，安全意識更加薄弱，往往將自身信息和軍事機密信息透漏出去，甚至引發(fā)安全事故。

2.2 信息安全意識差，抵御能力弱

一方面隨著智能終端的不斷研發(fā)，信息化進程的不斷推進，上網方式已經不再局限于計算機，智能手機、平板電腦以及各種無線網絡設備都可以方便連接網絡。學生作為網絡的主體，網絡信息安全意識差，依賴上網方式的多樣化和便捷性頻繁的接觸網絡。另一方面，隨著微時代的到來，微文化流行，參與便捷，加之學員的信息安全意識不強，將校區(qū)所處的環(huán)境圖片、課件、聽看到的信息、消息等隨手轉發(fā)到網絡上，給學校和軍事機構帶來嚴重的安全隱患。更有甚者，學員利用網絡散播不良信息，參與黑客等網絡破壞活動，給國家和軍隊帶來嚴重的損失。迅速發(fā)展和廣泛應用的互聯(lián)網，是廣大軍校學員獲取信息的有效途徑，同時也對信息安全形成巨大挑戰(zhàn)。互聯(lián)網大量的信息集成，是對每個涉足互聯(lián)網人員的沖擊，沒有強烈的安全意識，很容易導致安全事故的發(fā)生。在管理方式上，大多數(shù)只停留在接受口頭安全教育的層面上，沒有意識到現(xiàn)代高端的信息技術和間諜技術帶來的威脅。

2.3 網絡信息安全管理差，處理方法少

目前軍校面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術的應用起到一定的防御作用，但由于管理方法針對性不強，對于安全事件的處理不到位，信息安全事故依舊不減。軍隊院校是培養(yǎng)軍隊專門人才的特殊教育訓練機構，互聯(lián)網、校園網、軍事信息綜合網等各類網絡廣泛應用。軍校學員在生活、學習過程中，有機會了解和掌握軍隊的編制體制、方針政策、武器裝備等涉及軍事秘密等信息，而針對軍校學員的網絡信息安全管理辦法少、科學性不強，主要體現(xiàn)在兩方面。

一是宣傳式教育過于形式化。大多數(shù)學校的網絡信息安全教育是以口頭說教、安全講座、安全知識考試以及教育傳單的形式展開，而這些宣傳式的教育流于表面，沒有真正讓學員體會到現(xiàn)代網絡環(huán)境存在的風險，也沒有意識到自己的網絡行為所造成的安全隱患。

二是限制網絡使用效果不明顯。為了防止安全保密事故的發(fā)生，學校常常用會限制學員的網絡使用，但是這種 “堵”的方式只能限制了學員對學校網絡和網絡設備的使用，學員依舊可以方便選擇通過其他智能終端使用網絡，而且這種方式與現(xiàn)代信息社會格格不入，阻礙和影響到了學員正常獲取學校正常教學、辦公信息和知識的途徑，引起教學辦公人員的不滿。這些辦法并沒有真正加強學員的安全意識以及阻止安全事件的發(fā)生，也為信息安全帶來了風險。

3 軍校學員信息安全評估存在的問題

3.1 針對性不強，評估指標不完善

目前大多數(shù)軍校都會定期對網絡進行檢測和維護，對于信息安全的風險評估大多數(shù)側重于網絡硬件和軟件的基本情況，忽視了針對學員的信息風險評估。認為通過限制使用就可以避免風險，這樣不但浪費了資源，也沒有真正起到降低風險的作用。很多風險評估沒有針對學員的評估指標，或者沒有深入研究學員的網絡行為，其指標缺乏有針對性，導致評估在學員信息安全防范措施這一環(huán)節(jié)上的薄弱。

3.2 科學性不高，風險量化能力差

對于軍校學員的信息安全風險評估大多數(shù)指標是定性的，而定性的安全風險評估無法準確地確定風險的大小，無法對安全風險進行精確地排序，從而難以確定系統(tǒng)面臨的真正風險。這就要求軍校學員信息安全風險評估工作所運用的評估方法必須具備一定的量化能力。量化風險評估分析方法的關鍵在于輸入參數(shù)的量化。對制定的量表進行有效的賦值，并在此基礎上歸類分析是量化評估的難點，而目前軍校在對學員進行信息安全風險評估時，處理這些量化難點做的還不夠到位。

3.3 系統(tǒng)性評估流于形式，對評估結果沒有充分利用

多數(shù)軍校只有上級安全部門進行的檢查評估時才進行信息安全風險評估工作，并沒有進行自評估，或者自評估的次數(shù)少，不能及時發(fā)現(xiàn)學員存在的信息安全隱患。風險評估在國內發(fā)展的時間較短，在軍校學員中開展系統(tǒng)性的信息安全風險評估，軍校引入的并不多，所以評估的形式欠科學性。同時評估流于形式，有些軍校雖然開展了對學員的評估，但不能根據評估結果采取相應的安全措施，失去了評估的意義。

4 軍校學員風險評估實施策略

4.1 提高重視程度，采用先進管理方法

提高對學員信息安全風險評估的重視程度是決定風險評估效果的關鍵因素。首先，軍校工作人員在對學校整個信息系統(tǒng)進行風險評估時，應當把對學員的信息安全風險評估單獨列出，著重從倫理道德、紀律規(guī)范、網絡技能和網絡行為等方面進行評估，提高學員的安全思想意識。其次，要引進先進的管理辦法，不能只停留在宣傳式教育和限制網絡上。宣傳形式要新穎，可以用實例向學員宣講，同時模擬真實的環(huán)境，讓學員參與其中，從而加深印象，提高意識。管理上可以對學員進行跟蹤監(jiān)測，發(fā)現(xiàn)學員在網絡使用上的漏洞，將其列為控制的關鍵環(huán)節(jié)加強管理；也可以對學員進行調研，了解學員對于網絡行為和信息安全的認識程度，及時進行針對性教育。同時，領導層面要加強重視，才能提供更多的人力物力支持評估工作。各級干部和學員要抓好落實，養(yǎng)成良好的安全習慣，配合好風險評估工作。

4.2 深入研究風險，有針對性地建立指標體系

合理有效的評估指標體系是進行風險評估的基礎要素。建立有針對性的評估指標體系：一是要要充分調研學員信息安全存在的風險，跟蹤學員的網絡行為，發(fā)現(xiàn)關鍵環(huán)節(jié)；二是要把握指標體現(xiàn)建立的原則。首先是一般性原則，包括系統(tǒng)性原則、典型性原則、導向性原則、針對性原則、簡約性原則、可操作性原則以及可延續(xù)性原則。風險評估設計要考慮到學員心理行為、網絡安全技術和安全管理制度等多方面因素，依照一般性原則的同時也要綜合考慮這些特殊因素；三是要多維度建立評估指標體系。依據信息安全風險評估成熟的理論和方法，根據對軍校學員網絡行為的研究結果，從法律法規(guī)、倫理道德、安全保密和安全技術等維度入手，在每個維度中確立定性和定量的指標，建立網絡安全風險評估架構。

4.3 充分利用評估結果，將風險評估制度化

在完成了對學員信息安全風險的評估后，要對采集的數(shù)據進行科學的分析。針對學員的信息安全風險評估存在大量的定性指標，具有結構復雜、不確定性和非線性的特點，傳統(tǒng)的權重賦值方法精度低。人工神經網絡是近幾年發(fā)展起來的一種新興的科學方法，它模仿人大腦的工作機理和思維本質，通過數(shù)學模型與計算機的結合，所建立起來的一套智能的系統(tǒng)。目前，人工神經網絡已經發(fā)展了十幾種，適用于不同的實際問題來建模。而徑向基神經網絡因其能夠逼近任意的非線性函數(shù)，解決系統(tǒng)內在難以解析的規(guī)律，因此在實際評估的過程中能很好地處理主觀與客觀的指標，得到較為完善的評估結果。針對評估結果，學校應當采取一系列管理措施，并制定長期的網絡使用規(guī)范和有關信息安全的紀律條例，并根據新的問題進行修改和完善。把對學員信息安全的風險評估制度化、規(guī)范化，真正展現(xiàn)發(fā)揮風險評估的效果效用，從而避免安全事故的發(fā)生。

參考文獻

[1] 賈玲.軍校網絡信息安全風險評估研究[J]. 武警學院學報，2010（8）：95-96.

[2] 賈衛(wèi)國，許浩，王成.軍校網絡信息安全風險評估工作探討[J]. 計算機安全，2009（9）：78-80.

[3] 孫利娟，劉彩紅.高校信息安全教育問題研究[J]. 電腦技術與知識，2010（8）：30.

[4] 劉楓.大學生信息安全素養(yǎng)分析與形成[J]. 計算機教育，2010（21）：77-80.

[5] 申時凱，佘玉梅. 糊神經網絡在信息安全風險評估中的應用[J]. 計算機仿真，2011（10）：92-94.

[6] 黃婷婷.網絡安全防御管理研究及對策[J]. SILICONVALLEY，2010（6）：107.

[7] 趙軍勇. 網絡信息系統(tǒng)技術安全與防范[J]. 廣播電視技術，2011（4）：9-11.

[8] 任麗平. 加強大學生網絡安全教育[J]. 內江師范學院學報，2004（5）：97-100.

[9] 巢傳宣.大學生網絡安全問題研究[J]. 南昌工程學院學報，2010（5）：54-57.

[10] 韓立群.人工神經網絡理論、設計及應用（第2 版）[M].化學工業(yè)出版社，2011（9）：164.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 任偉.無線網絡安全問題初探[J].信息網絡安全，2012，（01）：10.

[13] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數(shù)據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

基金項目：

基于神經網絡模型的大學生網絡信息安全風險評估及對策研究；項目級別：校創(chuàng)新能力基金；項目編號：ZD2012039。