前言:中文期刊网精心挑选了安全风险评估方法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
安全风险评估方法范文1
引言
某云服务平台是以云分布式计算系统为基础,面向全省打造的云服务平台,实现大数据资源开放、互通、共享。该平台的建设和应用将为实现数据应用、衍生产业提供强有力的支撑。该平台将搭建电子政务云、工业云、电子商务云、智能交通云、智慧旅游云、食品安全云、环保云等,称为“N朵云工程”。从该云平台的总体规划化上看,包括了公有云、私有云、混合云以及社区云,应用场景和应用结构较为复杂。另一方面,随着信息化建设的进一步深入,将有更多业务纳入该云平台中,故而信息安全保障工作是一项至关重要的工作。如果一旦形成数据窃取、非法入侵、数据丢失等问题,将必将产生重大后果,并酿成重大事故。
1云安全保障工作重点
首先,我们基于云分布式计算系统的体系结构分析该云平台的逻辑结构。我们可以将云分布式计算系统及其管理的云基础计算资源及云基础存储资源看成该云平台的基础层,“N朵云工程”的云应用及云服务、云平台门户是构建在基础层之上的应用层。同时还有云资源权限控制体系及云管理保障服务体系作为十分重要的保障体系。根据以上分析,可以看出,从信息安全的角度上讲,信息安全保障工作应从云基础安全、云平台的云应用及云服务安全、云应用及云服务建设的标准化和规范化、云资源权限控制体系的安全保障、管理保障服务体系可靠有效等方面进行分析。(1)针对云基础安全方面,依据相关云分布式计算系统的安全白皮书的相关内容,安全保障重点在于基础资源的可用性检查及故障修复、云操作系统的补丁安装及版本升级、云平台的边界安全、接入安全、云基础平台建设过程监理、云分布式计算系统运维服务支持等方面。(2)针对该云平台云应用及云服务安全方面,需对基于云基础平台开发的应用的权限管理、应用漏洞扫描、公有云、私有云、混合云以及社区云的合理使用等内容进行评估分析。(3)针对云资源权限控制体系的安全保障方面,基于相关云分布式计算系统的安全白皮书的相关内容进行分析,可看出系统安全性主要通过其复杂的云资源权限控制模块完成,因此针对云资源权限控制模块的用户及其权限管理是至关重要的,重中之重是对其配置的云资源权限规则的审计和检查。(4)针对云应用及云服务建设的标准化和规范化方面,需在应用设计开发过程中,严格审计开发单位的设计思路、开发过程、开发规范性检查,并在应用及服务上线前,引入第三方测试,确保开发过程中严格按照云分布式计算系统的开发作业标准进行,无严重性漏洞,特别是权限控制和数据管理。(5)针对系统可用性方面,应严格监控出口带宽及流量消耗问题、系统故障影响范围分析、系统故障排除周期分析等内容。(6)针对信息安全保障制度建设方面,应以云分布式计算系统的基本保障要求及云平台自身的信息安全保障要求,构建包括人员管理制度、开发团队管理制度、运维管理制度、基础配套管理制度、机房管理制度、云服务及应用开发规范、数据应用及交换申请评估制度、云服务及应用完备性测试管理制度、安全事件应急指挥制度等在内的多项规章制度建设制度。并针对每项制度的执行情况做定期监督检查。综上所述,云基础平台安全检查及审计、云平台应用及服务、云应用及云服务上线前审查及测试、云资源权限控制体系的管理、信息安全保障制度建设及监督检查是该云平台信息安全保障工作的重点。
2云安全风险评估方法
依据以上分析,可得出云平台的信息安全评估方法。依据IT基础资源管理软件、云操作系统的实时监控工具等手段对云基础设施进行实时监控,并建立应急指挥体系,发现问题及时排除。由于该云平台的“N朵云工程”的云应用及云服务均是基于云分布式计算系统完成的,首先定期对云基础操作系统进行全面检查及防护,这也是评估工作的重点内容。按照地方政府对该云平台的基本要求,对各类数据资源及计算资源的分配权限及配置规则进行评估检查,确保最小化授权机制,严防因权限控制规则设置不当而产生的数据泄露、乱用、非正常改变等问题。针对基于云分布式计算系统开发的相关云应用及云服务的程序漏洞、管理口令、运维窗口、系统升级流程、数据修改及销毁过程等进行全面的审计和安全评估。对新开发上线的云应用及云服务进行系统测评评估,确保通过评估的系统可上线,未过评估的应用及服务杜绝其部署到正式环境中,特别是权限控制不严格的、有故有可被黑客利用的漏洞的程序。简单可视的自动化配置方法,降低虚拟化网络安全管理的技术复杂度,屏蔽虚拟化网络内部技术细节;软件定义的安全检测边界,提供灵活、高效的网络安全管理方法;无间断的安全服务,无需人工干预的自主安全策略跟随迁移,适应虚拟化动态扩展、自主迁移等拓扑多变的特性。
3云应用上线测试
云应用上线前需要基于云分布式计算系统进行性能与安全测试。服务商提供多种平台和多种浏览器的平台,一般的用户在本地用Selenium把自动化测试脚本编写好,然后上传到云平台,然后就可以在他们的平台上运行测试脚本。云测试提供一整套测试环境,测试人员利用虚拟桌面等手段登录到该测试环境,就可以立即展开测试。以现在的虚拟化技术,在测试人员指定硬件配置、软件栈(操作系统、中间件、工具软件)、网络拓扑后,创建一套新的测试环境只需几个小时。如果测试人员可以接受已创建好的标准测试环境,那么他可以立即登录。提供专业知识的服务。这些知识可以通过测试用例、测试数据、自动测试服务等形式提供。例如,许多应用需要读取文件,云测试可以提供针对文件读取的模糊测试。测试人员将被测试的应用程序提交给云,云将其部署到多台测试机上。在每一台测试上,应用程序要读取海量的文件,每一个文件都是特意构造的攻击文件。一旦栈溢出、堆溢出等问题被发现,将立即保存应用程序的内存映像。一段时间后,测试人员将获得云测试返回的测试结果,暨一份详细的分析报告和一大堆内存映像文件。测试类型包括了:兼容测试、性能测试、功能测试、安全测试。
4结束语
本文通过以上各方面,以某云平台为例阐述了云平台信息安全保障及评估方法的基本研究思路和工作内容。要提升云平台的安全保障能力,需从组织安全管理、合规安全管理、数据安全管理、访问控制管理、人员安全管理、物理安全管理、基础安全管理、系统开发及维护管理、灾难恢复及业务连续性管理等方面综合考虑,以云平台及其应用安全为我们研究的最终目标。
参考文献:
[1]桑子华,喻爱惠.基于XenApp技术的区域性教育资源云平台安全布署.湖南师范大学自然科学学报,2016.
[2]黄宗正.关于云平台安全审计技术的研究.工程技术:文摘版,2016.
安全风险评估方法范文2
【关键词】风险;评估;企业;信息管理
1.企业信息安全评估的内容
企业在运行中会产生大量的运营数据,这些数据既有日常办公方面的数据,也有涉及企业生产和研发方面的数据。随着企业规模的扩大,对这些信息的管理大都是建立在一定的信息管理系统基础上的,如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息,就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险,因此需要对企业的信息管理风险程度进行评估,在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。
1.1 评估企业的管理制度
企业管理制度是企业有序运行的基础,企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度;②企业信息系统的维护制度;③企业信息系统操作人员培训制度;④系统设备和文件管理制度。
1.2 企业信息系统计算机安全评估
实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系,因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行,弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。
2.企业信息安全风险定量评估方法
对上述几类评估内容的定量估计是衡量企业信息安全的量化手段,其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个:资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算,安全风险的数学表达式为:。其中为风险指标,表示企业资产指标,为代表威胁,为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。
2.1 企业信息安全估价的描述方法
企业的资产既包括有形的资产,也包括无形的资源,表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异,资产的安全级别无法用通用的量化标准来记性评估,因此采用的方法为定性的CIA模糊集合方式来描述,如“资产安全级别”={“很高”、“高”、“中等”、“低”、“较低”}等模糊语言来描述,对应的论域为{5、4、3、2、1}。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述,综合上述三类安全属性的公式为:。上式中分别为企业信息安全的保密性、完整性和可用性的赋值,取值为1,2…5,为综合评定指标。笔者这里提供一些评价指标的选取标准:
(1)信息保密性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,信息泄漏将严重影响企业的利益;②高:这类级别的企业信息泄露会对到企业经济效益造成明显损害;③中等:企业的一般性的经营、决策信息,泄露对企业不利;④低:这类企业信息一般指企业内部部门的局部信息;⑤较低:企业可对外界公布的信息类型。
(2)信息完整性的评定标准
①很高:这类级别的企业信息包含企业的核心关键决策信息,其完整性直接决定企业的业务完整性,一旦缺失就无法弥补;②高:这类信息修改必须经过高层授权,一旦缺失将严重影响业务,一旦缺失弥补难度很大;③中等:企业的一般性的经营、决策信息,其修改需授权,缺失后可弥补;④低:这类企业信息一般指企业内部部门的局部信息,缺失后对企业运行影响较小,易于弥补;⑤较低:企业可对外界公布的信息类型,缺失后对企业运行无明显影响。
(3)信息可用性的评定标准
①很高:这类信息具有最重要的实用性,企业的运作必须依照运行的信息类型;②高:这类信息的可用性价值较高,企业运作对其依赖性较高;③中等:这类信息属于可部分不可用的类型,部分不可用不影响企业的正常运作;④低:这类企业信息一般指企业内部部门的局部信息,信息不可用不会造成明显影响;⑤较低:这类信息使用性不高,信息不可用的影响可以忽略。
2.2 企业信息安全威胁程度的量化方法
企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的,既可能来自于系统的用户(合法用户或非法入侵)操作,也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息,以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化,在做风险评估时需要依赖专家经验,对各种潜在的威胁因素给出一定的概率值,对各类威胁因素可按照和上节类似的方法,用形如:“威胁程度”={“很高”、“高”、“中等”、“低”、“较低”}等模糊集合来表达,对应于相应的论域{5、4、3、2、1}。建议评定标准如下:①很高:风险事件发生的频率很高,或对企业信息安全具有明显的威胁,但又很难避免的情形;②高:风险事件发生的可能性较大或有发生先例;③中等:风险事件有可能发生,但尚未实际发生过的情形;④较低:风险事件发生的可能性较小,通常情况下不会发生;⑤很低:几乎不可能发生的风险事件类型;
2.3 信息系统脆弱性的量化方法
信息系统脆弱性的评估和系统面临的威胁是紧密相关的,所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的,因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算,也采用和衡量系统威胁程度时相同的表示方法,“系统脆弱性”={“很高”、“高”、“中等”、“低”、“较低”},对应于相应的论域{5、4、3、2、1}。建议评定标准为:①很高:这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷,极易被非法使用的情形;②高:企业信息系统存在一定的技术漏洞或管理规范上的缺陷,容易被攻击和利用;③中等:企业信息系统存在不易被发现(下转第125页)(上接第121页)的技术漏洞,或必须经过人为非法操作才能被攻击的管理规范上的漏洞;④低:企业信息系统不存在明显的技术漏洞,或企业信息管理制度较为完善,不易被攻击利用;⑤较低:企业信息系统技术较为完善,管理制度也较为合理,被攻击点可能性很小。
2.4 信息安全的风险计算
按照风险的定义,风险包括风险事件发生的可能性和相应的后果。在企业信息系统中,各组成部分发生风险事件后的后果是不一样的,其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容,一是风险的计算方式,二是对风险计算量化数值的评价。各因素风险值的计算按:来计算,即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后,还需要建立起以风险值为基础的风险评价体系。
由前文的分析可见,风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5,最低为1,因此组合情况下风险值的最高值为125,最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式:①很高:风险值估计范围在100~125之间,表明企业信息系统存在很高的安全风险,发生信息泄露的可能性非常高;②高:风险估计值在75~100之间,表明企业信息系统存在较大的安全风险,发生信息泄露的可能性较大;③中等:风险估计值在50~75之间,企业信息系统的安全风险一般,经过审查后能够避免风险事件;④低:风险估计值在25~50之间,企业信息系统发生信息泄露的可能性很小;⑤很低:风险估计值在0~25之间,企业信息系统比较安全,但需要定期维护。
3.结语
企业信息系统安全管理关系到企业的内部运营数据的安全,是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估,给出了以线性乘积为基础的风险量化方法,最后给出了分等级的企业信息安全综合评定。
参考文献
[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.
[2]沈昌祥,马东平,等.信息安全工程学导论[M].电子工业出版社,2009,9.
安全风险评估方法范文3
关键词:路桥隧道;安全施工;风险评估;风险控制
Pick to:
With the rapid development of traffic infrastructure construction in our country, road and bridge tunnel has become an important part of highway construction projects, road and bridge tunnel safety risk management is particularly important. Because the tunnel project has the construction is difficult and long construction period, large investment, many characteristics such as complexity of geological factors, making the entire bridge tunnel project construction process is full of a lot of uncertain risk factors, so in highway tunnel construction process may occur at any time the security risk of accident, necessary safety risk assessment and control measures can help to improve and to improve the quality of the construction technology and safety management, reduce the construction safety risk to the degree of control.
Key words: road and bridge tunnel; Safe construction; Risk assessment; Risk control
中图分类号:TU99 文献标识码:A
根据《公路桥梁、隧道安全评估指南》、《桥梁隧道设计施工有关标准补充规定》及《公路隧道作业要点手册》的有关内容、及实施性施工组织设计,笔者结合目前路桥隧道工程安全风险评估的现状,分析了针对隧道工程安全风险评估所颁布的指南、管理办法等相关制度文件,并总结了保证评估结果客观性的过程控制方法以及践行安全风险评估技术宗旨的方式,通过对目前风险评估过程中存在问题的剖析,本文提出了解决问题的思路,以促使评估成果满足安全风险评估技术针对性、客观性的要求。
隧道工程风险分级和接受准则。
(1)、事故发生概率的等级分成四级,见下表
注:a.当概率值难以取得时,可用频率代替概率。
b.中心值代表所给区间的对数平均值。
(2)、然后对事故发生后果进行人员伤亡和经济损失的等级分析(表格这里就不一一画出了):一是人员伤亡等级标准,二是直接经济损失等级标准(其中不含恢复重建的费用)。
(3)、环境影响等级标准
注:“临时的”意思是在隧道工程施工工期内可以改变好环境;“长期的”意思是在施工工期以内不能改变好环境,但不是永久的,在以后的时间里可以改变的;“永久的”含义为不可逆转或不可恢复的。
(4)、专项风险等级标准
根据事故发生的概率和后果等级,将风险等级分为四级:极高(Ⅳ级)、高度(Ⅲ级)、中度(Ⅱ级)和低度(Ⅰ级)。
风险接受准则与采取的风险处理措施
我们可以将风险分为四个等级:低、中、高、极高。并且根据等级设计相应的接受准则:可忽略、可接受、不期望、不可接受。然后我们再根据接受准则设计出相应处理措施和监测措施等。做好相应的技术准备,在后面的施工中根据风险接受准则与采取的风险处理措施的规定,针对不同的风险事件、结合现场的实际情况拟采取相应的技术对策。并且随着施工的进行,我们要不断的测定安全风险等级,随时改变风险处理措施,做到紧张有序地施工,确保万无一失。
在进行路桥隧道工程中,我们必须成立工程风险评估与管理小组组长、副组长及小组成员必须分好工(组长:负责安全评估与管理工作的领导工作。制定施工阶段风险评估工作实施细则。副组长:根据分组的情况开展本组的管理工作,并向组长负责。成员:在组长及副组长的领导下,开展安全评估与管理工作,成立抢险小组,并落实各项具体措施;与项目部其它相关部门紧密联系,共同抓落实,从人、财、物各方面给予安全评估与管理工作切实的保障。),并且设立安全评估与管理小组办公室(日常工作由项目部安全部负责),设立值班电话等。
4、总结
由于采用了相应的风险对策措施,加强施工过程中风险动态管理,隧道施工的风险会相应地降低,但不可能完全消除,结合初始风险评估结果和制定的对策措施,对隧道残留风险进行评估。根据施工的进展对实行动态跟踪管理,定期反馈,发现问题及时与相关单位进行沟通,不断完善处理措施。项目部领导小组将根据审批后的风险评估方案进行日常工作的实施,有效的开展工程安全风险评估和管理工作,深入现场调查研究,制定合理安全保障措施,确保安全、按期完成路桥隧道工程的施工任务。
这仅是风险管理与控制的开始。在下一步的施工过程中还要加强监控,对风险做好动态管理,从而达到控制风险、减少损失、确保施工安全目的。
参考资料
[1]钱七虎,戎晓力.中国地下工程安全风险管理的现状、问题及相关建议[J]. 岩石力学与工程学报,2008,27( 4) : 649-655
[2]吴波.隧道施工安全风险管理研究与务实[M].北京:中国铁道出版,2010
安全风险评估方法范文4
【关键词】燃气管道;风险评估;方法
燃气管道的使用时间越长,管道损坏情况发生的几率就越高,虽然相关技术人员在燃气管道的设计和运行中都使用了很多方式预防可能出现的燃气管道事故,但是仍然有一些燃气管道由于其本身材质问题、施工问题、使用年限问题而出现了危害人们生命安全的事故。风险评估的目的是风险评价和决策,即根据潜在危险发生的概率确定风险的可接受度,来决定是否需要采取相关的措施?通常可将风险的可能性分为频繁,很可能,有时,极少和不可能等,根据风险的等级和事故的严重性采取相应的措施。
一、主要的风险评估流程
1.1燃气管道主要的风险评估流程一是需要确定风险评估的人员,组成由负责不同管道施工以及维护人员构成的小组,对燃气管道进行风险评估,并将结果交给风险评估主要负责人审核,对于一些具有较大风险的燃气管道及时上报。
1.2至少间隔五年就对燃气管道进行风险评估,并每隔一段时间对燃气管道的风险评估结果分析和讨论,在燃气管道改造后重新对其进行风险评估。
1.3 评估资料需提供管道竣工图、管线巡线记录,管线泄漏测量记录,抢险、维护记录,压力管道检测报告等。
1.4要准备好燃气管道风险评估的资料,四是将风险评估管段分级,便于分段式的开展风险评估工作和后期的管段管理。
二、主要的风险评估方法
燃气管道的风险分析方法浅析一下观点:主观分类法、各类因素评分法、定量评估法。
(一)主观分类法
主观分类法是一种能够直接对燃气管道风险划分等级的风险评估方法。由于燃气管道本身材料、设计、施工的特点,对于燃气管道的风险评估可以用这样的方式进行估算:风险发生可能性×损失的后果=燃气管道风险。造成燃气管道风险的原因有很多,不能单纯的仅仅依靠对燃气管道的材料、设计、施工等情况进行风险预估,还需要综合燃气管道的实际所处情况、燃气管道防腐蚀的情况、燃气管道设计的管径情况等等因素进行风险评估。
例如:某高层建筑地下的燃气管道为灰口铸铁管,在燃气管道的施工过程中,工人并没有对其实施防护措施并直接穿过了其他的管道,致使工人无法对燃气管道进行日常的巡查工作,该燃气管道公司利用了燃气管道风险评估中的主观分类法对其进行了风险评估,发现该燃气管道施工方案的风险属于违规类的高风险工程,于是立刻调整了施工方案,燃气管道不再埋于高层建筑下,并且对必须穿越其他管道的燃气管道实施保护措施,增加了工人对燃气管道的巡查工作,降低了燃气管道的风险等级,保证了燃气管道的正常施工。
(二)各类因素评分法
燃气管道风险评估中的各类因素评分法主要是用于对某些特定管道的校核比较。按照燃气管道的保护方式、和建筑物之间的距离、地下土壤的情况、燃气管道的使用时间等因素进行估算燃气管道总体状况的评分,并依据此评分设计降低风险的方案。
例如:某燃气管道施工企业按照燃气管道风险评估中的各类因素评分法,将燃气管道的材料划分为埋弧焊钢管1分,无缝钢管1分,电阻焊接钢管1分,聚乙烯管3分,球墨铸管10分,镀锌钢管10分,该燃气管道施工企业选择了聚乙烯管材料的燃气管道。对于聚乙烯管的保护措施划分为没有任何保护为5分,警示带为2分,警示带加上盖板为1分,该燃气管道施工企业选择了燃气管道警示带保护措施。对于中压情况下的燃气管道与建筑物之间的距离划分为小于一米7分,一米到两米5分,两米到三米3分,3米以上为0分,该燃气管道施工企业选择了中压情况下的燃气管道与建筑物之间的距离为5米。对于地下的土壤情况划分为干燥0分,PH值5-6为5分,PH值为5以下为10分,该燃气管道施工企业选择了在干燥的土壤里进行燃气管道施工。对于燃气管道埋在行人道下的深度划分为0.3米以下为7分,0.3米到0.4米为5分,0.4米到0.5米为3分,0.5米到0.6米为1分,0.6及以上为0分,该燃气管道企业选择了在0.7米的管道埋地深度。施工企业在根据燃气管道风险评估中的各类因素评分法对企业的管道施工进行了综合性评分,按照评分法的评分结果发现企业的风险评分为0到19的这个位置,埋地管网风险等级为低风险,可以正常的监测燃气管道的情况,保证了企业的燃气管道施工质量,规避了燃气管道风险。
3.定量评估方法。
定量风险评估是按照设备的更新费用,按照每个资源冲击的费用危险的定量额度,资源,威胁和脆弱性提供的一套系统分析手段。分析所形成的量化值,并将用来计算年度损失概率?定量分析方法对风险的量化。大大增加了与运行机制和各项规范,制度等紧密结合的可操作性以及分析的目标能够更加具体准确从而大大增加了可信度。为应急计划的制定提供 更为可靠的依据。定量风险分析是燃气管道风险评价的高级阶段?它通过联合考虑诸如设备故障和安全系统失灵这样的单个事件可以算出最终事故的发生概率,被认为是确定绝对事故频率的严密的数学和统计学方法。
结语:
燃气管道的风险评估方法在我国许多地区正在逐步的推广和使用,对于燃气管道的风险评估工作需要结合当地燃气管道的实际情况,选择适当的燃气管道风险评估方法,逐渐提高风险评估结果的准确性和科学性。燃气管道的风险评估方法在保证燃气管道安全运作中起着十分重要的作用,需要人们逐渐加深对燃气管道风险评估方法的认识,加强对燃气管道风险评估方法的了解,进一步降低由于燃气管道风险对于人们生命财产的威胁。
参考文献:
[1]韦庆,张家铎,张肃.城市埋地燃气管道风险评估方法在港华集团北方区域公司的应用[J].城市燃气,2013(01).
[2]郭章林,刘彦香,宫亮.基于双曲型风险决策模型和GIS的城市燃气管道风险评估[J].城市燃气,2013(11).
安全风险评估方法范文5
关键词:元评估;档案安全;风险评估;评估指标
档案安全风险评估,是对档案实体和档案信息资源所面临的威胁及其可能造成的影响的可能性的评估。[1]档案安全风险评估的目的就是通过科学的方法、程序查找档案安全隐患和漏洞、薄弱环节,及时采取必要的措施,最大可能地规避和降低风险,确保档案的安全。因此,评估的科学与否、评估质量的高低直接决定着评估效果的好与坏。因而,判断档案安全风险评估本身的科学性就成了档案安全保障体系建设不可缺少的一个重要环节。而元评估就是评估的评估,是判定原评估科学性的方法。美国学者丹尼尔・L・斯塔弗尔比姆(Daniel L. Stufflebeam)非常形象地指出:“元评估对评估领域的重要性,就如审计制度对于会计领域的重要性一样。”[2]鉴于此,本文将从元评估的角度来解析档案安全风险评估科学性的问题。
1 档案安全风险评估元评估的涵义及其开展的必要性
1.1 档案安全风险评估元评估的涵义。元评估的产生与发展得益于元科学(科学的科学,Meta-science)[3]发展的推动,是元科学研究方法和研究成果应用于评估学领域的结果。元评估(Meta-evaluation)即对评估本身进行评估。[4]20世纪以来,随着评估学发展成为社会科学研究的重要领域,元评估研究亦逐渐成为推进评估学发展的重要途径。1940年皮多・奥若塔(Pedro Orata)提出“评估的评估”(evaluation of evaluation),是元评估概念的雏形。1969年迈克尔・斯克里文(Michael Scriven)首次提出“元评估”概念。[5]
元评估又称为“元评价”[6]“再评价”[7]“再评估”[8]“后设评估”[9]等。美国学者丹尼尔・L・斯塔弗尔比姆(Daniel L. Stufflebeam)将其定义为“经由记述、获取及运用关于评估的效用性、可行性、适当性及精确性等描述性信息和判断性信息的过程,据以引导评估,并公开报导其优点和缺点。” [10]国内学者张道民认为“元评估亦称为评估的评估。它是以已有的评估(原评估,primary-evaluation)活动及结果为对象,从整体上多视角地进行反思认识,进而对其可信度(可靠性)和有效度(功效性)作出客观、科学、全面的评估结论。”[11]
元评估,同样适用于档案安全风险评估领域。在档案安全风险评估领域,元评估是指按照一定的理论框架,运用可行的科学方法和价值标准,对档案安全风险评估标准、评估方案、评估过程、评估方法和评估结果的科学性和有效性进行分析,从而对档案安全风险评估做出价值判断的过程。从我国在天津[12]、河南[13]等地开展的档案安全风险评估实践来看,在评估结束后开始注重对档案安全风险评估活动本身的经验总结,从评估的组织领导、评估标准、评估方案、评估方法、程序、结论等方面提出意见和建议。整个过程虽然缺乏严格的元评估程序与标准,但从某种程度来说,这实际上已经迈出了元评估探索的步伐,对档案安全风险评估技术方法的改进、评估质量的提高,起到了重要的作用。
1.2 档案安全风险评估元评估开展的必要性。档案安全风险评估元评估开展的必要性主要体现在以下两个方面:
第一,档案安全风险评估误差的客观存在,需要元评估对原来的评估进行偏差控制,使偏差控制在合理的范围,提高评估的信度和效度,从而提高评估的整体质量。档案安全风险评估过程中,一些客观因素的影响,使得评估不可避免存在误差,影响评估的质量。这些因素主要有:由于评估指标体系本身(包括评估指标及评估内容的选择、评估权重的确定等方面)设计不科学产生的误差;由于评估专家组成员结构不合理、不良心理因素产生的误差;由于风险本身的动态性、复杂性而产生的误差。
偏差控制是元评估的一项重要功能,元评估首先检测与识别档案安全风险评估偏差。元评估通过方差法、肯德尔和谐系数法等分析原评估数据和流程,识别原来评估的偏差环节。在偏差识别的基础上运用统计方法和其他各种方法,对原来评估的偏差原因进行分析,对偏差值进行计算,从而对评估偏差予以纠正,保证档案安全风险评估的质量。
第二,元评估是档案安全风险评估科学理论形成和完善的推进器。由于风险的复杂性,它处在一个动态的不断变化的过程中:未知的、新的风险随时有可能发生,已识别出来的风险其发生的可能性和产生的后果严重性也不是一成不变的。因此,在风险控制的过程中,需要定期或不定期的对已经识别的风险发生的可能性和产生的后果进行重新评估。风险的复杂性、风险评估的周期性决定了档案安全风险评估科学理论的形成是一个及其复杂的过程。认识论科学地揭示了认识的规律,档案安全风险评估科学理论的形成与完善也需要经历一个由实践到认识、由认识到实践的多次反复的过程,需要在实践中不断的检验、修正与完善。元评估则是连接实践与认识的链条,元评估通过对风险评估方案、评估指标、评估方法、评估过程的检验来验证风险评估理论的正确性,在不断修正与完善基础上形成科学的评估理论。
2 档案安全风险评估元评估主体及模式
2.1 元评估主体。元评估主体是指元评估行为的实施者,主要回答由谁来进行元评估的问题。可以有几种选择:一是原评估者,二是原评估组织者,三是外部专业评估者。第一种可信度不高,第二种受理论与技术的限制,第三种理论上科学高效、客观公正,需要较高的花费,但即便如此很大程度上也受该行业发展成熟度的影响。理想化的选择是元评估主体要比原评估主体素质更高,不但能胜任原评估还能对原评估进行优劣评价。因此,档案安全风险评估元评估主体的选择,需要考虑各方面的因素,选择最适当的元评估主体,可以采取内部评估专家与外部评估专家相结合的方式。
2.2 元评估模式。关于元评估的模式,不管是Cook和Gruder(1978)的七种元评估模式,还是stufflebeam(1974)的元评估模式,或是Gowin的QUEMAC模式,所依据的分类标准共同的地方是元评估与原评估是同时实施,还是在原评估完成后实施,即形成性元评估(pro-active meta-evaluation)和总结性元评估(retro-active meta-evaluation)。形成性元评估强调在评估的不同阶段,尤其是各个阶段的衔接处,应及时进行元评估,以便及时修正评估的方案、技术或操作中可能出现的问题;若等到评估结束,某种无效甚至有害的评估已产生不良影响,此时进行元评估为时已晚。总结性元评估强调元评估作为经验总结性质的总结性评估的作用,即在评估结束后,对此次评估的方案设计、技术方法、实施程序、结论质量及其产生的作用和影响做出全面的分析、评估和估价,为最终的决策提供咨询建议或施加影响,也为改进评估活动提出意见和建议。在档案安全风险评估的元评估中可以将元评估两种模式各自的优势结合起来,加强原评估的过程管理,通过对原评估过程的评估,发挥内部监控的作用,做好对评估过程的评价与监控,做到结果监控与过程监控相结合,外部监控与内部监控相结合。
3 档案安全风险元评估的内容、方法及程序
3.1 元评估内容。档案安全风险元评估的内容主要包括对档案安全风险评估标准、评估方案、评估过程、评估方法和评估结果的可信度和有效度进行整体、综合的评估。具体主要包括:(1)评估目的是否明确;(2)评估标准是否合理;(3)评估指标体系是否完整,指标权重系数是否准确;(4)评估实施方案是否合理;(5)评估方法是否科学;(6)评估结果是否真实、合理、有效;(7)评估功效能否发挥等。
3.2 元评估方法。档案安全风险评估元评估除了采用内容分析法、经验总结法等常用的定性评估的方法之外,还可以采用效度检验和信度检验等定量的方法来判断。效度(Validity)即有效性,它是指测量工具或手段能够准确测出所需测量的事物的程度。如果一项评估的效度很低,则其实际效果肯定不佳。信度(Reliability)即可靠性,它是指采用同样的方法对同一对象重复测量时所得结果的一致性程度。如果评估的信度很低,则其结果就缺乏可靠性。在档案安
全风险评估的元评估中,可以运用肯德(M.Kendall)和谐系数法对专家的评分差异进行检验。肯德尔和谐系数法计算公式[14]如下:
W=S/[(1/12)n2(m3-m)],
式中,n为评估者人数;m为被评项目(指标)的个数;s为各种被评因素秩和的离差平方和:S=∑(Rj-Rj)2=∑Rj2-(1/m)(∑Rj)2。W值越接近1,则表示专家的评分越一致,差异性越小。
3.3 元评估程序。根据丹尼尔・L・斯塔弗尔比姆(Daniel L. Stufflebeam)后设评估的十个步骤[15],结合档案安全风险元评估的实际情况,元评估可以按照以下程序开展:(1)建立一个合格的元评估小组;(2)决议元评估的判断标准;(3)收集和检视适当可用的信息;(4)必要时收集新信息,包括实地访谈、观察及问卷调查等;(5)分析定性和定量信息,并判断评估符合所选定评估标准的程度;(6)形成元评估报告;(7)解释及应用元评估结果。
4 搞好档案安全风险评估元评估的几点建议
安全风险评估方法范文6
来自矿产业运营活动的环境风险及其对环境和地方社区的潜在影响可能对矿产企业产生诸多影响,例如:影响社区人群的健康、公众不满导致声誉受损、矿区关闭和复原导致成本消耗、矿区关闭后持续的遗留风险。为此,澳大利亚政府组织编写了《工业化学品环境风险评估指导手册》。该手册概括了针对工业化学品的最优环境风险评估方法,包括评估化学品所使用的信息、方法和工具。
同时,该指导手册为评估人员提供了风险评估所需的必要信息,包括:环境风险评估的一般概念和实施的步骤;评估数据的要求;对数据的充分性、适宜性和可靠性的评估方法;环境暴露的评估方法;环境效应的评估方法;具持久性的、生物累积性和有毒化学品的评估方法;以及如何确定环境风险的特征和环境风险管控措施等。
二、社区健康风险管理
社区健康风险通常与采矿或矿产加工过程中的大气、水或土地排放有关。在澳大利亚普遍存在社区健康问题的地方,矿业公司可能选择卫生资助计划或为偏远地区建设社区基础设施来改善社区人群和矿业公司员工的身体健康和福利,为社区和矿业公司都带来了益处。为系统评估环境危害所带来的健康风险,澳大利亚政府组织编写了《环境健康风险评估指南》,该指南提供了一种通用的环境健康风险评估方法,适用于各种环境健康危险,并明确了环境健康风险评估的具体步骤,尤其是在确定一般人群、小团体或个人所面临的风险时融入了毒理学、流行病学、暴露评估方法和剂量反应评估方法。
三、风险沟通管理
澳大利亚矿业公司普遍认为自身有责任与员工和公众就风险问题进行充分的沟通。有效的风险沟通是建立社区信任、增加社区对采矿和矿产加工风险的了解,以及使利益相关者能更好地了解可能受到采矿和矿产加工活动影响的重要方式。
风险沟通过程必须是双向的,也就是说,倾听和讨论同等重要,基于这种互动才能充分发挥风险沟通的作用。对于已识别的重大风险,为了进行有效的风险管理,选择必要的风险沟通方式尤为重要。这些沟通方式包括简单的员工会议、为了与大量内部和外部利益相关者交流而制定的风险沟通计划等。风险管理标准AS/NZS4360:2004要求在风险管理过程的每个阶段和整个过程中,与内部和外部利益相关者进行适当的沟通和协商,这些重要的沟通要素与整体的风险评估是密不可分的,对风险管理的全面性起到了非常关键的作用。
四、结束语
