時間:2023-08-12 09:15:47
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇風險評估方法論范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
1.1對社會穩定風險的認識亟待宏觀化
造成轉型期的我國社會紛爭頻發、重大多發的重要原因之一是:“維穩”觀念落后、風險意識淡薄、對社會穩定風險機理的認識不夠全面,政府決策與公共管理中的宏觀性、戰略性問題沒有系統加以認識和解決,全局意識和戰略思想匾乏,系統化、綜合性評估相對缺乏等等。現有社會穩定風險研究主要將社會穩定風險視為客觀存在,即存在于“那里”、獨立于人們頭腦和文化之外等待被測量的東西,強調風險的可計算性和可控性,努力解決對社會穩定風險進行準確評估計算的可行性問題,根據一個可度量的風險水平或對風險的客觀評估,實現按照風險對社會系統預期或建模的損害有效降低風險的目的。這種認識路徑無法給人們認識轉型期的社會穩定風險提供一個更宏觀、更綜合的框架。貝克認為,風險是一種應對現代化本身誘發并帶來的災難與不安全的系統方法。維爾達沃斯基把風險定義為一個群體對危險的認知。因此,風險在本質上有其客觀依據,但必然是通過社會過程形成的,總處于建構的過程中。社會穩定風險是經濟社會現代化轉型的產物,是一個多維度的社會現象,是基于孕育在社會組織特定形式中的原則而被定義、被感知、被管理的。不同文化和社會背景下,每一種社會生活形態都有自身特有的風險結構。面向涉及經濟、政治、技術、心理、管理、社會等方面諸多要素集成的宏觀性、整體性的社會穩定風險研究尚處于起步階段,社會學、政治學或公共管理學視角下的社會穩定風險研究的宏觀理論和方法更是處在空白狀態。而且,現有社會穩定風險研究,要么偏重于“維穩”工作的具體需要,存在理論研究受制于業務需要的問題;要么社會穩定風險研究成果難以獲得處在一線的政府工作部門的理解和應用,被束之高閣。以上問題的解決需要我們在借鑒國內外研究成果的基礎上,加強對我國市場化、工業化和城市化建設與社會穩定風險關系的理解,加強經濟增長和社會發展與社會穩定風險管理的關系的理解,努力揭示社會穩定風險與社會經濟轉型的緊密聯系,堅持可持續發展目標和科學發展思想,積極提出和構建社會穩定風險研究的宏觀理論和方法,宏觀地把握轉型期我國社會穩定風險管理工作所面臨的主要矛盾和科研需求。
1.2對社會穩定風險的評估亟待系統化
目前,社會穩定風險評估還不夠系統和規范,經驗性的粗放式的風險評估在實踐中較為普遍。在理論研究領域,由于技術風險分析已經發展了很多風險分析和評估的定性定量方法,并在金融、企業管理等微觀管理領域得到了廣泛的應用,也確實可以提供與行動的每種可能在邏輯上的或經驗上的知識,幫助決策者估計預期的危害。因此,許多研究者試圖將這一方法論體系運用于社會穩定風險的研究與應用之中。但是這些研究忽視了社會穩定風險系統與技術風險系統屬性、基本結構和功能等方面的本質區別,必然會引起諸多批評和質疑。這突出地表現:(1)在風險后果認定方面,社會活動活動和后果間的相互影響是非常復雜的,取決于風險的特征、個人、價值、社會以及文化等方面的因素,忽視社會過程中個人價值和偏好以及利益博弈,將帶來關于風險的爭論,導致對風險的認知偏差,從而加重風險的嚴重性.(2)主要反映的是現有的社會經濟管理的觀念、政策和體制下的社會穩定風險狀況和水平,不僅缺乏以社會經濟現代化轉型為背景的宏觀認知基礎,也缺乏對社會穩定風險結構躍遷的全面分析和整體把握。(3)系統工程方法在社會穩定風險研究領域的運用不夠合理,例如,社會穩定風險的認知不夠宏觀,缺乏結構性的認識;風險評估缺乏系統性、綜合性;風險的防范與調控缺乏系統性的思考和建設。更嚴重的是,有的研究還出現了一些知識性錯誤,比如,指標的相關性缺乏必要分析;指標權重求解方法,如判斷矩陣和特征值法等缺乏邏輯和心理學基礎的方法,仍然得到照搬照用。(4)簡單用概率和后果來衡量風險在損害認定方面排除了價值分歧和偏好,實際上是虛構的精確,因而也就失去了實質意義,社會穩定風險評估還應考慮包括公正、公平、靈活性或可恢復性等互補目標。因此,運用系統科學和風險管理等現代科學理論,系統全面地認識和把握社會穩定風險活動,不能停留在粗放的經驗性認識水平上,必須努力揭示轉型期的社會穩定風險系統的基本結構、要素和功能,以便選擇系統合理的評估指標,建立起系統合理的風險評估指標體系。
1.3對社會穩定風險的防范亟待戰略化
著名社會學家袁方指出:簡單化地理解社會穩定無疑也與社會穩定的地位十分不相稱,改革有具體的戰略體系和實施綱要,發展也有五年計劃,而穩定卻只停留在救火式的應急控制上,顯然是不適宜的。我們應當從整體戰略的高度提出帶有整體性和全局性的社會穩定思想,使社會各階層不僅在穩定壓倒一切下達成共識,而且在如何實現穩定的具體操作上通力合作。我國社會經濟轉型期的社會穩定風險防范問題首先是一個宏觀的戰略命題,并在經濟學本質上是屬于資源利用的問題,而絕非僅僅是一個資源配置的問題。所以,我們的確應當從整體戰略的高度相應提出一些帶有整體性和全局性的思考,從社會穩定風險系統的不穩定因子和時間屬性這一層面分析,防范社會轉型時期的宏觀危險性有必要轉變發展模式、利益格局和政府模式,優化社會穩定的結構性水平。為此,需要在思想、行動、組織、體制、機制、法制、政策等方面采用一系列宏觀風險管理的系統性措施和宏觀風險治理的整體性方略,對轉型期的社會穩定風險防范工作缺乏戰略思考,建立起適合轉型時期特點的社會穩定風險防范工作的基本思想和戰略管理體系,減少社會轉型過程的隨意性、盲目性、短缺性與不確定性,消除社會穩定與社會經濟發展要求之間不相協調的狀況和難以為繼的局面。因此,有必要探索并依據穩定風險宏觀認知和綜合評估的前沿研究,運用系統科學、風險管理和戰略管理理論,努力探索轉型期的社會穩定風險的基本防范策略,逐步形成適合轉型期特點的社會穩定風險防范的基本思想和戰略管理體系。另外,社會穩定風險研究的前沿需求是將風險的認知、評估和防范工作與現代化轉型這一基本現實緊密聯系起來,進而要求社會穩定風險研究的系統化、宏觀化和戰略化。這本質上是學術研究工作在不斷貼近現實的同時進一步科學化的過程,而科學技術的迅猛發展,比如,系統科學的興起,也為風險研究的科學化提供了現實可能。
2社會穩定風險評估理論基礎與方法的核心內容
研究社會穩定風險評估的方向性把握,梳理了穩定風險研究的基本線索、現實背景和科研需求,據此本文提出和確立社會穩定風險研究的宏觀化、系統化和戰略化的結構主義路線,其核心內容包括將社會穩定風險與現代化轉型緊密聯系起來,揭示系宏觀認知社會穩定風險的宏觀結構、基本要素、成因機理和躍遷方式;以社會穩定風險的宏觀認知,引入系統科學理論與方法,提出評估內容、體系和方法;從戰略層面上提出了防范策略,為提高我國維護社會穩定的綜合能力和整體水平提供科學依據。
2.1社會穩定風險的宏觀認知
在學術探索和業務實踐中,人們對社會穩定風險的研究工作還處在起步階段,難免存在一定的局限性。這主要表現在以下幾個方面:(1)對社會穩定風險系統的形成和存在機理缺乏認識,對轉型期的社會穩定風險系統的客觀存在缺乏認識,不能符合系統科學的目的性原則,缺乏客觀存在與主觀能動辨證統一的觀點。同時,對社會穩定風險系統的發展演變缺乏認識,對轉型期的社會穩定風險系統的基本活動及其原因缺乏認識和預防,對風險的系統、要素及其環境的整體關系缺乏認識。(2)對轉型期的社會穩定風險系統的基本構成和作用缺乏認識,不能符合系統科學的結構功能原則,比如,在不穩定因子方面,忽視現代化轉型對穩定風險的宏觀影響的分析;忽視社會經濟統計數據的有效運用在風險系統的孕育環境方面,不少學者在關注“維穩”力量這一主觀能動的因素的同時,卻忽視了從客觀層面上對社會系統的易損性進行分析研究,值得注意的是,許多研究者還經常將風險系統中不同子系統范疇的因素混在一起,模糊了社會穩定風險系統的基本結構和功能。(3)對風險的認知、評估和防范相互脫節,各自為營,不能符合系統科學的開放性和集成性原則。總之,運用現代系統科學,對社會穩定風險進行科學的系統分析,是社會穩定風險評估的基本內容,也為社會穩定風險管理提供科學的決策依據。
2.2社會穩定風險的系統化評估
系統化評估社會穩定風險,必須避免評估的形式化、庸俗化、片面化傾向,堅持以下幾個方面的宏觀要求和實踐準則,以符合社會穩定風險的戰略化防范的要求。(1)以社會穩定的戰略規劃為目標。評估風險是為經濟社會發展、風險戰略化防范服務的,不僅要服務于有形規劃,更要服務于概念規劃。社會穩定風險在根本上是一個可持續發展問題,是社會穩定領域的資源利用失衡的問題,不應該被局限于微觀的資源配置范疇。因此,以維護社會穩定為目標進行社會穩定風險的綜合評估,正是社會管理模式的探索和創新。(2)以轉型期的社會經濟現代化重構活動為起點。社會穩定風險的形成和變化正是社會經濟重構活動及其過程的直接反映。把城社會穩定風險的形成和演變過程與社會經濟重構活動有機地聯系起來,有助于強化社會穩定風險和現代化轉型之間的內在聯系,不僅是深入理解社會穩定風險的系統機制的一個新的起點,也是建立和實施社會穩定風險評估指標體系的新起點。(3)與時俱進,反映社會穩定風險的時代淵源和形勢特征。當前,中國進入了城市化的加速時期,工業化進程事實上進入了重化工業階段,市場化進入了社會主義市場經濟體制建設的攻堅和完善階段。人們在看到工業化、市場化和城市化的輝煌成就時,并不意識到這一切同時也是構成當前我國社會失穩的重要原因。正是以城市化、工業化和市場化為主流和動力的城市社會經濟領域的重大變革,促成了我國內部社會經濟的重構活動,并代表了轉型期的社會穩定風險的時代特征。這同樣需要在評估體系中加以揭示和反映。
2.3社會穩定風險的戰略化防范
當前,轉型期的我國社會穩定既有社會穩定有效需求不足的問題,也有社會穩定有效供給不足的問題,這需要結合具體領域的現代化建設水平加以具體分析。我國社會的生產力總體水平不高,現代化建設的宏偉目標尚待實現,進入后現代社會還需要一個相對漫長的建設過程。因此,當前許多社會穩定的宏觀工作主要面臨有效供給不足的問題,需要加以認知、評估和防范。
行政事業單位于2014年1月1日起全面實施《行政事業單位內部控制規范》,在今后的一段時間里,將是行政事業單位相關領導、部門、財會、審計的一個核心工作。風險評估在《規范》中第二章,是行政事業單位及時識別在管理服務活動中實現內部控制目標相關的風險,系統分析風險的影響程度和損失可能性,并合理確定風險的應對策略,用通俗的話解釋,就是梳理單位在工作流程中時容易出現問題的點,然后針對這些點制定相關制度,進行管理。
一、風險評估的重要性
目前我國行政事業單位對風險評估的重視還不充分,風險意識還不強。行政事業單位是掌握公共權利的重要機構,當行政事業單位行使公共權力不受制衡或監督時,一旦日常工作出現失誤或者違法,就會造成極大地損害。比如說前幾年在我國東南部某省份發生的貧困縣財政巨款轉澳門豪賭案件,就是一個典型案件。在當今媒體言論日益自由、網絡傳播迅速的大環境下,一旦出現內部控制案件,對政府的形象會造成極大地影響,甚至引發各種社會和政治風險。如果說,發生在企業的內部控制案件造成的最主要損失是經濟損失,那么行政事業單位內部控制風險案件在經濟損失之外還造成了巨大的社會和政治損失,因此我們必須對行政事業單位的風險評估加以重視。
二、風險評估程序
前面介紹風險評估的定義,比較抽象,不太容易理解,以下結合行政事業單位實際,具體分析風險評估程序在行政事業單位的運用及特點。風險評估程序一共包括四個部分,設定目標、找出實現目標的風險、評估風險、最后管理風險。
(一)設定內部控制目標
設定內部控制目標,先要進行工作流程的梳理,以某縣財政局的經濟建設股為例,這個股的工作內容是分管上級撥付用于病險水庫、農田改造等支農項目的專項資金。在這個工作內容中,主要涉及兩個工作流程,項目資金管理和項目資金會計核算,其中項目資金管理這一流程中,有項目申報、資金批復、項目前期管理、撥付啟動資金、撥付進度資金和項目竣工管理等業務節點。在撥付進度資金這一環節,確保項目進度資金按照真實的項目進度撥付,就是項目資金管理這個流程中的一個目標。 不同行政事業單位的內部控制目標是不一樣的。在實際工作中要認真進行目標識別,把風險評估的第一步做好,才能繼續后面的找出實現目標的風險、分析風險和管理風險。
(二)找出實現目標的風險
風險評估的第一步做好后,接下來思考哪些事情可能會對內部控制的目標實現產生影響?這些事情,把它稱為風險事項。以某縣財政局經濟建設股為例來分析如何找出實現目標的風險。該股室涉及的工作流程,即項目資金管理和項目資金會計核算。在項目資金會計核算這個工作流程中,有整理原始憑證、審核原始憑證、編制記賬憑證、審核記賬憑證、登記賬簿、對賬、編制財務報告、整理歸擋等業務節點。其中一個業務節點是對賬,這個業務節點的目標是確保賬證相符、帳帳相符、帳表相符。這個內部控制目標的實現,面臨哪些風險事項呢?第一個風險事項:是否及時查出和更正對賬過程中發現的未達賬項;第二個風險事項:專戶之間資金撥付是否串戶。這樣就識別出了關于“確保賬證相符、張張相符、帳表相符”這個控制目標的風險事項。
(三)評估風險
評估風險是在風險識別的基礎上對風險發生的可能性及其影響程度等進行分析判斷,以確定風險重要性水平的過程。方法采用定性與定量相結合,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序,確定關注重點和優先控制的風險。應當充分吸收專業人員,組成風險分析團隊,按照嚴格規范的程序開展工作,確保風險分析結果的準確性。行政事業單位的工作內容和特點決定了,在進行風險評價時,很難把業務完全交給第三方中介機構。
(四)管理風險
管理風險也稱風險應對策略,風險應對策略有四種。舉例說明,某人辦了個農場,租一千畝地。那么這個人面臨什么風險呢,首先是天氣,如果天氣不太好,就要陪錢。第二種風險,農場雇了許多工人,但這些工人突然家里有事、辭職、身體不好等各種原因,在農忙的時候都不能上班,農作物就會壞在地里。這個人為了降低這些風險,想了幾個辦法。首先,他到期貨市場買了個對沖天氣的期貨合約。然后到保險公司為員工的盡職敬業投了一個保險。最后制定了個制度,工資分為績效和基本工資,平時每個月只發基本工資,等農忙結束,農作物全部賣出去了,才把一年的績效工資發給工人。這三件事就是風險管理的方法,對沖和投保叫做風險轉移。工資改革叫做降低風險。當然,他還有另外兩種方法,一種是不種地了,這叫風險規避。還有一種就是隨他去吧,能怎么樣就怎么樣吧,這叫接受風險。企業在風險應對策略上任選一種都可以,行政事業單位由于本身的工作特點和控制目標的不同,在風險應對策略上具有特殊性及限制性,比如:財政部門在管理國家專項資金時,認為風險高,干脆不做這件事情,可能嗎?在評估關系到公共服務與民生項目時,行政事業單位不能因為風險高就規避風險而拒絕實施。所以在風險對策上,行政事業單位的選擇比一般組織難度更高。
三、完善與強化控制方法
在《規范》中,無論是單位層面還是業務層面的風險評估,都要根據內部控制風險評估的結果,依據風險應對的策略采取各種控制方法實施內部控制。具體控制方法的選擇應當根據實施內部控制的組織特點決定。
(一)不相容崗位分離控制
建立不相容崗位控制,就是在合理設置業務流程,明確崗位職責權限的基礎上,對不相容職務實行崗位分離。比如負責支付審批的崗位是財務科科長,負責完成支付的可能是出納,這兩個崗位就是不相容崗位。不相容崗位分離制度建立的基本原則是:授權批準職務與業務經辦職務分離;業務經辦職務與稽核檢查職務分離;業務經辦職務與會計記錄職務分離;稽核檢查與會計記錄職務分離;業務經辦職務與財產保管職務分離。
(二)內部授權審批控制
行政事業單位的組織結構一般是層級制,權力一般是從高級到低級,比如市一級的交通運輸局,權利一般是局長總把關各項業務,各副局長分管各個專業科室,科長負責本科室的工作,權利的分配呈現出“金子塔”型的特征,權力分配產生了授權,各崗位在處理經濟業務時必須經過授權批準,以便進行內部控制。
(三)預算控制
預算控制是經濟活動內部控制的重要手段。近年來,行政事業單位的預算控制也得到了極大地提高。例如國庫集中收付制度改革,通過十多年的推行,國庫集中收付制度已經成為我國預算管理的基本制度,國庫集中支付則加強了預算控制,極大地提高了經濟活動控制能力。現實中,行政事業單位的預算控制往往存在漏洞,特別是在編制和執行階段,往往存在預算編制時超出政府投資能力和執行超預算的現象,這種由預算約束弱化造成的經濟責任風險,已成為當前財務風險防范中的重中之重。
(四)財產保護控制
資產實物控制的目的是保證資產實物安全與完整。部分行政事業單位存在不同程度的對財產保護控制的不重視,例如某個縣級單位的一臺新車價值十幾萬元,此車使用不到一年,因車發生交通事故大修了,大修后感覺不太好用,僅作價幾萬元就處置了。建立定期財產清查制度;根據經濟活動規模和性質的變化作出投保決策;建立監控控制;對資產增加變動進行及時記錄;建立定期對賬制度和應收賬款催收制度,進行賬齡分析,采取催款措施,盡快縮短回收賬款時間。
(五)會計系統控制
根據財政部的要求,行政事業單位應當依法設置會計機構,配備會計從業人員,加強會計基礎工作。大中型行政事業單位應當設置總會計師,設置總會計師的單位不得設置與其職權重疊的副職。
(六)單據控制
單據控制的要點在于確定經濟活動涉及哪些表單和票據,再對這些單據進行控制。內部控制不健全的單位往往存在單據控制問題,比如,入庫以后才發現沒有入庫單等,支出以后找發票甚至買假發票來做賬。單據控制的要點就是找出需要哪些單據,然后嚴格按照規定填制、審核、歸檔、報關單據。
(七)歸口管理
行政事業單位以職能管理為主,業務條塊分割明顯,經濟活動散布在各個業務條塊中,歸口,就是歸屬于哪個部門或是哪個體系管理,與教育相關的部委就說成是教育口,因此,該管的一定要按責任劃分管好,不要缺位;不該管的不要亂插手、亂干預,不要錯位;超出責任權限范圍的,不能亂審批、不要越位。
(八)信息內部公開
信息內部公開也是健全經濟活動內部控制的重要手段。應根據單位的實際情況,確定什么可以公開以及怎么公開。
總之,完善行政事業單位內部控制建設,進一步增強風險評估意識,強化各種控制方法,有利于打造廉潔高效的政府,促進社會各項事業健康快速地發展。
關鍵詞:風險 共振 集合
風險評估概述
(一)風險概述
風險的定義。一些學者把風險定義為損害發生的可能性。與上述意見不同,另外一些經濟學家把風險定義為損失發生的不確定性,還有一種意見,把風險定義為預期與實際結果的偏離。在本文中,將風險定義為對企業的生存、發展造成損害的可能性,對其控制不當的結果是預期與實際結果的偏離。
風險的分類。風險按其來源分類,可以分為來自企業內部的風險和來自企業外部的風險,簡稱為內部風險和外部風險。內部與外部的劃分,是以企業為界限的。
內部風險。內部風險是指來源于企業系統內部的會對企業的生存、發展造成損害的可能性,如果對內部風險控制不當,會造成企業運行結果與預期目標的偏離。
外部風險。外部風險是指來源于企業系統之外的宏觀市場環境中會對企業的生存、發展造成損害的可能性,即宏觀環境風險。雖然這些風險發生于企業系統之外,但仍然會對企業產生影響,如果沒有及時地發現和應對這些風險,仍然會造成企業目標的偏離。
(二)風險評估
風險評估是對影響企業目標實現的現有的和潛在的風險進行識別和度量并進行評價的過程。廣義的風險評估涵蓋風險管理的各個要素,而狹義的風險評估僅指對風險的識別和度量。本文所指的風險評估是指狹義的風險評估,即僅包括風險識別、風險衡量和風險評價,重點關注導致風險發生的潛在風險因素、風險發生的可能性大小和風險發生后對企業的影響程度。
基于共振理論的風險評估方法的提出
(一)共振理論的啟示
共振理論概述。共振理論是指兩個或兩個以上的物體具有相同的振動頻率,一個物體振動會引起另一個物體的振動,并且在共振情況下的振幅要比單個物體自己振動的振幅要大。由此可見,共振發生的條件是頻率相同。共振具有傳遞性,一個本來靜止的物體,可以由另一個物體的振動引起自己的振動。而共振的結果很重要,它的振幅要比單個物體自己振動的振幅要大,具有更強的破壞性。
用共振理論解釋企業風險的爆發。本文把企業內、外部的各種風險都進行細分為單個的風險因素,對于各風險因素來講,其頻率就是導致風險因素爆發的根本原因,那么包含了所有內部風險因素頻率的集合將其定義為內部風險頻率集。同理,將包含了所有宏觀環境風險因素的頻率的集合稱為宏觀環境風險頻率集。再對這兩個集合求交集,即得出風險頻率交集,在這個集合中的頻率就是將會發生共振的頻率。
基于共振理論的定義,在這個交集中的頻率是內、外部風險共有振動頻率,滿足共振的基本條件。而共振具有傳遞性,本來在企業中處于靜止狀態的內部風險因素,可能由于宏觀環境中風險的振動而隨之振動起來,使企業的風險加劇。特別值得關注的是,內、外部風險因素共振造成的破壞力要遠大于其單個振動時的破壞力,所以具有這樣頻率的風險因素是需要重點關注的。
這就可以解釋為什么市場環境不好時,失敗的企業數量大幅上升,就是因為宏觀環境風險頻率集變大,與內部風險頻率集發生共振的機會就大,而共振產生的破壞力強,一旦超過了企業的承受能力,企業便會走向失敗。通過這一理論也可以解釋企業的成敗是內外部共同作用的結果,如果內部控制系統完美,宏觀環境風險沒有作用的切入點,那么再壞的環境也不會影響企業。但是,企業沒有靜止的,只要運動就會伴隨著風險。為了更好地應對風險,就要求企業做好風險評估工作。
(二)基于共振理論的風險評估方法概述
1.現有的風險評估方法的缺陷,表現為:
沒有系統的評估方法。目前,風險評估的方法雖然多種多樣,但其著眼點僅是風險評估中的某一個具體環節,并沒有形成完整、系統的評估體系,各個環節各自為戰嚴重地削弱了評估方法的系統性。
忽視外部因素的影響。現在的評估方法,幾乎將全部評估重點都放在企業內部因素上,即使有涉及到外部環境因素的,也只是賦予少部分的權重,沒有考慮內外因的相互關系。外因是通過內因起作用的,所以不僅要考慮到外部環境因素的作用,也要研究它和內部因素的相互作用關系。
2.基于共振理論的風險評估方法。針對現有風險評估方法的不足之處,本文提出基于共振理論的風險評估方法,力求形成一套貫穿風險識別、風險衡量和風險評價的完整的風險評估體系,并在重視內部因素的同時,考慮外部環境因素的影響。通過分析外部環境因素與內部因素的相互作用關系,對內部風險因素進行修正。通過共振矩陣系統的反映風險評估的各個環節。在重視內部風險的同時,通過共振系數和相關系數顯示出環境對于企業的影響作用,力求使評估結果更加準確和切合實際。
基于共振理論的評估方法的具體操作
(一)識別內、外部風險
企業內部風險及其識別。企業內部風險是指來自于企業內部的,由于經營不善或者管理疏漏而形成的風險。它是企業風險的直接來源。企業內部風險由于產生于企業內部,所以企業具有主動權,能夠對這類風險施加控制和影響。主要包括營運風險、組織風險、財務風險、人事風險、信息系統風險等。
企業可以以現有的風險清單為基礎,從中找出企業中存在的風險因素,但這只有標準化的風險因素。而每個企業都有自己特定的內部環境,許多特有風險因素沒有出現在風險清單里。針對這些特有風險,可以運用控制自我評估的方法將其識別出來,以使企業的風險識別工作更加全面。
宏觀環境風險及其識別。企業宏觀環境,是指那些會給企業帶來市場機會或環境威脅的主要社會力量,直接或間接地影響企業的管理。主要包括政治和法律環境、經濟環境、科技環境、社會文化環境及自然環境等。宏觀環境風險就是在這些環境中存在的對企業構成威協的風險。
在對宏觀環境風險進行識別時,可以借鑒戰略管理中的PETS分析法并結合企業實際按照政治和法律環境風險、經濟環境風險、科技環境風險、社會文化環境風險和其他環境風險進行識別。
(二)構建共振矩陣
首先將整個風險系統分為內部風險系統和宏觀環境風險系統,將內部風險系統再向下細分為若干個風險子系統,如營運風險子系統、信息風險子系統、銷售風險子系統等。進一步把風險子系統再細分為具體的內部風險因素,記作Ii(i=1,2,3…)。同理,讓宏觀環境風險系統細分為若干個風險子系統,如政治環境風險子系統、經濟環境風險子系統、科技環境風險子系統等,再將各風險子系統中的宏觀環境風險因素識別出來,記作Oj(j=1,2,3…)。在此基礎之上,構建共振矩陣(如圖1)。
共振矩陣是用于列示企業的所有內、外部風險因素的矩陣,其橫坐標為內部風險因素,縱坐標為宏觀環境風險因素。這樣矩陣中各交叉點顯示的都是內外部風險的相互作用系數,即后述的共振系數和相關系數。風險矩陣的最大優點在于可以把任何一對內外部風險因素結合起來,評估其相互作用關系,也就是將內外部風險統籌考慮。
(三)進行風險衡量
衡量風險因素的變異程度。本文使用變異程度測定的方法,用變異系數衡量指標的偏離程度。值得注意的是,有一些風險因素是指標形式的,便于量化考核。但有一些指標是定性的,難于量化,這時可以使用專家打分的方法,將這些風險因素量化。變異系數的計算公式為:
其中,V是風險因素的變異系數,用于衡量風險因素與預期指標的偏離程度;S是該風險因素的標準差;X是期望值,在這里可以使用企業的理想指標作為期望,這樣計算出的變異系數即是實際與預期的偏離程度,也是風險爆發后的結果。
計算共振系數。如前文所述,那些具有出現在風險頻率交集中的頻率的風險因素是重點要關注的風險因素。由于共振的破壞力遠大于單個風險因素振動時造成的影響,所以那些內外部共振的風險因素的變異系數要以乘數倍增加,這個乘數稱之為“共振系數”,記作Gij。但是,在物理學上尚沒有計算共振產生的振幅的計算方法,通常都是通過測量得出。之于風險評估工作來說就要依據行業和企業歷史數據,利用風險評估人員的經驗和個人素質進行評估,估算出一個共振系數,但可以肯定的是共振系數一定大于1。
計算相關系數。相關系數是用于說明兩個風險因素間相互作用關系的系數,它的取值范圍為[-1,1]。取值為正說明內外部風險正相關,即宏觀環境對內部風險因素有放大作用;反之,取值為負,說明內外部風險負相關,即宏觀環境對內部風險因素有抵銷作用。
(四)風險評價
在進行風險評價環節,首先將所權重分配給各風險子系統,即Wi使之和為1,再在各風險子系統內進行分配權重,分配至各風險因素,即wi,風險子系統內的權重之和也為1,并在風險矩陣中注明。之后,將在風險衡量環節得出的變異系數Vi填入風險矩陣,wi與Vi的乘積即為沒有進行修正時的評價結果。但這是不準確的,接下來對這一結果進行修正。所有的相關系數有正有負,其取值范圍為[-1,1]。若計算出的相關系數為負數,即表明宏觀環境對內部風險因素有彌補作用,則用變異系數Vi乘上(1+相關系數);反之,如果相關系數為正且不為1時,說明宏觀環境對內部風險因素有擴大作用,也用變異系數Vi乘以(1+變異系數);而當相關系數為1時,即產生了共振效應,為了與之區別,用共振系數Gij表示。而Gij的取值大于2,其具體數值由評估人員估計產生。由此,可以推出Vi'=[∑(1+Rij)+∑Gij]Vi。最后,得到最終評價結果∑wiVi'。這個結果數值越大,說明與預期偏離越遠,說明企業的風險越大;反之,數值越小,說明越與預期值相符,企業面臨的風險越小。
參考文獻:
1.劉鈞.風險管理概論.清華大學出版社,2008
2.James Roth,Ph.D. 鄭桓圭譯.最佳內部控制評估實務―自我評估與風險評估.中國內部審計協會,1999
3.徐二明.企業戰略管理.中國經濟出版社,2006
0、引言 簡歷大全 /html/jianli/
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。/
1、風險管理的主要內容 作文 /zuowen/
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。//zuowen/
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。/
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(quantitative risk assessment—qra)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。/
2、風險管理的組織實施與基本流程 畢業論文
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。//html/jianli/
3、電力企業定量風險評估(qra) 開題報告 /html/lunwenzhidao/kaitibaogao/
電力企業qra的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業qra對企業的作用主要體現在:通過qra有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展qra可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行qra,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施qra具有現實意義。//sixianghuibao/
3.1 電力企業qha的基本框架模式
電力企業qra是指在工業系統qra的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業qra的基本框架模式。在具體實施時,允許依實際情況而有所改變。//zuowen/
3.2 電力企業qra的主要工作內容 簡歷大全 /html/jianli/
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定qra實現目標和實施條件等。//sixianghuibao/
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(hzops)、故障模式與影響分析(fmea)、故障模式影響及危急分析(fmeca)、故障樹分析(eta)、事故樹分析(eta)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。/
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。/
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。/
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為qra的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。/
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。//html/lunwenzhidao/kaitibaogao/
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。/
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(alarp)原則。alarp原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人alarp區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。/
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。alarp原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。//sixianghuibao/
3.3 電力企業qra常用方法 作文 /zuowen/
關鍵詞:電力企業,風險管理,定量風險評估
0、引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
1、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(Quantitative Risk Assessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。
2、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
3、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1 電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2 電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。
轉貼于
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。轉載于范文中國網 。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3 電力企業QRA常用方法
〔摘 要〕針對信息系統安全風險評估的準確性問題,提出一種熵權理論與模糊集理論相結合的信息系統安全風險評估方法。該方法通過模糊集理論對信息系統所涉及的風險因素進行分析,構造各因素所對應評判集的隸屬度矩陣;然后采用熵權系數法確定風險因素權重以減少主觀偏差并輸出信息系統安全風險等級。通過實例分析,證明該方法能較準確地量化評估信息系統風險,是一種有效、可行的評估方法。
〔關鍵詞〕熵權;信息系統;風險評估;模糊集合;指標權重
信息系統作為國家信息化建設的重要組成部分,其安全問題涉及國家和信息系統用戶的根本利益,然而就在整個信息化程度日益加深、技術進步為大家帶來驚喜的同時,信息系統所面臨的安全風險和威脅亦日趨嚴重。為保障信息系統安全與正常運行,則須找出可能導致其癱瘓的重大缺陷,而解決該問題的有效途徑之一則是對其進行安全風險評估。綜合國內外研究文獻來看,信息系統風險評估主要依靠層次分析法、模糊綜合評判法、BP神經網絡法、灰色綜合評價法和矩陣分析法等多種方法,目前已取得了一些研究成果[1-4]。信息系統的安全風險評估涉及資產識別、威脅識別、脆弱性識別、風險識別和風險大小的量化等,工作極富艱巨性。其中,風險的量化是非常重要的環節,直接關系到對風險狀況的正確認識、安全投入的多少和安全措施部署的優先順序[5]。由于信息系統風險包含大量模糊的、不確定性的影響因素且相互關聯,相應信息不完全,使得運用傳統方法評估其安全風險存在很大困難,極易降低評估的準確性。因此,針對該問題,在已有的多種評估方法基礎上結合信息論中的熵權理論來對信息系統安全問題進行新視角的定量分析[6]。
1 信息系統安全風險評估基礎信息系統的安全風險是客觀存在的,其源自自然或人為的威脅利用信息系統存在的脆弱性造成安全事件的發生。風險評估的目的是運用科學的方法和手段系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提供有針對性的、有效的防護對策和整改措施[7]。根據BS7799標準[8]定義,風險是指威脅主體利用資產的脆弱性對其造成損失或破壞的可能性。信息安全風險R被表示為資產、威脅和脆弱性的函數,即R=g(a,t,v),其中:a為資產影響;t為對系統的威脅頻度;v為脆弱性嚴重程度。GB/T20984-2007將資產影響、威脅頻度、脆弱性嚴重程度均定義為5個等級[9],具體表述為:很高、高、中、低、很低。
1基于層次結構的風險評估模型
1.1 基于層次結構的風險評估基本概念
基于層次結構的風險評估模型,評估方法為層次分析法。層次分析方法是一種定性和定量分析相結合的評估方法。層次分析法的關鍵是:將一些定性但不易量化的因素進行量化,從在評判與決策過程中有量化的參考依據。層次分析法對信息系統進行分層次、擬定量、規范化處理。主要步驟如下:
①建立層次結構模型。
②構造判斷矩陣。
③數學計算。
④層次總排序。
1.2建立層次結構風險評估模型
本文采用ISO17799國際標準作為風險的分類標準。ISO17799規定了用于組織實施信息安全的管理體制,以信息管理體制為指導依據對信息系統對象進行分解,找出主要因素。ISO17799由10個控制主題組成,每個主題又由幾個子類組成,子類中又規定了安全要素,以下給出了10個控制主題[4]。
①信息安全方針。
②企業組織安全。
③資產的分類和控制。
④人為因素的安全防范。
⑤實體和環境安全。
⑥通訊和操作管理。
⑦訪問控制。
⑧系統開發和維護。
⑨商業連續性管理。
⑩符合性。
1.3基于層次結構的風險評估模型在制造業企業中的基本運用
制造業企業通常組織機構龐大,流程較為復雜。并且所涉及的風險的種類較也為復雜。有效的識別風險,歸類風險,評估風險對于制造業企業的風險管理有著至關重要的作用。而層次結構的風險評估模型由于采用層次結構設計,并非簡單地將信息系統分解成各個層次,層次間存在著緊密的聯系,且每個層次的評估結果也直接影響到上下層次的評估。同時在風險評估的過程中考慮了人為因素在內的安全評估綜合方法,采用了ISO17799國際標準作為風險的分類標準,并充分考慮各個安全因素之間的相互影響,引入關系矩陣,以多層分析的模糊邏輯為模型,實現了風險評估綜合決策。采用三層結構將復雜的關系分解為由局部簡單關系構成的遞增層次結構關系。
基于層次結構的風險評估的一般步驟:
①確定評估因素集。
根據ISO17799的規定,將因素集U分為子集,再將每個子集Ui 根據安全風險評估的要求分成若干子集Ui.j即{Ui.0,Ui.1,…Ui..m},再將每個子集Ui.j,分成若干因素,Ui.j.k,。
②判斷矩陣及權重。
采用了3級層次評估的方式,并將前一級的評估結果作為下一級的評估輸入。
③評價集。
設V(v0,v1,v2,v3,v4)為評價集,它們分別代表“很低”、“較低”、“中等”、“較高”、“很高”,它們由低到高表示了要素5系統的安全程度。 并對這7種準則按取0或1分別打分再求和得到評價分值。
④模糊判斷。
采用3級模糊評估方式,運用關系矩陣,確定隸屬度,最后選取隸屬度最大者所對應得評價集元素作為對系統得綜合評估結果,其結果是“很低”、“較低”、“中等”、“較高”、“很高”中的任何一個。
2COSO的ERM框架模型
2.1COSO的ERM概況介紹
COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越來越廣泛應用于美國及加拿大企業,但是該框架不具有實踐性,沒有基于企業流程,并且在執行中富有挑戰性。許多公司基于現有的COSO以及一個被稱為澳大利亞/新西蘭的標準來建立自己的ERM構架。澳大利亞/新西蘭標準為建立和執行風險管理程序提供了一般指引.模型代表一種邏輯和系統方法論,應用于建立風險定義、分析、評估、應對、溝通和實時監控環節.該模型是可重復進行的,能應用于公司、業務單元、服務機構及項目層面的風險管理活動。重復管理程序的時間可根據進度表決定 (如每年進行戰略風險評估),或者根據事件來決定(如外部事件、標明超過風險門檻水平的報告、或被提議的項目)。
2.2COSO的ERM模型在制造業企業中的運用
2.2.1 ERM模型介紹
①ERM 模型: 建立風險評估基礎
②ERM模型:識別風險和風險因素
③ERM模型:分析風險
④ERM模型:整合風險
⑤ERM 模型:評估風險
⑥ERM 模型:應對風險
2.2.2ERM模型在制造業中的運用
中國某鋼鐵公司是我國勘察計行業的龍頭企業,擁有巨額的注冊資本,公司經營范圍廣泛涉及冶金、建筑、房地產、市政、環境等領域的技術咨詢、工程設計、工程總承包、工程監理以及相關設備成套。
對于鋼鐵企業來說,保守商業秘密就是一個必須重視的重要環節。從最基本的層次來說,諸如企業成本核算與控制、核心設計圖紙、報價體系、集成商和商的利潤激勵體制、新的投資和擴張計劃等等,都制約和決定著企業的競爭優勢。正是高瞻遠矚地意識到了企業關鍵數據的重要意義,這家鋼鐵公司開始加強對這些核心數據的管理和科學保護。這家公司選擇的是ERM體系。該公司對國內外的多家信息安全產品進行了全方位的嚴格測試,廣泛涉及復雜網絡環境應用測試、業務系統的兼容性評估、系統穩定性以及易用性考察,最終選擇ERM整體解決方案因為ERM系統的高加密強度、穩定性、易用性以及可靠的系統平臺能夠降低信息安全管理風險,深化了企業的執行和管理力度。
ERM系統通過精準細致的數據應用權限控制、人員級別管理以及內部信息共享行為的合法性控制,有效防止了機密數據信息被竊取、外泄和破壞,同時,ERM系統的革命性擴展能力也幫助企業極大地降低了安全體系的成本花費。
2.3制造業中ERM安全備份模塊
為了幫助企業保護其內部核心數據信息的完整性和安全性,提升企業重要文檔的抗破壞能力, ERM安全備份模塊顯得尤為重要。
2.3.1 ERM安全備份模塊主要功能
安全備份模塊主要功能
1 任意格式電子文檔(CAD、Office、PDF、JPG等)在編輯保存后均自動備份到備份服務器中;
2 所有備份文檔在傳輸、存儲和恢復過程中均以加密形式存在,有效杜絕了泄密和竊密的發生;
3 管理員通過策略可以任意指定所有機密文檔的備份路徑和備份模式(按版本備份、備份最后的版本),方便企業文檔管理;
4 用戶在離線工作模式下生成的文檔,將首先自動備份在本地硬盤中,有效避免了由于各種原因造成的企業機密數據信息的破壞;
5 數據恢復過程簡單、快捷。
2.3.2 ERM安全備份模塊主要優勢
①安全性。ERM安全備份模塊以高強度的數據加密技術為依托,對企業的核心數據信息進行實時備份。任意格式電子文檔(CAD、Office、PDF、JPG等)在新建后均自動備份到備份服務器中。并且所有備份文檔在傳輸、存儲和恢復過程中均以加密形式存在,有效杜絕了竊密、泄密和破壞事件的發生,充分確保了企業核心數據信息的完整性和安全性。
②穩定性。機密文件安全備份是整個信息安全管理過程中的重要一環,也是企業在面臨數據毀壞這種致命安全風險時的有力保護手段。為了幫助企業保證業務流程的連續性。
③靈活性。ERM安全備份模塊充分利用企業現有網絡和設備,為用戶定制了能夠全面滿足各種企業安全管理需求的備份模塊。對于需要實施文件備份的企業用戶,管理員可以通過策略靈活指定需要備份的文件源和文件類型。
3結語
文章提出了信息安全風險評估的兩種模型,基于層次結構的風險評估模型是建立在一種定量與定性結合的風險評估方法上,通過層次的模糊綜合評估來計算一個值,定義了值得范圍對應的"很低"、"較低"、"中等"、"較高"、"很高"來進行風險評估。針對相應的風險程度,寫改進的意見、如何改善完成整個風險評估的流程,制定風險防范措施,加強內部控制,提供解除風險的方法,減少因為相關的風險而面臨的問題。ERM法是針對企業的具體情況,設定單體風險檔案,通過對減值點相對應的相關風險進行描述,以問卷的形式請相關負責人員對其評分,來確定是"很高""高""中""低""很低",來確定風險。填寫一些緩解措施,來相應地采取措施,應對風險、解除風險。兩種模型都在制造業企業信息資產的風險評估中得到廣泛運用。
參考文獻:
[1]中國信息安全組織論壇[DB/OL].infosecurity.org.cn/forum/,2009-07-20.
[2]孫強,陳偉,王東紅.信息安全管理——全球最佳實務與實施指南[M].北京:清華大學出版社,2004.
[3]潘宏偉.基于模糊層次分析法的信息安全風險評估研究[D].南京:南京師范大學,2007.
[4] 朱巖,楊永田,張玉清,等.基于層次結構的信息安全評估模型研究[J].計算機工程與應用,2006,(6):40-43.
[5] 黃勤,張月琴,劉益良.信息安全風險模塊化層次評估方法研究[J].計算機科學,2007,(10):309-311.
[6] 楊繼華,許春香.信息安全多層次綜合量化評價模型研究[J].情報,2006,(9):64-66.
[7] 劉楠.信息系統規劃階段風險評估模型[D].哈爾濱:哈爾濱工業大學,2006.
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-2374(2011)30-0034-02
一、項目背景
電力工業是國民經濟的支柱產業,電力工業的安全問題直接關系到各行各業的發展和人民的生活水平,關系到國家安全和社會穩定。當前流行的信息技術的廣泛應用大大改變了電力企業傳統的經營管理模式和手段,支撐著電力生產、營銷和管理的全過程。如何有效保障信息安全,從而保證整個電力企業的生產安全,成為電力行業目前積極探索的新課題。
在這個大環境下,玉溪供電局作為云南電網的改革試點單位,大力進行改革創新,引入國際信息安全管理標準ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。
二、ISO/IEC 27001簡介
ISO/IEC 27001是有關信息安全管理的國際標準。最初源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織(ISO)轉化為正式的國際標準,于2005年10月15日為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施,保障組織的信息安全。標準的要求主要包括11個安全控制域、39個安全控制目標和133項安全控制措施。標準采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術―安全技術―信息安全管理體系―要求》。
三、項目實施方法論
玉溪供電局在整個信息安全體系建設過程中,根據安全風險是相對的和動態的基本概念,遵循P(Plan 計劃)-D(Do 實施)-C(Check 檢查)-A(Act 持續改進)的方法論,見下圖:
四、項目實施中若干重要環節
標準中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實際情況,能夠順利推行和實施的信息安全管理體系是非常具有挑戰性的。局項目組成員與上海天帷公司的同事一起積極探索,緊密結合局信息安全建設的現狀和要求,認為資產識別、風險評估、文件編制、運行實施、審核等是整個過程的重要環節。
(一)資產識別
資產識別是信息安全管理工作的重要步驟和基礎,信息安全就是要保證信息和資產的安全。所謂資產識別就是要識別ISMS管理范圍內的信息資產以及這些資產的所有者,形成資產清單。玉溪供電局在資產識別中把資產分為5類:文檔和數據、軟件和系統、硬件和設施、人力資源、其他等。
(二)風險評估
風險評估是信息安全工作的一個重要步驟,通過風險評估,找到組織在信息安全方面的差距,才能有針對性的制定相應的策略和改進措施。
通過風險評估,形成《風險評估表》、《風險評估報告》、《風險處置計劃》等。為了保證風險評估結果的客觀性和可操作性,建立了一個定量的風險評估方法論。
風險值=威脅發生可能性×影響程度等級×現有控制措施有效性賦值。通過制定風險等級劃分標準來確定風險等級。將等級劃分為五級,等級越高,風險越高。
對于不可接受風險的確定和處理要慎重,不要一味的將所有的風險都歸為不可接受風險,要時刻牢記風險的處理是要付出成本的,所以需要綜合考慮風險控制成本與風險造成的影響來制定風險的可接受準則。風險的處置有4種方式:規避風險、降低風險、轉移風險、接受風險。對于不可接受風險應根據選擇的風險處理方式控制殘余風險。
(三)文件編制
為了響應云南電網公司的一體化管理制度,在信息安全建設中將針對信息安全標準ISO/IEC 27001要求的文件進行統一整理,對原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個安全領域的要求。
另外,為了使新版的《信息安全管理辦法》能夠更好的落地執行,在信息安全體系建設過程中,制定了60多個操作性很強的記錄表格表單,以輔助各部門能夠更好的執行信息安全體系的要求,比如:《機房巡檢記錄表》、《防范病毒管理表》、《重要應用系統權限評審表》等。
(四)運行實施
我局在信息安全體系運行實施的過程中采取了多種措施來促進體系的落地工作,比如進行信息安全意識和知識培訓,張貼宣傳海報,在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進行模擬審核和安全工作檢查等,真正做到了全員參與。
同時我局還建立了暢通的意見反饋機制,任何人對當前的信息安全體系有意見和建議,都可以通過局OA系統提交。信息運營中心會對所有提交的建議進行整理和歸納,以發現改進的機會,真正實現了PDCA循環,使局的信息安全管理工作持續改進和螺旋式上升。
五、項目實施經驗和注意事項
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實際情況的信息安全管理體系,經歷了資產識別、風險評估、體系建設和實施、內審和審核,最后取得了認證證書。在這個過程當中,總結了一些實施的經驗和注意事項。
(一)領導重視
信息安全管理工作是一項牽扯到局各部門的工作,需要投入相應的人力、物力和財力,所以必須有局領導的大力支持,才能順利的進行和更好的實施。
(二)全員參與
安全不是某一個部門或者某一個人的事情,而是關乎全局所有部門。需要各個部門的共同努力和協調一致的工作,才能保證真正意義上的信息安全,任何一個部門出了問題都將對局信息安全構成威脅。
(三)持續改進
信息安全工作不是一朝一夕的事情,需要持續改進和不斷完善。而且風險也是動態的,為了保證信息安全和控制風險始終在可接受的范圍內,信息安全工作應當是一件長期的工作。
(四)平衡原則
安全只是相對的,沒有絕對的安全,而且任何降低風險的措施都是需要一定的投資,可能是金錢的,也可能是人力資源的。所以一定要平衡投資和風險降低之間的關系,不要一味的為了降低風險而作一些不適當的投入。
六、結語
玉溪供電局通過ISO 27001的認證并獲得證書,不僅是對前期信息安全體系建設工作的充分肯定,而且對后續信息安全管理體系運行工作提出了新的更高的要求和目標。局信息運營中心要在局領導的正確領導和大力支持下,在以后局信息安全工作中,對現有體系進行持續改進,使本體系更加符合玉溪供電局的實際情況,為玉溪供電局的信息安全工作保駕
護航。
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038
[中圖分類號] F270.7; TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2014)01- 0074- 03
1 信息安全體系的重要性
隨著信息技術不斷發展,信息系統已經成為一種不可缺少的信息交換工具,企業對于信息資源的依賴程度也越來越大。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性等特點,再加上本身存在技術弱點和人為的疏忽,導致信息系統容易受到計算機病毒、黑客或惡意軟件的入侵,致使信息被破壞或竊取,使得信息系統比傳統的實物資產顯得更加脆弱。在這種大環境下,企業必須加強信息安全管理能力。但企業不單面臨著信息安全方面問題,同時還面臨經營合規方面的問題、系統可用性問題以及業務可持續問題等越來越多的問題。因此,要求我們探索建立一套完善的體系,來有效地保障信息系統的全面安全。
2 信息安全體系建設理論依據
信息安全管理體系(Information Security Management System, ISMS)是企業整體管理體系的一個部分,是企業在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。基于對業務風險的認識,ISMS包括建立、實施、操作、監視、復查、維護和改進信息安全等一系列的管理活動,并且表現為組織結構、策略方針、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。
在建設信息安全管理體系的方法上,ISO 27001標準為我們提供了指導性建議,即基于PDCA 的持續改進的管理模式。PDCA是一種通用的管理模式,適用于任何管理活動,體現了一種持續改進、維持平衡的思想,但具體到ISMS建立及認證項目上,就顯得不夠明確和細致,組織必須還要有一套切實可行的方法論,以符合項目過程實施的要求。在這方面,ISMS 實施及認證項目可以借鑒很多成熟的管理體系實施方法,比如IS0 9001,ISO/IEC 2700l, ISO/TS 16949 等,大致上說,這些管理體系都遵循所謂的PROC過程方法。
PROC 過程模型 (Preparation-Realization-Operation-Certification)是對PDCA 管理模式的一種細化,它更富有針對性和實效性,并且更貼近認證審核自身的特點。PROC模型如圖1所示。
3 信息安全體系建設過程
根據以往經驗,整個信息安全管理體系建設項目可劃分成5個階段,如果每項內容的活動都能很好地完成,最終就能建立起有效的ISMS,實現信息安全建設總體目標,最終通過ISO/IEC 27001認證。
調研階段: 對業務范圍內所有制度包括內部的管理規定或內控相關規定,對公司目前的管理狀況進行系統、全面的了解和分析。通過技術人員人工檢查和軟件檢測等方式對組織內部分關鍵網絡、服務器等設備進行抽樣漏洞掃描,并形成《漏洞掃描風險評估報告》。
資產識別與風險評估階段: 針對組織內部人員的實際情況,進行信息安全基礎知識的普及和培訓工作,讓每位員工對信息安全體系建設活動有充分的理解和認識。對內部所有相關信息安全資產進行全面梳理,并且按照ISO/IEC 27001相關的信息資產識別和風險評估的要求,完成《信息資產清單》、《信息資產風險評估表》和《風險評估報告》。
設計策劃階段:通過分組現場討論、領導訪談等多種方式對各業務部門涉及的信息安全相關內容進行細致研究和討論。針對現有信息安全問題和潛在信息安全風險建立有效的防范和檢查機制,并且形成有持續改進功能的信息安全監督審核管理制度,最終形成嚴格遵守ISO/IEC 27001認證審核標準的、符合組織業務發展需要的《信息安全管理體系文件》。體系對文件控制、記錄控制、內部審核管理、管理評審、糾正預防措施控制、信息安全交流管理、信息資產管理、人力資源安全管理、物理環境安全、通信與操作管理(包括:筆記本電腦管理、變更管理、補丁管理、第三方服務管理、防范病毒及惡意軟件管理、機房管理規定、介質管理規定、軟件管理規定、數據備份管理、系統監控管理規定、電子郵件管理規定、設備管理規定)、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務持續性控制、符合性相關程序進行全面界定和要求。
實施階段:項目小組要組織相關資源,依據風險評估結果選擇控制措施,為實施有效的風險處理做好計劃,管理者需要正式ISMS 體系并要求開始實施,通過普遍的培訓活動來推廣執行。 ISMS 建立起來(體系文件正式實施) 之后,要通過一定時間的試運行來檢驗其有效性和穩定性。在此階段,應該培訓專門人員,建立起內部審查機制,通過內部審計、管理評審和模擬認證,來檢查己建立的ISMS是否符合ISO/IEC 27001標準以及企業規范的要求。
認證階段:經過一定時間運行,ISMS 達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。
4 信息安全體系建立的意義
通過建立信息安全管理體系,我們對信息安全事件及風險有了較為清楚的認識,同時掌握了一些規避和處理信息安全風險的方法,更重要的是我們重新梳理了組織內信息安全體系范圍,明確了信息安全系統中人員相關職責,對維護范圍內的各信息系統進行了全面的風險評估,并且通過風險評估涉及的內容確定了具體的控制目標和控制方式,引入了持續改進的戴明環管理思想,保證了體系運轉的有效性。具體效果如下:
(1) 制定了信息安全方針和多層次的安全策略,為各項信息安全管理活動提供指引和支持。
(2) 通過信息風險評估挖掘了組織真實的信息安全需求。
加強了人員安全意識,建立了以預防為主的信息安全理念。
(3) 根據信息安全發展趨勢,建立了動態管理和持續改進的思想。
5 決定體系建立的重要因素
5.1 加強人員安全意識是推動體系實施的重要保障
信息安全體系在一個企業的成功建立并運行,需要整個企業從上到下的全體成員都有安全意識,并具備信息安全體系相關理論基礎,才能保障信息安全體系各項活動內容順利開展。為保證信息安全體系相關任務的執行人員能夠盡職盡責,組織要確定體系內人員的職責;給予相關人員適當的培訓,必要時,需要為特定任務招聘有經驗的人員;評估培訓效果。組織必須確保相關人員能夠意識到其所進行的信息安全活動的重要性,并且清楚各自在實現ISMS 目標過程中參與的方式。
ISMS 培訓工作應該分層次、分階段、循序漸進地進行。借助培訓,組織一方面可以向一般員工宣貫安全策略、提升其安全意識;另一方面,也可以向特定人員傳遞專業技能(例如風險評估方法、策略制定方法、安全操作技術等)。此外,面向管理人員的培訓,能夠提升組織整體的信息安全管理水平。通常來講,組織應該考慮實施的培訓內容包括:
(1) 信息安全意識培訓。在ISMS實施伊始或最終運行階段,組織可以為所有人員提供信息安全意識培訓,目的在于讓所有與ISMS 相關的人員都了解信息安全管理基本要領,理解信息安全策略,知道信息安全問題所在,掌握應對和解決問題的方法和途徑。
(2) 信息安全管理基礎培訓。在ISMS準備階段,組織可以向ISMS項目實施相關人員 (例如風險評估小組人員、各部門代表等)提供1SO/IEC 27001基礎培訓,通過短期學習,幫助大家掌握ISO/IEC 27001標準的精髓,理解自身角色和責任,從而在ISMS項目實施過程中起到應有的作用。
(3) ISMS實施培訓。組織可以向ISMS項目的核心人員提供ISMS實施方法的培訓,包括風險評估方法、策略制定方法等,目的在于協作配合,共同推動ISMS項目有序且順利地進行。
(4) 信息安全綜合技能培訓。為了讓ISMS能夠長期穩定地運行下去,組織可以為相關人員提供信息安全操作技能的培訓,目的在于提高其運營ISMS的技術能力,掌握處理問題的思路和方法。
5.2 建立符合企業需求的ISMS,保障體系順利落地
(1) 根據業務需求明確ISMS范圍。范圍的界定要從組織的業務出發,通過分析業務流程(尤其是核心業務),找到與此相關的人員、部門和職能,然后確定業務流程所依賴的信息系統和場所環境,最終從邏輯上和物理上對ISMS 的范圍予以明確。需要注意的是,組織確定的ISMS 范圍,必須是適合內外部客戶所需的,且包含了與所有對信息安全具有影響的合作伙伴、供貨商和客戶的接觸關系。為此,組織應該通過合同、服務水平協議 (SLA)、諒解備忘錄等方式來說明其在與合作伙伴、供貨商以及客戶接觸時實施了信息安全管理。
(2) 利用客觀風險評估工具。風險評估應盡可能采用客觀的風險評估工具,保證評估的準確、翔實。有效利用各種工具,可以幫助評估者更準確更全面地采集和分析數據,提升工作的自動化水平,并且最大程度上減少人為失誤。當然,風險評估工具并不局限于完全技術性的產品,事實上很多評估工具都是評估者經驗積累的成果,如調查問卷、掃描工具、風險評估軟件等。
(3) 構建合理的ISMS文件體系。文件首先應該符合業務運作和安全控制的實際情況,應該具有可操作性;不同層次的文件之間應該保持緊密關系并且協調一致,不能存在相互矛盾的地方;編寫ISMS文件時,除了依據標準和相關法律法規之外,組織還應該充分考慮現行的策略、程序、制度和規范,有所繼承,有所修正。
6 結 論
企業的生存和發展,有賴于企業各項業務、管理活動的健康有序的進行,而信息化是企業一切業務、管理活動所依賴的基礎。信息系統是否能夠穩定、可靠、有效運作,直接關系到企業各項業務活動是否能夠持續。因此,我們要對信息系統的保密性、完整性、可控性、可用性等提出全面具體的要求,建立持續改進的信息安全體系運行機制。在信息安全體系的全面應用過程中,必須重點關注以下重要事項:安全策略、目標和活動應該反映業務目標;實施信息安全的方法應該與組織的文化保持一致;來自高級管理層的明確的支持和承諾;向所有管理者和員工有效地推廣安全意識;提供適當的培訓和教育。
主要參考文獻
CISP的核心在于將保障貫穿于整個知識體系。保障應覆蓋整個信息系統生命周期,通過技術、管理、工程過程和人員,確保每個階段的安全屬性(保密性、完整性和可用性)得到有效控制,使組織業務持續運行。IT作為保障業務的重要手段和工具成為傳統保障目的的核心。由于風險會影響業務的正常運行,因此,降低風險對業務的影響是保障的主要目標(如圖)。在建立保障論據的過程中,首先應該考慮的是組織業務對IT的依賴程度;其次要考慮風險的客觀性;第三要考慮風險消減手段的可執行度。CISP從體系結構上提供了信息安全規劃設計的良好思路和方法論,在整個課程體系中涵蓋了從政策(戰略層)到模型、標準、基線(戰術層)的縱向線條,同時在兼顧中國國情的情況下,系統介紹國際常用評估標準、管理標準和國家相關信息安全標準與政策。
根據CISP知識體系建立安全規劃設計
安全規劃是信息安全生命周期管理的起點和基礎,良好的規劃設計可以為組織帶來正確的指導和方向。根據國家《網絡安全法》“第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。”
1.通過保障的思想建立安全規劃背景
信息安全規劃設計可以根據美國信息保障技術框架(IATF)ISSE過程建立需求,本階段可對應ISSE中發掘信息保護需求階段。根據“信息安全保障基本內容”確定安全需求,安全需求源于業務需求,通過風險評估,在符合現有政策法規的情況下,建立基于風險與策略的基本方針。因此,安全規劃首先要熟悉并了解組織的業務特性,在信息安全規劃背景設計中,應描述規劃對象的業務特性、業務類型、業務范圍以及業務狀態等相關信息,并根據組織結構選擇適用的安全標準,例如國家關鍵基礎設施的信息安全需要建立在信息安全等級保護基礎之上、第三方支付機構可選CISP知識域簡圖擇PCI-DSS作為可依據的準則等。信息系統保護輪廓(ISPP)是根據組織機構使命和所處的運行環境,從組織機構的策略和風險的實際情況出發,對具體信息系統安全保障需求和能力進行具體描述。傳統的風險評估可以基于GB/T20984《信息安全風險評估規范》執行具體的評估,評估分為技術評估與管理評估兩部分。從可遵循的標準來看,技術評估通過GB/T22240—2008《信息安全等級保護技術要求》中物理安全、網絡安全、系統安全、應用安全及數據安全五個層面進行評估;管理安全可以選擇ISO/IEC27001:2013《信息技術信息安全管理體系要求》進行,該標準所包含的14個控制類113個控制點充分體現組織所涉及的管理風險。在工作中,可以根據信息系統安全目標來規范制定安全方案。信息系統安全目標是根據信息系統保護輪廓編制、從信息系統安全保障的建設方(廠商)角度制定的信息系統安全保障方案。根據組織的安全目標設計建設目標,由于信息技術的飛速發展以及組織業務的高速變化,一般建議建設目標以1-3年為宜,充分體現信息安全規劃設計的可實施性,包括可接受的成本、合理的進度、技術可實現性,以及組織管理和文化的可接受性等因素。
2.信息系統安全保障評估框架下的概要設計
概要設計的主要任務是把背景建立階段中所獲得的需求通過頂層設計進行描述。本階段可對應ISSE中定義信息保護系統,通過概要設計將安全規劃設計基于GB/T20274-1:2006《信息安全技術信息系統安全保障評估框架第一部分:簡介和一般模型》進行模塊化劃分,并且描述安全規劃設計的組織高層愿景與設計內涵;在概要設計中,還應該描述每個模塊的概要描述與設計原則。設計思路是從宏觀上描述信息安全規劃設計的目的、意義以及最終目標并選擇適用的模型建立設計原則。本部分主要體現信息安全保障中信息系統安全概念和關系。根據《網絡安全法》相關規定,頂層設計可以建立在信息安全等級保護的基礎上,綜合考慮諸如建立安全管理組織、完善預警與應急響應機制、確保業務連續性計劃等方面GB/T20274-1:2006《信息安全技術信息系統安全保障評估框架第一部分:簡介和一般模型》提供了一個優秀的保障體系框架。該標準給出了信息系統安全保障的基本概念和模型,并建立了信息系統安全保障框架。該標準詳細給出了信息系統安全保障的一般模型,包括安全保障上下文、信息系統安全保障評估、信息系統保護輪廓和信息系統安全目標的生成、信息系統安全保障描述材料;信息系統安全保障評估和評估結果,包括信息系統保護輪廓和信息系統安全目標的要求、評估對象的要求、評估結果的聲明等。信息系統安全保障是在信息系統的整個生命周期中,通過對信息系統的風險分析,制定并執行相應的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統的保密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統實現組織機構的使命。策略體現的是組織的高層意旨,模型與措施作為戰術指標分別為中層和執行層提供具體的工作思路和方法,以完成設計的具體實現。當信息安全滿足所定義的基本要素后,為每個層面的設計提出概要目標,并在具體的設計中將其覆蓋整個安全規劃中。
3.實現建立在宏觀角度的合規性通用設計
通用設計可對應ISSE中設計系統體系結構,本階段是整個安全規劃設計的核心部分,本階段必須全面覆蓋背景建立階段所獲得的安全需求,滿足概要設計階段所選擇的模型與方法論,全面、系統的描述安全目標的具體實現。通用安全設計是建立在宏觀角度上的綜合性設計,設計首先將各個系統所產生的共同問題及宏觀問題統一解決,有效降低在安全建設中的重復建設和管理真空問題。在通用設計中,重點針對組織信息安全管理體系和風險管理過程的控制元素,從系統生命周期考慮信息安全問題。(1)管理設計在信息安全管理體系ISMS過程方法論中,可遵循的過程方法是PDCA四個階段:首先,需要在P階段解決信息系統安全的目標、范圍的確認,并且獲得高層的支持與承諾。安全管理的實質就是風險管理,管理設計應緊緊圍繞風險建立,所以,本階段首要的任務是為組織建立適用的風險評估方法論。其次,管理評估中所識別的不可接受風險是本階段主要設計依據。通過D環節,需要解決風險評估的具體實施以及風險控制措施落實,風險評估僅能解決當前狀態下的安全風險問題,因此,必須建立風險管理實施規范,當組織在一定周期(例如1年)或者組織發生重大變更時重新執行風險評估,風險評估可以是自評估,也可以委托第三方進行。本環節的設計必須涵蓋管理風險中所有不可接受風險的具體處置,從實現而言,重點關注管理機構的設置與體系文件的建立和落實。第三個環節是建立有效的內審機制和監測機制,沒有檢測就沒有改進,通過設計審計體系完成對信息安全管理體系的動態運行。第四個環節,即A環節,是在完成審計之后針對組織是否有效執行糾正措施的落實設計審計跟蹤和風險再評估過程。A環節既是信息安全管理體系的最后一個環節,也是新的PDCA過程的推動力。(2)技術設計技術設計主要是建立在組織平均安全水平基礎上,應可適用于組織所有的系統和通用的技術風險。設計可遵循多種技術標準體系,首先建立基于信息安全等級保護的五個層面技術設計要求。通過美國信息保障技術框架建立“縱深防御”原則,其具體涉及在訪問控制技術和密碼學技術支撐下的物理安全、網絡安全、系統安全、應用安全和數據安全。技術設計可在原有的技術框架下建立云安全、大數據安全等專項技術安全設計,也可在網絡安全中增加虛擬網絡安全設計等方式,應對新技術領域的安全設計。技術設計可以包括兩個主要手段:第一,技術配置。技術配置是在現有的技術能力下通過基于業務的安全策略和合規性基線進行安全配置。常見的手段包括補丁的修訂、安全域的劃分與ACL的設計、基于基線的系統配置等手段;第二,技術產品。技術產品是在現有產品不能滿足控制能力時通過添加新的安全產品結合原有的控制措施和產品統一部署、統一管理。在技術設計中,必須明確的原則是產品不是安全的唯一,產品也不是解決安全問題的靈丹妙藥,有效的安全控制是通過對產品的綜合使用和與管理、流程、人員能力相互結合,最終形成最佳的使用效果。(3)工程過程設計工程過程設計重點考慮基于生命周期每個階段的基于安全工程考慮的流程問題,在信息系統生命周期的五個層面。信息安全問題應該從計劃組織階段開始重視,在信息系統生命周期每個階段建立有效的安全控制和管理。工程過程包括計劃組織、開發采購、實施交付、運行維護和廢棄五個階段,本階段的設計主要通過在每個階段建立相應的流程,通過流程設計控制生命周期各個階段的安全風險。在計劃組織(需求分析)階段,體現信息安全工程中明確指出的系統建設與安全建設應“同步規劃、同步實施”,體現《網絡安全法》中“三同步”的要求。在開發采購階段,通過流程設計實現軟件安全開發的實現和實現供應鏈管理。實施交付階段,關注安全交付問題,應設計安全交付流程和安全驗收流程。運行維護階段要體現安全運維與傳統運維差異化,安全運維起于風險評估,應更多關注預防事件的發生,事前安全檢查的基線設計、檢查手段及工具的選擇和使用根據設備的不同重要程度建立不同的檢查周期;當系統產生缺陷或者漏洞時,設計合理的配置管理、變更管理及補丁管理等流程解決事中問題;當事件已經產生影響時,可以通過預定義的應急響應機制抑制事件并處置事件;當事件造成系統中斷、數據丟失以及其他影響業務連續性后果時,能夠通過規劃中的災難恢復及時恢復業務。廢棄階段通過流程控制用戶系統在下線、遷移、更新過程中對包含有組織敏感信息的存儲介質建立保護流程和方法,明確廢棄過程中形成的信息保護責任制,并根據不同的敏感采取不同的管理手段和技術手段對剩余信息進行有效處置。(4)人員設計人員安全是信息安全領域不可或缺的層面,長期以來,過于關注IT技術的規劃設計而忽略了人的安全問題,內部人員安全問題構成了組織安全的重要隱患,人為的無意失誤造成的損害往往遠大于人為的惡意行為。人員設計重點關注人員崗位、技術要求、背景以及培訓與教育,充分體現最小特權、職責分離及問責制等原則。根據《網絡安全法》第四章要求,關鍵基礎設施應建立信息安全管理機構,并設置信息安全專職人員。在人員設計中還應充分考慮到第三方代維人員的管理及供應商管理等新問題的產生。
