序言：寫作是分享個人見解和探索未知領域的橋梁，我們?yōu)槟x了8篇的風險評估的定義樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

關鍵詞：網(wǎng)絡安全；風險評估；模糊綜合評價

0 前言

網(wǎng)絡安全正逐漸成為一個國際化的問題，每年全球因計算機網(wǎng)絡的安全系統(tǒng)被破壞而造成的經(jīng)濟損失達數(shù)千億美元。網(wǎng)絡安全是一個系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡信息安全的首要目標。安全風險評估是建立網(wǎng)絡防護系統(tǒng)，實施風險管理程序所開展的一項基礎性工作。

然而，現(xiàn)有的評估方法在科學性、合理性方面存在一定欠缺。例如：評審法要求嚴格按照BS7799標準，缺乏實際可操作性；漏洞分析法只是單純通過簡單的漏洞掃描或滲透測試等方式對安全資產(chǎn)進行評估；層次分析法主要以專家的知識經(jīng)驗和統(tǒng)計工具為基礎進行定性評估。針對現(xiàn)有網(wǎng)絡安全評估方法中出現(xiàn)的這些問題，本文擬引用一種定性與定量相結(jié)合，綜合化程度較高的評標方法――模糊綜合評價法。

模糊綜合評價法可根據(jù)多因素對事物進行評價，是一種運用模糊數(shù)學原理分析和評價具有“模糊性”的事物的系統(tǒng)分析方法，它是一種以模糊推理為主的定性與定量相結(jié)合、非精確與精確相統(tǒng)一的分析評價方法。該方法利用模糊隸屬度理論把定性指標合理的定量化，很好的解決了現(xiàn)有網(wǎng)絡安全風險評估方法中存在的評估指標單一、評估過程不合理的問題。

1 關于風險評估的幾個重要概念

按照ITSEC的定義對本文涉及的重要概念加以解釋：

風險(Risk)：威脅主體利用資產(chǎn)的漏洞對其造成損失或破壞的可能性。

威脅(Threat)：導致對系統(tǒng)或組織有害的，未預料的事件發(fā)生的可能性。

漏洞(Vulnerabmty)：指的是可以被威脅利用的系統(tǒng)缺陷，能夠增加系統(tǒng)被攻擊的可能性。

資產(chǎn)(Asset)：資產(chǎn)是屬于某個組織的有價值的信息或者資源，本文指的是與評估對象信息處理有關的信息和信息載體。

2 網(wǎng)絡安全風險評估模型

2.1 網(wǎng)絡安全風險評估中的評估要素

從風險評估的角度看，信息資產(chǎn)的脆弱性和威脅的嚴重性相結(jié)合，可以獲得威脅產(chǎn)生時實際造成損害的成功率，將此成功率和威脅的暴露率相結(jié)合便可以得出安全風險的可能性。

可見，信息資產(chǎn)價值、安全威脅和安全漏洞是風險評估時必須評估的三個要素。從風險管理的角度看，這三者也構(gòu)成了邏輯上不可分割的有機整體：①信息資產(chǎn)的影響價值表明了保護對象的重要性和必要性。完整的安全策略體系中應當包含一個可接受風險的概念；②根據(jù)IS0-13335的定義，安全威脅是有能力造成安全事件并可能造成系統(tǒng)、組織和資產(chǎn)損害的環(huán)境因素?？梢酝ㄟ^降低威脅的方法來降低安全風險，從而達到降低安全風險的目的；③根據(jù)IS0-13335的觀點，漏洞是和資產(chǎn)相聯(lián)系的。漏洞可能為威脅所利用，從而導致對信息系統(tǒng)或者業(yè)務對象的損害。同樣，也可以通過彌補安全漏洞的方法來降低安全風險。

從以上分析可以看出，安全風險是指資產(chǎn)外部的威脅因素利用資產(chǎn)本身的固有漏洞對資產(chǎn)的價值造成的損害，因此風險評估過程就是資產(chǎn)價值、資產(chǎn)固有漏洞以及威脅的確定過程。

即風險R＝f(z，t，v)。其中：z為資產(chǎn)的價值，v為網(wǎng)絡的脆弱性等級，t為對網(wǎng)絡的威脅評估等級。

2.2 資產(chǎn)評估

資產(chǎn)評估是風險評估過程的重要因素，主要是針對與企業(yè)運作有關的安全資產(chǎn)。通過對這些資產(chǎn)的評估，根據(jù)組織的安全需求，篩選出重要的資產(chǎn)，即可能會威脅到企業(yè)運作的資產(chǎn)。資產(chǎn)評估一方面是資產(chǎn)的價值評估，針對有形資產(chǎn)；另一方面是資產(chǎn)的重要性評估，主要是從資產(chǎn)的安全屬性分析資產(chǎn)對企業(yè)運作的影響。資產(chǎn)評估能提供：①企業(yè)內(nèi)部重要資產(chǎn)信息的管理；②重要資產(chǎn)的價值評估；③資產(chǎn)對企業(yè)運作的重要性評估；④確定漏洞掃描器的分布。

2.3 威脅評估

安全威脅是可以導致安全事故和信息資產(chǎn)損失的活動。安全威脅的獲取手段主要有：IDS取樣、模擬入侵測試、顧問訪談、人工評估、策略及文檔分析和安全審計。通過以上的威脅評估手段，一方面可以了解組織信息安全的環(huán)境，另一方面同時對安全威脅進行半定量賦值，分別表示強度不同的安全威脅。

威脅評估大致來說包括：①確定相對重要的財產(chǎn)，以及其價值等安全要求；②明確每種類型資產(chǎn)的薄弱環(huán)節(jié)，確定可能存在的威脅類型；③分析利用這些薄弱環(huán)節(jié)進行某種威脅的可能性；④對每種可能存在的威脅具體分析造成損壞的能力；⑤估計每種攻擊的代價；⑥估算出可能的應付措施的費用。

2.4 脆弱性評估

安全漏洞是信息資產(chǎn)自身的一種缺陷。漏洞評估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結(jié)果評估等。

通過對資產(chǎn)所提供的服務進行漏洞掃描得到的結(jié)果，我們可以分析出此設備提供的所有服務的風險狀況，進而得出不同服務的風險值。然后根據(jù)不同服務在資產(chǎn)中的權(quán)重，結(jié)合該服務的風險級別，可以最后得到資產(chǎn)的漏洞風險值。

3 評估方法

3.1傳統(tǒng)的評估方法

關于安全風險評估的最直接的評估模型就是，以一個簡單的類數(shù)學模型來計算風險。即：風險＝威脅+脆弱+資產(chǎn)影響

但是，邏輯與計算需要乘積而不是和的數(shù)學模型。即：風險＝威脅x脆弱x資產(chǎn)影響

3.2 模糊數(shù)學評估方法

然而，為了計算風險，必須計量各單獨組成要素（威脅、脆弱和影響)?，F(xiàn)有的評估方法常用一個簡單的數(shù)字指標作為分界線，界限兩邊截然分為兩個級別。同時，因為風險要素的賦值是離散的，而非連續(xù)的，所以對于風險要素的確定和評估本身也有很大的主觀性和不精確性，因此運用以上評估算法，最后得到的風險值有很大的偏差。用模糊數(shù)學方法對網(wǎng)絡安全的風險評估進行研究和分析，能較好地解決評估的模糊性，也在一定程度上解決了從定性到定量的難題。在風險評估中，出現(xiàn)誤差是很普遍的現(xiàn)象。風險評估誤差的存在，增加了評估工作的復雜性，如何把握和處理評估誤差，是評估工作的難點之一。

在本評估模型中，借鑒了模糊數(shù)學概念和方法中比較重要的部分。這樣做是為了既能比較簡單地得到一個直觀的用戶易接受的評估結(jié)果，又能充分考慮到影響評估的各因素的精度及其他一些因素，盡量消除因為評估的主觀性和離散數(shù)據(jù)所帶來的偏差。

（1）確定隸屬函數(shù)。

在模糊理論中，運用隸屬度來刻畫客觀事物中大量的模糊界限，而隸屬度可用隸屬函數(shù)來表達。如在根據(jù)下面的表格確定風險等級時，當U值等于49時為低風險，等于51時就成了中等風險。

此時如運用模糊概念，用隸屬度來刻畫這條分界線就好得多。比如，當U值等于50時，隸屬低風險的程度為60％，隸屬中等風險的程度為40％。

為了確定模糊運算，需要為每一個評估因子確定一種隸屬函數(shù)。如對于資產(chǎn)因子，考慮到由于資產(chǎn)級別定義時的離散性和不精確性，致使資產(chǎn)重要級別較高的資產(chǎn)(如4級資產(chǎn))也有隸屬于中級級別資產(chǎn)（如3級資產(chǎn))的可能性，可定義如下的資產(chǎn)隸屬函數(shù)體現(xiàn)這一因素：當資產(chǎn)級別為3時，資產(chǎn)隸屬于二級風險級別的程度為10％，隸屬于三級風險級別的程度為80％，屬于四級風險級別的程度為10％。

威脅因子和漏洞因子的隸屬度函數(shù)同樣也完全可以根據(jù)評估對象和具體情況進行定義。

（2）建立關系模糊矩陣。

對各單項指標(評估因子)分別進行評價?？扇為各單項指標的集合，則U＝(資產(chǎn)，漏洞，威脅)；取V為風險級別的集合，針對我們的評估系統(tǒng)，則V＝(低，較低，中，較高，高)。對U上的每個單項指標進行評價，通過各自的隸屬函數(shù)分別求出各單項指標對于V上五個風險級別的隸屬度。例如，漏洞因子有一組實測值，就可以分別求出屬于各個風險級別的隸屬度，得出一組五個數(shù)。同樣資產(chǎn)，威脅因子也可以得出一組數(shù)，組成一個5×3模糊矩陣，記為關系模糊矩陣R。

（3）權(quán)重模糊矩陣。

一般來說，風險級別比較高的因子對于綜合風險的影響也是最大的。換句話說，高的綜合風險往往來自于那些高風險級別的因子。因此各單項指標中那些風險級別比較高的應該得到更大的重視，即權(quán)重也應該較大。設每個單項指標的權(quán)重值為β1。得到一個模糊矩陣，記為權(quán)重模糊矩陣B，則B＝(β1,β2,β3)。

（4）模糊綜合評價算法。

進行單項評價并配以權(quán)重后，可以得到兩個模糊矩陣，即權(quán)重模糊矩陣B和關系模糊矩陣R。則模糊綜合評價模型為：Y＝B x R。其中Y為模糊綜合評估結(jié)果。Y應該為一個1x 5的矩陣：Y＝(y1，y2,y3，y4，y5)。其中yi代表最后的綜合評估結(jié)果隸屬于第i個風險級別的程度。這樣，最后將得到一個模糊評估形式的結(jié)果，當然也可以對這個結(jié)果進行量化。比如我們可以定義N＝1×y1十2×y2十3×y3×y4十5×y5作為一個最終的數(shù)值結(jié)果。

4 網(wǎng)絡安全風險評估示例

以下用實例說明基于模糊數(shù)學的風險評估模型在網(wǎng)絡安全風險評估中的應用。

在評估模型中，我們首先要進行資產(chǎn)、威脅和漏洞的評估。假設對同樣的某項資產(chǎn)，我們進行了資產(chǎn)評估、威脅評估和漏洞評估，得到的風險級別分別為：4、2、2。

那么根據(jù)隸屬函數(shù)的定義，各個因子隸屬于各個風險級別的隸屬度為：

如果要進行量化，那么最后的評估風險值為：PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此時該資產(chǎn)的安全風險值為2.8。

參考文獻

［1］郭仲偉.風險分析與決策［M］.北京：機械工業(yè)出版社，1987.

［2］韓立巖，汪培莊.應用模糊數(shù)學［M］.北京：首都經(jīng)濟貿(mào)易大學出版社，1998.

［3］徐小琳，龔向陽.網(wǎng)絡安全評估軟件綜述［J］.網(wǎng)絡信息安全，2001.

第2篇

關鍵詞：橋梁風險；風險評估；評估方法

中圖分類號： K928 文獻標識碼： A

翻譯結(jié)果重試

抱歉，系統(tǒng)響應超時，請稍后再試

支持中英、中日在線互譯

支持網(wǎng)頁翻譯，在輸入框輸入網(wǎng)頁地址即可

提供一鍵清空、復制功能、支持雙語對照查看，使您體驗更加流暢

0前言

所謂風險可以理解為現(xiàn)實狀態(tài)與預期的差異，故風險無處不在。在橋梁規(guī)劃、設計、施工、使用、維修、拆除等諸多和橋梁結(jié)構(gòu)相關的各個過程中出現(xiàn)的，對相關利益團體的某種既定目標造成影響的不確定事態(tài)，稱為橋梁的風險事態(tài)，即橋梁風險[1]。近年來，我國橋梁建設事業(yè)高速發(fā)展，截止2010年底，我國公路橋梁數(shù)量已經(jīng)超過65萬座，居世界第一，隨之而來的問題是在橋梁建設與使用過程中各種事故和潛在風險頻繁發(fā)生。作為公路交通咽喉的橋梁工程，是國家的重要的基礎設施，其投資往往巨大，一旦出現(xiàn)問題，將會對國家造成嚴重的經(jīng)濟損失。因此，對橋梁進行風險評估具有積極的經(jīng)濟與社會效益。而所謂橋梁風險評估就是對與橋梁相關的潛在風險事態(tài)進行識別，對其影響程度、出現(xiàn)可能性等進行某種形式的量測，并對量測的結(jié)果進行分析、比較、評價、處置，制定合理對策的過程。

1 常見橋梁風險事態(tài)概述

在橋梁風險評估中，橋梁風險的定義強調(diào)了四個問題[1]：(1)以橋梁結(jié)構(gòu)為中心，即橋梁風險事態(tài)出現(xiàn)在橋梁的生命周期內(nèi)，須與關注的橋梁結(jié)構(gòu)發(fā)生關系；（2）風險事態(tài)的出現(xiàn)具有不確定性，不確定性是構(gòu)成風險的必要條件，一定發(fā)生或是一定不發(fā)生的事件都不能構(gòu)成風險事態(tài)；（3）須與相關利益團體既定目標有所影響，這里所謂既定目標往往是各種損失；（4）風險的本質(zhì)是某種事態(tài)，進行評估前應首先形成某種風險的量測。對風險進行評估的關鍵一步就是對風險進行識別，對于橋梁工程而言主要有以下幾種風險事態(tài)：風致影響的風險事態(tài)；船撞影響的風險事態(tài)；地震影響的風險事態(tài)；洪水影響的風險事態(tài)；車撞影響的風險事態(tài)等。

2 橋梁風險評估的基本流程

橋梁風險評估的主要任務就是將風險理論和方法引入橋梁工程領域，對現(xiàn)有的工程理論和實踐進行補充和完善。風險定義、風險識別、風險估計、風險評價和風險交流是風險評估的基本組成部分。

風險定義階段需要研究者和業(yè)主進行廣泛深入的交流，明確進行風險評估的對象，以及業(yè)主進行評估研究的目的，確定研究范圍，并根據(jù)問題的特點，確定合適的風險量測形式，收集基本的項目資料供后續(xù)工作使用[2]。

風險識別是根據(jù)確定的研究對象和研究目的，研究和發(fā)現(xiàn)潛在的風險事態(tài)、明確分析重點的過程。對于比較簡單、明確的風險評估問題，其風險識別過程常常可以基于經(jīng)驗進行。

風險估計是風險評估的主要工作，包括風險概率估計、風險損失估計和風險量測。風險概率估計是對風險事態(tài)出現(xiàn)不確定性的估計。對于大多數(shù)橋梁工程領域內(nèi)的風險評估研究，風險概率本質(zhì)是風險事態(tài)出現(xiàn)且造成結(jié)構(gòu)或構(gòu)件失效的條件概率。

風險評價是基于風險估計的結(jié)果，考慮風險承擔者的風險態(tài)度和承受能力，對風險程度形成具體的評價結(jié)果，同時給出合理的風險對策，以便于決策者做出正確的決策。

風險控制是根據(jù)風險評價的結(jié)果對風險事態(tài)進行事前處理及過程控制的過程，包括風險決策和風險監(jiān)控。風險決策是根據(jù)風險評價的結(jié)果，從風險對策集合中選定合適的對策處置風險；而風險監(jiān)控是指對潛在風險事態(tài)進行檢測，并適時啟動有關風險控制措施的過程[3]。

3 橋梁風險評估方法

有基本一致的評估目標、穩(wěn)定的評估指標體系和方法系統(tǒng)、解決一類橋梁風險評估問題的風險評估過程，都可以稱為一種方法。基本評估流程是各類風險評估問題最為基本的方法。在多年的實踐過程中，工程風險評估形成了很多實用的方法。諸如蒙特卡洛模擬法、敏感性分析法、統(tǒng)計和概率法、模糊數(shù)學法、層次分析法、調(diào)查和專家打分法，這些方法具有簡單、易懂以及實用的特點，結(jié)合不同橋梁風險的特點，能夠在概率和損失評價的基礎上快速得到評估結(jié)果[4]。

風險評估過程主要基于滿意準則（主要是ALARP方法），利用定性和準定量的風險評估手段，確定各種風險事態(tài)的嚴重程度和基本風險對策的過程。對于初步評估不可接受的風險或ALARP區(qū)域中的風險事態(tài)，可以考慮使用進入第二部分，即風險決策過程。風險決策過程主要基于最優(yōu)準則，使用貝葉斯方法、隨機優(yōu)勢方法等定量決策方法，以形成對嚴重風險事態(tài)的全面認識和系統(tǒng)對策。尤其基于ALARP準則的風險矩陣是滿意準則決策方法中最為常用的決策方法之一，當涉及到多種風險或單個災害性事故的風險值難以計算時，常將事故發(fā)生的概率和相應的后果置于一個矩陣中，該矩陣就是風險矩陣。風險矩陣可以看成離散函數(shù)形式的風險評價準則形式，風險矩陣的構(gòu)造是綜合考慮風險指標的特點、風險指標的經(jīng)驗水平劃分、決策者的風險態(tài)度后綜合形成的。利用風險矩陣進行橋梁風險評估具有簡單明了、適用范圍廣的特點，將ALARP準則和風險矩陣結(jié)合起來，將更有助于反映決策者的風險態(tài)度和制定基本的風險對策。

4 橋梁風險評估實例綜述

近年來，國內(nèi)先后對一些重大復雜橋梁工程項目進行了風險評估，如崇明越江通道風險評估、南寧大橋風險評估、蘇通大橋索塔施工風險評估、杭州灣大橋風障設置風險評估。

崇明越江通道風險評估是國內(nèi)第一次系統(tǒng)的工程風險評估研究，該風險評估項目采用的分析評價方法多樣，主要采用了專家調(diào)查法、數(shù)值模擬法、等風險圖法等方法[5]。研究成果主要是對各方案風險程度進行了排序。崇明越江通道風險評估表明決策者開始接受工程風險的概念，同時也存在風險方法多樣，評價標準不統(tǒng)一的問題。

南寧大橋是一座大跨徑外傾曲線梁非對稱式拱橋，由南寧國研公司委托同濟大學橋梁工程系承擔該橋項目風險評估研究。其研究目的有兩個方面：一方面是對施工方案進行比選，另一方面是對施工和使用階段風險進行控制。該橋初步考慮了兩種施工方案：斜吊扣掛施工和斜吊支架施工。施工過程中將面臨風、地震、洪水、船撞以及施工工藝等多種風險。

蘇通大橋索塔施工風險評估過程采用了基于風險評估矩陣的定性評估和定量評估相結(jié)合的方法。南索塔系統(tǒng)是整個評估工作的焦點，風險源主要包括天氣、水文、地質(zhì)和施工技術(shù)等因素。索塔的施工質(zhì)量、進度、安全是主要的評估目標。

研究歸納了31項風險事態(tài)，并對渦振風險事態(tài)、模板風險事態(tài)、臺風風險事態(tài)

三種顯著風險事態(tài)進行了重點分析研究，并制定相應的風險對策，并編制了風險管理手冊，以便于施工單位現(xiàn)場管理。

5 結(jié)論與展望

本文闡述了橋梁生命全過程中常見的風險事態(tài)及橋梁風險評估的基本流程，對現(xiàn)有的橋梁風險評估方法進行了總結(jié)與探討?，F(xiàn)代工程的復雜性、不確定性為工程風險評估發(fā)展提供了良好的應用背景和發(fā)展前提，運用風險評估的方法可以合理控制橋梁生命周期的風險，平衡工程參與各方的利益，最大限度降低總體成本，使得橋梁風險評估在工程建設的各個階段扮演著越來越重要的作用，因此具有廣闊的發(fā)展空間和潛力。

參考文獻：

[1]阮欣，陳艾榮，石雪飛.橋梁工程風險評估[M].北京：人民交通出版社，2008.

[2]阮欣.橋梁工程風險評估體系及關鍵技術(shù)研究[D].上海：同濟大學，2006，4.

第3篇

【關鍵詞】風險管理；建立背景；風險評估；風險處置；批準監(jiān)督；監(jiān)控審查；溝通咨詢；系統(tǒng)生命周期

當今我們是如何看待網(wǎng)絡與信息化？對個人，人需要信息化還是信息化“綁架”人？對企事業(yè)單位和社會團體，組織依賴信息化還是信息化成就組織？對經(jīng)濟發(fā)展，經(jīng)濟發(fā)展帶動了信息技術(shù)還是信息技術(shù)促進了經(jīng)濟發(fā)展？對社會穩(wěn)定，信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負面的？對國家安全，信息化是國家安全的利器還是禍害？沒有標準答案，但值得思考。檢察業(yè)務系統(tǒng)風險管理的內(nèi)容有哪些呢？我們作了以下的探討：

1.風險管理的基本架構(gòu)與概念

1.1 風險管理的基本架構(gòu)（如圖1-1所示）

1.2 風險管理工作內(nèi)容

1.2.1 風險管理工作主要內(nèi)容有：建立背景、風險評估、風險處置、批準監(jiān)督、監(jiān)控審查、溝通咨詢（如圖1-2所示）。

1.2.2 系統(tǒng)生命周期中的風險管理：掌握系統(tǒng)規(guī)劃階段的風險管理工作；掌握系統(tǒng)設計階段的風險管理工作；掌握系統(tǒng)實施階段的風險管理工作；掌握系統(tǒng)運行維護階段的風險管理工作；掌握系統(tǒng)廢棄階段的風險管理工作（如圖1-3所示）。

信息安全風險管理是信息安全保障工作中的一項基礎性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進行的工作。我們的檢察業(yè)務系統(tǒng)是順應信息化發(fā)展及業(yè)務需求的實際情況，經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務需求的背景下建立的。那么我們應該要掌握一套完善的管理方式去做好這件事。那就是要學會風險管理運用好風險管理的實質(zhì)內(nèi)容。

1.3 相關概念

1.3.1 通用風險管理定義是指如何在一個肯定有風險的環(huán)境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情則押后處理。

1.3.2 檢察業(yè)務系統(tǒng)信息安全工作為什么需要風險管理方式？

常見問題：安全投資逐年增加，但看不到收益；按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應優(yōu)先撥向哪個領域；當了CIO，時刻擔心系統(tǒng)出事，無法預見可能會出什么事。

問題根源淺析：沒有根據(jù)風險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導致有限資金的有效利用率低；沒有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風險。決策者沒有看到安全投資收益報告，資金劃撥無參考依據(jù)。沒有殘余風險清單，在什么條件可被觸發(fā)，如何做好控制?？偟膩碚f可以概括為以下三點：（1）信息安全風險和事件不可能完全避免，沒有絕對的安全。（2）信息安全是高技術(shù)的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。（3）因此管理信息安全必須以風險管理的方式，關鍵在于如何控制、化解和規(guī)避風險，而不是完全消除風險。

風險管理是信息安全保障工作有效工作方式。好的風險管理過程可以讓機構(gòu)以最具有成本效益的方式運行，并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風險。而不是將保貴的資源用于解決所有可能的風險。風險管理是一個持續(xù)的PDCA管理過程，即計劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解，在全國使用統(tǒng)一的檢察業(yè)務系統(tǒng)，做需求分析計劃組織開發(fā)業(yè)務系統(tǒng)--全國各省市部分基層院試運行使用--檢查業(yè)務系統(tǒng)的可行性及需要完善的報告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個持續(xù)的不斷完善的管理過程。

在全國使用統(tǒng)一的檢察業(yè)務系統(tǒng)，也就會出現(xiàn)數(shù)據(jù)大集中，數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失，這就是它與生俱來的風險，那么我們認識了這一點，就應該采用相應的技術(shù)措施來控制風險。什么是信息安全風險管理？了解風險+控制風險=管理風險。定義一：GB/Z 24364《信息安全風險管理指南》指：信息安全風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構(gòu)內(nèi)部識別、優(yōu)化、管理風險，使風險降低到可接受水平的過程。

1.3.3 正確的風險管理方法是前瞻性風險管理加反應性風險管理。

（1）前瞻性風險管理：評估風險、實施風險決策、風險控制、評定風險管理的有效性。（2）反應性風險管理：保護人身安全、遏制損害、評估損害、確定損害部位、修復損害部位、審查響應過程并更新安全策略。風險管理最佳實踐。簡單的例子：流行性感冒是一種致命的呼吸道疾病，美國每年都會有數(shù)以百萬計的感染者。這些感染者中，至少有100，000人必須入院治療，并且約有36，000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風險管理方法。

1.3.4 全國使用統(tǒng)一的檢察業(yè)務系信息安全風險管理的目標是它能做好：保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義，信息安全風險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。

2.風險管理的工作內(nèi)容

2.1 背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調(diào)查和分析。風險管理準備：確定對象、組建團隊、制定計劃、獲得支持。信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務目標、技術(shù)和管理上的特點。信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

2.2 信息安全風險評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險控制在可接受的水平，從而最大限度地保障信息安全提供科學依據(jù)。

信息系統(tǒng)的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風險。所以信息安全評估是一個長期持續(xù)的工作，通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和基礎環(huán)節(jié)。風險管理是在倡導適度安全。

2.3 風險處理是為了將風險始終控制在可接受的范圍內(nèi)?，F(xiàn)存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以。處理目標確認：不可接受的風險需要控制到怎樣的程度。處理措施選擇：選擇風險處理方式，確定風險控制措施。處理措施實施：制定具體安全方案，部署控制措施。常用的四類風險處置方法如下：

2.3.1 減低風險：通過對面臨風險的資產(chǎn)采取保護措施來降低風險。首先應當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構(gòu)成風險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風險。減低風險辦法：減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時給系統(tǒng)打補丁，關閉無用的網(wǎng)絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護資產(chǎn)：采用各種防護措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持；降低負面影響：采取容災備份、應急響應和業(yè)務連續(xù)計劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉(zhuǎn)移風險：通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風險。通常只有當風險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產(chǎn)生重大影響的風險。在本機構(gòu)不具備足夠的安全保障的技術(shù)能力時，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機構(gòu)，從而避免技術(shù)風險。通過給昂貴的設備上保險，將設備損失的風險轉(zhuǎn)移給保險公司，從而降低資產(chǎn)價值的損失。

2.4 批準監(jiān)督。批準：是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定。監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當?shù)拇胧┻M行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性。

3.安全風險評估實踐與國家相關政策

3.1 國家對開展風險評估工作的政策要求

3.1.1 信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風險評估工作，對網(wǎng)絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、程度和面臨的信息安全風險等因素，進行相應等級的安全建設和管理”

3.1.2 《國家網(wǎng)絡與信息安全協(xié)調(diào)小組〈關于開展信息安全風險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風險評估工作的相關要求：風險評估的基本內(nèi)容和原則；風險評估工作的基本要求；開展風險評估工作的有關安排。

3.2 《關于開展信息安全風險評估工作的意見》的實施要求

3.2.1 信息安全風險評估工作應當貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設計階段，通過信息安全風險評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護或過保護的情況。

3.2.2 在信息系統(tǒng)建設完成驗收時，通過風險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達到預期的安全目標。

3.3 《關于開展信息安全風險評估工作的意見》的管理要求

3.3.1 信息安全風險評估工作敏感性強，涉及系統(tǒng)的關鍵資產(chǎn)和核心信息，一旦處理不當，反而可能引入新的風險，《意見》強調(diào)，必須高度重視信息安全風險評估的組織管理工作。

3.3.2 為規(guī)避由于風險評估工作而引入新的安全風險，《意見》提出以下要求：（1）參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規(guī)，并承擔相應的責任和義務。（2）風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協(xié)議。（3）對關系國計民生和社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全風險評估工作必須遵循國家的有關規(guī)定進行。

3.3.3 加快制定和完善信息安全風險評估有關技術(shù)標準，盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準，各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應的技術(shù)規(guī)范。

3.4 2071號文件對電子政務提出要求

為落實《國家電子政務工程建設項目管理暫行辦法》（發(fā)改委[2007]55號令）對風險評估的要求，發(fā)改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求：（相當于“信息安全審計”）電子政務工程建設項目應開展信息安全風險評估工作；評估的主要內(nèi)容應包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風險的影響等；項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據(jù)；項目驗收申請時，應提交信息安全風險評估報告；系統(tǒng)投入運行后，應定期開展信息安全風險評估。

參考文獻

[1]信息安全測評中心.信息安全保障[Z].

第4篇

 

關鍵詞：食品安全  SPS  對策

食品是我們生活中一個十分重要的問題，同時也是一個非?，F(xiàn)實的問題：在過去幾年中，各大洲都曾卅現(xiàn)過一些因關于食品安全問題而引發(fā)的疾病，因此世界各國政府都把食品安傘提到了一個前所未有的高度。隨著經(jīng)濟全球一體化進程的加快，由于食品貿(mào)易(比如說統(tǒng)一生產(chǎn)之后的異地銷售)，導致了食源性疾病更廣泛的傳播和暴發(fā)。另外，隨著城市化水平的提高，也在客觀上導致對食品的制作、運輸、貯存提了更高的要求。所以，食品安全與現(xiàn)代生活關系密切，對其進行法律規(guī)制很有必要。

一、食品安全的內(nèi)涵

安全，是～個任何時代都會被人們高度關注的問題?！冬F(xiàn)代漢語詞典》中，“安全”一詞的含義是：沒有危險，不受威脅，不卅事故。孟德斯鳩在著名的《論法的精神》中講到，人的安全乃是至高無上的法律。食品安全對人類而言，是一個|卜分重要的問題。1996年，世界衛(wèi)生組織發(fā)表的《加強同家級食品安全性計劃指南》中定義：食品安全是對食品按其原定用途進行制作和食用時不會使消費者受害的一種擔保。筆者認為，對于食品安全，不同的研究領域有著不同的表述。從衛(wèi)生角度而言，可以認為是食品應不包含有會引起消費者急性或慢性毒害或疾病感染的因素；從法律角度，可表述為食品在各個環(huán)節(jié)(如種植、養(yǎng)殖、生產(chǎn)、加工、包裝、運輸、貯藏、銷售、消費等)符合周家所規(guī)定的標準或要求。由此可以看，食品安全涉及到很多方面，它既包括生產(chǎn)安全、銷售安全、經(jīng)營安全，也包括過程安全、結(jié)果安全等。毫無疑問，在現(xiàn)代法治社會中食品安全的法律屬性是最明顯的，而各國政府和同際社會對其進行規(guī)制充分體現(xiàn)了食品安全的法律性。

二、《SPS協(xié)定》解析

由于對食品安全問題科學認識的不斷提高，國際問的食品貿(mào)易不斷增長，導致了食品安全方面貿(mào)易壁壘的不斷增多。WTO為了規(guī)制食品貿(mào)易壁壘，在烏拉圭回合談判中通過了規(guī)制國家間食品貿(mào)易的<<sPs協(xié)定》(《實施衛(wèi)生與植物衛(wèi)生措施協(xié)定》)。

(一)《sPs協(xié)定》的主要內(nèi)容

《sPs協(xié)定》是世界各國為了維護國民的身體健康和安全以及保護本國動植物的安全，對進口產(chǎn)品制定的一系列強制性標準的措施。該議由引言、正文和附件二三部分組成。引言部分全面闡述了實施與食品安全有關的協(xié)議的宗旨，即：保證各成員方有權(quán)采取為保護人類、動植物的生命或健康所必需的衛(wèi)生檢疫措施，但這些措施不得背離現(xiàn)有的科學證據(jù)，也不能對國際貿(mào)易構(gòu)成變相限制；期望通過建立一個規(guī)則和紀律的多邊框架來指導各成員方對衛(wèi)生檢疫措施的制定和實施；將衛(wèi)生檢疫措施對貿(mào)易的負面影響減少到最低程度。正文共l4條46項，包括：總則、基本權(quán)利與義務、協(xié)調(diào)一致、同等對待、風險評估以及適當?shù)膭又参镄l(wèi)生檢疫保護水平的確定、病蟲害非疫區(qū)和低度流行區(qū)使用地區(qū)的條件、透明度、控制、檢驗和批準程序、技術(shù)援助、特殊和差別待遇、磋商和爭端解決、管理、執(zhí)行、最后條款。CsPS協(xié)定》的正文中體現(xiàn)了其對食品安全問題規(guī)制的主要內(nèi)容。i個附件分別是，附件1：定義，規(guī)定了正文中所涉及的主要的關鍵詞的定義解釋。附件2：動植物衛(wèi)生檢疫規(guī)定的透明度。附件3：控制檢驗和批準程序。

(二)《sPs協(xié)定》的要點分析

1．“以科學為依據(jù)”實施相關措施

首先應該明確的一點是，此項規(guī)則并非是某個條款所規(guī)定的，它是相關聯(lián)的若干條款一起組成的規(guī)則體系。(sPs協(xié)定》第2條第2款規(guī)定要求，世界貿(mào)易組織各成員方要保證任何相關措施必須以科學為依據(jù)，如果沒有充分的科學依據(jù)是不能實施有關的衛(wèi)生與植物衛(wèi)生措施的，或者已經(jīng)實施的情況下要停止實施。此規(guī)則還涉及fl~CsPS協(xié)定》第5條第2款的規(guī)定：“在進行風險評估，各成員應考慮現(xiàn)有的科學依據(jù)”。成員國要采取相關措施的前提是要進行風險評估，風險評估處處體現(xiàn)了科學性。也就是說，風險評估和科學依據(jù)之間存在著密切的關系，二者是不可分離的。沒有經(jīng)過風險評估得科學的數(shù)據(jù)結(jié)果時，成員方是不應該采取相關措施的。但是，CsPs協(xié)定》中有一條是對第2條第2款的補充或者說是例外，即第5條第7款。此條款規(guī)定，各成員采用的維持臨時衛(wèi)生檢疫措施所要遵循的條件是：第一，成員方是在有關科學依據(jù)不充分的情況下采取的措施。第二，可根據(jù)現(xiàn)有的有關信息，包括來自國際組織以及其他成員方實施的動植物衛(wèi)生檢疫措施的信息，臨時采取某種動植物衛(wèi)生檢疫措施。第二，各成員方應尋求獲得必要的補充信息，以便更加客觀地評估風險。第四，各成員方應相應地在合理的期限內(nèi)評價動植物衛(wèi)生檢疫措施。從中不難看出，四個條件環(huán)環(huán)相扣、相互聯(lián)系，而且是同時被使用。也就是說，某一成員國要實施第5條第7款所規(guī)定的臨時措施，這四個條件是缺一不可的。

2．成員國要在風險評估的基礎上才可以采取相關措施

《sPs協(xié)定》附件中對風險評估作了準確的定義：風險評估是指根據(jù)可能實施的動植物衛(wèi)生檢疫措施來評價蟲害或病害在進口成員境內(nèi)傳人、定居或傳播的可能性，以及相關的潛在生物和經(jīng)濟后果，或評價食品、飲料或飼料中存在的添加劑、污染物、霉素或致病有機體對人類或動植物的健康產(chǎn)生的潛在不利影響。協(xié)議第5條則列明了風險評估的相關考慮因素，主要有以下幾點：首先，應該考慮到有關國際組織制定的風險評估技術(shù)；其次，在進行風險評估時各成員方應考慮現(xiàn)有的科學依據(jù)、有關的工序和生產(chǎn)方法，有關的檢驗、抽樣和測試方法，某些病害或蟲害的流行、病蟲害非疫區(qū)的存在．有關的生態(tài)和環(huán)境條件以及檢疫或其他處理方法；再次，各成員在評估對動物或植物的生命或健康構(gòu)成的風險，并決定采取措施達到適當?shù)膭又参镄l(wèi)生檢疫保護水平以防止這種風險時，應考慮下列相關的經(jīng)濟因素：由于蟲害或病害的傳人、定居或傳播，對生產(chǎn)或銷售造成損失的潛在損害，在進1：3成員領土上控制或根除病蟲害的成本，以及采用其他方法來控制風險的有關實際開支?？偟膩碚f，進行風險評估時各成員方在制定和維持動植物衛(wèi)生檢疫措施以達到適當?shù)膭又参镄l(wèi)生檢疫保護水平時，考慮到技術(shù)和經(jīng)濟的可行性，同時應確保此類措施不比要獲取適當?shù)膭又参镄l(wèi)生檢疫保護水平所要求的更具有貿(mào)易限制性。

第5篇

管道風險評估的核心是風險指標的確定。這里所采用的模糊綜合評估是對受多種因素影響的事物做出全面評估的有效的多因素決策方法，其特點是評估結(jié)果不是絕對地肯定或否定，而是以一個模糊集合來表示。根據(jù)影響管網(wǎng)運行安全的各種因素，可以將危險因素分為5大類：老化指標，第三方破壞，腐蝕，設計，誤操作。風險評估指數(shù)體系是一個多級體系，每個危險指標可以再進一步細分為分指標，如腐蝕可以分為管道內(nèi)部腐蝕、大氣腐蝕、埋地管道土壤腐蝕等。各級體系的因素要結(jié)合實際在風險評估過程中不斷地完善，使風險評估結(jié)果能夠更加真實地反映管道風險狀況。如圖1所示，U＝｛老化指標，第三方破壞，腐蝕指數(shù)，設計指數(shù)，錯誤指數(shù)｝，V＝｛安全，一般，安全隱患，次危險，危險。

風險評估指數(shù)體系的各級指標的權(quán)重直接影響評估結(jié)果，指標權(quán)重要參考國內(nèi)外相關資料和文獻及專家經(jīng)驗制定權(quán)重標準。指標權(quán)重要在風險評估工作中不斷完善，使得評估結(jié)果能更加真實反映管道風險狀況。評估結(jié)果如表1所示。這說明管道風險對模糊評語“安全”的隸屬度為0．26，“一般”的隸屬度為0．31，“安全隱患”的隸屬度為0．07，“次危險”的隸屬度為0．13，“危險”的隸屬度為0．06。按最大隸屬度原則，對模糊評語提取Max（Bi）（i＝1，…，5）的值。即模糊評估值為0．31，得到對該管道的綜合評估為“一般”。

風險評估流程

為了保證管道風險評估過程的完整性和系統(tǒng)性，建立風險評估主要流程如下：①前期評估模型設計，主要是確定引起管道危險的因素、各因素的分指標和一些評估模型技術(shù)方案；②收集數(shù)據(jù)，主要是收集與分析管道風險評估相關的圖形和屬性信息，如管道施工、管道巡線頻率、管道防腐措施等；③選取評估模型進行評估實施，根據(jù)評估值劃分管道危險性等級；④根據(jù)評估結(jié)果進行統(tǒng)計分析，利用GIS技術(shù)得到相應的管道危險性專題圖。考慮到風險評估指數(shù)體系的各級指標的權(quán)重的主觀性，模塊設計了相應的對話框，通過自定義選擇來設置各個指標的權(quán)重，在確定了這些風險指標權(quán)重后，讀取數(shù)據(jù)庫管道風險數(shù)據(jù)信息，結(jié)合風險評估模型計算管道風險值，并基于GIS技術(shù)對管道風險值進行專題顯示，如圖2所示。圖2顯示評估機制的流程

實驗與分析

天然氣管道風險評估模塊以ArcGIS為平臺，利用CJHJ．NET開發(fā)實現(xiàn)。實驗數(shù)據(jù)為某市天然氣管網(wǎng)地形圖及管道風險調(diào)查數(shù)據(jù)。按照管道風險評估流程對管道進行分析評估，風險評估分析過程如圖3所示，一級指標及二級指標可以根據(jù)實際需要添加，所對應的指標權(quán)重可動態(tài)修改，計算得到風險評估結(jié)果如圖4所示，并根據(jù)管道風險等級將管道以5種顏色進行相對風險評估結(jié)果的專題可視化顯示（見圖5），圖中沿道路的管道風險等級呈現(xiàn)為次危險，應引起足夠重視。

結(jié)束語

第6篇

關鍵詞：火災風險評估；安全檢查表；層次分析法；模糊綜合評價法

Fire Risk Evaluation of Large Public Building

An Jun-hong ，Yao Cheng-yuan，

（Postgraduate Office， Chinese People’s Institute of Armed Police Force ， Langfang 065000，China）

Abstract： safety checklist and fuzzy comprehensive evaluation on the basis of AHP are used to analyze fire risk of one selected large public building. Qualitative and Semi-quantitative fire risk assessment methods are explained in detail and fire risk grade is given.

Keyword： fire risk evaluation； safety cheklist ；analytic hierarchy process；fuzzy comprehensive evaluation.

火災風險分析是火災安全科學的重要組成部分。通過火災風險分析可以對引起火災的因素進行識別，從而判斷火災發(fā)生的概率以及后果，為制定有效的防火措施提供依據(jù)。一般地，建筑火災風險評估的方法主要分為定性、半定量和定量風險評估方法三大類。本文選擇的建筑是一大型公共建筑，其基本情況為建筑總高97m，總建筑面積為228468 m2，地上共24層，地下2層。其中地下1層為超市和停車庫、地下2層為停車庫，1至4層為綜合性商場，地上5至24層為高檔辦公樓。該大樓的消防設施及運行情況基本符合標準，配備的消防設備比較先進，員工的消防意識較強，也會定期對相關人員進行專業(yè)培訓；但由于經(jīng)營者眾多，經(jīng)常會在通道上堆物，影響安全疏散，管理上也比較松散，消防設備也由于管理問題，經(jīng)常會出現(xiàn)故障。

1.定性火災風險評估法：安全檢查表法

安全檢查表是指參照火災安全規(guī)范、標準，系統(tǒng)地對一個可能發(fā)生的火災環(huán)境進行科學分析，找出各種火災危險源，依據(jù)檢查表中的項目把找出的危險源以問題清單形式給出制成表，以便于安全檢查和火災安全工程管理。安全檢查表分析法就是制定安全檢查表，并依據(jù)此表實施安全檢查和火災危險控制，這是定性評估火災風險所常用的一種方法。

本文采用安全檢查表與風險矩陣相結(jié)合的方法對該場所進行定性火災風險評估，其具體流程如圖1.1所示。以下即為按照該流程圖對該歌舞廳進行火災風險評估的過程。

1.1危險源種類

在考慮該建筑物的實際情況的基礎上，根據(jù)《消防監(jiān)督檢查規(guī)定》中第九條，對公眾聚集場所投入使用、營業(yè)前進行消防安全檢查應當檢查的內(nèi)容的規(guī)定，對其存在的火災隱患按照危險源種類的不同進行識別，具體如圖1.2所示。

1.2安全檢查表的制定

根據(jù)危險源的定義，結(jié)合所檢查的內(nèi)容，分別對各類危險源進行有效辨識，制定出符合該類建筑實際情況的安全檢查表，如表1.1所示。

1.3風險矩陣的繪制

風險矩陣是一種有效的風險管理工具，它由可應用于分析項目或采取的某種方法的潛在風險。根據(jù)NFPA的相關規(guī)定，火災發(fā)生的可能性可以定性地分為頻繁、可能、偶爾、很小和不太可能五個等級，將火災發(fā)生后可能造成的后果的嚴重程度同樣定性的分為災難性、嚴重、中等和可忽略五個等級，各等級的定義如表1.2所示，它們共同構(gòu)成風險矩陣，如圖1.3所示。

1.4估計各措施的等級

根據(jù)建筑中消防措施的設置和實施，將其劃分為報警系統(tǒng)、滅火系統(tǒng)、人員疏散、單位自身監(jiān)管和消防救援五大類。通過安全檢查表中對各項措施的評價與風險矩陣中各等級的定義相結(jié)合，可對各項安全措施的等級進行估計。

對于第一類危險源即可燃物，其影響的是建筑物發(fā)生火災后火災的危害后果嚴重程度。由于該被評估場所室內(nèi)材料不符合室內(nèi)裝修材料消防技術(shù)標準，室內(nèi)可燃物較多，因此一旦發(fā)生火災蔓延迅速并可能造成嚴重損失，根據(jù)危害后果等級的定義，將其危害后果估計為“嚴重”。

對于第二類危險源，其影響的是建筑物發(fā)生火災的可能性。根據(jù)文獻中對各種系統(tǒng)誤報的統(tǒng)計數(shù)據(jù)可大體確定報警系統(tǒng)和滅火系統(tǒng)的誤報率和滅火成功率，再結(jié)合風險矩陣中對可能性等級的定義，可將其導致危害的可能性等級進行估計，如表1.3所示

1.5將各措施填入風險矩陣

通過建筑物內(nèi)消防措施的可能性等級和火災發(fā)生的嚴重程度等級，可將具體的消防措施對應填入風險矩陣中，如圖1.4所示。

1.6對建筑物進行綜合風險評估

由風險矩陣可知，由風險矩陣可以得知，單位自身監(jiān)管、人員疏散、報警系統(tǒng)和滅火系統(tǒng)屬于高風險級，消防救援屬于中等風險級，高風險矩陣居多，故而，該建筑的火災風險屬于不可接受風險。由于定性的火災風險評估方法所涉及的主觀因素加多，常會導致評估結(jié)果的誤差較大，會造成對建筑物火災風險的評估失真。

2半定量風險評估法：基于層次分析法的模糊綜合評價法

火災風險評估是通過分析影響火災發(fā)生和發(fā)展的各種因素，充分利用歷史數(shù)據(jù)，在系統(tǒng)防滅火安全分析的基礎上，對系統(tǒng)的火災風險進行評價。風險評估有多種方法，本文選取層次分析法對該建筑進行火災風險評估。該法適用于多準則、多目標的復雜問題的分析和評價，其分析過程涉及的數(shù)據(jù)量不大，但要求分析人員明確問題所包含的要素及其相互關系，把定性分析與定最分析有機地結(jié)合起來，通過系統(tǒng)化、數(shù)學化和模型化的思維過程，統(tǒng)一地優(yōu)化處理。

2.1指標體系的建立

根據(jù)綜合樓的具體情況分析，本文采取了三層次指標體系，目標層包括建筑環(huán)境因素、建筑防火、消防設備因素、管理因素，再針對準則層和指標層對目標層進一步地細化，可得指標體系表格如下表，表2.1

2.2構(gòu)造判斷矩陣，并求解各指標相對權(quán)重

根據(jù)消防工作的實際經(jīng)驗，對目標層、準則層和指標層各自所包含的因素，利用1-9標度法進行量化處理，而后建立各自的判斷矩陣。因素之間相對重要性的取值，見表2.2

由前面的指標體系可知，該建筑分為三個層次，即A、B、C三個層次。通過對下層內(nèi)各因素對上一層元素影響的相對重要程度，按照1～9標度法進行打分，標準如圖2.2所示，得到判斷矩陣，并逐級向前判定，直至最高層，即A層。

故而，

故λmax，=0.67/（0.17*4）+1.33/（0.33*4）+1.33/（0.33*4）+0.67/（0.17*4）=4

滿足一致性檢驗，所得比較矩陣的結(jié)果可以接受。

同理，可以求得不同目標層、準則層和指標層各自所包含的因素的權(quán)重值，具體值見表2.1。

2.3建立指標評價尺度和系統(tǒng)評價等級

確立了評價指標體系以及各個評價指標的權(quán)重，還需要建立指標評價尺度和系統(tǒng)評價等級，編制調(diào)查表，用于對具體對象進行定量的評估。一般的指標評價尺度分為五級，見表2.3，系統(tǒng)評價等級分為五級，見表2.4。

2.4建立指標評價尺度和系統(tǒng)評價等級

火災風險調(diào)查表就是根據(jù)相關法規(guī)、標準及規(guī)范，結(jié)合工作實踐經(jīng)驗，對每個指標給出得分并繪制而成的表。由于各地區(qū)的具體情況不同，不能有一個通用的調(diào)查表，以耐火等級和建筑高度兩個指標的得分要求為例（見表2.5），說明編制方法和應用。

權(quán)重%（Wi）為表2.1中該指標的累積權(quán)重值。根據(jù)被評估建筑的實際情況，該指標符合評分要求中哪一項，該項對應的評分與權(quán)重的乘積，即為該指標的最終得分（P）。將全部指標的得分（P）相加得到系統(tǒng)的安全得分，再用表2.4查找系統(tǒng)安全評價等級，即可得出該綜合樓建筑的安全等級。

第7篇

關鍵詞：D數(shù)理論；洪澇災害；風險評估；危險性

1、引言

洪澇災害脆弱性是指一定社會背景下，某孕災環(huán)境內(nèi)特定承災體易受到致災洪水的破壞或損失的特性。危險性評估是對風險區(qū)遭受不同強度洪水的破壞的特性進行定量評估分析。目前，對于洪災危險性評估的研究很多，萬君等[1]應用GIS技術(shù)，通過研究洪災危險性和社會經(jīng)濟脆弱性，對湖北省洪災風險進行了評估；馬國斌等[2]借助自然災害風險理論，用歸一化和層次分析法，對全國進行了短時洪災危險性評估；潘安定等[3]對廣州市洪水災害危險性進行了數(shù)字化分析，得到了各指標對洪災影響程度的柵格圖層。但評估中不確定信息的表示問題一直未得到很好的解決。基于此，本文結(jié)合D數(shù)理論，給出了洪澇災害危險性評估過程的具體步驟。

2、D數(shù)理論

D數(shù)理論[4]是鄧勇在證據(jù)理論的基礎上提出的一種不確定性推理理論，。

定x1[4]設Ω是一個識別框架，對于映射D：Ω[0，1]，滿足

，

則把映射D叫做D數(shù)，其中 是空集，A∈2Ω。

定義2[4] 設有兩個D數(shù)D1和D2，則 ，即：

D（b）=v （1）

其中 ，

其中 ， 。

定義3[4] D數(shù)融合法則： （2）

其中ωj為Dj的權(quán)重， 為 從小到大排序所對應的下標j.

定義4[4] D數(shù)的集成： （3）

3、基于D數(shù)理論的洪澇災害危險性評估過程

Step：1：建立風險評估指標體系

本文結(jié)合湖南省的實際情況，建立了如下洪澇災害危險性評估指標體系（見表1）。Step2：指標體系的D數(shù)表示

首先我們需要確定一個評價等級，本文結(jié)合Khan[5]和Pun[6]的方法，將評價標準分為5個等級，分別為-2、-1、0、1、2，分別表示“高的負面影響”、“低的負面影響”、“無影響”、“低的正面影響”、“高的正面影響”。在此基礎上將各評價指標用D數(shù)表示[7]。

Step3：D數(shù)融合

根據(jù)公式（1）-（2）將評級對象融合為一個D數(shù)。這里我們設定所有指標的權(quán)重均為1。

Step4：計算洪澇災害的風險并排序

根據(jù)公式（3），計算出各地的I（D）并排序， I（D）越大，代表其洪災危險性越大。

3、實例研究

以湖南省為例，計算每個城市的洪災脆弱性風險，并排序。

Step1：根據(jù)表1設定的評價標準。請十位專家對湖南省14個地州市的各指標進行評價，并將結(jié)果用D數(shù)表示（見表3）。

Step2：根據(jù)公式（2）-（3）對每個城市的D數(shù)進行融合，再通過公式（1）計算出每個城市的 ，結(jié)果見表3。

4、結(jié)論

本文在對當前洪澇災害危險性評估總結(jié)的基礎上，針對評估中不確定信息的表示問題，提出了基于D數(shù)理論的洪澇災害危險性評估方法，建立了洪澇災害危險性評估指標體系，并以湖南省14個地州市為例證明了方法的可行性。

參考文獻：

[1] 萬君， 周月華， 王迎迎.基于 GIS 的湖北省區(qū)域洪澇災害風險評估方法研究[ J ] .暴雨災害， 2007

[2] 馬國斌， 蔣衛(wèi)國， 李京，等. 中國短時洪澇災害危險性評估與驗證[J]. 地理研究， 2012， 31（1）：34-44.

[3] 潘安定， 劉會平， 陳碧珊，等. 廣州市洪水災害危險性評價初步研究[J]. 自然災害學報， 2 1 （4）：2328.

[4] Deng Y.D numbers： Theory and Applications[J].Journal of Information and Computational Science， 2012，9（9）： 2421-2428.

[5] Khan M H， Fitzcharles K， Environmental management ？eld handbook for ruralroad improvement projects[M]， CARE International Bangladesh， Dhaka， 1998.

[6] Pun K F， Hui I K， Lewis W G， et al. A multiple-criteria environmental impact assessment for the plastic injection molding process： a methodology[J]. Journal of Cleaner Production， 2003， 11（1）：41-49.

[7] Deng X， Hu Y， Deng Y， et al. Environmental impact assessment based on D numbers[J]. Expert Systems with Applications An International Journal， 2014， 41（2）：635-643.

第8篇

查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評估風險的大小，提出風險控制措施的過程。《國家信息化領導小組關于加強信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神，進一步識別信息系統(tǒng)存在的風險，并對其進行控制，很多單位啟動了風險評估項目。而風險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風險評估項目的過程管理

可以從五個方面解釋信息安全風險評估項目的生命周期，即數(shù)據(jù)收集、計劃準備、數(shù)據(jù)分析、項目驗收、報告撰寫，其中一三五是風險評估的主要實施階段。

2.1計劃準備階段

（1）制定項目章程。在信息安全風險評估項目中，應盡早確認并任命項目經(jīng)理，最好在制定項目章程時就任命。項目經(jīng)理的職責首先就在于應該參與制定項目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運用組織資源來進行項目的實施。顯而易見，項目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項目運行有效的一方。授權(quán)項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風險評估范圍。確定風險評估范圍即要了解什么方面或者對象具有風險爆發(fā)的可能，例如公司的服務器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

（3）明確風險評估成果。在信息安全風險評估項目中，應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。明確風險評估成果之后，在項目執(zhí)行過程中，該目標也應該作為項目驗收的標準。

（4）制定項目實施方案。項目實施方案是項目活動實施的具體流程，主要用來為項目實施提供技術(shù)指導。

（5）制定項目管理計劃。如果想要計劃實施過程一切順利，或者說對定義等計劃行動的過程需要記錄的話，就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進明細。項目管理計劃不能冗余，相反應該極其精煉，但是精煉并不意味著簡單，相反項目管理計劃應詳細論述和解釋完成這個項目所需要的一些條件。

（6）組建項目團隊。一個優(yōu)秀的項目團隊是完成項目所必不可少的，是一種必須的人力資源。在項目開始時，一般而言，由項目經(jīng)理來決定優(yōu)秀團隊的組成，并且在組建團隊時應該注意談判技巧。

（7）召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作，是一個項目的啟動階段，在項目啟動會上需要完成的任務包括分析評估完成項目所需要的方法和成本等問題。

（8）風險評估培訓。風險評估培訓是對項目團隊成員及客戶的項目參與者就風險評估方法、評估過程的相關細節(jié)性進行培訓，以便項目能順利實施。

2.2數(shù)據(jù)收集階段

主要包括收集資料、現(xiàn)場技術(shù)評估、現(xiàn)場管理評估三項任務。

（1）收集資料。數(shù)據(jù)收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細地獲得和項目相關的一些信息，例如客戶的行為習慣、客戶業(yè)務相關的文檔，甚至信息安全系統(tǒng)、信息化流程等信息都要盡量詳細化。

（2）現(xiàn)場技術(shù)評估?，F(xiàn)場技術(shù)評估就是通過漏洞掃描、問卷調(diào)查、現(xiàn)場訪談、主機配置審計、現(xiàn)場勘查等手段對評估對象進行評估。

（3）現(xiàn)場管理評估。現(xiàn)場管理評估是最后一個步驟，但是卻非常重要，它不僅關系著此次項目運行成功與否，還關系到以后項目效率的改進，現(xiàn)場評估需要對項目進展的流程進行綜合分析，找出不足之處，尋出與優(yōu)秀的項目管理之間的差距，歸納總結(jié)，從而完善管理程序。

2.3數(shù)據(jù)分析階段

收集數(shù)據(jù)階段已經(jīng)收集了很多的數(shù)據(jù)存量，想要發(fā)現(xiàn)數(shù)據(jù)的內(nèi)在規(guī)律，從而發(fā)現(xiàn)有用的東西，就必須對數(shù)據(jù)進行詳細分析，只有仔細分析數(shù)據(jù)，才能夠發(fā)現(xiàn)項目的風險所在，從而確定風險的大小，找出其資產(chǎn)、弱點、風險。

2.4報告撰寫階段

對收集到的數(shù)據(jù)進行了詳細分析，得到初步的結(jié)論以后，就到了報告撰寫階段，即在數(shù)據(jù)分析的基礎上，制作一份報告，論述項目的風險問題。

（1）撰寫風險評估報告。風險評估報告應該將風險分析的結(jié)果直觀地、形象地表達出來，讓管理層清楚地了解當前信息系統(tǒng)存在的風險。

（2）撰寫整改報告。整改報告則是根據(jù)風險評估的結(jié)果，提出對風險進行管理與控制的過程?？煞譃榘踩庸探ㄗh、安全體系結(jié)構(gòu)建議、安全管理建議三種。

2.5項目驗收階段

在完成了以上的步驟以后，理論上就可以對項目進行驗收了，項目驗收即對前期風險評估成果的檢驗，一般包括三項內(nèi)容，即報告的評審、組織會議討論驗收事宜以及內(nèi)部項目總結(jié)。

（1）報告評審報告評審就是對風險評估報告及整改報告進行評審。

（2）召開項目驗收會即對項目的成果進行匯報。

（3）內(nèi)部項目總結(jié)不僅僅是單純的對項目實施過程的一次簡單的回顧，還是一個經(jīng)驗總結(jié)的過程，回顧過去，把握現(xiàn)在，爭取在以后的項目中不再犯同樣的錯誤。

3信息安全風險評估項目的重點領域管理

信息安全問題影響深遠，其風險評估應根據(jù)項目的特點及具體過程，且應在評估中重點加強溝通、范圍、時間、成本、風險、人力資源等幾個領域的管理。

3.1項目溝通管理

為了達到項目目標，項目經(jīng)理首先必須通過溝通談判從本公司獲得相應的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項目滿意度，項目經(jīng)理必須與客戶進行有效溝通。項目的最終目標是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實施過程中管理干系人的需求與期望。

（1）識別干系人。很顯然，與項目的相關程度不同，不同的人對項目信息安全風險具有不同的影響，作為客戶方與項目實施方，其公司企業(yè)的信息安全風險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項目的態(tài)度也是影響項目信息安全風險的重要因素，態(tài)度一般分為無關、支持和反對三個。

（2）了解干系人的需求與期望。應該在充分了解項目背景的基礎上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景。可以咨詢售前顧問、銷售人員或者查閱招標時的招標書，甚至可以通過互聯(lián)網(wǎng)獲得相關信息。風險評估項目的項目背景也是復雜的，一般而言會分成很多的情況，比較常見的有項目本身實施過程中出現(xiàn)的信息安全事件、監(jiān)管機制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進一步確認干系人的需求與期望。

（3）制定溝通計劃。信息安全風險評估項目需要溝通，所以需要制定一個有效的溝通計劃。信息安全風險評估項目不能夠隨意地制定溝通計劃，而應該詳細地分析相關的影響因素，重點關注利益相關者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應該得到恰當?shù)墓芾?，最重要的是要明確期望與需求，進行類別的劃分?？煞譃锳、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗收；B類：應該做（want），這一類如不做，會影響驗收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗收。其次，在管理干系人的需求與期望時，應該遵循80/20規(guī)則，即完成20%的任務實現(xiàn)80%的價值，這部分任務必須作為重點。另外，可能還有20%的任務花費80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據(jù)干系人的職權(quán)（權(quán)力）進行管理。①在第一象限中的干系人權(quán)力高，但對項目關注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權(quán)力高，且對項目關注程度高，要對其重點管理，優(yōu)先滿足其需要與期望。③第三象限的人員對項目關注程度高，但權(quán)力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權(quán)力低，且對項目不關注，要監(jiān)督他們對項目的反應，不引起負面影響。最后，為了滿足干系人的需求與期望，需要在項目范圍、項目時間、項目成本、項目質(zhì)量之間做好平衡。

3.2項目范圍管理

范圍是一個空間的范疇，一個項目管理的范圍規(guī)定了一個項目的權(quán)限范圍，規(guī)定了項目可以做哪些事情，而哪些事情是不能做的，實際上是對必要工作的堅持和對不必要工作的摒棄。

（1）明確風險評估范圍。項目計劃準備時就要考慮風險評估范圍，在這一階段就應該定義項目范圍的廣泛性以及縱深等內(nèi)容，并且考慮客戶的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應該照顧各方的利益，制定出一個符合各方利益的項目管理范圍。

（2）明確風險評估成果。應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。一是在項目執(zhí)行過程中，以此為目標；二是設定一個驗收項目的標準。

（3）創(chuàng)建工作分解結(jié)構(gòu)。顧名思義，創(chuàng)建工作分解結(jié)構(gòu)即將解構(gòu)分解，即把項目的最后結(jié)果和其工作流程明細化，從而使得每一步變得簡單，更加容易操作。在信息安全風險評估項目中，第一層一般就放置項目成果，而第二層則更加側(cè)重中間成果。顯而易見，分解工作結(jié)構(gòu)并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風險評估范圍控制。范圍是所有計劃的基礎。對待客戶提出范圍變更應該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應變更所需要的人工及預算對時間和質(zhì)量的影響，然后再做出決定。

（5）風險評估成果核實。風險評估成果核實過程應該嚴謹而且細心，因為這是一個正式驗收項目的過程，需要由客戶和項目的執(zhí)行人一起認真核實項目的最終結(jié)果。

（6）取得干系人對項目范圍正式認可。它要求審查可交付成果和工作結(jié)果，以保證一切均已正確無誤且令人滿意地完成。

3.3項目時間管理

時間管理至關重要，因為優(yōu)秀的時間管理保證項目能夠不延期交付。

（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結(jié)構(gòu)的基礎上進行細化而完成的。

（2）排列活動順序?；顒禹樞蛏婕暗降氖且粋€排列的問題，指的是一種依賴關系，即識別和記錄項目活動的依賴關系，是一種邏輯的過程。一般而言，這里所指的依賴關系指的是信息安全風險評估項目中，各個活動之間所具有的特性，如強制性、選擇性和外部依賴性。確定完活動之間的依賴關系，就可以對他們進行排序了，可以采用網(wǎng)絡圖的方法來表達他們之間的順序，常有三種關系，即完成-開始，開始-開始，結(jié)束-結(jié)束。

（3）估算活動持續(xù)時間。估算活動持續(xù)時間是一個時間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動所需工時的過程。需要根據(jù)活動的具體情況、負責活動的人員情況來進行估算。估算不能隨意，應該具有嚴格的依據(jù)。工時估算時，常采用三點估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進度計劃。制定進度計劃首先需要對所掌握的信息進行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準確的點，估算對資源的需求以及項目實施流程。制定一個有效的進度計劃并不是件簡單的事情，而是極其復雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項目結(jié)果有一個合適的預期。即使制訂了進度計劃，也不是一成不變的，而是要根據(jù)相關審查部門的意見適當?shù)匦薷挠媱潱瑥亩沟糜媱澰跁r間和資源應用上更加合理。只有審查通過以后，這個進度計劃才可以說是確定下來了。信息安全風險評估項目極其復雜，很多因素無論是內(nèi)部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個更加合適的進度計劃形式。②控制進度?？刂七M度的同時也是一個對項目監(jiān)督管理的過程，這一過程根據(jù)進度計劃的基準不斷地調(diào)整項目的進程。進度控制程序：一般分為四個步驟，即先要分析一個項目所散發(fā)的狀態(tài)信息；然后如果需要調(diào)整進度，就要調(diào)整影響進度的相關參數(shù)；再次分析以后，要確定一個項目是否在原定的軌道上；如果進度脫離了軌道，就要進行相應的管理。

3.4項目成本管理

成本管理包括估算成本、制定預算、控制成本三項任務。

（1）估算成本。對成本的估算需要囊括整個項目的進程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點，根據(jù)已知信息所做出的成本預測。信息安全風險評估項目的主要成本是人工成本及實施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎的一面。估算人工成本有個前提，即進度計劃是準確的，從而對團隊成員的人工估算做到精確。項目成本即使估算出來了，也不一定是準確的，需要時時修正，因為越到了項目的后期，需要估計的越少，影響估算準確性的因素也越少，所以成本估算需要不斷進行。

（2）制定預算。制定預算也是一個估算的過程，是對一個項目的所有方面進行一個全面的評估，從而為以后資金的撥付制訂了基礎和基準。只有制定預算，才能夠根據(jù)預算的需求來劃撥資金，并且影響到了項目的實施全過程和成果評估部分。

（3）控制成本。成本的控制一般而言指的是成本不應該超出預算，控制成本是一個動態(tài)的過程，是監(jiān)督項目狀態(tài)，從而獲得有用信息以更新項目預算。項目成本控制包括：找出影響項目成本的因素，并作相應的修改；保證修改項目參數(shù)能夠成功；在修改成功以后，要隨時動態(tài)地監(jiān)督；控制成本，使得成本控制在預算的范圍之內(nèi)，甚至應該精確到每一項開支；分析成本與預算成本基準之間的差距；對照資金支出，監(jiān)督工作績效；嚴格禁止不相關的支出，使得每一項成本都合情合理；向有關干系人匯報項目進展和成本控制的工作；即使項目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個項目執(zhí)行時包括很多方面的內(nèi)容，例如管理組織一個實施團隊、人員分工等。

（1）制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團隊、人員、職務、報酬等方面的規(guī)劃，并且對各個人和團隊的責任進行詳細劃分。人力資源計劃包含項目角色與職責記錄、分成的各個部門等。一些信息安全風險評估項目執(zhí)行時間比較長，因此需要更加有效的團隊，這就需要對人員進行培訓以及制定團隊建設策略等。風險評估項目的責任分配并不復雜，可采用責任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項目團隊成員之間的聯(lián)系。并且根據(jù)需求的不同，制定不同層次的矩陣。

（2）組建項目團隊。組建項目團隊實際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團隊，在組建團隊時需要注意：項目經(jīng)理所要做的是積極地與人力資源人員進行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經(jīng)濟等其他項目對資源的占用等因素的影響，從而制約了項目的實施，作為替代，項目經(jīng)理可能不可避免地使用不合適的人力資源。

（3）管理項目團隊。管理項目團隊是選出來運營項目的人所組成的團隊，他們具有多樣化的目標，例如繼續(xù)學習，提高團隊成員的專業(yè)技能，增強團隊的執(zhí)行能力從而保證項目結(jié)果的按時交付；以最低的成本完成最高質(zhì)量的項目；按時完成項目，團隊成員之間相互協(xié)作，增加團隊效率，豐富團隊成員的知識，增強其跨學科運作能力，提高團隊的凝聚力，無論整體上還是個人上都有效率的提升等。項目經(jīng)理在期間應該全權(quán)負責項目團隊的管理運作，增加項目績效，在團隊出現(xiàn)問題時，分析導致問題的原因，然后解決問題。團隊建設一般要經(jīng)過5個階段：①形成階段，這個階段是團隊形成的最初階段，團隊成員只是互相認識，并沒有相應的合作。②震蕩階段，指的是團隊已經(jīng)開始運作，但是成員之間需要磨合的階段。③規(guī)范階段，過了磨合期以后，團隊成員彼此之間逐漸適應了彼此的節(jié)奏，能夠進行初步合作了，團隊開始有成為一個有效整體的趨向。④成熟階段，這一階段團隊成員之間已經(jīng)能夠精誠合作，互補余缺，相互學習，團隊效率較高。⑤解散階段，即當項目完成以后，各成員完成了職責，從而脫離團隊。因為各種各樣的原因，例如缺乏充足的資金、進度安排不合理、團隊成員之間缺乏配合等，會造成項目環(huán)境的沖突。如果項目經(jīng)理能有效管理，則意見分歧能夠轉(zhuǎn)變?yōu)閳F隊的多樣化管理，不僅能夠提高團隊創(chuàng)造力還有利于做出更好的決策。如果管理不當，團隊之間的分歧沒有得到解決，就可能會加大團隊成員之間的鴻溝，從而對項目的實施產(chǎn)生負面的影響。要建設高效的項目團隊，項目經(jīng)理需要獲得高層管理者的支持，獲得團隊成員的承諾，采用適當?shù)莫剟詈驼J可機制，創(chuàng)建團隊認同感，有效管理沖突，團隊成員間增進信任和開放式溝通，特別是要有良好的團隊領導力。項目團隊管理的一些工具與技術(shù)包括：①人際關系技能。通過了解項目團隊成員的感情來預測其行動，了解其后顧之憂，并盡力幫助解決問題，項目管理團隊可大大減少麻煩并促進合作。②培訓。旨在提高項目團隊成員能力的全部活動，培訓可以是正式或非正式的。應該按人力資源計劃中的安排來實施預定的培訓。③制定管理規(guī)范，對項目團隊成員的可接受行為做出明確規(guī)定。盡早制定并遵守明確的規(guī)則，可減少誤解，提高生產(chǎn)力。規(guī)則一旦建立，全體項目團隊成員都必須遵守。④認可與獎勵。如果想要提高項目團隊的效率，使得每個人更加盡心和更加富有責任感，就應在團隊建設過程中引進相應的激勵機制，在制定項目計劃時就應該考慮到團隊成員的獎懲問題。在管理項目團隊的過程中，團隊成員的獎勵不是隨意而發(fā)的，而是通過項目績效評價，以正式或非正式的方式做出獎勵決定。只有優(yōu)良行為才能得到獎勵。

3.6項目風險管理

項目風險管理旨在降低風險，或者把風險控制在可控范圍之內(nèi)。其目標是盡力使得項目運行向著有利的方面轉(zhuǎn)化，對消極負面的一部分則注意防范。信息安全風險評估項目不屬于特別大的項目，所以一般分為識別風險、評價風險、規(guī)劃風險應對、監(jiān)控風險四個過程。

（1）識別風險。識別風險是風險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風險會影響項目。可采用核對表的方式進行風險識別。

（2）評價風險。對于信息安全風險評估項目，評價風險只需要定性評價即可。實施定性風險分析根據(jù)風險發(fā)生的相對概率或可能性、風險發(fā)生后對項目目標的相應影響以及其他因素來評估已識別風險的優(yōu)先級。

（3）規(guī)劃風險應對。規(guī)劃風險應對是風險管理最重要的步驟，其規(guī)劃的是項目的目標及降低風險的步驟。對于消極風險，常有回避、轉(zhuǎn)移、減輕、接受四種方式；對于積極風險，常有開拓、分享、提高、接受四種方式。

（4）監(jiān)控風險。監(jiān)控風險是風險管理的最后一步，也是第一步，因為它是貫穿在整個項目之中，是一個制定風險應對計劃、監(jiān)控已知風險、加強管理以解決風險以及發(fā)現(xiàn)新風險的過程。

4結(jié)語