企業風險管理案例范文
時間:2023-08-30 17:06:49
導語:如何才能寫好一篇企業風險管理案例,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
風險管理理論發展至今,不同的學科、不同的專業機構、團體、研究學者有不同的認識和理解,于是產生了不同的理論派別。本文的理論框架主要來源于美國COSO委員會制定的《企業風險管理——整合框架》。
二、公司簡介
某集團有限公司是中國最大的肉制品生產企業之一,其產品包括冷鮮肉、冷凍肉、以及以豬肉為主的低溫肉制品、高溫肉制品。
集團總部設于中國江蘇省南京市,擁有多處冷鮮肉、冷凍肉生產基地及深加工肉制品生產基地。集團擁有最先進的生產設備和工藝技術,以其獨有的技術方法,研制出一系列符合消費者口味的優質產品。基于肉制品業務的經驗,集團于1997年開展冷鮮肉和冷凍肉業務。2002、2003年,冷鮮肉、冷凍肉的市場占有率分別位列中國大陸第二名、第三名。低溫肉制品,自2002年至2004年,其市場占有率連續三年位居中國大型零售商銷售首位。
對某集團而言,企業的迅速壯大是成功的標志,但更是企業所面臨的挑戰。作為一家迅速發展中的企業,集團深刻意識到專業化管理對于企業壯大的重要性。因此,集團時刻致力于強化企業的專業化管理,增強企業的核心競爭力。
三、某集團風險管理流程存在的問題及對策建議
(一)風險管理文化
1.存在的問題。某集團雖然在香港聯合證券交易所上市,但其實質仍是一中國民營企業,該企業按照香港的《上市規則》建立了法人治理結構,建立健全了一系列“法治”的規章制度,但其“人治”的色彩非常濃厚。內部控制對高級管理層的約束力較弱。
2.對策建議。在風險管理方面,首先要做的工作是在全公司范圍內自上而下進行一次風險管理的宣傳、教育、培訓,增強員工風險管理意識,董事和高級管理人員應在培育風險管理文化中起表率作用。重要管理及業務流程和風險控制點的管理人員和業務操作人員,應成為培育風險管理文化的骨干。與薪酬制度和人事制度相結合進行風險管理文化建設,增強各級管理人員特別是高級管理人員風險意識,防止盲目擴張、片面追求業績、忽視風險等行為的發生。加強員工法律素質教育,制定員工道德誠信準則,形成人人講道德誠信、合法合規經營的風險管理文化。
(二)風險管理組織體系
1.存在的問題。在公司現有的組織結構里,沒有專職的風險管理機構。董事會下既沒有設風險管理委員會,也沒有設審計委員會。風險管理職能由其他部門(如總經辦、審計部、投資發展部)根據需要分散承擔,由于風險管理職責不明確,缺少對各種風險的整合管理。
2.對策建議。董事會就全面風險管理工作的有效性對股東大會負責。在董事會下設風險管理委員會,整合現有風險管理資源。明確總經理對全面風險管理工作的有效性向董事會負責。總經理委托的高級管理人員負責主持全面風險管理的日常工作,成立風險管理部,負責組織協調全面風險管理日常工作,除一至兩個專職人員外,其他人員可暫由其他部門派人兼任。內部審計部門在風險管理方面主要負責研究提出全面風險管理監督評價體系,制定監督評價相關制度,開展監督與評價,出具監督評價審計報告。
(三)風險識別、評估、排序
1.存在的問題。現在進行重點管理的十三種風險,還是一年前管理層通過討論識別、評估確認的,一年來沒有重新進行識別、評估、排序。而一年來公司內外部環境都發生了很大的變化,原來識別的風險范圍是否充分、評估排序是否恰當,亟需進行重新審視。
2.對策建議。在進行風險管理宣傳的同時,設計、發放調查問卷,發動公司所有員工對公司面臨的風險和機會進行識別,對調查結果進行統計、分析、總結,篩選出主要風險后,在管理層范圍內對這些風險進行打分,評估重要性后排序。而對于識別出來的機會,管理層要考慮如何加以充分利用。
(四)風險管理策略與方法
1.存在的問題。公司現有的針對十三種風險采取的防范措施幾乎全部可歸結為抑制與控制策略,以期降低損失發生的可能性、頻率,縮小損失程度。這十三種風險范圍之外的風險可以說是采取了風險接受策略。而對于風險規避策略、風險轉移策略、風險利用策略則極少采用。在風險管理策略與方法的選擇上顯得比較保守,缺乏靈活性。而對于機會,則沒有明確的策略進行利用。
2.對策建議。在對公司面臨的風險進行重新識別、評估后,在風險規避、風險轉移、風險抑制與控制、風險接受、風險利用等策略上靈活選擇,可通過保險、契約、合同、金融工具等形式將風險轉移出去。同時要對機會加以利用,并反映到戰略目標、經營目標的制定上。
(五)風險管理監控與檢查
1.存在的問題。公司目前沒有專職人員對風險管理進行監控,對風險管理的監控依賴于對日常經營活動進行監控的日報、月報系統,而在日報、月報內容中并無專門對風險管理情況進行報告。內部審計系統在執行審計任務時,偏重于財務審計、舞弊審計、經營管理審計,而對于風險管理審計尚處于探索階段,尚未全面開展風險管理專項審計。高級管理層則沒有對風險管理進行專門的監控與檢查。
2.對策建議。內部審計部門開展風險管理專項審計,研究提出全面風險管理監督評價體系,制定監督評價相關制度,開展監督與評價,出具監督評價審計報告。可結合例行審計、任期審計或專項審計工作一并開展風險管理審計;在日報、月報系統中增加對各單位風險管理狀況自查報告的內容。高級管理層每年至少一次對風險管理狀況進行評估。新晨
(六)風險管理溝通與咨詢
1.存在的問題。公司缺乏專業的高水平的風險管理師,缺少專門的風險管理溝通渠道,而溝通與咨詢存在于風險管理的各個環節當中,這也是風險管理難以有效開展的重要原因。
2.對策建議。公司公開招聘風險管理師,或聘請有資質、信譽好、風險管理專業能力強的中介機構對企業全面風險管理工作進行評價,出具風險管理評估和建議專項報告,培訓風險管理人員;在現有的信息系統中開辟專門的風險管理溝通渠道。
四、結語
企業要想在市場經濟的大潮中基業長青,必須對面臨的各種風險進行系統地、全面地管理,這已是不爭的事實。借鑒西方先進的風險管理理念、理論、方法、工具,結合本企業具體實際情況,對內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控八個風險管理要素逐一進行分析和評價,查找問題和不足,對風險管理文化、風險管理組織體系、風險識別、評估、排序、風險管理策略與方法、風險管理監控與檢查、風險管理溝通與咨詢等關鍵的風險管理流程采取措施不斷完善,逐步建立企業風險管理系統,是解決風險管理問題的最佳實務。企業應當增強風險意識,逐步建立風險管理系統,為企業保駕護航,這樣企業才能在市場經濟的大海中劈波斬浪,遠航。
【參考文獻】
篇2
關鍵詞:電力企業;安全生產;風險管理體系
一、引言
電力自身的特性決定了安全在電力企業生產過程中的重要意義,除此之外,由于電力企業在生產的過程中存在極高的風險,這對于相關人員的安全意識以及技術水平具有嚴格的要求,在此基礎上對風險管理體系進行不斷的創新和完善,才能達到提高電力企業的生產質量和效率,促進社會發展的目的。
二、構建電力企業安全生產風險管理體系的意義
我國大部分的電力企業仍舊缺乏對安全管理工作重要性的深刻認識,導致在進行安全管理工作的過程中存在許多漏洞,并且沒有完善的風險管理體系用以支撐,這對于提高電力企業的生產安全性是非常不利的,因此,為了從源頭處對上述問題進行解決,就需要對電力企業安全生產風險管理體系進行構建和完善,這既滿足了電力企業發展過程中的需求,同時又與社會的發展趨勢不謀而合[1]。構建完整的風險管理體系可以對生產過程中所存在的安全問題進行規避,從而減少發生安全事故的幾率,提高企業的經濟效益。
三、構建電力企業安全生產風險管理體系的有效途徑
(一)對管理組織進行完善
作為提高開展風險管理工作效率的重要因素,對管理組織進行完善在對風險管理體系進行構建的過程中具有無法替代的重要作用。在構建風險管理體系的過程中,首先需要對所應用的方案在系統性和科學性方面進行一定的保證,在此基礎上根據電力企業內部不同部門所對應的工作內容,對目標合理與否進行準確的評估,可以說一套系統、科學的方案可以對接下來相關工作的開展具有極其重要的推動作用,在對下一階段工作開展的過程中,需要在考慮人力、物力和財力合理分配的基礎上,通過對資源進行高效配置,實現各個工作階段有條不紊的進行的效果。
(二)撰寫相關體系的文件
由于在電力企業生產過程中存在的諸多風險是隨著實際情況而不斷變化的,因此,這就需要電力企業撰寫與安全管理體系相關的文件,以確保在生產過程中面對各種類型的風險都能夠及時的解決。文件內容包括該企業在進行風險管理工作中發現的問題、解決辦法以及后續跟進等,并且定期進行總結,這樣做的好處在于可以使企業今后的生產中遇到相關問題時以最快的速度對解決方法進行制定,從而提高電力企業工作的安全性,促進企業的快速發展[2]。
(三)對文件進行貫徹落實
在文件撰寫的工作結束后,就需要相關企業為文件內容的貫徹落實創造一個良好的環境,通過加深工作人員對執行文件內容對于企業發展重要性的理解程度,使其在工作的過程中對文件內所制定的規章制度進行嚴格執行,從而提高企業的生產效率。
(四)對生產風險進行評估
對生產風險進行評估一共分為以下幾個步驟:第一步,對安全事故所產生的危害進行準確識別,這個步驟也是風險管理工作中極為重要的一步,如果沒有對這一步驟進行嚴格的落實,就無法對相應的風險進行進一步的評估和控制;第二步,對該危害所具有的風險進行評估,這一步的意義在于對電力企業能否承受該風險進行準確的判斷;第三步,根據以上兩個步驟制定出相應的方案,對風險的發生進行預防和解決[3]。
(五)對生產風險進行控制
現階段我國大部分的電力企業在對自身的生產進行風險管理過程中均存在漏洞,缺少一個科學、合理的體系作為開展工作的基礎,因此,對風險管理體系進行不斷的完善,使其變得更加規范迫在眉睫。在對風險管理體系進行改進時,應當從內容、步驟、方法等多個方面同時著手,以電力企業在生產過程中所固有的風險為基礎,結合實際情況構建起將風險管理的過程和結果二者有機結合的體系,例如,對進行電力作業的現場進行全程跟進風險管理的體系,或是對電力企業在生產過程中的安全文化進行控制的體系等。
(六)提高工作人員的素質
工作人員作為開展風險管理工作的主體,提高員工的綜合素質與提高管理工作的效率二者是緊密相連的,電力企業可以通過定期開展相關培訓的方式,對工作人員的素質和能力進行不斷提高。針對電力企業自身的特點,開展培訓工作的方向主要為基礎知識、體系構建以及人員培訓幾個方面,并且在培訓的過程中需要將培訓的內容與企業自身的實際情況進行有機的結合,通過不同企業員工間的交流、邀請專家前來指導以及組織員工定期前往培訓機構等方式,提高培訓工作的科學性,并且保證培訓工作的最終成果。四、結論綜上所述,隨著社會發展進程的不斷深入,以電力為首的諸多企業均面臨著前所未有的機遇和挑戰,因此,想要以當今的社會背景為推動力,使企業自身得到長足的進步,就需要通過構建風險管理體系,提高對生產過程中可能存在的風險和問題進行規避的能力,提高企業生產過程的安全性,從而為電力企業的發展奠定良好的基礎。
作者:施云峰 李沛 雷占軍 單位:國網西寧供電公司
參考文獻:
[1]邱細蝦.安全生產風險管理體系在電網工程建設中的研究與應用[D].廣西師范大學,2015.
篇3
關鍵詞:安全風險;成本管理;建議對策
1煤礦企業安全風險種類
通常情況下,區分煤炭企業安全風險種類是一個綜合性的也是多維度的復雜的問題。一般而言,學者通過不同的側面進而對煤炭企業的安全風險種類進行區分,比如風險指標系統、指標權重、預警指標、預警機制等。通過這些更為細致的類別劃分,可以實現對煤礦企業安全風險種類全面的分析。
1.1煤炭安全風險評價指標
煤礦安全的風險評價指標體系做為整個煤礦企業安全風險評價及預警的關鍵和基礎,在整個煤炭企業安全風險與成本管理的框架下占有舉足輕重的地位。通過設計科學合理的煤炭安全風險評價指標可以為決策者提供更為權威的數據參考,也便于進行風險安全的監督與調控。不過,目前我國主要采用的安全風險指標還主要停留在表層的、定性的研究和刻畫上。這種安全風險指標很容易讓決策者忽略一些重要的事實,如百萬噸死亡率,千人死亡率等。這類安全風險指標很難有效地反應全面的煤礦當前安全運行狀態。比如,數據顯示,近幾年來,我國煤礦事故總量發生數量在較少人次上呈現出較為明顯的下降趨勢,但在大規模的煤礦事故中,這一數量并未減少,相反比重反而在增加。如果決策者只關注煤礦事故的總數,難免會掉以輕心,心存僥幸。
1.2煤礦安全風險評價指標權重
在有了較為科學的煤礦安全風險評價指標后,需要確定不同安全風險評價指標的權重,只有賦予合理科學的權重,才能讓安全風險評價指標發揮最大的作用。而安全風險評價指標權重的確定方法主要包括主觀法和客觀法及二者相結合的方法。不同的分析的確定方法有著各自的優缺點,在此基礎上層次分析方法可以進一步提升安全風險評價指標。
1.3煤礦安全風險預警方法
在有了科學的安全風險評價指標及一定的權重值之后,如何根據這些安全風險指標及時地發現風險并做出合理快速的預警措施是另一個值得仔細分析討論的問題。簡單說來,必須要滿足日常性、靈敏性、及時性、參照性,以及便于操作的原則。因此,煤炭企業在制定安全風險預警方法的同時要兼顧自身的人力、物力,從人力資源、安全投入及安全管理制度等多方面綜合考慮。并在此基礎上,建立煤礦安全風險預警判別與應對機制。
2煤礦安全管理成本現狀
2.1煤炭企業保證性安全投資成本高
由于保證性的安全投資難以短時間內給企業帶來豐厚的利潤,因此作為長期投資往往不受企業的青睞。尤其是對于中小企業而言,巨大的保證性安全投資成本使得這些企業望而卻步,忽略安全管理,進而為安全問題埋下隱患。
2.2事故的外部性嚴重
經濟學中,“看不見的手”失效的一種情況就是存在的外部性,也即是成本沒有完全內生化。這點對于煤炭企業的安全管理尤為明顯。煤炭企業的安全有著巨大的正的外部性,可以使得周邊的居民、企業等享受到這種外部性的好處,但是由于這種安全管理成本全部需要煤炭企業自己承擔,因此,經濟學的理論告訴人們,均衡數量會小于最優數量,也即是說企業對于安全管理的投入是嚴重不足的。
2.3煤炭企業的安全成本沒有單獨核算
我國目前運行的會計核算體系中,對于安全成本一項并沒有單獨的科目。這導致企業對于自己的成本支出沒有一個清晰明確的認識,進而主動強化自己的安全管理成本意識得不到加強,從而使得內生動力不足。
3煤炭企業安全風險成本管理
3.1建立健全煤炭企業安全保證金制度
通過成立煤炭企業安全保證金制度,可以預先劃撥出部分資金作為準備金以應對突發事件,同時這部分資金可以部分用來完善改進現有的安全保險機制,起到一舉多得的效果。對于明文規定的一些安全措施,企業應該嚴格遵守,同時對于一些沒有明確規定、但是可能存在風險的,要及時進行防范。
3.2優化煤炭企業安全成本核算體系
通過完善我國的會計核算體系,使得煤炭企業的安全成本可以作為單獨的一個會計科目體現在財務報表中,使得企業可以對于自己的成本花銷一目了然,并且作為一個可以橫向比較的資產單元成為企業自身管理的一種激勵措施。由于目前關于安全成本的核算和分析只是局限于理論分析階段,因此對于我國目前的運行現狀,可以考慮進行一定的緩沖處理。建議建立安全成本率、產量安全成本率、利潤安全成本率及保證成本率等綜合指標評價體系。
3.3完善煤炭企業安全成本核算程序
煤炭企業安全成本核算程序通暢與否可以作為衡量我國煤炭企業發展程度的重要標志之一。完整通暢的安全成本核算程序是煤炭企業能否科學進行安全成本管理的問題關鍵。同時制定統一的安全成本核算方法,避免目前存在于市場上的多體系造成的混亂。
3.4加強各部門之間的溝通
積極促進會計部門及稅收部門等的溝通,有助于加強會計準則和稅務制度對安全費用規定的溝通和協調。推行全面的安全質量標準化管理,增強企業、員工及社會各界人士對于安全風險的意識的認識,是我國煤炭企業真正實現現代化、安全化的重要標志之一。
4結語
煤炭企業的安全風險與成本管理問題是一個關系到企業甚至是整個行業發展的核心問題。近年來,雖然我國對于煤炭企業的安全風險進行了重點治理,取得了階段性成果,但還不能掉以輕心。目前我國已然存在著保證性投資成本高,事故外部性嚴重及管理成本沒有進行單獨的核算等一系列問題,只有針對這些問題采取對應的措施,才能讓我國的煤炭行業更上一層樓。
作者:文靜 單位:陜西工業職業技術學院
參考文獻:
[1]馬國流.淺析我國煤炭企業的風險管理及控制措施[J].商場現代化,2010,49(11):28-29.
[2]張曉會.煤炭企業安全成本管理問題及對策[J].企業導報,2011,32(9):95-96.
[3]叢劍釗.市場經濟環境下煤炭企業成本管理存在的問題和對策[J].煤炭技術,2008,27(8):165-166.
篇4
風險管理是指在一定的管理模式下,對企業生產經營活動中的潛在風險進行分析評估,并及時采取有效的應對措施,以最小的成本獲得最大化的安全保障。企業的安全生產風險管理涵蓋了企業生產的風險識別、評估和衡量以及應對,針對所識別的安全生產風險制定應對策略,未雨綢繆,及時排除事故潛在發生的可能性。安全生產的風險管理是企業管理的重要組成部分,有效的安全生產風險管理不僅可以減少事故的發生,而且可以更好保障單位從業人員的生命財產安全,履行企業的社會責任,對企業運營的穩定性和可持續性都有著不可替代的作用。因此,企業必須對安全生產風險管理加以重視,積極探索風險管控模式,從而保障企業的安全穩定運營。
2建筑施工企業安全生產風險管理的特點
(1)風險管理的客觀性因素復雜。建筑施工企業的生產環境多為室外,生產活動受氣候、地理條件影響較大。除此之外,建筑企業的施工不僅涉及到人的操作,大型機械的正常運作對安全生產也有著重要影響,而往往這些客觀因素的發生都具有偶發性,安全風險防控難度較大。(2)風險管理的人為因素管理復雜。建筑施工行業從業人員大多文化素質不高,安全意識不強,在進行風險管理時,從業人員的意識不到位。由于建筑行業的項目建設活動分散,涉及部門廣泛,各部門管理層次繁雜,管理權限不明,管理人員的安全意識也有待加強。
3建筑施工安全生產風險出現的原因
(1)企業安全風險管控能力有待加強。很多建筑施工企業在項目實施之前,尚未做好詳備的風險評估,對存在的潛在風險沒有清晰的認識,未能提前對潛在風險進行排除,甚至從觀念上沒有重視安全生產的風險管理問題,對企業安全生產應急預案應付了事,安全應急預案存在與實際情況不適應的現象。很多安全生產問題的出現都與項目管理人員的安全意識不高,風險管控能力不夠有著重要聯系。(2)建筑施工企業管理機構復雜,管理權限不明晰。建筑施工企業把工作重心放在了經濟效益方面,對安全生產沒有足夠重視,在管理機構的設置上,尚無一個明確機構進行重點管理,安全生產的風險控制上存在嚴重的管理缺位。(3)從業人員文化水平低,安全意識和自我保護意識不夠。建筑施工企業的從業人員大多文化水平不高,在進行建筑施工時,對安全風險沒有清晰明確的認識,對自我權益的保護意識也明顯不足,這使得部分建筑施工企業在未做好安全檢查以及安全防護的前提下開展了生產活動,為安全事故的發生埋下了隱患。
4建筑施工企業安全生產風險應對
(1)建立有效的內部控制機制。企業的內部控制是企業管理的重點,加強企業自身的內部控制,合理架構企業管理體系,對企業管理有著重要意義。建筑施工企業內部的部門布局要充分體現對安全生產的重視,確保“專職有專人,專人有專責”,明晰安全生產風險控制責任人,確保各項安全措施的準確落實,并建立有效的監督機制,對企業的安全風險管控進行有效監督。(2)落實企業風險管理舉措。對建筑施工企業所實施的安全管控措施,要加強落實。在項目施工前,對項目施工環境進行全面的調查,全面掌控施工環境的復雜性,勘察地形監測天氣,并對施工現場的環境進行詳細檢查,排除安全隱患,對從業人員應加強安全教育和安全防護培訓,重視從業人員的崗前培訓,強化從業人員的工作能力和自我保護能力,并加大企業內部安全保障的資金投入,防控安全事故的發生。(3)強化風險管理的責任追究。建筑施工企業的安全生產至關重要,不僅關系到從業人員的生命財產安全,更關系著建筑施工企業的可持續發展,必須強化責任機制,對相關責任人強化責任追究,增強風險管控管理人員的責任意識,從而更好地防控建筑施工過程中的安全風險。(4)聚集性活動安全風險管理。聚集性活動安全管理即根據安全性活動的直接參與人數以及安全事故發生可能波及的人數情況對生產活動進行分級,從而根據分級情況制定應對策略。生產活動的參與人數以及相關人的數量直接反映了生產活動的復雜性以及安全事故發生的嚴重性,該生產活動所涉及的安全人數越多,安全風險越大,其管理難度也越大。引入聚集性活動分級管理,明確相關風險管理活動的管理難度和管理方案,正是有效進行安全生產內部控制的重要舉措,也是明晰建筑施工企業內部安全風險管理責任的有效方法。
5結語
建筑施工企業必須把安全保障作為企業生產活動的戰略重點,在進行安全風險管理活動中,必須結合企業本身的生產特點,分析企業安全風險出現的具體原因,制定相關的安全風險管理條例,由于生產活動和安全防控的復雜性,引入聚集性活動風險管理辦法,提高風險防控的有效性,有著重要的借鑒意義。
作者:藍李紅 胡越城 沈曉達 朱立軍 單位:八豐控股集團有限公司
參考文獻:
[1]王雪妮,韓國鋒.建筑企業的安全生產風險管理[J].科技信息,2013.
篇5
關鍵詞:國有企業;人事檔案;電子化管理;風險
人事檔案管理工作開展得好壞,直接關系到企業自身發展情況,開展高效的檔案管理工作,能夠促進國企向著更加良好的方向發展。這一背景下,國企為了更好地開人事檔案管理工作,紛紛引入了信息化手段,以促進人事檔案電子化管理方向轉變,這一轉變有效提升了整個工作的質量與效率。但通過大量實踐表明,開展電子化人事檔案管理時,很可能出現一些風險,導致整個工作并未體現出最大的價值,在一定程度上制約了國企的發展。所以,國企需要針對人事檔案電子化管理中存在的風險,制定出相應的防范措施,降低各類風險的發生率,為國企更好的發展奠定良好基礎。
一、人事檔案電子化管理的優勢
以往階段,企業開展人事檔案管理工作時,通常以人員手工與紙質管理模式為主,管理效果較差,不利于企業對人事檔案的使用,在一定程度上干擾企業正常運行,而人事檔案電子化管理的出現,則有效改善的這一情況,具體來說,主要體現在下述四個方面:
1.易于分類
對于國有企業來說,人員數量較多,人事檔案信息較為龐大,其中涉及很多方面的信息,如人員姓名、聯系方式、薪酬待遇、以往工作經驗、所處崗位等,對于這些檔案來說,需要分門別類地管理,只有這樣,才會使檔案發揮出最大的作用。以往階段,通過人員手工管理時,由于檔案信息龐大,導致管理人員難以準確掌握檔案的真實情況,影響檔案的分類,使檔案雜亂無章的堆放到一起。而應用信息化管理手段時,會有專業的軟件設計人員設計出性能良好、功能較為完善的人事檔案管理平臺。整個平臺由多個功能模塊構成,其中包括分類功能,將人事資料導入到該平臺后,只需要簡單點擊“分類功能”,平臺會自動對人事資料予以分析,根據分析結果,結合前期設置的分類標準,將人事資料劃分到相應類型當中,操作簡單,無需人員過度參與,使得人事檔案分類更加科學、合理。
2.儲存量較多
紙質管理模式是在獲取職工信息后,書寫到紙張上,通過對紙張的保管,以達到人事檔案管理的目的。對于這一管理模式來說,所用的紙張具有邊界,只能在邊界范圍內書寫,因而存儲的信息量并不是很大,若對大量人事檔案進行管理,則需要采用很多紙張,為管理工作帶來麻煩。以A4紙為例,尺寸為210×397mm,而人正常寫字時,1cm2約為1個字,也就是說,在一張A4紙上僅可書寫600字左右,字符較小一些,書寫字數可增加一些,但相對于龐大的人事檔案信息來說,這些字數依然僅占其中非常小的一部分。而采用電子化管理模式后,則可改善這一問題,大大提升信息的存儲量。在電子化管理模式當中,以計算機硬盤為主要的存儲場所。對于硬盤的存儲空間來說,是虛擬存在的,無須將信息記錄到實物上,因而存儲量非常高。目前,在計算機領域內,硬盤容量最高已達10T以上,日常常用的硬盤容量也有數百G,能夠存儲數億的文字、數字信息,遠遠高于以往的紙質存儲模式。
3.應用方便
對于以往的紙質管理模式來說,將人事檔案記錄到紙張之后,會將其放置到相應的位置存儲,在需要使用檔案信息時,由管理人員從龐大的資料當中尋找出來。這樣需要消耗很長的時間,導致檔案信息的應用并不是很方便。而采用電子化管理模式后,則可有效改變這一問題。該管理模式當中,主要通過計算機完成信息錄入、存儲以及提取等工作,只需要在電腦管理系統內,錄入所需要查找的關鍵詞,計算機可以在較短的時間內將所有與該關鍵詞相關的信息提取出來,并展示在用戶眼前,用戶只需要根據具體需求,選擇出最終的檔案信息即可。同時,在信息檢索時,錄入的關鍵詞越多、越準確,所檢索出來的檔案信息也會越少,進而對人事檔案的應用提供了方便。
4.提升工作效率
對于傳統紙質管理模式來說,主要是人員管理為主,任何工作的開展,均需要由人員完成,如由人員抄錄信息,由人員查找信息等,而人的精力與時間有限,不僅會出現一些錯誤,而且工作效率也不是很高,導致整個工作效率有待提升。同時,對紙張存儲時,很容易受到外界因素的影響而破壞,如放置到潮濕環境當中,會加快紙張的腐爛速度,還會使紙張上的文字變得模糊;若存儲場所出現火災,將會導致資料內容完全消失等。受到這些因素的影響,使企業無法有效對檔案資料進行應用。而應用電子化管理模式時,通過計算機代替了人員,無需人工抄錄信息等工作,人員只需要對計算機進行操作,即可在最短的時間內,完成整個人事檔案管理工作,大大提升了該項工作的效率。同時,信息存儲到計算機硬盤當中,不會受到潮濕、火災等因素的影響,即便硬盤損壞,也可通過相關技術將其修復,提升了檔案信息的安全性。此外,電子化管理無需采用紙張,具有一定的環保作用,有利于社會可持續發展。
二、國有企業人事檔案電子化管理常見風險
雖然,相對于傳統人事檔案管理模式來說,電子化管理模式具有較多的優勢,但通過大量實踐表明,電子化管理依然會出現一定的風險,導致檔案信息損壞,或者是被不法分子所竊取,不僅對職工個人生活與經濟財產帶來一定隱患,同時還會威脅到國有企業的發展。具體來說,國企人事檔案電子化管理中常見風險包括下述幾個方面:
1.物理網絡安全風險
在電子化管理模式當中,需要應用很多物理硬件設施,如計算機、硬盤、鍵盤、鼠標等,這些硬件設施性能的好壞,直接關系到檔案管理的效果。然而在實際應用時,這些硬件設施很可能受到一些因素的影響而損壞,進而影響在電子化管理中的作用。具體來說,主要體現在兩個方面:一是自然方面。自然界作為人們生存的主要場所,一些自然事件很可能對計算機等硬件設施造成損壞,如在雷雨天氣下,計算機未做好避雷措施,由于在短時間內電壓迅速上升,會將計算機芯片燒壞;在地震、暴風等天災情況下,也可使硬件設施產生損壞,嚴重情況下,甚至會出現毀滅性的破壞。二是人員方面。開展電子化人事檔案管理工作時,雖然無需人員直接參與進來,但是計算機的操作依然由人員完成,若人員對計算機知識不了解,或是未能正確操作計算機,也會帶來一定的風險。如操作人員隨意斷電,可能會損壞內存、硬盤、電源等原件,對資料造成破壞。
2.內部網絡安全風險
在整個網絡體系當中,可劃分成兩個組成部分,一個為外部網絡,另一個為內部網絡,即局域網,在局域網運行的過程中,可能受到多方面因素的影響而出現信息安全風險,具體來說,體現在下述幾個方面:(1)員工安全理念缺失。人員作為局域網的操作與管理者,只有具備較高的安全理念,才會防止各種安全風險的出現。但對于很多國企來說,并未對人事檔案電子化管理產生應有的重視程度,沒有聘用高素質管理人員,導致人員的安全意識相對較低,進而經常誘發各種信息安全事件。比如,人員應用完計算機后,未及時將系統關閉而離開,為其他人員的觀看提供了機會;利用企業局域網瀏覽一些不健康的網站;未能及時對計算機系統更新等,這些情況均會導致信息泄露。(2)隨意安裝各種硬件裝置。現代計算機領域,存在很多移動硬件,這些移動硬件的出現,為人們的工作提供了方便。但是對硬件使用時,很可能會被植入一些病毒,若將植入病毒的硬件插到企業計算機后,這些病毒就會傳輸到計算機內,進而對計算機內存儲的數據進行破壞或竊取,對國企人事檔案管理造成嚴重影響。
3.外部網絡安全風險
對于國有企業來說,通常都有規定表明,網絡不可與外網連接到一起,以防止內部信息泄露的事件發生。但職工進入企業后,為了確保職工有效完成本職工作,企業通常會賦予職工自主撥號上網的權利,所以在實際當中,很難防止員工將內網與外網連接到一起,進而對人事檔案資料帶來了安全隱患。一方面,在系統運行時,會出現一些漏洞,這些漏洞的存在將計算機完全向其他人展示出來,進而為不法人員信息的竊取提供了幫助。另一方面,若在計算機中未能應用安全防護措施,則會在信息管理、傳輸等活動過程中被各種方式所攻擊,如木馬、病毒等,輕者會使信息泄露或損壞,嚴重情況下甚至會導致整個計算機癱瘓,無法正常運行,對整個人事檔案管理工作造成非常巨大的危害。同時,需要注意的是,若出現了外網病毒攻擊,危害性巨大,很難在企業內部尋找出根源,因而需要嚴格預防這一問題的出現。
三、國有企業人事檔案電子化管理風險的防范策略
1.提升對物理網絡的保護
通過上述分析可知,國企人事檔案電子化管理過程中,很容易受到自然、人員兩個方面因素的影響,導致檔案信息出現安全隱患,進而降低整個工作的開展效果,對國企發展造成一定干擾。所以,國企開展該項工作時,一定要提升對物理網絡的保護力度,具體來說,應從下述兩方面著手:首先,針對自然因素來說,地震、暴風等天災人們無法予以控制,因而只能時時關注自然天氣狀況,及時發現可能出現的情況,應及時將信息主要存儲裝置—硬盤轉移到安全位置,待天災過去之后,重新組裝計算機,以保證人事檔案的完整性。針對雷雨天氣,可采用一些避雷措施,如屋頂裝設避雷針,或采用避雷機箱等,以降低雷電對計算機造成破壞;其次,對于人員因素來說,應定期開展計算機相關的培訓活動,通過這些培訓活動的開展,使人員了解計算機的正確操作方式,避免人員出現隨意關閉計算機等現象,進而減少由人員因素而引發的信息安全風險。
2.強化內部網絡安全防范意識
內部網絡作為人事檔案管理的主要管理場所,確保內部網絡安全,能夠直接提升整個檔案管理的質量,減少檔案信息的泄露與損壞。所以,國企運營過程中,應強化職工的內部網絡安全防范意識,防止出現由人員導致的內部安全風險。首先,提升職工的安全理念。國企運營時,通過會議、培訓活動、網絡教育等多種途徑,向職工傳授內部網絡安全相關的理論知識,轉變職工的落后觀念,加強對內部網絡安全重要性的了解程度,確保其在日常工作當中,能夠有效約束與規范自身行為,使用計算機后,能夠按照要求關閉;在工作時間內,不瀏覽與工作無關的網頁與網站;利用專業的技術手段,定期對系統進行更新與維護等,以保證整個計算機系統處于健康狀態下,減少信息泄露的機會。其次,在使用移動硬件使用時,也應注意規范性,將生活U盤與工作U盤區分出來,生活U盤僅限于企業外部使用,而工作U盤僅限于企業內部使用,以防網址、U盤交叉使用而被植入各種病毒,降低病毒入侵企業內部網絡的機會。
3.加強對外部網絡的監管與防控
除上述兩個方面之外,國企還應加強對外部網絡的監管與防控,具體來說,從下述兩個方面著手:首先,制定出完善的網絡使用制度,詳細明確職工不可將內網與外網連接到一起,并針對這一情況,制定出相應的懲罰制度,以約束職工行為,確保職工工作時不會主動與外網連接,從而減少了外網病毒侵入內網的機會。其次,在計算機中安裝各種安全軟件,如殺毒軟件,自動對計算機進行檢查,確定系統內是否出現病毒。若發現,及時向工作人員報告,并將其滅殺;病毒攔截系統,分析想要進入企業內網的所有信息,若發現信息中存在病毒或不良代碼,直接將其阻攔下來,禁止其進入內網;設置密鑰,在人事檔案管理系統上,設置相應的密碼,并針對檔案信息的重要程度,賦予內部人員相應的查看權利,不同權利的職工,僅能查看相應的信息,進而加強對人事檔案的保護力度。
四、總結
綜上所述,國企人事檔案電子化管理的應用,有效提升了整個工作的質量與效率,為國企發展奠定良好基礎,但需要注意的是,受到人員、自然情況、以及黑客等因素的影響,導致電子化管理中經常出現一些安全隱患,使人事檔案損壞或泄露,危害國企發展。所以,國企人事檔案電子化管理過程中,應加強對物理硬件以及內外網的保護力度,以降低安全隱患的發生率。
參考文獻:
[1]王英迪.國有企業人事檔案管理信息化發展趨向的探討[J].經濟與社會發展研究,2019
[2]孫攀.試論國企人事檔案管理水平的提升空間及其對策[J].魅力中國,2019
[3]陳純艷.數字化干部人事檔案管理的安全風險與對策[J].檔案天地,2019
[4]劉凌云,盧莎莎,齊云飛,等.國企改制中的人力資源管理風險及防范建議[J].企業改革與管理,2019
[5]高巖.電子檔案管理工作中的風險與不安全因素分析及防范[J].數碼設計(上),2019
[6]謝明彧.國有企業人事檔案管理的現狀與對策分析[J].企業改革與管理,2020
[7]仲杰.新形勢下國有企業人事檔案管理工作研究[J].辦公室業務,2019
[8]李晶,王秋蓉.醫院人事電子檔案管理的SWOT分析[J].中國衛生標準管理,2018
[9]丁麗娜.人事檔案電子化管理及其存在問題和相關措施之管見[J].科技創新導報,2019
篇6
關鍵詞:風險管理;電力;安全生產
現代社會的發展需要電能的穩定供應,電力企業在電能輸送的過程中會受到多種因素的影響,采用安全風險管理技術能夠有效保障電能安全、穩定的輸送。
1管理中的問題
(1)風險預防工作落實不到位。目前我國電力安全風險管理過程中,只要實施“預防為主”的管理思想,但是在具體管理過程中對于風險管理事故的預防措施和管理辦法制定過程中,多以自身實際情況和經驗作為理論依據,所以在風險預防過程中沒有綜合其他企業的經驗,造成了實際工作中被動預防狀態,這樣的風險管理制度并不完善,也不適用于企業的現代化風險管理,制定的管理制度沒有前瞻性,在工作過程中如果出現超出經驗的故障發生就會無法冷靜判斷處理。在制定風險管理制度的過程中,領導沒有積極與員工進行溝通交流,所以,制度的制定過程中會脫離實際情況,也不利于領導的先進管理思想有效傳達給員工,上下溝通不順暢,造成了風險管理制度的執行障礙,不利于生產環節中進行風險規避工作。
(2)責任劃分不科學。在電力企業的風險管理過程中,企業沒有對風險管理工作進行科學劃分,工作責任制度不明確,安風要素責任人只由部門、班組部分人員擔任,未能達到“全員、全業務、全過程”參與,造成了風險管理工作混亂,具體工作沒有落實到人,出現具體故障時,無法尋找到具體的工作責任人,在風險預防工作中也沒有辦法有效開展,不利于電力企業的風險管控工作順利實施。
(3)評估系統不完善。在電力企業的生產過程包含了電力安全生產、電力運輸、電力資源營銷三個環節組成,在電力生產過程中不能僅限于生產環節,在電力資源運輸和營銷的過程都會存在極大的安全隱患,電力企業沒有及時制定動態管理制度,在電力企業運營環節中沒有得到良好的科學管控,造成了職責劃分不詳細、不科學,嚴重影響了電力企業的安全運營,電力企業在管理過程中沒有進行科學的管理人員責任劃分,再出現問題的過程中沒有更好的風險預估,所有的工作重心都放到了電力生產工作環節中,很難做到及時有效的排查電力安全風險問題,為電力企業的安全生產埋下了隱患。
2構建策略
(1)建立風險管理理念。在電力企業的安全生產過程中,提出如何立足當前,把安風體系核心思想推廣到“全員、全業務、全過程”,通過重視風險管理促進企業生產安全,無論是對管理者和普通基層工作人員都是非常重要的,通過建立科學的風險管理理念,有效將風險管理理念有效融入到電力生產過程中,實施科學的風險管控辦法,制定嚴謹的風險管控管理制度,通過嚴格監督管理促進風險管控制度的順利實施,有效減少電力生產活動中生產風險問題。實現持續改進安全生產風險控制是實現安全生產的重要保證,從而實現提高安全風險控制能力,提升安全管理水平和管理績效,把安風體系建設真正融入工作中。
(2)搭建完善管理體系。風險管控的主要內容包含風險項目識別、風險程度衡量、風險預估評估、風險處理等等。風險管理制度的順利實施需要加強風險管理工作人員的全局觀培養,全面開展風險管控培訓工作。在企業的風險管理過程中,不斷改進風險管理制度,并且制定科學嚴明的風險管理制度和具體執行方法,建立合理的風險管理目標,保障風險管理具體內容的科學性、有效性。通過協調電力企業各部分對風險管理工作進行配合,能夠有效保障風險管理工作的順利進行,并且通過科學監管工作內容有效提高了企業內部的風險管控意識,通過抽查管理能夠有效落實風險管理工作的有效性,提高了電力生產工作效率提高,保證了電力系統的正常運行。
(3)重視實際應用。在電力企業生產過程中,要加強風險管理的實施,有效提高企業的安全生產力,保障了社會經濟發展所需要的電量。電力企業通過將安全生產機制和風險管理機制融合在一起,依據電力企業的實際生產情況進行及時調整,能夠積極保障電力企業的安全生產。企業的管理者要經常與員工進行緊密溝通,通過與普通基層工作人員溝通能夠快速解決實際工作環境中在的問題,精準掌握電力生產過程,有效掌握電力安全生產的整個環節,制定嚴格、科學的管理制度,有效降低企業生產運營風險。
(4)細化責任。在電力企業生產過程中,領導者要掌握電力生產管理環節,制定科學的電力生產制度流程,細化安全生產過程中的責任,通過明確生產部門和監管部門之間具體的工作責任,加強部門之間的溝通,有效提升電力安全生產環節中的風險管控效率。
(5)重視風險管理持續性。在電力企業安全生產環節中,要結合實際生產管理環境和生產進度制定不同的風險管控制度,保障電力企業的安全運轉,依據可持續性發展觀進行安全生產過程中的風險管理,保障電力企業的生產效率,滿足社會經濟發展的電力需求。通過有效執行風險管理的具體實施辦法,有意識的進行可持續性風險管理能夠保障電力企業的長遠發展,企業應該加強對員工的風險管理意識培訓,降低風險發生的頻率,保證各個生產環節的安全有序進行,為我國社會經濟發展奠定堅實基礎。
3結束語
電力企業的安全生產管理直接關系到社會經濟的發展和國家民生等工作內容,所以風險管理體系的有效運用能夠有效提高電力企業安全管理生產水平,所以依據電力企業的風險管理機制的建立,結合風險管理的環節管控,能夠有效控制電力企業生產過程中的風險隱患,有效促進電力企業的健康發展。
參考文獻:
[1]馮斌,余里程,邢國杰.淺談安全生產風險管理體系與電力企業的融合[J].電力技術,2010(04).
[2]田豐.基于安全生產理念的供電企業設備檢修管理與風險控制研究[J].科技資訊,2012(01).
篇7
關鍵詞:電力安全 安全生產 風險管理 管理體系 電力風險
中圖分類號:F470.6 文獻標識碼:A
一.引言
安全生產是電力企業管理的核心內容,同時也是確保企業安全及優質用電的基本保障。隨著社會快速發展,電網的安全管理壓力逐步增大,電力企業要利用安全生產技術,建立風險管理體系,提升供電安全,控制或減少安全事故的發生。
二、風險管理的內涵以及在電力行業安全管理中的應用
現代風險管理,是指如何在一個肯定有風險的環境里把風險減至最低的管理過程。其中包括了對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押后處理。但現實情況里,這優化的過程往往很難決定,因為風險和發生的可能性通常并不一致,所以要權衡兩者的比重,以便作出最合適的決定。因此,隨著風險管理這一理念的革命式的普及,其自然也被引入了電力企業的安全生產管理中,在電力企業中,通說觀點是指通過識別、衡量、分析風險,并在此基礎上有效地控制處置風險,用經濟合理的方法來綜合處理風險,實現最大安全保障的科學管理方法。
縱覽我國電力安全管理發展歷程,不難發現,電力企業在“安全第一,預防為主,安全生產,人人有責”的原則指導下,逐步在總結事故經驗和教訓的基礎上,形成了比較系統的安全管理制度和規定,比如,以行政正職為核心的安全生產責任制和三級安全網、建立、健全了安措與反措計劃、兩票管理、個人防護用品規定、動火作業安全管理制度、緊急救災預案等一系列安全保證制度。同時,為保證制度的有效實施,建立了春秋兩季安全大檢查、事故調查、定期安全活動、隱患整改、事故演練、監察違章作業等落實、檢查、監督和評價體系。采用現代風險管理后,將會進一步對固有的體系進行有效整合,傳統管理系統中的合理成分不僅不會被丟棄,而且會在系統化的風險管理基礎上得到繼承和發展,使安全管理更加科學、系統。
三、電力安全生產管理中存在的問題
1. 電力安全生產管理觀念陳舊
電力安全生產管理不僅僅要求技術進步,各項安全生產措施落實到位,更重要的是觀念上的轉變和重視。安全生產重于泰山,要做好安全生產管理工作,首先必須從思想上認識到電力安全生產的重要性,樹立以人為本的責任觀,安全生產的全局觀。但是現在好多電力生產企業對電力安全生產管理不夠重視,墨守成規,對于電力安全生產的管理常處于被動狀態。
2.電力安全生產管理遠未實現標準化、正規化
現在電力安全生產管理工作已經取得了很大的成績,但是電力安全生產管理工作離正規化、標準化的目標還有很長的一段路要走。在我國的電力企業中,安全生產觀念并不陌生,但是很少有哪一個企業能夠切實建立一套全方位、多層次、全過程的獎懲制度相結合、培訓教育相銜接的安全生產管理體系;其次,電力生產企業中還缺乏自上而下的總體規劃和設計,也缺少自下而上的反饋,各級管理機構缺乏有效地協調和配合,各自為政,缺乏有效的管理。
3.安全生產意識薄弱
在市場化經濟的發展過程中,很多企業不能有效處理安全和穩定、發展之間的關系,片面的追求業績,忽視安全生產的重要性。在生產過程中,電力企業的工作人員的自我保護意識較差,缺乏對操作程序的重要性的認識,往往存在著嚴重的違章操作,檢修的時候,監督人員和管理人員也沒有引起足夠的重視,這些都嚴重導致了安全生產事故的出現。
4.基層管理工作落實不到位
一些電力企業的管理層只重視對大型作業的管理工作重視,而忽視了企業的日常管理。據調查顯示,近幾年的安全生產事故多是出現在企業的小型作業和分散作業時發生的。這種現象的出現主要是因為企業的管理層管理觀念存在偏差,平時的管理工作時緊時松、管理松懈;企業的監督檢查不到位,尤其是在跟蹤檢查和指導幫助這方面做的不好;對于企業的檢修記錄和報告管理不妥當,操作人員不能真實了解情況,導致設備在存在隱患的時候違規運行;對于發生的事故處置不當,尤其是對那些安全生產責任人,在發生問題后,縱容姑息、處理不當,不能有效遏制安全生產事故的發生。
5.安全工具管理不當
性能良好的安全工具是安全生產的重要保障。但是在實際的安全生產過程中,一些安全工具質量不達標,尤其是一些小的電力生產企業,在基層供電時用的工具質量標準不高;此外,一些企業不重視對安全工具的檢修,檢修意識不強,往往是等到工具嚴重毀壞的時候才直接換掉,對于一些小的破損根本無視,往往導致這些工具負傷上崗,存在著很大的安全隱患。
四、電力企業安全生產基本技術
1.辨識風險。
辨識風險是實現風險管理的基礎,建立有效的生產作業過程風險評估準則,實現有效的風險源辨識,逐步改善人機料法環,應用規范、動態、系統的方法去識別及評估企業安全生產過程中的風險,制定風險控制措施,實現風險的超前控制,把風險降低到可接受程度,進而形成行之有效的制度、流程、標準是提升安全風險管理水平的關鍵點。應開展作業風險辨識。以防控人身觸電、高空墜落、物體打擊、機械傷害和誤操作等典型事故風險為重點,組織開展輸電、變電、配電和調度等專業領域典型作業項目的危險因素邊式,通過建立靜態風險數據庫、典型作業風險辨識范本庫和編制標準化監督檢查表,落實風險控制措施
2.風險源評估。
電力生產作業具有顯著的多專業、多工種特點,決定了風險因子的多樣性和復雜性,主要集中的不利因素也因此而來,如電氣設備多、高溫高壓設備多、危化品及廢料多、勢能設備多、特種設備多等。
電力生產風險分類:(1) 通過對電力企業生產作業過程中接觸的直接風險因子進行排列集合,危害類別包括物理危害、化學危害、機械危害、生物危害、人機工效危害、社會/心理危害、行為危害、環境危害、能源危害等九個類型。 (2) 電力企業生產作業對上述九個類型的風險接觸,在特定條件下引起暴露就會觸發安全生產事故或事件,依電力企業事故事件的分類可將風險源劃分為電力企業的五類風險,分別為人身風險、電網風險、設備風險、環境與職業健康風險、社會影響風險,其中,前四類風險都會對社會造成負面影響產生社會影響風險。
五、建立電力企業風險管理體系的基本措施
安全事故的發生,歸根結底是由于人的不安全行為、物的不安全狀態、環境的不安全因素所致,這些因素的存在就是安全風險、就是事故隱患。安全管理的目的就是要分析、辨識和控制這些隱患和風險,最大限度地減少風險失控導致事故發生。實施安全風險管理,建立風險預控機制,是建立安全生產長效機制、規避和化解安全事故風險、提升企業安全工作水平的根本途徑。
1.“安全第一,預防為主”。
電力行業的基本方針為“安全第一,預防為主”,一切生產工作的進行必須是要在保障生產安全的前提下,以人為本,圍繞人的安全來開展工作。目前電力生產安全事故的原因主要是“人禍”,包括對安全生產的落實不夠,預防工作沒能夠扎實的開展,安全措施沒有真正的落實到位。因此我們必須要強化安全意識,樹立“安全第一,預防為主”的觀念,健全完善各級的安全措施,并且要強力執行遵守各項規章制度。同時加強安全思想工作的宣傳力度,使“安全第一,預防為主”的觀念能夠在全體電力職工中得到進一步的強化。
2.建立風險評估體制保證安全管理制度。
結合已有的安全制度規定,經過風險評估后,逐步發現風險與防護制度之間的差距,對于發現的實際問題,如高風險低對策問題,需要根據風險評估情況采取替代、改進、或者利用修改技術規程、修訂工藝標準等措施進行風險預防。根據風險評估對原安全保證制度進行評價,根據逐項評價結果,檢查保證和防護制度更加系統、有效,以真正達到預防的目的,進一步豐富安全保證制度的內容。
3.安全風險管理責任。
現代企業管理的關鍵是執行,而執行的前提是有相關的責任制度,風險管理責任制就是按照風險評估后作出的,以風險項目為基礎劃分的項目責任制,同時輔以區域責任制內容,風險管理的項目責任制根據風險值的高低進行樹狀式分級管理,風險高的項目由企業安全管理核心負責。以此類推,分別由部門、班組、專責員工負責。發生危險狀況后根據風險級別進行不同的處置,這種責任制的落實方式不僅提高了管理效能,而且體現了企業分工,實現真正意義上的人人有責。特別是將安全管理工作細節化,細致化,從而使所有危險源的管理都能落實到位,確保了各項保證制度和評估、監察制度的有效實施。
4. 完善落實崗位安全生產責任。
強化領導安全生產責任意識,落實安全生產責任制,各直屬部門領導要遵循“誰主管,誰負責” 的原則,對照安全生產第一責任人的職責,以高度的責任感,做好本部門安全生產管理工作,健全本部門安全管理組織,同時要使安全生產責任制做到量化、細化、具體化,要明確規定班組成員在安全工作中的具體任務和責任,實現一崗一責,形成健全的安全管理責任體系。層層落實,把基層的工作現場當成抓安全工作的落腳點,并且要有計劃的提高職工的安全生產知識和意識,使各崗位職工能夠在生產實踐中把安全生產的科學方法體現出來。可以制定切實可行的安全生產獎罰制度來提高全員的參與積極性。企業應根據各自實際情況,建立以安全生產責任制規定及安全生產工作會議制度、教育制度、檢查制度、考核制度、監察制度、獎懲制度,以及職業健康監護、女工保護規定等,并定期檢查。要用制度管人、流程管事,做到安全監管有章可循。同時,嚴格落實各級安全責任制,一是安全生產要進行全方位、全過程管理,不斷完善和建立安全管理體系。堅持行政第一負責人就是安全第一責任人制度,制定安全生產目標和計劃,將線路、設備劃分區域,以線路及配變臺區為單位,把安全責任層層分解落實到人,實行各級承包。二是做好事故通報匯編工作,事故通報匯編是血的教訓,是經驗和教訓的積累必須組織全體員工認真學習,舉一反三,以杜絕重復事故的發生。
5. 制定事故應急處理預案和快速反應機制
“安全第一,預防為主”是電力安全生產的基本方針。“預防為主”,即超前做好預防工作,發現問題、采取措施、消除隱患,避免事故發生。但在實際工作中事故仍不斷發生,究其原因,一是各級人員的安全意識和技能水平不盡相同,有的還很低;二是電網設備的運行狀況不一樣,有的隱患還未被掌握;三是外力破壞和事故防不勝防。因此,電力企業應樹立風險憂患意識,制定事故應急處理預案和快速機制,把問題設想得復雜些,后果設想得嚴重些,措施考慮得周全些。
6. 加強安全管理
變電站運行管理的重點就是安全運行。一定要落實班組安全生產責任制,堅持貫徹“安全第一,預防為主”的電力生產方針,大力開展反習慣性違章和安全生產的宣傳與教育。明確管理思想。樹立切合本所工作實際的變電管理思想。在職工中長久地堅持宣傳貫徹,要使之成為全所職工的共識。結合不同的時期,提出階段性目標,加強目標管理,制定切實可行的實施措施,認真實踐這一思想。安全是生命。變電站運行管理的重點就是安全運行。認認真真落實班組安全生產責任制,堅持貫徹“安全第一,預防為主”的電力生產方針,大力開展反習慣性違章和安全生產的宣傳與,嚴格執行“兩票三制”。這些,都是電力系統長期經過實踐檢驗行之有效的經驗,在變電所必須認真貫徹。近些年來,由于變電所設備的不斷增加和技術的更新,所以應及時修訂變電所的現場運行規程,自查并完善各種記錄,利用機自動化系統提高工作效率,把好自己的關口,以確保變電站的各項工作的順利進行。針對性、可操作性強的規章制度,為管理的規范化提供制度基礎。變電站規范化管理應該注意兩點:首先要從運行值班記錄抓起,要做到清晰完整、方便查詢。其次要把加強技術管理作為運行管理水平升級的根本,為設備升級改造,技術改進提供依據。班組不但要強調熟悉安全規程,更應注重規程的掌握和正確運用。值班質量關鍵是認真監屏、巡視設備、交接班的檢查、班上的檢查、值班人員的精神狀態等等。值班質量提高了,事故處理自然就能靈活快速,倒閘操作準確快捷。
六.結束語。
電力安全管理是一項系統工程,具有多層次、全方位等特點,通過風險識別、風險評估、風險管理,降低安全事故的發生,確保供電安全。
參考文獻:
[1]蒯狄正.基于風險理念的電力技術管理[J].江蘇電機工程,2003,22(6):13-15.
[2]唐群.供電企業安全生產風險管理的研究[D].華北電力大學(保定),2012.
[3]郎夙.基于威脅分析的電力信息網風險態勢評估和預測[D].華北電力大學(保定),2012.
篇8
關鍵詞:企業運維管理;信息系統;安全風險
隨著信息時代的來臨,信息系統和技術已經成為當下各個領域不可或缺以及賴以生存的基礎性建設。現今信息已經成為衡量一個企業綜合競爭水平的重要標志。但是,信息技術在不斷支撐著企業業務開展的同時,其在運維方面也會產生相應的安全風險,主要表現為非法訪問、信息篡改以及信息泄露。這些風險就會對企業的信息安全帶來巨大的隱患。
1信息系統安全風險的控制難點
近年來隨著網絡技術的不斷更新,企業也通過各種安全措施加強了信息系統安全風險的防護措施,但仍存在兩個難點,首先是信息系統的高風險性,由于當下信息系統較為復雜,且漏洞較多,就會使得系統處于高風險性,使得運維人員很難進行控制。其次是當下IP管理以及信息系統的規模逐漸增加,也就使得攻擊源變得多樣化,運維人員無法進行有效的追蹤,也無法進行有效的防護。
2企業運維管理中信息系統安全風險分析
近年來,信息時代的腳步逐漸加快,信息化的水平也在與日俱增。信息技術也以其方便、實用等特點廣泛地應用在各企業之間。而為了更好地將信息技術的最大作用發揮出來,就需要定期對其維護。但是隨著信息系統的應用需求逐漸增加,網絡規模的不斷擴大,使得信息系統的結構愈加復雜,也使得技術漏洞逐漸增加,這就會對企業的信息系統帶來安全隱患。在現今運維管理中信息系統的安全風險主要包括下述幾個方面。
2.1服務器終端層面的風險
服務器終端層面的風險主要分為下述幾個部分:①信息系統的基本安全保密配置不夠完善,管理不夠成熟,這就使得用戶可以私自更改BIOS的啟動順序,使得安全防護產品的失效,從而進行信息的竊取和篡改;②安全風險的報警裝置不夠成熟,不能夠達到預期的效果,通常會由于安全產品之間的兼容性問題失去應用的效用,出現誤報或者漏報的情況。然后就是系統含有漏洞,信息系統最主要的部分就是系統,在當下的企業中應用的操作系統基本上都為Windows系列,而一些停止補丁升級的Windows系統就存在著漏洞,很容易受到侵蝕,進而造成數據的丟失。2.2網絡層面的風險在網絡層面安全風險主要為網絡設備的安全配置不當,通常會開啟多余的服務或者端口,這就存在了被非法訪問的隱患。同時在訪問控制方面不能對接入進行有效的控制,會造成設備非法接入的風險。另外,企業通常不會對用戶進行分層、分級,這就會導致網絡拓撲混亂,使得企業重要的信息資源存在被非法授權訪問的安全隱患。
2.3硬件層面的風險
現今,企業都擁有大量的硬件,且都是采用的國外進口。企業根本無法知曉底層硬件的工作機制,其是否含有隱藏通道等。例如惠普的某型號服務器已經被證實存在后門,這些設備的運維都需要專業的工作人員進行,這也就會使得維修過程容易發生信息篡改或者信息竊取的風險。2.4應用層面的風險應用層面的風險主要就是身份認證的管理不夠完善。管理員的口令較弱、用戶名和密碼過于簡單等都會被攻擊者利用。甚至在當下一些企業還有用戶名公用、濫用的現象,這就更給攻擊者提供了良好的機會,攻擊者可以通過這些漏洞進行水平提權,進而對信息進行竊取,甚至其可以獲取管理者的權限,對系統進行控制,這就會給企業造成巨大的經濟損失。
2.5安全審計層面的風險
在當下的信息系統風險管理都會部署一些安全監測產品,例如防火墻、殺毒軟件等。這些產品只能針對某類安全問題有效,這就使得信息系統的審計工作變得松散,不能形成完整的體系。而且由于系統的兼容性等原因,總會出現誤報、漏報的現象,這就會對審計的作用帶來巨大的影響,使其無法發揮其應有的效用。另外,企業雖然相應的部署了安全管理平臺進行日志的收集,但在當下的信息系統中智能分析能力較弱,不能夠對全局進行有效的監控,也就沒有辦法實現綜合監控和安全風險的態勢分析。
3企業運維管理中信息系統安全風險的控制策略
通過對上述安全風險的問題進行有效的分析,基于信息的特點,本文提出了下述信息系統安全風險的控制策略。
3.1加強信息系統數據資源的安全風險控制
數據資源的風險控制主要從三個方面進行:①存儲安全,可以采用先進的加密技術對信息數據庫進行加密處理,從數據資產產生的源頭進行安全防護體系的構建;②標識安全,通過標識技術對信息進行去區分標注,經過審計后,讓標識與信息系統密不可分,這樣就不會出現信息篡改的問題;③訪問安全,可以采用強制訪問控制的方式,對訪問主體進行限制。例如,某些數據非管理員權限僅能讀取,不能夠打印或者重新編輯,而一些重要信息限制再無權觀看。
3.2加強信息系統的信息安全風險控制
信息安全主要就是對應用安全進行控制,通過對系統的需求進行有效的分析,設計開發指導驗收運維過程中進行安全保障。同時還要定期對系統進行滲透測試,如果企業的技術較為先進,還可以通過源代碼進行安全風險分析,仔細地對漏洞進行查找,如果發現及時進行修復,長此以往就會不斷提高系統的整體安全性。另外還要將運維過程中出現的問題進行整體分析,這樣就能夠形成較為完善的風險控制規范,為后續的系統安全提供可行性較高的參考數據。
3.3構建運維風險控制平臺
針對認證管理和孤島等問題,就可以億堡壘機為中間體進行控制平臺的構建,形成對企業信息系統全面的安全監控。通過安全防護產品的報警日志和應用系統的審計日志,構建威脅事件的審計模型,構建完善的綜合安全事件分析統計平臺,這樣才能對風險事件進行關聯審計分析,最終實現實時報警的效果。
3.4加強信息系統的管理和梳理
要想切實地提高企業的信息系統運維管理能力,必須要加強信息安全專項檢查,要制定詳細的規范來明確信息系統日常需要進行的管理操作,還要對日常管理的具體細節進行定義,這樣才能使信息系統日常管理規范、明確,繼而使其信息化和制度化。還要閉環管理信息安全風險和運維實踐,防止低層次的信息安全問題發生。另外還要加強專項檢查整體提高信息系統的安全運維能力。同時還要對信息資源進行有效的分類整理,要構建完善的應急備災能力,還要定期對應急備災的能力進行檢測,例如可以臨時構建信息丟失的問題,看其恢復能力,只有這樣才能有效地保障備份能夠及時地恢復。
3.5構建完善的信息風險防護體系
正與邪、矛與盾、攻與防,永遠都是相對存在的。在信息系統風險控制上也是一樣的,要想預防攻擊者的非法入侵,就必須要建立完善的信息風險防護體系。所以,企業要培養構建一支團隊,讓其不斷進行學習,掌握攻擊的技術,然后讓其對企業的防護系統進行破壞,進而完善,只有不斷地從攻擊者的角度去思考,才能夠構建完善的防護體系,只有不斷進行攻防,才能夠更好地提升信息風險防護體系,讓其更好地保護信息系統,防止信息竊取和篡改的問題出現。
4結語
綜上所述,雖然當下企業對信息安全風險的防護工作不斷重視,也構建了許多防護的措施,具備了一些防護能力,但由于信息技術的不斷發展,使漏洞變得更加隱蔽。所以,企業要想穩定發展,必須要采取措施對信息系統安全風險進行運維控制,只有這樣才能有效的保障企業的經濟利益,為企業的發展做出有力的支撐。
作者:徐美霞 單位:廣東電網有限責任陽江供電局
參考文獻:
[1]上官琳琳.企業信息系統的管理與運維研究[J].管理觀察,2014(18):100-101+104.
[2]何芬.企業運維管理中信息系統安全風險控制探究[J].信息技術與信息化,2014(5):208-210+212.
[3]石磊,王剛.關于企業信息安全風險管理系統的研究[J].華北電力技術,2013(9):65-70.
篇9
[關鍵詞]石油企業,安全管理,風險管理,措施
中圖分類號:C93 文獻標識碼:A 文章編號:1009-914X(2015)23-0147-01
1 安全管理上的問題
1.1 技術和設備的陳舊
在一定程度上,企業在技術和設備上的落后會給企業帶來安全上的威脅,引起一些安全事故。在實際生產中,許多企業的生產設備一直處于超負荷運轉的工作狀態,而且,由于石油企業更換生產設備耗資巨大,一些企業還會出現內部生產設備年久失修的現象,這不僅給企業帶來安全隱患,還大大降低了生產效率,對企業來說是個很大的損失。因此,石油企業應充分認識到安全管理的重要性,及時更換有問題的舊設備,防止出現設備老化、儀表指示不準等現象,增加對生產設備的投入資金,降低石油企業的安全危機,同時加強管理,防止設備更新改造資金被無故占用挪用等不良現象。
1.2 管理經驗不更新
時代在發展,技術在進步,理念在更新,在這個一切都在前進的時代,企業必須也要做出改進,也要更新管理經驗,這樣才不會被快速發展的社會所拋棄。然而,石油企業管理者卻慣于使用在歷史發展中積累的安全管經驗,一味地依靠過去的經驗,不善于接受現代的諸多有關企業安全管理的專業理論,很少思考如何提前預防事故的發生。而且,一些管理方法沒有理論的支撐,或者是擁有專業的安全管理理論,但在管理中慣用陳舊的管理思想,對專業理論置之不理,造成管理上的疏忽,增加了安全隱患,對石油企業安全管理的進步和發展非常不利。所以,企業有必要建立一整套適合石油行業特點的安全管理體系,結合新生的安全管理經驗等對生產進行指導,運用科學歸納和合理分析能力,不斷加強企業的安全生產能力,從而降低企業事故的發生率。
1.3 員工缺乏安全意識
安全管理意識薄弱是石油化工企業安全管理問題的主要原因。一些員工缺乏安全意識、知識,安全管理意識普遍不高,實行內部安全標準的責任感不強,在生產技術方面存在很大缺陷,安全操作的意識比較薄弱,這些情況都會造成企業的安全事故的發生。然而,對于員工缺乏安全意識這一情況,一些企業的管理人員卻仍然不加理會,仍然采取粗放式的管理模式,不讓員工接受良好的管理培訓,不設立合理的安全管理制度,一味地追求企業經濟效益,最終造成安全事故的發生,釀成嚴重后果。
1.4 不完善安全管理體系
為了提高安全管理效率,企業應當提高安全組織體系的嚴密性,設置一系列安全管理機構,完善企業安全生產制度,通過分級負責的方法,結合風險共擔以及各司其職、統一管理的理念,對安全生產進行全面的指導。除此之外,企業要明晰各級部門以及具體到個人的權利和義務職責,提高生產過程中的有序性,保證規章制度在實踐過程中不斷完善,以滿足生產需求。
2 安全管理的解決措施
2.1 加大設施的投入和技術的提升
注重資金投入和項目建設、規范硬件設施是保障石油企業安全運行的基礎,因此,企業必須要制定科學而又完備的設備安全管理機制,不斷改進和更新企業的裝備,引進先進的生產設備,為安全生產提供設備支持。還要定時檢查設備運行狀況,重視對設備進行維修和保養,以保證企業運行過程安全可靠。同時,一旦發現設備的安全隱患,應及時處理,不能放任不管。當然,企業還應該不斷進行生產技術的創新,注重先進技術的引進,這樣,才能更好地解決生產過程中出現的安全問題。
2.2 提高安全管理意識
一個合格的管理者應該具有很強的安全管理意識,能夠統籌管理,突出重點,在安全管理意識上有的放矢。所以,企業管理者應該不斷提高自身的安全管理意識,不斷將自己打造成一個合格的安全管理者。提高各級領導的安全意識,是企業安全管理必不可少的一個重要部分,只有各級領導注重安全意識了,企業的各層工作人員才會提高對安全意識的重視程度,才會采取實際行動,提高安全意識。所以,高層管理者必須要先將安全放在首位,杜絕安全事故的發生。
2.3 建立安全體系,完善安全制度
要做好石油化工行業的安全工作,首先就要建立一套科學完善的安全管理制度。企業應該建立健全管理監督機制,大力推行外部監督與內部管理密切結合的機制,預防各種安全事故的發生,不斷地強化監督的作用,強化對生產設備的安全監督檢察職能,對安全管理制度的規定進行補充、調整和完善,保證安全生產的管理工作高效到位,提高企業的生產力,做好生產工作的有效管理和監督。另外,企業應該把責任量化,實施安全生產的責任管理制度,嚴格執行責任追究,將安全生產責任層層落實到每一名員工身上。
3 風險管理存在的問題
3.1 風險管理意識薄弱
企業面臨著許許多多的風險,企業必須對這些風險加大管理力度,才能保證企業的順利發展。為了防止這些風險對企業經濟利益造成傷損害,企業內部有必要建立起一個可以對風險進行分析識別的機制,不僅要加強對企業大規模擴張發展所帶來的經營風險以及控制風險的防范,還要應對傳統的財務風險,要針對性地對企業要面臨的高風險領域進行識別和管理。然而,現在的企業大多缺少風險意識,對于風險的管理意識很差,不夠重視企業內部的風險管理,對控制風險以及金融風險等新型風險的關注較少,沒有形成自上而下的風險管理文化,對可能帶來的風險沒有進行嚴格的管控,這很容易導致企業在風險到來的時候束手無策,無法應對。因此,企業要嚴格按照風險管理的要求對各項經營業務活動進行嚴格的控制,提高風險管理意識。
3.2 防范措施不夠好
有時,企業能夠對即將到來的風險做一個大致的確定,但卻因為防范措施沒有做好,因為缺乏有效的風險防范措施,而使企業經濟利益受到損失。所以,企業應該認識到自身需要對存在的風險問題進行分析和識別的重要性,建立一個科學可行的防范風險措施,將風險控制在一個可控的范圍之內,防止風險的擴大。
4 相應的解決措施
4.1 加強風險管理意識
強化風險識別意識是風險管理的關鍵環節,也是開展全面風險管理工作的基礎。因此,企業要制定風險清單,在內部樹立良好的風險管理理念,培養員工的風險意識和危機意識,讓員工認識到風險管理工作的重要性。可以說,企業的風險管理理念不僅決定了企業的戰略經營目標能否得到順利的實現,還對企業的經營風格和文化氛圍產生影響。所以,企業一定要在企業內部樹立良好的風險管理理念,提升風險管理意識和理念,保證企業的快速發展。
4.2 完善相關體系和制度
國有企業要不斷地對風險管理體系進行完善,不斷建立健全風險評估和控制機制,完善風險管理組織體系,實現內部控制和風險管理一體化。同時,還要制定科學合理的風險管理制度和流程,對企業各類風險的管理情況進行跟蹤監控,對風險管理工作的開展進行控制和監督,從而形成有效的整體外部監督體系。
參考文獻
篇10
【關鍵詞】風險;評估;企業;信息管理
1.企業信息安全評估的內容
企業在運行中會產生大量的運營數據,這些數據既有日常辦公方面的數據,也有涉及企業生產和研發方面的數據。隨著企業規模的擴大,對這些信息的管理大都是建立在一定的信息管理系統基礎上的,如ERP資源管理系統、MES系統等。這些管理系統管理的內容包含了企業運行中的各類信息,就涉及到如何保障系統運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風險,因此需要對企業的信息管理風險程度進行評估,在此基礎上尋找彌補信息安全隱患的策略。對企業信息安全的評估主要有以下幾個方面的內容。
1.1 評估企業的管理制度
企業管理制度是企業有序運行的基礎,企業的信息安全也和此密切相關。很多企業信息外泄的案例都和企業管理制度漏洞直接聯系。因此在評估企業信息安全時企業的管理制度是必要的環節之一。在這個層面上評估企業信息安全主要是評估以下幾類基本的管理制度。①企業信息系統的使用制度;②企業信息系統的維護制度;③企業信息系統操作人員培訓制度;④系統設備和文件管理制度。
1.2 企業信息系統計算機安全評估
實踐表明大量的企業信息外泄都和計算機系統的安全漏洞有關系,因此對企業信息系統的安全評估是必不可少的環節。這類問題的評估需要專業計算機人員來進行,彌補系統安全漏洞是保障企業信息安全的重要手段。定期或不定期的對企業信息系統的運行日志和統計資料進行檢查是一種行之有效的方法。
2.企業信息安全風險定量評估方法
對上述幾類評估內容的定量估計是衡量企業信息安全的量化手段,其衡量得出的數值就是企業信息安全的風險值或安全程度指標。企業信息安全的定量風險評估考慮因素主要有三個:資產價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數據采集的方式來進行合成計算,安全風險的數學表達式為:。其中為風險指標,表示企業資產指標,為代表威脅,為脆弱性指標。上述三類因素的基礎數據都需要從實踐中通過調研和測試來獲得。
2.1 企業信息安全估價的描述方法
企業的資產既包括有形的資產,也包括無形的資源,表現形式也從機械設備到軟件文檔等多種多樣。企業信息安全又有其特殊性。企業信息安全的安全屬性估價需要從資產的保密性、完整性和可用性三個方面來展開評估。由于企業各類資產的形式各異,資產的安全級別無法用通用的量化標準來記性評估,因此采用的方法為定性的CIA模糊集合方式來描述,如“資產安全級別”={“很高”、“高”、“中等”、“低”、“較低”}等模糊語言來描述,對應的論域為{5、4、3、2、1}。企業信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述,綜合上述三類安全屬性的公式為:。上式中分別為企業信息安全的保密性、完整性和可用性的賦值,取值為1,2…5,為綜合評定指標。筆者這里提供一些評價指標的選取標準:
(1)信息保密性的評定標準
①很高:這類級別的企業信息包含企業的核心關鍵決策信息,信息泄漏將嚴重影響企業的利益;②高:這類級別的企業信息泄露會對到企業經濟效益造成明顯損害;③中等:企業的一般性的經營、決策信息,泄露對企業不利;④低:這類企業信息一般指企業內部部門的局部信息;⑤較低:企業可對外界公布的信息類型。
(2)信息完整性的評定標準
①很高:這類級別的企業信息包含企業的核心關鍵決策信息,其完整性直接決定企業的業務完整性,一旦缺失就無法彌補;②高:這類信息修改必須經過高層授權,一旦缺失將嚴重影響業務,一旦缺失彌補難度很大;③中等:企業的一般性的經營、決策信息,其修改需授權,缺失后可彌補;④低:這類企業信息一般指企業內部部門的局部信息,缺失后對企業運行影響較小,易于彌補;⑤較低:企業可對外界公布的信息類型,缺失后對企業運行無明顯影響。
(3)信息可用性的評定標準
①很高:這類信息具有最重要的實用性,企業的運作必須依照運行的信息類型;②高:這類信息的可用性價值較高,企業運作對其依賴性較高;③中等:這類信息屬于可部分不可用的類型,部分不可用不影響企業的正常運作;④低:這類企業信息一般指企業內部部門的局部信息,信息不可用不會造成明顯影響;⑤較低:這類信息使用性不高,信息不可用的影響可以忽略。
2.2 企業信息安全威脅程度的量化方法
企業信息安全的威脅通常定義為潛在的破壞性因素或突發事件。威脅是客觀存在的,既可能來自于系統的用戶(合法用戶或非法入侵)操作,也可能來自于系統的物理組件的損壞。這兩類威脅中最大也最常見的是系統用戶在操作方面的失誤、非法用戶利用系統漏洞來竊取企業機密信息,以及計算機病毒對信息系統的侵襲等。但這些事件都不易量化,在做風險評估時需要依賴專家經驗,對各種潛在的威脅因素給出一定的概率值,對各類威脅因素可按照和上節類似的方法,用形如:“威脅程度”={“很高”、“高”、“中等”、“低”、“較低”}等模糊集合來表達,對應于相應的論域{5、4、3、2、1}。建議評定標準如下:①很高:風險事件發生的頻率很高,或對企業信息安全具有明顯的威脅,但又很難避免的情形;②高:風險事件發生的可能性較大或有發生先例;③中等:風險事件有可能發生,但尚未實際發生過的情形;④較低:風險事件發生的可能性較小,通常情況下不會發生;⑤很低:幾乎不可能發生的風險事件類型;
2.3 信息系統脆弱性的量化方法
信息系統脆弱性的評估和系統面臨的威脅是緊密相關的,所有的實際威脅都是利用系統安全的薄弱環節來發揮破壞性作用的,因此信息系統的脆弱性和威脅存點對點或單點對多點的關系。為便于計算,也采用和衡量系統威脅程度時相同的表示方法,“系統脆弱性”={“很高”、“高”、“中等”、“低”、“較低”},對應于相應的論域{5、4、3、2、1}。建議評定標準為:①很高:這類評定往往要基于企業信息系統存在明顯而易于攻擊的技術漏洞或者是管理規范上的缺陷,極易被非法使用的情形;②高:企業信息系統存在一定的技術漏洞或管理規范上的缺陷,容易被攻擊和利用;③中等:企業信息系統存在不易被發現(下轉第125頁)(上接第121頁)的技術漏洞,或必須經過人為非法操作才能被攻擊的管理規范上的漏洞;④低:企業信息系統不存在明顯的技術漏洞,或企業信息管理制度較為完善,不易被攻擊利用;⑤較低:企業信息系統技術較為完善,管理制度也較為合理,被攻擊點可能性很小。
2.4 信息安全的風險計算
按照風險的定義,風險包括風險事件發生的可能性和相應的后果。在企業信息系統中,各組成部分發生風險事件后的后果是不一樣的,其嚴重程度也存在差異。因此在風險計算時需要明確兩個方面的內容,一是風險的計算方式,二是對風險計算量化數值的評價。各因素風險值的計算按:來計算,即按資產價值、資產脆弱性和資產面臨的威脅性的乘積來衡量某種信息資產的風險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風險值之后,還需要建立起以風險值為基礎的風險評價體系。
由前文的分析可見,風險的定量估計是一個由三類風險因素的線性乘積得出的。每一類信息的最高等級論域數值為5,最低為1,因此組合情況下風險值的最高值為125,最低值為1。由此可建立其與之對應的風險定量評價體系。筆者建議采用與之對應的5級評定方式:①很高:風險值估計范圍在100~125之間,表明企業信息系統存在很高的安全風險,發生信息泄露的可能性非常高;②高:風險估計值在75~100之間,表明企業信息系統存在較大的安全風險,發生信息泄露的可能性較大;③中等:風險估計值在50~75之間,企業信息系統的安全風險一般,經過審查后能夠避免風險事件;④低:風險估計值在25~50之間,企業信息系統發生信息泄露的可能性很小;⑤很低:風險估計值在0~25之間,企業信息系統比較安全,但需要定期維護。
3.結語
企業信息系統安全管理關系到企業的內部運營數據的安全,是需要引起高度重視的問題。本文將企業信息安全評估中幾類常用的信息類型進行了風險量化評估,給出了以線性乘積為基礎的風險量化方法,最后給出了分等級的企業信息安全綜合評定。
參考文獻
[1]沈昌樣.關于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.
[2]沈昌祥,馬東平,等.信息安全工程學導論[M].電子工業出版社,2009,9.
