安全风险评估方法

篇一：信息安全风险评估方法

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。

1. 风险评估的现状

风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO27002,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。

2. 风险评估的突出问题

信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。

这也不算难的，最难最突出的是那些不仅仅做个一次风险评估的企业，出问题了，几次风险评估的结果不具有可比性，有时甚至还出现矛盾的地方，比方说，某个部门去年是某

个岗位的上一任做的，今年是另一位做的，评估结果不能反映去年到今年做的工作改善了企业所面临的信息安全风险状况，甚至细致到某个风险上;更有甚者，比如上次对于某个重要系统，由于没有必要的操作规程而导致误操作而影响系统安全的风险，采取、规范了操作流程并且培训了相关操作人员等控制措施，按理说这个风险已经是得到必要的控制，风险降低了，但是偏偏评估的结果不降反升了。这个问题，归纳为一句就是：风险评估如何得到一个一致的、可比较的、可重复的评估结果。

3. 对策

针对定性风险评估这个突出问题，在解决这个问题之前，我们先有必要清晰的界定这个问题。有人可能会问，我们企业在风险评估结果中，某项风险为100的风险是不是意味着很大呢？或者问我们企业风险评估结果某项风险值为30的风险是不是比其他企业同类型风险其风险值为100的风险小呢？答案是：都不是。定性风险评估的风险值仅仅是个相对值，其数值本身的大小不具有意义，其值只在整个风险参照体系中才具有相对(高/低)价值。企业与企业之间的安全风险对比，只有在使用同一风险评估方法(包括风险计算方法一致，定性尺度一致)，最好是相同行业并且业务相似的情况下，才具有横向可比性。在同一企业内部，风险评估结果要在不同部门横向比较，在同一部门纵向比较，那么，则也必须在同一风险评估方法(包括风险计算方法一致，定性尺度一致)下才具有可比性。

定性风险评估其实践操作中，主要依靠评估者的个人经验和判断，具有很强的主观特性，那我们的问题就变成了：在同一风险评估方法下，如何尽可能的剔除评估者的主观干扰，使得风险评估的结果更接近与风险的真实状况(尽管这种风险真实状况无法知晓，但是一定存在)？

解决这个问题出路之一就是结构化。当前所有的咨询/安全服务公司在帮助企业做风险评估，或者企业参照国际国内标准自己建立的一套风险评估体系自己进行风险与控制自评估时，一般的操作流程是先做现状调研，根据现状调研的结果来做风险评估。可以说，风险评估是现状调研成果的另一种表现形式，更科学，更直观。那么，现状调研的结果作为风险评估的重要输入，通过结构化现状调研的结果，即风险与风险应对措施建立结构化的联系，这样在评价某个风险大小，每次都对控制该风险对应的所有应对措施做出分析和评价。看以下例子：

在风险评估方法上，针对把由于资产责任不明而导致操作人员在误操作时泄密某服务器上绝密文件的这个具体风险与“资产所有者关系”、“文件化的操作程序”以及“信息安全意识、教育和培训”三项“应对”措施建立结构化的联系。第一次做风险评估时，由于企业现有控制只有绝密文件的所有者指定了该文件的保护要求这一项控制措施，使得该项风险的弱点值较小，风险评估的结果16.

做完第一风险评估之后，后来指定了规范的操作程序并对人员进行了必要的安全与操作技能培训，操作人员已经完全熟悉操作规范。第二次做风险评估时，同样评价这项风险，风险评估的结果就为4了。

通过以上这个简单的例子，我们就可以看到，当一旦建立风险与风险应对措施这么一个结构化的关系时，在评价风险的大小时，通过对风险控制的科学分解，使得主观判断的负面影响在评估过程中降低。在实践中，还可以做到更精细些，比如对同一控制措施的控制力度再做划分，比如刚才那个例子中，“文件化的操作程序”这个操作流程的成熟度的角度来进一步评判控制措施的强度和有效性。当然，同时也需要考虑同类风险之间的关联关系以及控制措施之间的关联关系。

4. 结束语

以上对定性的风险评估的方法在实践操作的层面做了有益的探讨，这种探讨是源自我们的实践总结，也在具体的项目中收到良好的效果。总之，我们需要在标准的资产风险评估方法上做必要的加法，同时，我们还要考虑定性评估方法的优点恰恰是简单易操作而得以广泛运用，在我们做加法的同时，还需要做减法，在保障一致的、可比较和可重复的评估结果时，还需要还原于其简单、易操作的本质，这样才能保持该方法的科学性和生命力。这道理恰恰正如大都市里的“我们”为了应对紧张的工作竞争和生活压力而在城市里更好的立足，要不断给自己做加法(不停的学习充电)，同时也要不断给自己做减法(放松、减压、善待自己)一样，大家说，不是吗？!

篇二：安全风险评价管理办法

安全风险评价管理办法

第一章 总 则

第一条 为规范和加强公司安全风险管理，预防事故发生，实现安全技术、安全管理的标准化和科学化，制定本管理办法。

第二条 适用于生产装置、设备、设施、贮存、运输的风险评价与控制，适用于作业现场、生产经营活动的正常和非正常情况，包括新、改、扩建项目的规划、设计和建设、投产、运行、拆除各阶段的风险评价、风险控制、风险信息更新以及重大危险源的管理。

第三条 本办法所指的安全风险评价，是指公司内部为保障安全生产自主组织开展的，对生产、建设、管理各环节可能存在或产生的危险、危害因素进行超前辨识、分析、评价的活动。

第四条 本办法不包括国家法律法规要求的由中介机构承担的各类安全评价活动。

第二章 组织管理

第五条 公司成立安全风险评价领导小组

组 长：总经理

副组长：副总经理

成 员：各总经理助理、部室、车间负责人

领导小组办公室设在HSE部，负责公司安全风险评价工作的贯彻执行、业务指导、现场督导和检查考核工作。

第六条 责任体系

公司建立“四级”安全风险评价责任体系：一是建立以部室为责任主体的公司安全风险评价体系；二是建立以车间为责任主体的各工序安全风险评价体系；三是建立以工段为责任主体的安全风险评价体系；四是建立以岗位为责任主体的职工安全风险评价体系。

(一)公司部室

1.总经理全面负责安全风险评价工作。

2.分管副总经理、总经理助理对分管范围内的安全风险评价工作负责，具体组织实施分管范围内的安全风险评价工作。

3.HSE部是安全风险评价管理工作的牵头部门，负责组织制订公司安全风险评价管理制度和考核标准，并对各单位安全风险评价工作开展情况进行监督检查和考核。

4.根据公司安全生产职责和专业分工，各业务部室负责组织策划各自专业范围内的危险因素辨识、评价和控制策划、监督检查、效果评价工作；负责编制专业范围内各类安全风险评价样表；负责公司相关业务重大风险分析记录的审查与控制效果验收；负责本专业范围内安全风险评价工作的组织协调、业务指导和检查督导；相关部室联合对系统进行安全风险评价，结合车间上报的较高风险，利用风险评价专题会等形式，进行辨识分级，制订控制措施，属于隐患的，进入隐患治理程序进行跟踪治理。

(二)车间

各生产车间是本单位安全风险评价工作实施的责任主体，车间主任是安全风险评价管理第一责任人，对本界区安全风险评价工作全面负责，组织实施各工序安全风险评价。车间分工负责人对分管范围内的安全风险评价工作负责，具体组织实施分管范围内的安全风险评价工作。各车间对评价出的较高风险，及时按隐患排查程序上报公司生产技术部，同时制订、落实好相关防范措施。

(三)工段

工段以“八大安全作业、系统开停车” 等内容为载体，利用票证和危害分析记录表等形式，扎实记录“工作前安全预知”活动，从“人员、工具、环境、对象、票证”等方面积极推进安全风险工作。

(四)岗位

岗位人员负责实施本岗位的安全风险评价，严格执行各种规章

制度、规程措施，评价结果需及时记录，按程序上报车间；岗位员工对评价出的较高风险，能自己解决的要积极解决后方可作业；风险度较高，难以解决的，及时以隐患的形式上报，待隐患消除后，方可安排作业。

(五)实行承包经营的单位是所辖安全管理范围内的安全风险评价实施主体、责任主体，和其他生产运行车间安全风险评价要求一致。

第三章 项目、内容及分工

第七条 生产经营安全许可条件评价。

(一)部室评价

HSE部、设备动力部、生产技术部、后勤服务中心、调度指挥中心、科技研发中心、人力资源部、企管审计部等部门应在每年12月上旬完成对本专业安全许可条件的评价工作，具体包括安全生产法律、法规、标准规范和相关要求的适用性、执行情况和潜在的安全风险等方面。

(二)每年12月组织一次公司安全风险综合评价（安全标准化自查），由安全总监主持，全员参与。

第八条 系统、装置安全风险评价。

(一)单系统开、停车或大型机组开、停车，由生产技术部进行专业指导，所在车间工艺负责人或技术负责人牵头，HSE部、生产技术部、设备动力部、电仪车间配合实施安全风险评价。

(二)多工序或多车间系统在系统开、停车时，应由生产技术部组织进行安全风险评价，总工程师、副总工程师，生产部室各专业技术负责人，相关电气、仪表等单位分管负责人参加，编制安全风险评价报告，逐级签批，存档管理。系统停运3 个月以上（含 3 个月）再次组织开车，安全风险评价同上。

(三)新装置首次开车时，应由生产技术部设计安全风险评价表，

牵头组织进行安全风险评价，总工程师、副总工程师，生产部室各专业技术负责人，各专业负责人，相关电气、仪表等单位分管负责人参加，编制安全风险评价报告，逐级签批，存档管理。

(四)技术改造项目首次进入现场施工或首次开车时，应由生产技术部设计安全风险评价表，牵头组织进行安全风险评价，总工程师、生产系统副总工程师，生产部室各专业技术负责人，相关电气、仪表等单位分管负责人参加。

(五)各运行装置的安全风险评价，由生产技术部统一组织制作安全风险评价表，所在车间工艺负责人或技术负责人牵头，HSE部、生产技术部、设备动力部、电仪车间配合实施安全风险评价。每半年进行一次安全风险评价。

(六)公司全系统运行情况的安全风险评价，应由调度指挥中心牵头，组织进行安全风险评价，总工程师、副总工程师，各生产部室负责人、相关专业技术人员参加，每年一次，编制安全风险评价报告，逐级签批，存档管理。

第九条 装置、设备检维修安全风险评价。

(一)外委施工。公司工程主管部门会同施工单位安全负责人、HSE部负责人、施工所属单位负责人对施工材料和工具准备，设备和工器具完好，作业环境，电源、高温、高压源等危险能量源以及有毒有害物质隔离，重物失稳防控及其他安全防护措施落实，作业人员身体状况、精神状态和劳动防护用品佩戴等情况进行评价和确认。作业完毕试运转前，作业负责人会同安全负责人，对施工质量，材料、工器具回收和人员撤离，安全设施及安全防护以及采取的安保措施(如短路线、电气接地等)恢复等情况进行评价和确认。

(二)重点设备检维修，由设备动力部牵头，制作安全风险评价表，由所在车间设备负责人牵头，HSE部、生产技术部、设备动力部、电仪车间配合实施安全风险评价。

（三）单系统检修，应由设备动力部牵头，制作安全风险评价表，由所在车间设备负责人牵头，HSE部、生产技术部、设备动力部、电仪车间配合实施安全风险评价。

(四)多工序或多车间同时进行系统性检修时，应由设备动力部牵头组织，总工程师、副总工程师，生产部室各专业技术负责人，电气、仪表等单位分管负责人参加，组织进行安全风险评价，编制安全风险评价报告，逐级签批，存档管理。

第十条 系统、装备评价的主要内容包括：

(一)新系统、新装备投运的评价内容应包括工程施工和设备安装质量、安全设施、安全防护、检测检验、规程措施、技术和人员条件、应急设施和预案等；

(二)系统、装备移交评价的内容应包括使用环境、运转情况、安全设施、安全措施、接收单位技术能力等；

(三)系统、装备正常运行的评价内容应包括运行状况、安全保护和安全防护设施等；

(四)系统、装备开、停车或检维修的评价内容应包括可能存在的风险因素、对运行系统的影响、安全隔离措施，技术、措施以及人员准备，开、停车后安全管理等。

第十一条 在组织生产、施工、设备安装、检维修等作业过程中，安全风险评价表由各相关部室负责指导编制，部室、车间管理人员、工段专兼职安全员、班组长对作业现场环境、设备、安全设施和工程质量等是否具备安全生产条件进行评价。

第十二条 岗位评价。作业人员每班上岗前，对自身上岗条件和本岗位职责范围内的环境、设备、设施、劳动防护进行安全评价，由车间指导规范，纳入岗位预检内容，在班组交接班记录本上记录。

第十三条 特殊作业评价。由相关部室进行指导，特殊作业前，由项目负责人组织部室、车间管理人员、专业技术人员、施工人员

篇三：社会安全风险评估办法

XX公司社会安全风险评估办法

第一章 总 则

第一条 为了公司作业区域社会安全风险的识别、评估，制定风险控制措施，减少和降低社会安全风险事件发生，确保员工的生命财产安全，特制定本办法。

第二条 HSE部负责指导公司生产经营活动过程中的社会安全风险识别、评估和管理工作。

第三条 各单位负责本单位工作区域社会安全风险的识别、评估和处置等管理工作。

第四条 综合部负责社会安全风险评价人员的培训组织工作。

第二章 资产界定

第四条 资产界定

公司应明确风险管理中重要资产及其功能和相关性。

第五条 评估资产考虑因素：

1、资产对企业、个人、社会的价值（其中包括有形资产和无形资产，如品牌、社会地位或社会公益性）

2、企业内部冗余程度，如备用资产或设施、可替代的工作场所。在评估社会因素时，也应适当考虑产业或部门的冗余程度（例如各种公共交通运输工具或模式，可否替代的电力系统和传输服务商）。

第三章 社会安全风险类别及依据

第六条 社会安全风险类别

战争风险、恐怖袭击、绑架、抢劫、盗窃、政治动乱、种族骚乱、宗教冲突、劳资纠纷、大规模的疫情等事件。

第七条 社会安全风险评估的内容

1、应急预案的适应性和可操作性、物理安保措施的配套标准、员工的社会安全防范意识和技能、当地可以利用的信息和环境资源、当地的地理及气候条件、当地的民俗习惯等。

2、风险发生的概率、风险的严重程度、产生的社会影响、可控范围和能力等。

第四章 风险评价

第八条 公司基于“最低合理可行”的原则，制定适合的社会风险评价准则，明确风险可接受标准。

第九条 公司应基于“最低合理可行”的原则，制定适合的社会安全风险评价准则，明确风险的可接受程度。

第十条 项目启动前的风险评价，一般使用威胁的可能性-严重性评估矩阵（见附表1），用于没有具体风险处置措施前的初始风险评价。依据公司既定的威胁可能性、严重性评价准则，评价项目及重要资产可能面临的社会安全风险，并确定风险等级和处置排序（见附表2）。

第十一条 在项目启动后，并有实际风险处置措施的情况下，现场具体风险评估应增加脆弱性评估内容。

第五章 社会安全风险分级

第十二条 公司对社会安全风险等级的划分主要依据集

团公司社会安全风险等级划分标准，即四个级别，依次采用极高、高、中等和低。

第十三条 红色等级（Ⅰ级，为极高风险）：预计将要发生特别重大（Ⅰ级）以上的恐怖事件，事件会随时发生，事态正在不断蔓延。处于该地区的单位要有步骤地组织现场人员撤离。

第十四条 橙色等级（Ⅱ级，为高风险）：预计将要发生重大（Ⅱ级）以上恐怖事件，事件即将发生，事态正在逐步扩大。公司不再向该地区派出人员，处于该地区的单位做好紧急撤离准备。

高风险又细分为以下三个级别：

1、高风险Ⅰ级 指社会安全形势比较严峻，恐怖袭击

或反政府武装活动频繁，并有针对中国人的恐怖袭击/绑架等事件发生的国家；

2、高风险Ⅱ级 指国家政治局势不稳定，或绑架、抢

劫、盗窃等社会治安事件以及大规模示威事件发生较多的国家；

3、高风险Ⅲ级 指存在社会安全风险，或曾经发生过

罢工、集会等一般性群体抗议事件的国家。

第十五条 黄色等级（Ⅲ级，中等风险）：预计将要发生较大（Ⅲ级）以上恐怖事件，事件已经临近，事态有扩大的趋势。

第十六条 蓝色等级（Ⅳ级，低风险）：预计将要发生一般（Ⅳ级）以上恐怖事件，事件即将临近，事态可能会扩大。

第六章 风险评价

第十七条 公司的项目应该充分考虑当地社会安全形势和风险，由项目部编制《______项目社会安全风险评估报告》，内部包括国家概况、主要的社会安全风险和风险控制措施等，否则在项目评审中实行一票否决制。

第十八条对公司所在国社会安全风险等级划分为高风险的，每年由项目组织进行一次社会安全风险评估。

第十九条 公司HSE部负责指导，并开展社会安全风险评估，并通过传递国际社会安全形势分析报告、不断完善社会安全风险评估指南为项目公司提供技术支持。

第二十条 公司每年对社会安全风险评估的应用效果进行检查和评审，项目的自我评估结果作为项目应急预案的修订和应急演练的指导依据。

第七章 风险处置

第二十一条 项目应根据社会安全风险评估的结果，建

立并维护社会安全风险登记表并及时进行更新。

第二十二条 在每个作业活动的重要阶段都需要对新增和原有威胁进行风险和处置措施的重新评估，项目部社会安全管理人员应当基于作业场所具体的社会安全风险评估，定期提交社会安全风险安全处置方案报告，用于指导风险处置活动。

第二十三条 风险处置的方法包括风险预防、风险降低、风险转移、风险规避。

第二十四条 项目应制定社会安全计划、人防、物防、技防和程序等方面的风险控制措施，以降低事件前风险的可能性。

第二十五条 项目应制定降低事件后果严重性的措施，主要有危机管理计划和应急预案、恢复运行计划和改进方案以及业务连续性计划等应急恢复措施。

第八章 附 则

第二十六条 本规定由HSE部负责解释。

第二十七条 本规定自发布之日起执行。

《安全风险评估方法》由：免费论文网互联网用户整理提供；
链接地址：http://www.csmayi.cn/meiwen/47759.html
转载请保留,谢谢!

• 上一篇：食品安全风险评估
• 下一篇：施工安全风险评估