前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文第1篇

第二條本市行政區(qū)域內(nèi)國(guó)有土地上的房屋征收與集體土地上的房屋拆遷（以下簡(jiǎn)稱房屋征收與拆遷），在項(xiàng)目實(shí)施前，都必須進(jìn)行社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估。

第三條市、縣（市、區(qū)）、市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、新城西區(qū)、-風(fēng)景名勝區(qū)的維穩(wěn)辦對(duì)各自區(qū)域內(nèi)房屋征收與拆遷項(xiàng)目的社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估工作進(jìn)行協(xié)調(diào)和指導(dǎo)。

縣（市、區(qū)）、市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、新城西區(qū)、風(fēng)景名勝區(qū)的房屋征收與拆遷管理部門（職能單位）具體負(fù)責(zé)各自區(qū)域內(nèi)房屋征收與拆遷項(xiàng)目的社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估。儀征市房屋征收與拆遷管理部門牽頭負(fù)責(zé)化學(xué)工業(yè)園區(qū)房屋征收與拆遷項(xiàng)目的社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估。

市住房保障和房產(chǎn)管理局參與市經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、新城西區(qū)、-風(fēng)景名勝區(qū)國(guó)有土地上房屋征收項(xiàng)目的社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估工作。

第四條房屋征收與拆遷項(xiàng)目社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容是：

（一）合法性評(píng)估。主要評(píng)估實(shí)施項(xiàng)目是否符合房屋征收與拆遷相關(guān)法律法規(guī)的要求。

（二）合理性評(píng)估。主要評(píng)估補(bǔ)償安置方案是否兼顧到各方面群體的現(xiàn)實(shí)利益與長(zhǎng)遠(yuǎn)利益，是否能為多數(shù)被征收拆遷人認(rèn)可。

（三）可行性評(píng)估。主要評(píng)估項(xiàng)目實(shí)施的時(shí)機(jī)是否成熟，補(bǔ)償安置資金和安置房源是否已經(jīng)落實(shí)到位。

（四）安全性評(píng)估。主要評(píng)估項(xiàng)目實(shí)施后是否會(huì)引發(fā)重大社會(huì)矛盾等影響社會(huì)穩(wěn)定的隱患，這些隱患能否得到有效消除。

第五條房屋征收與拆遷項(xiàng)目社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的程序：

（一）制定評(píng)估方案。評(píng)估前，由房屋征收與拆遷管理部門（職能單位）、國(guó)有土地上房屋征收部門和實(shí)施單位、集體土地上房屋拆遷項(xiàng)目的拆遷人等組成項(xiàng)目風(fēng)險(xiǎn)評(píng)估工作小組，根據(jù)評(píng)估的要求和房屋征收與拆遷項(xiàng)目的特點(diǎn)，制定評(píng)估方案，明確評(píng)估具體內(nèi)容、方法步驟和時(shí)間要求，保證工作有效開(kāi)展。

（二）廣泛聽(tīng)取意見(jiàn)。評(píng)估工作啟動(dòng)后，房屋征收與拆遷管理部門將征收拆遷補(bǔ)償安置方案在項(xiàng)目所在地進(jìn)行公示，讓被征收拆遷人充分了解。采取召開(kāi)座談會(huì)、重點(diǎn)走訪、問(wèn)卷調(diào)查等方法，廣泛聽(tīng)取各有關(guān)部門、房屋征收拆遷有關(guān)單位和被征收拆遷人的意見(jiàn)、建議。實(shí)施項(xiàng)目應(yīng)當(dāng)履行聽(tīng)證的，需組織由被征收拆遷人和公眾代表參加的聽(tīng)證會(huì)，評(píng)估工作小組綜合各方面因素形成項(xiàng)目風(fēng)險(xiǎn)評(píng)估初步報(bào)告。

（三）分析研判預(yù)測(cè)風(fēng)險(xiǎn)。由房屋征收與拆遷管理部門（職能單位）牽頭，組織維穩(wěn)、、綜治、監(jiān)察、發(fā)改、規(guī)劃、國(guó)土等部門，成立屬地房屋征收與拆遷風(fēng)險(xiǎn)評(píng)估報(bào)告研判小組，對(duì)提供的項(xiàng)目風(fēng)險(xiǎn)評(píng)估初步報(bào)告進(jìn)行分析研判，對(duì)可能引發(fā)的社會(huì)矛盾，作出評(píng)估預(yù)測(cè)和分析研究，并制定相應(yīng)的防范、應(yīng)急預(yù)案。

（四）作出評(píng)估報(bào)告。根據(jù)房屋征收與拆遷風(fēng)險(xiǎn)評(píng)估報(bào)告研判小組的分析研判結(jié)論，房屋征收與拆遷管理部門形成項(xiàng)目風(fēng)險(xiǎn)評(píng)估報(bào)告。

第六條評(píng)估報(bào)告的主要內(nèi)容包括：

（一）房屋征收與拆遷項(xiàng)目的基本情況。包括項(xiàng)目名稱、征收與拆遷的目的和范圍、擬實(shí)施時(shí)間和期限、項(xiàng)目范圍內(nèi)住戶和單位狀況及房屋和土地使用權(quán)狀況，發(fā)改、國(guó)土、規(guī)劃等部門對(duì)項(xiàng)目符合各項(xiàng)規(guī)定的認(rèn)可材料或批準(zhǔn)文件等。

（二）補(bǔ)償安置方案公示和征求群眾意見(jiàn)情況。包括補(bǔ)償安置方案在項(xiàng)目現(xiàn)場(chǎng)公示后群眾的反映；有關(guān)部門、單位和專家的意見(jiàn)建議；依法應(yīng)當(dāng)履行聽(tīng)證程序項(xiàng)目的聽(tīng)證情況；根據(jù)征求到的意見(jiàn)建議進(jìn)行修改的情況。

（三）對(duì)房屋征收與拆遷項(xiàng)目的評(píng)估預(yù)測(cè)和分析研究。主要包括：

1、補(bǔ)償標(biāo)準(zhǔn)、安置房地點(diǎn)、騰倉(cāng)過(guò)渡期限等補(bǔ)償安置方案是否合法合規(guī)。

2、補(bǔ)償安置資金和安置房源是否已經(jīng)落實(shí)。

3、因搬遷給特困企業(yè)和住房困難家庭帶來(lái)的生產(chǎn)、生活困難問(wèn)題是否得到妥善處置。

4、房屋拆除施工安全是否考慮周到。

5、有可能引發(fā)不穩(wěn)定的其它因素及其化解措施和預(yù)案是否制定。

（四）明確房屋征收與拆遷項(xiàng)目風(fēng)險(xiǎn)防范和維穩(wěn)的責(zé)任單位和責(zé)任人員。

（五）對(duì)項(xiàng)目做出可以實(shí)施、暫緩實(shí)施或不予實(shí)施的評(píng)估結(jié)論。

第七條項(xiàng)目屬地的維穩(wěn)辦要全程跟蹤房屋征收與拆遷項(xiàng)目社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的過(guò)程，對(duì)評(píng)估報(bào)告進(jìn)行認(rèn)真審核，并作出明確的備案意見(jiàn)。

第八條對(duì)已經(jīng)社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估實(shí)施的房屋征收與拆遷項(xiàng)目，項(xiàng)目屬地的維穩(wěn)辦應(yīng)會(huì)同房屋征收與拆遷管理、、鄉(xiāng)鎮(zhèn)（街道）等責(zé)任部門和單位全程跟蹤，及時(shí)發(fā)現(xiàn)和化解實(shí)施過(guò)程中出現(xiàn)的矛盾和問(wèn)題，將不穩(wěn)定隱患消除在萌芽狀態(tài)和初始階段。

第九條各有關(guān)部門、單位應(yīng)積極主動(dòng)落實(shí)房屋征收與拆遷社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估的各項(xiàng)要求，年終將該項(xiàng)工作納入社會(huì)治安綜合治理和平安建設(shè)工作考核內(nèi)容。具體考核按《市社會(huì)穩(wěn)定風(fēng)險(xiǎn)評(píng)估工作考核辦法（暫行）》（辦發(fā)〔〕69號(hào)）執(zhí)行。

企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文第2篇

公安應(yīng)急處突工作一直以來(lái)倍受公眾和媒體的關(guān)注。特別是在新的安全形勢(shì)下，突發(fā)事件的處置能力已經(jīng)成為衡量一個(gè)地區(qū)公安機(jī)關(guān)維護(hù)社會(huì)穩(wěn)定的重要標(biāo)準(zhǔn)。但是單一側(cè)重處置能力，而不重視防范體系的建設(shè)，只會(huì)導(dǎo)致公安機(jī)關(guān)的應(yīng)急處置工作應(yīng)接不暇。公安應(yīng)急管理工作應(yīng)該注重防范體系的建設(shè)，防范與處置同步發(fā)展。在新的安全形勢(shì)下，本文以重視防范為出發(fā)點(diǎn)，對(duì)如何完善公安機(jī)關(guān)應(yīng)急管理工作，提出了一些新的思路。對(duì)公安機(jī)關(guān)需要樹(shù)立重視防范的思想，建立風(fēng)險(xiǎn)評(píng)估體系，公安機(jī)關(guān)應(yīng)急管理的專業(yè)化，改善預(yù)案演練機(jī)制，公安機(jī)關(guān)針對(duì)突發(fā)事件應(yīng)建立科學(xué)的媒體應(yīng)對(duì)機(jī)制，并對(duì)整合社會(huì)應(yīng)急管理資源，建立經(jīng)營(yíng)應(yīng)急管理服務(wù)的企業(yè)公司提出了設(shè)想。我們需要從理論和應(yīng)用方面兩個(gè)方面進(jìn)行創(chuàng)新。在風(fēng)險(xiǎn)評(píng)估方面，本文重點(diǎn)闡述了應(yīng)當(dāng)重視風(fēng)險(xiǎn)評(píng)估體系建設(shè)的意義、評(píng)估原則、評(píng)估體系建設(shè)的措施和撰寫(xiě)評(píng)估報(bào)告的技術(shù)性建議;在公安應(yīng)急管理體系建設(shè)方面，重點(diǎn)闡述了應(yīng)當(dāng)建立專門機(jī)構(gòu)、專業(yè)人才隊(duì)伍以及實(shí)戰(zhàn)化建設(shè)等觀點(diǎn);在預(yù)案的演練方面，重點(diǎn)闡述了目前應(yīng)當(dāng)重視預(yù)案演練出現(xiàn)的問(wèn)題和改進(jìn)方略;在公安應(yīng)急管理中的媒體應(yīng)對(duì)方面，著重闡述了公安應(yīng)急管理媒體應(yīng)急體系建設(shè)的方法。文章最后對(duì)，建立公安機(jī)關(guān)應(yīng)急管理體系，合理利用社會(huì)資源，提出了建立應(yīng)急服務(wù)公司設(shè)想等措施，并闡述了應(yīng)急服務(wù)公司是對(duì)公安應(yīng)急管理體系的有益補(bǔ)充的觀點(diǎn)。

關(guān)鍵詞：公安應(yīng)急管理;風(fēng)險(xiǎn)評(píng)估;預(yù)案演練;媒體應(yīng)對(duì);應(yīng)急服務(wù)公司

近幾年來(lái)，國(guó)內(nèi)接連發(fā)生暴力恐怖襲擊案件和事件，對(duì)國(guó)家法律尊嚴(yán)和公安機(jī)關(guān)應(yīng)急處突能力提出了嚴(yán)峻挑戰(zhàn);伴隨著國(guó)家經(jīng)濟(jì)的發(fā)展，社會(huì)轉(zhuǎn)型的各種利益重疊交錯(cuò)，因人民內(nèi)部矛盾而引發(fā)的大規(guī)模已屢見(jiàn)不鮮;校園安全事件也頻繁發(fā)生;大型群眾性活動(dòng)安全保衛(wèi)任務(wù)日益繁重。公安機(jī)關(guān)傳統(tǒng)的應(yīng)急處突體系和管理思路已經(jīng)不能適應(yīng)時(shí)代的要求，需要對(duì)公安機(jī)關(guān)的應(yīng)急管理進(jìn)行專門的研究和創(chuàng)新改革的措施，以適應(yīng)新的安全形勢(shì)和緊跟國(guó)家應(yīng)急管理體系總體要求。

一、重視防范，“攻防兼?zhèn)洹保まD(zhuǎn)重處置、輕防范的錯(cuò)誤思想，完善和強(qiáng)化風(fēng)險(xiǎn)評(píng)估體系建設(shè)

我國(guó)公安機(jī)關(guān)在應(yīng)急管理方面存在重處置、輕預(yù)防的問(wèn)題，主要表現(xiàn)在：表彰獎(jiǎng)勵(lì)、追責(zé)倒查、人力物力投入、宣傳推廣和教育培訓(xùn)等方面。帶著問(wèn)題，思考其產(chǎn)生的原因，主要還是由公安機(jī)關(guān)決策層對(duì)重點(diǎn)工作的選擇來(lái)決定的，決策層重視防范工作自然就會(huì)加大投入，基層干警就會(huì)按照決策層的工作指引逐步轉(zhuǎn)變工作模式和對(duì)防范工作的態(tài)度。因?yàn)橥话l(fā)事件本身的特點(diǎn)，加之區(qū)域?qū)嶋H情況不一樣，爆發(fā)社會(huì)安全事件的風(fēng)險(xiǎn)也不一樣，且處置社會(huì)安全事件往往不是某一個(gè)派出所或某個(gè)單位可以完成的任務(wù)，所以不容易對(duì)基層單位突發(fā)事件處置工作進(jìn)行量化考核和評(píng)比。防范工作具有量化考核評(píng)比的優(yōu)勢(shì)。調(diào)整考核評(píng)比的結(jié)構(gòu)和內(nèi)容，使干警做好全年防范工作同樣可以獲得較好的考核成績(jī)，突出防范工作量，主動(dòng)降低轄區(qū)內(nèi)發(fā)生社會(huì)安全事件的風(fēng)險(xiǎn)。

除了完善防范工作績(jī)效考核體系的建設(shè)，建立完善的風(fēng)險(xiǎn)評(píng)估預(yù)警機(jī)制，同樣是是強(qiáng)化防范工作的重要措施?；鶎优沙鏊鶝](méi)有對(duì)轄區(qū)內(nèi)的社會(huì)安全事件進(jìn)行風(fēng)險(xiǎn)評(píng)估的工作機(jī)制和撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告的習(xí)慣和工作機(jī)制，使情報(bào)信息部門收集到的信息有限，預(yù)警信息和準(zhǔn)備處置力量的時(shí)間很有限。因此，建立標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)評(píng)估機(jī)制是做好社會(huì)安全事件防范工作的重要措施，是公安機(jī)關(guān)應(yīng)急預(yù)警體系的關(guān)鍵程序。一方面，它是對(duì)通過(guò)監(jiān)測(cè)手段和日常防范工作獲取的數(shù)據(jù)和信息的加工和處理;另一方面，它是作出預(yù)警決策的基礎(chǔ)和依據(jù)，是預(yù)警信息的重要組成部分，是決策層進(jìn)行處置決策的根基。

（一）為使公安機(jī)關(guān)應(yīng)急管理中的風(fēng)險(xiǎn)評(píng)估有效進(jìn)行，并能夠保證做出的評(píng)估科學(xué)準(zhǔn)確，在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)該遵循以下基本原則：

1、客觀真實(shí)原則。我們?cè)谶M(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)盡量避免主觀判斷和對(duì)事件發(fā)展趨勢(shì)進(jìn)行猜測(cè);堅(jiān)持實(shí)事求是，不能盲從權(quán)威和上級(jí)部門的主觀觀點(diǎn);更不能本位主義，出于對(duì)評(píng)估人員所在部門的利益考慮而故意放大或縮小對(duì)風(fēng)險(xiǎn)的評(píng)估。

2、動(dòng)態(tài)評(píng)估原則。公安機(jī)關(guān)所應(yīng)對(duì)的社會(huì)安全事件，其爆發(fā)要素是處于不斷的發(fā)展變化的，評(píng)估結(jié)論具有一定的時(shí)效性，而且我們對(duì)事件的監(jiān)測(cè)和對(duì)各類突發(fā)事件的防范工作是持續(xù)進(jìn)行的，我們?cè)诠ぷ髦胁粩嗟墨@取新的信息，需要不斷的與決策層進(jìn)行新的溝通和信息交換，因此我們必須進(jìn)行動(dòng)態(tài)的評(píng)估，以更加快速的、更加客觀的向決策層反映實(shí)際的情況，同時(shí)減少無(wú)根據(jù)的猜測(cè)，避免武斷。

3、標(biāo)準(zhǔn)化和規(guī)范化原則。公安機(jī)關(guān)應(yīng)該建立適合本單位運(yùn)行評(píng)估體系和實(shí)際社情的評(píng)估標(biāo)準(zhǔn)和規(guī)范化的評(píng)估報(bào)告樣式，其中應(yīng)該包括：程序、方法、指標(biāo)體系、術(shù)語(yǔ)化、行文標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)化的評(píng)估，可以使決策層更加快速的獲取信息，更直觀的反映實(shí)際情況，而且為培養(yǎng)風(fēng)險(xiǎn)評(píng)估人才提供了捷徑。

4、風(fēng)險(xiǎn)評(píng)估體系建設(shè)制度化原則

任何工作體系的建設(shè)都必須有制度作為保障，評(píng)估報(bào)告寫(xiě)的再好沒(méi)人用就成了浪費(fèi)資源;評(píng)估標(biāo)準(zhǔn)化做的再好，不做風(fēng)險(xiǎn)評(píng)估就成了紙上談兵。在建立風(fēng)險(xiǎn)評(píng)估體系的基礎(chǔ)上，還要學(xué)會(huì)合理的利用好風(fēng)險(xiǎn)評(píng)估，讓其成為決策的基石而不是花瓶。讓風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的工作措施，成為公安應(yīng)急管理決策程序的必經(jīng)程序，需要制度先行，讓風(fēng)險(xiǎn)評(píng)估成為公安機(jī)關(guān)從決策層到實(shí)戰(zhàn)層信息交換的必經(jīng)之路。

（二）公安機(jī)關(guān)風(fēng)險(xiǎn)評(píng)估體系建設(shè)的兩個(gè)措施：

一是，風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)網(wǎng)絡(luò)化、數(shù)據(jù)化和信息化。網(wǎng)絡(luò)化就是形成風(fēng)險(xiǎn)評(píng)估的網(wǎng)絡(luò)體系，依托公安機(jī)關(guān)內(nèi)部互聯(lián)網(wǎng)絡(luò)，并開(kāi)發(fā)風(fēng)險(xiǎn)評(píng)估軟件，建立信息共享、預(yù)警共享和網(wǎng)絡(luò)調(diào)度的平臺(tái)。數(shù)據(jù)化就是將能夠量化的評(píng)估指標(biāo)體系和統(tǒng)計(jì)系統(tǒng)融入網(wǎng)絡(luò)平臺(tái)，使一些標(biāo)準(zhǔn)化的關(guān)鍵數(shù)據(jù)能夠動(dòng)態(tài)反映在網(wǎng)絡(luò)平臺(tái)，這些數(shù)據(jù)有時(shí)比利用評(píng)估報(bào)告等文字性語(yǔ)言傳遞信息更加快速。信息化就是利用網(wǎng)絡(luò)交互式平臺(tái)，使風(fēng)險(xiǎn)評(píng)估、預(yù)警信息、調(diào)度命令在網(wǎng)絡(luò)間互動(dòng)，是風(fēng)險(xiǎn)評(píng)估能夠主動(dòng)發(fā)揮作用，而不是被動(dòng)的等待決策層采用。

二是，公安機(jī)關(guān)內(nèi)部風(fēng)險(xiǎn)評(píng)估應(yīng)該吸納社會(huì)評(píng)估組織或?qū)＜覍W(xué)者的評(píng)估力量，在監(jiān)測(cè)和預(yù)警社會(huì)安全事件方面應(yīng)該吸納社會(huì)評(píng)估組織或?qū)＜覍W(xué)者的意見(jiàn)。標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)評(píng)估，容易出現(xiàn)思想僵化，創(chuàng)新能力降低等問(wèn)題，積極吸收社會(huì)評(píng)估組織或?qū)＜覍W(xué)者的評(píng)估意見(jiàn)，可以避免這些問(wèn)題的發(fā)生。比如，某公司申請(qǐng)舉辦大型群眾性活動(dòng)，在申報(bào)前需要提交安保方案和應(yīng)急預(yù)案，同時(shí)可以邀請(qǐng)社會(huì)風(fēng)險(xiǎn)評(píng)估組織開(kāi)展舉辦該活動(dòng)的風(fēng)險(xiǎn)評(píng)估，以降低發(fā)生諸如踩踏、臨時(shí)建筑垮塌等事故的風(fēng)險(xiǎn)。

（三）撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告的技術(shù)性建議：

1、撰寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告之前必須規(guī)范專業(yè)術(shù)語(yǔ)、指標(biāo)體系和預(yù)警信息的表達(dá)形式，要求簡(jiǎn)單易懂，傳遞信息直接快速，警示作用明顯和強(qiáng)烈;

2、風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)具有的基本內(nèi)容包括：評(píng)估目標(biāo)（具有社會(huì)安全風(fēng)險(xiǎn)的事件、案件、活動(dòng)、警務(wù)任務(wù)等）的基本信息、指標(biāo)數(shù)據(jù)、列舉風(fēng)險(xiǎn)源、列舉風(fēng)險(xiǎn)源可能造成的后果、掌握的資源能否應(yīng)對(duì)可能發(fā)生的突發(fā)事件、對(duì)照風(fēng)險(xiǎn)指標(biāo)數(shù)據(jù)體系進(jìn)行評(píng)估并預(yù)警信息和處置建議等。

3、風(fēng)險(xiǎn)評(píng)估報(bào)告的撰寫(xiě)時(shí)機(jī)的選擇非常重要。并不是所有的風(fēng)險(xiǎn)評(píng)估都必須寫(xiě)出報(bào)告，有些風(fēng)險(xiǎn)評(píng)估可以快速依據(jù)數(shù)據(jù)分析直接出結(jié)果，以簡(jiǎn)潔的語(yǔ)言甚至是一句話向決策層傳遞評(píng)估結(jié)果。例如：發(fā)生發(fā)展過(guò)程中的風(fēng)險(xiǎn)評(píng)估;某大型活動(dòng)進(jìn)行中對(duì)發(fā)生踩踏事故的風(fēng)險(xiǎn)評(píng)估;對(duì)某劫持人質(zhì)事件是否進(jìn)行武力營(yíng)救進(jìn)行的風(fēng)險(xiǎn)評(píng)估等這些已經(jīng)發(fā)生或評(píng)估時(shí)效性比較緊迫的情況;有些風(fēng)險(xiǎn)評(píng)估時(shí)效性要求并不是很強(qiáng)烈，就可按照評(píng)估機(jī)制和評(píng)估體系的要求撰寫(xiě)評(píng)估報(bào)告，從而使決策層更加詳盡的了解詳情和風(fēng)險(xiǎn)程度等信息。例如：大型活動(dòng)籌備期間對(duì)該活動(dòng)的風(fēng)險(xiǎn)評(píng)估，對(duì)某火車站防范暴力恐怖襲擊能力的風(fēng)險(xiǎn)評(píng)估，對(duì)某國(guó)際事件發(fā)生后轄區(qū)內(nèi)是否可能爆發(fā)自發(fā)國(guó)主義游行進(jìn)行的風(fēng)險(xiǎn)評(píng)估等等。因此，撰寫(xiě)評(píng)估報(bào)告要選擇好時(shí)機(jī)。并不是所有的風(fēng)險(xiǎn)評(píng)估都要撰寫(xiě)報(bào)告，在建立風(fēng)險(xiǎn)評(píng)估體系時(shí)應(yīng)當(dāng)考慮到風(fēng)險(xiǎn)評(píng)估的簡(jiǎn)易程序的設(shè)立。

二、公安應(yīng)急管理向?qū)I(yè)化發(fā)展

在國(guó)家應(yīng)急體系建立的大背景下，各級(jí)公安機(jī)關(guān)正在緊鑼密鼓的建立適應(yīng)自身職業(yè)特點(diǎn)的應(yīng)急體系。這也是公安應(yīng)急管理逐步實(shí)現(xiàn)專業(yè)化是一個(gè)重要的發(fā)展方向。

（一）建立公安應(yīng)急管理專門機(jī)構(gòu)

依托公安機(jī)關(guān)110報(bào)警服務(wù)平臺(tái)和指揮系統(tǒng)，建立公安機(jī)關(guān)應(yīng)急管理部門，專門從事公安應(yīng)急管理活動(dòng)。應(yīng)急部門的建設(shè)不能是形式上的“掛牌”活動(dòng)，更不是對(duì)之前的應(yīng)急處突體系的復(fù)制，而是按照科學(xué)的方法把公安機(jī)關(guān)的應(yīng)急資源進(jìn)行整合，使資源更加優(yōu)化，指揮更加高效，管理更加科學(xué)。傳統(tǒng)的公安應(yīng)急模式中存在太多的分散性和惰性，應(yīng)急體系被動(dòng)等待突發(fā)事件的發(fā)生，沒(méi)有專業(yè)的應(yīng)急管理部門負(fù)責(zé)管理活動(dòng)，預(yù)防和重建環(huán)節(jié)沒(méi)有得到足夠重視，沒(méi)有形成合力。因此，公安機(jī)關(guān)需要建立具有突發(fā)事件預(yù)防和調(diào)研、評(píng)估職能，突發(fā)事件發(fā)生后又具有較高指揮權(quán)，處置后又具有秩序和信任恢復(fù)重建職能的專業(yè)化的應(yīng)急部門。

（二）注重培養(yǎng)公安應(yīng)急管理專門人才

公安應(yīng)急管理專門人才十分短缺。公安應(yīng)急管理還沒(méi)有形成獨(dú)立的公安專業(yè)學(xué)科，但是公安應(yīng)急體系發(fā)揮的重要作用日益凸顯。因此，公安機(jī)關(guān)需要大量的公安應(yīng)急管理專門人才充實(shí)到公安應(yīng)急體系，將繼行政執(zhí)法、刑事司法、行政管理之后公安機(jī)關(guān)第四大職能――應(yīng)急處突，完善的更加正規(guī)化、信息化、規(guī)范化和實(shí)戰(zhàn)化。

（三）專業(yè)化的應(yīng)急體系不應(yīng)該是機(jī)關(guān)單位而是“前沿陣地”

目前，基層公安應(yīng)急管理體系還存在機(jī)關(guān)作風(fēng)和成員老齡化的問(wèn)題。公安應(yīng)急指揮體系依托110報(bào)警服務(wù)平臺(tái)，沒(méi)有專門的、獨(dú)立的應(yīng)急管理機(jī)構(gòu)。有的單位甚至將其視為“養(yǎng)老辦”;“光說(shuō)不練”的工作作風(fēng)和成員老齡化問(wèn)題使應(yīng)急管理工作閉門造車，不能深入基層和處置現(xiàn)場(chǎng)，現(xiàn)場(chǎng)實(shí)戰(zhàn)指揮效能大打折扣。專業(yè)化的應(yīng)急管理體系成員應(yīng)該直接參與管理活動(dòng)的每一個(gè)環(huán)節(jié)。公安應(yīng)急管理人員不僅僅是吹響沖鋒號(hào)的號(hào)手，同時(shí)是指揮員和戰(zhàn)斗員。

三、杜絕“預(yù)案綜合征”和“演練藝術(shù)化”，預(yù)案演練要實(shí)現(xiàn)常態(tài)化和貼近實(shí)戰(zhàn)化

沖破“預(yù)案綜合征”對(duì)我們制定預(yù)案的思維阻塞。所謂“預(yù)案綜合征”是將應(yīng)急預(yù)案作為應(yīng)急準(zhǔn)備工作的全部。如果只有一個(gè)紙上談兵的預(yù)案，而沒(méi)有實(shí)施預(yù)案的能力，就會(huì)給人造成準(zhǔn)備充分的假象?，F(xiàn)階段，一些政府和一些公安機(jī)關(guān)制定的預(yù)案大部分停留在紙上，每年的修訂也僅僅是更改了相關(guān)指揮人員的名字和職務(wù)，有些地區(qū)將鮮有發(fā)生的突發(fā)事件的預(yù)案封存檔案室，預(yù)案逐步淪為應(yīng)付上級(jí)檢查的材料，形同虛設(shè)。既然是應(yīng)急預(yù)案就需要經(jīng)常演練。如果沒(méi)有演練使各單位、各部門達(dá)到協(xié)同，默契配合。如果沒(méi)有人、財(cái)、物的儲(chǔ)備，當(dāng)突發(fā)事件發(fā)生時(shí)，后果難以想象。在現(xiàn)階段，預(yù)案的演練水平和人、財(cái)、物的儲(chǔ)備受到領(lǐng)導(dǎo)思想意思、地方財(cái)力等各種因素的制約需要進(jìn)一步妥善解決。

預(yù)案不是神話，演練不是擺造型、鋪場(chǎng)面。演練的目的是為了暴露應(yīng)急預(yù)案中的問(wèn)題，發(fā)現(xiàn)應(yīng)急管理中存在的問(wèn)題，從而改進(jìn)應(yīng)急管理工作，而不是為了表演而演練。就目前公安機(jī)關(guān)開(kāi)展的各種演練，在一定程度上還存在形式主義傾向，突發(fā)性、緊急性、實(shí)戰(zhàn)性無(wú)法體現(xiàn);事件的烈度大多數(shù)根據(jù)已掌握、已協(xié)調(diào)和已準(zhǔn)備的資源為基準(zhǔn)，根本不存在不可控性，演練流于形式。好多演練都是按照事先安排完成處置任務(wù)為結(jié)果，沒(méi)有總結(jié)歸納、沒(méi)有分析研判。演練已成為一種機(jī)械式的任務(wù)，而不是暴露問(wèn)題和提高管理水平的途徑?！把菥毷　边@樣的結(jié)果也是一項(xiàng)重要的和寶貴的財(cái)富，這需要引起各方重視。

我們可以在演練中設(shè)定發(fā)生更加困難的情況或突況，諸如：解救人質(zhì)事件中，談判失敗劫匪“撕票”，殺死了其中一名人質(zhì)，現(xiàn)場(chǎng)處突民警和特警怎樣處置？或是在現(xiàn)場(chǎng)，按照預(yù)案處置過(guò)程中，有人突然倒地，有人為制造事端突然大喊“警察打人”或是有無(wú)數(shù)的人在多個(gè)不同點(diǎn)位拍攝、錄音，現(xiàn)場(chǎng)民警怎么辦？再有，爆恐襲擊發(fā)生了，特警和其他支援力量遇到交通堵塞，被堵在半路上，只剩下現(xiàn)場(chǎng)幾名值班巡邏民警，怎樣組織群眾開(kāi)展自我防護(hù)？以上情況不是危言聳聽(tīng)，很有可能發(fā)生，幾乎所有的預(yù)案都無(wú)法考慮到所有的突況。因此，應(yīng)急預(yù)案的培訓(xùn)與演練是非常重要的，只有突發(fā)性的、多樣性的演練才能磨練出更加科學(xué)的預(yù)案，才能鍛煉出更加適應(yīng)現(xiàn)場(chǎng)情況突變的公安隊(duì)伍。

四、公安機(jī)關(guān)應(yīng)注重培養(yǎng)干警掌握利用和應(yīng)對(duì)各類媒體的技巧

全警參與公共關(guān)系建設(shè)，利用媒體做好突發(fā)事件應(yīng)急處置后期的形象和信任重建，以及受影響群眾的安撫工作，重視利用私媒，形成公安機(jī)關(guān)整體公關(guān)與單警公關(guān)相結(jié)合的新局面。以往的公安機(jī)關(guān)媒體應(yīng)對(duì)工作過(guò)于被動(dòng)，往往深處媒體危機(jī)時(shí)才會(huì)想到應(yīng)對(duì)，合理利用媒體引導(dǎo)輿論的能力較弱。

公安機(jī)關(guān)在建立突發(fā)事件應(yīng)急預(yù)案的同時(shí)建立突發(fā)事件媒體應(yīng)對(duì)計(jì)劃。突發(fā)事件發(fā)生后，公安機(jī)關(guān)與社會(huì)公眾和各種媒體進(jìn)行有效溝通的關(guān)鍵是早有準(zhǔn)備。一旦突發(fā)事件發(fā)生，媒體危機(jī)不會(huì)給我們時(shí)間準(zhǔn)備應(yīng)對(duì)的措施和與媒體溝通的計(jì)劃，信息傳遞失誤就可能被媒體危機(jī)擊垮，其危害和社會(huì)影響力往往比社會(huì)安全事件本身更加巨大，甚至導(dǎo)致應(yīng)急體系的崩潰，引發(fā)管理體制的改革。因此，同步制定突發(fā)事件媒體應(yīng)對(duì)計(jì)劃就顯得尤為重要。這個(gè)計(jì)劃可以幫助應(yīng)急管理者提前做好媒體溝通和信息傳播的組織工作，選出媒體人，針對(duì)各種突發(fā)事件開(kāi)展媒體應(yīng)對(duì)的專門訓(xùn)練，強(qiáng)化與主流媒體的溝通。在不同的突發(fā)事件當(dāng)中，決定需要傳遞什么信息，制定怎樣的目標(biāo)和選取怎樣的媒體。同時(shí)，媒體應(yīng)對(duì)計(jì)劃還可以指導(dǎo)成立一個(gè)媒體中心，為我們進(jìn)行新聞準(zhǔn)備必要的硬件資源。

公安機(jī)關(guān)在啟動(dòng)突發(fā)事件應(yīng)急預(yù)案的同時(shí)啟動(dòng)突發(fā)事件媒體應(yīng)對(duì)計(jì)劃。當(dāng)社會(huì)安全事件發(fā)生以后，公安機(jī)關(guān)應(yīng)該立即向社會(huì)公布相關(guān)信息，但是不能傳達(dá)不確定或不知道的信息，不然各種媒體就會(huì)通過(guò)其他渠道獲取信息，甚至謠言四起。媒體應(yīng)對(duì)部門是現(xiàn)場(chǎng)處置指揮員或指揮部的“口舌耳目”，要積極的將輿論引導(dǎo)至便于我們繼續(xù)開(kāi)展應(yīng)急處置和消除事件后社會(huì)影響的方向，所以公安機(jī)關(guān)在處置社會(huì)安全事件時(shí)應(yīng)當(dāng)在啟動(dòng)媒體應(yīng)對(duì)計(jì)劃后建立距離事發(fā)地核心地區(qū)不遠(yuǎn)的24小時(shí)媒體中心，專門負(fù)責(zé)處理謠言，收集事實(shí)和組織新聞的工作。公安機(jī)關(guān)主要負(fù)責(zé)人或政府高級(jí)官員應(yīng)當(dāng)在現(xiàn)場(chǎng)指揮處置，媒體中心應(yīng)當(dāng)政府或公安機(jī)關(guān)高級(jí)官員現(xiàn)場(chǎng)指揮的視頻資料，甚至是現(xiàn)場(chǎng)采訪。將我們的信息告知每一個(gè)參加處置任務(wù)的部門，甚至每一位民警。對(duì)突發(fā)事件的報(bào)道要有始有終，相關(guān)信息要及時(shí)更新。

五、引導(dǎo)和利用社會(huì)資源，鼓勵(lì)組建專業(yè)化的和專門經(jīng)營(yíng)應(yīng)急處置技術(shù)、裝備和人力輸出的公司

政府應(yīng)當(dāng)以多種方式鼓勵(lì)這樣的第三方非政府組織或公司參與處置公共突發(fā)事件和滿足公民個(gè)人在應(yīng)急救援方面的需求。

我們?cè)O(shè)想存在這樣的應(yīng)急服務(wù)公司或社會(huì)組織（以下簡(jiǎn)稱公司）：公司具備應(yīng)急管理理論和技術(shù)方面的核心專家團(tuán)隊(duì)和師資，具備戶外培訓(xùn)場(chǎng)地和設(shè)備，室內(nèi)教學(xué)設(shè)施，技術(shù)研發(fā)機(jī)構(gòu)，人力資源機(jī)構(gòu)，應(yīng)對(duì)各類突發(fā)事件和開(kāi)展應(yīng)急處置工作所需要的人員、車輛、裝備、物資和網(wǎng)絡(luò)平臺(tái)，以及公司運(yùn)轉(zhuǎn)所需要的其他辦公設(shè)施和流轉(zhuǎn)資金。公民個(gè)人應(yīng)征或自愿接受由這個(gè)公司開(kāi)展的應(yīng)急處置專業(yè)技術(shù)培訓(xùn)，達(dá)到一定的國(guó)家標(biāo)準(zhǔn)，經(jīng)考核，并注冊(cè)成為應(yīng)急技術(shù)從業(yè)人員;公司投入資金研發(fā)應(yīng)急技術(shù)和裝備，對(duì)外提供應(yīng)急理論和技術(shù)知識(shí)的培訓(xùn)，組織編寫(xiě)應(yīng)急預(yù)案，策劃并組織開(kāi)展應(yīng)急演練，銷售應(yīng)急裝備，提供風(fēng)險(xiǎn)評(píng)估服務(wù)等服務(wù)性業(yè)務(wù)。公司接受政府或公民個(gè)人在應(yīng)急技術(shù)和人力方面的合同，收取費(fèi)用獲得收益。這樣的公司以自己掌握的應(yīng)急處置技術(shù)，人力，裝備和信息參與市場(chǎng)競(jìng)爭(zhēng)。

非政府組織或公司可以為公安機(jī)關(guān)應(yīng)急管理帶來(lái)以下五個(gè)方面的支持：

（一）分擔(dān)公安機(jī)關(guān)在公民個(gè)人申請(qǐng)的應(yīng)急救援技術(shù)方面的困難和減緩開(kāi)鎖等非警務(wù)活動(dòng)的壓力;

（二）協(xié)助公安機(jī)關(guān)完成專業(yè)化救援和應(yīng)急處置工作，公安機(jī)關(guān)可以在突發(fā)事件發(fā)生后專心做好指揮和協(xié)調(diào)工作;

（三）促進(jìn)救援和應(yīng)急技術(shù)的創(chuàng)新和科技進(jìn)步，特別是公民個(gè)人使用的反暴力技術(shù)和器具的研發(fā)和推廣。

（四）協(xié)助公安機(jī)關(guān)開(kāi)展應(yīng)急技術(shù)推廣和宣傳，協(xié)助其他企事業(yè)單位建立應(yīng)急管理體系，為公安機(jī)關(guān)開(kāi)展社會(huì)治安管控開(kāi)辟一個(gè)新的渠道。

（五）為政府接受來(lái)自社會(huì)有償或無(wú)償?shù)募夹g(shù)、人力、物資等方面的支援提供平臺(tái)，開(kāi)創(chuàng)政府合理利用非政府組織資源的新形式。

[參考文獻(xiàn)]

[1]王宏偉.應(yīng)急管理導(dǎo)論[M].北京：中國(guó)人民大學(xué)出版社，2011：37-38.

[2]王宏偉.公共危機(jī)管理[M].北京：中國(guó)人民大學(xué)出版社，2012：105-107.

企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文第3篇

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007—9599 （2012） 14—0000—02

一、引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大，信息系統(tǒng)的復(fù)雜程度越來(lái)越高，保障信息資源、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定，以成本一效益平衡的原則，通過(guò)評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。

網(wǎng)絡(luò)信息安全具有如下5個(gè)特征：1.保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。2.完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問(wèn)相關(guān)的信息。4.可控性。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。5.可審查性。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢核對(duì)。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。

而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn)，能夠?qū)?fù)雜的問(wèn)題量化，同時(shí)，也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：1.自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；2.社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；3.網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；4.軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；5.人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；6.其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

三、安全風(fēng)險(xiǎn)評(píng)估方法

（一）定制個(gè)性化的評(píng)估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程，但在實(shí)踐過(guò)程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力，進(jìn)行“基因”重組，定制個(gè)性化的評(píng)估方法，使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。

（二）安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評(píng)估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。

（三）多用戶決策評(píng)估

不同層面的用戶能看到不同的問(wèn)題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過(guò)程作為多用戶“決策”過(guò)程，對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶“決策”評(píng)估，也需要一個(gè)具體的流程和方法。

（四）敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來(lái)越隱蔽。要提高評(píng)估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對(duì)一個(gè)老漏洞，不是簡(jiǎn)單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開(kāi)出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐，同時(shí)要求評(píng)估者具有敏銳的分析能力。

（五）集中化決策管理

安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與，對(duì)這些能力和知識(shí)的管理，有助于提高評(píng)估的效果。集中化決策管理，是評(píng)估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問(wèn)題，而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試，由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行，就達(dá)不到任何效果。

（六）評(píng)估結(jié)果管理

安全風(fēng)險(xiǎn)評(píng)估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng)，使用它來(lái)指導(dǎo)評(píng)估過(guò)程，管理評(píng)估結(jié)果，以便在管理層面提高評(píng)估效果。

四、風(fēng)險(xiǎn)評(píng)估的過(guò)程

（一）前期準(zhǔn)備階段

主要任務(wù)是明確評(píng)估目標(biāo)，確定評(píng)估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開(kāi)對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。

（二）中期現(xiàn)場(chǎng)階段

編寫(xiě)測(cè)評(píng)方案，準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問(wèn)卷，展開(kāi)現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。

（三）后期評(píng)估階段

撰寫(xiě)系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究，評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。

五、風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解

1.不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。

2.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題。

3.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題。

4.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。

5.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是 IT部門的工作，與其它部門無(wú)關(guān)。

6.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。

六、結(jié)語(yǔ)

總之，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評(píng)估工作的實(shí)施也存在一定的難題，涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同，并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè)，要選擇合適的評(píng)估方法，或開(kāi)發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法，是當(dāng)前很現(xiàn)實(shí)的問(wèn)題，也會(huì)成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1]剛，吳昌倫.信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化，2004，09

[2]賈穎禾.信息安全風(fēng)險(xiǎn)評(píng)估[J].中國(guó)計(jì)算機(jī)用戶，2004，24

[3]楊潔.層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J].軟件導(dǎo)刊，2007，03

企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文第4篇

關(guān)鍵詞：安全風(fēng)險(xiǎn)管控 風(fēng)險(xiǎn)管控措施

中圖分類號(hào)：F530文獻(xiàn)標(biāo)識(shí)碼： A

一、前沿

供電公司基于PMS的作業(yè)項(xiàng)目安全風(fēng)險(xiǎn)管控系統(tǒng)改進(jìn)了以往以計(jì)劃為主要流程的風(fēng)險(xiǎn)管控模式，去掉了復(fù)雜的計(jì)劃管理步驟，直接以PMS作業(yè)項(xiàng)目為導(dǎo)向，以風(fēng)險(xiǎn)管理為基點(diǎn)，將安全生產(chǎn)管理關(guān)口前移，實(shí)現(xiàn)對(duì)電網(wǎng)和作業(yè)風(fēng)險(xiǎn)初評(píng)、評(píng)定、復(fù)評(píng)和后評(píng)估全面的信息化支持。系統(tǒng)基于風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)庫(kù)，為科學(xué)、準(zhǔn)確、有效的風(fēng)險(xiǎn)評(píng)估提供輔助，并基于風(fēng)險(xiǎn)評(píng)估結(jié)果實(shí)現(xiàn)更具針對(duì)性的風(fēng)險(xiǎn)管控，相關(guān)的風(fēng)險(xiǎn)管控措施被嚴(yán)格地規(guī)范在業(yè)務(wù)流程中，執(zhí)行的過(guò)程可控、在控、能控，為電力企業(yè)安全生產(chǎn)風(fēng)險(xiǎn)管控提供了一種新模式和思路，全面推進(jìn)了安全生產(chǎn)標(biāo)準(zhǔn)化和精益化，切實(shí)提升了企業(yè)安全發(fā)展、科學(xué)發(fā)展的水平。

二、安全生產(chǎn)風(fēng)險(xiǎn)具體體現(xiàn)

（1）生產(chǎn)計(jì)劃主要通過(guò)生產(chǎn)MIS進(jìn)行管理，存在工作量大、臨時(shí)變動(dòng)大，未能與安全風(fēng)險(xiǎn)管控有效結(jié)合，計(jì)劃的剛性管理欠缺。

（2）未建立統(tǒng)一的評(píng)估標(biāo)準(zhǔn)，評(píng)估人的主觀影響較大，到崗到位計(jì)劃，只能根據(jù)工作量的大小來(lái)判斷，依據(jù)較單一，同時(shí)也不能進(jìn)行全面統(tǒng)計(jì)分析。

（3）近年來(lái)，隨著經(jīng)濟(jì)發(fā)展勢(shì)頭迅猛，作業(yè)現(xiàn)場(chǎng)點(diǎn)多面廣，檢修技改任務(wù)繁重。然而，保證體系和監(jiān)督體系的人員不可能對(duì)全部現(xiàn)場(chǎng)進(jìn)行督導(dǎo)和檢查，作業(yè)現(xiàn)場(chǎng)的危險(xiǎn)點(diǎn)預(yù)控措施落實(shí)情況不能很好的得到監(jiān)控。

（4）班組安全生產(chǎn)的基礎(chǔ)較薄弱，用工機(jī)制較多，人員安全意識(shí)、技能水平參差不齊，作業(yè)違章難以根除。班組安全生產(chǎn)承載力的分析，僅停留于某個(gè)周期內(nèi)是否存在違章、是否受到過(guò)處分和班組的安全活動(dòng)開(kāi)展情況上，不能充分發(fā)現(xiàn)班組安全生產(chǎn)管理和過(guò)程中存在的危險(xiǎn)因素。

為解決上述問(wèn)題，供電公司建立了基于PMS的作業(yè)項(xiàng)目安全生產(chǎn)風(fēng)險(xiǎn)管控系統(tǒng)，該系統(tǒng)建立了完善的風(fēng)險(xiǎn)評(píng)估庫(kù)，評(píng)估人只要通過(guò)選擇評(píng)估要素進(jìn)行評(píng)估，評(píng)估分和風(fēng)險(xiǎn)等級(jí)由系統(tǒng)自動(dòng)生成。系統(tǒng)在對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行規(guī)范的同時(shí)，還通過(guò)對(duì)班組的安全承載能力分析實(shí)現(xiàn)了檢修計(jì)劃的閉環(huán)管理，相關(guān)的風(fēng)險(xiǎn)管控措施被嚴(yán)格地規(guī)范在業(yè)務(wù)流程中，極大地提高了檢修計(jì)劃管理的效率和水平，以管理創(chuàng)新推動(dòng)了安全生產(chǎn)水平的提升。

三、 系統(tǒng)功能

1.1 風(fēng)險(xiǎn)評(píng)估庫(kù)

風(fēng)險(xiǎn)評(píng)估庫(kù)包括電網(wǎng)風(fēng)險(xiǎn)評(píng)估庫(kù)、變電檢修風(fēng)險(xiǎn)評(píng)估庫(kù)、線路檢修風(fēng)險(xiǎn)評(píng)估庫(kù)、操作風(fēng)險(xiǎn)評(píng)估庫(kù)、班組風(fēng)險(xiǎn)評(píng)估庫(kù)等。每個(gè)風(fēng)險(xiǎn)評(píng)估庫(kù)包括評(píng)價(jià)因素、評(píng)估項(xiàng)目、評(píng)估要素三個(gè)層次，風(fēng)險(xiǎn)評(píng)估庫(kù)的設(shè)置遵循最大風(fēng)險(xiǎn)法則。風(fēng)險(xiǎn)等級(jí)用星級(jí)表示，從一星到五星，以分值衡量，星級(jí)越高，風(fēng)險(xiǎn)越大。在系統(tǒng)中，可對(duì)各風(fēng)險(xiǎn)評(píng)估庫(kù)的星級(jí)評(píng)定標(biāo)準(zhǔn)進(jìn)行管理，同時(shí)也可設(shè)置各個(gè)星級(jí)的同進(jìn)同出、到崗到位的管理要求，以便在生成風(fēng)險(xiǎn)評(píng)估報(bào)告時(shí)，根據(jù)評(píng)估的星級(jí)生成同進(jìn)同出、到崗到位的要求。對(duì)評(píng)估項(xiàng)目，可設(shè)置相關(guān)信息供風(fēng)險(xiǎn)評(píng)估時(shí)參考，可顯示的信息包括設(shè)備臺(tái)帳信息、缺陷和隱患、檢修相關(guān)信息等。對(duì)評(píng)估要素，可設(shè)置自動(dòng)判斷的條件，這些條件來(lái)源于設(shè)備臺(tái)帳、缺陷、隱患和檢修相關(guān)信息，在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，系統(tǒng)將對(duì)評(píng)估要素進(jìn)行自動(dòng)判斷。

1.2 作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估

在進(jìn)行作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估之前，生產(chǎn)班組需要進(jìn)行作業(yè)項(xiàng)目三維風(fēng)險(xiǎn)辨識(shí)。為提高生產(chǎn)班組作業(yè)風(fēng)險(xiǎn)辨識(shí)的針對(duì)性，系統(tǒng)在生產(chǎn)班組進(jìn)行作業(yè)項(xiàng)目三維風(fēng)險(xiǎn)辨識(shí)前，提供以下輔助：（1）根據(jù)作業(yè)設(shè)備從設(shè)備環(huán)境風(fēng)險(xiǎn)庫(kù)中搜索與該作業(yè)相關(guān)的風(fēng)險(xiǎn)事件。（2）根據(jù)作業(yè)班組從班組風(fēng)險(xiǎn)庫(kù)中搜索相關(guān)班組及人員素質(zhì)風(fēng)險(xiǎn)。（3）根據(jù)作業(yè)內(nèi)容從風(fēng)險(xiǎn)辨識(shí)范本庫(kù)中搜索相關(guān)的風(fēng)險(xiǎn)辨識(shí)范本。（4）班組可根據(jù)類別等關(guān)鍵字搜索風(fēng)險(xiǎn)事件、班組風(fēng)險(xiǎn)、風(fēng)險(xiǎn)辨識(shí)范本。

班組導(dǎo)出打印所有相關(guān)的作業(yè)風(fēng)險(xiǎn)，進(jìn)行現(xiàn)場(chǎng)踏勘，對(duì)風(fēng)險(xiǎn)事件、班組風(fēng)險(xiǎn)、風(fēng)險(xiǎn)辨識(shí)范本中的內(nèi)容進(jìn)行確認(rèn)并評(píng)估風(fēng)險(xiǎn)等級(jí)。對(duì)于風(fēng)險(xiǎn)事件，其風(fēng)險(xiǎn)等級(jí)直接來(lái)自作業(yè)安全庫(kù)LEC評(píng)估的結(jié)果，對(duì)于班組及人員素質(zhì)風(fēng)險(xiǎn)和根據(jù)風(fēng)險(xiǎn)辨識(shí)范本辨識(shí)的動(dòng)態(tài)風(fēng)險(xiǎn)，生產(chǎn)班組需要進(jìn)行PR評(píng)估。工區(qū)或班組基于作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行評(píng)估，對(duì)每項(xiàng)評(píng)估項(xiàng)目進(jìn)行打分或者選擇評(píng)估選項(xiàng)，系統(tǒng)自動(dòng)根據(jù)評(píng)分規(guī)則計(jì)算作業(yè)項(xiàng)目的評(píng)估分和風(fēng)險(xiǎn)等級(jí)。同時(shí)，系統(tǒng)為作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估提供以下支持：（1）基于作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)庫(kù)中的評(píng)估判據(jù)，對(duì)評(píng)估項(xiàng)目的得分進(jìn)行自動(dòng)計(jì)算或自動(dòng)選擇評(píng)估選項(xiàng)，如自動(dòng)查找與作業(yè)項(xiàng)目相關(guān)的風(fēng)險(xiǎn)事件并計(jì)算得分，并且在此基礎(chǔ)上，評(píng)估人可對(duì)風(fēng)險(xiǎn)事件庫(kù)進(jìn)行搜索，選擇相關(guān)的風(fēng)險(xiǎn)事件，系統(tǒng)根據(jù)計(jì)分規(guī)則計(jì)算得分。（2）顯示關(guān)聯(lián)信息供評(píng)估人參考，如設(shè)備臺(tái)帳、檢修計(jì)劃、班組及人員等相關(guān)信息。（3）系統(tǒng)根據(jù)評(píng)估結(jié)果自動(dòng)生成風(fēng)險(xiǎn)評(píng)估報(bào)告，生產(chǎn)控制措施卡，指導(dǎo)作業(yè)班組的現(xiàn)場(chǎng)作業(yè)，現(xiàn)場(chǎng)作業(yè)完成后必須將安全措施執(zhí)行情況反饋到系統(tǒng)中，完成閉環(huán)。

1.3 安全承載能力分析

系統(tǒng)基于作業(yè)班組及人員安全承載能力評(píng)估標(biāo)準(zhǔn)和評(píng)估流程，實(shí)現(xiàn)作業(yè)班組、班組人員安全承載能力評(píng)估的閉環(huán)管理，同時(shí)實(shí)現(xiàn)作業(yè)班組、人員安全承載能力可量化的指標(biāo)，為作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估、安全承載能力分析和生成控制措施卡提供輔助支持。

1.4 查詢統(tǒng)計(jì)

通過(guò)系統(tǒng)，各部門可方便地對(duì)風(fēng)險(xiǎn)事件、班組風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、風(fēng)險(xiǎn)辨識(shí)范本、作業(yè)項(xiàng)目風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)警進(jìn)行查詢。同時(shí)，系統(tǒng)基于多維在線分析技術(shù)，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)事件、班組風(fēng)險(xiǎn)、作業(yè)項(xiàng)目風(fēng)險(xiǎn)的全面統(tǒng)計(jì)分析。

2、系統(tǒng)呈現(xiàn)

2.1 系統(tǒng)架構(gòu)

本系統(tǒng)基于J2EE技術(shù)架構(gòu)，用戶無(wú)需安裝客戶端即可使用系統(tǒng)的所有功能，在極大程度上降低了系統(tǒng)的維護(hù)和管理成本。

系統(tǒng)實(shí)現(xiàn)了組件化設(shè)計(jì)理念，采用瀏覽器+中間件+應(yīng)用服務(wù)器+數(shù)據(jù)庫(kù)服務(wù)器的多層結(jié)構(gòu)，顯示邏輯、業(yè)務(wù)處理邏輯和數(shù)據(jù)訪問(wèn)邏輯分開(kāi)，擁有完備的安全控制結(jié)構(gòu)和通用的數(shù)據(jù)訪問(wèn)結(jié)構(gòu)，運(yùn)行穩(wěn)定，性能較高，易于維護(hù)并具有良好的可擴(kuò)展性和安全性。

2.2 流程引擎

為保證系統(tǒng)流程穩(wěn)定、高效的流轉(zhuǎn)，本系統(tǒng)實(shí)現(xiàn)了符合WFMC標(biāo)準(zhǔn)的通用工作流平臺(tái)，實(shí)現(xiàn)所有業(yè)務(wù)流程的定義、驅(qū)動(dòng)、監(jiān)控的集中管理：（1）流程引擎支持圖形化實(shí)現(xiàn)復(fù)雜業(yè)務(wù)邏輯，提供圖形化流程組織結(jié)構(gòu)，支持各種角色、關(guān)系、相對(duì)關(guān)系等功能，具有良好的易用性和擴(kuò)展性；（2）系統(tǒng)管理器提供各種異常管理功能，比如重新激活停滯流程，重新指派，提供各種協(xié)同功能，支持流程動(dòng)態(tài)功能，比如客戶端支持指派、重新提交流程等：（3）工作流平臺(tái)提供多層次的流程監(jiān)控功能，流程參與人員、管理員可以圖形化的形式直觀地監(jiān)控流程的狀態(tài)和進(jìn)度。（4）管理員可方便對(duì)地流程異常進(jìn)行監(jiān)控、干預(yù)。（5）高度可擴(kuò)展及集成能力，支持圖形化配置即可集成各種應(yīng)用系統(tǒng)，支持包括客戶端定制、表單定制、集成第三方系統(tǒng)等接口，流程規(guī)則、表單、步驟條件等均可調(diào)用XML、Web services等。

四、結(jié)語(yǔ)

綜上所述，作業(yè)項(xiàng)目安全風(fēng)險(xiǎn)管控系統(tǒng)是一個(gè)全面、綜合的作業(yè)項(xiàng)目安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管控信息化解決方案，不僅為電網(wǎng)風(fēng)險(xiǎn)評(píng)估、作業(yè)風(fēng)險(xiǎn)評(píng)估、班組安全承載能力分析提供全面的智能化、信息化支持，實(shí)現(xiàn)科學(xué)、實(shí)時(shí)、準(zhǔn)確的安全風(fēng)險(xiǎn)評(píng)估，同時(shí)PMS生產(chǎn)計(jì)劃與安全風(fēng)險(xiǎn)管控有效結(jié)合，不斷夯實(shí)了安全生產(chǎn)基礎(chǔ)，提升了安全生產(chǎn)管理水平，真正實(shí)現(xiàn)了安全生產(chǎn)的可控、能控、在控。

參考文獻(xiàn)

[1] 國(guó)家電網(wǎng)公司.供電企業(yè)安全風(fēng)險(xiǎn)評(píng)估規(guī)范[M].北京：中國(guó)電力出版社，2008.

企業(yè)安全風(fēng)險(xiǎn)評(píng)估報(bào)告范文第5篇

[關(guān)鍵詞] ISMS； PDCA； 風(fēng)險(xiǎn)評(píng)估； 資產(chǎn)識(shí)別； 信息； 安全； 建立； 體系

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 01. 038

[中圖分類號(hào)] F270.7； TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）01- 0074- 03

1 信息安全體系的重要性

隨著信息技術(shù)不斷發(fā)展，信息系統(tǒng)已經(jīng)成為一種不可缺少的信息交換工具，企業(yè)對(duì)于信息資源的依賴程度也越來(lái)越大。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性等特點(diǎn)，再加上本身存在技術(shù)弱點(diǎn)和人為的疏忽，導(dǎo)致信息系統(tǒng)容易受到計(jì)算機(jī)病毒、黑客或惡意軟件的入侵，致使信息被破壞或竊取，使得信息系統(tǒng)比傳統(tǒng)的實(shí)物資產(chǎn)顯得更加脆弱。在這種大環(huán)境下，企業(yè)必須加強(qiáng)信息安全管理能力。但企業(yè)不單面臨著信息安全方面問(wèn)題，同時(shí)還面臨經(jīng)營(yíng)合規(guī)方面的問(wèn)題、系統(tǒng)可用性問(wèn)題以及業(yè)務(wù)可持續(xù)問(wèn)題等越來(lái)越多的問(wèn)題。因此，要求我們探索建立一套完善的體系，來(lái)有效地保障信息系統(tǒng)的全面安全。

2 信息安全體系建設(shè)理論依據(jù)

信息安全管理體系（Information Security Management System， ISMS）是企業(yè)整體管理體系的一個(gè)部分，是企業(yè)在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。基于對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的認(rèn)識(shí)，ISMS包括建立、實(shí)施、操作、監(jiān)視、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng)，并且表現(xiàn)為組織結(jié)構(gòu)、策略方針、計(jì)劃活動(dòng)、目標(biāo)與原則、人員與責(zé)任、過(guò)程與方法、資源等諸多要素的集合。

在建設(shè)信息安全管理體系的方法上，ISO 27001標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議，即基于PDCA 的持續(xù)改進(jìn)的管理模式。PDCA是一種通用的管理模式，適用于任何管理活動(dòng)，體現(xiàn)了一種持續(xù)改進(jìn)、維持平衡的思想，但具體到ISMS建立及認(rèn)證項(xiàng)目上，就顯得不夠明確和細(xì)致，組織必須還要有一套切實(shí)可行的方法論，以符合項(xiàng)目過(guò)程實(shí)施的要求。在這方面，ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法，比如IS0 9001，ISO/IEC 2700l， ISO/TS 16949 等，大致上說(shuō)，這些管理體系都遵循所謂的PROC過(guò)程方法。

PROC 過(guò)程模型 （Preparation-Realization-Operation-Certification）是對(duì)PDCA 管理模式的一種細(xì)化，它更富有針對(duì)性和實(shí)效性，并且更貼近認(rèn)證審核自身的特點(diǎn)。PROC模型如圖1所示。

3 信息安全體系建設(shè)過(guò)程

根據(jù)以往經(jīng)驗(yàn)，整個(gè)信息安全管理體系建設(shè)項(xiàng)目可劃分成5個(gè)階段，如果每項(xiàng)內(nèi)容的活動(dòng)都能很好地完成，最終就能建立起有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)總體目標(biāo)，最終通過(guò)ISO/IEC 27001認(rèn)證。

調(diào)研階段： 對(duì)業(yè)務(wù)范圍內(nèi)所有制度包括內(nèi)部的管理規(guī)定或內(nèi)控相關(guān)規(guī)定，對(duì)公司目前的管理狀況進(jìn)行系統(tǒng)、全面的了解和分析。通過(guò)技術(shù)人員人工檢查和軟件檢測(cè)等方式對(duì)組織內(nèi)部分關(guān)鍵網(wǎng)絡(luò)、服務(wù)器等設(shè)備進(jìn)行抽樣漏洞掃描，并形成《漏洞掃描風(fēng)險(xiǎn)評(píng)估報(bào)告》。

資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估階段： 針對(duì)組織內(nèi)部人員的實(shí)際情況，進(jìn)行信息安全基礎(chǔ)知識(shí)的普及和培訓(xùn)工作，讓每位員工對(duì)信息安全體系建設(shè)活動(dòng)有充分的理解和認(rèn)識(shí)。對(duì)內(nèi)部所有相關(guān)信息安全資產(chǎn)進(jìn)行全面梳理，并且按照ISO/IEC 27001相關(guān)的信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的要求，完成《信息資產(chǎn)清單》、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

設(shè)計(jì)策劃階段：通過(guò)分組現(xiàn)場(chǎng)討論、領(lǐng)導(dǎo)訪談等多種方式對(duì)各業(yè)務(wù)部門涉及的信息安全相關(guān)內(nèi)容進(jìn)行細(xì)致研究和討論。針對(duì)現(xiàn)有信息安全問(wèn)題和潛在信息安全風(fēng)險(xiǎn)建立有效的防范和檢查機(jī)制，并且形成有持續(xù)改進(jìn)功能的信息安全監(jiān)督審核管理制度，最終形成嚴(yán)格遵守ISO/IEC 27001認(rèn)證審核標(biāo)準(zhǔn)的、符合組織業(yè)務(wù)發(fā)展需要的《信息安全管理體系文件》。體系對(duì)文件控制、記錄控制、內(nèi)部審核管理、管理評(píng)審、糾正預(yù)防措施控制、信息安全交流管理、信息資產(chǎn)管理、人力資源安全管理、物理環(huán)境安全、通信與操作管理（包括：筆記本電腦管理、變更管理、補(bǔ)丁管理、第三方服務(wù)管理、防范病毒及惡意軟件管理、機(jī)房管理規(guī)定、介質(zhì)管理規(guī)定、軟件管理規(guī)定、數(shù)據(jù)備份管理、系統(tǒng)監(jiān)控管理規(guī)定、電子郵件管理規(guī)定、設(shè)備管理規(guī)定）、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)和維護(hù)、信息安全事件管理、業(yè)務(wù)持續(xù)性控制、符合性相關(guān)程序進(jìn)行全面界定和要求。

實(shí)施階段：項(xiàng)目小組要組織相關(guān)資源，依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇控制措施，為實(shí)施有效的風(fēng)險(xiǎn)處理做好計(jì)劃，管理者需要正式ISMS 體系并要求開(kāi)始實(shí)施，通過(guò)普遍的培訓(xùn)活動(dòng)來(lái)推廣執(zhí)行。 ISMS 建立起來(lái)（體系文件正式實(shí)施） 之后，要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。在此階段，應(yīng)該培訓(xùn)專門人員，建立起內(nèi)部審查機(jī)制，通過(guò)內(nèi)部審計(jì)、管理評(píng)審和模擬認(rèn)證，來(lái)檢查己建立的ISMS是否符合ISO/IEC 27001標(biāo)準(zhǔn)以及企業(yè)規(guī)范的要求。

認(rèn)證階段：經(jīng)過(guò)一定時(shí)間運(yùn)行，ISMS 達(dá)到一個(gè)穩(wěn)定的狀態(tài)，各項(xiàng)文檔和記錄已經(jīng)建立完備，此時(shí)，可以提請(qǐng)進(jìn)行認(rèn)證。

4 信息安全體系建立的意義

通過(guò)建立信息安全管理體系，我們對(duì)信息安全事件及風(fēng)險(xiǎn)有了較為清楚的認(rèn)識(shí)，同時(shí)掌握了一些規(guī)避和處理信息安全風(fēng)險(xiǎn)的方法，更重要的是我們重新梳理了組織內(nèi)信息安全體系范圍，明確了信息安全系統(tǒng)中人員相關(guān)職責(zé)，對(duì)維護(hù)范圍內(nèi)的各信息系統(tǒng)進(jìn)行了全面的風(fēng)險(xiǎn)評(píng)估，并且通過(guò)風(fēng)險(xiǎn)評(píng)估涉及的內(nèi)容確定了具體的控制目標(biāo)和控制方式，引入了持續(xù)改進(jìn)的戴明環(huán)管理思想，保證了體系運(yùn)轉(zhuǎn)的有效性。具體效果如下：

（1） 制定了信息安全方針和多層次的安全策略，為各項(xiàng)信息安全管理活動(dòng)提供指引和支持。

（2） 通過(guò)信息風(fēng)險(xiǎn)評(píng)估挖掘了組織真實(shí)的信息安全需求。

加強(qiáng)了人員安全意識(shí)，建立了以預(yù)防為主的信息安全理念。

（3） 根據(jù)信息安全發(fā)展趨勢(shì)，建立了動(dòng)態(tài)管理和持續(xù)改進(jìn)的思想。

5 決定體系建立的重要因素

5.1 加強(qiáng)人員安全意識(shí)是推動(dòng)體系實(shí)施的重要保障

信息安全體系在一個(gè)企業(yè)的成功建立并運(yùn)行，需要整個(gè)企業(yè)從上到下的全體成員都有安全意識(shí)，并具備信息安全體系相關(guān)理論基礎(chǔ)，才能保障信息安全體系各項(xiàng)活動(dòng)內(nèi)容順利開(kāi)展。為保證信息安全體系相關(guān)任務(wù)的執(zhí)行人員能夠盡職盡責(zé)，組織要確定體系內(nèi)人員的職責(zé)；給予相關(guān)人員適當(dāng)?shù)呐嘤?xùn)，必要時(shí)，需要為特定任務(wù)招聘有經(jīng)驗(yàn)的人員；評(píng)估培訓(xùn)效果。組織必須確保相關(guān)人員能夠意識(shí)到其所進(jìn)行的信息安全活動(dòng)的重要性，并且清楚各自在實(shí)現(xiàn)ISMS 目標(biāo)過(guò)程中參與的方式。

ISMS 培訓(xùn)工作應(yīng)該分層次、分階段、循序漸進(jìn)地進(jìn)行。借助培訓(xùn)，組織一方面可以向一般員工宣貫安全策略、提升其安全意識(shí)；另一方面，也可以向特定人員傳遞專業(yè)技能（例如風(fēng)險(xiǎn)評(píng)估方法、策略制定方法、安全操作技術(shù)等）。此外，面向管理人員的培訓(xùn)，能夠提升組織整體的信息安全管理水平。通常來(lái)講，組織應(yīng)該考慮實(shí)施的培訓(xùn)內(nèi)容包括：

（1） 信息安全意識(shí)培訓(xùn)。在ISMS實(shí)施伊始或最終運(yùn)行階段，組織可以為所有人員提供信息安全意識(shí)培訓(xùn)，目的在于讓所有與ISMS 相關(guān)的人員都了解信息安全管理基本要領(lǐng)，理解信息安全策略，知道信息安全問(wèn)題所在，掌握應(yīng)對(duì)和解決問(wèn)題的方法和途徑。

（2） 信息安全管理基礎(chǔ)培訓(xùn)。在ISMS準(zhǔn)備階段，組織可以向ISMS項(xiàng)目實(shí)施相關(guān)人員 （例如風(fēng)險(xiǎn)評(píng)估小組人員、各部門代表等）提供1SO/IEC 27001基礎(chǔ)培訓(xùn)，通過(guò)短期學(xué)習(xí)，幫助大家掌握ISO/IEC 27001標(biāo)準(zhǔn)的精髓，理解自身角色和責(zé)任，從而在ISMS項(xiàng)目實(shí)施過(guò)程中起到應(yīng)有的作用。

（3） ISMS實(shí)施培訓(xùn)。組織可以向ISMS項(xiàng)目的核心人員提供ISMS實(shí)施方法的培訓(xùn)，包括風(fēng)險(xiǎn)評(píng)估方法、策略制定方法等，目的在于協(xié)作配合，共同推動(dòng)ISMS項(xiàng)目有序且順利地進(jìn)行。

（4） 信息安全綜合技能培訓(xùn)。為了讓ISMS能夠長(zhǎng)期穩(wěn)定地運(yùn)行下去，組織可以為相關(guān)人員提供信息安全操作技能的培訓(xùn)，目的在于提高其運(yùn)營(yíng)ISMS的技術(shù)能力，掌握處理問(wèn)題的思路和方法。

5.2 建立符合企業(yè)需求的ISMS，保障體系順利落地

（1） 根據(jù)業(yè)務(wù)需求明確ISMS范圍。范圍的界定要從組織的業(yè)務(wù)出發(fā)，通過(guò)分析業(yè)務(wù)流程（尤其是核心業(yè)務(wù)），找到與此相關(guān)的人員、部門和職能，然后確定業(yè)務(wù)流程所依賴的信息系統(tǒng)和場(chǎng)所環(huán)境，最終從邏輯上和物理上對(duì)ISMS 的范圍予以明確。需要注意的是，組織確定的ISMS 范圍，必須是適合內(nèi)外部客戶所需的，且包含了與所有對(duì)信息安全具有影響的合作伙伴、供貨商和客戶的接觸關(guān)系。為此，組織應(yīng)該通過(guò)合同、服務(wù)水平協(xié)議 （SLA）、諒解備忘錄等方式來(lái)說(shuō)明其在與合作伙伴、供貨商以及客戶接觸時(shí)實(shí)施了信息安全管理。

（2） 利用客觀風(fēng)險(xiǎn)評(píng)估工具。風(fēng)險(xiǎn)評(píng)估應(yīng)盡可能采用客觀的風(fēng)險(xiǎn)評(píng)估工具，保證評(píng)估的準(zhǔn)確、翔實(shí)。有效利用各種工具，可以幫助評(píng)估者更準(zhǔn)確更全面地采集和分析數(shù)據(jù)，提升工作的自動(dòng)化水平，并且最大程度上減少人為失誤。當(dāng)然，風(fēng)險(xiǎn)評(píng)估工具并不局限于完全技術(shù)性的產(chǎn)品，事實(shí)上很多評(píng)估工具都是評(píng)估者經(jīng)驗(yàn)積累的成果，如調(diào)查問(wèn)卷、掃描工具、風(fēng)險(xiǎn)評(píng)估軟件等。

（3） 構(gòu)建合理的ISMS文件體系。文件首先應(yīng)該符合業(yè)務(wù)運(yùn)作和安全控制的實(shí)際情況，應(yīng)該具有可操作性；不同層次的文件之間應(yīng)該保持緊密關(guān)系并且協(xié)調(diào)一致，不能存在相互矛盾的地方；編寫(xiě)ISMS文件時(shí)，除了依據(jù)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)之外，組織還應(yīng)該充分考慮現(xiàn)行的策略、程序、制度和規(guī)范，有所繼承，有所修正。

6 結(jié) 論

企業(yè)的生存和發(fā)展，有賴于企業(yè)各項(xiàng)業(yè)務(wù)、管理活動(dòng)的健康有序的進(jìn)行，而信息化是企業(yè)一切業(yè)務(wù)、管理活動(dòng)所依賴的基礎(chǔ)。信息系統(tǒng)是否能夠穩(wěn)定、可靠、有效運(yùn)作，直接關(guān)系到企業(yè)各項(xiàng)業(yè)務(wù)活動(dòng)是否能夠持續(xù)。因此，我們要對(duì)信息系統(tǒng)的保密性、完整性、可控性、可用性等提出全面具體的要求，建立持續(xù)改進(jìn)的信息安全體系運(yùn)行機(jī)制。在信息安全體系的全面應(yīng)用過(guò)程中，必須重點(diǎn)關(guān)注以下重要事項(xiàng)：安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)；實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致；來(lái)自高級(jí)管理層的明確的支持和承諾；向所有管理者和員工有效地推廣安全意識(shí)；提供適當(dāng)?shù)呐嘤?xùn)和教育。

主要參考文獻(xiàn)

[1] 王斌君. 信息安全管理體系[M]. 北京：高等教育出版社，2008.