时间:2023-07-30 10:08:55
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇风险评估的形式范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键字:雷击;风险;评估;发展;建议
中图分类号:S761.5文献标识码:A
雷电灾情的调查
雷电灾害调查是防雷减灾的基础性工作,没有扎实可靠的雷电灾害资料作为
基础,防雷工作将沦为空谈,我市雷电灾害频繁、形式严峻。
益阳市雷击风险评估服务现状、发展情况
(一)益阳雷击风险评估发展的现状
1.服务机构基本建成
益阳现有1个市防雷中心和5个县、市、区防雷中心每个防雷中心均被气象主管机构赋予雷电灾害风险评估服务职责。覆盖全区行政区域范围的区、市、县三级雷电灾情服务初步建成并且正在筹划建成资阳区、东部新区、大通湖区防雷中心的建成。
2.服务范围广泛
在服务地域方面,2011年益阳市6个防雷中心全部开展了雷击风险评估服务。在服务领域方面,全市雷击风险评估服务包括:大型建设工程、重点建设工程、电力、通讯、矿山、石油、化工、烟花鞭炮及其他易燃易爆等危险化学品生产、储存场所或者设施,重要物资仓库、高层建筑、人员密集的公共场所等。
3.服务效益初见成效。
2011年益阳市防雷中心为桥梁、学校、医院、加油、加气站等易燃易爆场所,提供了重要的雷电灾害防御指导,取得了较好的社会效益。特别是沅江市防雷中心今年雷击风险评估服务经济收益明显,年底有望突破七十万。
4.管理水平上日益提高。
将雷击风险评估服务定为气象公共服务的一项基本职责,促进基层雷击风险评估的责任感。建立健全的雷击风险评估标准,严格控制防雷资质证的发放,并在网上进行公布。
(二)益阳雷击风险评估发展特点
1.以政策法规突破促进雷击风险评估服务发展。为响应《湖南省雷电灾害防御条列》,益阳市人民政府2012年底9月出台《益阳市防雷减灾管理办法》,规范进行雷电灾害防御。
2.强化自身业务能力加强学习让防雷中心技术人员都成为防雷方面的专家。
益阳雷击风险评估服务制约分析
(一)雷击风险评估服务质量不高是影响发展的最大隐患
1.防雷产品科技含量不高是制约雷击风险评估服务发展的主要因素。
2.防雷产品售后的滞后影响用户对防雷产品使用的效益。
3.防雷服务水平不高导致用户对防雷服务产生怨言。
4.防雷服务的手段不恰当,有的地方采用行政手段强制执行雷击风险评估,在社会上造成不良影响。
(二)法规政策的制约
雷击风险评估服务的支撑依据是《气象灾害防御条列》、《湖南省雷电灾害防御条列》,再者在这些条列以上法规中没有明确雷击风险评估服务的具体范围,由此带来了服务操作中的不便,许多应当进行雷击风险评估的易燃、易爆场所扣住条列中的不确定字词,而应进行雷击风险评估的建(构)筑物不进行雷击风险评估。
(三)专业技术和专业人才的制约
雷击风险评估在益阳还只是刚刚起步,很多面子材料上的功夫做的不是很到位,加上雷击风险评估服务专门的科研人才缺乏,没有“一流的人才”支撑,难以提供高水平的服务,严重制约着雷击风险评估服务的发展。
雷击风险评估发展的建议
(一)雷击风险评估服务的定位
1.雷击风险评估是气象部门的服务职责,而不是中介服务机构的服务项目。因此雷击风险评估做为气象部门的一项基本业务,不能因为某个机构企业具备从事防雷工作的资质就能从事雷击风险评估服务。
2.雷击风险评估是公共气象服务的重要组成部分。雷击风险评估做为一项总要的公共气象服务,其所需要的人员、科研、经费、培训等应纳入公共气象服务发展范筹;另外在服务中体现公共服务特色,加强对雷击风险评估的宣传和评估的技术含量,以加强公共气象服务在社会上的认可程度。
3.结合实际半公益服务半经济化运作。在行政审批上应当是在对方规范性文件规定需要办理雷击风险评估手续,应对其申请人补充相关手续,但不能以未办理雷击风险评估手续作为不予受理的条件,不得以强制手段威胁。
(二)雷击风险评估服务的提高
1.明确雷击风险评估服务的职责
气象主管机构与防雷中心在雷击风险评估服务中应当各自履行行政管理与技术服务职责,加强协调配合,共同做好雷击风险评估服务工作。
2.防雷技术现状
各级防雷中心是全地区雷击风险评估服务人才和技术的集中地,相对具备“技术雄厚、人才较多;设备齐全、服务周全”有能力足够人力和技术独立完成服务的建设项目和雷击风险评估服务。
五、结论
1.科学管理。首先要对各方面、各层次、各资源进行统筹考虑,加强雷击风险评估服务发展设计,制定雷击风险评估服务发展总体规划发展方案。其次,要做好发展方案的可执行性评估。三是要加强行政指导,通过目标考核、实施情况调研、建立评价机制等方式推进雷击风险评估的发展实施。四是建立科学高效的业务运行机制和管理模式。
2.完善法律法规依据。首先要根据益阳市雷击风险评估的发展形势,对雷击风险评估建立具有地方性特色的法律、法规,进一步细化雷击风险评估的法律规定,将雷击风险评估的管理形式、服务主体、服务程序等通过地方性法规或政府形式等加以确定,为雷击风险评估的依法发展提供法律保障。
关键词:风险评估;管理工具;分类;选择;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
1.1属性数学模型证券交易风险评估方法
证券交易风险评估,需要统计各种不同证券的相关参数,利用基础属性数学模型,对证券风险进行评估。其具体步骤如下所述:1)设置δj是第j种证券交易形式的利润量属性和成本量属性的冲突系数,建立不同证券交易形式的矩阵X=x11x12…x1px21x22…x2pxn1xn2…xnp,其中xjk是需要进行风险评估的第k种证券交易形式第j天的市场价值。2)利用下述公式计算第j种证券交易形式的增长系数:ηj=xjk×j2-槡1δj(1)3)利用下述公式能够计算证券交易风险评估误差系数:φj=Xjk{fj1×1+fj2×(1+2)+…+fjp×[(p-1)+]j}2×(ej1+ej2+…+ejp)×T×ηj(2)其中,fjk是对应证券交易形式的权值系数,ejk是对应证券的收益率参数,T是证券交易风险评估时间。
1.2传统方法存在的缺陷
在证券交易风险分析评估挖掘过程中,需要统计各种不同证券形式的相关数据,利用基础属性数学模型,对证券交易进行评估。假设在评估过程中,利润量属性和成本量属性发生冲突,将造成评估模型稳定性降低的缺陷,导致证券交易风险分析挖掘的准确性较差。根据式(1)能够得知,一旦证券利润量属性和成本量属性的冲突系数增大,将导致第j种证券交易形式增长系数降低。根据式(2)能够得知,第j种证券交易形式增长系数降低,将造成证券交易风险评估误差系数增大。
2证券交易风险分析评估挖掘方法
证券交易风险分析评估挖掘,是金融领域研究的核心问题。利用传统算法进行证券交易风险分析评估挖掘,无法避免由于利润量属性和成本量属性冲突造成的评估模型稳定性较差的缺陷,导致证券交易风险分析评估挖掘的准确性降低。因此,提出了一种基于模糊支持向量机算法的证券交易风险评估方法。3.1建立模糊支持向量机评估模型证券交易风险分析评估挖掘主要包括建立模糊支持向量机评估模型和对评估过程中造成的误差进行补偿两个主要的部分。评估模型质量与证券交易风险评估结果关系密切。利用模糊支持向量机的方法进行证券交易风险评估,需要对全部证券特征建立映射联系,通过运算获取理想的分类平面,从而建立模糊支持向量机评估模型。根据全部证券交易相关数据,能够描述不同证券之间的相关性。其公式如下所述:L(y,z)=e1Lq(y,z)+e2LS(y,z)(3)其中,Lq是证券相关数据多项式核函数,LS是基函数。上述公式需要符合下述条件:e1+e2=1根据核函数相关理论能够得知,对符合Mercer条件的核函数进行求和处理,得到的结果仍然符合Mercer的条件。对证券交易相关参数进行优化处理,能够提高核函数的训练能力和泛化能力。设置证券信息能够用Tj(1<j<p)进行描述,将其作为证券交易风险分析评估挖掘的基础数据,将其风险分为两种不同的类别sj(sj∈{1,-1}),那么证券交易风险分析评估挖掘样本构成的数据集合是{(tj,sj),j=1,2,…,p},假设tj∈S(s),那么该证券样本数据属于第一个类别,用sj=1表示,否则,则属于第二个类别,用sj=-1表示。假设样本是一个线性数据集合,那么可以利用下述公式计算分类平面:ltj+n=0(4)其中,l是证券相关参数权值系数,n是样本分类衡量标准,利用这个分类平面,能够将线性数据集合中的样本进行有效分类。假设样本是非线性数据集合,则不能用上述方法进行分类,需要引入松弛系数εj和惩罚系数j,那么利用下述公式能够对样本数据进行分类:minγ(tj)=12l2∑pj=1εj,tj(lsj+n)-1+j(5)假设样本数据集合是非线性的,那么需要利用非线性函数α=φ(sj),对样本数据sj进行映射处理,从而获取线性特征空间,则可以在该特征空间中获取理想分类平面,从而实现评估决策。利用下述公式能够描述该线性特征空间的分类平面:lφ(tj)+n=0(6)该线性特征空间的决策函数如下所示:g(sj)=sign(lγ(sj)+n)(7)根据模糊支持向量机相关理论和上述决策函数,可以利用下述公式建立模糊支持向量机评估模型:maxME=∑mj=1χj-12∑pj=1∑pk=1χjχksjskL(tj,tk)(8)其中,0<χj<,∑pj=1χjsj=0。根据上面阐述的方法,能够建立模糊支持向量机模型,对证券交易的风险进行评估。3.2证券风险评估误差补偿利用模糊支持向量机评估模型进行证券交易风险评估的过程中,会出现一定程度的误差。因此,需要对这些误差进行补偿,从而准确完成证券交易风险评估。通过模糊支持向量机评估模型,可以获取证券初始数据序列如下:Z(0)(v)={z0(1),z0(2),…,z0(q)}(9)利用下述公式,可以得到误差参数:η=(z(0)(1)-wc)gc(10)将证券交易样本数据分为q个状态,通过下面的公式能够实现样本数据状态转移:λk=[λ1k,λ2k],λjk∈λk,k=1,2,…,q(11)式中,λ1k和λ2k的值会根据证券交易走势发生变化。通过下述公式能够获取证券交易风险分析评估挖掘过程中产生误差的概率:Pkl(m)=Pkl(m)Pk(12)所以,可以获取证券交易风险分析评估挖掘过程中产生的误差构成的矩阵:P(m)=P11(m)P12(m)…P1q(m)P21(m)P22(m)…P2q(m)Pq1(m)Pq2(m)…Pqq(m)(13)式中,Pkl(m)是证券交易数据变化系数,λk是进行m次迭代处理后的变换系数,λl是证券交易数据集合的数量。按照上述矩阵,可以通过运算获取证券交易风险分析评估挖掘过程中产生的误差,从而进行补偿。通过上面阐述的方式,能够利用模糊支持向量机方法,对证券交易中的风险进行评估,利用误差补偿方法,对评估过程中产生的误差进行补偿,从而完成证券交易风险评估。
3仿真结果分析
在证券交易的过程中,证券交易的风险容易受到政策、市场、地域分布等多方面因素的影响,造成证券交易中的利润量属性与成本量属性出现较大程度的冲突,从而造成对证券交易的评估出现较大的误差。一旦利润量属性和成本量属性出现冲突,将造成传统评估模型稳定性降低的缺陷,导致证券交易风险分析评估挖掘的准确性降低。为此,提出了一种基于模糊支持向量机算法的证券交易风险评估方法。利用模糊支持向量机方法,对证券交易中的风险进行评估,利用误差补偿方法,对评估过程中产生的误差进行补偿,从而实现证券交易风险评估。
3.1证券交易风险分析评估挖掘数据
对证券交易风险分析评估的初始数据进行整理,从中选取不同风险等级的样本,获取的600个样本数据如下表1所示。在实验过程中,需要将这些样本数据分为训练数据集合和测试数据集合,其中训练数据集合中包括500个训练样本,测试数据集合中包括100个测试样本。
3.2计算不同证券交易形式权值系数
对证券交易进行风险分析评估挖掘,需要计算不同证券交易形式的权值系数,对不同证券交易形式的权值系数进行整理,能够得到表2。
3.3实验结果分析
为了验证本文算法的有效性,需要进行一次实验,分别采用线性评估模型算法、基础属性数学模型算法、回归模型算法和模糊支持向量机算法进行证券交易风险分析评估挖
4结束语
社会稳定风险评估机制是源于地方政府“自下而上”的创新机制,如果将其政策目标仅仅锁定在“维稳”的贡献上,未免忽视了该机制内生的重要价值,即立足评估,意在寻求能够让老百姓易于接受的发展性政策方案,实现稳定与发展的互促共生。社会稳定风险评估机制实质上是一种“倒逼”逻辑,以“维稳”为主轴,推动政府与公民的互动,实现经济社会的有序良性发展。
从政策过程的角度来看,社会稳定风险评估本质就是前置的政策评估
长期以来,地方政府决策重视后期的政策绩效评估,而且主要是基于经济学的成本效益分析,大多忽视前置的政策评估,尤其是价值、态度和个人偏好等主观因素的评价至今尚未有行之有效的评估方法。从西方国家政策评估的实践来看,政策评估已经从第一代简单的测量取向的评估“升级换代”到第四代,即特别重视政策利害关系人对于政策的反应态度和意见。目前,各地推行的社会稳定风险评估,实际上就是政策影响评估,主要是对涉及居民重大利益的决策及其建设项目,采取多种形式征求群众意见,提高决策的科学性和可行性,降低不必要的政策执行成本,提前预防可能发生的大量矛盾纠纷。
无论是四川遂宁的旧城改造,还是吉林磐石的三轮车政策,实践都证明,增加了风险评估的政府决策过程,高度重视群众的利益和意见,实际上夯实了政策执行的社会基础,其社会意义不仅仅是“零”的出现,更重要的是实现了社会稳定和经济发展的双丰收。这也将大大消除一些地方官员担心由于风险评估可能降低经济发展效率的疑虑。事实上,由于决策的专业性和政府管理的职业化程度的不断提高,风险评估的前置,将很少出现全面否决政府定的决策方案的局面。反之,如果有大量的风险程度较高的决策方案的出现,则意味着地方政府决策的科学性亟待提高。换言之,政府主导的发展战略并不会因风险评估的出现而搁浅或延误,只会朝着决策的科学化和民主化不断迈进。
从政府过程的角度来看,社会稳定风险评估是后补的意见表达和意见综合
虽然意见表达是政府过程的开端,但是在中国政府的实际运行过程中,“意见表达”与党主导的“意见综合”是交错进行的。考虑到中国特殊的政治环境,一方面,大部分个体意见表达的意愿不强,意见表达的能力不高;另一方面,大量的个体的意见表达是在“集体”中进行,突出地表现为“表达”中有“综合”,“要求”中有“支持”。这种区别于西方国家的意见表达和综合的特征,在某种程度上直接导致一些地方政府对于群众意见的“误读”。长期以来,习惯成自然,地方政府过程环节竟直接从内部起草决策方案开始,群众的利益和意见“被官员代表”。直到地方政府被大量的“”和突发性的出现包围时,地方官员才开始意识到过度强调发展速度和决策效率,忽视群众意见表达,只会人为地给自己平添更多的社会不稳定因素,阻碍当地经济社会的发展。社会稳定风险评估机制的设置,是在政府政策方案形成之后,具体执行之前,补充性地增加群众的意见表达,并由决策部门主导各方面的意见综合阶段。尽管风险评估机制是后补性地听取群众的意见,但是总比之前完全忽略群众自我利益表达要好一些。我们有理由相信,随着社会稳定风险评估机制的全面推行,尝到“甜头”的地方官员也将主动理顺这种错置的意见表达和综合,将后补变为前置,切实有效地降低政策的社会稳定风险等级,真正提高政府决策的效率,推动当地社会全面发展。
从政府发展的历程来看,社会稳定风险评估有利于促进产出式民主,构建责任政府
在以往的一些政策制定过程中,政府忽视在公民广泛参与情况下制定出某些公共政策,由于缺乏百姓的认可,往往事与愿违,要么“好政策”被束之高阁无法推行,要么政策推行起来困难重重,执行成本大大提高。社会稳定风险评估就是要将这种传统的“替民做主”的政府独断的决策方式,转换为“与民做主”的政民协作式决策方式,全面构建责任政府。
一方面,社会风险评估机制实际上是在民众和政府部门之间搭建了一座民心桥。政府部门通过政策评估将群众的政治参与吸引到具体的公共服务提供的方式和结果上,避免了公民政治参与的形式化以及被外在力量左右的可能性,同时在评估的过程中培养了当地居民参与地方管理的能力和积极性,有利于基层民主的发展;另一方面,社会风险评估机制强调属地管理和决策责任,有利于构建责任政府。在评估的过程中,全面开放透明的决策信息沟通,避免了政府决策的封闭性,有利于政府厘清自己的职责边界,一改原先单纯地把群众放在“被管理者”位置的做法,将群众、民间团体和其他社会组织平等地吸纳到决策过程中来,在“与民共同做主”的过程中,真正承担和全面履行政府的有限职责,构建更加完善的市场体系和成熟的公民社会,促进经济结构转型和社会全面发展。
社会稳定风险机制政策实现重在完善细节,绝不能大而化之,流于形式
社会风险评估作为一种新生的政府决策运行机制,在今后的推行中,理念和制度框架不是问题,因为先行先试的地方政府为后来者提供了较好的实践基础和行为标杆。关键性问题在于评估的过程中,具体细节的完善,将直接决定评估的实际效果。例如有关“重大”的标准问题,在四川省的制度文本中先后出现了33处“重大”,全部是定性的表述,缺乏具体程度和范围的规定。显然重大与否,在于官员自身认识决定,这个标准很难确定,直接导致政策执行的难度,有可能官员认为不“重大”,不需要评估的决策方案,恰巧是百姓认为涉及自身利益很重要的,又如何处理?
关键词:网络安全;风险评估;实施流程
中图文分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析,及时发现并指出存在的安全漏洞,以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位,其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测,找出可能被黑客利用的安全隐患,并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议,以便及早采取措施,保护系统信息资源。
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
2 风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求,因此在风险评估的准备阶段,应该完成以下工作。
1) 确定风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
2) 确定风险评估的范围
机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统,可能是单独的信息系统,可能是机构的关键业务流程,也可能是客户的知识产权。
3) 建立适当的组织结构
在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4) 建立系统型的风险评估方法
风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定,使之能够与机构的环境和安全要求相适应。
5) 获得最高管理者对风险评估策划的批准
上述所有内容应得到机构的最高管理者的批准,并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员,需要多方面的协调,必要的、充分的准备是风险评估成功的关键。因此,评估前期准备工作中还应签订合同和机密协议以及选择评估模式。
3 信息资产识别
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。
4 威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
5 脆弱性识别
脆弱性评估也称为弱点评估,是风险评估中的重要内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
6 已有安全措施的确认
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。
7 风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
8 风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。
由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。
参考文献:
[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.
现实性与必要性
建立重大事项社会稳定风险评估机制是维稳思路的重大调整,是维稳工作的重大创新,具有法律、政策和理论依据。
建立社会稳定风险评估机制有坚实的理论和实践基础。社会稳定风险评估工作机制的形成,是受流行于20世纪世界范围内对经济安全进行评估预警思潮的启发。西方各主要发达国家推出了一系列预警系统侦测经济安全,如美国的“美国商情指数”(哈佛指数)、法国的“景气政策信号制度”、日本的“日本景气警告指数”等,主要原理是甄选部分敏感指标组成一个有机联系的指标系统针对经济活动中具有代表性、先兆性的若干变量进行测评和辨识,以对经济的活跃程度和安全风险进行评估。社会稳定风险评估也建立在与之相类似的科学理论、方法及技术手段基础之上,通过事先对重大事项的社会稳定风险程度进行分析预测、研判评估,及时发现影响社会稳定的隐患问题,及早采取针对性措施予以防范化解,为确保重大事项顺利实施提供科学依据和安全保障,保证社会运行在稳定与秩序的轨道上,从而防止严重危及社会稳定的局面出现。同时,全国一些地方相继探索实践重大事项社会稳定风险评估机制,也取得了一定的工作成效,如四川遂宁、我省的定海区、嘉兴秀洲区等。这为我省推行这一机制提供了宝贵的实践经验。
建立社会稳定风险评估机制具有充分的法律政策依据。《中华人民共和国突发事件应对法》第五条规定:“突发事件应对工作实行预防为主、预防与应急相结合的原则。国家建立重大突发事件风险评估体系,对可能发生的突发事件进行综合性评估,减少重大突发事件的发生,最大限度地减轻重大突发事件的影响。”对突发事件建立各种有效的评估机制是突发事件危机管理的一项重要内容,是突发事件危险管理的基础。建立和完善突发事件评估体系,对预防减轻和消除突发事件可能带来的风险,提高应对突发事件的主动性、前瞻性、科学性、有效性和有序性将发挥重要的作用。中央和省委有关预防处置的文件,都要求立足事先防范、及早化解,推进维稳关口前移,预防和减少的发生。而对事关人民群众切身利益,牵涉面广、涉及人员多的重大决策、重要政策、重大改革举措、重点工程建设项目等重大事项,在实施前组织社会稳定风险评估,正属于突发事件风险评估的一项子内容,是突发事件风险评估体系的一个有机组成,是中央和省委有关预防处置文件的应有之意。
建立社会稳定风险评估机制是贯彻落实科学发展观的现实需要。事关民生问题的决策“牵一发而动全身”。决策一旦失误,不仅造成经济损失,而且会引起群众的强烈不满,造成党群、干群关系紧张,使党和政府的形象受到损害,引发危及社会稳定的事件。当前,,尤其是重大是影响社会稳定的最为突出的问题。从发生的诱因看,主要有土地征用、房屋拆迁、环境污染和企业改制等方面;从爆发的时段看,多发生在重大决策、重要政策的出台实施、重大改革举措的推出、重点工程建设项目开工等时段。近几年,我省因土地征收、城镇拆迁等重大事项引发的比重较大。通过建立社会稳定风险评估机制,为各项决策设置一道“刚性门槛”,有利于推动领导干部牢固树立科学发展观,推进科学民主依法决策,提高决策的科学性,尽可能减少因决策失误给社会稳定带来的冲击:有利于妥善解决重大事项实施中可能出现的不稳定问题,从源头上预防和减少社会矛盾以及:有利于重大事项的平稳顺利实施,保障经济发展。
实践与探索
省委领导对建立重大事项社会稳定风险评估机制十分重视,省委书记赵洪祝、省委副书记夏宝龙等省领导多次对该机制的建立提出要求。省委维稳办根据省委领导指示要求,积极采取措施。推动该机制的建立健全。
审慎周密制定《办法》。一是认真总结基层实践探索。一方面,广泛学习借鉴兄弟省市成功经验;另一方面,认真总结近年来省内部分市县主动探索实践风险评估工作有效做法,在2008年下半年组织开展深入细致的调查研究并形成调研文章,提出在全省开展风险评估工作的建议。二是积极开展规范化试点工作。经省委维护稳定工作领导小组决定,将建立完善重大事项社会稳定风险评估机制列为2008年重点工作,作为学习贯彻科学发展观的具体实践,在舟山市定海区组织开展试点工作,初步形成了重大事项社会稳定风险评估规程和操作办法。三是反复征求意见修改完善。通过召开座谈会、举办培训班和书面征求等形式,广泛听取市、县党委、政府及有关部门的意见建议,六易其稿,反复修改,力求全面、准确、严谨、可操作。并采取先试行、再不断完善的方案出台。2009年初,以省委办公厅、省政府办公厅名义下发文件,出台县级重大事项社会稳定风险评估办法的指导性政策。
评估工作紧密结合实际。一是评估工作立足县级。县级政府是行政体系中连接宏观与微观的枢纽,是经济建设、社会管理的具体执行者,许多重大决策、重要政策、重大改革举措、重点工程建设项目的制定和实施都集中在县级层面。因此,县级党委、政府在发展经济、维护稳定、构建和谐社会中起着至关重要的作用。突出抓好县级重大事项社会稳定风险评估工作,就是把维稳工作重心下移、关口前移,对各类不稳定因素预测在先、防范在前,积极化解、有效控制,有力保障经济社会平稳较快发展。市级重大事项风险评估可参照《办法》组织开展,乡镇(街道)风险评估工作则由县(市、区)规范细化。二是重大事项范围立足“四重”。凡县(市、区)党委、政府及有关部门提出的,事关人民群众切身利益,牵涉面广、影响深远,易引发不稳定问题的重大决策、重要政策、重大改革举措、重点工程建设项目等要事先组织评估,而不仅仅限于工程建设项目。尤其是把党委、政府提出的年度重点工作(如十大实事)作为评估的重点对象。三是责任主体立足部门。重大事项决策的提出部门、政策的起草部门、项目的申报审批部门、改革的牵头部门、工作的实施部门是负责组织实施重大事项社会稳定风险评估的责任主体。涉及到多部门、职能交叉而难以界定评估直接责任部门的重大事项,由县(市、区)党委、政府指定
评估责任部门。维稳办一般不负责具体评估工作。四是责任追究立足倒查。重大事项社会稳定风险评估工作列入“平安浙江”考核内容。对应评估而未评估,或在评估工作中搞形式主义、弄虚作假,造成评估失实,或防范化解工作不落实、不到位,引发不稳定问题和,给社会稳定造成严重影响的,扣除“平安浙江”考核分值,并严格按照有关规定,严肃追究有关单位领导和相关人员的责任。
多措并举加大推动力度。一是抓培训。省委维稳办先后两次组织部分市、县党委副书记、全省维稳办主任进行集中培训,就如何应对国际金融危机对社会稳定的影响、如何推进重大事项社会稳定风险评估工作、如何积极预防和妥善处置等授课交流,促进相互学习、相互借鉴。二是抓指导。省委书记赵洪祝、副书记夏宝龙等领导同志多次在全省维稳工作会议上强调,要求各地全面推行重大事项社会稳定风险评估机制,对项目建设、改革措施、政策调整等进行经济效益与社会稳定风险“双评估”,协调好不同阶层和群体的利益,从源头上预防和减少不稳定因素。省委维稳办通过面上指导、点上检查等方式,指导各地建立健全风险评估机制,推动各地稳步实施。省委维稳办今年还组织人员对各地风险评估工作开展情况进行专项督查,指导工作,发现问题,推进深化。三是抓推广。召开全省重大事项社会稳定风险评估工作现场会,认真学习全国推动“建立社会稳定风险评估机制"工作座谈会精神,观看了舟山市定海区重大事项社会稳定风险评估工作经验电视片,总结推广10个县(市、区)的成功做法。四是抓考核。省委维稳办把健全完善重大事项社会稳定风险评估机制作为2010年一项重点工作,列入年度工作计划。积极与省平安办沟通,将风险评估工作开展情况列入“平安浙江”考核范围,对未建立重大事项社会稳定风险评估工作机制、未组织开展3项重大事项评估的、评估工作不规范的等情形予以扣分。
实践成效与突出问题
经过近几年来的探索实践,我省社会稳定风险评估工作取得了较好的实际效果。至2010年底,全省90个县(市、区)已全部制定出台了社会稳定风险评估实施办法,并已组织开展风险评估工作。11个市也都建立了稳定风险评估工作机制、开展了评估。2010年,全省共评估重大事项2767件,停止或暂缓实施186件,占6.7%。其中,县(市、区)级评估重大事项占了总数的96.7%,市级占了3.3%;由维稳办牵头组织实施的占10.1%,由乡(镇)、责任部门组织实施的占89.9%,取得了初步成效。
工作氛围基本形成。通过建立健全重大事项社会稳定风险评估机制,党委政府对维稳工作重要性认识更加统一,进一步强化了“发展是第一要务,稳定是第一责任”的理念,推进了维稳责任的落实;各职能部门对发展与稳定的关系有了更深刻的理解,在抓发展中更加注重稳定工作。明显增强了稳定意识,推进了齐抓共管格局的形成。
工作机制逐步完善。一是评估范围更为拓展。评估范围从最初的工程建设项目,正逐渐拓展到县(市、区)党委、政府及有关部门提出的,事关人民群众切身利益,牵涉面广、影响深远,易引发不稳定问题的重大决策、重要政策、重大改革举措等。二是责任主体更为明确。各地根据实际情况,细化探索评估工作的责任主体,对部门和乡镇(街道)的责任作了区别,对维稳办自身牵头实施评估的条件作了明确。三是评估程序更为完善。各地普遍按照确定事项、调查论证、科学评估等程序开展评估。杭州余杭区委把评估流程确定为评估事项排摸、申报、评估、应对、备案及考核六个环节,设定了走访群众、问卷调查、群众听证、基层座谈、专家论证、部门会诊、综合分析等七个评估步骤。
评估成效初步显现。通过正确运用科学评估手段有效控制社会稳定风险。从源头上预防化解各类社会矛盾和不稳定因素,政策、决策、改革措施的科学性进一步提高,重大项目的推进更加顺利,一批重大事项被暂缓实施或被停止实施。一些重大事项中的不稳定隐患被及时消除,因重大事项而引发的不稳定问题明显减少,群众对党委政府出台的重大事项更加理解和支持,维稳工作的环境得到改善,有力地促进了社会和谐稳定局面的形成。如,舟山定海区教育局准备对定海城区中小学学区重新进行划分。因学区划分牵涉群众子女入学、区域房价等众多问题,很可能会引发不稳定因素。区委维稳办和教育局及时组织专项评估,对可能出现的不稳定因素进行预测,提出调整建议,提高了学区划分的科学性和合理性,得到了群众的普遍认可,消除了因学区划分可能引发的不稳定问题,使政策调整得以顺利实施。
当然,工作中也还存在一些问题和不足。主要为:一是思想认识不到位。一些同志认为社会稳定风险评估工作影响经济发展,不利于项目建设;一些同志认为评估束缚工作,不利于放开手脚大干;一些同志认为评估工作是走过场、走形式,可有可无。二是工作开展不平衡。有一些地方重机制建设、轻运行操作,工作进展慢、开展项目较少,甚至有的地方存在敷衍考核的情况;各市虽建立了机制,但评估工作开展不理想,评估项目量少面窄:省级部门还没有建立此项机制,评估工作还未开展,上下协调联动的格局尚未形成。三是评估机制不完善。评估主体“重乡镇轻部门”,由责任部门开展评估的少。评估范围“重项目轻决策”,基本停留在重大工程项目,重大决策、重要政策、重大改革举措涉及少。评估程序“重评估轻落实”,一些地方在评估工作的后续措施落实上不力。存在“两张皮”情况。评估时机“重事中轻事前”,习惯在重大事项实施过程中遇到问题时实施评估,在项目立项、审批、开工实施前开展评估的少。
思考与建议
进一步统一思想认识。各级各部门一定要充分认识全面推行社会稳定风险评估工作的重要性和必要性,进一步增强紧迫感和责任感,把它列入重要工作日程,摆上突出位置,切实改变一些地方工作缺乏主动性、敷衍了事的情况,改变重机制建设、轻运行操作的现象。要不断总结实践经验,坚持固强补弱,建立健全机制,精心组织推进,把风险评估过程作为深化群众工作的过程、作为化解社会矛盾的第一道工程全面加以推进,在全省上下切实形成纵向到底、横向到边的社会稳定风险评估工作格局。
进一步明确目标任务。当前和今后一个时期开展社会稳定风险评估工作的总体目标是:在县级建立重大事项社会稳定风险评估制度基础上,各级各部门全面建立制度、完善机制,把社会稳定风险评估作为重大决策的必经程序。未经评估的不得作出决策,努力提高依法科学民主决策水平。主要任务是:省级各部门要按照中央要求建立组织、出台制度、健全机制,积极
探索开展社会稳定风险评估,着力在组织实施上下功夫;各市要进一步健全机制,细化措施,扎实推进社会稳定风险评估工作,着力在规范运作、落实要求上下功夫:各县(市、区)要深入开展调查研究,总结经验,查找不足,完善细则,着力在拓宽领域、深化提高上下功夫。
进一步拓展评估领域。凡是与人民群众切身利益密切相关、影响面广、容易引发社会不稳定的重大政策和重大工程项目等决策事项,都要组织进行经济效益和社会稳定风险“双评估”,既看要不要干,又看能不能干。当前,要以企业改制、征地拆迁、环境保护、教育医疗、社会保障等领域为重点,特别是容易引发社会矛盾的重大政策,包括城乡建设和土地利用规划、土地征收和房屋拆迁、公用事业价格调整、事业单位改革、社会保障制度改革等:容易引发社会矛盾的重大项目,包括政府投资项目、重大公共设施建设以及其他重大工程建设项目等:容易引发社会矛盾的其他重大事项,包括涉及面广、情况复杂的大型活动、上级确定的重大决策和项目在本地实施的方案等。
进一步健全完善制度。一是健全工作机制。紧紧围绕解决影响社会和谐稳定的源头性问题,牢牢把握党委政府主导、“谁主管谁负责”以及客观公正等原则,建立健全党委政府统一领导、主管部门具体负责、相关部门各负其责的组织领导体制和灵活、简便、高效的运行机制。各级维护稳定工作领导小组及办公室要牵头做好社会稳定风险评估的综合协调和督查指导工作。二是明确评估程序。按照确定评估项目、制定评估方案、认真分析预测、形成评估报告、确定实施意见、落实维稳措施等评估程序,做到相互衔接、环环相扣。三是制定实施细则。各地要结合本地实际情况,制定完善具体工作意见和相应实施细则,进一步细化评估的范围、内容、责任主体以及基本程序等。省级相关部门要根据中央文件精神,结合本部门决策权限和实际需要,参照《办法》制定社会稳定风险评估工作实施细则,明确评估事项范围、评估内容、程序方法、结果运用等。
一、总则
为及时识别、监控公司保密潜在风险及其发生概率,确定公司保密风险承受能力及限度,认定该等风险所可能带来的损失,根据《上海市涉密信息系统集成资质单位保密风险评估工作细则》和《涉密信息系统集成资质保密标准》结合公司实际,特制定本管理办法。
二、职责分工
1、公司保密风险评估与管理主管部门为风险管理部。
2、各部门、各经营单元协助风险管理部实施本管理办法。
3、公司各涉密经营单元是保密风险管理的第一道防线,负责本经营单元和公司内纵向归口管理事项的保密风险管理工作。
4、公司保密风险评估工作小组(以下简称工作小组)是保密风险管理的第二道防线,接受保密管理办公室的监督(以下简称保密办),负责指导和检查保密风险评估工作的开展。
5、公司保密工作领导小组(以下简称领导小组)是保密风险管理的第三道防线。作为保密风险管理的决策机构,负责监督保密风险评估工作的开展,负责组织建立完善保密管理的持续改进机制。
三、工作内容及流程。
1、领导小组授权风险管理部组织成立工作小组。工作小组组长由分管保密工作的公司领导担任,成员由保密办、风险管理部等部门负责人组成。领导小组应组织对评估过程中出现的问题和结果做分析和研究,查找出在保密管理的制度、流程和执行等方面的问题,组织对制度和流程进行修订和完善。
2、工作小组至少每半年开展一次保密风险评估,使用“上海市涉密信息系统集成资质保密风险评估及自查自评系统”开展保密风险评估工作,按照业务流程对保密风险进行识别、分析和评估,评估的范围包括项目、人员、资产、场所等主要管理活动在保密方面所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。
3、工作小组至少每年对《保密管理风险点识别及防控措施》评估一次,从人员风险、涉密载体风险、涉密计算机、涉密场所、投标、项目实施等,对每个风险点进行低、中、高等级识别,制定相应的防范措施。
4、工作小组在评估过程中如发现问题,及时向领导小组汇报,《保密风险评估报告》形成后,应向领导小组报告评估情况。向相关涉密经营单元和人员通报评估情况,监督防控措施的落实。
5、工作小组不定期组织开展评估业务培训,使相关人员了解掌握保密风险形式、评估方法、评估工具、防控措施等知识。保密风险管理纳入保密教育培训,以增强涉密人员防控保密风险的意识。
6、《公司保密风险评估报告》以及《公司保密管理风险点识别及防控措施》由风险管理部保存,作为年度审查申请的附件材料报市国家保密局资质管理委员会办公室。
四、奖惩机制
将评估工作履职情况纳入部门和员工的年度绩效考核评价体系。由领导小组对工作小组成员的保密工作进行考核评价;由工作小组负责对相关部门和人员的保密工作进行考核评价。对发现并上报重大保密风险的部门和人员给予奖励。对瞒报或未发现明显保密风险而导致发生泄密事件及严重违规行为的部门、人员给予重罚。
五、附则