电力监控系统安全风险评估篇1
abstract:withthecontinuingreformoftheelectricitymarket,therehasbeenincreasingemphasisonriskpreventionawarenessofelectricalsafety.atpresentstage,theriskofelectricalsafetyhasbeenpaidmuchattentionbythestateandsociety;appropriatemeasuresshouldbetakentocontinuouslyimprovetheelectricalsafetyriskfactor.thepaperfocusesonthecurrentnetworksecurityriskoperation,securityriskmanagementsystemandseveralaspectsrelated.
关键词:电力;安全风险;重点
Keywords:power;securityrisk;focus
中图分类号:tm08文献标识码:a文章编号:1006-4311(2010)27-0148-01
1电网安全风险调度
1.1电网安全风险调度体系为了有效地开展电网安全风险管理,调度机构作为电网安全生产的最重要环节,必须建立起一套切实有效、严密闭环的风险应对体系,并以电网安全风险管理信息系统为平台,实现从电网安全管理三大体系,风险识别-风险评估与管理-提升风险防范能力-风险实时调空-风险管理能力持续改进的全过程闭环管理,不断提升调度系统对电网安全风险的调控能力,以最大限度地规避风险、最快速度地平息事故、最大可能地减少损失。
1.2电网安全管理体系一个严密、完善的电网安全管理体系是确保电网安全常态化管理、高效执行的前提和有力保障。具体而言,应抓好三方面的建设:构建电网安全管理的组织体系、执行体系和监督体系;建立明确的安全生产责任制、强化电网安全生产的全员、全面、全过程管理;规范电网安全管理的工作流程。
1.3电网安全的风险识别风险识别是电网安全风险管理的起点和重要环节。通常可以多视角地对电网安全风险进行识别。
第一,外部与内部。从电力体制改革、自然灾害、外力破坏、人为事故等因素识别电网外部安全风险;也可以通过对输电网安全性评价及调度系统安全性评价来识别电网内部自身固有隐藏的风险。第二,电力与电网。可通过对电力供需预测及电力市场运行的分析来识别电力供需平衡方面的矛盾;或通过对电网网架及运行方式的分析来识别电网方面存在的矛盾。第三,目标和过渡。通过对电力规划与电力建设最终目标的分析,识别电网目标网架存在的安全风险;也可通过对电力规划与电力建设过渡过程的分析,识别电网过渡期潜在的安全风险。
1.4电网安全的风险评估及调度策略第一,风险评估。在这一阶段的过程中,重点通过定性的统计分析和定量的仿真计算,确定电网安全风险发生的可能性、严重性,评估对电网风险的可预见性、可控性以及承受能力,并在此基础上对上述风险进行多维度的排序,绘制相应的风险管理图,以确定各阶段电网安全风险管理的重点与轻重缓急。第二,调度策略。首先,滚动修订电网事故处理预案,从年度层面,应针对电网结构的发展变化,及时滚动调整年度电网事故处理预案和年度电网迎峰度夏预案,并滚动修订电网黑启动方案;从短期层面看,应制定日前电网方式事故处理预案及调度台实时运行反事故预想,或根据需要制定特殊时期或特殊方式下电网保电预案。其次,制定并实行电网整改反措计划。最后,反省电网规划和系统三道防线建设。
1.5要进行实施的预警通过调度员事故预想、emS系统越限提示和在线稳定监测系统等实时预警,可以使调度运行值班人员及时了解电网运行薄弱环节,提前采取针对性的、有效的措施及时将事故隐患消灭在萌芽中或将系统恢复到一定的安全裕度内,从而有效避免电网事故的发生。
2电力安全风险管理体系探讨
2.1电力安全风险的挂牌管理风险挂牌管理是在班组、所(队)、局三个层面,分别对生产工作过程中所涉及到的人的行为、电网、设备、环境、其他六个维度方面进行危害辨识和风险评估,依据风险等级高低和各级力所能及的控制条件,对高风险、中风险、低风险分别采用红、黄、绿三种色标,并以公开公示的方式,按照班组、所(队)、局三个层面进行分级挂牌管理。
2.2电力安全风险实施的挂牌策略在学习掌握困际上成熟的职业健康安全管理、危害辨识、风险评估控制等技术和方法,结合现有的生产技术管理手段和传统的安全控制方法,在现有的电网运行分析、缺陷管理、巡视巡查、技术监督分析、安全性评价、工作人员的技能和业绩分析等管理手段和安全控制方法的基础上,对作业活动及非作业活动涉及到的人的行为、电网、设备、环境、管理以及其他等因素中存在的各种危害进行全方位的辨识和风险评估。也就是要将原来相对单一、独立、专项性的分析和管理,变为相互关联、相互促进、相互制约的一个整体进行全面的危害辨识与风险评估,依据风险等级进行分级挂牌,并将挂牌内容列入安全工作计划。
实施发现挂牌管理以来,班组行为转型、风险的“可控、能控、在控、预控”,各级管理者和全体员工的风险意识和防控风险的能力在逐步提高,特备是班组个人在关注职业健康的危害方面有了进步,也为主动、全方位辨识危害有了一定成效。
3电力风险管理以人员评价为核心
3.1评价个人诚信度分局、部门两级进行统计和分析。由安全监察部负责局层面的统计和分析,每月通过记分情况,发现安全管理上的普遍性和突出性问题,提出整改措施加以完善,并动态修订记分条款,促进针对性问题的有效改进,并注重管理“短板”和“缺陷”的解决和消除。
3.2评析人员安全技能人员安全技能评估分为岗位适应性评估和岗位发展性评估。岗位适应性评估按照班站长、工作负责人、一般工作人员分级建立技能评估标准,通过理论和实际两方面测评,定量评价员工技能素质水平。岗位发展性评估是员工岗位升迁变动所必须经过的评估。通过人员安全技能评估,逐步建立安全培训长效机制,进行针对性技能消缺。同时,试点进行作业准入,实行关键重点作业门槛禁入制度。
3.3电力安全管理进行风险评估由安全监察部负责建立安全管理评估标准,按每年春、秋安全检查为周期,开展局、生产部门、班站安全管理评估工作。及时发现、掌握在安全管理过程中反映的突出问题和倾向性问题。定期统计、分析、评估安全管理工作状况,采取有针对性的预防事故措施,监督各项安全制度得以落实。
参考文献:
[1]黄强,徐田.电网安全风险的调度应对体系研究[J].华东电力,2006(8).
电力监控系统安全风险评估篇2
【关键词】电网运行;风险评估;对策分析
电网工程本身就具有一定复杂性,每一个环节都需得到有效管理,就目前来看,电网工程呈现出新的发展趋势,但在实际运行中,电网通常伴随着诸多风险,若不加以防控便会影响电网的稳定运行。笔者将分别从:电网安全运行风险特点、电网运行风险评估系统、电网安全运行管理对策,三个方面来阐述。
1电网安全运行风险特点
经笔者分析,电网在实际运行中还存在诸多问题,其运行风险发生具有连锁反应、导致风险发生的原因众多,笔者将从以下方面来阐述。
1.1风险发生具有连锁反应
电网系统具有多样性,复杂性,含有许多风险因子。从某些方面来看,风险因子各具特点,但作为系统的重要组成部分,局部发生问题便会导致危险因素爆发。在这种情况下,对用户用电造成极大影响。
1.2风险发生原因相对复杂
电网运行过程中,风险的发生是必然的,导致风险发生的原因也是十分复杂,例如:设备故障,人为破坏、自然灾害等。设备故障通常是因设备长期使用产生失灵,无法发挥实际作用。人为破坏是指操作人员因自身行为的不合理,对电力设备造成损坏。自然灾害则是指台风、雷雨、冰冻天气、泥石流、地震等不可抗拒的自然规律因素,这些因素都会对电网运行产生影响。
2电网运行风险评估系统
电网运行过程中,风险的出现层出不穷,为控制电网风险,必须做好风险评估工作,通过风险评估系统来解决电网运行出现的各种风险。电网运行风险评估系统是以能量管理系统为主要工具,通过实时监控运行过程来获取风险信息,依据指定风险后果展开评估。经笔者研究,我国南方电网公司对电网风险管理主要由风险评估与风险控制两部分组成。风险评估主要针对电网运行过程中可能发生的安全事故、事件风险后果进行量化评估,从而确定电网风险等级,风险控制则是根据风险等级及后果,按照分层分级的管控原则,依据科学、合理的风险管控策略,制定可执行、可操作的风险控制措施,确保风险控制到位,从而实现电网安全稳定运行。
2.1南方电网风险评估
电网风险评估实施目标在于确保电网的安全稳定运行。为避免电网风险管控留有死角,缺乏科学的风险量化评估,南方电网结合现有的电网运行经验,对复杂故障、单一故障以及连锁故障展开有效分析,充分考虑设备、社会影响、经济损失、时间、操作风险等相关因素,由此提出量化评估方法。此外,为确保电网风险管控的全面性、有效性,制定了纵向风险联动、横向风险联动、内外部风险联动等精益化管控的规章制度。
2.2电网风险管控平台的建立
为高效、闭环管控电网风险的同时,减少电力工作人员的工作量,充分应用信息化系统,搭建电网风险管控平台,将电修现场,起到很好的警示作用。
3转变思路创新管理
对于火力发电厂来说,外委工程发生人身伤害事故占了70-80%,如何做到外委工程不发生安全事故,是每一次大型检修工作的重点。将外委工程安全管理工作纳入本单位安全监督体系,对外包工程的安全管理,做到“帮、教(培训、交底)、跟(检查、监督)、融”,严格履行好业主“四项”安全职责。不“以包代管”严把进场管理。①加强外委队伍资质审查,特别是特种设备、特种人员的资质审查。②签订《外包工程安全管理协议》明确双方安全管理职责及缴纳安全生产风险抵押金。③做好进场前安全教育培训和安全交底,并做好摄像记录。④建立外来人员入厂手续证件办理和门卫管理制度,要求外委队伍统一入场,安全帽作标示。不“以罚代管”和“一交到底”,严把过程管理。①严格执行“三级施工管理员”制度,对每支外包队伍,从班组、部门、厂级明确施工管理员,班组施工管理员每天从开工到结束必须全程跟踪,并加派一名“对点”安全监督管理人员。班组施工管理员从班前会到班后会全程跟踪检查监督施工班组安全作业情况,部门、厂级施工管理人员不定期检查现场安全作业情况,“对点”安全监督管理人员定期检查监督现场安全作业情况及施工管理员履职情况。②结合“安全生产月”活动,针对脱硫防腐工程组织进行了防火演练。组织各部门、班组、外包单位分批在安全生产事故警示教育周观看安全警示教育片和学习“防止电力生产事故的二十五项重点要求”(防止人身伤亡事故篇)以及2012年、2013年、2014年“全国电力事故和电力安全事件汇编”脱硫脱硝改造及机组检修相关安全事故案例,以吸取相关事故教训,做好措施落实,杜绝同类事件发生。③对危险性较大的分部分项工程、交叉作业进行专项技术交底。如塔吊、龙门吊安装、汽轮机抽转子等工程。④对于外委工程进行动态管理,发现违章情况立即进行处罚整改,并在施工现场、检修协调会上进行曝光通报,频繁发生违章的外委队伍,安监部进行约谈,直至停工整改。
4结束语
电力监控系统安全风险评估篇3
关键词:商业银行;信息系统风险;控制
为了有效防范银行信息系统风险监管,银监会正式颁布了《银行业金融机构信息系统风险管理指引》,以促进我国银行业信息系统安全、持续、稳健运行。作为基层银行,就要认真学习商业银行信息系统的特点,建立适合商业银行风险特征的评估模型,运用先进的风险评估方法,逐步完善信息系统风险评估的流程,并通过信息系统风险评估的手段,保障企业信息资产的安全,确保系统数据的完整,使商业银行适应复杂的运行环境,满足日益强化的风险管理需要。
一、商业银行信息系统风险模型
商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分,主要业务模块包括柜面业务系统,atm、poS、网上银行、电子商务支付和客服中心等,其中柜面业务子系统包括:存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。
以上可以看出,基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理,是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。
另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上,主要考虑的是安全技术的实现架构和实现方式,并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等,其中交易安全包括:密码技术、身份认证和安全交易技术。其层次结构如图2。
随着信息技术应用的普及,网上银行、手机银行飞速发展,随着银行业务的拓展,各种中间业务等银行新型业务和金融产品的出现,银行信息系统开始不同程度向外界开放,对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中,将过去保存在基层的存贷款等业务数据集中到高层数据库存放,导致单笔交易所跨越的网络环节越来越多,银行信息系统对通信网络依赖程度越来越高。
电子金融服务的发展,使商业银行信息系统开放运行,与公共网络连接,暴露在公共网络具有各种威胁底下,网上银行、手机银行、电子商务支付等银行新业务,在成为商业银行利润增长点的同时,导致银行信息系统的风险剧增。商业银行对信息系统的安全性要求进一步提高。
二、商业银行信息系统风险评估方法
商业银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力[1]。因此,必须兼顾业务风险模型和技术风险模型的相关方法,建立一种银行信息系统风险识别模式,用于发现系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,找出系统的弱点和安全威胁的定性分析;必须建立一种银行信息系统风险评价模型,用于在银行信息系统风险各要素之间建立风险评估,计量风险的定量评价方法。
根据商业银行信息系统风险模型,其中基于业务风险控制的风险评估模型主要针对银行业务具体处理,其风险识别是观察每一笔具体的业务数据,也可以转化为银行资产的差错;其中基于信息技术控制的风险评估模型主要针对安全保障技术,其风险识别是找出系统可能存在的不安全因素。据此,可以推理出系统风险评估模型为:
商业银行信息系统风险评估模型由四个模块组成:业务差错识别模块负责找出每一笔已经发生的差错业务,其方法是通过业务差错发现和资产调查寻找每一笔差错业务,修正商业银行信息系统运行错误;威胁分析模块负责寻找技术安全威胁,用安全扫描来找出安全漏洞,用入侵检测来发现受到的侵犯;安全分析模块负责对系统设置的安全策略进行分析,对系统内部运行的软件进行分析;系统安全评价模块在前面三个模块分析结论的基础上由银行风险因素诊断指标体系[2]得出系统安全评价量化指标。
该商业银行信息系统风险评估模型的特点主要是:1.业务风险评估和技术风险评估同一量化构成信息系统的风险,便于系统的横向比较;2.采用自动化的检测评价为主的方法,对于硬件的风险和人为的风险,可以加入人工评价修正,有利于实时监控;3.系统简洁,事前预防和事后发现相结合,可行适用。
电力监控系统安全风险评估篇4
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统
一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—one),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(oCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的it风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(iS017799)、《信息技术安全性评估准则》(GB/t18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法依赖外部的信息安全管理行业
在发达国家,信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。it风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。新晨
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
电力监控系统安全风险评估篇5
(1)适应电力企业发展的需要,遵循现行电力企业管理体制;
(2)管控平台涉及技术和管理,须对技术手段和管理手段的实现方式进行决择;
(3)须考虑不同级别单位以及不同使用对象需求的侧重点;
(4)管控平台自身须具有一定安全性;
(5)基于管控平台的工具特性,须配套推出数据初始化等服务及制度来实现平台的正常运转。
2管控平台角色需求分析
管控平台设置的用户角色必须与电力企业现有信息安全相关组织架构相匹配。一般来讲,电力行业自身信息安全相关组织架构包括上级信息安全主管单位、本地信息安全主管单位以及本地信息安全实施单位此外,电力行业在实际信息安全工作中,需要外部信息安全产品厂商、安全服务厂商、安全咨询机构、相关公共信息安全机构以及科研机构支持。管控平台将外部信息安全产品厂商、安全服务厂商、安全咨询机构统一定义为外部信息安全支持单位,将相关公共信息安全机构以及科研机构定义为应急联动及专家机构。管控平台各角色职能需求分析如下:
(1)上级信息安全主管单位上级信息安全主管单位负责企业整体信息安全保障,掌握整体信息安全态势,评估网络和信息系统安全机制的有效性情况。在信息安全突发事件发生时,负责事件决策、监控、协调。
(2)本地信息安全主管单位本地信息安全主管单位负责本单位信息安全保障,掌握所辖网络及其业务信息系统的安全态势,协调安全事件的处理。
(3)本地信息安全实施单位本地信息安全实施单位负责本单位信息安全保障具体实施工作。在管控平台中本地信息安全实施单位设置的角色包括负责人、安全主管、安全运维人员等,如表1所示。负责风险评估、实时监控、应急演练、安全预警以及信息安全突发事件处置各项工作的具体实施。
(4)外部信息安全支持单位外部信息安全支持单位承担信息安全支撑服务职能,其职责包括外部信息安全事件预警监控,风险评估、应急演练及应急处置的外协支持等。
(5)应急联动及专家机构应急联动及专家机构由各相关公共信息安全机构、科研机构信息安全相关领域专家组成,为电力企业信息安全保障提供技术支持和资源保障。应急联动专家机构人员在管控平台中通过设置呼叫树和专家角色,参与应急等各项事务的处置。
3系统功能设计
通过管控平台的定位以及上述角色需求分析,可明确管控平台的功能模块设置及关系如图1所示,下面依次对关键模块内容进行阐述。
3.1基础安全数据管理
基础安全数据管理模块对企业信息系统相关的网络设备、服务器、通用软件等基本信息和策略配置信息,漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库,以及风险评估、应急演练等工作中产生的过程数据进行汇总存储并详细分类,支持多种查询和修改。
3.2预案管理
预案管理模块实现对各级单位信息安全应急预案的编制、审批、、更新,以及预案的执行(及演练)和事件处置等功能。其中应急预案编制、审批在管控平台上进行统一规范,各单位人员在管控平台上只需要参考应急预案模板并调用本单位的实际数据内容即可完成编制任务。预案管理模块功能设计如图2所示。在预案管理模块中,应急预案执行是一种复杂的业务流程,通常基于工作流引擎来实现。这种实现方式可确保相应的演练和事件处置活动能够全程可监控、可记录。图3是基于工作流引擎实现应急预案某一操作规程的实例。
3.3风险评估
风险评估模块为各单位信息安全风险评估工作提供全过程支撑,并能够根据评估过程和结果数据(例如将资产调研结果,威胁、漏洞分析等评估结果)通过内定的矩阵型风险计算方式自动计算得出各单位总体风险和高危风险状况,为各单位编制应急预案的方向提供依据。风险评估模块功能设计如图4所示。
3.4业务影响分析
业务影响分析模块同样是为编制应急预案提供依据,与风险评估模块类似。但考虑到信息系统业务的差异性,管控平台不对业务影响分析进行全过程管理和支撑。图险评估模块功能设计示意图
3.5公告管理
公告管理模块向管控平台各级角色提供通知信息、浏览、查阅、管理功能。公告从编制、审批、到反馈的整个流程均通过管控平台来实现。公告的类别包括:
(1)企业发文:企业带正式文号的信息安全类文档的、管理、显示;
(2)通知通报:企业不带正式文号但须告知各级单位的信息安全相关文档的、管理、显示;
(3)企业动态:企业各级单位参与的信息安全相关活动、新闻的、管理、显示;
(4)业界安全动态:国内外安全事件,尤其是电力行业安全相关动态的、管理、显示。
3.6预警管理
预警管理模块包含漏洞预警和威胁预警两类功能,级别分为高、中、低三级。预警信息来源分为两类,一类是国内外安全评测机构、厂商的安全预警及漏洞,另一类是源自风险评估模块和业务影响分析模块的计算结果。与公告类似,预警管理的整个流程通过管控平台来实现。各单位接收到管控平台自动发送的提示短信,登录平台,即可处理预警信息。
3.7安全事件管理
安全事件管理模块对信息安全事件的分级分类以及事件响应处理进行管理。信息安全事件的分级分类基于国家有关标准与行业实际情况。安全事件响应方式分为自动响应和事件工单管理两类。自动响应包括屏幕、邮件、声音、工单、对话框、设备控制、短信、脚本操作、Snmptrap等响应方式,并通过其设置实现自定义用户响应策略。事件工单管理则通过与第三方统/平台的接口与例如it服务管理平台进行联动来实现。
3.8信息安全状况监视(应急值班室)
信息安全状况监视模块可向各级人员提供不同的管理界面,分为宏观态势监视与应急监视两类。宏观态势监视能够根据风险评估结果、安全预警信息以及当前安全状况(是否有安全事件发生以及处理情况),对企业整体安全态势进行研判,为安全决策提供支持。应急监视能够通过安全模型分析及人工比对分析,将安全事件、威胁、漏洞等数据与管控平台中业务数据进行关联,得出研判信息,并结合国家有关标准,为应急人员提供应急相应实施依据。信息安全状况监视模块功能设计如图5所示。
4结语
电力监控系统安全风险评估篇6
关键词:商业银行;信息系统风险;控制
为了有效防范银行信息系统风险监管,银监会正式颁布了《银行业金融机构信息系统风险管理指引》,以促进我国银行业信息系统安全、持续、稳健运行。作为基层银行,就要认真学习商业银行信息系统的特点,建立适合商业银行风险特征的评估模型,运用先进的风险评估方法,逐步完善信息系统风险评估的流程,并通过信息系统风险评估的手段,保障企业信息资产的安全,确保系统数据的完整,使商业银行适应复杂的运行环境,满足日益强化的风险管理需要。
一、商业银行信息系统风险模型
商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分,主要业务模块包括柜面业务系统,atm、pos、网上银行、电子商务支付和客服中心等,其中柜面业务子系统包括:存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。
以上可以看出,基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理,是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。
另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上,主要考虑的是安全技术的实现架构和实现方式,并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等,其中交易安全包括:密码技术、身份认证和安全交易技术。其层次结构如图2。
随着信息技术应用的普及,网上银行、手机银行飞速发展,随着银行业务的拓展,各种中间业务等银行新型业务和金融产品的出现,银行信息系统开始不同程度向外界开放,对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中,将过去保存在基层的存贷款等业务数据集中到高层数据库存放,导致单笔交易所跨越的网络环节越来越多,银行信息系统对通信网络依赖程度越来越高。
电子金融服务的发展,使商业银行信息系统开放运行,与公共网络连接,暴露在公共网络具有各种威胁底下,网上银行、手机银行、电子商务支付等银行新业务,在成为商业银行利润增长点的同时,导致银行信息系统的风险剧增。商业银行对信息系统的安全性要求进一步提高。
二、商业银行信息系统风险评估方法
商业银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力[1]。因此,必须兼顾业务风险模型和技术风险模型的相关方法,建立一种银行信息系统风险识别模式,用于发现系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,找出系统的弱点和安全威胁的定性分析;必须建立一种银行信息系统风险评价模型,用于在银行信息系统风险各要素之间建立风险评估,计量风险的定量评价方法。
根据商业银行信息系统风险模型,其中基于业务风险控制的风险评估模型主要针对银行业务具体处理,其风险识别是观察每一笔具体的业务数据,也可以转化为银行资产的差错;其中基于信息技术控制的风险评估模型主要针对安全保障技术,其风险识别是找出系统可能存在的不安全因素。据此,可以推理出系统风险评估模型为:
商业银行信息系统风险评估模型由四个模块组成:业务差错识别模块负责找出每一笔已经发生的差错业务,其方法是通过业务差错发现和资产调查寻找每一笔差错业务,修正商业银行信息系统运行错误;威胁分析模块负责寻找技术安全威胁,用安全扫描来找出安全漏洞,用入侵检测来发现受到的侵犯;安全分析模块负责对系统设置的安全策略进行分析,对系统内部运行的软件进行分析;系统安全评价模块在前面三个模块分析结论的基础上由银行风险因素诊断指标体系[2]得出系统安全评价量化指标。
该商业银行信息系统风险评估模型的特点主要是:1.业务风险评估和技术风险评估同一量化构成信息系统的风险,便于系统的横向比较;2.采用自动化的检测评价为主的方法,对于硬件的风险和人为的风险,可以加入人工评价修正,有利于实时监控;3.系统简洁,事前预防和事后发现相结合,可行适用。
三、商业银行信息系统风险控制措施
通过
风险评估,可以进行风险计算,计算出大致成本,控制防范风险就是要采取行动,并得到资金的支持。银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制[1]。
在硬件方面控制风险,首先要选择合适的供应商,选择满足安全要求的解决方案。在网络安全方面,要将银行内部网络与银行外部网络隔离,通过防火墙或者服务器连接。通过隔离连接容易实现数据检查,减少系统暴露面,发现问题系统及时报告及时处理。在银行信息系统建设上,可以借鉴成熟的运行系统,采用成熟的信息技术,银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。[1]
在银行信息系统运行方面,银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。[1]
银行信息系统风险管理要坚持持续管理风险的理念,银行信息系统风险的存在是会随着时间和环境的变化而不断变化,持续管理就是要跟随环境的变化。建立持续管理策略,就是在银行信息系统中,不断地进行评估。不断地实施pdca循环,即计划(plan)、实施(do)、检测(check)、改进(action)四个进程。安全控制的境界不能放在不断纠正错误上,应该放在预防上,就是要不断检测,不断发现不安全因素,不断地改进,使系统符合变化环境下安全需求。
参考文献:
[1]中国银行业监督管理委员会.银行业金融机构信息系统风险管理指引.银监会313号文件,2006.11.1
电力监控系统安全风险评估篇7
目前,风险预警工作存在以下问题:
(一)预警条件的确定存在主观性,无法具体量化
风险预警条件的确定,主要参考《国家电网公司安全事故调查规程》和电网风险预警条件,规定通信检修期间发生n-1故障,可能发生七级及以上(通信)设备事件,或造成电网用户停电的七级、八级电网(设备)事件,但此条款中未明确风险时长,存在管理难点。
(二)通信专业人员无法明确预警级别
通信网络风险预警的分为两种情况,可能造成7级以下事件的预警由省公司科技信通部,预警级别按照《国家电网公司安全事故调查规程》中对通信系统事件的分级进行,可能造成6级及以上事件的预警,由信通公司起草,科技信通部审核后,报送安全质量监察部进行复核、定级,由电力调度控制中心统一。在对通信系统检修工作进行风险评估的过程中,若检修工作期间发生n-2事件造成线路双套保护装置退出,线路停电,则需要根据损失的负荷进行定级,此项工作归口部门为省公司安全质量监察部,通信专业部门不具备定级能力。目前对于可能造成750线路停电,或造成多条220线路停电的检修工作,定为五至六级预警,将相关信息报送至安监部进行专业、系统地评估;对于可能造成单回220线路停电的检修工作,按照经验定为八级预警,由通信部门独立。
(三)对于电网调度统一下发的预警单,地市单位通信部门反馈流程存在问题
对于重大一次检修作业,电网与通信同步风险预警,地市单位接警后,由于未与地市信通公司建立良好的沟通机制,地市信通公司接收预警存在延迟,影响预控措施落实。
二、目标描述
通信调度部门要建立月、周、日信息通信网络运行风险评估机制,充分利用通信管理系统,对所有缺陷单及检修(计划检修、临时检修)进行分析,与电网专业月度检修平衡后,组织分析下月通信计划检修可能造成的通信信息网络运行风险,梳理达到预警条件的检修内容,制定下月预警计划,经科技信通部审核确认后下发。通信管理部门在通信管理系统中同步通信专业的风险预警单,地市信通公司接警后开展预控措施落实工作。
三、主要做法
1.风险评估阶段
预警条件①通信检修期间发生n-1故障,可能发生七级以上电网(设备)事件,或通信引起的造成用户停电的七级、八级电网(设备)事件。②通信设备操作、检修作业等可能造成疆内750千伏电网、重要输电通道、并网用户厂站保护、安控装置退出运行或调度自动化信息中断风险。③涉及通信的其他行为对电网安全运行和电力供应构成较大威胁的情况。
2.预警阶段
预警计划省通信调度部门要建立月、周、日信息通信网络运行风险评估机制,每月10日前与电网专业月度检修平衡后,组织分析下月通信计划检修可能造成的通信信息网络运行风险,梳理达到预警条件的检修内容,制定下月预警计划,经科技信通部审核确认后下发预警计划。预警流程省通信调度调管范围内五级通信信息网络运行风险预警通知书由省通信调度编制,经科技信通部审核,安监部会签后,科技信通部负责人签发。省通信调度调管范围内六、七、八级通信信息网络运行风险预警通知书由省调编制,科技信通部审核,科技信通部负责人签发。各生产运维单位在每周一前完成下周检修票的提报及流转,省通信调度部门根据下周检修工作安排和通信网运行情况开展风险评估,周二前完成下周安全风险预警通知的编制,科技信通部对通知单进行审核确认后,每周三在通信安全生产晨会上进行,内容包括下周一至下周日工作。科技信通部每周三晨会后要立即在SG-tmS系统预警通知书,各单位相关通信部门负责人要及时查阅、落实。对于影响电网的风险预警,纳入电网预警管理流程,由公司各级安监部门监督落实并将落实情况反馈至科技信通部。
3.预警执行阶段
相关责任单位通信部门负责人签收预警通知后,根据风险预警通知单内容,36个小时内确定具有针对性和可操作性的管控措施和要求,组织落实安全风险预控措施,并在每周四下班前将下周信息通信安全风险预控措施落实情况书面反馈至科信部。对于随机性的突发事件而形成的安全风险,科信部风险预警后,责任单位立即组织落实预控措施,并在一个工作日内书面反馈落实情况。科信部监督通信信息网络风险预控措施落实情况,对于未落实或落实不到位的检修工作,通知通信调度部门不予会签。对于影响电网的通信信息网络风险预警,公司各级安全监督部门负责监督并反馈至科信部。检修工作实施过程中,如通信网及设备运行状态、环境发生较大变化或突发事件时,按照事故汇报流程,逐级上报。通信网改变运行方式前,应根据影响上级通信网和电网情况,提前向上级调度汇报,经上级同意后方可实施。
4、预警解除阶段
电力监控系统安全风险评估篇8
关键词:关键岗位;风险预控;廉政
作者简介:戴礼良(1963-),男,安徽淮北人,安徽省电力公司淮北供电公司,工程师;葛成龙(1976-),男,安徽淮北人,安徽省电力公司淮北供电公司,政工师。(安徽淮北235000)
中图分类号:F272.93文献标识码:a文章编号:1007-0079(2013)29-0158-02
为持续深化廉政风险管理工作,淮北万里电力发展有限公司(以下简称“发展公司”)党总支从2011年起,以转变意识为先导,采用科学的评估方法,持续改进监控手段,强化岗位风险预控能力,初步形成了以“岗位为点、流程为线、制度为面、责任环绕”的立体廉政风险防控体系,为企业平安和谐发展提供有力保障,有效提升了发展公司廉政风险管控水平。
一、以关键岗位管控为核心的廉政风险立体预防体系建设背景
1.依法治企,廉洁从业的迫切需要
上级对依法从严治企的要求越来越严格,制度越来越规范,发展公司必须要探索适合自身实际、符合上级精神的廉政风险防范体系。
2.公司树立形象的迫切需要
随着三集五大的结束,作为集体企业,从名称“发展公司”就能够感觉到,相关业务都是围绕公司的业务开展的,其工作人员的形象,代表了公司的形象,所以公司党风廉政建设需要发展公司建立以关键岗位管控为核心的廉政风险立体预防体系。
3.关爱员工的迫切需要
对员工的关爱,不仅仅要建立在口头上,更重要的是要在制度上体现,让员工实现干事干净,就需要建立以关键岗位管控为核心的廉政风险立体预防体系,通过体系确保员工的经济平安。
二、以关键岗位管控为核心的廉政风险立体预防体系建设的内涵和特征
1.内涵
以转变意识为先导,采用科学的评估方法,持续改进监控手段,强化岗位风险预控能力,初步形成了以“岗位为点、流程为线、制度为面、责任环绕”的立体廉政风险防控体系,为企业平安和谐发展提供有力保障,有效提升了发展公司廉政风险管控水平。
2.特征
特征一:点上用力,便于操作。“岗位为点、流程为线、制度为面、责任环绕”,从岗位的点上,逐步突破,形成由易到难,由点到面、到立体的格局,便于具体操作。
特征二:建立立体管理思想,夯实企业管理基础。以关键岗位管控为核心的廉政风险立体预防体系摆脱了过去廉政教育重教育、偏上层的局面,避免造成对人不对事的局面,通过对岗位的廉政管控,实现了对岗不对人,更利于企业和谐管理。
特征三:建立关键岗位廉洁从业风险信息库,提升企业管理水平。通过建立风险信息库,为以后的工作做了良好的铺垫,逐步规范了各个岗位的工作职责,促进了企业规范管理,对不利于风险防控的同岗位业务,可以在以后的工作中进行调整,形成内部的制约体系。
特征三:理清一种关系,就是流程比制度更重要。在反腐倡廉工作中,往往只注重制定如何处罚腐败行为的制度规章,而忽视探索防范腐败发生的流程。其实,流程比制度更重要。制度是针对把事情做错如何处罚(结果),而流程是指导和保证监督如何把事情做对(过程)。没有好的过程就没有好结果。制度是一种约束行为方式的抽象行政手段,相当于修筑堤坝;而程序是一种办事逻辑指导的具体技术手段,相当于疏理河道。
特征四:健全一套机制,实现业务联控。要保证各层面长治久安,必须有长效机制作保障,将反腐倡廉融入日常管理和常态运作之中,让人在这种机制下不能干坏事,即使有那种“贼”心,也没那种机会。通过运用系统的观念,建立系统的监控体系,实现了业务的联动,为考评员工提供了依据,促进了企业管理水平的提升。
三、以关键岗位管控为核心的廉政风险立体预防体系建设的主要做法
1.融入企业廉洁文化建设,不断提升员工廉洁从业风险意识
将廉洁从业风险管理意识的培育融入企业文化建设,多措并举,常抓不懈,积极倡导“依法治企、廉洁从业”、“风险无处不在、风险无时不在、岗位风险管理责任重大”等观念,将立体风险管控融入员工的日常行为和具体工作过程中。
一是开展多层面培育廉洁意识。公司层面领导班子向员工公布风险承诺,身体力行推动风险管理;各部门制定风险规约和梳理岗位风险,制定预防措施;开展“廉洁文化进岗位”活动,组织岗位风险大讨论,撰写“依法治企、廉洁从业”听后感;编写关键岗位廉洁风险说明书,发放廉洁风险提示卡、告知书等,党政主要负责人亲自上讲台讲党史上廉课,组织员工到“清风苑”参观学习,面对面算帐守廉等举措,培育廉洁意识。
二是引导关键岗位员工转变意识。如在现场风险评估诊断活动中,邀请关键岗位员工参加,采取推进式讨论的方式,启发和引导关键岗位员工正确认识岗位廉政风险防控工作,主动参与到风险辨识、分析和预控工作中,避免了风险管理“空谈”现象,相关意识也得到了潜移默化的灌输。
2.完善组织体系,打通便于关键岗位员工参与风险管理的信息沟通渠道
在原有风险管理组织体系框架基础上,进一步明晰各单位的岗位风险监控职责,强化关键岗位风险的管控,初步建立了纵向贯通、横向集成的廉政风险管理组织体系。聘请关键岗位业务骨干组建了风险评估专家组和联络员,形成遍及发展公司各领域的风险管理网络。在风险辨识、分析和评估以及风险解决方案的制定中,关键岗位员工发挥了积极的作用,初步实现了风险管理和业务工作有机融合开展,为公司廉政风险管理的深入开展奠定了坚实的基础。
3.科学风险评估,有的放矢开展岗位廉政风险防控
一是采取分层、立体的全面风险评估模式,实行岗位动态自评、单位综合评估、发展公司风险评估组现场诊断和指导相结合。基层单位认真执行风险报告制度,开展动态风险自评,及时上报风险变化情况报告30余次;坚持每半年一次全面评估;定期组织专家现场诊断评估,累计开展活动11次。
二是以岗位为点、流程为线,全面开展基于岗位和流程的风险辨识、分析和评价工作。组织关键岗位人员深入细致梳理业务流程,认真辨识业务流程、管理环节中潜在的风险因素,逐步完善岗位廉政风险清单和关键控制环节目录。先后完成岗位风险梳理分析,开展了重点业务流程的风险分析评估,初步形成关键性监控指标。对照标准,发展公司排查出岗位廉政风险8个,其中重大岗位风险1个,分别为重大决策风险类别的投资风险和改制风险,岗位风险类别的履职风险和商业贿赂风险,业务廉政风险类别的从业人员责任意识风险,违法违纪风险类别的废旧物资处理和干私活风险,行风建设风险类别的业扩工程风险,从业人员责任意识风险由于发生可能性大被排查为重大风险。逐步健全完善廉政风险防控机制。修订了《关于贯彻落实“三重一大”集体决策制度的实施意见》、《电力安装工程分包队伍管理办法》、《万里电力规划设计院奖励管理办法》等制度,初步形成廉政风险立体预防体系。
三是算清岗位廉政风险账。从自律和履职方面,从“两个维度、五个方面”入手,挖掘管理漏洞和薄弱环节,强化评估结果应用,给相关岗位人员算清经济账,算明亲情帐,算透人生帐。通过评估风险等级和分布,确定需要重点关注和解决的主要风险,分系统召开风险防范和控制分析会11次,制定了《电力安装工程分包队伍管理办法》,控制了工程发包中的廉政风险。此外,工程公司实行了“党风、廉政从业风险告知制”,对工程废旧电缆回收从源头管控,有效防控了廉政风险。
4.完善关键岗位廉洁从业风险信息管理,为风险预防控制提供信息保障
一是在深入开展风险评估的基础上,逐步积累完善风险信息库。建立统一的廉洁从业风险分类框架,继而对风险逐步细分,明晰完善风险分布、风险描述和预防控制措施等,不断将风险识别、评估、处理等过程经验进行知识累积,为风险管理有效持续推进奠定信息基础。
二是在公司风险信息完善的基础上,将关键岗位风险和防范控制措施,通过编制岗位风险说明书、廉洁守则和廉洁从业承诺等形式加以固化,明晰了关键岗位人员的风险预防控制职责,充分发挥风险信息对关键岗位日常风险防控的提示提醒和指导作用。
5.强化内部控制改进和日常风险监控,持续改进关键岗位风险预防控制能力
一是采取自上而下模式,分系统逐级进行风险处置,以规范管理为主要手段强化关键岗位风险的内部控制改进。如在工程施工管理中,主要针对“工程发包、工程材料发放”等关键岗位风险,对照公司《关于“干私活”的处理规定》,修订完善岗位工作标准和制度,有效降低了施工和管理人员的岗位风险。
二是以“一岗双责”为抓手,督促业务部门和单位切实履行风险监控职责,确保风险控制措施的有效执行。针对目前无法通过信息系统实现有效控制的业务环节,通过指标监控、过程抽查以及考核等措施强化风险监控。
三是将制度建设作为风险预控的根本措施,坚持实施规章制度全周期管理,强化系统风险防范能力。实行业务部门与监督部门审查会签机制、制度执行督察机制和制度评估改进机制,将风险防控要求融入管理制度,嵌入管理流程,优化制度设计,强化制度执行,在推进规章制度体系质量持续改进的同时,系统提高公司整体风险防范能力。公司正在逐步完善的经营结算统一平台,就可以有效规避岗位风险。
四、以关键岗位管控为核心的廉政风险立体预防体系建设的主要成效
电力监控系统安全风险评估篇9
[关键词]全面风险管理风险组织体系风险管理文化
风险管理是企业安全管理工作的重要内容,关系到企业发展。医院是国民经济重要的基础性行业,在经济发展过程中起着重要的作用。同时具有技术要求高、涉及范围广、系统复杂、维护费用高等特点,因此医院是一个风险性较高的行业。
全面风险管理作为一种现代企业管理手段,是企业安全运行的重要保障,建立完善的全面风险管理体系有利于促进企业健康发展。
一、全面风险管理概述
全面风险管理是企业全员参与,应用于企业战略制定和企业生产经营活动,用以确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。[1]
构建医院全面风险管理体系,需要立足于医院的实际,分析医院风险管理环境、管理目标,对医院风险进行识别、评估,建立风险防控和监督机制,完善风险组织管理、强化文化管理等风险管理保障体系。其中核心是风险的防范和控制。
二、医院全面风险识别、评估与控制
(1)风险控制环境
风险环境分析是进行全面风险管理的基础。控制环境包括:员工诚信度和价值观;员工的能力;医院管理文化和管理理念;医院组织构架;权责分配、人力资源政策等。控制环境对医院目标设立、风险评估和风险控制有重要作用。它影响着员工的控制意识,是医院发展的基础。
(2)风险识别
综合性医院的经营活动复杂,各种风险相互联系、相互作用。医院的经营活动涉及到内外两方面的因素,因此风险可分为医院的内部风险和外部风险。
医院内部风险主要有医疗服务风险(医疗事故、医患关系风险等)、财务风险、组织设置风险(包括部门设置、部门间协调不顺畅等风险)、安全运行风险(设备运行、日常管理风险等)、人力资源风险、信息系统风险等。
医院的外部风险主要有自然环境风险(自然灾害)、政策法规风险(国家关于医疗机构的法律和政策风险)、行业风险(行业竞争风险)、技术风险(技术更新风险)等。
(3)风险评估
医院风险评估是通过运用科学有效的方法,对系统中存在的风险因素导致事故的可能性和风险程度进行定性和定量的描述,确定风险级别,进而实施风险预警与控制。进行评估首先要建立评估指标体系,并需要对风险进行综合性的评价,以弥补单一定性分析或定量分析的不足。
常用的风险评价方法有安全检查表分法、模糊综合评估法、作业条件危险性评估法、预先危险性分析、神经网络评估法等[2]。
2.4风险控制
风险控制是医院根据自身条件和外部环境,为了实现风险管理目标,在风险识别和风险评估的基础上,确定风险管理有效标准,采用适当的风险控制措施以使风险损失最小化。常用的风险控制方法主要包括避免、预防、分散、抑制等[3]。
2.5风险监督与改进
医院的风险会随着时间变化而改变,实施控制的方式也不断改变。曾经有效的风险应对措施可能变得不太有效了。导致这些现象发生的原因可能是由于新员工的到来,医院的培训和监控效果的变化,或者医院外部环境发生了变化等。面对这些变化,医院的管理层需要判定原来风险管理是否继续有效,也就是需要对风险管理体系进行监督和改进。
监督和改进可通过持续性的活动或独立的评估方式进行。持续性的监督和改进是对医院日常的、经常性的经营活动的监督和改进,是在不断变化的环境基础上动态地监督和改进。个别评价的频率依赖于医院管理者的主观判断。在作出判断时,需要考虑医院内部和外部环境变化发生的性质和程度以及相关的风险,员工的能力和经验、持续性监督和改进的效果等问题。一般地,为保证医院风险防控体系长期的有效性,需要将持续性的活动与独立的评估结合起来。
三、医院风险管理组织体系构建
为保证医院风险管理顺利实施,应建立健全包括风险管理委员会及风险管理职能部门、审计委员会及内部审计部门、法律事务部门及其他相关职能部门、业务单位的组织领导机构及其职责在内的风险管理组织体系。
四、医院全面风险管理文化构建
在管理实践中,对风险的全面管理,还需要构建风险管理文化。通过构建医院风险管理文化,使全面风险管理的理念深深根植于医院文化之中。开展全面风险文化管理,将风险意识和风险管理理念与医院文化相融合,在整个医院中贯彻落实风险管理精神,保障全面风险管理成功实施。
五、结语
全面风险管理作为一个现代企业管理手段,分析、开展全面风险管理,建立完善的全面风险管理体系有利于医疗行业健康发展。
参考文献:
[1]刘宁宁,蒋文崇.电力企业全面风险管理体系构建[J].魅力中国,2011,4.
电力监控系统安全风险评估篇10
关键词:作业;风险;电力安全;应用
1电力安全作业的重要性
电力作业安全风险评估工作涉及到各种专业上的知识和电力设备中所存在的问题。随着电力行业的不断发展,电网的规模也在日益增大,电力安全作业也会因为规模的增加而面临更多的问题,设备的威胁、安全管理上的不足、各种危险因素的辨析等,对于生产工作人员来说,任务的复杂性与危险性也增大了,电力的安全稳定性会影响电力的正常运行与正常供电,会带来很多繁琐且耗时的事情,因此只有采取对应的解决措施,才能让工作人员在作业时保证工作的高效与自身的人身安全。为确保电力生产的安全需要对电力系统进行监督、对供电设备进行定期检查与维护,能及时了解在作业时存在的安全隐患与设备的运行状况。经济的快速发展会造成很多影响电力安全生产的行为,如道路施工、违章作业、人为破坏等,只有建立完整的安全风险评估体系,才能针对电力生产所存在的各种问题,采取相应的解决措施。对电力安全作业所存在的常见问题进行解决,实施科学合理的分析与专业技术的培训,对危险点进行重点监视与设立安全警示,电力企业不应该只把重心全放在经营利润上,作为具有危险性的行业,必须高度重视现场工作人员的人身安全保障,才能让企业真正的稳定和谐、可持续发展。电力的管理与工作任务的沿变,工作任务日益复杂繁重,制定科学合理的安全作业评估制度,确保风险可控在控。
2电力作业的隐患
2.1危险点的定义
顾名思义,危险点就是具有对人身造成伤害的潜在危险点,施工作业现场周边环境、电力设备工况、工器具、天气变化等都属于危险点,容易对人身造成伤害的潜在因素。危险点也具备不同的类型,一种是直接性的,因为员工操作的失误或者设备本身就已存在隐患而对人身直接造成伤害的;还有就是对人身造成的伤害取决于直接性基础之上,危险性有大有小,根据所接触的工作内容及性质而定。
2.2安全意识不强
在电力作业风险管理工作中,一定要重视工作人员的作业规范性。当前电力企业存在的突出问题是工作人员的安全防范意识不强,认为设备基本不会发生问题,工作人员也都十分专业,不会发生危险,缺少及时发现危险的心态,对于潜在的危险缺少防护措施,还是以传统电力管理的理念开展工作,安全意识淡薄,重利润轻安全,没有针对性地对安全风险进行管控。
2.3风险评估水平低
随着技术的不断进步,安全风险也会跟着不断变化,各种新型设备出现,新的安全问题随之出现。当今的电力作业的风险评估,存在不能主动排查电力生产过程作业出现的问题,缺乏主动性的排查,没有进行作业现场风险评估。
3电力作业风险评估在安全监督中的应用策略
3.1以风险控制为基础,以解决问题为根本
针对所排查到的危险源制定科学合理的解决措施和整改方案,从规划发展、工程建设、操作作业、管理调整开始,并在改善中组织探讨,集思广益,促使问题及时解决。对于重大的问题和安全隐患,制定有效的预防措施与应对方案并落实,提高作业人员应对突发状况的能力。在日常的工作中一定要尽最大可能完善工作的安全制度,充分利用当今时代的科技发达性进行工作上的辅助,对所出现的问题提出针对性的解决方案,并提高电力企业的安全管理模式与电力设备的防护,向工作的总体目标靠拢。利用各种实用的安全防护设备,为作业人员人身的安全防护提供保障。建立风险管控机制,以安全性、规范性为重心,形成企业自身的安全统一的管理体系。组建安全监督队伍,对电力生产作业区域进行检查与安全监督,提倡以人为本、安全发展的理念,定期开展专业化的技能培训。
3.2高度重视辨析风险工作
辨析风险是电力生产作业中必须开展的针对性的安全隐患的排查工作,并对其进行风险的评估,根据风险评估结果的差异及等级制订不同的应对方案。主要还是从作业环境、技能素养、操作规范性等方面开展风险评估工作。对于作业环境中所存在的危险,如所处空间的不合理、身边存在易燃易爆物品、现场光线不好、操作人员无法正常展开工作、设备工况的不稳定等,必须严格重视危险因素的识别,并采取合理的防范控制措施,以此确保员工能够正常开展作业,从而预防触电、作业环境的影响、周边物品的危害、设备存在的隐患所造成的事故风险。从管理中、作业前进行危险因素的辨析与评估,根据评估危险系数的不同和作业人员在实践中的体验,对容易出现问题的操作环节进行事先预防,对电力不合理作业方式加强风险管控。排查经过标记与统计的危险点,并在排查中发现新的问题,从而建立企业安全管理制度上的统一标准制度,并结合实际情况进行不断的改进,如对设备、安全管理、操作作业等存在的风险进行辨识,从而保证现场安全管理制度上的完善与实际更新。
3.3强化安全技术应用
安全技术应用是对电力现场的针对性措施,也是电力生产工作能够顺利进行的有效安全保障。在工作中一定要严格要求自身的工作规范性,对现场进行实际的排查,根据现场实际的工作环境所采取不同的针对策略,采用科学规范措施,进行工作上的可实施性,确保工作中的每一个步骤都具备科学合理性。施工单位的管理层应该对员工进行作业监督,让工作进度能够稳定进行,合理把控工作的每一步。施工人员应该严格遵守作业的规范性,并在执行作业中对所运用的安全措施有清晰的了解,这样也能保障工作中作业失误降到最小化。加强对电力设备工况的检查,保证设备的安全可行,满足工作的要求,为操作员工提供安全上的进一步保障;对于老旧的电力设备,需要及时进行更换,并对运用的设备进行安全检测,确保其质量达到电力工作的标准,每一项工作的开展都需要相关负责人进行确认,谁主管谁负责,保证安全工作能做到可查可循,使得安全管理工作有序落实与进行。