安全風險等級劃分標準8篇

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇安全風險等級劃分標準，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

篇1

關鍵詞：洗錢；風險等級;劃分；困境；路徑

中圖分類號：F832.2文獻標識碼：A 文章編號:1003－9031(2011)09－0055－03DOI:10.3969/j.issn.1003-9031.2011.09.13

一、問題的提出

客戶洗錢風險等級劃分，是指金融機構依據客戶的特點或賬戶的屬性以及其它涉嫌洗錢和恐怖融資的相關風險因素，通過綜合分析、甄別，將客戶或賬戶劃分為不同的洗錢風險等級并采取相應控制措施的活動。作為風險管控理念的具體實踐，客戶洗錢風險等級劃分是金融機構履行客戶身份識別義務的重要內容，它對有效防范洗錢和恐怖融資風險具有非常重要的作用。一是能夠增強客戶身份識別工作的目的性和科學性。根據客戶洗錢風險高低給予不同程度的關注和控制，使客戶身份識別工作更加細致有效、貼合實際。二是能夠提高可疑交易分析識別的有效性和準確性。通過客戶風險等級劃分將洗錢風險的評價判斷從交易時提前至建立業務關系時，并且能夠始終將客戶與客戶的交易緊密聯系，為主觀分析識別可疑交易奠定了基礎。三是降低反洗錢工作成本。對占絕大多數比例的低風險客戶在身份識別措施強度上的豁免，能夠節約合規資源。四是增加了對客戶身份的了解和判斷的步驟，能夠為金融機構其他條線和部門的合規運作、風險防范提供有效的信息資源[1]。然而，由于受到各種主客觀因素的制約，目前金融機構客戶洗錢風險等級劃分工作在制度和執行層面均存在一些困境，直接影響到我國金融領域反洗錢工作的進程和反洗錢監管工作的有效性。為此，加大對這些困境的研究分析，找出相應地突破路徑顯得尤其具有意義。

二、金融機構劃分客戶洗錢風險等級時面臨的困境

目前各金融機構在開展客戶洗錢風險等級劃分工作中面臨的困境主要包括兩類：一類是制度困境，即金融機構在劃分客戶洗錢風險等級時面臨的制度層面不利因素的制約，主要表現為一種客觀的外部環境因素；另一類是執行困境，是指金融機構在劃分客戶洗錢風險等級時存在的具體執行方面的問題，主要表現為主觀方面的因素制約。

（一）制度困境

1.客戶洗錢風險等級劃分相關法律規定過于原則，分行業工作指引不完善。金融機構客戶洗錢風險等級劃分工作是立法完善、執法督促、行業治理、義務主體自覺等多層次、多角度、多主體的系統性工作，但目前我國反洗錢相關法律法規中對客戶風險等級劃分的規定較為原則，不利于金融機構在實踐中具體操作。同時，目前除證券期貨業制定了本行業的客戶風險等級劃分工作指引外，銀行、保險等行業尚未制定統一、規范的客戶風險等級劃分工作指引，因而呈現出各個法人金融機構自行制定客戶風險等級劃分辦法的局面，缺乏囊括同行業而具有共性特征的基礎工作指引。

2.客戶風險等級劃分信息平臺建設滯后，制約了等級的有效劃分。金融機構通過內部或者外部等渠道，全面、動態掌握同一客戶或賬戶洗錢風險等級及風險因素等相關信息，有助于提高劃分風險等級的準確性和及時性，進而確保風險管控的針對性和有效性。但目前我國尚未建立專門的反洗錢信息平臺，金融機構無法掌握跨行業或跨機構的相關信息，對客戶的識別主要停留在有效身份證件的真假等法定真實性層面，無法深入結合交易背景、交易目的等情況，及時、有效的收集客戶相關身份和背景信息?？蛻羯矸菪畔⒆R別手段的滯后客觀上為金融機構識別和評價客戶風險等級帶來了較大的困擾。

（二）執行困境

1.客戶洗錢風險等級劃分標準界定簡單，可操作性不強。一是多數機構的客戶風險等級劃分標準界定簡單，籠統地將客戶風險等級劃分為三級或三級以上，如高、中、低或風險類、關注類、一般類等三級風險，正常類、關注類、可疑類、禁止類等四級風險，而沒有按照客戶的特點或者賬戶的屬性，結合地域、行業、交易行為等風險要素進行具體細化，實踐中缺乏可操作性。二是未完整按照與客戶初次建立業務關系、業務關系存續期間、業務關系終止的環節及過程加以區分，客戶風險種類和等級劃分的時間段模糊，不利于在業務發生時期根據客戶的異常交易和行為及時發現風險。三是大部分金融機構客戶風險等級的劃分主要采取定性分類的方法，而沒有綜合考慮相關因素，采取定性分析與定量分析相結合的風險分類方法。

2.客戶風險等級劃分覆蓋面不全，部分特殊業務未得到有效劃分。目前不少金融機構制定的客戶風險等級劃分標準中，未覆蓋各個業務部門和各業務條線的全過程，不利于采取有效措施對不同種類風險的客戶資金來源、資金用途、經濟狀況或經營狀況等進行了解，并不利于對其金融交易活動進行監測分析。譬如，在銀行業金融機構中，對網銀等非面對面業務、對證券和保險機構交易監測等方面的風險劃分標準中存在空白點；在證券業機構中，對于歷史原因遺留的相當一部分不合格賬戶，由于客戶早期登記的信息變動很大，聯系客戶存在較大困難，許多遺留賬戶至今無法清理核實。

3.科技手段應用不足與依賴性并存，客戶風險等級劃分的實效性有限。一方面，不少金融機構的客戶洗錢風險等級劃分標準沒有與本單位的綜合業務系統實現連接，不能從核心系統中實時反映和提取相關數據，風險等級劃分主要依靠一線人員手工完成，風險等級劃分的時效性差且工作效率低下；另一方面，部分機構建立了較完善的風險等級劃分管理系統和工作流程，但操作時過于依賴系統進行等級劃分，人工分析判斷的力度不足，造成系統劃分的風險等級不能完全反映客戶實際的風險狀況，降低了風險等級劃分工作的實效性。

4.客戶洗錢風險等級劃分內控職責不清，部門內部協調和信息傳導不暢。金融機構制定的內控制度中普遍缺乏對高管人員在執行風險等級劃分標準中的管理責任和義務的明確規定，不利于高管層和決策層全面及時了解本單位的整體風險狀況。操作中有些機構的高管人員和決策層將精力更多地放在事后如何化解風險上，而不注重制度的缺失、有效性不足可能給本機構帶來的風險和隱患。此外，部門之間缺乏必要的配合，各業務條線之間、各部門之間落實客戶風險等級劃分制度內部傳導機制不協調，信息不暢通等問題也普遍存在[2]。

5.客戶風險等級劃分結果利用率不足，劃分工作流于表面形式。目前，部分金融機構劃分客戶風險等級不是出于預防本機構洗錢風險的需要，而是擔心受到監管機關處罰而被迫開展，客戶風險等級劃分結果的利用率不足，劃分工作流于表面形式。這些機構對風險等級劃分的結果只停留在查詢、瀏覽等簡單功能的使用上，而未從本機構洗錢風險防范的角度出發，根據分類結果提示的客戶風險狀況，進一步評估客戶的既有或潛在洗錢風險，進而采取有效的應對措施，切實防范洗錢風險。

三、突破客戶洗錢風險等級劃分困境的路徑

金融機構客戶洗錢風險等級劃分工作在制度和執行層面遇到的困境主要涉及金融機構、反洗錢行政主管部門（即人民銀行）和行業監管部門等三個層面。因此，對困境的突破應主要從這三個方面入手，有針對性地加以改進和完善。

（一）人民銀行層面

1.完善客戶風險等級劃分相關配套制度，規范金融機構客戶風險等級劃分工作。一是作為反洗錢行政主管部門，人民銀行可借鑒國外先進經驗，牽頭組織有關力量和部門，在綜合各行業金融監管部門制定的客戶洗錢風險劃分工作指引的基礎上，研究出臺金融業客戶洗錢風險等級劃分工作指引等規范性文件，規范各金融機構的風險等級劃分工作。二是考慮在金融機構大額交易和可疑交易報告要素內容中增加客戶風險等級標識，便于反洗錢監測分析中心掌握高風險和重點客戶信息，增強對各金融機構報告的可疑交易的分析和甄別能力。

2.加快反洗錢信息系統建設，搭建有效的信息查詢平臺。一是人民銀行可考慮整合企業和個人信用信息數據庫、賬戶管理系統、企業機構代碼查詢系統和聯網核查公民身份信息系統等內部資源，開發客戶綜合信息管理系統，并按權限開放給各金融機構使用，便于各金融機構的客戶信息查詢、核對和共享。二是人民銀行應充分發揮組織協調優勢，在各行業監管部門協助下積極搭建跨行業風險等級信息交流平臺，組織推動各類金融機構進行信息交流。其中系統內部可以通過網絡化平臺實現客戶洗錢風險等級信息和風險因素相關信息的交流，而行業內部交流和跨行業交流可以僅限為各自最高風險等級客戶的相關資料，并且在信息交流過程中應全面做好保密工作。

3.實踐風險為本的反洗錢監管理念，督促金融機構切實履行各項反洗錢義務。首先，探索建立監管部門與金融機構良性互動、公開透明的反洗錢監管工作機制，實踐風險為本的反洗錢監管方法，引導金融機構在注重內部合規建設的同時要樹立風險為本的意識，注重預防系統性風險，強化對反洗錢內部組織管理、內控流程的覆蓋性和有效性建設。其次，開展客戶風險等級劃分的專項檢查，通過實地了解全面評價客戶風險等級劃分工作的實效性，及時采取相應監管措施，督促金融機構切實履行各項反洗錢義務。第三，完善金融機構反洗錢工作風險評估體系，根據日常非現場監管和執法檢查獲取的監管信息，全面評估各金融機構客戶洗錢風險管理工作質量，并根據評估結果合理配置監管資源，重點突出地對客戶洗錢風險等級劃分和管理薄弱的機構加大督導力度，提高工作的有效性。

（二）行業監管部門層面

1.制定行業洗錢風險等級劃分工作指引，規范行業風險等級劃分工作。行業監管部門和行業協會應充分發揮對本行業各種金融業務品種產生洗錢風險的可能性和危害性的識別、分析優勢，依據相關法律法規研究、制定行業性金融機構客戶洗錢風險等級劃分工作指引，解析客戶特點或賬戶屬性的涵義、表現及所涉風險點，明確該行業中客戶身份、地域、業務、行業、交易以及其他涉嫌洗錢和恐怖融資相關因素，確立必要的工作原則，統一劃分風險等級和劃分標準，規定基礎性的風險監控措施[3]。

2.發揮行業組織管理優勢，推動客戶洗錢風險等級信息交流機制建設。行業監管部門和行業協會可發揮對行業的組織管理優勢，推動建立健全行業內部和跨行業客戶洗錢風險等級信息交流機制。同時，監督指導行業內部金融機構完善相關內控制度，推動金融機構依法有序開展風險等級劃分工作。

（三）金融機構層面

1.強化全員反洗錢意識，加大對客戶洗錢風險等級劃分工作的培訓力度。金融機構開展反洗錢工作不能僅僅停留在應付監管部門工作安排的層面上，而應堅持風險為本的反洗錢工作理念，主動準確地開展客戶風險等級劃分工作。其次，金融機構應加強對一線員工客戶洗錢風險等級劃分工作的培訓。一線員工是金融機構客戶洗錢風險等級劃分標準日常的實踐者，金融機構應對其開展持續性、富有成效的培訓，使各業務人員掌握并運用客戶風險等級分類管理和風險劃分標準操作的方式方法，保障制度執行不受管理層變更或員工崗位變動或組織結構變化的影響，確保本機構在制度執行中的有效性和連續性。

2.合理制定客戶風險等級劃分標準，確保劃分工作的全面性和有效性。第一，金融機構要綜合考慮和分析客戶的地域、行業、身份、交易目的、交易特征等涉嫌洗錢和恐怖融資的各類風險因素，合理制定客戶風險等級劃分標準，將客戶風險等級至少劃分為高、中、低三個級別，并細化各個級別的評估標準，確保劃分標準的可操作性。第二，客戶風險等級劃分標準應體現不同業務環節的特點?？蛻麸L險等級是動態調整的，在與金融機構初次建立業務關系、業務關系存續和終止等不同環節可能存在不同的風險等級，因而劃分標準應體現這一特點。除了基礎的風險因素外，根據不同環節的業務特點，還應增加不同環節特殊的風險因素，在確定客戶風險等級時一并權衡，從而確保風險等級劃分的準確性和動態性。第三，要堅持定性與定量相結合的原則。在對客戶的國籍、行業、職業等定性指標進行分析的同時，還應對客戶資金流量、交易頻率、交易所涉人員數量、經營規模和交易規模等定量因素進行分析。第四，要堅持全面性原則。金融機構應全面考慮客戶可能涉嫌洗錢和恐怖融資的各類風險因素，對所有客戶進行風險等級劃分。不僅要考慮與客戶身份有關的風險因素，還應當結合自身的業務結構、經營方式和外部環境等風險因素進行全面、綜合的考慮和分析。對于因歷史原因或其它客觀原因無法聯系確定客戶風險等級的，為防范可能存在的洗錢風險，可考慮采取從嚴的風險等級劃分標準，嚴密堵住可能的風險漏洞。

3.推進風險等級劃分系統化建設，提高風險等級劃分工作的實效性。一方面，金融機構應加大技術投入力度，建立健全客戶洗錢風險等級劃分系統，準確標識客戶或賬戶風險等級，并將其與金融業務系統對接，通過系統整合實現信息報告、自動提示、查詢管理等功能提高風險等級劃分的及時性和工作效率；另一方面，要加大對系統自動劃分風險等級的人工分析判斷力度，對于系統劃分不準確的客戶風險等級要及時進行調整修正，確保風險等級劃分工作的準確性和有效性。

4.明確客戶洗錢風險等級劃分內控職責，強化反洗錢工作合力。一是各金融機構應正確處理內控合規與業務發展的關系，及時根據最新法律規定和監管要求對反洗錢內控制度進行修訂完善，奠定客戶洗錢風險等級劃分工作的基礎。二是各金融機構的內控制度應明確高管人員在執行風險等級劃分標準中的管理責任和義務，提高高管人員對客戶洗錢風險等級劃分工作的重視程度。三是各金融機構應明確內部各職能部門在客戶風險等級劃分工作上的分工配合，并制定具體的考核標準，直接與部門績效和人員晉職相掛鉤，促使各部門主動開展好客戶風險等級劃分工作，從而形成有效的反洗錢工作合力。

5.加大內部信息共享力度，提高風險等級劃分結果的利用率。金融機構應將客戶洗錢風險等級劃分結果標識在業務系統中，隨時提示工作人員關注客戶交易及行為，采取相應的客戶身份識別和洗錢風險防范措施。在確保反洗錢信息安全的情況下，提供劃分結果給相關部門，避免業務拓展的盲目性，防范潛在的洗錢風險。

參考文獻：

[1]孫玉剛.論金融機構反洗錢客戶風險等級分類管理[J].武漢金融，2010（10）:15-17.

篇2

在對企業進行職業病危害現狀評價的過程中，目前大都采用的主要是以檢查表法為主，結合現場的職業病危害因素的檢測情況進行評價，但這種方法只能對職業病危害因素的情況進行簡單的總結和分類，分為“合格”或“不合格”，無法對目前企業職業病危害風險做出精確的評估。國內的相關研究將美國道化學公司的火災爆炸指數法，英國帝國化學公司蒙德工廠的蒙德評估法，日本的六階段風險評估法等國外的風險評估模型應用到職業衛生評價工作中，雖然這些方法能夠減少評估的主觀性，使評價準確度提高，但職業病危害評價工作和安全評價工作有著明顯的不同，同時這些理論或多或少在實踐中存在著一定的缺陷，可操作性不強。

在職業衛生現狀評價過程中，通過對企業現場職業病危害因素的識別，結合工藝流程、生產情況和勞動定員的調查，評價人員需要綜合考慮職業危害的可能性(接觸時間和接觸強度)、危害的嚴重性(健康效應)以及接觸人數和防護措施的情況。我國相關學者在參考英國職業健康安全管理體系和美國職業接觸的評估和管理策略的基礎上，結合自身的實際特點，建立了工作場所職業健康風險評估公式:風險指數=2健康效應等級×2暴露比值×作業條件等級，其中健康效應等級劃分標準見表1;暴露比值=平均實測值/職業接觸限值;作業條件等級=(暴露時間等級×暴露人數等級×工程防護措施等級×個體防護措施等級)1/4，等式右邊各項劃分標準見表2。職業危害風險指數大小劃分為5級，分別是無危害(～6)、輕度危害(～11)、中毒危害(～23)、高度危害(～80)和極度危害(＞80)。企業現場職業危害風險級別以風險指數最高的為準。

職業病危害現狀評價中抵消風險因素

風險抵消因素是通過防護設施、管理手段等減輕危害的因素，即企業的職業衛生管理。

結合國內相關學者在廣州市制定的企業職業衛生管理質量評分體系，對企業職業衛生管理的現狀進行評價。企業職業衛生管理質量評分體系，初步擬定為組織管理、預防措施、監督檢測和健康監護4類共18項，采用的是層次分析法(analytichierarchyprocess)確定因素的權重。通過計算權重對企業的職業衛生管理進行分級，以0.6、0.7、0.8和0.9為界將職業衛生管理質量劃分為不及格、及格、一般、良好、優秀5組，見表3。

職業病危害現狀風險綜合評估

以職業病危害現狀評價中固有風險因素的分級作為橫坐標，分別是無危害(～6)、輕度危害(～11)、中毒危害(～23)、高度危害(～80)和極度危害(＞80);職業病危害現狀評價中抵消風險因素的分級作為縱坐標，不及格、及格、一般、良好、優秀5組，建立職業病危害現狀評價分級綜合判斷表，見表4。表中A代表輕微危害;B代表一般危害;C代表較嚴重危害;D代表嚴重危害。

結語

篇3

關鍵詞：地鐵施工；安全風險管理；管線施工

中圖分類號：X731文獻標識碼： A

引言

目前，隨著我國城市化進程的不斷推進，我國大城市交通壓力越來越大，地面交通已經無法滿足人們出行的需求，為了更好地緩解大城市出現的交通壓力問題。許多大城市開始向地下交通發展，地鐵應運而生，地鐵的出現極大地緩解了大城市地面交通壓力，使人們不再為出行而煩惱。地鐵施工建設工程是一項極為復雜的工程，在建設之前需要進行嚴格的設計，其中關于地鐵施工對于鄰近管線安全風險管理問題是地鐵建設單位要注意思考的問題。地鐵在施工的過程中，如果沒有經過嚴格考量，盲目施工可能會造成地鐵沿線鄰近管線地基出現問題，甚至會釀成重大的安全事故，因此加強地鐵施工對鄰近管線安全風險管理研究具有重要意義。

一、地下管線及其安全風險管理流程

（一）地鐵施工鄰近地下管線分類及其破壞模式

1.地下管線分類

城市地鐵施工鄰近管線可以按照用途、材質、接口形式等進行分類。按用途分，主要有:燃氣管道、給水管道、排水管道、電力和電纜等;按接口形式分，地下管線按照是否設有可允許轉動接頭分為:剛性管和柔性管;按材質分，主要有:鋼筋混凝土(混凝土)管、鑄鐵管、鋼管和聚乙烯管。

（二）地下管線破壞模式管線的破壞形式主要有兩種模式，管線應力破壞(常見于柔性管線)。管線接頭變形破壞(常見于剛性管線)、地下管線破壞可能是以上兩種模式之一，也可能是以上兩種模式同時發生。

（三）地下管線安全風險管理流程

地鐵施工引起鄰近管線安全風險的大小與管線與地鐵結構的空間位置、管線現狀情況及地鐵工程條件等因素有關，鄰近管線安全風險管理流程如下:1.進行管線現狀調查，根據鄰近管線與地鐵結構的空間位置關系，劃分地鐵與管線的鄰近等級;根據管線的鄰近等級、用途與管線現狀，確定評估深度。2.對需要進行評估的管線，進行地鐵施工對管線影響分析。3.根據地鐵施工對管線的影響、管線現狀、管線控制標準，確定管線的安全風險等級;提出地鐵工程施工對策與鄰近管線保護措施。其中，管線的鄰近等級。管線控制標準。管線安全風險等級與保護措施缺乏相應標準，需要進行系統研究。

二、地下管線綜合分析

目前城市地下管線分布錯綜復雜分類方式也多種多樣從用途角度上來看主要包括了用水管道、電力管道、光纜以及煤氣管道等。這些管道的材質也具有很大的差異性例如鋼管、鑄鐵管、PP管等。上述管道特性在進行管線安全風險管理時都是需要考慮并分析的重點元素。當管道被破壞時一般會表現出兩種形式即管線應力破壞、管線接頭變形破壞些情況下上述兩種模式會同時出現。

結合以上分析筆者總結出了地鐵施工鄰近管線安全風險管理的具體流程:首先在進行風險管理控制之前先要對管線進行全方位的調查同時對管線與地鐵的位置關系進行把握，通過臨近等級來對管路類型進行劃分同時結合管路的用途、材質以及應用現狀來對其進行深度評估。其次對管線影響進行評估分析并結合管線影響、管線控制來得到管線的安全等級。最后根據管線的安全風險等級給予針對性的保護措施。

三、地鐵施工對鄰近管線安全風險管理措施

（一）管線安全風險管理控制措施

當風險等級在1級、2級時管路基本處于安全狀態只需要進行簡單的保護即可對管路沉降進行監控，另外在坑洞內采取一般性保護措施來對管路進行保護。當風險等級達到3級時此時已經較為危險，此時就需要在土體和隧道施工過程中采取針對性的保護在施工過程中對施工參數進行有效的控制同時加強安全監測并對土體進行加固。當風險等級達到4級時需要進行專業性保護施工前將影響管線的荷載消除并對管線采取支撐體來進行加固河對周邊的松散土體進行注漿加固。風險等級為5級時除了上述的專項保護措施以外還需要制定出專項性的緊急預案對管線荷載進行徹底清除用注漿加固和鋼板隔離加固的方式來強化管線特別需要對施工參數進行密切觀察加強管線固定。

（二）對地鐵施工過程進行監測

地鐵施工的過程中，不可避免地改變周遭的環境，會對鄰近建筑物產生一定的影響。因此，必須要加強地鐵施工的過程監測。監控量測是地鐵施工設計必不可少的手段，可以有效地時時監控量測地鐵施工對周圍建筑物的影響。必須要把監控量測納入到地鐵施工的整個過程中，作為一道供需納入到對建筑物的風險評估中。

（三）建筑物保護措施

施工前調查所有在施工影響范圍內的建筑物，著重查明建筑物的結構形式、基礎形式、數量、修建年代、材質、質量狀況、工作狀態、與地鐵線路的位置關系等。當建筑物具有很大的破壞風險時，應遵循“先加固、后施工”的原則。

（四）制定科學合理的風險管理全程策劃

在地鐵項目立項以后、工程具體實施以前,應以地鐵施工的全過程為研究對象,制定科學合理的風險管理實施方案。地鐵公司可以自行完成或委托給有能力的咨詢機構制定。明確項目總體目標、工作實施目標、階段目標,制定安全方針。劃分安全責任和職能,建立安全組織機構,完善工作機制(見圖1)。核心內容包括:確立項目組織體系和合作模式,清晰劃分項目管理各方的安全任務/責任,明確各方管理要點;制訂工程圖1地鐵施工安全風險管理結構圖地質、水文地質情況徹查方案,劃分不同地質單元,每種單元的主要地質風險要清晰,進行風險評估和分級;風險的對應措施要明確,針對工程的地質特點、施工工法、城市環境,制定有針對性和適用性的安全施工措施,并對這些措施所能達到的效果有明確的預期。

圖1地鐵施工安全風險管理結構圖

（五）管線變形控制標準

目前，國內外學者對地下管線安全控制標準的研究較少，尚未形成統一的標準。在實際工程中確定地下管線的破壞控制值時，通常是參考現有研究及類似工程控制標準的基礎上，結合現場實際情況加以制定。地下管線類型、埋設方式、埋設年代、場地條件等均會影響地下管線的安全控制值。目前，國內外常用的地下管線控制標準主要有管線垂直和水平變形、管線接頭轉角與脫開、管線應變方面的控制標準:管線垂直和水平位移方面國內外還尚未統一制定管線沉降控制標準，國內主要采用的經驗控制標準，以及部分地區結合自身實際制定的地方標準。

結束語

地下管線是城市基礎設施的重要組成部分，而地鐵施工將不可避免地對臨近地下管線產生影響，甚至會造成管線破壞。研究地鐵施工對臨近地下管線安全風險影響及其管理評價，對保護地下管線的正常使用具有重要意義。基于此，本文構建了地鐵施工臨近地下管線安全管理及評價標準體系。(一)結合目前國內外控制標準及工程實踐，提出管線變形控制標準應在考慮管線用途和使用情況的基礎上，采用管線垂直和水平變形值來反映管線的安全狀況比較合適。(二)明確了地下管線現狀調查內容和調查步驟，在此基礎上將地鐵施工誘發臨近管線安全風險劃分為五個等級，并提出不同安全風險等級地下管線保護措施。(三)建立了地鐵施工地下管線安全管理評價指標體系，結合單項扣分法制定切實可行的地鐵施工臨近地下管線安全評價標準，將地鐵工程施工安全納入標準化。規范化管理，以確保地鐵工程安全施工。

參考文獻：

[1]吳賢國,張立茂,陳躍慶.地鐵施工鄰近橋梁安全風險管理研究[J].鐵道工程學報,2012,07：87-92.

篇4

1.1安全風險評估應用模型三階段。

在電子政務系統設的實施過程，主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中，安全風險分析主要作用于規劃與設計階段，安全等級評估主要作用于建設與施工階段，安全檢查評估主要作用于運行與管理階段。安全風險分析，主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定，以及其風險的優先控制順序，可以通過根據電子政務系統的需求，采用定性和定量的方法，制定相關的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者，通過結合其自身的力量和相關的等級保護標準，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權威專業評估機構，依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估，掌握系統動態、業務調整、網絡威脅等動向，能夠及時預防和處理系統中存在的安全漏洞、隱患，提高系統的防御能力，并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革，則需要重新對系統進行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務網絡系統的運行狀態進行監測，并給予解決問題的安全防范措施。

1.2安全風險分析的應用模型。

在政府網絡安全風險評估工作中，主要是借助安全風險評測工具和第三方權威機構，對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產上，政府的信息資源不但具有經濟價值，還擁有者重要的政治因素。因此，要從關鍵和敏感度出發，確定信息資產。在不足上，政府電子政務網絡系統，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務網絡系統受到來自內、外部的威脅。在影響上，可能致使信息資源泄露，嚴重時造成重大的資源損失。

（2）基本流程。

根據安全需求，確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求，實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則，并確定其大小與等級。結合相關的系統安全需求和等級保護，以及費用應當與風險相平衡的原則，對風險控制方法加以探究，從而制定出有效的安全風險控制措施和解決方案。

（3）專家評判法。

在建設政府電子政務網絡系統的前期決策中，由于缺少相關的數據和資料，因此，可以通過專家評判的方法，為政府電子政務網絡系統提供一個大概的參考數值和結果，作為決策前期的基礎。在安全區域內，根據網絡拓撲結構（即物理層、網絡層、系統層、應用層、數據層、用戶層），應用需求和安全需求劃分的安全邊界和安全區域，建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點，分析其可能為資產所帶來的影響，以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小，進而通過安全風險評估專家進行評判，得到系統的風險值及排序。在不同的安全層次中，每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。

2結語

篇5

（中國電子科技集團公司第二十研究所，陜西 西安 710068）

【摘　要】隨著信息化水平的不斷提高，各單位對其依賴程度前所未有的加大，然而隨著各種攻擊技術的發展，沒有防御的系統則顯得不堪一擊。針對此，每個單位信息系統的安全運行都相應的加大了信息安全的關注與投入。鑒于此，研究不同等級的信息系統所需的安全措施就變得很有意義。主要說明了信息系統的不同等級及其安全防護水平。

關鍵詞 信息化；風險；等級保護；安全

1　信息化發展背景

1.1　全球背景

信息化是充分利用信息技術，開發利用信息資源，促進信息交流和知識共享，提高經濟增長質量，推動經濟社會發展轉型的歷史進程。隨著信息技術發展，信息化對經濟社會發展的影響更加深刻。信息資源日益成為重要生產要素、無形資產和社會財富。與此同時，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰。

1.2　我國目標

我國信息化發展戰略概括為：以信息化促進工業化，以工業化帶動信息化，走出中國特色的信息化道路。信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。到2020年，我國信息化發展的戰略目標是：綜合信息基礎設施基本普及，信息技術自主創新能力顯著增強，信息產業結構全面優化，國家信息安全保障水平大幅提高，國民經濟和社會信息化取得明顯成效，新型工業化發展模式初步確立，國家信息化發展的制度環境和政策體系基本完善，國民信息技術應用能力顯著提高，為邁向信息社會奠定堅實基礎。

2　等級保護標準及其具體范圍

信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

2.1　美國可信計算機安全評價標準

美國可信計算機安全評價標準(Trusted Computer System Evaluation Criteria，TCSEC)，該標準是世界范圍內計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。

D類安全等級：D類安全等級只包括D1一個級別。D1的安全等級最低。

C類安全等級：該類安全等級能夠提供審計的保護，并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。

B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。

A類安全等級：A系統的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1系統的顯著特征是，系統的設計者必須按照一個正式的設計規范來分析系統。

2.2　歐洲的安全評價標準

歐洲的安全評價標準ITSEC（Information Technology Security Evaluation Criteria）是英國、法國、德國和荷蘭制定的IT安全評估準則，是歐洲多國安全評價方法的綜合產物，應用領域為軍隊、政府和商業。該標準將安全概念分為功能與評估兩部分。功能準則從F1～F10共分10級。1～5級對應于TCSEC的D到A。F6至F10級分別對應數據和程序的完整性、系統的可用性、數據通信的完整性、數據通信的保密性以及機密性和完整性的網絡安全。

與TCSEC不同，它并不把保密措施直接與計算機功能相聯系，而是只敘述技術安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級，對于每個系統，安全功能可分別定義。

2.3　我國計算機信息系統安全保護等級劃分準則

我國根據世界范圍內信息安全及計算機系統安全評估等技術的發展，并結合我國自身情況，制定并頒發了我國計算機信息系統安全保護等級劃分準則（GB 17859-1999），在該準則中將信息系統分為下面五個等級：

第一級：用戶自主保護級；

第二級：系統審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。

3　風險分析和安全保護措施

3.1　漏洞、威脅、風險

在實際中，計算機信息系統在確定保護等級之前，首先要對該計算機信息系統進行風險分析。風險是構成安全基礎的基本觀念，風險是丟失需要保護的資產的可能性。如果沒有風險就不需要安全。威脅是可能破壞信息系統環境安全的行動或事件。漏洞是各種攻擊可能的途徑。風險是威脅和漏洞的綜合結果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅之外，還應考慮已有的策略和預防措施。識別漏洞應尋找系統和信息的所有入口及分析如何通過這些入口訪問系統和信息。識別威脅是對目標、動機及事件的識別。一旦對漏洞、威脅以及預防措施進行了識別，就可確定該計算機信息系統的風險。綜合這些信息，開發相應的風險管理項目。風險永遠不可能完全去除，風險必須管理。

風險分析是對需要保護的資產及其受到的潛在的安全威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證計算機信息系統的網絡環境及其信息安全及其重要的一步。風險分析始于對需要保護的資產（物理資源、知識資源、時間資源、信譽資源等）的鑒別以及對資產威脅的潛在攻擊源的分析。采用等級保護策略可以有效的降低各種資產受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統結構和安全系統平臺，可以以低的安全代價換取高的安全強度。

3.2　一種保護重要秘密安全的方法

在具體實施過程中，根據計算機信息系統不同的安全等級要求，制定不同的等級保護策略，用最小的代價來保證計算機信息系統安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時參與才能生效，這時就需要將秘密分給多人掌管，并且必須有一定數目的掌管秘密的相關人員同時到場才能恢復這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

設秘密m被分成n個部分的信息，每一部分信息稱為一個子密鑰，由一個參與者持有，使得：

①由k(k<n)個或多于k個參與者所持有的部分信息可重構該消息m；

②由少于k個參與者所持有的部分信息無法重構消息m；

稱這種方案為（k，n）秘密分割門限方案，k稱為方案的門限值。

如果一個參與者或一組未經授權的參與者在猜測秘密m時，并不比局外人猜測該秘密m時有優勢。

③由少于k個參與者所持有的部分信息得不到秘密m的任何信息。

則稱這個方案是完整的，即（k，n）秘密分割門限方案是完整的。

其中最具代表性和廣泛應用的門限方案是基于中國剩余定理的門限方案。

通過這種秘密分割的方法就能達到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的（下轉第73頁）（上接第78頁）重要部位和場所的出入控制等方面。

3.3　具體措施

針對企業信息系統，應當健全針對各單位或業務部門在日常工作中產生和接觸的信息的敏感程度不同，區分等級，分門別類，堅持積極防御、綜合防范，探索和把握信息化與信息安全的內在規律，主動應對信息安全挑戰，力爭做到辦公方便與安全保密同時兼顧，實現信息化與信息安全協調發展，保證企業信息安全。

加強信息安全風險評估工作。建設和完善信息安全監控體系，提高對網絡安全事件應對和防范能力，防止有害信息傳播。高度重視信息安全應急處置工作，健全完善信息安全應急指揮和安全通報制度，不斷完善信息安全應急處置預案。從實際出發，促進資源共享，重視災難備份建設，增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。

4　結束語

隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領域的研究之中。然而當今的現狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經出現且危害較大的一些安全問題提出相應的解決方案，還應該站在安全領域的前沿，積極地投身去防御各種可能會引發安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術的發展帶來的便捷。

參考文獻

［1］胡道元,閔京華.網絡安全[M].清華大學出版社,2007.

［2］baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級分類[OL].

［3］baike.baidu.com/view/488448.htm.ITSEC[OL].

［4］楊波.現代秘密學[M].2版.清華大學出版社,2007.

［5］baike.baidu.com/view/21730.htm#sub5031999.CC國際通用標準[OL].

篇6

【 關鍵詞 】 信息安全；等級保護；風險評估

Information Security Hierarchy Protection and Risk Assessment

Dai Lian-fen

（China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725）

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 風險評估是等級保護建設工作的基礎

等級保護測評中的差距分析是按照等保的所有要求進行符合性檢查，檢查信息系統現狀與國家等保要求之間的符合程度。風險評估作為信息安全工作的一種重要技術手段，其目標是深入、詳細地檢查信息系統的安全風險狀況，比差距分析結果在技術上更加深入。為此，等級保護與風險評估之間存在互為依托、互為補充的關系，等級保護是國家一項信息安全政策，而風險評估則是貫徹這項制度的方法和手段，在實施信息安全等級保護周期和層次中發揮著重要作用。

風險評估貫穿等級保護工作的整個流程，只是在不同階段評估的內容和結果不一樣。《信息系統安全等級保護實施指南》將等級保護基本流程分為三個階段：定級，規劃與設計，實施、等級評估與改進。在第一階段中，風險評估的對象內容是資產評估，并在此基礎上進行定級。在第二階段中，主要是對信息系統可能面臨的威脅和潛在的脆弱性進行評估，根據評估結果，綜合平衡安全風險和成本，以及各系統特定安全需求，選擇和調整安全措施，確定出關鍵業務系統、子系統和各類保護對象的安全措施。在第三個階段中，則涉及評估系統是否滿足相應的安全等級保護要求、評估系統的安全狀況等，同時根據結果進行相應的改進。

等級保護所要完成的工作本質就是根據信息系統的特點和風險狀況,對信息系統安全需求進行分級, 實施不同級別的保護措施。實施等級保護的一個重要前提就是了解系統的風險狀況和安全等級, 所以風險評估是等級保護的重要基礎與依據。

2 等級保護建設過程中如何有效地結合風險評估

2.1 以風險評估中資產安全屬性的重要度來劃分信息系統等級

在公安部等四部局聯合下發了《信息安全等級保護的實施意見》公通字2004第66號文中，根據信息和信息系統的重要程度，將信息和信息系統劃分為了五個等級自主保護級、指導保護級、監督保護級、強制保護級和?？乇Ｗo級。實際上對信息系統的定級過程，也就是對信息資產的識別及賦值的過程。在國家的《信息系統安全等級保護定級指南》中，提出了對信息系統的定級依據，而這些依據基本的思想是根據信息資產的機密性、完整性和可用性重要程度來確定信息系統的安全等級，這正是風險評估中對信息資產進行識別并賦值的過程：對信息資產的機密性進行識別并賦值；對信息資產的完整性進行識別并賦值；對信息資產的可用性進行識別并賦值。從某種意義上來說，信息系統(不是信息)的安全等級劃分，實際上也是對殘余風險的接受和認可。

2.2 以風險評估中威脅程度來確定安全等級的要求

在等級保護中，對系統定級完成后，應按照信息系統的相應等級提出安全要求，安全要求實際上體現在信息系統在對抗威脅的能力與系統在被破壞后，恢復的速度與恢復的程度方面。而這些在風險評估中，則是對威脅的識別與賦值活動；脆弱性識別與賦值活動；安全措施的識別與確認活動。對于一個安全事件來說，是威脅利用了脆弱性所導致的，在沒有威脅的情況下，信息系統的脆弱性不會自己導致安全事件的發生。所以對威脅的分析與識別是等級保護安全要求的基本前提，不同安全等級的信息系統應該能夠對抗不同強度和時間長度的安全威脅。

2.3 以風險評估的結果作為等級保護建設的安全設計的依據

在確定信息系統的安全等級和進行風險評估后，應該根據安全等級的要求和風險評估的結果進行安全方案設計，而在安全方案設計中，首要的依據是風險評估的結果，特別是對威脅的識別，在一些不存在的威脅的情況下，對相應的脆弱性應該不予考慮，只作為殘余風險來監控。對于兩個等級相同的信息系統，由于所承載業務的不同，其信息的安全屬性也可能不同，對于需要機密性保護的信息系統，和對于一個需要完整性保護的信息系統，保護的策略必須是不同，雖然它們可能有相同的安全等級，但是保護的方法則不應該是一樣的。所以，安全設計首先應該以風險評估的結果作為依據，而將設計的結果與安全等級保護的要求相比較，對于需要保護的必須符合安全等級要求，而對于不需要保護的則可以暫不考慮安全等級的要求，而對于一些必須高于安全等級要求的，則必須依據風險評估的結果，進行相應高標準的設計。

3 結束語

風險評估為等級保護工作的開展提供基礎數據，是等級保護定級、建設的實際出發點，通過安全風險評估，可以發現信息系統可能存在的安全風險，判斷信息系統的安全狀況與安全等級保護要求之間的差距，從而不斷完善等級保護措施。文章對等級保護工作中如何結合信息安全風險評估進行了有益的探索，為有效地支撐計算機信息系統等級保護建設的順利進行提供了參考。

參考文獻

[1] 吳賢.信息安全等級保護和風險評估的關系研究.信息網絡安全，2007.

[2] 馮登國,張陽,張玉清.信息安全風險評估綜述.通信學報，2004.

篇7

關鍵詞：等級保護；信息安全；風險評估

中圖分類號：TP309 文獻標識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發展，計算機網絡與信息技術在各個行業都得到了廣泛應用，對信息系統進行風險分析和等級評估，找出信息系統中存在的問題，對其進行控制和管理，己成為信息系統安全運行的重點。

一、信息系統安全

信息安全的發展大致為以下幾個階段，20世紀40-70年代，人們通過密碼技術解決通信保密，保證數據的保密性和完整性；到了70-90年代，為確保信息系統資產保密性、完整性和可用性的措施和控制，采取安全操作系統設計技術；90年代后，要求綜合通信安全和信息系統安全，確保信息在存儲、處理和傳輸過程中免受非授權的訪問，防止授權用戶的拒絕服務，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統資產，保障組織機構使命的執行，綜合技術、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統分等級實行安全保護，對信息系統中發生的信息安全事件等分等級響應、處置，對設備設施、運行環境、系統軟件以及網絡系統按等級管理。風險評估按照風險范疇中設定的相關準則進行評估計算，同時結合信息安全管理和等級保護要求來實施。現在越來越注重將安全等級策略和風險評估技術相結合的辦法進行信息系統安全管理，國內2007年下發《信息安全等級保護管理辦法》，規范了信息安全等級保護的管理。ISO/IEC 27000是英國標準協會的一個關于信息安全管理的標準[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標系統的保護等級，是將等級保護合理地運用于具體信息系統的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統安全保護等級劃分準則》（GB 17859）將我國信息系統安全等級分為5個級別，以第1級用戶自主保護級為基礎，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數據，實施訪問控制，以免其他用戶對數據的非法讀寫和破壞。

第二級：系統審計保護級，使用機制來鑒別用戶身份，阻止非授權用戶訪問用戶身份鑒別數據。

第三級：安全標記保護級，提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述。

第四級：結構化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統具有相當的抗滲透能力。

第五級：訪問驗證保護級，訪問監控器仲裁主體對客體的全部訪問，具有極強的抗滲透能力。

四、信息系統定級

為提高我國基礎信息網絡和重要信息系統的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室定于2007年7月至10月在全國范圍內組織開展重要信息系統安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

2.鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通等重要信息系統。

3.市（地）級以上黨政機關的重要網站和辦公信息系統。

4.涉及國家秘密的信息系統。各行業根據行業特點指導本地區、本行業進行定級工作，保障行業內的信息系統安全。

五、等級保護在行業中應用

（一）等級保護在電力行業信息安全中的應用

國家電網公司承擔著為國家發展電力保障的基本使命，對電力系統的信息安全非常重視，已經把信息安全提升到電力生產安全的高度，并陸續下發了《關于網絡信息安全保障工作的指導意見》和《國家電網公司與信息安全管理暫行規定》。

（二）電信網安全防護體系研究及標準化進展

《國家信息化領導小組關于加強信息安全保障工作的意見》和《2006~2020年國家信息化發展戰略》的出臺，明確了我國信息安全保障工作的發展戰略[5]。文中也明確了“國家公用通信網”包括通常所指“基礎電信網絡”、“移動通信網”、“公用互聯網”和“衛星通信網”等基礎電信網絡。將安全保障的工作落實到電信網絡，充分研究安全等級保護、安全風險評估以及災難備份及恢復三部分內容，將三部分工作有機結合，互為依托和補充，共同構成了電信網安全防護體系。

六、結束語

安全等級保護是指導信息系統安全防護工作的基礎管理原則，其核心內容是根據信息系統的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業出版社,2006,36-89

[2]ISO27001.信息安全管理標準[S].2005

[3]GB17859計算機信息系統安全保護等級劃分準則[S].1999

[4]關于開展全國重要信息系統安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

篇8

【關鍵詞】安全生產；安全生產控制指標；標準初始風險等級；分級風險動態評估；風險動態控制

隨著我國經濟的快速發展，企業事故總量依然很大，生產安全形勢依然十分嚴峻。隨著企業生產任務的加重，安全生產同樣面臨巨大挑戰。企業安全管理模式經歷了事故管理模式、缺陷管理模式、風險管理模式三個階段。企業有效開展安全生產風險管理，能夠促進決策的科學化、合理化，減少決策失誤的風險，能為企業提供安全的經營環境，保障企業經營目標的順利實現，促進企業經營效益的提高。探索性地恰當運用風險管理的理論與方法，已成為關注的一個熱點，其對提升企業管理水平、加強安全保障、創造更好的經濟社會效益具有十分重要的意義。

1安全生產風險管理

安全生產風險是指在生產過程中可能出現的與勞動作業息息相關的，不以人的意志為轉移的，突然發生的，可能對員工的人身造成傷害、對設備造成損壞或對環境造成污染的因素[1]。企業在生產作業過程中面臨著許多安全生產風險，這些風險可能來自日常的生產活動，也可能來自突發的環境變化，這些風險都有可能危害到員工的人身安全、設備及財產的完好，甚至會影響到企業、國家的利益。因此，安全生產風險管理成為了企業實施預防為主的重要手段之一。風險管理是以靜態風險和動態風險為對象的全面風險管理[2]。而實際生產過程中，風險管理具有生命周期性，在實施過程的每一階段，均應進行風險管理，并根據風險變化狀況及時調險應對策略，實現全生命周期、全過程的動態風險管理。

2風險動態管理

目前，國內企業大多采用“自上而下”的安全監管工作模式，但在這樣的模式中，企業的少數監管人員難以切實有效的管理好多數的員工，因此采用“由下至上”的風險動態評估思想，從根本上轉變企業現行的被動式的“從上而下”的安全監管工作模式。在風險動態評估過程中，引入了“標準初始風險等級”概念，即假設人的行為良好和作業環境改善后的安全狀態（可認為僅指設備設施的安全狀態）。運用風險矩陣法評估確定最基層辨識點標準初始風險等級，在此基礎上，逐級確定企業各班組、各工段、各車間，直至整個企業的標準初始風險等級。同時，將目前企業實行的“自上而下”、相對靜態的安全生產控制指標量化和考核制度相結合，形成了上下聯動、動靜結合的分級動態評估及控管網絡。通過以上所述的風險動態管理過程，各級組織管理層都能清楚掌握本級風險發生變化是由下級的某個或某幾個基層辨識點風險變化造成的，為其安全監管提供最有效的基層動態監控數據；同時，也讓基層作業人員清楚了解自身處于何種風險狀態，強化其風險意識和認知。風險動態管理主要包括風險動態分析、風險動態評估和風險動態控制三個過程，企業進行動態風險管理的流程。

3風險動態分析

風險辨識的目的是確定危險的種類和危險的來源，是風險分析和風險評估的主要依據，更是風險管理成敗的基礎，如果風險辨識不全面不細致，風險管理就會留下死角，而這些風險管理上的盲點必將導致風險管理的失敗。根據事故致因基本理論，企業根據人因失誤的危險、設備的危險、物質的危險、環境的危險和管理的危險五個方面對企業歷年事故進行事故致因因素辨識與分析，在此基礎上，通過踏勘分析、滾動修改完善的形式，設計出人、機、物、環、管等五個事故致因因素的信息采集項目[3]，科學制定切合企業自身特點的辨識點風險動態分析表。同時，采用風險矩陣法評估確定各辨識點的風險等級[4-5]，不同企業可根據自身情況劃分不同的風險等級，例如將風險等級劃分為三級，即高風險、中風險、低風險。

險動態評估

4.1建立分級風險動態評估模型

由于客觀情況是在不斷的變化，風險的性質和情況也會隨之變化[1]，因此在充分認識和了解研究對象具體情況的基礎上，在不同條件下，選定最佳的管理技術和方法，并在運用過程中，根據具體情況定期或不定期地進行評估，以達到預期的風險管理目標效果。按照辨識點、班組、工段、車間、企業五個級別搭建風險評估體系，即由最基層辨識點風險開始，逐級構建不同的評估模型和計算方法，推進風險管理進班組到崗位。不同企業的組織結構分級情況及生產實際情況有所不同，因此，科學且切合實際的分級風險動態評估模型建立如下：設Ri為各級風險值（i=1代表班組級，i=2代表工段級，i=3代表專業廠級，i=4代表公司級，下同），Xi為各級總辨識點中上升為中風險的辨識點數量（且僅為導致人員輕傷而非物損壞的辨識點）（Xi=Ni-Mi），Yi為各級總辨識點中上升為高風險的辨識點數量，Z剩i為各級分階段剩余指標數Z剩i=Z0i-Z'i（其中Z0i為分階段總指標數，Z'i為前期累積已發生指標數），Mi為各級標準初始風險等級的中風險點數量（與企業階段性計劃整改相關聯），Ni為各級階段風險狀態的中風險點數量。（1）在實際運用時，應從下至上逐級求得各級風險動態值，并將已評估出的下一級的風險值作為評估上一級整體風險時的一個辨識點，例如由班組中各崗位辨識點風險值求得班組整體風險，又由工段中各班組風險值求得工段整體風險（即評估班組時辨識點為各崗位，評估工段時辨識點為各班組），以此類推，最終得出企業整體安全生產風險動態值。（2）當Xi＜0，即通過相應整改，各級別中某些風險點的風險級別下降。（3）當Z'i＞Z0i時，應對Z0i指標進行修正，修正后的指標為Z'oi，則：本級修正：Z0i＜Z'i≤Z總i，則Z'oi=Z總i-Z'i，此修正為必須修正；上級修正：Z'i＞Z總i，可向上級申請機動指標。

4.2確定各級標準初始風險等級

根據第3節中的辨識點風險動態分析表，在假設人的不安全行為處于良好狀態的前提下，結合設備設施安全狀態、作業環境可改善后的安全狀態，確定辨識點、班組、工段、車間、企業的標準初始風險等級，以此為標準，通過建立的模型可動態監測到風險的偏離。在確定標準初始風險等級時，采用了關聯及組合風險評價方法。風險等級相同：如有關聯或組合的若干個風險因素的風險等級相同，則最終的風險等級為該相同的風險等級；風險等級不同：如有關聯或組合的若干個風險因素的風險等級不同，則最終的風險等級取單一風險中風險等級最高的。如有必要，還應再升高一級。若按照以上兩種情況確定的風險等級仍然不能完全體現出該風險整體的嚴重程度，仍可繼續升級風險等級[6-7]。

4.3分解各級階段性安全生產控制指標

安全生產控制指標，是對安全生產情況實行定量控制和考核的有效手段[8]。在企業的年總安全生產控制指標數的基礎上，提出了本級階段性安全生產控制指標（Z0i），即根據本級生產飽和度（如安全生產工作目標、生產任務、季節特點等），同時結合歷年安全生產事故發生規律統計分析，按時間（月份或季度）分階段分解年總安全生產控制指標的指標，如圖2。通過階段性安全生產控制指標，建立了縱向到底、橫向到邊的安全管理網絡。在標準初始風險等級結合作業層實際情況的同時，階段性安全生產控制指標則結合了管理層的實際情況，使最后建立的分級風險動態評估模型具有實際的指導意義。

4.4評估各級動態風險等級

在確定各級標準初始風險等級和分解各級階段性安全生產控制指標的基礎上，再次運用辨識點風險動態分析表對最基層的各風險辨識點的風險等級進行動態評估，得出各風險辨識點的動態風險等級，然后，根據4.1中的分級風險動態評估模型進行逐級的動態評估，從而得出各級的動態風險等級。

5風險動態控制

通過逐級、動態的風險評估，企業將得到不同時間段各級的風險狀態：高風險、中風險、低風險。企業可根據不同的風險等級編制不同等級的風險控制實施方案。通過辨識點風險動態分析表和風險控制實施方案，企業各級管理人員不僅能夠清楚風險狀態及風險具體存在的地方，同時也能明確應采取的針對性措施，從而進行有效的風險動態控制，從而提高了企業各級的風險控制水平，且使各項風險控制措施得到有效落實。

6實例分析

基于某生產企業真實背景開展了安全生產風險動態管理研究。針對每個評估對象的特點，采用現場觀察、詢問、交談、查閱有關記錄、工作任務分析等方法，通過踏勘分析、滾動修改完善的形式，設計了人、機（物）、環、管等事故致因因素的信息采集項目，分別從如何正確選擇工器具、合理選擇作業方法、確定現場安全防控重點等方面提供了信息，并辨識出其生產過程中實際和潛在的危險源，共22個風險辨識點，通過一線人員工作經驗和風險矩陣法，對風險發生的可能性、風險發生的后果以及風險等級進行了初步判定。結合每個風險辨識點初步判定風險狀態，根據關聯及組合風險評價方法，綜合判定該企業的標準初始風險等級為中風險。通過統計該企業往年安全生產事故情況，分析出該企業易發生安全生產事故時段為5~8月和10~11月兩個時間段。根據該企業已確定的年總安全生產控制指標情況（4個輕傷），結合該企業生產任務實際情況以及易發生安全生產事故時段，確定該企業分階段安全生產控制指標。再次通過辨識點風險動態分析表分析，對最基層的各風險辨識點的風險等級進行動態評估。

經過為期一個月的生產運行后，該企業共有2個下降為低風險的辨識點，4個上升為中風險的辨識點，沒有上升為高風險的辨識點。結合對應的分階段安全生產控制指標，將動態風險等級和標準初始風險等級相對比，按照分級風險動態評估模型計算得出：Y=0且0＜X＜Z因此，該企業在該階段的風險等級為：中風險。此時，企業應綜合考慮生產任務和管理等因素，調動相關專業人員進行致因因素排查和整改，在可以采取相應措施降低風險的情況下，立即與一線工作人員協商積極、迅速展開措施使之降低或恢復初始風險狀態；如不能有效降低風險，開風險控制小組會議，提出強化的管理措施，達到風險動態控制的目的。

7結論

根據風險管理基本理論，緊密結合企業實際生產及管理情況，運用定量與定性相結合的方法，最終建立了科學且具有可操作性的分級風險動態評估模型。通過風險管理全過程，企業根據自身的組織結構和各級風險等級，采取風險控制實施方案進行分級控制，提高整個企業的風險警惕敏感性，并使得安全生產目標分解，各級安全責任分明，實現了企業的整體風險控制，有效減少了企業事故發生數量，減小了企業和社會的損失。

參考文獻

[1]陳少榮.安全生產風險管理與控制[M].北京:化學工業出版社,2013

[2]羅云,樊運曉,馬曉春.風險分析與安全評價（第二版）[M].北京:化學工業出版社,2013

[3]孫華山.安全生產風險管理[M].北京:化學工業出版社,2012

[4]李樹清,顏智,段瑜.風險矩陣法在危險有害因素分級中的應用[J].中國安全科學學報,2010,4(20):83-87

[5]黨興華,黃正超,趙巧艷.基于風險矩陣的風險投資項目風險評估[J].科技進步與對策,2006,(1):140-143

[6]何學秋,林柏泉,田水承,等.安全工程學[M].徐州:中國礦業大學出版社,2000

[7]隋鵬程,陳寶智,隋旭.安全原理[M].北京:化學工業出版社,2005