安全风险评估

1 概述编辑本段

安全风险评估：现代企业安全管理的必备手段

在一个企业中，诱发安全事故的因素很多，“安全风险评估”能为全面有效落实安全管理工作提供基础资料．并评估出不同环境或不同时期的安全危险性的重点，加强安全管理，采取宣传教育、行政、技术及监督等措施和手段，推动各阶层员工做好每项安全工作。使企业每位员工都能真正重视安全工作，让其了解及掌握基本安全知识，这样，绝大多数安全事故均是可以避免的。这也是安全风险评估的价值所在。

当任何生产经营活动被鉴定为有安全事故危险性时，便应考虑怎样进行评估工作，以简化及减少风险评估的次数来提高效率。安全风险评估主要由以下3个步骤所组成：识别安全事故的危害、评估危害的风险和控制风险的措施及管理。

第一个步骤：识别安全事故的危害

识别危害是安全风险评估的重要部分。若不能完全找出安全事故危害的所在，就没法对每个危害的风险作出评估，并对安全事故危害作出有效的控制。这里简单介绍如何识别安全事故的危害。

(1)危险材料识别一识别哪些东西是容易引发安全事故的材料，如易燃或爆炸性材料等，找出它们的所在位置和数量，处理的方法是否适当。

(2)危险工序识别一找出所有涉及高空或高温作业、使用或产生易燃材料等容易引发安全事故的工序，了解企业是否已经制定有关安全施工程序以控制这些存在安全危险的工序，并评估其成效。

(3)用电安全检查一电气安全事故是当今企业的一个带有普遍性的安全隐患，对电气的检查是每一个企业安全风险评估必不可少的一项内容。用电安全检查包括检查电气设备安装是否符合安全要求、插座插头是否严重超负荷、电线是否老化腐蚀、易燃工作场所是否有防静电措施、电器设备有无定期维修保养以避免散热不良产生热源等。

(4)工作场地整理一检查工场是否存在安全隐患，如是否堆积大量的可燃杂物(如纸张、布碎、垃圾等)，材料有否摆放错误，脚手架是否牢固等等。

(5)工作场所环境安全隐患识别一工作场所由设施、工具和人三者组成一个特定的互相衔接的有机组合的环境，往往因为三者之间的联系而可能将安全事故的危害性无限扩展。识别环境中的安全危险性十分重要，如一旦发生安全事故，人员是否能立即撤离，电源是否能立即切断等等。

(6)安全事故警报一找出工作场所是否有安全事故警报装置或安排，并查究它们能否操作正常。

(7)其它一留意工作场所是否有其他机构的员工在施工，例如：当装修工程进行，装修工人所使用的工具或材料均可增加安全隐患。

第二步骤：控制风险的措施

风险控制就是使风险降低到企业可以接受的程度，当风险发生时，不至于影响企业的正常业务运作。

1．选择安全控制措施

为了降低或消除安全体系范围内所涉及到的被评估的风险，企业应该识别和选择合适的安全控制措施。选择安全控制措施应该以风险评估的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。

安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。

通常，一个控制措施能够实现多个功能，功能越多越好。当考虑总体安全性时，应该考虑尽可能地保持各个功能之间地平衡，这有助于总体安全有效性和效率。

2．风险控制

根据控制措施的费用应当与风险相平衡的原则，企业应该对所选择的安全控制措施严格实施以及应用。达到降低风险的途径有很多种，下面是常用的几种手段：

1)免风险：比如：改善施工程序及工作环境等。

2)转移风险：比如：进行投保等。

3)减少威胁：比如：组织具有恶意的软件的执行，避免遭到攻击。

4)减少薄弱点：比如：对员工进行安全教育，提高员工的安全意识。

5)进行安全监控：比如：及时对发现的可能存在的安全隐患进行整改，及时做出响应。

3．可接受风险

任何生产在一定程度上都存在风险，绝对的安全是不存在的。当企业根据风险评估的结果，完成实施所选择的控制措施后，会有残余的风险。为确保企业的安全，残余风险也应该控制在企业可以接受的范围内。

风险接受是对残余风险进行确认和评价的过程。在实施了安全控制措施后，企业应该对安全措施的实施情况进行评审，即对所选择的控制措施在多大程度上降低了风险做出判断。对于残留的仍然无法容忍的风险，应该考虑增加投资。

风险是随时间而变化的，风险管理是一个动态的管理过程，这就要求企业实施动态的风险评估与风险控制，即企业要定期进行风险评估。一般而言，当出现以下情况时，应该重新进行风险评估：

1)当企业新增企业资产时；

2)当系统发生重大变更时；

3)发生严重安全事故时；

4)企业认为非常必要时。

一个企业要做到防患于未然，安全事故危害的风险评估工作是非常重要的，同时，要配合完善的监察和检讨制度，并有良好的记录。做好安全管理，是保护企业的宝贵人力资源、财产和信誉的上策

2 安全风险评估内容编辑本段

信御安全服务综合国内外相关标准，展现信息系统当前的安全现状，为下一步控制和降低安全风险、改善安全现状、实施信息系统的风险管理提供决策依据。

◆主机安全评估：对主机的配置、服务进行安全评估

◆系统安全评估：对各类计算机系统（Windows、Linux等）的配置、服务和安全防护能力进行评估

◆网络安全评估: 对网络设备、网络服务、网络拓扑以及Web应用等进行评估，得出评估报告

◆业务系统评估: 评估常见业务应用（ERP、OA、CRM等）系统

风险评估：就是你要做一件事之前你要想想你在这件事的时候会遇到什么样的问题，这些问题出现（发生）的概率各是多少，它们的出现会不会导致你的计划不能完成……等等的问题，就叫风险评估。这是对问题不乐观的一个预见，和效益分析相对。

风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。

风险评估工作的组成步骤：

1.描述系统特征

2.识别威胁（威胁评估）3识别脆弱性（脆弱性评估）4分析安全控制5确定可能性6分析影响、7确定风险、 8对安全控制提出建议、9记录评估结果

主要步骤：

一是识别安全事故的危害。武器装备、人员思想、操作程序、场地设置、民社情、天候条件二是评估危害的风险

三是控制风险的措施。1选择安全控制措施2风险控制：避免风险（改善程序、环境等）、转移风险、减少威胁（训前活动身体）、减少薄弱点（对战士进行安全教育、提高安全意识）、进行安全监控（发现问题及时响应纠治、传达其他官兵）3可接受风险：任何训练在一定程度上都存在风险，绝对安全是不存在的。当部队根据风险评估的结果完成实施所选择的控制措施后，会有残余的风险。为确保部队安全，残余风险也应该控制在部队可以接受的范围之内（射击过程中枪械故障、验枪走火）。

重新进行风险评估的时机：人员装备发生较大变动时、影响训练安全的因素增多时、发生严重安全事故时、部队认为非常必要时。

隐患治理：1、企业应对风险评价出的隐患项目,下达隐患治理通知,限期治理，做到定治理措施、定负责人、定资金来源、定治理期限。企业应建立隐患治理台帐。