前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:電子政務(wù) 信息安全
0 引言
隨著電子政務(wù)不斷推進(jìn),社會(huì)各階層對(duì)電子政務(wù)的依賴(lài)程度越來(lái)越高,信息安全的重要性日益突出,在電子政務(wù)的信息安全管理問(wèn)題中,基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估[1]模型是突出的熱點(diǎn)和難點(diǎn)問(wèn)題。本文試圖就這兩個(gè)問(wèn)題給出分析和建議。
1 電子政務(wù)信息安全的總體要求
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問(wèn)題日益凸顯,為了高效安全的進(jìn)行電子政務(wù),迫切需要搞好信息安全保障工作。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點(diǎn):
1.1 基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專(zhuān)網(wǎng)的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞。
1.2 數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。
1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下,只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪問(wèn)網(wǎng)絡(luò),并且能明確地限定其訪問(wèn)范圍,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要。
1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份。
2 電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來(lái)講,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上,同時(shí)具有完備的安全管理機(jī)制,并針對(duì)物理安全,數(shù)據(jù)存儲(chǔ)安全,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面,核心是要解決好權(quán)限控制問(wèn)題。為了解決授權(quán)訪問(wèn)的問(wèn)題, 通常是將基于公鑰證書(shū)(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(shū)(AC)的PMI(Privilege Management Infrastructure)結(jié)合起來(lái)進(jìn)行安全性設(shè)計(jì),然而由于一個(gè)終端用戶(hù)可以有許多權(quán)限, 許多用戶(hù)也可能有相同的權(quán)限集, 這些權(quán)限都必須寫(xiě)入屬性證書(shū)的屬性中, 這樣就增加了屬性證書(shū)的復(fù)雜性和存儲(chǔ)空間, 從而也增加了屬性證書(shū)的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問(wèn)題,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶(hù)端、驗(yàn)證服務(wù)器、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP 目錄服務(wù)器等實(shí)體組成,在該模型中:
2.1 終端用戶(hù):向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書(shū), 并與服務(wù)器雙向驗(yàn)證。
2.2 驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問(wèn)控制,是安全模型的關(guān)鍵部分。
2.3 應(yīng)用服務(wù)器: 與資源數(shù)據(jù)庫(kù)連接, 根據(jù)驗(yàn)證通過(guò)的用戶(hù)請(qǐng)求,對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理, 并把處理結(jié)果通過(guò)驗(yàn)證服務(wù)器返回給用戶(hù)以響應(yīng)用戶(hù)請(qǐng)求。
2.4 LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器, 一個(gè)存放公鑰證書(shū)(PKC)和公鑰證書(shū)吊銷(xiāo)列表(CRL),另一個(gè)LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書(shū)以及屬性吊銷(xiāo)列表ACRL。
安全管理策略也是電子政務(wù)安全體系的重要組成部分。安全的核心實(shí)際上是管理,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制訂的制度包括安全行政管理和安全技術(shù)管理。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí);安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)、密鑰的管理。
3 電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。
3.1 信息系統(tǒng)的安全定級(jí) 信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)、專(zhuān)控保護(hù)級(jí)五個(gè)安全等級(jí)。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)、系統(tǒng)特定安全保護(hù)要求和成本開(kāi)銷(xiāo)等因素,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全。
3.2 采用全面的風(fēng)險(xiǎn)評(píng)估辦法 風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子,其他文獻(xiàn),例如NIST SP800-30、AS/NZS 4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法,另外,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具,例如OCTAVE、CRAMM等。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南,從資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型。其中,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),其估價(jià)準(zhǔn)則依賴(lài)于對(duì)其影響的分析,主要從保密性、完整性、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性?xún)煞矫孢M(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng),主要對(duì)安全措施防范威脅、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息、安全措施信息,最終生成風(fēng)險(xiǎn)信息。
在確定風(fēng)險(xiǎn)評(píng)估方法后,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別。
4 結(jié)語(yǔ)
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中,要抓住其特點(diǎn),從技術(shù)、管理、策略角度設(shè)計(jì)完整的信息安全模型并通過(guò)科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。
參考文獻(xiàn):
[1]范紅,馮國(guó)登,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.
【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng);信息安全;風(fēng)險(xiǎn)評(píng)估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面,缺少安全評(píng)估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略,文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用。少數(shù)文獻(xiàn)對(duì)電力信息安全評(píng)估模型進(jìn)行了討論,但對(duì)于安全風(fēng)險(xiǎn)評(píng)估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險(xiǎn)分析需要考慮的內(nèi)容;文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評(píng)估模型,這種模型本質(zhì)上依賴(lài)于專(zhuān)家的經(jīng)驗(yàn),帶有主觀性;文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計(jì)的建模語(yǔ)言和定量化評(píng)估方法,但是并未對(duì)安全風(fēng)險(xiǎn)的評(píng)估模型進(jìn)行具體分析。
本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的相關(guān)工作,并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作在推動(dòng)行業(yè)信息安全保護(hù)方面帶給我們的啟示。
2 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估工作
隨著電網(wǎng)規(guī)模的日益擴(kuò)大,內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜,電網(wǎng)運(yùn)行對(duì)信息系統(tǒng)的依賴(lài)性不斷增加,對(duì)電力系統(tǒng)信息安全的要求也越來(lái)越高。因此,在電力行業(yè)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,研究電力信息安全問(wèn)題,顯得尤為必要。
根據(jù)國(guó)家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策,并根據(jù)實(shí)際業(yè)務(wù)情況,內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司(BJCA)對(duì)信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評(píng)估工作。評(píng)估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性?xún)蓚€(gè)方面,以解決電力信息系統(tǒng)面臨的的安全風(fēng)險(xiǎn)。
3 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的解決方案
通過(guò)對(duì)內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作,我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的解決方案。
4 電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程
電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一般流程。
(1) 前期準(zhǔn)備階段。本階段為風(fēng)險(xiǎn)評(píng)估實(shí)施之前的必需準(zhǔn)備工作,包括對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行規(guī)劃、確定評(píng)估團(tuán)隊(duì)組成、明確風(fēng)險(xiǎn)評(píng)估范圍、準(zhǔn)備調(diào)查資料等。
(2) 現(xiàn)場(chǎng)調(diào)查階段:實(shí)施人員對(duì)評(píng)估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查,收集數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素等。
(3) 風(fēng)險(xiǎn)分析階段:根據(jù)現(xiàn)場(chǎng)調(diào)查階段獲得的相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)姆治龇椒▽?duì)目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析。
(4) 策略制定階段:根據(jù)風(fēng)險(xiǎn)分析結(jié)果,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略,包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。
5 數(shù)據(jù)采集
在風(fēng)險(xiǎn)評(píng)估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類(lèi)。
(1) 調(diào)查表格。根據(jù)一定的采集目的而專(zhuān)門(mén)設(shè)計(jì)的表格,根據(jù)調(diào)查內(nèi)容、調(diào)查對(duì)象、調(diào)查方式、工作計(jì)劃的安排而設(shè)計(jì)。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。
(2) 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過(guò)技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。
(3) 信息系統(tǒng)資料。風(fēng)險(xiǎn)評(píng)估還需要通過(guò)查閱、分析、整理信息系統(tǒng)相關(guān)資料來(lái)收集相關(guān)資料。如:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級(jí)記錄、管理制度等。
a) 分析方法
風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于根據(jù)所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論,因此,分析方法的正確選擇是風(fēng)險(xiǎn)評(píng)估的核心。
結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐,我們認(rèn)為電力行業(yè)信息安全風(fēng)險(xiǎn)分析的方法可以分為三類(lèi)。
定量分析方法是指運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估,在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀風(fēng)險(xiǎn)值,典型的定量分析方法有因子分析法、聚類(lèi)分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。
定性分析方法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程。在實(shí)踐中,可以通過(guò)調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析,分析活動(dòng)會(huì)涉及來(lái)自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門(mén)的人員。
綜合分析方法中的安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。在某些情況下會(huì)要求采用定量方法,而在其他情況下定性的評(píng)估方法更能滿(mǎn)足組織需求。
表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。
b) 質(zhì)量保證
鑒于風(fēng)險(xiǎn)評(píng)估項(xiàng)目具有一定的復(fù)雜性和主觀性,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理,才能保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對(duì)整體項(xiàng)目的可控性,質(zhì)量保障活動(dòng)需要在評(píng)估項(xiàng)目實(shí)施中提供足夠的可見(jiàn)性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在內(nèi)蒙古電力風(fēng)險(xiǎn)評(píng)估的實(shí)踐中,設(shè)立質(zhì)量監(jiān)督員(或聘請(qǐng)獨(dú)立的項(xiàng)目監(jiān)理?yè)?dān)任)是一個(gè)有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn),通過(guò)記錄審核、流程監(jiān)理、組織評(píng)審、異常報(bào)告等方式對(duì)項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。
6 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估的啟示
為了更好地開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風(fēng)險(xiǎn)評(píng)估制度
信息安全風(fēng)險(xiǎn)管理是發(fā)達(dá)國(guó)家信息安全保障工作的通行做法。按照風(fēng)險(xiǎn)管理制度,適時(shí)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,或建立風(fēng)險(xiǎn)評(píng)估的長(zhǎng)效機(jī)制,將風(fēng)險(xiǎn)評(píng)估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來(lái),讓風(fēng)險(xiǎn)評(píng)估成為信息安全保障工作運(yùn)行機(jī)制的基石。
6.2 編制電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則
由于所有的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件,并沒(méi)有給出具體實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別方法、風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)定級(jí)方法等,因此建議在國(guó)標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估指南》的框架下,編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則,根據(jù)選用的或自定義的風(fēng)險(xiǎn)計(jì)算方法,,制各種模板,以在電力信息系統(tǒng)實(shí)現(xiàn)評(píng)估過(guò)程和方法的統(tǒng)一。
6.3 加強(qiáng)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)設(shè)施建設(shè),統(tǒng)一選配風(fēng)險(xiǎn)評(píng)估工具
風(fēng)險(xiǎn)評(píng)估工具是保障風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評(píng)估標(biāo)準(zhǔn)和評(píng)估方法,選擇配套的專(zhuān)業(yè)風(fēng)險(xiǎn)評(píng)估工具,向分支機(jī)構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測(cè)試等評(píng)估輔助工具,及向評(píng)估人員提供幫助的資產(chǎn)分類(lèi)庫(kù)、威脅參考庫(kù)、脆弱性參考庫(kù)、可能性定義庫(kù)、算法庫(kù)等評(píng)估輔助專(zhuān)家系統(tǒng)。
6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評(píng)估
由于評(píng)估過(guò)程本身的風(fēng)險(xiǎn)性,對(duì)于重要的實(shí)時(shí)性強(qiáng)、社會(huì)影響大的核心業(yè)務(wù)系統(tǒng)的評(píng)估,由電力公司統(tǒng)一制定評(píng)估方案、組織實(shí)施、指導(dǎo)加固整改工作。
6.5 以自評(píng)估為主,自評(píng)估和檢查評(píng)估相結(jié)合
自評(píng)估和檢查評(píng)估各有優(yōu)缺點(diǎn),要發(fā)揮各自?xún)?yōu)勢(shì),配合實(shí)施,使評(píng)估的過(guò)程、方法和風(fēng)險(xiǎn)控制措施更科學(xué)合理。自評(píng)估時(shí),通過(guò)對(duì)實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)算方法、評(píng)估結(jié)果、風(fēng)險(xiǎn)控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進(jìn)行分析,得出風(fēng)險(xiǎn)判斷。
6.6 風(fēng)險(xiǎn)評(píng)估與信息系統(tǒng)等級(jí)保護(hù)應(yīng)結(jié)合起來(lái)
信息系統(tǒng)等級(jí)保護(hù)若與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái),則可相互促進(jìn),相互依托。等級(jí)保護(hù)的級(jí)別是依據(jù)系統(tǒng)的重要程度和安全三性來(lái)定義,而風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過(guò)風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)。確定安全等級(jí)后,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果作為實(shí)施等級(jí)保護(hù)、安全等級(jí)建設(shè)的出發(fā)點(diǎn)和參考,檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。
參考文獻(xiàn)
[1] 魏曉菁, 柳英楠, 來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計(jì)算機(jī)安全,2004,6.
[2] 魏曉菁,柳英楠,來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化,2004,2(7).
[4] 梁運(yùn)華,李明,談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開(kāi)培,李俊娥. 一種安全的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù),2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估策略研究. 計(jì)算機(jī)安全,2007,6.
[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)分析和評(píng)估. 計(jì)算機(jī)安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評(píng)判法的電力系統(tǒng)信息安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統(tǒng)建模和定量安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2005,29(10).
作者簡(jiǎn)介:
[關(guān)鍵詞] 基礎(chǔ)地理;信息系統(tǒng);安全;風(fēng)險(xiǎn)評(píng)估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中圖分類(lèi)號(hào)] TP315 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2015)21- 0155- 03
1 引 言
風(fēng)險(xiǎn)是以一定的發(fā)生概率的潛在危機(jī)形式存在的可能性,而不是已經(jīng)存在的客觀結(jié)果或既定事實(shí)。風(fēng)險(xiǎn)管理是通過(guò)對(duì)風(fēng)險(xiǎn)的識(shí)別、衡量和控制,以最小的成本將風(fēng)險(xiǎn)導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。隨著信息化向縱深發(fā)展,基礎(chǔ)地理信息系統(tǒng)被廣泛應(yīng)用,但信息安全方面的威脅也大大增加,具體到市縣級(jí)基礎(chǔ)地理信息系統(tǒng)中存在各類(lèi)風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)有著自身的特點(diǎn),對(duì)系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風(fēng)險(xiǎn)是指系統(tǒng)本身的脆弱性在來(lái)自環(huán)境的威脅下而產(chǎn)生的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)會(huì)對(duì)信息系統(tǒng)核心資產(chǎn)的安全性、完整性和可用性造成破壞。對(duì)測(cè)繪行業(yè)信息安全風(fēng)險(xiǎn)的評(píng)估是進(jìn)行有效風(fēng)險(xiǎn)管理的基礎(chǔ),是對(duì)風(fēng)險(xiǎn)計(jì)劃和風(fēng)險(xiǎn)控制過(guò)程的有力支撐,而如何識(shí)別和度量風(fēng)險(xiǎn)成為一個(gè)難題,目前測(cè)繪地理信息行業(yè)沒(méi)有一個(gè)行業(yè)性安全評(píng)估類(lèi)或者安全管理類(lèi)規(guī)范標(biāo)準(zhǔn),通用安全評(píng)估規(guī)范在很多方面對(duì)于測(cè)繪地理信息系統(tǒng)復(fù)雜性和行業(yè)特點(diǎn)缺乏適用性,往往較難落地,為此提出市縣級(jí)國(guó)土資源基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究。
2 國(guó)內(nèi)外信息安全風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀
信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)歷了很長(zhǎng)一段的發(fā)展時(shí)期。風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也由最初簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類(lèi)型的純技術(shù)操作,逐漸過(guò)渡到技術(shù)與管理相結(jié)合的科學(xué)方法。由于信息安全問(wèn)題的突出重要性,以及發(fā)生安全問(wèn)題的后果嚴(yán)重性,目前評(píng)估工作已經(jīng)得到重視和開(kāi)展。國(guó)內(nèi)外很多學(xué)者都在積極投身于信息安全的研究,期望找到保護(hù)信息安全的盔甲。美國(guó)在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究與應(yīng)用獨(dú)占鰲頭,政府控管體制健全,己經(jīng)形成了較為完整的風(fēng)險(xiǎn)分析、評(píng)估、監(jiān)督、檢查問(wèn)責(zé)的工作機(jī)制。DOD作為風(fēng)險(xiǎn)評(píng)估的領(lǐng)路者,1970年就已對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估; 1999年,美國(guó)總審計(jì)局在總結(jié)實(shí)踐的基礎(chǔ)上,出版了相關(guān)文檔,指導(dǎo)美國(guó)組織進(jìn)行風(fēng)險(xiǎn)評(píng)估;2001年美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)推出SP800系列的特別報(bào)告中也涉及到風(fēng)險(xiǎn)評(píng)估的內(nèi)容;歐洲各國(guó)對(duì)信息安全風(fēng)險(xiǎn)一直采取“趨利避害”的安全策略,于2001-2003年完成了安全關(guān)鍵系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)項(xiàng)目CORAS,被譽(yù)為歐洲經(jīng)典。我國(guó)信息安全評(píng)估起步較晚,2003年7月,國(guó)信辦信息安全風(fēng)險(xiǎn)評(píng)估課題組啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)的編制工作;8月,信息安全評(píng)估課題組對(duì)我國(guó)信息安全工作的現(xiàn)狀進(jìn)行了調(diào)研,完成了相關(guān)的評(píng)估報(bào)告,總結(jié)了風(fēng)險(xiǎn)評(píng)估是信息安全的基礎(chǔ)性工作;2004年3月國(guó)家《信息安全風(fēng)險(xiǎn)評(píng)估指南》與《信息安全風(fēng)險(xiǎn)管理指南》的征求意見(jiàn)稿;2005年2月至9月,開(kāi)始了國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作;2007年7月我國(guó)頒布了《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984一2007)并于2007年11月1日實(shí)施;2008年4月22日,在國(guó)家信息中心召開(kāi)了《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》預(yù)制標(biāo)準(zhǔn)第二次研討會(huì),此次會(huì)議主要就標(biāo)準(zhǔn)工作組制定的《實(shí)施指南》目錄框架進(jìn)行了詳細(xì)研究與討論,《信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》作為GB/T 20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《信息安全風(fēng)險(xiǎn)管理規(guī)范》之后又一技術(shù)性研究課題,將充實(shí)信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理具體實(shí)施工作。
3 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究方法和手段
3.1 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究方法
市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息、脆弱性信息,最終生成風(fēng)險(xiǎn)信息。資產(chǎn)的評(píng)估主要從保密性、完整性、可用性三方面的安全屬性進(jìn)行影響分析,從資產(chǎn)的相對(duì)價(jià)值中體現(xiàn)了威脅的嚴(yán)重程度;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估;脆弱性的評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估;具體如下:
(1)資產(chǎn)評(píng)估。資產(chǎn)評(píng)估的主要工作就是對(duì)市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的資產(chǎn)進(jìn)行識(shí)別,確定所有的評(píng)估對(duì)象,然后根據(jù)評(píng)估的資產(chǎn)在業(yè)務(wù)和應(yīng)用流程中的作用對(duì)資產(chǎn)進(jìn)行分析,識(shí)別出其關(guān)鍵資產(chǎn)并進(jìn)行重要程度賦值。根據(jù)資產(chǎn)評(píng)估報(bào)告的結(jié)果,可以清晰的分析出市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)中各主要業(yè)務(wù)的重要性,以及各業(yè)務(wù)中各種類(lèi)別的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度,從而得出信息系統(tǒng)的安全等級(jí)。同時(shí),可以明確各業(yè)務(wù)系統(tǒng)的關(guān)鍵資產(chǎn),確定安全評(píng)估和保護(hù)的重點(diǎn)對(duì)象。
在此基礎(chǔ)上,建立針對(duì)市、縣、鄉(xiāng)三級(jí)基礎(chǔ)地理信息系統(tǒng)中的資產(chǎn)配置庫(kù),對(duì)資產(chǎn)的名稱(chēng)、類(lèi)型、屬性以及相互關(guān)系、安全級(jí)別、責(zé)任主體等信息進(jìn)行描述。
(2)威脅評(píng)估。威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。威脅識(shí)別的任務(wù)主要是識(shí)別可能的威脅主體(威脅源)、威脅途徑和威脅方式,威脅主體是指可能會(huì)對(duì)信息資產(chǎn)造成威脅的主體對(duì)象,威脅方式是指威脅主體利用脆弱性的威脅形式,威脅主體會(huì)采用威脅方法利用資產(chǎn)存在的脆弱性對(duì)資產(chǎn)進(jìn)行破壞。
在此基礎(chǔ)上,充分調(diào)研,分析現(xiàn)有記錄、安全事件、日志及各類(lèi)告警信息,整理本行業(yè)信息系統(tǒng)在物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)及管理方面面臨的安全威脅,形成風(fēng)險(xiǎn)點(diǎn)列表。
(3)脆弱性評(píng)估。脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn),它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面,這些都可能被各種安全威脅利用來(lái)侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。
通過(guò)研究,將建立本行業(yè)的涉及主要終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)及應(yīng)用等主要系統(tǒng)的基線庫(kù),從而為脆弱性檢測(cè)在“安全配置”方面提供指標(biāo)支撐。
(4)綜合風(fēng)險(xiǎn)評(píng)估及計(jì)算方法。風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性,導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性,即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在風(fēng)險(xiǎn)評(píng)估模型中,主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險(xiǎn)四個(gè)要素。每個(gè)要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價(jià)值,脆弱性的屬性是脆弱性被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性,風(fēng)險(xiǎn)的屬性是風(fēng)險(xiǎn)發(fā)生的后果。
綜合風(fēng)險(xiǎn)計(jì)算方法:根據(jù)風(fēng)險(xiǎn)計(jì)算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值×威脅可能性×弱點(diǎn)嚴(yán)重性,下表是綜合風(fēng)險(xiǎn)分析的舉例:
注:R表示風(fēng)險(xiǎn);A表示資產(chǎn);V表示脆弱性;T表示威脅;Ia表示資產(chǎn)發(fā)生安全事件后對(duì)組織業(yè)務(wù)的影響(也稱(chēng)為資產(chǎn)的重要程度);Va表示某一資產(chǎn)本身的脆弱性,L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。
風(fēng)險(xiǎn)的級(jí)別劃分為5級(jí)(見(jiàn)表1),等級(jí)越高,風(fēng)險(xiǎn)越高。
各信息系統(tǒng)風(fēng)險(xiǎn)值計(jì)算及總體風(fēng)險(xiǎn)計(jì)算則按照風(fēng)險(xiǎn)的不同級(jí)別和各級(jí)別風(fēng)險(xiǎn)的個(gè)數(shù)進(jìn)行加權(quán)計(jì)算,具體的加權(quán)計(jì)算方法如下。
風(fēng)險(xiǎn)級(jí)別權(quán)重分配:
極高風(fēng)險(xiǎn) 30%
高風(fēng)險(xiǎn) 25%
中風(fēng)險(xiǎn) 20%
低風(fēng)險(xiǎn) 15%
很低風(fēng)險(xiǎn) 10%
各級(jí)別風(fēng)險(xiǎn)個(gè)數(shù)對(duì)應(yīng)關(guān)系(即各級(jí)別風(fēng)險(xiǎn)相對(duì)于很低風(fēng)險(xiǎn)的個(gè)數(shù)換算):
極高風(fēng)險(xiǎn) 16
高風(fēng)險(xiǎn) 8
中風(fēng)險(xiǎn) 4
低風(fēng)險(xiǎn) 2
很低風(fēng)險(xiǎn) 1
風(fēng)險(xiǎn)計(jì)算公式R’=K(av,p,n)=av×p×n,其中,av代表各級(jí)別風(fēng)險(xiǎn)求平均后總和,p代表相應(yīng)的風(fēng)險(xiǎn)級(jí)別權(quán)重,n代表相應(yīng)的風(fēng)險(xiǎn)個(gè)數(shù)權(quán)重。
總體風(fēng)險(xiǎn)值=R’(極高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市縣級(jí)基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估規(guī)范研究的手段
(1)專(zhuān)家分析。對(duì)于已有的安全管理制度和策略,由經(jīng)驗(yàn)豐富的安全專(zhuān)家進(jìn)行管理方面的風(fēng)險(xiǎn)分析,結(jié)合江蘇省基礎(chǔ)地理信息系統(tǒng)安全建設(shè)現(xiàn)狀,指出當(dāng)前安全規(guī)劃和安全管理制度存在的不足,并給出安全建議。
(2)工具檢測(cè)。采用成熟的掃描或檢測(cè)工具,對(duì)于網(wǎng)絡(luò)中的服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進(jìn)行掃描評(píng)估;為了充分了解各業(yè)務(wù)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀及其安全威脅,因此需要利用基于各種評(píng)估側(cè)面的評(píng)估工具對(duì)評(píng)估對(duì)象進(jìn)行掃描評(píng)估,對(duì)象包括各類(lèi)主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等,掃描評(píng)估的結(jié)果將作為整個(gè)評(píng)估內(nèi)容的一個(gè)重要參考依據(jù)。
(3)基線評(píng)估。采用基線風(fēng)險(xiǎn)評(píng)估,根據(jù)本行業(yè)的實(shí)際情況,對(duì)信息系統(tǒng)進(jìn)行安全基線檢查,拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,找出其中的差距,得出基本的安全需求,通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂的安全基線,是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿(mǎn)足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。
(4)人工評(píng)估。工具掃描因?yàn)槠涔潭ǖ哪0?,適用的范圍,特定的運(yùn)行環(huán)境,以及它的缺乏智能性等諸多因素,因而有著很大的局限性;而人工評(píng)估與工具掃描相結(jié)合,可以完成許多工具所無(wú)法完成的事情,從而得出全面的、客觀的評(píng)估結(jié)果。人工檢測(cè)評(píng)估主要是依靠具有豐富經(jīng)驗(yàn)的安全專(zhuān)家在各服務(wù)項(xiàng)目中通過(guò)針對(duì)不同的評(píng)估對(duì)象采用顧問(wèn)訪談,業(yè)務(wù)流程了解等方式,對(duì)評(píng)估對(duì)象進(jìn)行全面的評(píng)估。
(5)滲透測(cè)試。在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中,結(jié)合外部滲透測(cè)試的方式發(fā)現(xiàn)系統(tǒng)中可能面臨的安全威脅和已經(jīng)存在的系統(tǒng)脆弱性。
一、企業(yè)各級(jí)信息管理部門(mén)職責(zé),主要分為總部信息部門(mén)和各分部信息管理部門(mén)進(jìn)行管理。
企業(yè)總部信息管理部門(mén)負(fù)責(zé)企業(yè)整體信息技術(shù)風(fēng)險(xiǎn)評(píng)估、統(tǒng)一建設(shè)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和總體層面信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,并對(duì)企業(yè)信息技術(shù)風(fēng)險(xiǎn)評(píng)估工作進(jìn)行指導(dǎo)和檢查。
各分部信息管理部門(mén)負(fù)責(zé)本單位信息技術(shù)風(fēng)險(xiǎn)評(píng)估工作,組織本單位層面信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,并將信息技術(shù)風(fēng)險(xiǎn)評(píng)估報(bào)告總部備案。
各級(jí)信息業(yè)務(wù)使用部門(mén)職責(zé)是在同級(jí)信息管理部門(mén)的組織下,參與和本部門(mén)業(yè)務(wù)相關(guān)的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作。
二、信息技術(shù)風(fēng)險(xiǎn)分類(lèi)及主要內(nèi)容
信息技術(shù)風(fēng)險(xiǎn)主要包括信息技術(shù)項(xiàng)目風(fēng)險(xiǎn)、信息技術(shù)服務(wù)連續(xù)性風(fēng)險(xiǎn)、信息資產(chǎn)風(fēng)險(xiǎn)、供應(yīng)商風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、戰(zhàn)略與新興技術(shù)風(fēng)險(xiǎn)等。
信息技術(shù)項(xiàng)目風(fēng)險(xiǎn)是指信息技術(shù)項(xiàng)目無(wú)法交付的風(fēng)險(xiǎn),包括因項(xiàng)目管理關(guān)鍵要素未能有效控制,導(dǎo)致項(xiàng)目延期、消耗資源超支、與計(jì)劃相比功能減少、交付產(chǎn)品未達(dá)標(biāo)準(zhǔn)、實(shí)施期間造成業(yè)務(wù)中斷等。
信息技術(shù)服務(wù)連續(xù)性風(fēng)險(xiǎn)是指由于信息系統(tǒng)的不可靠造成業(yè)務(wù)操作中斷,包括因信息技術(shù)服務(wù)水平過(guò)低等導(dǎo)致的宕機(jī)或系統(tǒng)響應(yīng)時(shí)間過(guò)長(zhǎng)等造成業(yè)務(wù)中斷。
信息資產(chǎn)風(fēng)險(xiǎn)是指未能有效保護(hù)與保存信息資產(chǎn),包括信息系統(tǒng)裝載的信息資產(chǎn)損毀、丟失以及不當(dāng)泄露等。
供應(yīng)商風(fēng)險(xiǎn)是指在信息技術(shù)項(xiàng)目交付和日常運(yùn)營(yíng)過(guò)程中,由于供應(yīng)商未能交付信息技術(shù)產(chǎn)品或服務(wù),或已交付但未達(dá)到標(biāo)準(zhǔn),對(duì)信息系統(tǒng)和服務(wù)造成即時(shí)或潛在的影響。
應(yīng)用風(fēng)險(xiǎn)主要指信息系統(tǒng)不能滿(mǎn)足關(guān)鍵業(yè)務(wù)需求及信息技術(shù)應(yīng)用故障,包括系統(tǒng)在操作性、功能性、可靠性、可維護(hù)性等方面存在缺陷對(duì)業(yè)務(wù)造成的負(fù)面影響。
基礎(chǔ)設(shè)施風(fēng)險(xiǎn)是指由于信息基礎(chǔ)設(shè)施不能正常運(yùn)行帶來(lái)的風(fēng)險(xiǎn),包括基礎(chǔ)設(shè)施構(gòu)件發(fā)生故障、替換不當(dāng)、配置不當(dāng)?shù)取?/p>
戰(zhàn)略與新興技術(shù)風(fēng)險(xiǎn)是指由于企業(yè)的信息技術(shù)能力有限,對(duì)戰(zhàn)略和新的技術(shù)環(huán)境缺乏足夠的適應(yīng)能力,包括信息技術(shù)總體規(guī)劃和信息技術(shù)架構(gòu)設(shè)計(jì)缺乏整體、戰(zhàn)略角度的考慮,缺乏靈活性等
三、信息技術(shù)風(fēng)險(xiǎn)評(píng)估方法
信息技術(shù)風(fēng)險(xiǎn)評(píng)估前期工作主要是針對(duì)信息技術(shù)風(fēng)險(xiǎn)評(píng)估對(duì)象收集相關(guān)的內(nèi)部、外部初始信息,進(jìn)行必要的篩選、提煉、對(duì)比、分類(lèi)、組合等,以支撐信息技術(shù)風(fēng)險(xiǎn)評(píng)估工作。信息技術(shù)風(fēng)險(xiǎn)評(píng)估工作由信息管理部門(mén)會(huì)同有關(guān)業(yè)務(wù)部門(mén)共同完成。
信息技術(shù)風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)識(shí)別是通過(guò)查找信息系統(tǒng)支撐的各業(yè)務(wù)單元、各項(xiàng)重要經(jīng)營(yíng)活動(dòng)及其重要業(yè)務(wù)流程,系統(tǒng)化地識(shí)別風(fēng)險(xiǎn)來(lái)源和風(fēng)險(xiǎn)類(lèi)別;風(fēng)險(xiǎn)分析是對(duì)識(shí)別出的風(fēng)險(xiǎn)及其特征進(jìn)行明確定義與描述,分析和描述風(fēng)險(xiǎn)發(fā)生的概率及風(fēng)險(xiǎn)發(fā)生的條件;風(fēng)險(xiǎn)評(píng)價(jià)是綜合資產(chǎn)的價(jià)值、資產(chǎn)面臨的威脅、威脅發(fā)生的可能性、現(xiàn)有控制體系已經(jīng)提供的保護(hù)等多種因素,按照風(fēng)險(xiǎn)測(cè)量方法和風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,評(píng)估風(fēng)險(xiǎn)對(duì)企業(yè)目標(biāo)的影響程度和風(fēng)險(xiǎn)的價(jià)值等。
信息技術(shù)風(fēng)險(xiǎn)評(píng)估要從戰(zhàn)略、運(yùn)營(yíng)、項(xiàng)目等多個(gè)層面進(jìn)行綜合分析。在戰(zhàn)略層面,主要關(guān)注信息技術(shù)能力與業(yè)務(wù)戰(zhàn)略的一致性、應(yīng)對(duì)新技術(shù)發(fā)展帶來(lái)的威脅等;在運(yùn)營(yíng)層面,關(guān)注危害信息系統(tǒng)及基礎(chǔ)設(shè)施有效性的風(fēng)險(xiǎn)、繞過(guò)系統(tǒng)安全措施的風(fēng)險(xiǎn)、造成重要資源損失或不可用的風(fēng)險(xiǎn)、違反法律法規(guī)的風(fēng)險(xiǎn)等;在項(xiàng)目層面,關(guān)注項(xiàng)目目標(biāo)不能達(dá)到時(shí)所帶來(lái)的后續(xù)風(fēng)險(xiǎn)等。
信息技術(shù)風(fēng)險(xiǎn)評(píng)估包括各類(lèi)風(fēng)險(xiǎn)之間的關(guān)系分析,以便發(fā)現(xiàn)各風(fēng)險(xiǎn)之間的自然對(duì)沖、風(fēng)險(xiǎn)事件之間的相關(guān)性等組合效應(yīng),從策略上對(duì)風(fēng)險(xiǎn)進(jìn)行統(tǒng)一集中管理
信息技術(shù)風(fēng)險(xiǎn)識(shí)別、分析和評(píng)價(jià)采用定性與定量相結(jié)合的方法。定性方法可采用問(wèn)卷調(diào)查、專(zhuān)家咨詢(xún)、情景分析、政策分析、行業(yè)標(biāo)桿比較、訪談和調(diào)查研究等。定量方法可采用統(tǒng)計(jì)推論、計(jì)算機(jī)模擬、失效模式與影響分析、事件樹(shù)分析等。
根據(jù)信息技術(shù)風(fēng)險(xiǎn)評(píng)估工作實(shí)際,可請(qǐng)有IT風(fēng)險(xiǎn)管理經(jīng)驗(yàn)的人員參加,以及聘請(qǐng)資質(zhì)、信譽(yù)好的專(zhuān)業(yè)機(jī)構(gòu)協(xié)助實(shí)施。
五、信息技術(shù)風(fēng)險(xiǎn)評(píng)估后續(xù)工作
信息技術(shù)風(fēng)險(xiǎn)評(píng)估后續(xù)工作主要包括制定風(fēng)險(xiǎn)管理策略、實(shí)施風(fēng)險(xiǎn)管理、持續(xù)跟蹤改進(jìn)等。
制定風(fēng)險(xiǎn)管理策略,主要是根據(jù)企業(yè)自身?xiàng)l件和外部環(huán)境,圍繞企業(yè)發(fā)展戰(zhàn)略,確定風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)承受度、風(fēng)險(xiǎn)管理有效性標(biāo)準(zhǔn),選擇適合的風(fēng)險(xiǎn)管理工具,并制定風(fēng)險(xiǎn)管理所需人力和財(cái)力資源的配置原則。
實(shí)施風(fēng)險(xiǎn)管理可通過(guò)風(fēng)險(xiǎn)承擔(dān)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)降低4種方法進(jìn)行。總部和分部信息管理部門(mén)在實(shí)施信息技術(shù)風(fēng)險(xiǎn)管理方面應(yīng)采取有效控制措施,盡量規(guī)避或降低信息技術(shù)風(fēng)險(xiǎn)。
持續(xù)跟蹤改進(jìn)主要指對(duì)信息技術(shù)風(fēng)險(xiǎn)實(shí)行動(dòng)態(tài)管理,總部和分部信息管理部門(mén)應(yīng)定期或不定期開(kāi)展風(fēng)險(xiǎn)識(shí)別、分析、評(píng)價(jià)工作,及時(shí)發(fā)現(xiàn)新的風(fēng)險(xiǎn)和原有風(fēng)險(xiǎn)的變化并進(jìn)行評(píng)估。
六、信息技術(shù)風(fēng)險(xiǎn)管理監(jiān)督、檢查
關(guān)鍵詞:調(diào)度安全;風(fēng)險(xiǎn)管理
Abstract: according to the years work experience in the work found that many potential safety problems, puts forward the safety of electric key management is to find out the unsafe ACTS, to the conduct of the safety risk assessment, according to the results of the evaluation to determine major hazard installation (not the risk to the) to make major hazard control measures can prevent or reduce accident risk.
Keywords: scheduling security; Risk management
中圖分類(lèi)號(hào):TM73文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
1危險(xiǎn)辨識(shí)和風(fēng)險(xiǎn)評(píng)估方法
1.1危險(xiǎn)辨識(shí)
人的行為對(duì)于電網(wǎng)安全非常重要,要特別重視人的因素在電網(wǎng)全中的重要性。依據(jù)國(guó)家標(biāo)準(zhǔn)GB/T 13816-1992《生產(chǎn)過(guò)程危險(xiǎn)有害因素分類(lèi)與代碼》的規(guī)定,生產(chǎn)過(guò)程中的危險(xiǎn)、有害因素可分為6類(lèi);電力調(diào)度工作中的危險(xiǎn)因素與其中第5類(lèi)危險(xiǎn)因素辯識(shí)密相關(guān),即行為性危險(xiǎn),其有害因素包括:指揮錯(cuò)誤(指揮失誤、違章?lián)]、其他指揮錯(cuò)誤);操作失誤(誤操作、違章作業(yè)、其他操作失誤);護(hù)失誤;其他錯(cuò)誤;其他行為性危險(xiǎn)和有害因素。
1.2風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是運(yùn)用安全系統(tǒng)工程的方法,對(duì)系統(tǒng)的安全性進(jìn)行定和定量的分析,以確認(rèn)系統(tǒng)發(fā)生危險(xiǎn)的可能性及其嚴(yán)重度。電力統(tǒng)常用作業(yè)條件風(fēng)險(xiǎn)性評(píng)價(jià)法(亦稱(chēng)格雷厄姆———金尼法)進(jìn)行定評(píng)估判定重大危險(xiǎn)(重大危險(xiǎn)源)。
作業(yè)條件風(fēng)險(xiǎn)性評(píng)價(jià)法主要是以與系統(tǒng)風(fēng)險(xiǎn)性有關(guān)的3種因指標(biāo)值的乘積來(lái)評(píng)價(jià)系統(tǒng)人員傷亡風(fēng)險(xiǎn)性的大小,其表達(dá)式為:D=L×E×C。
L-發(fā)生事故的可能性大小;E-人體暴露于危險(xiǎn)環(huán)境中的頻繁程;C-發(fā)生事故可能造成的后果;D-風(fēng)險(xiǎn)性分值。
事故發(fā)生的可能性L值:將L值最小定為0.1,最大定為10,在.1~10之間定出若干個(gè)中間值,具體如下表1。
人體暴露于危險(xiǎn)環(huán)境中的頻繁程度E值:將E值最小定為0.5,最大定為10,在0.5~10之間定出若干個(gè)中間值,具體如下表2。
發(fā)生事故產(chǎn)生的后果C值:將需要救護(hù)的輕微傷害的C值規(guī)定為1,把造成多人死亡的C值規(guī)定為100,其他情況值為1~100之間,具體如下表3。
發(fā)生事故產(chǎn)生的后果D值:根據(jù)經(jīng)驗(yàn),把風(fēng)險(xiǎn)性分值劃分為5個(gè)等級(jí)(風(fēng)險(xiǎn)性等級(jí)的劃分憑經(jīng)驗(yàn)判斷,難免帶有局限性,應(yīng)用時(shí)需要根據(jù)實(shí)際情況予以修正),具體情況如下表4。
江西電力系統(tǒng)將風(fēng)險(xiǎn)等級(jí)3及以上的風(fēng)險(xiǎn)定為重大危險(xiǎn)源。
2電力調(diào)度安全風(fēng)險(xiǎn)及防范措施
電網(wǎng)調(diào)度運(yùn)行人員是電網(wǎng)的直接指揮者,承擔(dān)著管轄范圍內(nèi)電網(wǎng)安全、可靠、經(jīng)濟(jì)運(yùn)行的重任。各級(jí)調(diào)度人員在日常工作和電網(wǎng)異常事故處理時(shí)的每一項(xiàng)調(diào)度指令都必須正確,發(fā)生調(diào)度誤操作、事故誤處理,將會(huì)導(dǎo)致設(shè)備損壞、人身傷亡甚至電網(wǎng)振蕩解列和大面積停電事故,造成巨大的經(jīng)濟(jì)損失和不良社會(huì)影響。
根據(jù)危險(xiǎn)辯識(shí)和風(fēng)險(xiǎn)評(píng)估方法,調(diào)度誤操作和調(diào)度事故誤處理發(fā)生事故存在可能性,但不會(huì)經(jīng)常發(fā)生,(L)值取3;每天都有可能遇到操作和事故處理,(E)值取6;一旦發(fā)生調(diào)度誤操作和調(diào)度事故誤處理,事故產(chǎn)生的后果是非常嚴(yán)重的,(C)值取15。D=L×E×C=3×6×15=270危險(xiǎn)性分值D=270,處于160~320之間,危險(xiǎn)等級(jí)在3級(jí)以上,屬高度危險(xiǎn),所以,調(diào)度誤操作和調(diào)度事故誤處理為重大危險(xiǎn)源。
2.1調(diào)度誤操作
調(diào)度誤操作多為習(xí)慣性違章所致。調(diào)度人員應(yīng)提高安全風(fēng)險(xiǎn)意識(shí)和責(zé)任感,定期參加安全教育培訓(xùn),學(xué)習(xí)安全規(guī)程,嚴(yán)格執(zhí)行相關(guān)規(guī)定,杜絕習(xí)慣性違章行為。調(diào)度操作過(guò)程中具體防范措施如下:
2.1.1檢修工作票的審核與答復(fù)。認(rèn)真審核工作票填寫(xiě)是否規(guī)范,工作內(nèi)容、工作時(shí)間、設(shè)備雙重命名編號(hào)、特殊說(shuō)明等是否清楚、明確;合格的工作票按調(diào)度規(guī)程規(guī)定執(zhí)行工作答復(fù),不規(guī)范的工作申請(qǐng)票退回重填。
2.1.2擬寫(xiě)操作指令票。應(yīng)由有資格并熟悉系統(tǒng)運(yùn)行方式的調(diào)度員擬寫(xiě)操作指令票;擬寫(xiě)前應(yīng)認(rèn)真核對(duì)工作申請(qǐng)票,核對(duì)模擬盤(pán)及SCADA畫(huà)面,核對(duì)現(xiàn)場(chǎng)設(shè)備狀態(tài)(變電站接線方式、變壓器中性點(diǎn)投切、繼電保護(hù)投退對(duì)系統(tǒng)的影響及停送電設(shè)備對(duì)系統(tǒng)的影響);當(dāng)涉及兩級(jí)以上調(diào)度聯(lián)系操作時(shí),應(yīng)將電網(wǎng)方式和設(shè)備狀態(tài)、開(kāi)工許可與完工匯報(bào)寫(xiě)入調(diào)度操作指令票中。
2.1.3審核操作指令票。審票調(diào)度員應(yīng)是對(duì)所轄電網(wǎng)非常熟悉、且調(diào)度專(zhuān)業(yè)知識(shí)比較全面的主值及以上調(diào)度員;審核內(nèi)容包括操作指令是否規(guī)范、操作步驟是否合理、方式調(diào)整是否合理、是否按保護(hù)要求調(diào)整并考慮停電范圍的影響。
2.1.4預(yù)發(fā)操作指令票。經(jīng)審核合格的計(jì)劃工作,其調(diào)度指令票應(yīng)按規(guī)定時(shí)間提前預(yù)發(fā),如未按預(yù)定時(shí)間預(yù)發(fā),則該調(diào)度指令票作廢。不論在網(wǎng)上傳票或傳真方式傳票,都必須經(jīng)電話與現(xiàn)場(chǎng)核對(duì)預(yù)發(fā)票內(nèi)容;預(yù)發(fā)調(diào)令時(shí)應(yīng)互通單位、姓名、崗位、核對(duì)調(diào)令票編號(hào)和預(yù)發(fā)時(shí)間,并說(shuō)明是預(yù)發(fā)調(diào)令。
2.1.5調(diào)度操作。當(dāng)值調(diào)度員應(yīng)保持良好的精神狀態(tài)以防止誤操作;操作時(shí)注意當(dāng)時(shí)環(huán)境,盡量錯(cuò)開(kāi)電網(wǎng)負(fù)荷高峰時(shí)段、避開(kāi)惡劣天氣(雷、雨、霧、冰雪、大風(fēng)等);操作前調(diào)度員應(yīng)熟悉掌握電網(wǎng)事故應(yīng)急預(yù)案,根據(jù)電網(wǎng)情況做好危險(xiǎn)點(diǎn)分析及事故預(yù)想,明確操作目的并執(zhí)行“三核對(duì)”,掌握操作引起的潮流和電壓變化;操作應(yīng)按預(yù)計(jì)時(shí)間準(zhǔn)時(shí)操作,操作中嚴(yán)格執(zhí)行、發(fā)令、復(fù)誦、錄音、匯報(bào)制度,按調(diào)令票順序執(zhí)行并有監(jiān)護(hù)。遇特殊情況需更改操作順序時(shí)應(yīng)履行相關(guān)規(guī)定,一、二次部分配合操作應(yīng)及時(shí),區(qū)間調(diào)度配合操作時(shí)應(yīng)清楚移交系統(tǒng)、設(shè)備狀態(tài)。
2.1.6操作完畢。調(diào)令執(zhí)行完畢后,調(diào)度員應(yīng)明確調(diào)令執(zhí)行完畢時(shí)間,將設(shè)備狀態(tài)及時(shí)通知相關(guān)運(yùn)行部門(mén)或檢修單位,及時(shí)許可工作開(kāi)工。
2.2調(diào)度事故誤處理防范措施
2.2.1事故預(yù)防。根據(jù)負(fù)荷變化、氣候、季節(jié)以及現(xiàn)場(chǎng)設(shè)備檢修情況等做好當(dāng)班事故預(yù)想及危險(xiǎn)點(diǎn)分析;遇重大節(jié)日及特殊運(yùn)行方式下應(yīng)編制相應(yīng)事故預(yù)案。
2.2.2事故信息收集與初步分析判斷。調(diào)度員應(yīng)全面收集事故信息,了解事故情況,核對(duì)相關(guān)信息,準(zhǔn)確掌握當(dāng)時(shí)電網(wǎng)運(yùn)行方式,事故地點(diǎn)的天氣情況,清楚現(xiàn)場(chǎng)設(shè)備、保護(hù)、安全自動(dòng)裝置動(dòng)作狀況,清楚負(fù)荷性質(zhì),明確各級(jí)調(diào)度管轄范圍的設(shè)備,并按設(shè)備管轄歸屬及時(shí)匯報(bào)相關(guān)調(diào)度,根據(jù)需要協(xié)助和配合事故調(diào)查與處理。
2.2.3事故處理。根據(jù)已掌握的信息分析事故情況下的電網(wǎng)運(yùn)行方式及電網(wǎng)解環(huán)點(diǎn);考慮并注意事故處理過(guò)程中因電網(wǎng)運(yùn)行方式變化引起的潮流、電壓變化及設(shè)備運(yùn)行限額。按調(diào)度規(guī)程規(guī)定的電壓、頻率異常、系統(tǒng)振蕩等多種故障的事故處理原則進(jìn)行事故處理;使用設(shè)備雙重命名,使用統(tǒng)一的調(diào)度術(shù)語(yǔ)規(guī)范事故處理操作;盡快隔離故障點(diǎn),消除事故根源;嚴(yán)格執(zhí)行發(fā)令、復(fù)誦、錄音、匯報(bào)制度,并做好詳細(xì)記錄。
2.2.4調(diào)整運(yùn)行方式,防止事故擴(kuò)大。調(diào)度員應(yīng)按照穩(wěn)定原則,及時(shí)調(diào)整事故處理后的電網(wǎng)運(yùn)行方式,保持正常設(shè)備繼續(xù)運(yùn)行和對(duì)用戶(hù)的連續(xù)供電;盡快恢復(fù)對(duì)已停電用戶(hù)的供電,特別是廠用電和重要用戶(hù)的保安用電。
3結(jié)束語(yǔ)
在“三個(gè)體系”建設(shè)工作中,檔案安全體系是指檔案安全保障各個(gè)構(gòu)成要素有機(jī)的系統(tǒng)的相互聯(lián)系、相輔相成的總體,由檔案安全基礎(chǔ)設(shè)施、技術(shù)支撐、組織管理、法規(guī)標(biāo)準(zhǔn)等若干部分組成。檔案安全保障體系建設(shè)的任務(wù)非常繁重,涉及眾多方面,而擺在我們面前的一個(gè)緊迫問(wèn)題,顯然涉及如何從理論和實(shí)踐的角度把檔案安全體系建設(shè)的各項(xiàng)任務(wù)落到實(shí)處。在今年中國(guó)檔案學(xué)會(huì)相繼召開(kāi)的“三個(gè)體系建設(shè)高層論壇”和“2010中國(guó)檔案工作者年會(huì)”上,筆者曾就此作過(guò)一些探討,筆者以為,不妨把風(fēng)險(xiǎn)評(píng)估作為一個(gè)切入點(diǎn)和著力點(diǎn),帶動(dòng)檔案安全體系建設(shè)各項(xiàng)任務(wù)的全面落實(shí)。
檔案安全風(fēng)險(xiǎn)評(píng)估機(jī)制的建立
應(yīng)對(duì)危機(jī)、化解風(fēng)險(xiǎn),首先要能夠充分意識(shí)到危機(jī)和風(fēng)險(xiǎn)的存在。在檔案安全體系建設(shè)過(guò)程中,引入風(fēng)險(xiǎn)評(píng)估機(jī)制,研究制定檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系及其實(shí)施辦法,并且抓緊開(kāi)展相關(guān)試點(diǎn),適時(shí)在全國(guó)各級(jí)檔案部門(mén)全面推開(kāi),對(duì)于推動(dòng)檔案安全體系的科學(xué)健康構(gòu)建無(wú)疑具有重要意義。
我國(guó)有句俗話,叫做“風(fēng)起于青萍之末”,說(shuō)的是凡事均有先兆。海恩法則認(rèn)為:每一起嚴(yán)重事故的背后,必然有29次輕微事故和300起未遂先兆以及1000起事故隱患。人們對(duì)導(dǎo)致事故發(fā)生的隱患、征兆往往容易忽略,甚至發(fā)現(xiàn)后沒(méi)有引起足夠的重視,這是導(dǎo)致意想不到的安全事故發(fā)生的重要原因。
如何緊密跟蹤初起之“風(fēng)”,及時(shí)發(fā)現(xiàn)檔案管理中可能存在的安全隱患呢?我們應(yīng)當(dāng)及早研究和建立檔案安全風(fēng)險(xiǎn)評(píng)估機(jī)制,通過(guò)對(duì)檔案安全狀況開(kāi)展風(fēng)險(xiǎn)評(píng)估,指導(dǎo)各單位立足于防患未然,采取更加具有針對(duì)性的安全防范措施,預(yù)防安全事故發(fā)生,并為處置安全事故提供科學(xué)依據(jù)。
一個(gè)檔案部門(mén)如果發(fā)生安全事故,問(wèn)題往往出在管理工作的某個(gè)薄弱環(huán)節(jié)。短板理論認(rèn)為:“一只木桶可以裝多少水,取決于木桶上最短的那塊板?!币簿褪钦f(shuō),一只木桶再高再大,如果有一塊板不夠高,最終也只能由最短的那塊板決定木桶裝水的多少。也就是我們經(jīng)常所說(shuō)的主要矛盾,只有明白事務(wù)的薄弱環(huán)節(jié),抓住問(wèn)題的關(guān)鍵所在,抓住問(wèn)題的主要矛盾,才能抓住解決問(wèn)題的關(guān)鍵,以獲得最大限度的成功。對(duì)檔案館可能存在的安全風(fēng)險(xiǎn)進(jìn)行系統(tǒng)的、規(guī)范的、科學(xué)的評(píng)估,就是為了及時(shí)查找各個(gè)環(huán)節(jié)可能存在的漏洞或隱患,弄清楚本單位安全管理的“短板?所在,有針對(duì)性地及時(shí)把各種漏洞予以堵塞,把隱患消滅在萌芽狀態(tài)。
有些短板,可能不是一大塊,而只是一個(gè)小窄條,但其危害同樣是致命的。因此,千萬(wàn)不要小看一些似乎不打緊的不安全因素。“千里之堤,潰于蟻穴”,以及著名的“蝴蝶效應(yīng)”,說(shuō)的都是這個(gè)道理。殊不知,“蝴蝶在熱帶輕輕扇動(dòng)一下翅膀,遙遠(yuǎn)的國(guó)家就可能造成一場(chǎng)颶風(fēng)。”指的是在一個(gè)動(dòng)力系統(tǒng)中,初始條件下微小的變化能帶動(dòng)整個(gè)系統(tǒng)的長(zhǎng)期的巨大的連鎖反應(yīng)。檔案安全管理過(guò)程中存在的任何細(xì)微隱患,如果不加以及時(shí)察覺(jué)并及時(shí)消減,也有可能演變成大的漏洞,甚至直接導(dǎo)致災(zāi)難性后果。安全隱患,無(wú)論大小,必須一律加以解決,將其消滅在萌芽狀態(tài)。
檔案安全風(fēng)險(xiǎn)評(píng)估工作相關(guān)要求
所謂檔案安全風(fēng)險(xiǎn)評(píng)估(RiskAssessment),就是對(duì)檔案實(shí)體和檔案信息資源所面臨的威脅及其可能造成的影響的可能性的評(píng)估。檔案安全風(fēng)險(xiǎn)評(píng)估,是檔案部門(mén)風(fēng)險(xiǎn)管理的基礎(chǔ),是確定檔案安全需求的一個(gè)重要途徑,屬于檔案安全保障體系策劃的過(guò)程。
檔案安全風(fēng)險(xiǎn)評(píng)估工作的目標(biāo)是,通過(guò)檔案安全風(fēng)險(xiǎn)評(píng)估結(jié)果,找出檔案安全管理中的薄弱環(huán)節(jié),以此為基礎(chǔ),及時(shí)采取必要措施,并對(duì)各種要素加以調(diào)節(jié),以便最大可能地規(guī)避和降低風(fēng)險(xiǎn),使檔案盡可能地保持穩(wěn)定狀態(tài),而對(duì)已經(jīng)處于不安全或不穩(wěn)定狀態(tài)下的檔案使之達(dá)到新的穩(wěn)定狀態(tài)。
檔案安全風(fēng)險(xiǎn)評(píng)估工作的主要任務(wù)包括:識(shí)別檔案面臨的各種風(fēng)險(xiǎn);評(píng)估風(fēng)險(xiǎn)概率和可能帶來(lái)的不利影響;確定風(fēng)險(xiǎn)控制和消減的優(yōu)先等級(jí);提出和推薦風(fēng)險(xiǎn)防控與消減對(duì)策;等等。
識(shí)別檔案面臨的各種風(fēng)險(xiǎn),了解檔案安全威脅源。近些年來(lái),我國(guó)一些檔案部門(mén)遭受了地震、洪水、泥石流等自然災(zāi)害的直接破壞,一些檔案部門(mén)經(jīng)受了的沖擊,一些檔案部門(mén)暴露了基礎(chǔ)設(shè)施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相應(yīng)的后果。2009年3月德國(guó)科隆市檔案館坍塌,源于城市建設(shè)中的地鐵施工;2005年11月民族文化宮圖書(shū)和經(jīng)卷被水浸泡,源于基礎(chǔ)設(shè)施老化失修導(dǎo)致的水管爆裂??梢?jiàn),很多因素都有可能對(duì)檔案安全帶來(lái)直接或間接的風(fēng)險(xiǎn)而構(gòu)成檔案安全的威脅源。
評(píng)估風(fēng)險(xiǎn)概率和可能帶來(lái)的不利影響。在檔案部門(mén)可能遇到的安全風(fēng)險(xiǎn)中,有一些屬于系統(tǒng)性的風(fēng)險(xiǎn),而另一些屬于偶然性的風(fēng)險(xiǎn)。有一些屬于地域性的風(fēng)險(xiǎn),如沿海地區(qū)可能遇到的臺(tái)風(fēng)影響;還有一些屬于周期性的風(fēng)險(xiǎn),如長(zhǎng)年發(fā)生在我國(guó)南方一些地區(qū)的洪澇災(zāi)害風(fēng)險(xiǎn)等。要根據(jù)不同風(fēng)險(xiǎn)的類(lèi)型和特點(diǎn),確定風(fēng)險(xiǎn)控制和消減的優(yōu)先等級(jí)和措施強(qiáng)度,并提出和推薦相應(yīng)的風(fēng)險(xiǎn)防控與消減對(duì)策。
總之,在檔案安全風(fēng)險(xiǎn)評(píng)估過(guò)程中,需要注意確定所保管檔案的內(nèi)在價(jià)值;要梳理檔案面臨的潛在威脅源有哪些,導(dǎo)致威脅的問(wèn)題所在,威脅發(fā)生的可能性有多大;現(xiàn)有保管條件環(huán)境存在哪些弱點(diǎn)而可能易于遭受威脅攻擊,程度如何;一旦威脅事件發(fā)生,檔案會(huì)遭受怎樣的損失,或者面臨怎樣的不利影響等。
檔案安全風(fēng)險(xiǎn)評(píng)估的方法有基線評(píng)估法、詳細(xì)評(píng)估法、組合評(píng)估法等。在檔案安全風(fēng)險(xiǎn)評(píng)估的實(shí)際工作中,我們可以采用通常使用的一種比較簡(jiǎn)單的評(píng)估,方法,即基線評(píng)估法。采用基線風(fēng)險(xiǎn)評(píng)估(Baseline Rrisk Assessment),檔案館可以根據(jù)自己的實(shí)際情況,對(duì)檔案保管系統(tǒng)進(jìn)行安全基線檢查,(即拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,找出其中的差距),得出基本的安全需求,通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。所謂安全基線,就是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿(mǎn)足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。
檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系構(gòu)建
檔案安全基線評(píng)估途徑的采用,關(guān)鍵在于安全基線的選擇,也就是有必要
建立一個(gè)系統(tǒng)的、可操作性較強(qiáng)的檔案安全要求指標(biāo)體系。檔案安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系基本框架的搭建,要統(tǒng)籌考慮檔案實(shí)體安全、信息安全等各個(gè)方面。
近年來(lái),國(guó)家檔案行政管理部門(mén)對(duì)各省級(jí)國(guó)家檔案館和中央國(guó)家機(jī)關(guān)檔案部門(mén)開(kāi)展了檔案安全專(zhuān)項(xiàng)督察工作,重點(diǎn)檢查相關(guān)部門(mén)檔案安全基礎(chǔ)設(shè)施是否完備,檔案安全防護(hù)設(shè)施是否齊全,檔案安全規(guī)章制度是否健全,檔案安全日常管理是否到位。盡管該項(xiàng)工作還僅僅是初步的、定性的、粗放的,但無(wú)疑是檔案安全風(fēng)險(xiǎn)評(píng)估工作的濫觴,是一項(xiàng)有益的探索。我們現(xiàn)在的任務(wù)是,怎樣把這項(xiàng)工作做得更加定量化、更加精細(xì)化、更加科學(xué)化、更加規(guī)范化。這就需要在調(diào)查研究的基礎(chǔ)上建立一套系統(tǒng)全面、導(dǎo)向明確、易于評(píng)估、具有可操作性的要求、規(guī)范和約束性指標(biāo),作為我們開(kāi)展檔案安全風(fēng)險(xiǎn)評(píng)估的基線。檔案安全基線風(fēng)險(xiǎn)評(píng)估,需要的資源少,周期短,操作簡(jiǎn)單,可以直接而簡(jiǎn)單地實(shí)現(xiàn)基本的安全水平,并且滿(mǎn)足檔案館履行功能的基本要求。
在制定檔案安全基線相關(guān)要求時(shí),要重點(diǎn)關(guān)注檔案安全管理的環(huán)境條件、規(guī)章制度、安全措施、應(yīng)急和搶救機(jī)制、日常管理等主要方面。既要關(guān)注與檔案實(shí)體安全直接相關(guān)的要求,也要關(guān)注與檔案信息安全保密密切相關(guān)的規(guī)范。要通過(guò)對(duì)潛在的各種安全威脅源的精心梳理和相關(guān)需求分析,抓住關(guān)鍵和重點(diǎn),不能“披頭散發(fā)”,無(wú)所不包。與此同時(shí),要遴選和鎖定一些必要的剛性指標(biāo),如防火等級(jí),抗震等級(jí),溫濕度范圍,照度,空氣質(zhì)量,容災(zāi)等級(jí),等等,便于規(guī)范掌握和量化操作。
事實(shí)上,選擇安全基線可依據(jù)和利用的資源非常豐富,如《檔案法》及其實(shí)施辦法,保密法等。在檔案實(shí)體安全方面,有諸如《檔案館建筑設(shè)計(jì)規(guī)范》、《檔案館建設(shè)標(biāo)準(zhǔn)》、《檔案庫(kù)房技術(shù)管理暫行規(guī)定》、《檔案館防治災(zāi)害工作指南》,等等。在檔案信息安全方面,比如《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》、《信息安全風(fēng)險(xiǎn)管理指南》、《終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南》,等等。
Abstract: In the market competition intense situation, the enterprise besides the dependence product quality, the price, the post-sale service, the advertisement and so on increases the market share day by day, the selling on credit is also one important method. But under traditional account receivable management pattern, many enterprises, because sells on credit besets with a crisis finance, even goes bankrupt. But uses the financial risk management some experiences to carry on the risk management to enterprise's account receivable, without doubt is reduces the risk, to avoid a crisis's efficient path.
關(guān)鍵詞:風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)評(píng)估
Key word: Risk management risk recognition risk assessment
應(yīng)收賬款的風(fēng)險(xiǎn)是應(yīng)收賬款遭受損失的不確定性。這個(gè)不確定性主要是指損失是否發(fā)生以及損失的大小不確定。應(yīng)收賬款的風(fēng)險(xiǎn)管理就是識(shí)別、評(píng)估與控制企業(yè)應(yīng)收賬款損失的程序。
一、應(yīng)收賬款的風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別,是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的基礎(chǔ)。在進(jìn)行風(fēng)險(xiǎn)分析時(shí),找出企業(yè)應(yīng)收賬款面臨的風(fēng)險(xiǎn)因素,并將這些風(fēng)險(xiǎn)與企業(yè)銷(xiāo)售收款業(yè)務(wù)流程聯(lián)系起來(lái),以便發(fā)現(xiàn)各種潛在的風(fēng)險(xiǎn)。這里示范性地列出幾條:
1. 交易雙方產(chǎn)生的貿(mào)易糾紛;
2. 客戶(hù)經(jīng)營(yíng)管理不善,無(wú)力償還到期債務(wù);
3. 交易對(duì)象有意占用企業(yè)資金;
4. 交易對(duì)象蓄意的商業(yè)欺詐。
對(duì)于上面的每一種原因,我們還可以繼續(xù)追究下去,找出原因中的原因。例如,交易雙方產(chǎn)生的貿(mào)易糾紛,我們要看是合同中的特定條款約定不明確,還是產(chǎn)品質(zhì)量的缺陷導(dǎo)致顧客不滿(mǎn)意拒絕付款;而后三種情況則是要檢討信用政策和銷(xiāo)售收款的業(yè)務(wù)流程,在賒銷(xiāo)審批時(shí),是否對(duì)客戶(hù)的信用情況進(jìn)行評(píng)估,是否對(duì)沒(méi)有資格的客戶(hù)進(jìn)行賒銷(xiāo),是否給予客戶(hù)不適當(dāng)?shù)男庞妙~度,是否發(fā)生越權(quán)審批,是否存在銷(xiāo)售人員與客戶(hù)相互勾結(jié),損害企業(yè)利益的情況。
風(fēng)險(xiǎn)的識(shí)別離不開(kāi)相關(guān)部門(mén)的密切配合,尤其是銷(xiāo)售部門(mén)??蛻?hù)往往會(huì)有意隱瞞一些不愿透露的信息,有些客戶(hù)甚至故意提供虛假的資信狀況信息。而銷(xiāo)售人員直接與客戶(hù)交往,最容易了解客戶(hù)情況,發(fā)現(xiàn)客戶(hù)的異常行為。像拖欠員工工資、頻頻更換主管、開(kāi)始銷(xiāo)售不動(dòng)產(chǎn)等信息對(duì)我們識(shí)別風(fēng)險(xiǎn)非常有用,如果我們能對(duì)銷(xiāo)售人員進(jìn)行一定的培訓(xùn),提高他們捕捉客戶(hù)風(fēng)險(xiǎn)信息的能力,就可以幫助企業(yè)盡早發(fā)現(xiàn)風(fēng)險(xiǎn),避免造成損失。
二、應(yīng)收賬款的風(fēng)險(xiǎn)評(píng)估
在損失發(fā)生前,我們要評(píng)估發(fā)生損失的可能性,而在損失發(fā)生后,我們要評(píng)估損失的大小。
評(píng)估工作離不開(kāi)客戶(hù)信息的搜集。一般說(shuō)來(lái),我們可以閱讀客戶(hù)的財(cái)務(wù)報(bào)告、實(shí)地訪問(wèn)或電話聯(lián)絡(luò)、總結(jié)以往與客戶(hù)的交易經(jīng)驗(yàn)、借助大眾傳播媒介或?qū)I(yè)的信用中介機(jī)構(gòu)等等。
高風(fēng)險(xiǎn)的客戶(hù)發(fā)生損失的可能性和損失的程度都比較高,所以,有必要對(duì)客戶(hù)進(jìn)行風(fēng)險(xiǎn)等級(jí)的劃分,在此我們的依據(jù)是客戶(hù)的信用狀況。什么變量能夠用來(lái)說(shuō)明客戶(hù)的信用狀況呢?二十世紀(jì)初亞歷山大?沃爾提出沃爾評(píng)分法,他選擇了流動(dòng)比率、存貨周轉(zhuǎn)率、應(yīng)收賬款周轉(zhuǎn)率等七項(xiàng)財(cái)務(wù)比率,分別規(guī)定各項(xiàng)財(cái)務(wù)指標(biāo)在該模型中的比重,綜合為100分,然后確定標(biāo)準(zhǔn)比率相比較,評(píng)出每項(xiàng)指標(biāo)的得分,匯總求得總的得分。得分越高,客戶(hù)的風(fēng)險(xiǎn)等級(jí)越低,依此將客戶(hù)劃分為高、中、低風(fēng)險(xiǎn)等級(jí)。這只是一種定量模型,還有其他一些定量分析和定性分析的模型,企業(yè)可以根據(jù)自身情況選擇適當(dāng)?shù)哪P?。在進(jìn)行定量分析的時(shí)候,往往借助于客戶(hù)的財(cái)務(wù)報(bào)告,要注意報(bào)表本身的局限性,辨別其中可能存在被粉飾的情況.
在實(shí)際操作中,我們還需注意客戶(hù)的風(fēng)險(xiǎn)等級(jí)并不是一成不變的,市場(chǎng)瞬息萬(wàn)變,今天的低風(fēng)險(xiǎn)客戶(hù)明天可能就成了高風(fēng)險(xiǎn)客戶(hù),因此,要定期根據(jù)客戶(hù)的最新情況,對(duì)客戶(hù)的風(fēng)險(xiǎn)等級(jí)進(jìn)行再評(píng)定。
應(yīng)收賬款的損失包括逾期應(yīng)收賬款的資金成本,附加收賬費(fèi)用,壞帳損失,這些直接的損失比較顯而易見(jiàn)。另外,還有一些間接的損失,比如,企業(yè)賒銷(xiāo)時(shí)雖然能使企業(yè)產(chǎn)生較多的利潤(rùn), 但是并未真正使企業(yè)現(xiàn)金流入增加, 反而使企業(yè)不得不運(yùn)用有限的流動(dòng)資金來(lái)墊付各種稅金和費(fèi)用, 加速了企業(yè)的現(xiàn)金流出,主要表現(xiàn)為:
1.企業(yè)流轉(zhuǎn)稅的支出;
2. 所得稅的支出;
3.因資金周轉(zhuǎn)不靈而向銀行借債的利息費(fèi)用;
4.因拖欠供應(yīng)商貨款而無(wú)法取得購(gòu)貨的現(xiàn)金折扣,或因?yàn)橘Y信的降低而無(wú)法獲得較優(yōu)的購(gòu)貨優(yōu)惠。
如果同一時(shí)間發(fā)生多起損失,超出了企業(yè)對(duì)應(yīng)收賬款損失最大的承受能力,企業(yè)就可能陷入嚴(yán)重的財(cái)務(wù)危機(jī),甚至是破產(chǎn)。
三、應(yīng)收賬款的風(fēng)險(xiǎn)控制
所謂風(fēng)險(xiǎn)控制,是指在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)所存在的風(fēng)險(xiǎn)因素,積極采取控制措施,以消除風(fēng)險(xiǎn)因素或減少風(fēng)險(xiǎn)因素的危害性。
風(fēng)險(xiǎn)控制措施可以分為五種:避免風(fēng)險(xiǎn)、預(yù)防風(fēng)險(xiǎn)、降低損失、轉(zhuǎn)移風(fēng)險(xiǎn)和承擔(dān)風(fēng)險(xiǎn)。在損失發(fā)生前,我們可以避免、預(yù)防或轉(zhuǎn)移風(fēng)險(xiǎn),避免發(fā)生損失;在損失發(fā)生時(shí)和發(fā)生后,我們可以采取措施降低損失或承擔(dān)損失。下面依次介紹。
1、避免風(fēng)險(xiǎn)
避免風(fēng)險(xiǎn)又稱(chēng)規(guī)避風(fēng)險(xiǎn)。經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后,我們將某客戶(hù)評(píng)估為高風(fēng)險(xiǎn),那么我們可能就不給其賒銷(xiāo),這樣就規(guī)避了風(fēng)險(xiǎn)。不過(guò)在運(yùn)用這一措施的時(shí)候,需要注意以下三點(diǎn):
(1)當(dāng)風(fēng)險(xiǎn)很高或者管理風(fēng)險(xiǎn)的成本極高時(shí),規(guī)避風(fēng)險(xiǎn)是合適的;
(2)有些風(fēng)險(xiǎn)是不可避免的,比如自然災(zāi)害、瘟疫、經(jīng)濟(jì)危機(jī)等;
(3)不愿意承擔(dān)風(fēng)險(xiǎn),就沒(méi)有銷(xiāo)售的機(jī)會(huì),不能有風(fēng)險(xiǎn)就規(guī)避,現(xiàn)在只接受現(xiàn)金交易的企業(yè)是很少見(jiàn)的,因此,我們不能因噎廢食,應(yīng)收賬款雖然有風(fēng)險(xiǎn),但是我們可以有選擇地接受風(fēng)險(xiǎn),從而獲得與風(fēng)險(xiǎn)相匹配的收益。
2、預(yù)防風(fēng)險(xiǎn)
預(yù)防風(fēng)險(xiǎn)就是要降低發(fā)生損失的可能性。
首先,通過(guò)風(fēng)險(xiǎn)評(píng)估,我們可以劃分特定企業(yè)的風(fēng)險(xiǎn)等級(jí),如果能夠只和一些低風(fēng)險(xiǎn)的客戶(hù)交易,那么企業(yè)應(yīng)收賬款的綜合風(fēng)險(xiǎn)將會(huì)大幅度降低。
其次,營(yíng)銷(xiāo)管理大體上有五種觀念:生產(chǎn)觀念、產(chǎn)品觀念、推銷(xiāo)觀念、市場(chǎng)觀念和社會(huì)觀念。在我國(guó),大部分企業(yè)還停留在產(chǎn)品觀念和推銷(xiāo)觀念上,如果企業(yè)能夠采用市場(chǎng)營(yíng)銷(xiāo)觀念,把市場(chǎng)的需要放在首位,生產(chǎn)出滿(mǎn)足消費(fèi)者需求的產(chǎn)品,就能獲得較強(qiáng)的競(jìng)爭(zhēng)力,從而爭(zhēng)取到低風(fēng)險(xiǎn)的客戶(hù)。同時(shí),產(chǎn)品如果獲得終端消費(fèi)者的認(rèn)可,客戶(hù)也能盡快將產(chǎn)品銷(xiāo)售出去,從而使企業(yè)盡快收回貨款。
另外,在進(jìn)行風(fēng)險(xiǎn)識(shí)別的時(shí)候,我們發(fā)現(xiàn)很多風(fēng)險(xiǎn)其實(shí)是來(lái)源于企業(yè)銷(xiāo)售收款相關(guān)的內(nèi)部控制制度不健全,為此國(guó)家財(cái)政部出臺(tái)了《內(nèi)部控制規(guī)范―銷(xiāo)售與收款(試行)》及《財(cái)政部關(guān)于建立健全企業(yè)應(yīng)收賬款管理制度的通知》來(lái)指導(dǎo)和規(guī)范企業(yè)的銷(xiāo)售和收款行為,企業(yè)應(yīng)該在這些法規(guī)的指導(dǎo)下,建立健全相關(guān)的內(nèi)部控制制度,比如:
(1)嚴(yán)格賒銷(xiāo)審批制度。
在簽訂銷(xiāo)售合同前,信用部門(mén)或信用崗位要按照有關(guān)合同管理的規(guī)定,詳細(xì)審查對(duì)方的主體資格、經(jīng)營(yíng)范圍、資信及履約能力等情況,由企業(yè)法定代表人或財(cái)務(wù)經(jīng)理審閱合同文本,并由企業(yè)顧問(wèn)對(duì)合同的合法性、嚴(yán)密性進(jìn)行審查,確保合同規(guī)范有效,預(yù)防出現(xiàn)交易糾紛或者遭受商業(yè)欺詐。
(2)定期核對(duì)
財(cái)務(wù)部門(mén)定期與銷(xiāo)售部門(mén)核對(duì)回款記錄,重點(diǎn)監(jiān)控出現(xiàn)到期而沒(méi)有對(duì)方簽字的應(yīng)收賬款,并及時(shí)采取措施處理,避免出現(xiàn)不受法律保護(hù)的債權(quán)糾紛。
3、降低損失
當(dāng)企業(yè)有好的投資機(jī)會(huì),此時(shí)卻由于很多應(yīng)收賬款未能及時(shí)收回,沒(méi)有足夠的資金時(shí),可以利用應(yīng)收賬款進(jìn)行融資,主要有以下四條途徑:
(1)應(yīng)收賬款證券化
在我國(guó),一些外貿(mào)出口企業(yè)可實(shí)施出口應(yīng)收賬款跨國(guó)證券化,它是指將出口銷(xiāo)售形成的應(yīng)收賬款經(jīng)過(guò)組合包裝出售給國(guó)外的特殊目的載體,由其經(jīng)過(guò)信用增級(jí),從而在國(guó)際資本市場(chǎng)上發(fā)行資產(chǎn)支持債券,提前收回應(yīng)收賬款的一種融資方式。
(2)應(yīng)收賬款的抵借
應(yīng)收賬款的抵借是將企業(yè)的應(yīng)收賬款作為抵押品向銀行獲得借款的一種融資方式,分為整體抵借和特定抵借。尤其使用于中小型企業(yè),因?yàn)橹行⌒推髽I(yè)的信用地位與社會(huì)地位使其不但難以進(jìn)入直接融資市場(chǎng),間接融資也是困難重重,客觀上制約了中小企業(yè)優(yōu)勢(shì)的發(fā)揮。應(yīng)收賬款的抵借能夠滿(mǎn)足中小企業(yè)的資金需求,加速應(yīng)收賬款的周轉(zhuǎn)率。
(3) 委托專(zhuān)業(yè)機(jī)構(gòu)追討或采取仲裁、法律訴訟的形式
對(duì)于有能力付款卻惡意拖欠的客戶(hù),可以委托專(zhuān)業(yè)機(jī)構(gòu)追討應(yīng)收賬款,由其行使債權(quán)人的追討工作,如果還不行,就只好通過(guò)仲裁或法律訴訟來(lái)捍衛(wèi)自身的正當(dāng)權(quán)益了。
(4)在合同中約定所有權(quán)保留條款
根據(jù)我國(guó)《合同法》第134條規(guī)定:“當(dāng)事人可以在買(mǎi)賣(mài)合同中規(guī)定買(mǎi)受人未履行支付價(jià)款或其他義務(wù)的,標(biāo)的物所有權(quán)屬出賣(mài)人?!?這樣,只有客戶(hù)在付清全部貨款時(shí),才能取得貨物的所有權(quán),即使客戶(hù)破產(chǎn)了,由于該貨物的所有權(quán)仍然屬于企業(yè),不會(huì)作為破產(chǎn)財(cái)產(chǎn),從而很大程度上保障了應(yīng)收賬款的安全。
4、轉(zhuǎn)移風(fēng)險(xiǎn)
當(dāng)企業(yè)不愿意為某些應(yīng)收賬款承擔(dān)風(fēng)險(xiǎn)時(shí),就要考慮如何將風(fēng)險(xiǎn)轉(zhuǎn)移掉,有些相關(guān)機(jī)構(gòu)以其信息資源的優(yōu)勢(shì),可以參與到企業(yè)應(yīng)收賬款的處置中來(lái),通過(guò)主動(dòng)承擔(dān)風(fēng)險(xiǎn),參與企業(yè)所創(chuàng)價(jià)值的分配,主要有以下幾種方式:
(1)應(yīng)收賬款的無(wú)追索權(quán)讓售
就是把應(yīng)收賬款作為商品賣(mài)給金融機(jī)構(gòu),從而將風(fēng)險(xiǎn)轉(zhuǎn)移掉。在我國(guó),一些商業(yè)銀行大都只接受有追索權(quán)的應(yīng)收賬款融資業(yè)務(wù),但相信在不久的將來(lái),我國(guó)將會(huì)出現(xiàn)一批專(zhuān)門(mén)從事應(yīng)收賬款經(jīng)營(yíng)的公司,商業(yè)銀行的業(yè)務(wù)也將不僅僅局限于有追索權(quán)的應(yīng)收賬款融資業(yè)務(wù)。
(2)為特定的應(yīng)收賬款上保險(xiǎn)
雖然我國(guó)的保險(xiǎn)業(yè)目前尚未開(kāi)展這項(xiàng)業(yè)務(wù),但有風(fēng)險(xiǎn)的地方就會(huì)有保險(xiǎn),保險(xiǎn)業(yè)為應(yīng)收賬款提供保險(xiǎn)是遲早的事。
(3)取得第三方擔(dān)保
當(dāng)某客戶(hù)被評(píng)價(jià)為高風(fēng)險(xiǎn)等級(jí)時(shí),企業(yè)一般只與其進(jìn)行現(xiàn)金的交易,但是如果有第三方愿意為其提供擔(dān)保,承擔(dān)連帶責(zé)任的話,我們也應(yīng)該考慮對(duì)其采用賒銷(xiāo),一旦發(fā)生損失,我們可以對(duì)第三方進(jìn)行追討。
5、承擔(dān)風(fēng)險(xiǎn)
在風(fēng)險(xiǎn)評(píng)估時(shí),企業(yè)為每個(gè)客戶(hù)評(píng)定了風(fēng)險(xiǎn)等級(jí),并設(shè)定了信用額度,這便是企業(yè)愿意對(duì)某一客戶(hù)承擔(dān)的最大的賒銷(xiāo)風(fēng)險(xiǎn)額。在日常業(yè)務(wù)中,企業(yè)可以連續(xù)地接受某一客戶(hù)的訂單,只要對(duì)該客戶(hù)的賒銷(xiāo)額不超過(guò)其信用額度,就可以對(duì)其辦理賒銷(xiāo)業(yè)務(wù);一旦超過(guò)信用額度,除非經(jīng)企業(yè)有關(guān)部門(mén)批準(zhǔn),否則不能再對(duì)該客戶(hù)提供賒銷(xiāo)。它雖然不一定能夠提高客戶(hù)付款的及時(shí)性,但它可以限制客戶(hù)不付款引起的損失。企業(yè)應(yīng)定期對(duì)客戶(hù)的信用額度重新加以核定,使信用額度保持在企業(yè)所能承擔(dān)的風(fēng)險(xiǎn)范圍之內(nèi)。
關(guān)鍵詞:深基坑支護(hù);施工風(fēng)險(xiǎn);措施
Abstract: with the city construction and large public facilities construction of booming development, underground space development and use of the project as an important part of the construction of the foundation pit engineering is headed in the direction of the super, super deep development. The work of the deep foundation pit construction high technical requirements and dangerous factor is big, accidents often brings uncounted losses of life and property. Therefore, in deep foundation pit engineering implementation process, should make full scientific predictions may risk in, and effective risk analysis and control. This paper, based on his years of work experience of the construction of the foundation pit supporting structure's risk and its evaluation is discussed and studied, based on the construction of the concrete measures to deal with risk, so that the meaning of the experience.
Keywords: deep foundation pit supporting; Construction risk; measures
中圖分類(lèi)號(hào):TV551.4文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
引言
隨著改革開(kāi)放的發(fā)展,國(guó)家經(jīng)濟(jì)建設(shè)取得了長(zhǎng)足的進(jìn)步, 從而帶動(dòng)了巖土工程包括開(kāi)挖和支護(hù)工程技術(shù)的發(fā)展和進(jìn)步,至少在面的方面己是廣泛地鋪展。目前,各地基本建設(shè)中的各類(lèi)建筑朝著高、大、深、重等方面的發(fā)展勢(shì)頭仍方興未艾??梢灶A(yù)計(jì),基坑開(kāi)挖與支護(hù)技術(shù)的各個(gè)方面均將繼續(xù)得到全面而深入的應(yīng)用和推廣,各種支護(hù)型式和設(shè)計(jì)計(jì)算方法將會(huì)在“點(diǎn)”上更深入而形成“點(diǎn)深面廣”的發(fā)展勢(shì)態(tài)。城市建設(shè)迅速發(fā)展,深基坑支護(hù)結(jié)構(gòu)優(yōu)選問(wèn)題正在成為建筑工程界的熱點(diǎn)和難點(diǎn)問(wèn)題之一,深基坑支護(hù)開(kāi)挖風(fēng)險(xiǎn)大,影響因素多,條件復(fù)雜。與場(chǎng)地巖土工程條件,基坑周?chē)h(huán)境狀況,地下水條件,施工工序流程及監(jiān)測(cè)措施相關(guān),由于深基坑支護(hù)計(jì)算理論都是在某些簡(jiǎn)化假定的前提下建立,具有一定的局限性,多半依靠傳統(tǒng)理論和地區(qū)經(jīng)驗(yàn)進(jìn)行設(shè)計(jì)與施工深基坑工程是一個(gè)復(fù)雜的系統(tǒng)工程,其施工技術(shù)要求高、危險(xiǎn)系數(shù)大、發(fā)生事故時(shí)往往帶來(lái)難以估量的生命財(cái)產(chǎn)損失。因此,在深基坑工程實(shí)施過(guò)程中,應(yīng)充分科學(xué)地預(yù)測(cè)可能遇到的風(fēng)險(xiǎn),并進(jìn)行有效地風(fēng)險(xiǎn)分析與控制。本文結(jié)合自己多年的工作經(jīng)驗(yàn)隊(duì)基坑支護(hù)結(jié)構(gòu)施工的風(fēng)險(xiǎn)及其評(píng)價(jià)進(jìn)行了探討和研究,提出應(yīng)對(duì)施工風(fēng)險(xiǎn)的具體措施,以便具有借鑒之意義。
施工過(guò)程風(fēng)險(xiǎn)及評(píng)價(jià)
2.1施工過(guò)程風(fēng)險(xiǎn)評(píng)價(jià)的主要方法
基坑工程施工是城市基礎(chǔ)設(shè)施建設(shè)的關(guān)鍵環(huán)節(jié),也是勞動(dòng)安全與社會(huì)公共安全監(jiān)管的重點(diǎn),個(gè)別基坑發(fā)生或引發(fā)安全事故,除可能導(dǎo)致項(xiàng)目巨大的費(fèi)用、工期損失外,還會(huì)對(duì)項(xiàng)目參與各方帶來(lái)無(wú)法挽回的社會(huì)聲譽(yù)損失,昭示出基坑工程的嚴(yán)肅性和復(fù)雜性。因此,在深基坑工程實(shí)施前,應(yīng)充分科學(xué)地預(yù)測(cè)可能遇到的風(fēng)險(xiǎn),并進(jìn)行有效地風(fēng)險(xiǎn)分析與控制。現(xiàn)行的風(fēng)險(xiǎn)評(píng)估理論和風(fēng)險(xiǎn)評(píng)估技術(shù)主要集中在基于不確定性理論、概率及數(shù)理統(tǒng)計(jì)、模糊數(shù)學(xué)、決策理論等多種理論方法。目前,對(duì)基坑工程施工的風(fēng)險(xiǎn)評(píng)估工作還停留在定性和簡(jiǎn)單的定量評(píng)估水平上。
2.2 風(fēng)險(xiǎn)評(píng)估評(píng)價(jià)指標(biāo)體系及其權(quán)重
(1)風(fēng)險(xiǎn)評(píng)估評(píng)價(jià)指標(biāo)體系
風(fēng)險(xiǎn)評(píng)估指標(biāo)體系的設(shè)計(jì)直接關(guān)系到評(píng)價(jià)結(jié)果的客觀性、準(zhǔn)確性和有效性。要構(gòu)建一個(gè)合理的評(píng)價(jià)指標(biāo)體系,必須堅(jiān)持一定的原則。指標(biāo)體系應(yīng)能反映影響施工風(fēng)險(xiǎn)的各個(gè)方面,從不同的角度來(lái)反映被評(píng)價(jià)系統(tǒng)的主要特征和狀況,同時(shí)指標(biāo)選取應(yīng)該具代表性、典型性,避免意義相近、重復(fù)的指標(biāo)。根據(jù)上述指標(biāo)體系設(shè)計(jì)原則,建立了深基坑施工風(fēng)險(xiǎn)評(píng)估第一層次指標(biāo)體系包括自身經(jīng)濟(jì)損失、第三方損害、工期延誤以及環(huán)境傷害四個(gè)評(píng)估指標(biāo)。在經(jīng)濟(jì)損失方面包括人員機(jī)具材料損失、恢復(fù)損失兩個(gè)指標(biāo),在第三方損害方面,以第三方生命財(cái)產(chǎn)損害、公共設(shè)施損害為評(píng)估指標(biāo),在工期延誤方面,以搶救延誤、災(zāi)后重建延誤為評(píng)估指標(biāo),在環(huán)境傷害方面,包括永久性傷害和暫時(shí)性傷害兩個(gè)評(píng)估指標(biāo)。
(2)風(fēng)險(xiǎn)評(píng)估影響因子權(quán)重分析
權(quán)重的確定是采用模糊層次分析法( AHP) 。層次分析方法是把同級(jí)各個(gè)因素兩兩相互比較,按比較重要性大小在一個(gè)九標(biāo)度表中進(jìn)行仿數(shù)量化,各因子數(shù)量值構(gòu)成一個(gè)構(gòu)造判斷矩陣,該矩陣在一致性檢驗(yàn)后,其最大特征值對(duì)應(yīng)的向量為對(duì)應(yīng)各因子的權(quán)重向量。模糊層次分析法是將層次分析法中的成對(duì)比較數(shù)值加以模糊化,再以幾何平均法求模糊權(quán)重。
(3)深基坑施工風(fēng)險(xiǎn)評(píng)估等級(jí)確定
首先,要根據(jù)各個(gè)基坑工程實(shí)際施工情況確定風(fēng)險(xiǎn)因子。評(píng)估人員需要確定的數(shù)據(jù)包括施工風(fēng)險(xiǎn)因子發(fā)生的概率(P) 以及導(dǎo)致的風(fēng)險(xiǎn)事故損失等級(jí)(C),從而確定其相應(yīng)估值。依據(jù)深基坑風(fēng)險(xiǎn)事故損失等級(jí),風(fēng)險(xiǎn)發(fā)生概率,考慮風(fēng)險(xiǎn)度接受程度,可以確定深基坑施工風(fēng)險(xiǎn)等級(jí)。具體計(jì)算過(guò)程如下:(1) 確定深基坑工程單項(xiàng)施工風(fēng)險(xiǎn)因子;(2) 計(jì)算各個(gè)施工風(fēng)險(xiǎn)因子相對(duì)于風(fēng)險(xiǎn)事故損失等級(jí)的權(quán)重:Wi =風(fēng)險(xiǎn)事故損失等級(jí)估值×風(fēng)險(xiǎn)評(píng)估指標(biāo)體系中的風(fēng)險(xiǎn)因素相對(duì)權(quán)重( i = 1,2……8);(3) 計(jì)算風(fēng)險(xiǎn)事故損失等級(jí)總權(quán)重,計(jì)算公式為:總權(quán)重W=ΣWi ( i = 1,2……8);(4) 計(jì)算深基坑工程單項(xiàng)施工風(fēng)險(xiǎn)因子風(fēng)險(xiǎn)度,計(jì)算公式為:單項(xiàng)風(fēng)險(xiǎn)度R =風(fēng)險(xiǎn)發(fā)生概率P ×權(quán)重總分?jǐn)?shù)W;(5) 依據(jù)風(fēng)險(xiǎn)度數(shù)值,結(jié)合風(fēng)險(xiǎn)評(píng)估矩陣,確定施工風(fēng)險(xiǎn)因子風(fēng)險(xiǎn)等級(jí)。
應(yīng)對(duì)深基坑支護(hù)施工的風(fēng)險(xiǎn)應(yīng)采取的措施
為減少基坑開(kāi)挖對(duì)周?chē)h(huán)境影響,在基坑工程方案設(shè)計(jì)前,應(yīng)對(duì)基坑周?chē)h(huán)境狀況進(jìn)行詳細(xì)調(diào)查, 對(duì)現(xiàn)狀進(jìn)行拍照記錄。做好深基坑工程勘察工作,提供準(zhǔn)確可靠的巖土參數(shù)作為設(shè)計(jì)依據(jù)。合理選用地下水處理方案,包括止水或排水方案,充分考慮地下水對(duì)支護(hù)結(jié)構(gòu)受力的影響,降水對(duì)周?chē)h(huán)境的影響。信息化施工和動(dòng)態(tài)設(shè)計(jì):進(jìn)行信息化施工,發(fā)現(xiàn)問(wèn)題及時(shí)調(diào)整設(shè)計(jì)方案,有針對(duì)性采取保護(hù)措施。深基坑支護(hù)結(jié)構(gòu)的幾種施工方案及其措施如下:
3.1懸臂式支護(hù)結(jié)構(gòu)
擋土結(jié)構(gòu)的使用是在現(xiàn)場(chǎng)不允許基坑維持其天然坡度的情況下用于保持基坑開(kāi)挖穩(wěn)定的構(gòu)筑物,懸臂式擋土結(jié)構(gòu)可能是地下連續(xù)墻、木樁、鋼筋混凝土樁、鋼板樁等。
3.2錨桿擋墻支護(hù)結(jié)構(gòu)
錨桿式擋土墻指的是由鋼筋混凝土板和錨桿組成,依靠錨固在巖土層內(nèi)的錨桿的水平拉力以承受土體側(cè)壓力的擋土墻。為便于立柱和擋板安裝,大多采用豎直墻面。立柱間距2.5~3.5m,每根立柱視其高布置2~3 根錨桿,錨桿的位置應(yīng)盡量使立柱受彎分布均勻。錨桿一般水平向下傾斜10°~45°。錨桿的有效錨固長(zhǎng)度在巖層中一般不小于4m,在穩(wěn)定土層內(nèi),應(yīng)有9~10m。錨孔內(nèi)灌以膨脹水泥砂漿;錨孔口與墻面間一段錨桿采用瀝青包扎防銹。擋墻分級(jí)設(shè)置時(shí),每級(jí)高度不大于6m,兩級(jí)之間留有1~2m 的平臺(tái),以利施工操作和安全。
3.3混合支護(hù)結(jié)構(gòu)
這是由擋墻和固定擋墻就位的組合擋土結(jié)構(gòu)體系,擋墻可以是板樁(鋼、混凝土、木),有擋板或無(wú)擋板的立柱(或樁),鋼筋混凝土灌注樁和地下連續(xù)墻等。而固定擋墻就位(支點(diǎn))主要有撐梁支撐、斜撐或錨桿等。
3.4地下連續(xù)墻支護(hù)結(jié)構(gòu)
地下連續(xù)墻施工震動(dòng)小、噪聲低,墻體剛度大,防滲性能好,對(duì)周?chē)鼗鶡o(wú)擾動(dòng),可以組成具有很大承載力的任意多邊形連續(xù)墻代替樁基礎(chǔ)、沉井基礎(chǔ)或沉箱基礎(chǔ)。對(duì)土壤的適應(yīng)范圍很廣,在軟弱的沖積層、中硬地層、密實(shí)的砂礫層以及巖石的地基中都可施工。初期用于壩體防滲,水庫(kù)地下截流,后發(fā)展為擋土墻、地下結(jié)構(gòu)的一部分或全部。房屋的深層地下室、地下停車(chē)場(chǎng)、地下街、地下鐵道、地下倉(cāng)庫(kù)、礦井等均可應(yīng)用。
結(jié)束
深基坑工程的施工技術(shù)要求高、危險(xiǎn)系數(shù)大、發(fā)生事故時(shí)往往帶來(lái)難以估量的生命財(cái)產(chǎn)損失。因此在深基坑工程實(shí)施過(guò)程中,應(yīng)充分科學(xué)地預(yù)測(cè)可能遇到的風(fēng)險(xiǎn),并進(jìn)行有效地風(fēng)險(xiǎn)分析與控制。本文結(jié)合自己多年的工作經(jīng)驗(yàn)隊(duì)基坑支護(hù)結(jié)構(gòu)施工的風(fēng)險(xiǎn)及其評(píng)價(jià)進(jìn)行了探討和研究,提出應(yīng)對(duì)施工風(fēng)險(xiǎn)的具體措施,以便以后類(lèi)似工程借鑒。
參考文獻(xiàn):
[1]張薔.高層建筑深基坑邊坡支護(hù)結(jié)構(gòu)綜述[J].華北水利水電學(xué)院學(xué)報(bào),1998,(01).
Tao Liqun;Zhu Fengqi;Lv Fenghua;Jing Zhirui
(Jiangsu Tobacco Industrial Co.,Ltd.,Nanjing 210011,China)
摘要:品牌是企業(yè)核心價(jià)值與核心競(jìng)爭(zhēng)力的重要體現(xiàn),實(shí)施卷煙品牌戰(zhàn)略對(duì)于卷煙企業(yè)可持續(xù)發(fā)展具有重要的推動(dòng)作用。卷煙品牌風(fēng)險(xiǎn)管理作為卷煙企業(yè)品牌戰(zhàn)略的重要組成部分,是卷煙企業(yè)進(jìn)一步加強(qiáng)品牌戰(zhàn)略的重要保證。本文通過(guò)分析卷煙品牌價(jià)值鏈中風(fēng)險(xiǎn)的形成機(jī)理,建立了集風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制于一體的卷煙品牌風(fēng)險(xiǎn)管理體系,為卷煙企業(yè)強(qiáng)化品牌管理、構(gòu)建品牌戰(zhàn)略提供了可借鑒的研究成果。
Abstract: Brand stands for the core values and core competitiveness of enterprises, and carrying out brand strategy is of importance to enterprises' sustainable development. As important component of the brand strategy, cigarette brand risk management is the significant guarantee for enterprise to extend its brand strategy. This paper analyzes the forming mechanism of the cigarette brand risk among the brand value chain, and proposes a model of cigarette brand risk management. This model consists of risk identification, risk assessment and risk control, which provides experience for cigarette enterprises to explore tobacco brand tactics and strengthen brand management.
關(guān)鍵詞:卷煙品牌 品牌風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)識(shí)別 風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)控制
Key words: cigarette brand;brand risk management;risk identification;risk assessment;risk control
中圖分類(lèi)號(hào):F273文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2011)29-0110-03
0引言
我國(guó)是全世界最大的煙草生產(chǎn)國(guó)與消費(fèi)國(guó),烤煙種植面積、烤煙產(chǎn)量、烤煙增長(zhǎng)速度、卷煙產(chǎn)銷(xiāo)量、卷煙增長(zhǎng)速度、吸煙人數(shù)、吸煙人數(shù)增長(zhǎng)數(shù)量、煙稅增長(zhǎng)速度均為世界第一[1]。據(jù)保守?cái)?shù)據(jù):中國(guó)有3.5億煙民,占世界煙民總數(shù)的25%,其煙草生產(chǎn)占全球的35%,而煙草消費(fèi)占全球的32%。煙草行業(yè)每年對(duì)國(guó)家的稅收貢獻(xiàn)超過(guò)1000億元,占國(guó)家稅收收入的10%。從以上數(shù)據(jù)可以看出煙草行業(yè)在我國(guó)國(guó)民經(jīng)濟(jì)中的重要作用。然而,在國(guó)家煙草專(zhuān)賣(mài)體制下,國(guó)產(chǎn)卷煙的市場(chǎng)化運(yùn)作程度很低,各卷煙企業(yè)對(duì)卷煙品牌的重視程度還很不夠。隨著我國(guó)加入WTO的進(jìn)一步深入,卷煙行業(yè)逐漸對(duì)外開(kāi)放,眾多國(guó)外知名企業(yè),如“555”、“萬(wàn)寶路”等,爭(zhēng)相進(jìn)入我國(guó)卷煙市場(chǎng),給我過(guò)卷煙企業(yè)帶來(lái)了極大的壓力。面對(duì)國(guó)內(nèi)外煙草市場(chǎng)格局的變化,在國(guó)家煙草專(zhuān)賣(mài)局制定的《中國(guó)卷煙科技發(fā)展綱要》中闡述了,中國(guó)卷煙業(yè)發(fā)展所面臨的機(jī)遇和挑戰(zhàn),明確了中國(guó)卷煙科技發(fā)展的主要任務(wù),提出了中式卷煙發(fā)展的目標(biāo),以積極地姿態(tài)提高國(guó)內(nèi)煙草行業(yè)的競(jìng)爭(zhēng)力。
品牌風(fēng)險(xiǎn),也稱(chēng)為品牌危機(jī),是指在企業(yè)品牌建設(shè)中,對(duì)企業(yè)品牌造成嚴(yán)重威脅的、不確定性的和有危機(jī)感的情境或者事件。國(guó)內(nèi)外學(xué)者對(duì)品牌風(fēng)險(xiǎn)管理進(jìn)行了深入的研究,從不同的角度對(duì)品牌風(fēng)險(xiǎn)給出了自己的理解。吳狄亞、盧冰(2002)首次提出了品牌危機(jī)的定義:“品牌危機(jī)指的是由于企業(yè)外部環(huán)境的突變和品牌運(yùn)營(yíng)或營(yíng)銷(xiāo)管理的失常,而對(duì)品牌整體形象造成不良影響并在很短的時(shí)間內(nèi)波及到社會(huì)公眾,使企業(yè)品牌乃至企業(yè)本身信譽(yù)大為減損,甚至危機(jī)企業(yè)生存的窘困狀態(tài)。[2]”鐘唯希(2003)則把這個(gè)概念進(jìn)一步明晰化,把誘發(fā)品牌風(fēng)險(xiǎn)的因素細(xì)化,并指出,品牌風(fēng)險(xiǎn)的實(shí)質(zhì)就是信任危機(jī)[3]。郭盈盈(2006)首次從媒介和信息傳播角度對(duì)品牌危機(jī)下了定義,指出“品牌危機(jī)是指品牌所代表的產(chǎn)品(服務(wù))及其組織的自身缺失或者外部不利因素以信息的形式傳播于公眾,……,使得該品牌面臨嚴(yán)重威脅的突發(fā)狀態(tài)[4]”。
品牌風(fēng)險(xiǎn)管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,針對(duì)企業(yè)品牌價(jià)值鏈形成的過(guò)程中的各種相關(guān)因素,從系統(tǒng)的角度,結(jié)合先進(jìn)的品牌風(fēng)險(xiǎn)管理理論,運(yùn)用各類(lèi)風(fēng)險(xiǎn)管理技術(shù)和信息技術(shù),對(duì)品牌風(fēng)險(xiǎn)進(jìn)行管理。東方船(2000)指出,品牌是企業(yè)“整個(gè)戰(zhàn)略系統(tǒng)的完整體系”[5]。劉慶玉等(2005)認(rèn)為品牌本質(zhì)上是一個(gè)復(fù)雜的價(jià)值系統(tǒng),需要企業(yè)資源系統(tǒng)各要素的協(xié)同作用穩(wěn)定發(fā)展[6]。系統(tǒng)角度的品牌風(fēng)險(xiǎn)管理研究在于擴(kuò)大研究的范疇,上升到企業(yè)的戰(zhàn)略管理層面,從宏觀的角度來(lái)考察品牌風(fēng)險(xiǎn)的形成。
從以上研究可以看出,品牌風(fēng)險(xiǎn)管理越來(lái)越引起了企業(yè)管理者的重視,隨著市場(chǎng)化的發(fā)展,品牌戰(zhàn)略已經(jīng)成為企業(yè)立足于市場(chǎng)中的重要基礎(chǔ)因素。本文通過(guò)對(duì)卷煙品牌實(shí)施品牌風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)管理,開(kāi)展品牌風(fēng)險(xiǎn)要素的識(shí)別和預(yù)警,以及品牌風(fēng)險(xiǎn)的處理等,能夠促進(jìn)卷煙品牌又快又好地健康發(fā)展。因此,如何有效地識(shí)別、防范和管理企業(yè)卷煙品牌風(fēng)險(xiǎn),是我國(guó)卷煙企業(yè)急需解決的一個(gè)關(guān)鍵問(wèn)題,也是我國(guó)卷煙行業(yè)從傳統(tǒng)保護(hù)行業(yè)走向市場(chǎng)化過(guò)程中的一個(gè)管理新課題。
1卷煙品牌風(fēng)險(xiǎn)管理框架
從風(fēng)險(xiǎn)的一般原理出發(fā),煙草品牌風(fēng)險(xiǎn)可以定義為煙草品牌的持續(xù)盈利能力受到不利因素沖擊而導(dǎo)致的不確定性。在卷煙品牌建設(shè)中,在品牌環(huán)境、品牌載體、品牌運(yùn)作的過(guò)程中,存在著各類(lèi)薄弱點(diǎn),風(fēng)險(xiǎn)源就是通過(guò)影響這些弱點(diǎn)來(lái)達(dá)到影響卷煙品牌的目的。針對(duì)這些風(fēng)險(xiǎn)源,采取一定的應(yīng)對(duì)措施加以控制,即進(jìn)行品牌風(fēng)險(xiǎn)管理,是一項(xiàng)綜合全方位的管理任務(wù)。卷煙品牌風(fēng)險(xiǎn)形成機(jī)理的概念模型如圖1所示。
品牌風(fēng)險(xiǎn)管理是一種通過(guò)對(duì)風(fēng)險(xiǎn)的識(shí)別、評(píng)價(jià)和控制,以最少的成本將風(fēng)險(xiǎn)導(dǎo)致的各種不利后果減少到最低限度地科學(xué)方法[7]。煙草品牌風(fēng)險(xiǎn)管理的一般過(guò)程為:首先,對(duì)卷煙品牌的經(jīng)營(yíng)的內(nèi)外環(huán)境進(jìn)行分析,識(shí)別風(fēng)險(xiǎn);其次,對(duì)識(shí)別的風(fēng)險(xiǎn)影響因子進(jìn)行風(fēng)險(xiǎn)評(píng)估,根據(jù)已有的風(fēng)險(xiǎn)表征指標(biāo)對(duì)各風(fēng)險(xiǎn)因子進(jìn)行評(píng)價(jià);最后,得出卷煙品牌風(fēng)險(xiǎn)管理的應(yīng)對(duì)對(duì)策,建立品牌風(fēng)險(xiǎn)預(yù)警體系,如圖2所示。2卷煙品牌風(fēng)險(xiǎn)管理策略過(guò)程分析
卷煙品牌風(fēng)險(xiǎn)管理的一般過(guò)程主要包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制三個(gè)方面,通過(guò)三個(gè)方面的綜合集成,能夠建立一套完善的卷煙品牌風(fēng)險(xiǎn)管理策略。
2.1 風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別主要分為風(fēng)險(xiǎn)因子定義、風(fēng)險(xiǎn)因子提取和風(fēng)險(xiǎn)因子識(shí)別,風(fēng)險(xiǎn)識(shí)別要根據(jù)定義的風(fēng)險(xiǎn)因素的類(lèi)型、特征,提取風(fēng)險(xiǎn)因素,進(jìn)而定位到風(fēng)險(xiǎn)事件。風(fēng)險(xiǎn)因素的提取是指通過(guò)對(duì)風(fēng)險(xiǎn)源進(jìn)行分析,對(duì)其中關(guān)鍵的影響因子就行抽象化處理,得出具體的因素指標(biāo)。風(fēng)險(xiǎn)因素的識(shí)別要求識(shí)別出影響品牌風(fēng)險(xiǎn)的關(guān)鍵因子,剔除次要因子。卷煙品牌風(fēng)險(xiǎn)因素是指導(dǎo)致卷煙品牌運(yùn)作的實(shí)際結(jié)果與預(yù)期目標(biāo)產(chǎn)生差異的因素。查閱相關(guān)研究文獻(xiàn),在分析我國(guó)卷煙品牌當(dāng)前風(fēng)險(xiǎn)管理的現(xiàn)狀的基礎(chǔ)上,初步將風(fēng)險(xiǎn)因素分為四大類(lèi):宏觀環(huán)境因素、生產(chǎn)價(jià)值鏈、商品流通價(jià)值鏈、行業(yè)競(jìng)爭(zhēng)與企業(yè)決策,如圖3所示。
2.2 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是指對(duì)識(shí)別的風(fēng)險(xiǎn)因子進(jìn)行估計(jì)的工作,以考慮其對(duì)卷煙品牌的各方面所造成的影響和損失的嚴(yán)重性,來(lái)確定是否采取措施進(jìn)行管理,或者采取何種措施加以控制。風(fēng)險(xiǎn)評(píng)估分為三個(gè)步驟:確定風(fēng)險(xiǎn)表征指標(biāo)、選取風(fēng)險(xiǎn)評(píng)估模型、進(jìn)行風(fēng)險(xiǎn)評(píng)估。
2.2.1 風(fēng)險(xiǎn)表征指標(biāo)風(fēng)險(xiǎn)表征指標(biāo)是風(fēng)險(xiǎn)出現(xiàn)時(shí)所反應(yīng)的某個(gè)側(cè)面的度量指標(biāo)變化,顯然,表征指標(biāo)在理論上是無(wú)限可分的,但從管理的實(shí)際出發(fā)需遵循可理解性、準(zhǔn)確性、易于操作性等原則。從品牌持續(xù)成長(zhǎng)的表征出發(fā),通過(guò)頭腦風(fēng)暴法集思廣益,然后對(duì)得到的結(jié)果進(jìn)行分析處理,得出影響卷煙品牌風(fēng)險(xiǎn)的三大類(lèi)7個(gè)表征指標(biāo):一是從公眾的視角產(chǎn)生的三個(gè)指標(biāo),分別為品牌忠誠(chéng)度、品牌公關(guān)知名度、品牌聲譽(yù)度;二是從品牌在行業(yè)內(nèi)的個(gè)性視角來(lái)產(chǎn)生的兩個(gè)指標(biāo),分別為品牌競(jìng)爭(zhēng)力和品牌免疫力;三是考慮品牌的成長(zhǎng)和擴(kuò)張的兩個(gè)指標(biāo),分別為品牌成長(zhǎng)性和品牌輻射度。這些指標(biāo)分別從不同的視角刻畫(huà)了卷煙品牌的風(fēng)險(xiǎn)產(chǎn)生的過(guò)程。
2.2.2 風(fēng)險(xiǎn)評(píng)估模型風(fēng)險(xiǎn)評(píng)估模型是評(píng)估結(jié)果是否可靠的關(guān)鍵,風(fēng)險(xiǎn)評(píng)估模型要能夠體現(xiàn)出卷煙品牌所面臨的各類(lèi)風(fēng)險(xiǎn)類(lèi)型,根據(jù)不同類(lèi)型的風(fēng)險(xiǎn)要素的影響程度,按照一定的評(píng)價(jià)策略,對(duì)其進(jìn)行相應(yīng)的分析,最后得出風(fēng)險(xiǎn)等級(jí)信息。具體的風(fēng)險(xiǎn)評(píng)估模型如圖4所示。其中,風(fēng)險(xiǎn)要素分為三種類(lèi)型:一是可度量的風(fēng)險(xiǎn)因素;二是定性描述的風(fēng)險(xiǎn)事件;三是企業(yè)內(nèi)部運(yùn)作的風(fēng)險(xiǎn)。針對(duì)三種不同類(lèi)型的風(fēng)險(xiǎn)源,分別采取影響分析、威脅分析、脆弱性分析三種不同的分析方法,得出相應(yīng)的風(fēng)險(xiǎn)信息,然后對(duì)這些信息進(jìn)行風(fēng)險(xiǎn)評(píng)估,最后得出相應(yīng)的風(fēng)險(xiǎn)等級(jí)信息。
2.2.3 風(fēng)險(xiǎn)評(píng)估在選定了品牌風(fēng)險(xiǎn)表征指標(biāo),建立了風(fēng)險(xiǎn)評(píng)估模型后,接下來(lái)要完成的就是根據(jù)現(xiàn)有的風(fēng)險(xiǎn)因子信息進(jìn)行卷煙品牌的風(fēng)險(xiǎn)因子評(píng)估,每一個(gè)風(fēng)險(xiǎn)因子按照評(píng)估的流程進(jìn)行分析,得出其對(duì)卷煙品牌的影響度。風(fēng)險(xiǎn)因子評(píng)估的目的:①測(cè)定風(fēng)險(xiǎn)路徑影響因子,給出警情判斷;②根據(jù)對(duì)警情的綜合判斷,按照一定的規(guī)則對(duì)影響因素進(jìn)行警情排序;③根據(jù)判斷的結(jié)果,對(duì)重要警情進(jìn)行線路標(biāo)注,然后再標(biāo)注的基礎(chǔ)上對(duì)其進(jìn)行控制。風(fēng)險(xiǎn)因子評(píng)估的流程如圖5。
2.3 風(fēng)險(xiǎn)控制對(duì)策風(fēng)險(xiǎn)控制,也稱(chēng)為風(fēng)險(xiǎn)管理,是根據(jù)一定的風(fēng)險(xiǎn)管理策略對(duì)產(chǎn)生品牌風(fēng)險(xiǎn)的要素、事件等進(jìn)行管理的過(guò)程,以期起到化解風(fēng)險(xiǎn)的作用。風(fēng)險(xiǎn)控制主要包括風(fēng)險(xiǎn)控制策略的制定以及相應(yīng)的組織體系的建設(shè),此外還涉及重要警源的管理流程設(shè)計(jì)、風(fēng)險(xiǎn)管理投資與立項(xiàng)的管理等。卷因品牌風(fēng)險(xiǎn)控制策略的制定和實(shí)施需要經(jīng)歷四步:①風(fēng)險(xiǎn)預(yù)測(cè)。對(duì)可能發(fā)生的風(fēng)險(xiǎn)損失有足夠的估計(jì),發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和損失。②風(fēng)險(xiǎn)決策。采取定量和定性的方法進(jìn)行科學(xué)的決策,提出風(fēng)險(xiǎn)控制的可行性方案。③實(shí)施風(fēng)險(xiǎn)控制方案。采取各種有效措施來(lái)降低風(fēng)險(xiǎn),保證方案順利實(shí)施。④方案的成果評(píng)價(jià)。
2.3.1 風(fēng)險(xiǎn)控制框架獲得了卷煙品牌風(fēng)險(xiǎn)的評(píng)估結(jié)果后,需要采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制策略,對(duì)潛在的風(fēng)險(xiǎn)因素進(jìn)行控制,達(dá)到預(yù)防的目的。常用的風(fēng)險(xiǎn)控制策略有風(fēng)險(xiǎn)回避、風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)自留等。風(fēng)險(xiǎn)回避是以放棄或拒絕承擔(dān)風(fēng)險(xiǎn)作為控制方法來(lái)回避損失發(fā)生的可能性。 風(fēng)險(xiǎn)應(yīng)對(duì)是卷煙品牌通過(guò)降低風(fēng)險(xiǎn)發(fā)生概率和減少風(fēng)險(xiǎn)發(fā)生帶來(lái)的損失來(lái)達(dá)到控制風(fēng)險(xiǎn)目的的手段和方法。風(fēng)險(xiǎn)轉(zhuǎn)移是通過(guò)若干技術(shù)手段和經(jīng)濟(jì)手段,將風(fēng)險(xiǎn)部分的或全部轉(zhuǎn)移給其他人承擔(dān)。風(fēng)險(xiǎn)自留是對(duì)一些無(wú)法避免和無(wú)法轉(zhuǎn)移的風(fēng)險(xiǎn),采取現(xiàn)實(shí)態(tài)度,在不影響根本利益的同時(shí),將風(fēng)險(xiǎn)自愿承擔(dān)下來(lái)。風(fēng)險(xiǎn)控制是一個(gè)復(fù)雜的過(guò)程,在控制的過(guò)程中,涉及到卷煙的生產(chǎn)、銷(xiāo)售、流通等各個(gè)環(huán)節(jié),涉及企業(yè)內(nèi)部各主體,如何權(quán)衡各方的權(quán)利和義務(wù)是擺在決策者面前的一個(gè)難題。為了便于協(xié)調(diào)企業(yè)內(nèi)部各部門(mén)之間的關(guān)系,需要設(shè)計(jì)一套規(guī)范的風(fēng)險(xiǎn)流程機(jī)制,并將其上升為企業(yè)的規(guī)章制度,保征風(fēng)險(xiǎn)控制策略能夠順利實(shí)施。經(jīng)過(guò)研究,本項(xiàng)目設(shè)計(jì)了風(fēng)險(xiǎn)控制了基本機(jī)制,如圖6所示。
2.3.2 風(fēng)險(xiǎn)控制組織體系良好的風(fēng)險(xiǎn)管理組織體系是風(fēng)險(xiǎn)控制策略得以實(shí)施的重要保證。為了進(jìn)行風(fēng)險(xiǎn)的預(yù)警和控制,企業(yè)需要設(shè)定專(zhuān)門(mén)的負(fù)責(zé)品牌風(fēng)險(xiǎn)管理的組織。但考慮到煙草公司現(xiàn)有管理體系是在實(shí)踐中形成的,有其存在的基礎(chǔ)和合理性,同時(shí)為了更好的調(diào)集各部門(mén)在風(fēng)險(xiǎn)控制中的積極性。因此,本項(xiàng)目認(rèn)為將卷煙品牌的風(fēng)險(xiǎn)管理作為管理的一個(gè)側(cè)面,作為一種新的管理職能,融入到現(xiàn)有的管理體系中,更符合現(xiàn)實(shí)情況。為了便于風(fēng)險(xiǎn)控制策略的實(shí)施,本項(xiàng)目設(shè)計(jì)了一套風(fēng)險(xiǎn)管理的組織體系,該體系能夠很好的融入到各部門(mén)、各組織,有利于開(kāi)展風(fēng)險(xiǎn)控制工作。基本思想是在現(xiàn)有組織體系中建立一個(gè)職能團(tuán)隊(duì)式的品牌風(fēng)險(xiǎn)管理小組,來(lái)制定或者審核風(fēng)險(xiǎn)控制的方案,清理風(fēng)險(xiǎn)危機(jī)。風(fēng)險(xiǎn)管理小組不一定是實(shí)際存在的部門(mén),而是在企業(yè)部門(mén)中選定風(fēng)險(xiǎn)管理人員,在市場(chǎng)部設(shè)定風(fēng)險(xiǎn)管理經(jīng)理,同時(shí)在經(jīng)理層設(shè)定一位風(fēng)險(xiǎn)管理主管領(lǐng)導(dǎo)的團(tuán)隊(duì),該團(tuán)隊(duì)是協(xié)調(diào)組織各部門(mén)落實(shí)風(fēng)險(xiǎn)管理的運(yùn)作中心。相應(yīng)的組織形式如圖7所示。風(fēng)險(xiǎn)管理小組成員需要由各部門(mén)業(yè)務(wù)精煉,具有較強(qiáng)風(fēng)險(xiǎn)洞察力的人員組成。各部門(mén)風(fēng)險(xiǎn)人員的職責(zé)就是隨時(shí)監(jiān)測(cè)卷煙品牌風(fēng)險(xiǎn)影響因子,并及時(shí)反饋信息,向風(fēng)險(xiǎn)經(jīng)理匯報(bào)相關(guān)指標(biāo)的變化情況;其次還要負(fù)責(zé)本部門(mén)與全公司之間的協(xié)調(diào),保證相關(guān)風(fēng)險(xiǎn)管理行動(dòng)在部門(mén)內(nèi)順利開(kāi)展。風(fēng)險(xiǎn)經(jīng)理的職責(zé)是定期召開(kāi)風(fēng)險(xiǎn)管理會(huì)議,收集各部門(mén)風(fēng)險(xiǎn)指標(biāo)數(shù)據(jù),進(jìn)行分析,并做出風(fēng)險(xiǎn)管理決策。
3結(jié)束語(yǔ)
卷煙品牌風(fēng)險(xiǎn)管理對(duì)于卷煙企業(yè)的品牌建設(shè)具有重大的意義。隨著我國(guó)卷煙行業(yè)環(huán)境的變革,企業(yè)內(nèi)部的顯現(xiàn)出來(lái)的各種因素對(duì)于企業(yè)的進(jìn)一步發(fā)展或多或少的產(chǎn)生著各種影響,尤其對(duì)于卷煙品牌價(jià)值鏈的形成會(huì)帶來(lái)巨大的影響。
本文在系統(tǒng)分析卷煙品牌建設(shè)的基礎(chǔ)上,針對(duì)卷煙品牌價(jià)值鏈形成的全過(guò)程,建立了卷煙品牌風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的卷煙品牌風(fēng)險(xiǎn)管理體系,并針對(duì)三個(gè)方面進(jìn)行了深入具體的分析,分別建立了卷煙品牌風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的策略,建立了一個(gè)相對(duì)完整的卷煙品牌風(fēng)險(xiǎn)管理流程體系。本文的研究對(duì)于卷煙企業(yè)應(yīng)對(duì)卷煙品牌風(fēng)險(xiǎn)的管理具有現(xiàn)實(shí)的指導(dǎo)意義。
參考文獻(xiàn):
[1]趙全意.探索中國(guó)煙草的品牌之路.中國(guó)經(jīng)貿(mào)導(dǎo)刊,2001,(22):32-33.
[2]吳狄亞,盧冰.企業(yè)品牌危機(jī)防范[J].經(jīng)營(yíng)管理者,2002,(2):44-45.
[3]鐘唯希.品牌預(yù)警管理研究[D].武漢:武漢理工大學(xué),2003.
[4]郭盈盈.品牌危機(jī)分析及其管理研究[D].成都:西南交通大學(xué),2006.
[5]東方船.切開(kāi)危機(jī)看品牌[J].中國(guó)廣告,2000,(2):61-62.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)