绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇建设安全评估范文,希望它们能为您的写作提供参考和启发。
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 风险评估是等级保护建设工作的基础
等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。
风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。
等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。
2 等级保护建设过程中如何有效地结合风险评估
2.1 以风险评估中资产安全属性的重要度来划分信息系统等级
在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。
2.2 以风险评估中威胁程度来确定安全等级的要求
在等级保护中,对系统定级完成后,应按照信息系统的相应等级提出安全要求,安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后,恢复的速度与恢复的程度方面。而这些在风险评估中,则是对威胁的识别与赋值活动;脆弱性识别与赋值活动;安全措施的识别与确认活动。对于一个安全事件来说,是威胁利用了脆弱性所导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提,不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。
2.3 以风险评估的结果作为等级保护建设的安全设计的依据
在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。
3 结束语
风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点,通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。
参考文献
[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007.
This paper describes the prospect of constructing and improving a public safety assessment system under the concept of smart city. The level of traditional safe city construction can be improved and the traditional city public safe system can realize the entity, modeling and computable relay on the internet of things, cloud computing, and big-data technologies. In this way, city safety system, which is sensible and automatically measured, is constructed.
city public safety; public safety assessment; smart city; big data
当前,智慧城市的建设已经从理论层面落实到中国很多城市的实际建设层面。中兴通讯作了不少实践,并有一些自己的提炼思考。在智慧城市中,城市公共安全的建设作为基础性需求,不容忽视。为有效预防、减少和降低城市公共安全风险,保护人民生命财产安全,实现经济社会可持续发展,有必要规范城市公共安全风险评估工作。
本文从智慧城市建设的实际出发,探讨基于智慧城市建设理念的城市公共安全建设与评估体系,为具体智慧城市系统建设提供借鉴。
1 智慧城市建设理念
智慧城市理念论述众多:从城市管理者角度来看,智慧城市意味着一种发展城市的新思维、新策略,是新型城镇化的必然需要,是一种在新一代信息技术支撑下,实现城市全面数字化后可视、可测量的智能化城市管理和运营模式,可以推动城市服务能力和管理水平的跨越式提升。从信息化专家的角度来看,智慧城市是城市信息化发展到高级阶段的一种形态,是城市的信息化经历数字化、智能化后的必然结果。从市民角度来看,智慧城市意味着生活品质、民生服务、居住环境等得到极大提升,新一代信息技术深入渗透到市民的衣、食、住、行等各个方面,智能、便捷与舒适成为城市生活的典型特征。
智慧城市是借助信息技术,把已有的各种生产要素优化组合,以更加精细和动态的方式管理生产和生活,形成技术集成、综合应用、高端发展的集约、智能、绿色、低碳的城市。基于此,我们认为智慧城市具有信息(Information)、智能(Intelligence)、创新(Innovation)、市民与城市互动(Interaction)的“4I”特征。
城市作为人类社会高度发展的组织形态,作为众多个人构成的集体活动实体,实际上在城市整体需求上也体现出了与个人需求相对应的层次需求模型。马斯洛理论把人的需求分成生理需求(Physiological Needs)、安全需求(Safety Needs)、爱和归属感(Love and Belonging,亦称为社交需求)、尊重(Esteem)和自我实现(Self-actualization)5类,依次由较低层次到较高层次排列。由此,安全需求不论对个人还是一个城市都是仅次于“活着”或者“存在”的基础性需求。
一个城市的安全需求是众多个人安全需求的集合,是一种公共安全的需求。城市安全关系到城市中的每个人。在智慧城市建设中,安全是一个基本模块。进行安全城市建设,必须坚持安全建设与评估两条腿走路,相互促进,共同发展[1-15]。
2 智慧化的安全城市系统
构建
在智慧化的城市公共安全建设中,物联网是城市公共安全基础信息采集、汇集的基础架构,大数据分析则是对海量基础数据进行模型分析的基本技术支撑,而云计算架构则为高强度的、成本可接受的柔性计算能力获取提供了基础保障。这些新技术的成熟应用是使整体城市公共安全体系构建成为可能的关键。
2.1 城市公共安全建设现状
近些年,城市公共安全的信息化建设主要落地到平安城市建设方面。构建平安城市业已成为政府建设共识。但当前平安城市的建设尚存在如下具体问题:
(1)信息系统缺乏整合
相关信息主要为公安等具体部门服务,缺乏从城市层面的共享与整合,其他城市管理部门建立了大量“烟囱式”的监控系统,缺乏标准互不相通;部门间的信息没有实现共享,“信息孤岛”现象非常普遍。基本上各方各自建设,各自享受自己的建设成果;各城市的电子防控系统多呈现分而治之状态,一个平安城市系统中有几种甚至十几种安防平台,且大多数之间没有实现互联。
(2)信息系统与城市中其他系统联动较少
缺乏业务的有机整合,视频监控系统自成一体,覆盖面小,应用面窄,缺乏与应急联动、警务指挥、城市管理等业务的高效整合,视频监控信息与警用地理信息系统(PGIS)及其他公安信息没有进行关联。
(3)各城市普遍存在“重建设、轻应用”的现象
智慧城市建设过程,对与智慧城市建设相配套的运作管理机制、服务模式、政策措施,要进行妥善的分析和梳理。建设与管理并重才是实现智慧城市最终目标的重要保障。信息化部署完成了,它只是个系统,是工具。此后,需要相应的城市管理人员和市民一起使用这套系统,并从中汲取“智慧”的价值,这才能达到真正意义上的智慧城市。
2.2 智慧理念下城市公共安全实践
当前,依托智慧城市理念和物联网、大数据、云计算技术,从技术角度看,城市公共安全建设可有如下升级方向:
(1)大联网平台建设
随着GB/T28181-2011《安全防范视频监控联网系统信息传输、交换、控制技术要求》于2012年6月1日正式生效,大联网平台建设已经成为未来几年平安城市建设的首要任务。城市公共安全建设的视频监控联网管理平台,必须开放系统能力,能够与主流监控厂商前端设备进行信息对接及互操作,可进行不同平台和设备之间的业务组合和调用,实现不同平台信息的往来交互。
(2)信息全网可调用
通过视频监控系统大联网平台建设的逐步深化,使得区域内经过授权的监控平台的操作台,均能够在区域范围内自由调动信息。同时,以上的互联和共享将完全在权限可控的状态下进行,以最大限度保证海量数据的有序使用。
(3)业务流程实战整合
发展应用型的城市公共安全建设专业化系统。城市公共安全系统的核心在于系统与警务的日常工作紧密结合,这样视频信息才能成为真正的“大数据”。和警方已经建设或者正在建设众多数字化的业务信息系统有效关联,使得平台系统更加贴近公安部门的实际业务应用,做到“三实”,即实际、实战、实效,从而贴近公安实战,促进信息共享,提高工作效率。
(4)高清设备的大量使用
公安对于城市公共安全系统建设从追求数量转变为追求质量的阶段。更高的清晰度成为提升视频监控质量的首要诉求。高清摄像机和高清编码器等被平安城市建设大量引入,同时移动高清摄像机也被各方案补充引入。
(5)视频智能分析深度应用
海量的视频文件、日志信息的挖掘、分析,可以有效提升治安监控系统的工作效率。通过对视频内容进行视频诊断、视频浓缩、视频检索、视频压缩等先进视频处理技术等,使视频资源从粗放无序的数据真正转化为精细可用的信息,并最终实现高效应用。
(6)云计算的大量使用
高清视频的广泛使用及城市级视频网络的完善将会产生大量视频数据,只有云计算的强大架构扩展能力,高可用性将使海量视频数据的有效处理成为可能。这对于对城市安全管理意义重大。
基于以上对城市公共安全系统建设的理解,中兴通讯提出了自己的平安城市解决方案,总体架构如图1所示。
3 安全城市的评估和实践
从实践中看,无论在之前的平安城市建设还是最新智慧城市架构下的智慧公安系统建设,不少地方都已经构建城市公共安全类相关系统,在不少城市也已经初步形成较完整的体系。但在这些系统建设中,是否有从城市公共安全评估的角度出发,更严谨地在事前基于评估数据更合理规划整体方案,在系统建成后根据实际使用情况评估城市安全水平的提升或变化,从而适度调整相关系统侧重或在后续建设中更加科学地、有针对性地对重点地区、重点问题进行安全系统规划和实施,这是需要考虑的问题。
实际情况中这方面通常被忽略。很多系统的规划设计,往往是侧重在“设计”系统本身,说明系统本身要解决的问题。而对系统所要解决的真正问题缺乏量化。相当于说,事先缺乏定量评估问题,事后缺乏定量评估成效。很多系统上马了,只能笼统地说“有了提升”,最多总体而言某个指标提升或下降了之类。而这些和城市公共安全评估应达到的“以评估指导规划,以评估调整布设,以评估安排升级”的要求有很大差距。
3.1 城市公共安全风险识别方法
影响城市公共安全风险评估进展的主要因素包括:评估时间、力度、展开幅度和深度,所有这些因素都应和城市实际安全状况和城市特性的不同点相符合。对不同的城市而言,应该选择适合本城市特性和发展水平的风险评估方法。这样的评估过程与正在进行的平安城市或智慧城市安全建设是一个并行关系,相互吸收经验,相互促进。
根据对各要素的指标量化及计算方法的不同,城市公共安全风险分析可分为定性分析、半定量分析和定量分析,或这些分析方法的组合。
3.1.1 城市公共安全的定性分析方法
定性分析方法是一种被广泛应用的风险分析方法,在城市公共安全分析中也同样如此。定性分析方法对风险产生的可能性和后果可用如“低、中、高”这样定性表达程度的表示方式。
但在城市公共安全风险的实际定性分析过程中,有时仅仅使用“低、中、高”这样的程度表达并不能显著分辨不同风险值间的差别,因此,在实践中,有时会考虑给这些主观判断的值设定一个数据化的结果,比如,设“高”为“3”,“中”为“2”,“低”为“1”。该“3”、“2”、“1”,并非一个客观的实验值,相反只是一个相对值。对本意仅用来确定等级的对应等级数据进行过度解读,可能会导致错误的决策。
城市公共安全风险的定性分析常用于:在开始细致风险分析前的最初风险鉴别,以找出可能需要更细致分析的风险;或者相关风险可能不值得花更多资源去进行更充分分析;或者实际具备的数据不足以进行更细致定量分析的场合。
城市公共安全的定性分析是基础性的分析方法。即使在可采用更进一步评估方法的场合,定性分析依然是非常重要的选择。
3.1.2 城市公共安全的半定量分析
半定量分析是在定性分析基础上的提升,同时也是对花费更大的完全定量分析的妥协。在半定量分析中,定性分析的某些定性分析数据可能已是确定数字,但每个子项所确定的数字并不一定与具有非常精确的对应关系。
在应用半定量分析时需要小心,因为半定量分析可能不能正确地区分各种不同风险,尤其是当分析结果或可能性处于极端状态的时候。因此,在实际分析时可将“可能性”分解成两个要素“暴露频率”和“概率”。所谓暴露频率是风险来源存在的程度,而概率是当相应风险源存在时产生后果的可能性。在上述两者间关系不是完全独立时需要审慎对待分析结果,因为相互干涉后的分析结果可能产生偏差。这是半定量分析需要注意避免的问题。
3.1.3 城市公共安全的定量分析
城市公共安全的定量风险分析主要关注两个基本数据:风险事件发生概率和风险对应可能损失的资产。这两者相乘的结果称为年度预期损失(ALE)或年度成本估算(EAC)。理论上可依据ALE计算威胁事件的风险等级并有针对性地做出相应的决策。
ALE的具体计算方法是首先评估城市单项资产的价值V;然后根据客观数据计算威胁的频率P;最后计算威胁影响系数μ:
ALE=V×P×μ
显然的,城市公共安全整体ALE值应该是各单项ALE的总和。
但上述方法存在数据可靠性问题。定量分析依赖准确数据,而准确数据整体上依赖于人类的科学发展水平。对于某些安全威胁,人们确认已可掌握相应数据信息,但对于另一些威胁来说,可能还无法掌握实际数据。这是定量分析当前的局限性。
在定量分析实际应用中,对于这样定量化的困难,可尝试使用客观概率和主观概率相结合的方法进行。客观概率用于有人们已经掌握客观数据的情形;主观概率则针对尚无法掌握直接根据数据的情况,此时将利用包括经验数据、主观判断等进行替代。举例来说,在社会稳定度评估中,对于攻击行为的威胁可考虑如动机、手段和机会等要素。
总体而言,完全定量分析方法的使用是有相当难度的。但从城市公共安全精细化、智能化及未来发展来说,定量分析毕竟是城市公共安全最希望采用的方法。
3.2 “全生命周期”公共安全评估实践
我们认为,一个真正的智慧城市公共安全系统在城市公共安全评估价值这方面应具备“全生命周期性”。所谓“全生命周期性”,是指应在智慧城市公共安全系统建设的规划设计、实施部署、使用运维、系统升级4个阶段全面引入城市公共安全评估方法,通过评估数据的变化指导上述4个过程形成闭环,不断提升整体城市安全系统的水平及有效性。
具体来说,在系统规划设计阶段,首先要做的是基于现有信息系统形成的各类数据,有针对性地对待建系统所要解决的公共安全问题现状进行评估,形成各类辅助决策分析结果,指导规划设计体现出应有的重点问题的侧重性、区域的差异性等。
针对平安城市的高清智能卡口布设问题:
(1)规划阶段进行风险识别和定量分析
利用比如历史报警数据、案事件区域数据、车流量数据、人口分布数据等计算出整体区域风险度分布图。将该数据所体现的区域差异性和整体卡口布设其他因素进行叠加,最终确定实际卡口布设位置、区域密度方案。
(2)在实施部署阶段多次联调测试及系统试运行
获取相关测试数据,进而评估系统整体有效性,发现系统不足,及时调整、改进系统本身及相关部署。
(3)运维阶段进行长效的公共安全评估
系统将在这个阶段持续给出城市公共安全状况评估,这不仅是给决策者对城市整体安全管理所用,也是给系统运营维护方面甚至于系统自身进行系统参数调整的必要依据。如果说决策人根据相关评估进行决策和调整是传统安全系统应做到的,那么系统自身根据自身产生的安全评估在事先系统设计模式下进行相关参数调整才是真正“智慧”城市公共安全系统的智慧体现。
毫无疑问,如果安全评估体系长效机制建立起来的话,系统升级参考相关评估进行就是非常自然的事了。系统的自我调节总是有效有限的,社会状况的变化、科技水平的提升则是永远的,所以,在反应现实公共安全状况的评估持续给出情况下,规划新的系统升级就是水到渠成的事情。系统升级某种意义上又回到了“规划设计”阶段,在持续评估的机制下,整个城市的公共安全体系将形成这样一个全生命周期、不断螺旋式提升的正向轨道。辅助这个全生命周期循环的形成,也正是智慧城市公共安全评估最大价值所在。
4 结束语
当前中国智慧城市建设方兴未艾。智慧城市建设投资巨大、影响深远,而城市公共安全是城市基础性需求之一,因此非常有必要在智慧城市的规划阶段就将城市公共安全评估体系纳入其中。传统上城市公共安全定量评估分析的方法,可以应用最新的物联网、大数据、云计算技术,从而降低评估的成本。这正是我们在后续智慧城市建设中需要不断探索、落实的事情。
参考文献
[1] GB/T 20000.4-2003. 标准化工作指南第4部分:标准中涉及安全的内容 [S]. 2003.
[2] ISO Guide 73:2009. Risk management - Vocabulary [S]. ISO, 2009.
[3] ISO 31000:2009. Risk management - Principles and guidelines [S]. ISO, 2009.
[4] AS/NZS 4360:2004. Risk management [S]. AS/NZS, 2004.
[5] 刘茂, 王振. 城市公共安全学――原理与分析 [M]. 北京: 北京大学出版社, 2009.
[6] 张继权. 城市公共安全学――应急与疏散 [M]. 北京: 北京大学出版社, 2009.
[7] 深圳市政府. 深圳市公共安全白皮书 [R]. 深圳市政府, 2013.
[8] 宋明哲. 现代风险管理 [M]. 北京: 中国纺织出版社, 2003.
[9] 刘波等. 灾害管理学 [M]. 长沙: 湖南人民出版社, 1998.
[10] 薛澜等. 危机管理 [M]. 北京: 清华大学出版社, 2003.
[11] 公安部加强和改进公安工作调研小组. 第20次全国公安会议专题研究报告 [R]. 公安部, 2003.
[12] 马鑫, 黄全义, 疏学明. 物联网在公共安全领域中的应用研究 [J]. 中国安全科学学报, 2010,19(3):12-16.
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
一、进一步提高认识,加强领导
校舍是学校教师、学生集聚的场所,做好学校校舍安全管理,事关师生生命安全和社会稳定大局,是践行和落实科学发展观,维护广大人民群众根本利益的具体举措。各县、各有关部门一定要坚持“以人为本,生命至上”的理念,进一步提高做好学校校舍特别是学校危房安全管理工作重要性、艰巨性和长期性的认识,切实加强领导,全面落实国家、省、州对学校危房改造和安全管理工作的各项要求,确保全州校园安全稳定。
二、进一步明确责任,加强监管
[中图分类号] D035 [文献标识码]A [文章编号] 1006-0863(2013)04-0109-04
一、应对重大社会安全事件政府绩效评估的理论分析
社会安全事件是突发公共事件的一个主要类型,一般是指在社会安全领域发生的,在客观上会造成人员伤亡、财产损失与环境破坏,对公共安全、公共秩序与公共利益产生负面影响,并且会导致公众在心理上产生恐惧与不安全感的突发公共事件。但相较于其他类型突发公共事件,社会安全事件具有更为基础和核心的意义。社会安全是构成国家安全的一个原生要素和传统要素,也是社会公平正义和国家安全稳定的主要标示。国外对社会安全事件的研究可以溯及社会学中对“社会冲突”的研究。20世纪60年代德国社会学家达伦多夫从“应得权利”和“供给”失衡的角度论述了社会冲突的产生。Steven Vago从社会因素角度提出了“家庭、人口、阶层、权力关系、教育、经济”五种社会冲突的领域[1],为学界研究社会安全事件的类型提供了一个新视角。Roddy McKinnon提出社会安全具有“预防性”(Prevention)的特征,认为对社会安全的预防管理更能激发公民参与和社会活力。[2]由于社会安全领域的范围较为广泛,因此,社会安全事件的发生在现代社会具有一定的普遍性。重大社会安全事件是社会领域发生的造成极其严重社会危害,并需要立即采取应急处置措施的重大突发事件,社会安全事件包括恐怖袭击事件、经济安全事件、涉外突发事件、、民族宗教事件等。
当前,我国正处于经济和社会转型的关键时期,社会领域的重大突发事件也开始进入高发期。因此,应对重大社会安全事件已成为各级政府的重要职责,其核心是通过民主决策制定和选择有效的公共政策与应对方案,而要准确地掌握应对的效果则必须使用科学的绩效评估手段。
1.应对重大社会安全事件政府绩效评估是责任型政府建设的要求。由于重大社会安全事件对公共安全、公共秩序与公共利益产生了严重影响,因而政府在应对重大社会安全事件方面应承担直接和主要的责任。可以说,我国建立官员问责制的直接动因就是频繁发生的突发事件。[3]重大社会安全事件发生领域的公共性和影响程度的严重性决定了政府应该积极有效地提供应对突发事件的公共服务或公共产品。另外,政府应对重大社会安全事件的水平和能力凸显了现代责任型政府的本质内涵。基于以责任制为依托的责任型政府,既要体现“作为规则的制度”,更要体现“作为信念的制度”。[4]责任型政府在狭义上对政府应对重大社会安全事件的不良后果作出约束性的制度规定,在广义上或深层次上则更强调政府应对的能力和绩效,从而体现公共服务价值和政府公信力。
2.应对重大社会安全事件政府绩效评估是绩效型政府建设的要求。20世纪70年代末80年代初以来,以结果导向、市场导向和公民参与为特征的新公共管理运动推动了政府绩效评估的实践,英美等国将绩效评估引入政府管理的创新更是为公共管理改革作出了开拓性的贡献,这突出地表现为政府绩效评估活动的制度化及其技术支持系统的规范化。政府应对重大社会安全事件的工作,如能引入政府绩效评估理论和技术,有利于评价政府应对重大社会安全事件工作的效果,准确把握政府应对能力现状,从而为建立责任追究制度提供依据,进而完善政府应对重大社会安全事件的责任机制。虽然我国政府在应对一些重大社会安全事件中积累了有益经验,但目前尚未建立起相应的绩效评估制度。因此,如何使用政府绩效评估理论和方法对进一步提升政府应对重大社会安全事件的绩效和能力已提出了挑战和新要求。
3.应对重大社会安全事件政府绩效评估是政府民主决策的要求。社会安全具有“公共性”,政府无疑是这种特殊公共产品的主要提供者,其核心是通过公共决策制定和选择相关的公共政策与治理方案来解除威胁、规避风险、应对常态或非常态危机,并寻求治理危机的最优路径。虽然政策路径的创立不能解决公共行政中固有的全部问题,但它也意味着可能“从政治科学的观点创建一种对公共部门进行分析的新标准范式”。[5]政府应对重大社会安全事件的研究应建构在公共政策理论基础之上,重视包括对公共政策的决策过程、决策理性、决策标准、决策效能评估及其利益相关者的研究,这赋予了公共危机管理的科学性和现实可操作性。值得关注的是,在公共政策制定过程中,公民广泛参与应对重大社会安全事件公共决策和对政府绩效开展评估,这不仅能使得公众获得相关信息,而且也彰显了政府管理的民主价值,更赋予了其合法性意义。通过有效的公民参与绩效评估不仅能提高政府应对危机的效果,而且有助于构建政府与公众的合作关系,推动民主型政府建设。
综上,提升政府应对重大社会安全事件的绩效和能力已逐渐成为社会各界关注的焦点问题。而应对重大社会安全事件的政府绩效评估研究,需要以责任型政府理论为基本依据、以政府绩效评估理论为方法工具、以民主决策理论为价值导向,重在探索建立一个较为科学完善的指标体系,并将政府责任机制建设与政府绩效评估相结合,以绩效评估促进政府责任机制建设和政府应对能力提升,最终建立一套应对重大社会安全事件的制度框架。
二、应对重大社会安全事件政府绩效评估的模型设计
罗伯特·希斯将危机管理过程概括为“4R”模式,即缩减(Reduction)、预备(Readiness)、反应(Response)和恢复(Recovery)四个阶段。4R模式不仅表明危机管理者的主要任务和功能活动,同时也规定了如何应对危机及各阶段的管理职能定位。胡税根等根据公共危机本身的性质,将公共危机事件总体上划分为预警期、爆发期、缓解期和善后期,并总结了危机分期的主要职能活动。[6]本文根据《中华人民共和国突发事件应对法》的相关规定和政府公共危机管理的实践经验,把突发事件应对的过程划分为预防与应急准备、监测与预警、应急处置与救援、事后恢复与重建四个阶段。基于责任型政府和民主型政府的理论,按照政府绩效评估的原则和方法,我们重点从预防与应急准备、监测与预警、应急处置与救援和事后恢复与重建四个维度构建我国应对重大社会安全事件政府绩效评估的框架模型,进而对政府绩效评估指标体系进行设计(图1)。
1.关于多元化的评估主体结构。评估主体的多元化结构已成为绩效评估中的基本理念,绩效管理的360度评估技术为绩效评估主体的多元化构建提供了思路。由领导、专家、公民及专业评估单位等构成的多元评估主体为政府绩效评估有效性提供了保证。需要指出的是,公民是应对重大社会安全事件政府绩效评估最主要的主体。重大社会安全事件的公共性、社会性及严重性,决定着公民参与绩效评估能更有效地保障应急管理的“回应性”。同时,还需考虑提升公民参与政府绩效评估的程度。从公民中心的视角来看, “主导型参与”无疑是政府绩效评估中公民参与的最高形态或模式。[7]但应该看到,基于理念和技术等因素,我国现阶段公民参与政府绩效评估的领域和范围仍然是有限的。所以,随着行政管理体制改革的推进,要完善应对重大社会安全事件政府绩效评估主体的多元化和强化绩效问责,必须要重视扩大公民参与的广度和深度。
2.关于绩效评估的方法。绩效评估方法主要是指绩效评估指标建构的方式和评估实施的技术。应对重大社会安全事件政府绩效指标设计是绩效评估的关键组成部分,关系到绩效评估整体的科学性、公正性和可操作性。由于我国应对突发事件绩效评估的研究还处于初步探索阶段,指标体系建构的经验较少,定性指标的量化也较困难,评估数据收集也存在障碍。根据社会安全事件的性质及应对社会安全事件的规律和特点,并依据政府绩效评估的理论和方法,在建构指标体系方面应考虑社会安全事件的生命周期和应对社会安全事件的过程,从预防与应急准备、监测与预警、应急处置与救援和事后恢复与重建四个维度设计绩效评估指标体系,并遵循4E原则,通过关键绩效指标法、利用专家法和层次分析法筛选所需要的指标。
3.关于绩效评估的内容。根据重大社会安全事件的特征和突发事件发生过程以及《中华人民共和国突发事件应对法》的相关规定,按照可操作性原则,本文从预防与应急准备、监测与预警、应急处置与救援及事后恢复与重建四个维度思考绩效评估的具体内容。(1)预防与应急准备维度。该维度主要考察政府危机预防意识和应急准备工作的充足性。预防与应急准备是重大社会安全事件政府应急管理的前提和基础,主要包括两方面工作:一是预防工作,通过进行各种有效的预防措施,消除隐患;二是准备工作,包括应急预案准备、组织机构、人员准备、物质、技术保障准备等。(2)监测与预警维度。该维度主要考察政府对重大社会安全事件的监测能力以及有效信息的准确性。政府在重大社会安全事件爆发前和即将爆发时的工作主要包括:一是监测,主要通过对风险隐患的普查和监控来完成。普查就是全面掌握本行政区域、本行业和领域各类风险隐患情况。监控是对具有各类风险隐患地点或设施,实行长期监控和检查,及时排除风险隐患;二是预警,是指综合分析各类风险隐患信息,发现可能发生或即将发生的重大社会安全事件,并及时预警信息。(3)应急处置与救援维度。该维度主要考察政府在重大社会安全事件发生后的反应速度和具体救援措施的有效性。主要包括两方面工作:一是应急处置,要求政府在最短时间内对重大社会安全事件作出反应,同时对周边危险源、危险场所等加以有效控制,防止事态进一步扩大;二是应急救援,即政府组织协调各救援机构和救援队伍,对伤亡人员或处于危险情境的人员进行紧急救助,最大程度地减少人员伤亡和财产损失。(4)事后恢复与重建维度。该维度主要考察政府组织开展事后恢复与重建工作的及时性和能力。主要包括三方面工作:一是恢复,妥善解决处置重大社会安全事件过程中引发的矛盾和纠纷并尽快恢复生产、生活、工作和社会秩序;二是调查原因,总结经验教训,改进和完善现有的制度和机制,防止类似的事件再次发生;三是奖惩,通过应对重大社会安全事件的应急救援过程及结果的评估,据此对相关部门及人员进行奖励或惩处。
4.关于评估结果的运用。绩效评估能够发现政府应对重大社会安全事件的成功经验和不足之处,通过总结经验教训和对评估结果的运用,进一步发挥优势,改进不足,克服短板,推动政府应对重大社会安全事件工作的持续改进,建立并完善应对重大社会安全事件的政府应急管理制度。因此,为了达到激励并且改善政府工作的目的,同时提高政府工作人员和社会公众对危机管理的关注,就迫切需要探索建立一个相对完善的评估结果运用机制。同时,还要建立评估信息的沟通网络,把政府应对重大社会安全事件绩效评估的结果尽快反馈给相关公众,特别是重大社会安全事件的利益相关者和大众媒体,使社会公众及时了解评估信息和政府应对重大社会安全事件的绩效,以便公众更好地进行监督。
三、应对重大社会安全事件的政府绩效评估指标体系的构建
1.评估指标体系的初步构建
“非典”危机后,对突发公共事件应对及其评估的研究开始成为我国学术界相关研究的一个新方向。许多学者从不同的角度对评估的内容和绩效指标设计的特征进行了研究。但从现有的文献梳理看,目前我国学者建立的突发公共事件应对绩效评估指标体系主要集中在对自然灾害和公共卫生事件的评估,对于应对社会安全事件绩效评估的研究还较为匮乏。由此看来,应对社会安全事件绩效评估的系统研究就显得十分迫切。
根据重大社会安全事件的特征和公共危机管理过程以及《中华人民共和国突发事件应对法》的相关规定,本研究通过专家法初步构建了应对重大社会安全事件的政府绩效评估指标体系,其中一级指标包括预防与应急准备、监测与预警、应急处置与救援和事后恢复与重建4个维度,二级指标指向应对重大社会安全事件的基本目标,共计15个绩效指标(表1),三级指标涵盖应对重大社会安全事件的基本职责和工作任务,共计91个绩效指标。
2.评估指标的筛选
构建指标体系应遵循指标设计的概括性原则。要使指标体系能够全面而概括地反映评估对象,必须对第一轮91个指标进行筛选,提炼关键指标。本研究对指标筛选采用的是隶属度分析方法,即向相关研究和实务操作人员发放调查问卷,要求从91个绩效指标中选择最有代表性的指标。其具体步骤如下:(1)采用Likert 5级量表的标准形式,将指标体系设计成调查问卷;(2)向调查对象发放调查问卷,要求调查对象对每一个指标的重要性进评分;(3)根据问卷调查的结果,计算每一项指标的平均得分,并根据其平均分进行排序;(4)根据指标的重要性排序,筛选出最重要的指标。
应对重大社会安全事件政府绩效评估指标的筛选要求调研对象具有一定的专业性和代表性,本项研究调查问卷发放对象涵盖了我国东部、中部和西部的相关领域研究人员和政府公务人员。这一范围内的调查对象具备一定的专业知识,对突发事件应对和政府绩效评估也有较高的认知能力,能保证结果的可靠性。本次调查对浙江大学干部培训班、浙大MPA研究生班采用随机抽样和整群调查方式,抽取6个班级,发放问卷220份,回收问卷190份,回收率为86.36%,有效问卷为181份,占回收问卷的95.26%。本研究的调查问卷采用Likert 5级量表设计,要求调查对象根据认可的强度对各项政府绩效评估指标的重要性进行评价打分。
3.评估指标体系的构建
将各项绩效评估指标的平均分由高到低排序,选取隶属度超过0.60前50个指标,剔除了诸如预案更新的及时性和有效性、对可能的社会安全风险的减轻、对社会安全风险区域的监督与管理、社会安全救援技术的开发与更新、社会安全风险区数据库的完善、社会安全应急预案执行程度、恢复重建的各地区支援、应急救援中的表现突出人员的奖励等41个分值较低的指标,最终建立起应对重大社会安全事件的政府绩效评估指标体系(见表1)。
本文通过针对应对重大社会安全事件政府绩效评估模型和指标体系的设计,探讨了在应对重大社会安全事件过程中政府的职能定位和功能发挥问题,目的是推动责任型政府和高效型政府建设,并综合考虑如何促进政府应对能力平衡发展的问题,试图建立以预防、绩效和责任为核心的政府危机管理机制。当然,在实际操作层面上,要重视加强评估结果的应用、促进社会力量的参与、将政府责任机制建设与政府绩效评估有效结合,从而推动应对重大社会安全事件的政府应急管理制度的完善。
[参考文献]
[References]
[1][美]Steven Vago.社会变迁[M].王晓黎.译北京:北京大学出版社,2007.99.
Steven Vago. Social Change .Trans.by Wang XiaoLi.Beijing:Peking University Press,2007.p99.
[2]Roddy McKinnon. Promoting the Concept of Prevention in Social Security: Issues and Challenges for the International Social Security Association. International Journal of Social Welfare,2010(19).
[3]张海波,童星.公共危机治理与问责制[J].政治学研究,2010(2).
Zhang Haibo,Tongxing. Public Crisis Governance and Accountability System. Cass Journal of Political Science,2010(2).
[4]王星,李放.制度中的历史——制度变迁再思[J] .经济社会体制比较,2011(2).
Wang Xing,Li Fang. History in Institution——Rethinking on Institutional Change .Comparison of Economic & Social Systems,2011(2).
[5][英]简·埃里克·莱恩.公共部门:概念、模型与途径[M].谭功荣等译.北京:经济科学出版社,2004.306.
Jane Eric Lane. The Public Sector Concepts, Models and Approaches. Trans.by Tan Gongrong et al.Beijing:Economic Science Press,2004.p306.
[6]胡税根,余潇枫等.公共危机管理通论[M].杭州:浙江大学出版社,2009.16-17.
Hu Shuigen,Yu Xiaofeng et al. General Introduction to Public Crisis Management .Hangzhou:Zhejiang University Press,2009.pp16-17.
2系统创新点
①简便的网页操作:基于IE内核的浏览器直接调用程序,通过采用了动态数组存取和先进的模块覆盖技术尽量减少内存占用,使之不影响其他常驻内存系统,只要计算机能联网就能进入系统。②模块化结构:各功能模块问用链接技术链接,只需通过对主菜单的简单操作,就能实现对系统的使用、维护和管理。③权限配置:可以对指定的用户群进行权限分配,对功能的操作进行限制性,需要管理员分配权限,才能对功能进行操作。因此,对数据的管理具有合理性、分配性。④系统纠错强:具有周全的容错、纠错能力,可防止按错键及操作不当带来的问题。⑤操作直观、方便:采用多种输入输出格式,操作界面友好简单,使之适合于一般技术水平的管理工作人员使用。⑥图形直观显示:系统自身具备的图形显示模块,具有饼状图、柱状图、表格等方式对数据进行显示⑦图形显示兼容性高:支持任何类型的彩色显示器,不会出现因分辨率不同而导致的蓝屏花屏等问题。⑧运行兼容性:系统采用跨平台较强的java语言编写,因此,可移植到多种系统下运行。
3系统安全体系
本系统具有完整的信息安全体系,可以实现身份抗抵赖性、系统可管理性、操作可审计性等,同时从物理、系统、运行、管理等多方面保证信息系统的安全、稳定、可靠。从而达到以下目标:①可用性:确保系统高效、稳定、可靠地运行。②安全性:确保各类数据不被非法访问、窃取、误用、散发等,确保敏感数据处于可控制的范围之内,仅有经过严格身份认证的用户、系统才允许其获得相关数据。③完整性:确保数据完整、可靠、不被篡改。④抗抵赖性:确保系统用户认证可靠,相关操作记录具有唯一性。⑤可管理性:确保各类系统资源都处于管理和控制之下。⑥可审计性:通过对网络和主机上的事件审计,记录网络和系统上发生的相关事件,作为事后审计、核查的依据。
中图分类号:TD712 文献标识码:A
1.总体设计原则
1.1 标准化和规范化原则。严格遵循国家电子政务有关法律法规和技术规范的要求,编制煤矿安全生产信息交换和安全监察的各项技术指导书,从业务、技术、运行管理等方面对项目的整体建设和实施进行设计,充分体现标准化和规范化。
1.2 安全性和易用性原则。在系统建设方案设计时,需依托国家电子政务建设的各种信息技术安全标准,结合行业内业务应用的特点,强化信息安全建设,严格遵循安全建设原则和策略,并针对不同层面的使用者的应用水平,充分考虑系统的易用性,保障本系统建成后的应用与推广。
1.3 开放性和可扩展性原则。系统结构要按照开放性和扩展性原则设计。系统将与示范企业、国家总局的系统相连接,要采用开放性、标准化的平台设计以尽可能地利用已有的设备、软件及信息资源;对于未来可能增添的新的子系统、新的用户对象都要留有业务接口和技术接口。
1.4 系统性和实效性原则。统筹规划、统一设计,保证整个系统的统一和数据的一致是非常重要的。系统建设从某种意义上说是一项服务工作,它的成败优劣必须从实际效果来衡量。因此,系统建设中必须坚持实效性原则。
1.5 技术的先进性和成熟性原则。信息技术发展迅速,新理念、新体系、新技术互相推出,因此,在设计理念、技术体系、产品选用等方面要求先进性和成熟性的统一,以满足系统在很长的生命周期内有持续的可维护性和可扩展性。
1.6 经济性原则。工程建设应当充分利用已有资源,避免重复工作,力求减少浪费。
1.7 可靠性原则。系统采用模块化设计,系统规模和功能易于扩充,系统配套具有升级能力。对网络带宽、接口数量、数据库容量都作一定的预留,并且可以通过设备在线升级、扩容等方式实现系统的扩展。
2.总体目标
本项目设计总目标为5个用户层,5个用户层分为吉林煤矿安全监察局、各监察分局、煤矿企业、中介机构、社会公众。4个系统平台为煤矿事故风险分析平台、日常办公平台、云计算平台和应急调度指挥平台。一个煤矿安全监察综合数据中心。通过以互联网、物联网为核心、全面的、全过程的、全员参加的、闭环式的安全管理活动,全部联入到该系统,起到实时的监控监察、有效的安全生产管理、准确的事故风险分析作用。切断事故发生的因果链,杜绝或减少煤矿重大安全事故的发生。煤矿事故风险分析平台通过云技术为基础,将煤矿安全生产管理、煤矿基本信息、远程智能执法、安全生产监测监控、人员定位监察、应急管理、隐患及事故分析融为一体,实现与国家安监总局、吉林煤矿安全监察局及所属分局、试点煤矿企业之间包括视频信息和数据信息的对接目的。为吉林煤矿安全监察局实时了解和掌握吉林省煤矿安全生产情况提供了有效的手段和途径。
3.总体建设任务
煤矿事故风险分析平台基于安全生产信息系统统一架构、统一标准、统一认证,由数据接入层、服务层与业务应用层构成。全省建立一个煤矿安全信息化平台,通过数据分区、功能分区、权限分级为不同部门、不同级别、不同用户提供按需定制服务。数据接入层利用语音网关、视频网关、数据网关对煤矿矿端安全生产相关监测数据进行实时可信稳定可靠的采集,动态获取其他相关信息,对信息资源进行有效整合,建设具备面向行业监管服务能力的数据获取、存储、清洗、融合、分析、能力的数据中心。
4.系统总体结构和逻辑结构
4.1 系统总体架构图。本项目按照分层架构进行设计,5层包含用户层、业务应用层、应用支撑层、数据资源层和平台支撑层,两体系包含标准规范体系和安全运维保障体系。
4.2 系统网络架构图。整个系统依托互联网及电子政务外网建设,遵循数据完整性,分布式处理,互操作性,最优化,数据定位、数据的实际存储格式及存储数据所使用的方法对于用户是透明的,简单性,可扩展性,先进性等原则进行设计。
4.3 数据中心逻辑结构。数据中心主要由数据资源层、加工层、专题数据层、管理层和服务层组成。信息资源管理和信息安全保障管理贯穿其中。数据资源层:从矿端采集到的基础数据、监测数据,从第三方采集到的共享数据,数据中心自动产生的日志数据,应用系统产生的结果数据均归属该层。数据加工层:加工层利用矿端的原始数据及云应用产生的结果数据,通过数据抽取、数据转换、数据清洗、数据加载,进一步抽到数据专题库(数据仓库),为监察监管部门提供数据分析、监察决策等提供高质量的数据来源。专题数据层:通过数据加工层处理后,从不同维度高度提炼的数据,将保存在该层中,供业务系统调用并向用户展示。管理层:管理层主要指明了数据的管理指标以及管理方法。服务层主要用于对外提供数据服务接口,供云应用、系统进行调用交互。资源管理:数据资源管理为数据资源规划提供辅助作用,并方便普通用户使用规划成果、维护规划的成果及数据的工具平台。信息安全保障管理:强调了数据中心建设要高度重视信息安全的必要性,并指明了提供安全保障能力的途径。
结论
本项目建设内容既是吉林煤矿安全远程监察工作的重要支撑,同时也是国家安全生产信息化建设的重要组成部分。项目建设不但满足吉林煤监局的工作需要,与国家安全生产监管总局、国家煤监局等相关监管监察机构之间建立紧密联系,实现各单位之间的信息共享和业务协同,进一步提升本项目的应用效能,同时也更加丰富整个安全生产信息化工作的成果。
一、内容提要。 15
二、项目及项目法人概况。 15
(一)项目概况。 15
(二)业主基本情况。 15
(三)项目规划背景。 15
三、评估依据。 15
四、评估意见。 16
(一)项目建设必要性评估。 16
(二)文件编制依据和深度的评估。 16
(三)项目建设目标、规模和功能的评估。 16
(四)项目建设条件评估。 17
(五)项目技术评估。 17
(六)组织管理、实施进度及招标方案的评估。 19
(七)投资估算的评估。 20
(八)项目资金来源与筹措方案评估。 21
(九)建设项目的效益评估。 22
五、问题和建议。 23
(一)存在或遗留的重大问题。 23
(二)潜在的风险。 23
(三)建议。 23
六、项目总体评价。 23
七、评估专家名单。 23
八、附件。 23
一、内容提要
1、项目评估原则、评估工作实施概况等。
2、评估报告得出的结论及主要问题和建议。
二、项目及项目法人概况(一)项目概况
(1)项目建设单位、建设地点。
(2)建设必要性、建设目标、功能及建设规模。
(3)建设内容、规划方案主要技术经济指标。
(4)投资及资金筹措情况。
(二)业主基本情况(三)项目规划背景三、评估依据
1.咨询评估委托书
2.教育部委托投资咨询评估管理办法
3.有资质单位编制的项目可行性研究报告(含项目招标方案)
4.建设项目用地预审意见
5.城市规划部门提供的建设项目规划意见
6. 当地环保部门提供的建设项目环境影响评价意见
7. 建设单位建设资金来源证明及近三年财务报表和财务指标
8. 规划部门批准或学校编制的校园建设总体规划
9. 地方行政和行业管理部门颁发的现行各种行政收费文件
四、评估意见(一)项目建设必要性评估
分析拟建项目是否符合国家教育事业的科学发展,是否符合国家建设方针。从本学校实际情况出发,分析是否符合学校事业发展目标和校园建设总体规划要求,分析建设规模的确定原则和依据是否正确有据,对项目的必要性提出具体意见。
(二)文件编制依据和深度的评估
(1)编制依据的评估
检查项目是否具有立项批复文件,编制内容与投资规模是否在批准范围之内;民用建筑工程是否有当地规划部门批复的规划要点,是否符合规划要求,是否有重大变更,其变更是否合理,是否经主管部门批准。
(2)对报告文件完整性及编制深度评估
可研报告应包括报告文件、建设地点位置图、总平面图、建筑设计方案图、投资分析情况等内容。各项内容的编制深度应达到国家有关部门的规定。评估报告应明确指出可行性研究报告的编制是否有漏项、是否有不符合要求的内容,并提出建议。
(三)项目建设目标、规模和功能的评估
项目建设目标是否符合我国国情,是否满足该校总体规划目标的要求,是否有重复建设项目。建设规模确定的原则和依据是否准确有据,项目建设规模是否经济合理,功能是否合理并满足使用要求,是否充分利用学校现有建设用地,在满足当前规划的前提下为学校今后一定时期内留有发展余地。
(四)项目建设条件评估
(1)项目选址评估
项目选址是否符合规划原则与要求。项目建设地点的选择依据和理由是否充分,选址方案是否符合国家和所在地区国土规划、城市规划、土地管理、文物保护、环境保护等法律法规。
项目建设用地的属性是否符合决策部门的要求,总用地规模是否明确,各种功能用地的规模及地点是否明确,各类建设用地是否落实。
(2)项目建设条件评估
项目建设所需要的供电、供水、供热、供气与交通运输、通讯等设施条件是否落实且可靠稳定,能否满足项目建设和建成后正常运行的需要。当不能满足需求时,建设方案中是否有相应措施。
(3)根据提供该场地的地质勘察资料,对场地地层地况进行评估。对于无法提供拟建场地地质勘探报告的项目,可参考附近建筑物地质资料进行评估,待正式勘探报告出来以后由初步设计再进行复核和调整。
(五)项目技术评估
(1)规划总平面设计评估
规划总平面设计构思意图及布局是否科学、合理,与周边环境是否协调,竖向设计、交通组织、绿化景观、文物保护和环境保护等方面的方案是否合理、可行,是否留有扩建、改造与进一步发展的余地。其技术指标是否符合当地城建部门规定。
(2)建筑方案评估
建筑方案首先应满足该建筑的功能需要,其建筑形式、控制高度、层数、立面、出入口等应满足国家、行业、地方有关建筑法律法规的要求并考虑建筑风格以及与周边环境的协调。方案中描述的建筑标准、采用的材料、采取的措施,如通风、采光、日照、出入交通、节能等是否符合规范标准的规定。
(3)结构方案评估
评估结构设计依据是否正确,结构安全等级、设计使用年限、建筑抗震设防、所选用的主要结构形式等是否符合国家及当地有关规范及规定的要求,是否安全可靠。结构设计中是否考虑到了建设地点特殊的地基条件。
(4)电气方案评估
设计方案依据是否正确,内容是否齐全,用电负荷、各系统参数能否满足功能需要,建设标准是否恰当,系统方案是否可行,是否安全可靠、经济、合理,是否符合相应规范与标准。
(5)给排水方案评估
设计方案依据是否正确,内容是否齐全,给排水量、系统参数能否满足功能需要,建设标准是否恰当,各系统设计方案是否可行,是否安全、经济、合理,是否符合相应规范与标准。
(6)采暖通风与空调、燃气方案评估
采暖通风与空调、动力、燃气等方案设计依据是否正确,内容是否齐全,负荷、参数能否满足功能需要,各设备系统设计方案是否可行、是否安全、经济、合理,建设标准是否恰当,是否符合相应规范与标准。
(7)环境保护评估
评估是否按有关要求编制了环境影响评价报告(或在可行性报告中是否有专篇对该项目的环境影响作出评估),其报告内容是否全面,保护措施是否得当、可行等。环评报告中提出的问题,是否有解决的措施,措施是否可行。排放废气、废水、废渣的治理措施是否有效。
(8)安全卫生、安全生产评估
对于可能产生不安全因素和对卫生防疫有要求的项目,如实习工厂、生物化学实验室等类型项目,应重点评估项目技术方案的安全防范措施的可靠性。
(9)节能节水评估
评估建筑物的建筑、结构、采用材料和建筑设备的选型是否满足国家相关标准要求,是否有节能节水措施,能源来源的选择、供能方式的选择、能耗指标的控制、节水方案等是否合理,并对存在的问题提出建议。
(六)组织管理、实施进度及招标方案的评估
(1)项目组织管理
项目组织管理主要包括项目建设期组织管理和项目建成后的运行组织管理。评估项目建设期组织管理机构与职能分工是否明确;对于不具有建设项目实施管理能力的建设单位是否落实了管理机构和管理方案;项目实施各阶段的管理方案或措施是否具体;项目建成后的运行管理机构设置是否落实及合理;项目建成投入运行后管理或经营方式是否可行;对于运行经费的解决方案是否作了分析和说明。
(2)项目实施进度
根据项目的建设周期,评估其是否最有效的安排了项目实施计划和工程进度,是否编制了相应的框图,说明各阶段的工作内容和进度安排。
(3)项目招标方案
对土建工程、设备、设计、监理等投资额达到国家规定额度的,应进行招标,评估其招标方案是否合理,招标方案应符合国家发改委有关文件的规定。
(七)投资估算的评估
评估内容包括估算依据、编制方法、范围、内容及深度、主要技术经济指标等是否正确、合理,是否真实反映了可研报告中建设内容的要求。
(1)投资估算的内容
投资估算包括总投资估算和分项投资估算。在项目评估中,应对项目总投资构成的完整性、合理性和计算的准确性进行评估。总投资估算表包括建安工程费、设备和工器具购置费、工程建设其他费用、预备费和贷款利息等内容。
(2)投资估算评估要求
① 投资估算依据是否准确。因各地政府出台文件不同,对于地方性收费标准,数额差别较大,应审查取费依据是否齐全、合理。
② 投资估算的编制深度是否符合要求,各项内容的组成是否详细,仪器设备是否有估算清单,工程建设其他费用是否有详细内容等。
③ 对投资水平、投资结构是否合理进行分析评估。评估拟建项目投资水平是否恰当。投资结构主要是评估各个分项如建安工程费、设备购置费投资是否合理,其他费用各占项目总投资的比例是否合理,是否满足投资部门对投资方向、投资结构的要求。对不合理的投资部分进行调整,并编制投资估算评估调整表。评估调整表应含申报投资额、调整后投资额和调整增减额等内容。
(八)项目资金来源与筹措方案评估
对项目的资金来源、筹措方式、筹资额度、筹资风险及资金使用计划等方面的合理性和可靠性进行分析论证和评估,对存在的问题提出修改意见。
(1)资金筹措
评估可行性研究报告中提出的各类资金来源是否正当、合理、可靠,是否符合国家有关法规,各项资金来源是否落实,使用条件是否合理等内容。审核相关的证明文件和材料是否齐全,评估地方承诺的配套资金和建设单位自筹资金到位的可能性。
资金筹措方案的分析评估:含筹资数量及投放时间、筹资风险以及筹资成本等的分析评估。
(2)资金使用计划方案
资金使用的计划是否与项目实施进度计划相衔接,安排是否科学合理。用款计划安排能否与资金来源相适应,能否保证项目顺利实施。有无调整和修改的建议。
(3)对还贷能力的评估
对贷款建设的项目,评估是否有银行贷款证明或意向,并评估建设单位财务状况,以确定其还贷能力。
(九)建设项目的效益评估
主要是从经济、社会等方面的效益状况进行评估。
(1)经济效益(主要用于生产性项目和有经济收益的项目)
主要评价项目自身可能取得的经济效益状况,评估其计算是否准确全面,是否合理、客观地反映了项目的经济效益。非经营性项目建成后能否持续、稳定运行,其运行费用如何解决等。如建设项目是以经营性为主,则必须进行财务分析。
(2)社会效益
由于所评估项目大多数为非经营性项目,因此应对建设单位投资所取得的社会效益进行评估。根据项目的性质和特点,分析项目对教育发展、社会发展及各建设单位带来的效益,包括对促进国家或地区社会经济发展和社会进步,提高国家、部门或地方的教育科学技术水平,改善学校办学条件等。
五、问题和建议(一)存在或遗留的重大问题(二)潜在的风险(三)建议
(1)解决问题的途径和方法
(2)下一步工作的建议
六、项目总体评价
项目总体评价是在汇总各分项评估的基础上,对拟建项目的必要性和可行性在全面分析和综合评估的基础上提出肯定或否定的意见,对于报告中各部分内容和方案存在的重大问题提出修改意见,对申报投资估算作出投资估算调整表,确定具体调整额。对不能确定的重大问题提出建议,供主管或决策部门决策时参考。将其数据资料进行检验审核和整理,对比分析、归纳判断,提出最终结论意见和建议,并作出项目评估报告。
七、评估专家名单
评估报告应附评估专家名单,含专业、专家姓名、执业资格及职称等内容。
八、附件
二、项目及项目法人概况。
(一)项目概况。
(二)业主基本情况。
(三)项目规划背景。
三、评估依据。
四、评估意见。
(一)项目建设必要性评估。
(二)文件编制依据和深度的评估。
(三)项目建设目标、规模和功能的评估。
(四)项目建设条件评估。
(五)项目技术评估。
(六)组织管理、实施进度及招标方案的评估。
(七)投资估算的评估。
(八)项目资金来源与筹措方案评估。
(九)建设项目的效益评估。
五、问题和建议。
(一)存在或遗留的重大问题。
(二)潜在的风险。
(三)建议。
六、项目总体评价。
七、评估专家名单。
八、附件。
一、内容提要
1、项目评估原则、评估工作实施概况等。
2、评估报告得出的结论及主要问题和建议。
二、项目及项目法人概况
(一)项目概况
(1)项目建设单位、建设地点。
(2)建设必要性、建设目标、功能及建设规模。
(3)建设内容、规划方案主要技术经济指标。
(4)投资及资金筹措情况。
(二)业主基本情况
(三)项目规划背景
三、评估依据
1.咨询评估委托书
2.教育部委托投资咨询评估管理办法
3.有资质单位编制的项目可行性研究报告(含项目招标方案)
4.建设项目用地预审意见
5.城市规划部门提供的建设项目规划意见
6. 当地环保部门提供的建设项目环境影响评价意见
7. 建设单位建设资金来源证明及近三年财务报表和财务指标
8. 规划部门批准或学校编制的校园建设总体规划
9. 地方行政和行业管理部门颁发的现行各种行政收费文件
四、评估意见
(一)项目建设必要性评估
分析拟建项目是否符合国家教育事业的科学发展,是否符合国家建设方针。从本学校实际情况出发,分析是否符合学校事业发展目标和校园建设总体规划要求,分析建设规模的确定原则和依据是否正确有据,对项目的必要性提出具体意见。
(二)文件编制依据和深度的评估
(1)编制依据的评估
检查项目是否具有立项批复文件,编制内容与投资规模是否在批准范围之内;民用建筑工程是否有当地规划部门批复的规划要点,是否符合规划要求,是否有重大变更,其变更是否合理,是否经主管部门批准。
(2)对报告文件完整性及编制深度评估
可研报告应包括报告文件、建设地点位置图、总平面图、建筑设计方案图、投资分析情况等内容。各项内容的编制深度应达到国家有关部门的规定。评估报告应明确指出可行性研究报告的编制是否有漏项、是否有不符合要求的内容,并提出建议。
(三)项目建设目标、规模和功能的评估
项目建设目标是否符合我国国情,是否满足该校总体规划目标的要求,是否有重复建设项目。建设规模确定的原则和依据是否准确有据,项目建设规模是否经济合理,功能是否合理并满足使用要求,是否充分利用学校现有建设用地,在满足当前规划的前提下为学校今后一定时期内留有发展余地。
(四)项目建设条件评估
(1)项目选址评估
项目选址是否符合规划原则与要求。项目建设地点的选择依据和理由是否充分,选址方案是否符合国家和所在地区国土规划、城市规划、土地管理、文物保护、环境保护等法律法规。
项目建设用地的属性是否符合决策部门的要求,总用地规模是否明确,各种功能用地的规模及地点是否明确,各类建设用地是否落实。
(2)项目建设条件评估
项目建设所需要的供电、供水、供热、供气与交通运输、通讯等设施条件是否落实且可靠稳定,能否满足项目建设和建成后正常运行的需要。当不能满足需求时,建设方案中是否有相应措施。
(3)根据提供该场地的地质勘察资料,对场地地层地况进行评估。对于无法提供拟建场地地质勘探报告的项目,可参考附近建筑物地质资料进行评估,待正式勘探报告出来以后由初步设计再进行复核和调整。
(五)项目技术评估
(1)规划总平面设计评估
规划总平面设计构思意图及布局是否科学、合理,与周边环境是否协调,竖向设计、交通组织、绿化景观、文物保护和环境保护等方面的方案是否合理、可行,是否留有扩建、改造与进一步发展的余地。其技术指标是否符合当地城建部门规定。
(2)建筑方案评估
建筑方案首先应满足该建筑的功能需要,其建筑形式、控制高度、层数、立面、出入口等应满足国家、行业、地方有关建筑法律法规的要求并考虑建筑风格以及与周边环境的协调。方案中描述的建筑标准、采用的材料、采取的措施,如通风、采光、日照、出入交通、节能等是否符合规范标准的规定。
(3)结构方案评估
评估结构设计依据是否正确,结构安全等级、设计使用年限、建筑抗震设防、所选用的主要结构形式等是否符合国家及当地有关规范及规定的要求,是否安全可靠。结构设计中是否考虑到了建设地点特殊的地基条件。
(4)电气方案评估
设计方案依据是否正确,内容是否齐全,用电负荷、各系统参数能否满足功能需要,建设标准是否恰当,系统方案是否可行,是否安全可靠、经济、合理,是否符合相应规范与标准。
(5)给排水方案评估
设计方案依据是否正确,内容是否齐全,给排水量、系统参数能否满足功能需要,建设标准是否恰当,各系统设计方案是否可行,是否安全、经济、合理,是否符合相应规范与标准。
(6)采暖通风与空调、燃气方案评估
采暖通风与空调、动力、燃气等方案设计依据是否正确,内容是否齐全,负荷、参数能否满足功能需要,各设备系统设计方案是否可行、是否安全、经济、合理,建设标准是否恰当,是否符合相应规范与标准。
(7)环境保护评估
评估是否按有关要求编制了环境影响评价报告(或在可行性报告中是否有专篇对该项目的环境影响作出评估),其报告内容是否全面,保护措施是否得当、可行等。环评报告中提出的问题,是否有解决的措施,措施是否可行。排放废气、废水、废渣的治理措施是否有效。
(8)安全卫生、安全生产评估
对于可能产生不安全因素和对卫生防疫有要求的项目,如实习工厂、生物化学实验室等类型项目,应重点评估项目技术方案的安全防范措施的可靠性。
(9)节能节水评估
评估建筑物的建筑、结构、采用材料和建筑设备的选型是否满足国家相关标准要求,是否有节能节水措施,能源来源的选择、供能方式的选择、能耗指标的控制、节水方案等是否合理,并对存在的问题提出建议。
(六)组织管理、实施进度及招标方案的评估
(1)项目组织管理
项目组织管理主要包括项目建设期组织管理和项目建成后的运行组织管理。评估项目建设期组织管理机构与职能分工是否明确;对于不具有建设项目实施管理能力的建设单位是否落实了管理机构和管理方案;项目实施各阶段的管理方案或措施是否具体;项目建成后的运行管理机构设置是否落实及合理;项目建成投入运行后管理或经营方式是否可行;对于运行经费的解决方案是否作了分析和说明。
(2)项目实施进度
根据项目的建设周期,评估其是否最有效的安排了项目实施计划和工程进度,是否编制了相应的框图,说明各阶段的工作内容和进度安排。
(3)项目招标方案
对土建工程、设备、设计、监理等投资额达到国家规定额度的,应进行招标,评估其招标方案是否合理,招标方案应符合国家发改委有关文件的规定。
(七)投资估算的评估
评估内容包括估算依据、编制方法、范围、内容及深度、主要技术经济指标等是否正确、合理,是否真实反映了可研报告中建设内容的要求。
(1)投资估算的内容
投资估算包括总投资估算和分项投资估算。在项目评估中,应对项目总投资构成的完整性、合理性和计算的准确性进行评估。总投资估算表包括建安工程费、设备和工器具购置费、工程建设其他费用、预备费和贷款利息等内容。
(2)投资估算评估要求
① 投资估算依据是否准确。因各地政府出台文件不同,对于地方性收费标准,数额差别较大,应审查取费依据是否齐全、合理。
② 投资估算的编制深度是否符合要求,各项内容的组成是否详细,仪器设备是否有估算清单,工程建设其他费用是否有详细内容等。
③ 对投资水平、投资结构是否合理进行分析评估。评估拟建项目投资水平是否恰当。投资结构主要是评估各个分项如建安工程费、设备购置费投资是否合理,其他费用各占项目总投资的比例是否合理,是否满足投资部门对投资方向、投资结构的要求。对不合理的投资部分进行调整,并编制投资估算评估调整表。评估调整表应含申报投资额、调整后投资额和调整增减额等内容。
(八)项目资金来源与筹措方案评估
对项目的资金来源、筹措方式、筹资额度、筹资风险及资金使用计划等方面的合理性和可靠性进行分析论证和评估,对存在的问题提出修改意见。
(1)资金筹措
评估可行性研究报告中提出的各类资金来源是否正当、合理、可靠,是否符合国家有关法规,各项资金来源是否落实,使用条件是否合理等内容。审核相关的证明文件和材料是否齐全,评估地方承诺的配套资金和建设单位自筹资金到位的可能性。
资金筹措方案的分析评估:含筹资数量及投放时间、筹资风险以及筹资成本等的分析评估。
(2)资金使用计划方案
资金使用的计划是否与项目实施进度计划相衔接,安排是否科学合理。用款计划安排能否与资金来源相适应,能否保证项目顺利实施。有无调整和修改的建议。
(3)对还贷能力的评估
对贷款建设的项目,评估是否有银行贷款证明或意向,并评估建设单位财务状况,以确定其还贷能力。
(九)建设项目的效益评估
主要是从经济、社会等方面的效益状况进行评估。
(1)经济效益(主要用于生产性项目和有经济收益的项目)
主要评价项目自身可能取得的经济效益状况,评估其计算是否准确全面,是否合理、客观地反映了项目的经济效益。非经营性项目建成后能否持续、稳定运行,其运行费用如何解决等。如建设项目是以经营性为主,则必须进行财务分析。
(2)社会效益
由于所评估项目大多数为非经营性项目,因此应对建设单位投资所取得的社会效益进行评估。根据项目的性质和特点,分析项目对教育发展、社会发展及各建设单位带来的效益,包括对促进国家或地区社会经济发展和社会进步,提高国家、部门或地方的教育科学技术水平,改善学校办学条件等。
五、问题和建议
(一)存在或遗留的重大问题
(二)潜在的风险
(三)建议
(1)解决问题的途径和方法
(2)下一步工作的建议
六、项目总体评价
项目总体评价是在汇总各分项评估的基础上,对拟建项目的必要性和可行性在全面分析和综合评估的基础上提出肯定或否定的意见,对于报告中各部分内容和方案存在的重大问题提出修改意见,对申报投资估算作出投资估算调整表,确定具体调整额。对不能确定的重大问题提出建议,供主管或决策部门决策时参考。将其数据资料进行检验审核和整理,对比分析、归纳判断,提出最终结论意见和建议,并作出项目评估报告。
七、评估专家名单
评估报告应附评估专家名单,含专业、专家姓名、执业资格及职称等内容。
八、附件
一、档案信息化建设
(一)档案管理信息化建设的含义
信息化是档案管理模式转变的大趋势,传统档案管理工作的重点在与档案实体的保管作业。而信息化建设使得档案管理由实体档案向着数字化信息档案转变。档案管理的信息化建设需要把档案信息进行数据化的处理,使档案管理的各个环节,诸如传递、接收、存储等环节连为一体,优化档案信息的共享机制。在档案管理信息化建设的进程中,管理工作者需要借助多种技术手段,比如,数据库技术、扫描技术、数据处理技术等。在这些技术的帮助下,传统的形式的档案文件系统化地连接在了一起,构成有序的档案信息库。
(二)档案管理信息化建设的可行性
随着信息技术的发展,数据技术开始广泛应用到各行各业中,也为科学化档案管理改革提供了契机。目前,国内绝大部分企业机关的档案管理部门都配有信息化的网络,并且有关档案管理人员也能够进行信息化的操作。企业对档案管理信息化建设的尝试,为宏观的档案管理工作的变革提供了经验。我国陆陆续续地制定了一系列关于信息化档案管理的规范标准,相关的法律也在不断地健全,这种举措大大增强了各部门对档案管理的重视,对档案管理信息化的建设具有非常积极的意义。
二、档案信息化建设的风险管理
(一)风险管理分等级措施
档案信息化的风险管理宜采用分级的措施。首先,相关工作人员要依照档案信息化建设的风险评估数据,根据已经区分的风险级别,评定档案管理信息化风险管理的优先的风险等级。然后,在评估风险管理优先级的条件下,给每一级的风险要素加设风险管理要求。最后,依照划分的风险管理要求,来评估档案信息化建设在不在可接受风险以内,如若低于可接受风险等级,就必须即刻采取相应的风险管理办法,施展应对措施。
(二)风险保证金的预留
档案信息化建设是一项投资大、周期长、风险高的项目,项目预算应预留一定的风险保证金,为了有效应对项目由于需求的变化,降低事故造成的金融风险。此外,在不同地区或单位建设档案管理的信息化,项目负责人要从本区域档案管理的发展战略出发,制定相适应的信息化发展目标,档案信息化建设规划的可行性,避免档案管理信息化的重复投资,确保资金的合理使用。
(三)采用逐步转变的办法
信息化的技术的未来行业发展的前景,但是它在一定程度上是难以预测的,完全的规避风险很难做到。档案管理的信息化建设宜采用逐步转化、持续改进的办法。在引入信息化技术的时候,决策者首先要考虑信息技术产品的稳定性以及和现有档案管理系统的兼容性,不能盲目地引进新技术。在档案管理信息化O备的选购上,要制定与档案档案信息化建设相适应的标准规范。从设备的可靠性、风险性、成本等因素多方面评估,选购最合适的设备。
三、档案管理信息化建设的风险评估方略
档案管理的信息系统涉及到很多的模型,随着信息技术快速的更新换代,各种数学模型都在不断的优化。所以,档案信息化建设的风险评估要存在于整个信息系统开发的全过程中,但是档案管理信息化建设每阶段的内容差别很大,其对信息管理安全风险评估的要求也不尽相同。
(一)分析阶段的风险评估
档案管理信息化建设分析阶段风险评估主要针对的是档案信息系统安全风险的获得环节,只有获取充分的信息才能满足档案管理信息化建设的安全需求。分析阶段风险评估要重视档案管理系统的初期安全风险,满足其对安全性能的需求,进而从宏观的方面评估档案信息管理系统中潜在的危险因素。
(二)设计阶段的风险评估
此阶段涉及到的评估目标比较多,确切的安全目标对这个阶段的工作具有重要的意义。设计者必须进行合理的安全风险评估,确保档案信息管理信息化系统的安全性能。
(三)运行维护阶段的风险评估
在档案管理信息化系统的运行阶段对周期性地进行风险评估工作,只有这样才能充分确保档案管理系统的安全、可靠性。
参考文献:
[1]陈,刘波,任鑫.基于专家未知权重群决策FANP和SVM的煤炭企业管理信息化项目建设风险评估[J].中国煤炭,2015,(12).
[2]邓瑞生.加强企业档案管理 提高规范化水平 促进全市档案事业又好又快发展[A].甘肃省档案学会.档案安全与档案服务――2011年甘肃省档案工作者年会论文集[C].甘肃省档案学会,2011.
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。