常用风险评价方法

第一部分风风险险评评价价 新年伊始随着公司业务量越来越多 给公司带来了希望也带 来了风险 对作业环境的风险评价和作业岗位的风险 评价工作日 显重要 目前从提交的安全管控方案等安全资料上看都存在着一 些问题 在此公司安全环保部原与大家共同学习第一部分风 险识 别与评价 什什么么是是风风险险评评 价价 风险评价 Risk Assessment 是指 在风险事件发生之前 或之后 但还没有结束 该事件给人们的生活 生命 财产等 各个方面造成的影响和损失的可能性进行量化评 价的工作 即 风险评价就是量化测评某一事件或事物带来的影响或损失的可能 程度 从信息安全的角度来讲 风险评 价是对信息资产 即某事件 或事物所具有的信息集 所面临的威胁 存在的弱点 造成的影 响 以及综合作用所带来风险的可能性的评 价 风风险险评评价价任任务务 风险评价的主要任务包括 识别组织 或称项目 面临的各种风险 评价风险概率和可能带来的负面影响 确定组织 或称项目 承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 风风险险评评价价过过程程注注意意事事项项 在风险评价过程中 有几个关键的问题需要考虑 首先 要确定保护的对象 资产 人 其它 是什么 它的 直接和间接价值如何 其次 资产 人 其它面临哪些潜在威胁 导致威胁的问题 所在 威胁发生的可能性有多大 第三 资产 人 其它中存在哪里弱点可能会被威胁 第四 一旦威胁事件发生 组织 或称项目 会遭受怎样的损 失或者面临怎样的负面影响 最后 组织 或称项目 应该采取怎样的安全措施才能将风险 带来的损失降低到最低程度 解决以上问题的过程 就是风险评 价的过程 进行风险评价时 有几个对应关系必须考虑 每项资产可能面临多种威胁 威胁源 威胁代理 可能不止一个 每种威胁可能利用一个或多个弱点 风风险险评评价价的的可可行行途途径径 在风险管理的前期准备阶段 组织 或称项目 已经根据安全 目标确定了自己的安全战略 其中 重要的就是对风险评价战略的 考虑 所谓风险评 价战略 其实就是进行风险评 价的途径 也就 是规定风险评 价应该延续的操作过程和方式 风险评价的操作范围可以是整个组织 也可以是组织中的某 一部分 或者独立的信息系统 特定系统组件和服务 针对检修 公司而言可以是公司级的或部门级 管理部门或 作业部门 的 班组级的 作业部下的技术组 或班组 影响风险评价进展的某些因素 包括评 价时间 力度 展开 幅度和深度 但这些都应与组织 或称项目 的环境和安全要求相 符合 风险评价的优点在于 1 组织 或称项目 可以通过详细的风险评 价而对信息安全 风险有一个精确的认识 并且准确定义出组织 或称项目 目前的 安全水平和安全需求 2 评价的结果可用来管理安全变化 当然 风险评价可能 是非常耗费资源的过程 包括时间 精力和技术 常常用用风风险险评评价价方方法法 格雷厄姆风险评价方法 LEC 法 LEC 法是一种常用的风险评价方法 可采取计算每一项已辨识出的 危险源所带来的风险 其风险值 D 由三个主要因素 L E C 的指标 值的乘积表示 即 D LEC 三种主要因素的评价方法为 L 发生事故的可能性大小 事故发生的可能性大小用概率来 表示时 绝对不可能发生的事故概率为 0 必然发生的事故概率为 1 因此人为的将发生事故可能极小的分数定为 0 1 必然要发生事 故的分数可定为 10 介于这两者之间的情况定为若干中间值 如下 表 E 暴露于危险环境中频繁程度 人员出现在危险环境中的时 间越多 发生危险性越大 规定连续出现在危险环境的情况为 10 而非常罕见地出现在危险环境中为 0 5 介于两者之间的各种情况 规定若干个中间值 如下表 C 事故产生的后果 事故造成人身伤害与财产损失变化范 围很大 所以规定分数值在 1 100 之间 轻微伤害或较小财产损失 的分类规定为 1 造成人员伤亡较大的可能性规定为 100 其他情况 的数值在 1 100 之间 如下表 D 风险值 D L E C 确定 D 值后关键是如何确定风险级别 的界限值 而这个界限值并不是长期固定不变的 在不同时期可根 据具体情况确定风险级别的界限值 以确定持续改进的措施 如下 表 LEC 法虽然比较科学 但却难以确定各种因素的准确数据 确 定各种因素的数据时 需要建立在经验判断的基础上 如发生事故 的可能性 和发生事故产生的后果 对同一工作过程 不同的人员可能得出