关键词 计算机;网络风险;防范模式;防范流程
中图分类号 F062.5 [KG*2]文献标识码 A [KG*2]文章编号 1002-2104(2011)02-0096-04
在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。计算机网络风险防范的目的就是要缓解和平衡这一对矛盾,将风险防范到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。风险防范做不好,系统中所存在的安全风险不仅仅影响系统的正常运行,且可能危害到政府部门自身和社会公众,严重时还将威胁国家的安全。论文提出了在选择风险防范策略时如何寻找合适的风险防范实施点并按照实施风险防范的具体过程来进行新技术下的风险防范,从而帮助完成有效的风险管理过程,保护组织以及组织完成其任务。
1 计算机网络风险管理
计算机网络风险管理包括三个过程:计算机网络属性特征分析、风险评估和风险防范。计算机网络属性特征分析包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在计算机网络风险防范过程中,计算机网络属性的确立过程是一次计算机网络风险防范主循环的起始,为风险评估提供输入。风险评估过程,包括对风险和风险影响的识别和评价,以及降低风险措施的建议。风险防范是风险管理的第三个过程,它包括对在风险评估过程中建议的安全控制进行优先级排序、评价和实现,这些控制可以用来减轻风险。
2 网络风险模式研究
2.1 风险防范体系
计算机风险防范模式包括选择风险防范措施(风险假设、风险规避、风险限制、风险计划、研究和了解、风险转移)、选择风险防范策略(包括寻找风险防范实施点和防范控制类别的选择)、实施风险防范3个过程。在实施风险防范的过程中包括对行动进行优先级排序、评价建议的安全控制类别、成本-收益分析、选择风险防范控制、分配责任、制定安全措施实现计划、实现被选择的安全控制,最后还要进行残余风险分析。
2.2 风险防范措施
风险防范是一种系统方法,高级管理人员可用它来降低使命风险。风险防范可以通过下列措施实现:
(1)风险假设:接受潜在的风险并继续运行IT系统,或实现安全控制以把风险降低到一个可接受的级别。
(2)风险规避:通过消除风险的原因或后果(如当识别出风险时放弃系统某项功能或关闭系统)来规避风险。
(3)风险限制:通过实现安全控制来限制风险,这些安全控制可将由于系统弱点被威胁破坏而带来的不利影响最小化(如使用支持、预防、检测类的安全控制)。
(4)风险计划:制定一套风险减缓计划来管理风险,在该计划中对安全控制进行优先排序、实现和维护。
(5)研究和了解:通过了解系统弱点和缺陷,并研究相应的安全控制修正这些弱点,来降低风险损失。
(6)风险转移:通过使用其他措施补偿损失,从而转移风险,如购买保险。
在选择风险防范措施中应该考虑机构的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害影响的威胁/弱点进行优先排序。同时,在保护机构使命及其IT系统时,由于每一机构有其特定的环境和目标,因此用来减缓风险的措施和实现安全控制的方法也各不相同。最好的方法是从不同的厂商安全产品中选择最合适的技术,再伴以适当的风险防范措施和非技术类的管理措施。
2.3 风险防范策略
高级管理人员和使命所有者在了解了潜在风险和安全控制建议书后,可能会问:什么时候、在什么情况下我们该采取行动?什么时候该实现这些安全控制来进行风险防范,从而保护我们的机构?
如图1所示的风险防范实施点回答了这个问题。在图1中,标有“是”的地方是应该实现风险防范的合适点。
总结风险防范实践,以下经验可以对如何采取行动来防范由于故意的人为威胁所带来的风险提供指导:
杨涛等:计算机网络风险防范模式研究中国人口•资源与环境 2011年 第2期(1)当存在系统漏洞时,实现保证技术来降低弱点被攻击的可能性;
(2) 当系统漏洞被恶意攻击时,运用层次化保护、结构化设计以及管理控制将风险最小化或防止这种情形的发生;
(3) 当攻击者的成本比攻击得到更多收益时,运用保护措施,通过提高攻击者成本来降低攻击者的攻击动机(如使用系统控制,限制系统用户可以访问或做些什么,这些措施能够大大降低攻击所得);
(4) 当损失巨大时,运用设计原则、结构化设计以及技术或非技术类保护措施来限制攻击的程度,从而降低可能的损失。
上面所述的风险防范策略中除第三条外,也都可运用来防范由于环境威胁或无意的人员威胁所带来的风险。
2.4 风险防范模式的实施
在实施风险防范措施时,要遵循以下规则:找出最大的风险,然后争取以最小的代价充分减缓风险,同时要使对其他使命能力的影响最小。实施措施通过以下七个步骤来完成,见图2。
2.4.1 对行动进行优先级排序
基于在风险评估报告中提出的风险级别,对行动进行优先级排序。在分配资源时,那些标有不可接受的高风险等级(如被定义为非常高或高风险级别的风险)的风险项目应该最优先。这些弱点/威胁需要采取立即纠正行动以保护机构的利益和使命。步骤一输出―从高到低优先级的行动。
2.4.2 评价建议的安全控制
风险评估过程中建议的安全措施对于具体的机构和IT系统可能不是最适合和可行的。在这一步中,要对建议
图1 网络风险防范实施点
Fig.1 Network implementation point of risk prevention
图2 实施风险防范措施流程及其输入输出
Fig.2 Implementation of risk prevention measures and
the input and output processes
的安全控制措施的可行性(如兼容性、用户接受程度)和有效性(如保护程度和风险防范级别)进行分析。目的是选择最适当的安全控制措施以最小化风险。步骤二输出―可行安全控制清单。
2.4.3 实施成本-收益分析
为了帮助管理层做出决策并找出性价比好的安全控制,要实施成本―收益分析。第三步输出―成本-收益分析,其中描述了实现或者不实现安全控制所带来的成本和收益 。
2.4.4 选择安全控制
在成本-收益分析的基础上,管理人员确定性价比最好的安全控制来降低机构使命的风险。所选择的安全控制应该结合技术、操作和管理类的控制元素以确保IT系统和机构适度的安全。步骤四输出―选择好的安全控制。
2.4.5 责任分配
遴选出那些有合适专长和技能来实现所选安全控制的人员(内务人员或外部签约人员),并分配以相应责任。步骤五输出―责任人清单。
2.4.6 制定一套安全措施实现计划
在这一步,将制定一套安全措施实现计划(或行动计划)。这套计划应该至少包括下列信息:
(1)风险(弱点/威胁)和相关的风险级别(风险评估报告输出)。
(2)建议的安全控制(风险评估报告输出)。
(3)优先排序过的行动(标有给那些有非常高和高风险级别的项目分配的优先级)。
(4)被选择的计划好的安全控制(基于可行性、有效性、机构的收益和成本来决定)。
(5)实现那些被选择的计划好的安全控制所需要的资源。
(6)负责小组和人员清单。
(7)开始实现日期。
(8)实现完成的预计日期。
(9)维护要求。
2.4.7 实现被选择的安全控制
根据各自的情况,实现的安全控制可以降低风险级别但不会根除风险。步骤七输出―残余风险清单。
3 网络风险防范案例
以某市政府官方门户网络应用系统为例,首先要对网络应用系统进行属性分析,风险评估,然后根据风险评估报告和承受能力来决定风险防范具体措施。
3.1 风险评估
该计算机网络应用系统安全级别要求高,根据手工和自动化网络风险评估,结果如下所示:
数据库系统安全状况为中风险等级。在检查的33个项目中,共有9个项目存在安全漏洞。其中:3 个项目为高风险等级,占总检查项目的 9%;1 个项目为中风险等级,占总检查项目的 3%;5 个项目为低风险等级,占总检查项目的 15%。
3.2 风险防范具体措施
选择风险防范措施中的研究和了解同时进行风险限制。确定风险防范实施点,该数据库的设计存在漏洞并且该漏洞可能被利用,所以应该实施风险防范。实施步骤如下:
步骤一:对以上扫描结果中的9个漏洞进行优先级排序,确立每个项目的风险级别。
步骤二:评价建议的安全控制。在该网站主站数据库被建立后针对评估报告中的安全控制建议进行分析,得出要采取的防范策略。
步骤三:对步骤二中得出相应的若干种防范策略进行成本收益分析,最后得出每种防范策略的成本和收益。
步骤四:选择安全控制。对上述扫描的9个漏洞分别选择相应的防范策略。
步骤五:责任分配,输出负责人清单。
步骤六:制定完整的漏洞修复计划。
步骤七:实施选择好的防范策略,按表1对这9个漏洞进行一一修复。
表1 防范措施列表
Tab.1 List of preventive measures
漏洞ID
Vulnerability
ID 漏洞名称
Vulnerability
Name级别
level风险防范策略
Risk prevention
strategiesAXTSGL1006Guest用户检测高预防性技术控制AXTSGL1008登录模式高预防性技术控制AXTSGL3002审计级别设置高监测和恢复技术控制AXTSGL3011注册表存储过程权限中支持和预防性技术控制AXTSGL2001允许远程访问低预防性技术控制AXTSGL2012系统表访问权限设置低预防性技术控制AXTSGL3003安全事件审计低监测恢复技术控制AXTSGL3004黑盒跟踪低恢复管理安全控制AXTSGL3006C2 审计模式低监测和恢复技术控制
4 总 结
在进行计算机网络风险管理分析的基础上,提出了新技术下的风险防范模式和体系结构,同时将该防范模式成功应用到某市官方网站的主站数据库中。应用过程中选择了恰当的防范措施,根据新技术下风险防范实施点的选择流程确立了该数据库的防范实施点并严格按照风险防范实施步骤进行风险防范的执行,成功地使风险降低到一个可接受的级别,使得对机构的资源和使命造成的负面影响最小化。
虽然该防范模式在一定程度上降低了风险的级别,但是由于风险类型的不可预见性和防范策略的局限性,该模式未必使机构或系统的风险降到最低,因此风险防范有待于进一步改进和完善,这将是一个长期的任务。
参考文献(References)
[1]蔡昱,张玉清.风险评估在电子政务系统中的应用[J].计算机工程与应用,2004,(26):155-159.[Cai Yu,Zhang Yuqing .Risk assessment in Egovernment System[J]. Computer Engineering and Applications: 2004(26):155-159.]
[2]张平,蒋凡.一种改进的网络安全扫描工具[J].计算机工程,2001.27(9):107-109,128.[Zhangping, Jiangfan. Improved Network Security Scanner. Computer Engineering[J].2001,27(9):107-109,128.]
[3]卿斯汉.网络安全检测的理论和实践[J].计算机系统应用,2001,(11):24-28.[Qing Sihan. Network Security Detection Theory and Practice[J]. Computer SystemApplication,2001,(11):24-28.]
[4]戴志峰,何军.一种基于主机分布式安全扫描的计算机免疫系统模型[J].计算机应,2001,21(10):24-26,29.[Dai Zhifeng,He jun.Host based Distributed Security Model of the Immune System Scan the Computer[J]. Computer Application, 2001,21(10):24-26,29.]
Research on Risk Precention Model of Computer Network
YANG Tao1 LI Shuren1 DANG Depeng2
( 1. Computer Network Information Center,Chinese Academy of Sciences,Beijing 100190,China;
2. College of Information Science and Technology,Beijing Normal University,Beijing100875,China)
关键词:煤矿安全;双重预防机制;安全风险分级管控;隐患排查治理
1煤矿双重预防机制的基本概念及其重要意义
1.1煤矿安全风险分级管控的定义
煤矿安全风险分级管控是指煤矿安全生产管理实施过程前,煤矿企业对照国家规定的分级标准,辨识其中表现最突出的安全风险、生产作业风险因素的级别或者等级。从而能够科学合理确定风险评估所有必需的要素,同时建立安全风险评估的分析数据库,煤矿企业结合自身生产实际,并根据安全生产评估的数据分析其研究结果,继而采取有效的管控控制措施,从安全作业风险组织、安全作业制度、安全作业技术、安全作业应急管理等各个方面,确保煤矿安全风险的生产作业风险始终能够保持在完全处于有效的受控制的范围之内,以较高的效率严格预防遏制“认不清、想不到”的各类煤矿生产安全事故的频繁反复发生[1]。
1.2煤矿隐患排查治理的内容
煤矿安全生产隐患治理的内容包括隐患排查治理的问题内容,以及及时排查治理的登记跟踪,煤矿隐患排查治理问题工作的主体主要是指各级煤矿企业相关部门负责人,由各级煤矿企业相关部门的负责人按照本煤矿安全隐患治理问题及时排查登记管理制度,同时组织煤矿企业管理人员、生产技术人员、经营管理人员和其他煤矿企业相关的工作人员,对在日常煤矿安全生产活动中可能因为事故导致煤矿安全事故等情况,进行及时、有效地安全隐患问题大排查,对在安全隐患问题大排查中暴露出的各种安全隐患,按照危险等级确定顺序,并及时进行隐患排查治理登记、跟踪,同时按照“五到位”各项工作的指导原则及时组织,有效地进行安全隐患排查治理、整改,从而实现完成煤矿企业的安全生产经营管理的各项业务工作的全过程闭环控制管理,进行切实可行且安全有序高效率地准确解决安全生产作业在煤矿日常生产“查不清、管不住”的安全隐患治理问题。
1.3两项工作的相同点和不同点
安全风险分级管控和隐患排查机制这两项煤矿安全管理的工作,从两者的基本关系来看,按照矛盾的理论观点,两者有不同之处,虽然两者同为煤矿安全生产管理的同一类事务,归属同一类事务的两个基本方面,性质是相同的,但是两者工作的侧重点和在实际工作中的应用顺序又是不同的。(1)两项工作的相同点。安全风险分级管控和隐患排查机制两项安全管理工作的主要任务目的是一致的,主要任务目的都是从煤矿安全生产风险管理的角度出发,深刻认识到煤矿安全生产管理的重要性,通过对煤矿安全生产隐患中危害风险的超前管控、对重大煤矿安全生产事故隐患的事前事中排查、事后及时治理作为重要手段,坚决把各类煤矿重大事故都及时消灭在隐患风险危害的萌芽阶段,更加高效率地及时防范各类型煤矿安全生产重大事故的再一次发生。由此可知,安全风险分级管控和隐患排查机制两项安全管理工作都一样,对各类煤矿安全事故隐患风险进行事前排查,其实质都一样,也就是准确辨识安全管理经营者和服务事业单位自身,可能必然存在的各类煤矿安全事故隐患风险危害以及安全生产重大风险的影响因素,然后及时地研究采取其他管理而制定的相应措施,在各类煤矿安全事故没有完全发生前,对这些隐患危害风险因素分别及时进行事前风险控制和事中排查事后解决。两项安全管理工作均严格按照实行分级管理,都将安全管理生产危害风险最高等级级别分级为“红、橙、黄、蓝”(其中以下红色为危害风险程度最高级别),4个级别的划分让煤矿企业对风险最高等级分别及时进行管控,将各类煤矿安全事故隐患危害风险等级分为重大类型安全隐患和一般重大安全隐患分别进行事前排查事后治理。(2)两项工作的不同点。安全隐患事故风险项目排查治理和风险评估治理工作是一个具有周期性的一项煤矿安全生产治理工作,作为一个隐患排查治理及专项排查辨识决策治理,是在一定时间内或者一段时期进行开展的一项管理工作。而煤矿安全隐患治理则仅仅只是日常排查的一项工作,煤矿企业每天都需要按时进行隐患的排查治理,其中包括由煤矿作业风险的管理人员、技术人员以及安监人员对煤矿企业的安全作业风险治理重点区域或是实际生产的每一个工作面、每一个车间进行的定期的常规的日常煤矿隐患排查,并且所在煤矿工作岗位上的煤矿作业风险治理技术人员在日常进行煤矿作业风险治理评估过程中也不一定需要随时随地进行排查这些安全事故隐患。
1.4双重预防机制的理论价值及意义
(1)体现了“预防为主”的指导思想。双重预防机制实现了安全生产管理新的关口再次地向前移。“安全第一、预防为主”,作为我国生产企业风险管理工作的一项重要基本方针,双重预防机制的理论价值就直接体现了“预防为主”的指导思想。目前,在建立事故风险安全预防综合治理体系方面,基本建立健全完成。由双重风险应急重大事故安全处置风险治理体系转向双重重大事故生产风险安全预防,实现了今年以来全国安全生产技术企业生产风险管理工作形势明显好转。(2)体现了风险管理全过程的思想。双重过程预防管控机制对作业风险管控进行两个全过程预防管理。首先,在可能产生风险隐患之前对现有风险隐患进行实时预控,即通过对现有风险隐患进行实时识别、评估、分级,并及时采取有效率的预防管控风险措施,达到有效减少作业风险、降低作业风险以及危害严重程度的主要目的,在风险隐患可能产生的各个源头阶段起到有效控制风险作用,防止风险隐患反复产生;其次,在风险作业管理过程中,对已经发现产生的风险隐患情况进行实时排查,即对各项风险可能控制相关情况及时进行跟踪监测,随时随地关注各项风险可能失控相关情况;再次,对隐患排查中已经发现的各项风险可能失控(也称即风险隐患)相关情况立即采取措施一并进行综合治理(也称即风险隐患综合治理),总结研究分析造成风险管控各个环节可能失效的主要原因,不断对安全生产风险管控分级预防管控的管理机制和管控措施体系进行创新完善。
2双重预防机制在煤矿系统内大型煤矿的管理实践与应用探讨
2.1安全风险分级管控和隐患排查治理机制实施工作情况
(1)全面规范开展安全生产风险识别辨识。组织领导全体企业员工通过全方位、全过程对企业相关的安全生产管理系统、生产工艺、设备维护设施、作业管理环境、工作岗位、人员使用行为等各个方面信息进行安全风险分析辨识,并逐一将经过辨识后得出的安全生产风险数据进行分析记录[2]。(2)有效管控安全风险。根据确定的管控危害风险类别和管控风险管理等级,明确公司所属企业矿区应排查暴露出各类危害风险的管控危害管理职责层级,矿长为主要危害风险管理责任人,与煤矿公司所属分管副高级助理矿长、总工程师等管控重大风险类别类型风险,矿各直属职能部门、区队管控较大风险类别类型风险,班组管理成员个体管控一般风险类别类型风险,员工参与所属企业个人组织个体管控低风险类别类型风险。近年公司先后采取安全管理制度体系规范风险管理、技术手段、设备生产技术规范更新、个体生产风险管理防护、监测设备风险管理监控、应急处置风险管理等多项安全综合管控风险管理控制措施,确保安全高效生产并对风险进行实时安全可控、在线管控。
2.2对策建议
(1)加大对双重风险预防管理机制建设宣传和学习培训教育力度。每年针对我们煤矿各管理层级员工开展关于双重风险预防管理机制建设方面的专项宣传培训并不断加强学习宣传教育工作,让我们全体煤矿员工都深刻接受并自觉学习践行煤矿风险管理优先的经营理念,学习煤矿风险管理的相关基本知识,掌握煤矿风险因素辨识和煤矿隐患风险排查的基本操作方法。(2)出台双重风险预防管理机制强化企业管理标准。围绕双重风险预防管理机制主要涉及的企业危险源识别辨识、风险评估、防控管理措施、隐患风险排查和企业隐患风险治理等企业重点工作环节和管理内容,出台一系列分别适用于企业集团公司所有煤炭产业板块不同特点的企业技术管理方法规范标准、工作规范标准和风险管理规范标准,指导企业系统内所有煤矿能够更好、更全面管理内容,出台一系列分别适用于企业集团公司所有煤炭产业板块不同特点的企业技术管理方法规范标准、工作规范标准和风险管理规范标准,指导企业系统内所有煤矿能够更好、更全面地组织开展企业风险评估预控管理工作[3]。(3)建立风险分级管控制度和隐患排查治理制度。这两项工作制度的建立主体主要是煤矿安全生产单位。双重预防机制的建设有助于煤矿企业的安全生产经营单位进行安全生产的标准化建设,同时通过自查自纠自整改,进行定期的安全风险评估及隐患排查,不断完善安全风险举措,实现煤矿安全生产的关口前移。(4)建立风险数据库。将作业流程以及客观存在的危险有害因素进行危险源的辨识。辨识完所有的风险因素之后,根据LEC风险评价的方法进行风险评估,然后按照不同的等级分为四级,分别为重大风险,较大风险,一般风险和低风险。针对不同的风险,我们需要采取一定的风险管控措施。当然不同层级的风险分级管控要体现出来,一般最高层级需要控制重大风险和较大风险,而最低的班组级别需要控制到四个层级的风险,采取的管控措施也就更加细致。此外,结合我们日常的安全检查,形成隐患排查台账,对于排查出来的隐患,要及时进行整改,对未按期进行整改的,后续要进行闭环整改跟踪。(5)建立岗位风险告知卡。建筑物或作业平面区域的风险四色图以及作业风险比较图。将以上三类图片粘贴在作业现场醒目的位置,起到警示和提示的作用。岗位风险告知卡中应明确岗位的风险因素、安全举措、应急措施、还有醒目的安全警示标识。建筑物的风险四色图,可根据作业范围或设施设备的风险程度来进行评估,以最高的风险确定本区域的风险程度。作业风险比较图是根据所有的作业活动进行的风险评价,包括作业程序的暴露程度,发生的频率以及后果的严重程度。双重预防机制是一个全员参与的过程,而不是安全管理人员的闷头工作。因此,在风险数据库,作业风险比较图,建筑物的四色图,以及岗位风险告知卡方面,应让尽可能多的员工参与其中,才能更加深刻的了解岗位的风险,也知道岗位的应急处置。
3结语
综上所述,煤矿事故预防管理机制建设必须具有鲜明的综合理论性和科学性、先进性和理论综合性的实用性。通过理论研究如何建立煤矿安全风险分级管控,对我国煤矿企业人、机、环、管各方面都有要求,而不是需要人员进行有效的的安全控制,推动煤矿企业进行煤矿安全事故生产风险管理体系安全长效机制的稳固有效发展建立,双重预防机制将广泛发展应用成为我国煤矿企业进行煤矿安全事故生产风险管理的未来发展趋势。
参考文献:
[1]李爽,毛吉星,贺超.安全管理中危险源辨识的顶层设计与体系设计[J].煤炭经济研究,2017,37(07):59-64.
[2]王中兴,李晓琴,张维克.论安全风险分级管控和隐患排查治理双控体系建设[J].安全,2018,39(02):43-45.
一、总体思路和工作目标
(一)总体思路。学校安全是教育工作的保障线,以《中小学幼儿园安全管理办法》、《校车安全管理条例》、《中小学校岗位安全工作指南》等有关法律法规为依据,坚持风险预控、关口前移,全面推行安全风险分级管控,进一步强化隐患排查治理,推进事故预防工作科学化、信息化、标准化。
(二)工作目标。坚持安全发展,全面落实教育系统“党政同责,一岗双责,齐抓共管,失职追责”工作机制,强化教育部门监管责任,实现学校安全风险自辨自控,隐患自查自治,力争至2018年底,全区校园全部建成较为完善、有效运行的安全风险分级管控体系。
二、组织领导
区教育局成立由吴雪慧局长任组长,李可可副局长任副组长,各科室负责人为成员的湖里区教育局遏制重特大事故构建双重预防机制工作领导小组,办公室设在安全保卫科,
联络人:叶宁,电话:5722662。
三、工作重点
(一)排查风险点,建立“一校一册”档案
学校排查可能导致事故发生的风险点并逐一登记,建立单位安全风险管控档案,详细记录单位基本信息,风险点名称、风险点情况描述、风险类别、风险点详细位置、安全风险等级、存在危险因素、隐患情况、管控治理措施、管控治理责任部门、责任人及手机号码,形成动态化的“一校一册”管理制度。(见附件:湖里区学校安全风险点名册)
(二)全面开展学校安全风险辨识与评估
1.开展安全风险辨识。学校主要负责人要切实承担双重预防机制的建立,对辨识出的安全风险进行分类梳理,综合考虑起因物、引起事故的诱导性原因、致害物、伤害方式等,确定安全风险类别,对安全风险的种类、数量和状况登记建档。对不同类别的安全风险,采用相应的风险评估方法确定安全风险等级。安全风险评估过程要突出遏制重特大事故,聚焦实验室、食堂、学生宿舍、在建工程、老旧校舍、大型活动、学生社会实践和周边治安状况。
2.科学评定安全风险等级。学校对排查出来的风险点进行分级,确定风险类别,根据风险的可控程度、可能性、影响范围和可能造成损害的程度等因素,对学校安全风险进行分级,原则上分为IV级(低风险)、III级(一般风险)、II级(较大风险)和I级(重大风险)四个等级,依次用蓝、黄、橙、红四种颜色标示,学校绘制成四色安全风险空间分布图,期间因设施设备改造、技术升级等原因,致使安全条件有较大改善的,应根据情况重新评估并确定风险级别。
IV级:风险在可控范围内,发生事故的可能性极小,如发生,可能造成较小财产损失或人员轻微伤害;
III级:风险在可控范围内,发生事故的可能性很小,如发生,可能造成一般财产损失或人员伤害;
II级:风险可能失控,发生事故的可能性较小,如发生,会造成财产损失或人员伤亡;
I级:风险失控可能性大,发生事故的可能性大,一旦发生,会造成较大财产损失或群死群伤。
3.教育系统预判。区教育局将结合学校预判情况,针对以往发生事故规律和暴露出的问题,组织安全管理人员和学校各个层面人员,必要时邀请专家参与对可能导致事故发生的安全风险进行分析预判,逐项分析研究,逐类预判评估,加强重大风险源管控,确保学校安全。
(三)建立完善安全风险分级管控预防机制
按照“属地管理与分级治理相结合,以属地管理为主”、“谁主管、谁审批、谁负责”的原则和“管行业必须管安全,管业务必须管安全,管生产经营必须管安全”要求,对分析预判的安全风险和安全隐患实施定人定责管控,定期组织评估,确保风险在控可控,及时消除隐患。
1.严格管控。针对风险类别和等级,将风险点逐一明确学校的管控层级(学校、年级、班级、岗位),落实具体的责任单位、责任人和管控措施(包括制度管理措施、视频监控措施、自动化控制措施、应急管理措施等)。
2.风险公告警示。学校要对安全风险分级、分层、分类进行管理,逐一落实安全岗位的管控责任,在醒目位置和重点区域分别设置安全风险公告栏或湖里区学校危险因素告知卡,公布本校的主要风险点、风险类别、风险等级、管控措施和应急措施,让每名教职工都了解风险点的基本情况及防范、应急对策。对存在重大安全风险的工作场所和岗位,要设置明显警示标志。
3.治理隐患。各校园及时收集、汇总相关的风险分级信息,编制学校安全风险清单,区教育局将组织对适时开展风险分级管控工作情况进行抽查;学校针对各个风险点制定隐患排查治理制度、标准和清单,明确学校各部门、各岗位、各设施设备排查范围和要求,建立全员参与、全岗位覆盖、全过程衔接的风险防控和隐患排查治理机制。
4.应急管理。学校根据风险预判评估情况,科学编制应急预案。充分发挥与社区、街道及相关部门建立联防联动机制的作用,与相关联防联动部门有关应急预案相衔接。学校要建立专(兼)职应急队伍,重大风险岗位要制定应急处置卡,中小学每月、幼儿园每季度组织一次应急疏散演练,要开展经常性的全员岗位应急知识教育和自救自护、避险逃生技能培训。
(四)建立完善隐患排查治理体系
各校园要加强校舍、消防、校车、特种设备、危险化学品等安全隐患排查治理工作,不断细化安全隐患排查治理工作机制,建立隐患排查治理制度,制定隐患排查治理清单,将责任逐一分解落实。强化对存在重大风险的场所、环节、部位的隐患排查,制定并实施严格的隐患治理方案,做到责任、措施、资金、时限和预案“五落实”,实现隐患排查治理自查自改自报的闭环管理。
(五)深入开展学校安全标准化建设提升工程工作
各校园要进一步深入开展校园治安防控、校园周边环境、校园反恐防暴、消防安全、校车安全和危险化学品等专项整治,建立完善校内风险分级防控制度,扎实推进学校安全标准化建设提升工程各项工作,实现校园风险管控和隐患排查治理情况的信息化、智能化,对重点区域、重点部位、重点物品和关键环节,加强技术安全防范措施,提高校园安全防控水平,为“平安校园”等级创建提供强有力的技术支撑。
四、方法步骤
(一)动员部署制定方案(2018年4月)
各校园要依据本实施方案所列工作目标及重点工作任务,结合实际立即制定具体工作方案,明确目标任务,落实工作措施,细化责任分工,抓紧组织推进,确保取得实效。
(二)开展试点,制定标准规范(2018年5月—6月)
各校园对照《厦门市学校安全风险清单表》,明确安全风险类别、评估分级的方法和依据,制定隐患排查清单,明晰重大事故隐患判定依据,完成制定“一校一册”建档工作。区教育局择优选择一批在风险管控、隐患排查治理、信息化管理较好的学校作为试点标杆学校。
(三)组织推广全面实施(2018年6月—11月)
各校园按照有关标准规范组织开展对标活动,推动学校健全完善内部安全预防控制体系,对安全风险开展全面的排查、辨识、分级、建档、标识和管控,推动建立统一、规范、高效的安全风险分级管控和隐患排查治理双重预防机制。
五、有关工作要求
(一)强化组织领导,加大工作力度。学校要充分认识建立风险防控和隐患排查治理双重预防机制的重大意义,强化组织领导,把推进建立风险防控和隐患排查治理双重预防工作作为学校安全管理工作的一项重要内容,严格落实风险管控和隐患排查治理主体责任,对排查和预判出的风险点,必须严密监控,筑牢双重安全防线,从根本上防范事故发生。
控工作,制定本实施方案。
一、指导思想、工作目标和工作内容
(一)指导思想。以邓小平理论、“三个代表”重要思想为指导,全面贯彻落实科学发展观,坚持“标本兼治、综合治理、惩防并举、注重预防”的反腐倡廉工作方针,针对腐败易发多发的领域、部位
和环节,按照“防范在前、预警在先”的要求,排查岗位廉政风险,建立健全覆盖权力运行全过程的预防监控机制,最大限度地降低权力运行的廉政风险,不断提高预防腐败工作的科学化水平。
(二)工作目标。党员干部特别是各级领导干部防范廉政风险的自觉性进一步增强,岗位职责、制度机制缺失造成的廉政风险得到全面排查,以岗位为点、以流程为线、以制度为面的廉政风险防控管理
机制逐步建立完善,保证权力行使安全、资金运行安全、项目建设安全和干部成长安全。
(三)工作内容。通过“查、防、控”三个环节,建立起融教育、制度、监督于一体的防控廉政风险的新机制。在广泛宣传发动、切实增强党员干部腐败风险防范意识的基础上,通过“查”,有效地识
别工作中各个环节、各个岗位存在或潜在的廉政风险,建立不想违的思想防线;通过“防”,从规范权力运行,提高制度执行力入手,寻找积极预防廉政风险的途径,形成规范化、操作性强的防控模式
,建立不能违的制度防线;通过“控”,把对权力的监督制约贯穿于行政和业务运行各个环节,控制、化解发现的廉政风险,使党员干部的保护、监督措施落到实处,建立不敢违的警示防线。在此基础
上,按照“自己找、大家提、群众评、上级点、集体议、组织审”的程序和要求,确定廉政风险点等级。
二、开展范围
局机关及局属单位,按编委“三定方案”批复的公职人员。
三、主要任务和时间安排
工作从2012年6月中旬开始到2013年3月份结束。主要任务和时间安排如下:
(一)动员部署(6月中旬至6月底)
成立机构,健全组织。制定方案,明确任务。召开动员会,培训工作人员。组织机关及二级机构工作人员学习文件,掌握工作开展的内容、步骤、流程。
(二)重点推进工作(2012年6月至12月)
1.清权确权,绘制流程(6月至8月上旬)。对照法律法规和机构“三定方案”确定的职责,对原行使的各类权力进行清理、梳理,摸清权力底数及行使权力的依据、程序,对所有确定的权力(外权)事
项编制“职权目录”,并按照“程序法定,流程简便”的要求,绘制“权力运行流程图”。同时对单位内部管理职权(内权)也要进行梳理、规范,编制“内权目录”,绘制“内权运行流程图”,进一
步明确行使的岗位、权限、程序和时限等。
2.严格审核,分层把关(7月份)。
把梳理形成的职权目录、流程图经集体研究确定。外权目录、流程图实行分级审核把关,上报市编委、市政务公开办、市法制办审批。内权目录和流程由党组审核确定。并把权力目录和流程公示,接受
干部职工和社会监督。
3.查找廉政风险点,评定风险等级(8月上旬至10月中旬)。
围绕规范权力运行,通过自已找、群众帮、领导提、专家评和组织审等形式,自上而下、自下而上和内外结合的方式,分岗位、部门和单位三个层面查找岗位职责、业务流程、制度机制等方面可能存在
的廉政风险点,查找中要区别领导岗位、中层岗位和其他重要岗位三个层次。建立廉政风险目录。评估风险等级。在找准查深廉政风险的基础上,依据廉政风险点的多少和权力重要性、权力行使的频率
、腐败现象发生的概率等内容,按照“高、中、低”三个等级评定廉政风险点。以一定的形式进行公示,接受单位内部和社会的监督。对廉政风险实行分级管理、分级负责,高等级风险由单位主要领导
管理和负责;中等级风险由单位分管领导管理和负责;低等级风险由单位内设部门领导直接管理和负责。要重点突出对高等级风险的防控。
4.制定防控措施,作出公开承诺(9月中旬至12月底)。
对已确定的风险点,按照针对性、实用性和可操作性的要求制定“一对一”的防控措施,即:有一个风险点,就必须有一个相对应的防控措施。制定防控措施后,层层开展岗位廉政风险防控公开承诺。
建立岗位权力行使防控一览表,编制廉政风险防控手册。让全体干部职工掌握,逐步转化为有效防控廉政风险长效工作机制。
(三)总结检查(2013年1月上旬至2013年3月底)
1.认真做好工作总结(2013年1月上旬至2月底)。
对廉政风险防控工作开展以来情况进行全面总结,开展“回头看”,肯定成绩,查找不足,提出下一步工作意见与建议,形成廉政风险防控工作常态化。上报书面总结和成果资料。检查验收二级机构开
展情况。
2.迎接检查(2012年3月上旬至3月底)。
迎接市廉政风险防控工作指导协调小组的检查验收。
四、工作要求
(一)高度重视,精心组织。廉政风险防控工作涉及领导班子成员和全体党员干部,时间紧、任务重、难度大,所以要高度重视加强领导,要与落实上级廉政工作会议精神以及全年反腐倡廉工作结合起
来,科学谋划,统筹安排,摆上重要工作日程精心组织实施,各处室、二级机构要结合自身工作特点,采取多种形式,广泛开展廉政风险防控管理的宣传教育,使广大党员特别是领导干部牢固树立廉政
风险意识,充分认识开展此项工作的重要性和必要性,积极主动参与廉政风险防控工作,以廉政风险防控工作的开展,促进各项业务工作的落实。
(二)领导带头,落实责任。局属各单位要把廉政风险防控管理工作作为一项重大政治任务,列入重要议事日程,强化组织领导,周密安排部署。领导班子及其成员要按照党风廉政建设责任制的要求,
切实履行“一岗双责”,带头查找廉政风险,带头制定防控措施,带头落实防控责任。局主要领导、二级机构主要负责人、各处室负责人是第一责任人,要亲力亲为抓好廉政风险防控管理各个环节的工
作,亲自审核查找出的风险点和制定出的防控措施。纪检监察要充分发挥职能作用,积极协助党组做好协调指导、督促检查工作。
(三)加强学习,深入动员。要针对党员干部思想实际,深入细致地搞好学习教育,把学习教育贯穿于廉政风险防控工作的全过程。要全面开展岗位廉政教育,努力实现自我教育,认真查找本人岗位廉
政风险点,有针对性地制定防控找施,以收到关口前移、防范在前的效果。
(四)注重结合,突出重点。要立足于工作实际,做到廉政风险防控管理工作与贯彻落实党风廉政建设责任制、推进惩防体系建设、加强作风效能建设、岗位廉政教育及本部门业务工作紧密结合、统筹
推进。要突出领导班子和领导干部,尤其是主要负责同志、权力集中部门以及拥有行政审批(许可)、行政处罚及人、财、物管理等事项重要岗位,突出本部门本单位涉及民生和人民群众切身利益的重
点、难点、热点以及重大改革等问题。
根据《中共普洱市委关于开展“不忘初心、牢记使命”主题教育实施方案》(普发〔2019〕19号)和《中共普洱市应急管理局党组关于印发<普洱市应急管理局开展“不忘初心、牢记使命”主题教育实施方案>的通知》(普应急党组〔2019〕14号)的安排部署,深入学习贯彻新时代中国特色社会主义思想,认真落实“守初心、担使命,找差距、抓落实”总要求,坚持问题导向,坚持把调查研究贯穿始终,坚持着眼解决实际问题,结合自己分管领域明确了调研方向、调研方案,确定调研主题。思茅区应急管理局实地调研了云南尖峰水泥有限公司普洱市思茅区大竹箐石灰岩矿、云南思茅山水铜业有限公司大平掌铜矿双重预防机制建设试点工作,面对面听取基层干部、企业管理人员和职工群众意见建议,扎实开展了“不忘初心、牢记使命”主题教育调研活动。意在发现和解决我区推进非煤矿山风险分级管控与隐患排查治理双重预防机制建设过程中,应急管理和安全生产方面存在的突出问题,防范化解非煤矿山重大安全风险。现将调研情况报告如下:
一、基本情况
党的十八大以来,党中央、国务院在安全生产领域对双重预防机制建设提出了新的要求。2016年1月中共中央政治局常委会上,发表重要讲话,指出安全生产领域存在的突出问题,并第一次明确提出必须坚决遏制重特大事故频发势头,对易发重特大事故的行业领域采取风险分级管控、隐患排查治理双重预防性工作机制,推动安全生产关口前移,加强应急救援工作,最大限度减少人员伤亡和财产损失。2016年7月中共中央政治局常委会,对加强安全生产工作作出重要指示,要把遏制重特大事故作为安全生产整体工作的“牛鼻子”来抓。2016年12月9日,中共中央、国务院正式印发《关于推进安全生产领域改革发展的意见》(中发〔2016〕32号,以下简称《意见》),全文14处提到“风险”,13处提到“隐患”,明确要“构建风险分级管控和隐患排查治理双重预防工作机制,严防风险演变、隐患升级导致生产安全事故发生”。两次中央政治局常委会和一个《意见》为风险分级管控和隐患排查治理双重预防工作机制建设做了顶层设计,风险管控和隐患治理则是有效遏制重特大事故这个“牛鼻子”的“鼻钳”和“缰绳”。国家、省、市于2017年下发了非煤矿山双重预防机制建设基本流程,并在思茅区2户企业开展试点建设工作。非煤矿山双重预防机制试点建设工作稳步推进,取得积极进展。
二、工作开展情况
(一)迅速研究部署。思茅区应急管理局高度重视,及时召开会议,研究部署非煤矿山双重预防机制建设试点工作,明确领导责任,制定试点工作方案,加强对双重预防机制建设试点工作的领导,明确专人负责联系试点企业,推动、指导、督促双重预防机制建设试点工作的开展。同时,督促试点企业成立以主要负责人为组长的领导小组,制定具体实施方案,建立组织体系,明确工作目标、实施内容、责任部门、保障措施、工作进度等相关内容,持续推进非煤矿山双重预防机制建设试点工作。
(二)强化宣传教育培训。思茅区应急管理局在市局双重预防机制建设业务培训和工作推进会议的基础上,加强对试点单位的督促指导,组织召开企业负责人、安全员工作会议,认真学习贯彻国家、省、市试点建设工作要求,宣传非煤矿山双重预防机制建设试点工作的重要性,引导创建工作顺利进行。同时,按照省应急管理厅的统一安排,配合好专业技术机构的现场培训指导工作,根据反馈意见督促企业按照《非煤矿山企业双重预防机制基本流程(试行)》,建立工作制度,认真做好全员培训,使员工真正树立起安全风险意识,掌握双重预防机制相关知识,具备参与风险辨识、评估和管控的基本能力,为双重预防机制建设奠定坚实基础。
(三)注重安全风险评估、管控和隐患排查治理。思茅区应急管理局以防范和遏制重特大事故为重要抓手,抓住辨识管控重大风险和排查治理重大隐患这两个关键点,不断完善工作机制,及时帮助解决试点工作中遇到的困难核问题,积极推动试点建设工作落到实处。督促指导试点企业按计划、分阶段,有序做好安全风险分级管控和隐患排查治理信息化管理等工作。部分企业还根据建设情况购买了专业机构或专家指导服务,有针对性地对存在的问题提出了具体建议和措施。
(四)试点建设初见成果。通过组织专家授课、分片辅导和现场交流等多种形式,思茅区两家试点企业已基本完成了策划准备、安全风险评估、安全风险管控等前三个阶段的工作,后续的检查考核、改进提升等阶段正在有序推进,双重预防机制建设试点工作成效初显。其中,云南尖峰水泥有限公司普洱市思茅区大竹箐石灰岩矿在原有安全生产标准化创建基础上,紧紧围绕防范和遏制重特大事故,狠抓安全风险评估管控和隐患排查治理,对生产系统各单元全面辨识安全风险并建立安全风险清单,制定安全风险分级管控措施并严格落实,建立安全风险公告制度,绘制安全风险四色分布图,对排查出的安全隐患按“五落实”要求进行治理和闭环管理,形成了《云南尖峰水泥有限公司普洱市思茅区大竹箐石灰岩矿安全风险分级管控与隐患排查治理与安全生产标准化有效融合建设报告(成果资料)》,基本实现安全风险分级管控和隐患排查治理双重预防机制与安全生产标准化的有效融合。
三、存在的主要问题
虽然我区在非煤矿山双重预防机制试点建设中做了大量的工作,但仍存在着一些困难和问题:一是企业之间建设标准不一,安全风险分级管控、隐患排查相关标准制定质量不高,可操作性不强;二是部分非煤矿山企业特别是小型矿山企业,基础薄弱、技术人员匮乏、员工尤其是外包队伍员工整体素质较差,不具备参与风险辨识、评估和管控的基本能力;三是部分企业重大风险化解和管控不到位,重大事故隐患排查治理不够深入,安全标准化创建与双重预防机制建设存在“两张皮”现象。
四、工作建议
下一步,将以这次主题教育为新的起点,进一步学习领会新时代中国特色社会主义思想和党的精神,树牢“四个意识”,坚定“四个自信”,做到“两个维护”,在思想上、政治上、行动上始终同以同志为核心的党中央保持高度一致。认真贯彻落实好在内蒙古考察并指导开展“不忘初心、牢记使命”主题教育时提出的“四个到位”重要指示精神,切实做好调研“后半篇文章”,把学习教育、调查研究、检视问题、整改落实贯穿始终,把调研成果巩固好、发挥好、运用好,努力转化为推进全区应急管理和安全生产事业改革发展的强大动力。
(一)切实提高政治站位,确保试点建设责任落到实处。各乡(镇)要继续深入学习贯彻重要指示精神,将构建双重预防机制作为政治责任,作为遏制非煤矿山重特大事故的核心任务。按照《地方党政领导干部安全生产责任制规定》,把建立和落实安全风险分级管控与隐患排查治理双重预防机制作为各乡镇级及以上党政干部安全生产责任制的重要内容,加强领导、狠抓落实。
(二)加强体系建设,规范建立双重预防机制标准。各乡(镇)要主动学习借鉴先进经验做法,运用好安全生产大检查长效机制管理系统,抓紧制定完善本地区标准规范,切实搞清楚如何评定重大风险、重大隐患,如何化解管控重大风险、治理重大隐患等重点问题。标准规范要通俗易懂、简单易行、便于操作,既要定性也要定量,不能仅凭经验、仅凭会商确定重大风险和重大隐患。认真总结试点单位经验成果,逐步实现以点带面,循序渐进,全面铺开。
(三)持续开展宣传教育培训,大力普及安全风险知识。双重预防机制能否落实到位,首要的是企业必须全面理解、掌握安全风险知识,在这方面我们欠账很多,要强力“补课”。企业要进一步依托专家和专业技术机构,对全体员工开展关于风险管理理论、风险辨识评估方法和双重预防机制建设的技巧与方法等内容的培训,使全体员工真正树立起风险意识,掌握双重预防机制建设相关知识。各乡(镇)也要多开展集中宣贯培训,举办企业主要负责人和安全管理人员专题培训班。强化执法检查,督促企业将安全风险知识作为教育培训重要内容,作为班前会重要内容,强力提升全员安全风险意识和风险评估、管控的能力。
1.1防范体系
该模式包括了风险防范措施与防范策略的选择,以及风险防范的实施,在进行风险防范过程中又包含了以下内容:第一,优先排序风险防范行动;第二,评价建议安全控制的类别与成本收益的分析;第三,风险防范控制措施的选择与责任的分配;第四,安全措施计划的制定;第五,分析残余风险。3.2防范措施计算机网络风险防范为一种系统的方式,在风险管理过程中,管理人员可通过以下措施来实现风险的防范。第一,风险的假设。在管理过程中,接受潜在风险,同时持续进行IT系统的运行,通过安全控制措施来将风险降到可接受范围内。第二,风险的规避。经过风险原因或者后果的消除,即在识别出风险的时候,将系统的某项功能放弃或者关闭,以此来规避风险。第三,风险的限制。利用某项安全控制措施来限制风险,通过这些安全控制系统可把因系统弱点被破坏带来的各种不利影响降到最低或者最小化。第四,风险计划。通过风险防范计划的制定,有计划且有目的的来进行风险的管理。在该计划中,主要是对安全控制实施优先级排序、维护以及实现等。第五,风险的转移。基于对系统自身缺陷的了解,采用相关措施来进行损失的补偿,将风险进行转移。
1.3网络风险的防范——防火墙
当计算机连接至网络后,为了防止其受到非法入侵危害,其中最为有效的一种防护方式就是在其外部网络与局域网间进行防火墙的架设,以此将外部网和局域网分割开来,这样外部网就不可直接进行局域网地址的查找,同时也就不能和局域网之间进行数据的交流,只有经过防火墙过滤以后,局域网中内部的信息才会传递至外部网,且二者间的数据交流只有经过防火墙过滤后才可执行,从而提高内部网络安全性。进行防火墙架设的目的就是为了有效控制网络间访问,避免外部一些非法用户随意获取或者使用内部资源,保护内部网中的设备。所有外部网信息在进入到内部网络前均要事先通过防火墙,由防火墙系统来明确哪些信息可以进行访问,哪些不可进行访问,通过对这些信息的检查,明确只有授权后的数据才可进入到内部网中。
1.4计算机网络风险防范模式的执行
第一,优先级排序风险行动,并安全控制其评价建议。在风险评估的报告中,基于其所提出的相关风险级别,优先级排序行动。应优先排序被标为非常高或者较高等级的风险项目,并采取相应的纠正行动来确保其利益。在风险的评估过程中,在安全控制评价建议时,应对所采用的这些安全控制措施自身的可行性以及有效性进行分析,选择最为合适且科学的措施来降低风险。第二,分析成本和效益,并选择相应的安全控制。在这一过程中,进行成本和效益的分析主要是为了给管理层的决策提供相应的依据,从中选择最好且合理的安全控制措施。在选用安全控制时,应结合管理方面、技术方面以及操作方面的相关因素,要确保其所选用的安全控制不仅满足机构的需求,同时还可保证其IT系统的安全。第三,分配责任和安全措施计划的制定。在完成上述步骤后,选择具备相应技能与专长的控制人员,同时进行责任的分配。接着再进行安全措施计划的制定,在该计划中主要包括以下内容:风险与风险级别、建议的相关安全控制、行动的排序、在安全控制中所需的资源、人员的划分和责任的分配、实施日期与完成日期以及维护要求等。除此之外,还有一个步骤就是残余风险的分析与防范。
2结束语
为贯彻落实《教育系统构建“六项机制”强化校园安全风险管控工作实施方案》文件要求,牢固树立安全发展理念,坚持风险预控、关口前移、重心下
沉,坚持分级管控、分类实施和属地管理相结合的原则。
落实开展校园安全风险查找、研判、预警、防范、处置、
责任“六项机制”建设,有效提高风险预防处置工作科学化、信息化、标准化水平。
落实风险管控责任,采取有效措施控制重大安全风险,对学校风险点实施标准化管控,提升学校安全风险管控水平,在全面编制完成各级各类学校风险点清单的基础上,科学核定风险级别,制定有效防范措施,把隐患消灭在事故前面,有效防范校园安全事故,保持校园安全稳定。确保校园安全稳定,特制定本实施细则。
一、工作目标
通过建立起完善、有效运行的风险分级管控体系,全面推进落实学校主体责任,有效促进校园安全科学管控,在全校范围内构建形成全覆盖、全方位安全风险防控,实现标准化、信息化的校园安全风险辨识管控体系,提高学校本质安全管理水平。
二、工作原则
(一)学校安全风险辨识分级管控坚持“安全第一、预防为
主、综合治理”的方针,实行“谁主管、谁负责”和“管业务必须管安全”的原则。
(二)安全风险辨识分级管控是指按照安全风险点的不同风险级别、所需管控资源、管控能力、管控措施复杂及难易程度等因素,确定不同管控层级的风险管控方式。
三、职责分工
学校作为安全风险管控的主体,其主要负责人对本校安全风险辨识、安全风险防范和管控体系建设工作全面负责。学校主要承担以下职责:
1.建立健全安全风险责任制,明确各岗位风险管控的责任人、明确责任范围等内容;
2.按照“全覆盖”的要求,委托具有相关资质或教育主管部门审核认可的中介技术服务机构开展对校园及周边进行风险辨识工作,对辨识出的风险进行评估分级,形成学校安全风险评估报告,并及时报教育主管部门审核;
3.编制本校安全风险点名册,并根据风险等级、管理和环境评估状况,提出管控措施;
4.学校应当在存在风险的位置、区域,设置明显的告知标志,将风险基本情况、危害特性以及可能引发的事故后果和应急措施等信息,告知本校师生和可能受影响的单位、区域及人员;
5.学校应当制定风险巡查制度,明确各风险点风险巡查责任人,对存在风险的环节、物等安全状况进行巡查,建立巡查档案;
6.学校应组织制定并对教职工进行岗位风险培训,使其了解风险的危险特性,熟悉风险管理规章制度和相关安全操作规程,掌握安全操作技能和应急措施;
7.对学校存在的风险实施动态化管控。因设施设备改造、技术升级等原因,致使安全条件有较大改善的,应根据情况重新评估并确定风险级别。
四、学校安全风险级别划分标准
学校安全风险指的是学校可能发生危险事件,造成或可能造成人员伤亡、财产损失及影响学校安全与稳定的组合。
根据风险的可控程度、可能性、影响范围和可能造成损害的程度等因素,对学校安全风险进行分级,I
级、II级、
III级、
IV级、
V级。
I
极有可能发生
全国范围内发生频率极高
II
很可能发生
全国范围内发生频率较高
III
可能发生
全国范围内发生过,类似区域/行业也偶有发生;评估范围未发生过,但类似区域/行业发生频率较高
IV
较不可能发生
全国范围内未发生过,类似区域/行业偶有发生
V
基本不可能发生
全国范围内未发生过,类似区域/行业也极少发生
作为安全风险管控至关重要的是要认清风险,找准危险点。学校安全风险辨识管控就是针对学校制度管理、人员素质、设施设备、环境和教育教学活动等项目进行辨识与评估,认清风险,找准危险点,采取预防措施或控制措施将风险降低到可接受的限度。
五、学校安全风险分级管控体系建设实施步骤
针对学校事故发生规律和季节性特点,采取调研商谈、第三方参与、专家论证等形式,找准安全风险点,实施超前预判。学校每月进行一次安全风险预判,并建立重大安全风险工作台账。学校安全风险分级管控体系建设,分四个阶段进行。
(一)准备阶段
成立工作小组,收集和研读相关资料,熟悉分级方法和工作步骤,开展初步现场调查,了解本校及周边概况,编制风险分级评估方案。
(二)实施阶段
依据风险分级评估方案,组织安全、管理、技术、设备等技术人员和专家(也可委托有资质的中介服务技术机构),围绕人的不安全行为、物的不安全状态、环境的不良因素和管理缺陷等要素,突出本校设备设施、施工场所、操作行为、环境条件、安全管理等重点部位和环节,全方位开展排查,了解学校各岗位、部位、环节存在的风险因素和学校安全管理现状、校园及周边治安管理状况,汇总、分析准备和实施阶段所得的资料、数据,通过分析研究制定本校安全风险分级管控标准。
(三)编制分级报告阶段
在前期量化分析的基础上,对排查和预判出来的风险点进行分级,确定风险类别,并按照危险程度及可能造成后果的严重性,将风险分为影响特别重大(5)
、影响重大(4)、影响
较大(3)、影响一般(2)、影响很小(1),编制本校风险五级分级报告,根据风险等级、管理和环境评估状况,提出有针对性的管控措施建议。
(四)管控与警示
学校针对风险分级管控措施,建立管控手册,确定各级风险管控责任部门和责任人,告知风险管控职责,并在重点区域设置风险警示牌。
六、学校安全风险分级管控措施
按照工作原则,对分析预判存在的安全风险实施定人定责管控,定期组织评估,确保风险在控可控,及时消除风险隐患。
1.明确管控措施。针对风险类别和等级,将风险点逐一明确学校的管控层级(处室组、年级、班级、岗位),落实具体的责任单位、责任人和管控措施(包括制度管理措施、物理工程措施、视频监控措施、自动化控制措施、应急管理措施等),形成“一校一册”学校安全风险评估报告。
2.风险公告警示。公布本学校的主要风险点、风险类别、风险等级、管控措施和应急措施,让每位教职员工了解风险点的基本情况及防范、应急对策。对存在安全风险的岗位设置告知卡(见附件2),标明本岗位主要危险危险因素、后果、事故预防及应急措施、报告电话等内容。对可能导致事故的工作场所、工作岗位,应当设置报警装置,配置现场应急设备设施和撤离通道等。同时,将风险点的有关信息及应急处置措施告知相关单位。
3.排查消除隐患。学校针对各个风险点制订风险隐患排查
(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。
(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。
(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。
(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。
二、基层行信息科技风险管理工作面临的挑战
(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。
(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。
(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。
三、基层行信息科技风险治理展望
(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。
(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。
(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。
购物车(0)
