发布时间:2023-06-21 09:07:02
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的建设安全评估样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
⑴总职能部门①总职能部门任务管理:建立初始工程,并将任务下发给下级单位,启动工程。②数据汇总管理模块:查看各下级单位上报的安全性评价数据,并将数据进行汇总打印、备份。以便方便及到达安全性。③整改管理模块:查看下级单位上报的数据,对数据进行分析,如发现问题,则建立整改任务,并将整改任务下发。④单位管理:添加单位,对单位信息进行维护⑤用户管理:为单位分配帐号和密码。⑥权限管理:对不同用户群的权限进行设置。⑵其它职能部门①接收任务管理:通过网络接收总职能部门下发的任务或整改计划。②任务分解管理:将上级下方的任务进行分解,并依次下方给专业中心。③数据汇总管理模块:将下级单位上报数据进行审核、汇总。④数据上报管理模块:将下级上报的数据进行审核、汇总,并上报给总职能部门。⑤整改管理:对上级下方的整改任务进行分解或整改。⑶专业中心①接收任务:接收上级单位下发的安全性评价任务或整改计划。②任务分解下发模块:依据每个基础班组级单位的实际情况和需要评价的具体项目将安全性评价的任务分解并下发给各基础班组。③数据汇总管理模块:将各基础班组上报数据进行审核汇总,并上报给上级单位④数据评价管理模块:对基础班组单位上报数据进行最终评价、扣分并提出问题和整改意见。⑤整改管理:对上级下发的整改任务进行相应的整改计划设施。⑥数据上报管理模块:将最终审核、汇总后的数据,上报到上级单位,供上级单位查看。⑷基层班组①接受任务:接收专业中心下发的任务。②任务实施:根据接收到任务的条目,进行具体的评价工作,录入相应的数据,对评价项进行打分等相应操作。③数据上报:对评价好后的数据进行上报,供专业中心查看。
2系统创新点
①简便的网页操作:基于IE内核的浏览器直接调用程序,通过采用了动态数组存取和先进的模块覆盖技术尽量减少内存占用,使之不影响其他常驻内存系统,只要计算机能联网就能进入系统。②模块化结构:各功能模块问用链接技术链接,只需通过对主菜单的简单操作,就能实现对系统的使用、维护和管理。③权限配置:可以对指定的用户群进行权限分配,对功能的操作进行限制性,需要管理员分配权限,才能对功能进行操作。因此,对数据的管理具有合理性、分配性。④系统纠错强:具有周全的容错、纠错能力,可防止按错键及操作不当带来的问题。⑤操作直观、方便:采用多种输入输出格式,操作界面友好简单,使之适合于一般技术水平的管理工作人员使用。⑥图形直观显示:系统自身具备的图形显示模块,具有饼状图、柱状图、表格等方式对数据进行显示⑦图形显示兼容性高:支持任何类型的彩色显示器,不会出现因分辨率不同而导致的蓝屏花屏等问题。⑧运行兼容性:系统采用跨平台较强的java语言编写,因此,可移植到多种系统下运行。
3系统安全体系
本系统具有完整的信息安全体系,可以实现身份抗抵赖性、系统可管理性、操作可审计性等,同时从物理、系统、运行、管理等多方面保证信息系统的安全、稳定、可靠。从而达到以下目标:①可用性:确保系统高效、稳定、可靠地运行。②安全性:确保各类数据不被非法访问、窃取、误用、散发等,确保敏感数据处于可控制的范围之内,仅有经过严格身份认证的用户、系统才允许其获得相关数据。③完整性:确保数据完整、可靠、不被篡改。④抗抵赖性:确保系统用户认证可靠,相关操作记录具有唯一性。⑤可管理性:确保各类系统资源都处于管理和控制之下。⑥可审计性:通过对网络和主机上的事件审计,记录网络和系统上发生的相关事件,作为事后审计、核查的依据。
4结论
一、内容提要。
二、项目及项目法人概况。
(一)项目概况。
(二)业主基本情况。
(三)项目规划背景。
三、评估依据。
四、评估意见。
(一)项目建设必要性评估。
(二)文件编制依据和深度的评估。
(三)项目建设目标、规模和功能的评估。
(四)项目建设条件评估。
(五)项目技术评估。
(六)组织管理、实施进度及招标方案的评估。
(七)投资估算的评估。
(八)项目资金来源与筹措方案评估。
(九)建设项目的效益评估。
五、问题和建议。
(一)存在或遗留的重大问题。
(二)潜在的风险。
(三)建议。
六、项目总体评价。
七、评估专家名单。
八、附件。
一、内容提要
1、项目评估原则、评估工作实施概况等。
2、评估报告得出的结论及主要问题和建议。
二、项目及项目法人概况
(一)项目概况
(1)项目建设单位、建设地点。
(2)建设必要性、建设目标、功能及建设规模。
(3)建设内容、规划方案主要技术经济指标。
(4)投资及资金筹措情况。
(二)业主基本情况
(三)项目规划背景
三、评估依据
1.咨询评估委托书
2.教育部委托投资咨询评估管理办法
3.有资质单位编制的项目可行性研究报告(含项目招标方案)
4.建设项目用地预审意见
5.城市规划部门提供的建设项目规划意见
6. 当地环保部门提供的建设项目环境影响评价意见
7. 建设单位建设资金来源证明及近三年财务报表和财务指标
8. 规划部门批准或学校编制的校园建设总体规划
9. 地方行政和行业管理部门颁发的现行各种行政收费文件
四、评估意见
(一)项目建设必要性评估
分析拟建项目是否符合国家教育事业的科学发展,是否符合国家建设方针。从本学校实际情况出发,分析是否符合学校事业发展目标和校园建设总体规划要求,分析建设规模的确定原则和依据是否正确有据,对项目的必要性提出具体意见。
(二)文件编制依据和深度的评估
(1)编制依据的评估
检查项目是否具有立项批复文件,编制内容与投资规模是否在批准范围之内;民用建筑工程是否有当地规划部门批复的规划要点,是否符合规划要求,是否有重大变更,其变更是否合理,是否经主管部门批准。
(2)对报告文件完整性及编制深度评估
可研报告应包括报告文件、建设地点位置图、总平面图、建筑设计方案图、投资分析情况等内容。各项内容的编制深度应达到国家有关部门的规定。评估报告应明确指出可行性研究报告的编制是否有漏项、是否有不符合要求的内容,并提出建议。
(三)项目建设目标、规模和功能的评估
项目建设目标是否符合我国国情,是否满足该校总体规划目标的要求,是否有重复建设项目。建设规模确定的原则和依据是否准确有据,项目建设规模是否经济合理,功能是否合理并满足使用要求,是否充分利用学校现有建设用地,在满足当前规划的前提下为学校今后一定时期内留有发展余地。
(四)项目建设条件评估
(1)项目选址评估
项目选址是否符合规划原则与要求。项目建设地点的选择依据和理由是否充分,选址方案是否符合国家和所在地区国土规划、城市规划、土地管理、文物保护、环境保护等法律法规。
项目建设用地的属性是否符合决策部门的要求,总用地规模是否明确,各种功能用地的规模及地点是否明确,各类建设用地是否落实。
(2)项目建设条件评估
项目建设所需要的供电、供水、供热、供气与交通运输、通讯等设施条件是否落实且可靠稳定,能否满足项目建设和建成后正常运行的需要。当不能满足需求时,建设方案中是否有相应措施。
(3)根据提供该场地的地质勘察资料,对场地地层地况进行评估。对于无法提供拟建场地地质勘探报告的项目,可参考附近建筑物地质资料进行评估,待正式勘探报告出来以后由初步设计再进行复核和调整。
(五)项目技术评估
(1)规划总平面设计评估
规划总平面设计构思意图及布局是否科学、合理,与周边环境是否协调,竖向设计、交通组织、绿化景观、文物保护和环境保护等方面的方案是否合理、可行,是否留有扩建、改造与进一步发展的余地。其技术指标是否符合当地城建部门规定。
(2)建筑方案评估
建筑方案首先应满足该建筑的功能需要,其建筑形式、控制高度、层数、立面、出入口等应满足国家、行业、地方有关建筑法律法规的要求并考虑建筑风格以及与周边环境的协调。方案中描述的建筑标准、采用的材料、采取的措施,如通风、采光、日照、出入交通、节能等是否符合规范标准的规定。
(3)结构方案评估
评估结构设计依据是否正确,结构安全等级、设计使用年限、建筑抗震设防、所选用的主要结构形式等是否符合国家及当地有关规范及规定的要求,是否安全可靠。结构设计中是否考虑到了建设地点特殊的地基条件。
(4)电气方案评估
设计方案依据是否正确,内容是否齐全,用电负荷、各系统参数能否满足功能需要,建设标准是否恰当,系统方案是否可行,是否安全可靠、经济、合理,是否符合相应规范与标准。
(5)给排水方案评估
设计方案依据是否正确,内容是否齐全,给排水量、系统参数能否满足功能需要,建设标准是否恰当,各系统设计方案是否可行,是否安全、经济、合理,是否符合相应规范与标准。
(6)采暖通风与空调、燃气方案评估
采暖通风与空调、动力、燃气等方案设计依据是否正确,内容是否齐全,负荷、参数能否满足功能需要,各设备系统设计方案是否可行、是否安全、经济、合理,建设标准是否恰当,是否符合相应规范与标准。
(7)环境保护评估
评估是否按有关要求编制了环境影响评价报告(或在可行性报告中是否有专篇对该项目的环境影响作出评估),其报告内容是否全面,保护措施是否得当、可行等。环评报告中提出的问题,是否有解决的措施,措施是否可行。排放废气、废水、废渣的治理措施是否有效。
(8)安全卫生、安全生产评估
对于可能产生不安全因素和对卫生防疫有要求的项目,如实习工厂、生物化学实验室等类型项目,应重点评估项目技术方案的安全防范措施的可靠性。
(9)节能节水评估
评估建筑物的建筑、结构、采用材料和建筑设备的选型是否满足国家相关标准要求,是否有节能节水措施,能源来源的选择、供能方式的选择、能耗指标的控制、节水方案等是否合理,并对存在的问题提出建议。
(六)组织管理、实施进度及招标方案的评估
(1)项目组织管理
项目组织管理主要包括项目建设期组织管理和项目建成后的运行组织管理。评估项目建设期组织管理机构与职能分工是否明确;对于不具有建设项目实施管理能力的建设单位是否落实了管理机构和管理方案;项目实施各阶段的管理方案或措施是否具体;项目建成后的运行管理机构设置是否落实及合理;项目建成投入运行后管理或经营方式是否可行;对于运行经费的解决方案是否作了分析和说明。
(2)项目实施进度
根据项目的建设周期,评估其是否最有效的安排了项目实施计划和工程进度,是否编制了相应的框图,说明各阶段的工作内容和进度安排。
(3)项目招标方案
对土建工程、设备、设计、监理等投资额达到国家规定额度的,应进行招标,评估其招标方案是否合理,招标方案应符合国家发改委有关文件的规定。
(七)投资估算的评估
评估内容包括估算依据、编制方法、范围、内容及深度、主要技术经济指标等是否正确、合理,是否真实反映了可研报告中建设内容的要求。
(1)投资估算的内容
投资估算包括总投资估算和分项投资估算。在项目评估中,应对项目总投资构成的完整性、合理性和计算的准确性进行评估。总投资估算表包括建安工程费、设备和工器具购置费、工程建设其他费用、预备费和贷款利息等内容。
(2)投资估算评估要求
① 投资估算依据是否准确。因各地政府出台文件不同,对于地方性收费标准,数额差别较大,应审查取费依据是否齐全、合理。
② 投资估算的编制深度是否符合要求,各项内容的组成是否详细,仪器设备是否有估算清单,工程建设其他费用是否有详细内容等。
③ 对投资水平、投资结构是否合理进行分析评估。评估拟建项目投资水平是否恰当。投资结构主要是评估各个分项如建安工程费、设备购置费投资是否合理,其他费用各占项目总投资的比例是否合理,是否满足投资部门对投资方向、投资结构的要求。对不合理的投资部分进行调整,并编制投资估算评估调整表。评估调整表应含申报投资额、调整后投资额和调整增减额等内容。
(八)项目资金来源与筹措方案评估
对项目的资金来源、筹措方式、筹资额度、筹资风险及资金使用计划等方面的合理性和可靠性进行分析论证和评估,对存在的问题提出修改意见。
(1)资金筹措
评估可行性研究报告中提出的各类资金来源是否正当、合理、可靠,是否符合国家有关法规,各项资金来源是否落实,使用条件是否合理等内容。审核相关的证明文件和材料是否齐全,评估地方承诺的配套资金和建设单位自筹资金到位的可能性。
资金筹措方案的分析评估:含筹资数量及投放时间、筹资风险以及筹资成本等的分析评估。
(2)资金使用计划方案
资金使用的计划是否与项目实施进度计划相衔接,安排是否科学合理。用款计划安排能否与资金来源相适应,能否保证项目顺利实施。有无调整和修改的建议。
(3)对还贷能力的评估
对贷款建设的项目,评估是否有银行贷款证明或意向,并评估建设单位财务状况,以确定其还贷能力。
(九)建设项目的效益评估
主要是从经济、社会等方面的效益状况进行评估。
(1)经济效益(主要用于生产性项目和有经济收益的项目)
主要评价项目自身可能取得的经济效益状况,评估其计算是否准确全面,是否合理、客观地反映了项目的经济效益。非经营性项目建成后能否持续、稳定运行,其运行费用如何解决等。如建设项目是以经营性为主,则必须进行财务分析。
(2)社会效益
由于所评估项目大多数为非经营性项目,因此应对建设单位投资所取得的社会效益进行评估。根据项目的性质和特点,分析项目对教育发展、社会发展及各建设单位带来的效益,包括对促进国家或地区社会经济发展和社会进步,提高国家、部门或地方的教育科学技术水平,改善学校办学条件等。
五、问题和建议
(一)存在或遗留的重大问题
(二)潜在的风险
(三)建议
(1)解决问题的途径和方法
(2)下一步工作的建议
六、项目总体评价
项目总体评价是在汇总各分项评估的基础上,对拟建项目的必要性和可行性在全面分析和综合评估的基础上提出肯定或否定的意见,对于报告中各部分内容和方案存在的重大问题提出修改意见,对申报投资估算作出投资估算调整表,确定具体调整额。对不能确定的重大问题提出建议,供主管或决策部门决策时参考。将其数据资料进行检验审核和整理,对比分析、归纳判断,提出最终结论意见和建议,并作出项目评估报告。
七、评估专家名单
评估报告应附评估专家名单,含专业、专家姓名、执业资格及职称等内容。
八、附件
1、项目投资估算评估调整表
工业控制系统安全防护体系建设离不开相关安全标准体系的支持,国外一些发达国家在工业控制系统信息安全防护领域的标准研究工作幵展较早,进展较快。同际上已建立一些工控系统信息安全方面的国际及国家技术组织标准,包括1SA-99(即1EC62443)、NERCCIP�NIST:SP800_82、WIBM-2784�IEC62351等等。近年来,随着我国信息安全等级保护政策的推进和实施力度不断加大,_家对工业控制系统信息安全重视程度不断加大,国家重要行业的工控系统信息安全防护建设也取得了长足的进步,研制并逐渐部署了相应的工业控制系统的标准体系,初步建立起了我国等级保护标准体系框架和信息安全标准体系框架,我国近年来工业控制系统信息安全标准建设内容。但从总体上讲,我国工控信息安全防护的标准体系建设仍明显滞后于工业控制系统的建设,同时在防护意识、防护策略、防护机制、法规标准等方面都存在不少问题。因此,建立覆盖工控应用领域、覆盖工控产品生命周期以及覆盖工控系统业务层次的工控信息安全标准体系迫在眉睫,需要从五方面人手:
(1)在国家政策支持引导下,结合我同工控领域信息安全问题和现状,分析工控系统信息安全保障体系建设需求,建立具有针对性的工控信息安全标准体系整体框架。
(2)开展重点标准的研制规划,逐步丰富和完善覆盖工控应用领域和产品生命周期的信息安全标准体系。
(3)积极跟踪和参与闰际相关标准规范制定,实现与国际认证机构的互认,体现我国工业安全意志。
(4)加快推动我同相关标准规范的制定,建立完善的标准体系。
(5)加速人才队伍培养,依据标准建设丁.控信息安全检测认证能力。
2大力发展自主可控检测认证工具集
我国工业控制系统信息安全领域长期受到核心技术限制、缺乏专业检测认证工具等诸多因素影响,导致我国重要基础设施面临着严重的安全威胁,因此,突破工控信息安全领域的技术壁垒,研发0主可控的检测认证工具集并与国际接轨势在必行。在检测认证工具集方面,闰际上是以ISASecure认证作为工业控制系统领域专业的安全认证标准,它是基于IEC62443标准系列发展安全认证流程的联盟。ISASecure认证包含嵌入式设备安全认证�EDSA)�系统安全认证�SSA)和安全开发生命周期认证�SDLA)三个项目。目前,_际上已经获得ISASecure认证认可的CRT测试工具有芬兰Codenomi⑶n的Defensics�日本FFRI的RavenforICS以及加拿大Wurldtech的Achilles,而国内并没有成熟的检测认证工具产品。发展我国自主可控的检测认证工具集将有助于改变我国工控信息安全领域缺乏核心技术的现状,提高我同工控系统检测发现和探查能力,从而提升我国工控信息安全水平。检测认证工具集的研发应以“自主可控,安全可靠”作为技术指导思想,从前瞻性研究人手,研究国际先进的安全技术,研究工控领域安全协议栈,建立典型工控模型库、工控信息漏洞库,对工业生产控制系统内部的上位机�PLC)�服务器、网络等资产信息、应ffl软件、服务、开放端口、防火墙、数据库审计等内容进行检测扫描,提供漏洞检测与发现、漏洞风险评估、可视化和漏洞修复建议等功能。通过自主可控检测认证工具集的研发,为我闽工控企业彻底解决生产控制系统内部的信息安全隐患,保证工业生产的安全生产、安全管理。
3快速推进工业控制系统信息安全培训
安全培训为培养高素质工业控制系统信息安全相关人才、提升相关从业人员的专业技术及管理能力提供规范化、科学化的知识体系。我_工业控制系统信息安全培训现状面临着培训主体混杂、未形成规范、培训内容指导性不强、培训基准不够完善以及以传统信息安全为参照物等问题,作为工业控制系统信息安全体系中不可或缺的一环,安全培训也处于亟待重视与完善的位置。
(1)以“标准”建设“培训基准”:随着工业控制系统信息安全领域国家标准和行业标准体系的不断完善和发展,需要积极主导、参与各类相关标准的研究、编制、监督等工作,建设可供工控安全领域合理、高效、安全发展的文件环境,进而推动工控信息安全培训基准的建设。
(2)以检测与认证带动安全培训:在自主可控检测认证工具集的基础上,结合工控领域安全评估服务,建设中立性的检测、认证环境,提供国家级的权威检测认证服务,同时为培训业务的开展提供更有指导性、实效性的基础条件。以标准建设和自主可控检测认证工具为基础,从操作层面、技术层面、认证培训以及职业教育层面建设工业控制系统信息安全培训体系,提升图3自主可控检测认证工具集研发模型我国工控信息安全领域人员实践操作技术能力和安全技能,加速人才队伍培养。
4全面提供工业控制系统信息安全服务
为提升工控领域信息安全整体服务水平,在不断健全国家相关标准和发展自主可控安全技术体系的基础上,建设工业控制系统安全模拟仿真实验平台服务支撑环境,为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。
(1)安全评估:研究制定安全评估的流程和方法,建设完备的安全评估体系;针对在役系统进行风险评估,提出整改、防护方案和建议,为相关企、事业单位提供安全评估服务,规范工控系统的安全建设。最终拥有完备的安全评估方法论,为工业控制领域各行业提供专业的安全评估服务;同时建立国内工业控制系统信息安全评估体系。
(2)安全咨询:研究制定安全咨询的流程和方法,建设完备的安全咨询体系;针对产品研发、系统设计,融入信息安全技术,整体提升新建工控系统的安全性。最终拥有完整的安全咨询体系,为各类工业控制领域提供专业的安全咨询服务,逐步建立安全的工业控制系统模型库。
(3)安全防护:研发工控领域自主可控的专用信息安全防护产品;全方位、多层次地针对工业控制系统提出信息安全防护解决方案;最终实现工控领域安全防护产品全面国产化;逐步完善自主可控的安全防护解决方案体系。
5总结
【关键词】ITILV3IT效益评估体系IT服务管理
一、引言
现阶段券商绝大部分IT建设,系统上线就结束,建设者当起了甩手掌柜,后事不管。建设完成的系统是否能实现项目立项目标,是否产生效益,是否达到低风险、高收益等等问题很少去关注,更没有开展对上线项目进行建设效益评估,缺少了对建设经验、教训的总结和归纳,IT管理水平得不到有效提升。本文根据ITIL V3关于服务管理的理论,建立券商IT建设效益评估体系,并在具体的项目中进行实践。
二、ITILv3理念中的核心IT服务管理理论
(一)ITILV3关于服务管理的核心理念
2007年5月30日,全球了ITIL(IT Infrastructure Library)最新版本---ITIL V3,旨在提高IT资源的利用率和服务质量。新的ITIL知识体系包含了由“服务策略”、“服务设计”、“服务转移”、“服务运营”和“持续服务改进”等5方面核心知识体系。
服务策略:掌握业务所需并将其转化为IT策略;认知业务的催化剂并对其做出响应;基于行业,规范环境,公司规模等选择最佳实践。
服务设计:关于IT服务和体系架构的模型设计,包括外包、内包、共包等。
服务转换:关于如何创建过渡策略将服务从服务设计到投入到当前或生产运行环境中。主题包括变更和管理、服务模型和产品设计检查表(类似于软件研发的生命周期,但在此处是为IT服务设计的)。
服务运营:如何管理现运行环境或产品环境中的服务;日常管理事宜;如果处理故障;如何制定和监控质量衡量指标;如何管理流程。
持续服务改进:服务引入后如何不断改进。
(二)ITILV3服务管理给券商带来的好处
包括:IT服务的提供变得更加以客户为中心,同时在服务质量上的协商一致改进了双方的关系;可以对服务质量,可用性,可靠性和服务成本进行更好的管理;改进业务部门与IT部门的沟通,因为大家采用都是同一个框架;IT部门形成了一个更为明晰的架构,从而变得更为有效率和更为关注公司目标;IT部门更加对其负责的基础架构和服务实施控制,同时变更也的更易于管理。
三、ITILV3服务管理理论核心与证券IT建设评估体系内涵
在利用ITIL理论指导IT治理的过程中,证券行业内各机构的IT部门都制定一系列的管理流程,帮助IT管理者去堵住IT管理中的各种漏洞。可现实中还有许多IT服务组织在进行IT规模的扩张时,无法保证服务质量的稳定,并且会出现团队内部各小组之间的相互指责,而每个成员都说自己遵行了既定的流程。这让我们反思:如需要实现大规模、低成本、高质量地保证IT服务水平,必须要建立一整套以服务生命周期为导向的服务体系,从而帮助IT服务组织更好地“以客户为中心、以服务为导向”为客户提供高质量、低成本的IT服务体系。而IT 效益评估体系是服务体系的一种最佳实践。
实现IT服务管理的根本目标也就是建立评估体系的目标:以客户为中心提供IT服务;提供高质量、低成本的服务;
实施建设效益评估体系促进IT管理转向真正的IT服务管理。
ITIL V3为依据,结合券商IT体系确定IT建设效益评估体系内涵,如表一
表一
四、IT项目效益评估体系
(一)评估体系――项目建设效益评估和项目运营效益评估
IT系统评估体系主要从项目建设和运营角度对IT系统的建设方向性、功能、效益、质量、稳定性、安全性等方面进行全面的评估。项目效益评估体系分为项目建设效益评估和项目运营效益评估两部分,主要是由于开展评估的时间点不同而评估侧重点不同。前者在系统上线正常运行一个月后进行,后者是系统正常运行半年或一年后进行。
项目建设效益评估 主要针对项目在立项、建设目标、业务功能实现情况、系统运行稳定情况等等阶段的评估评估,并分析该项目的最终交付物及取得的效果。主要针对系统建设是否能实现立项目标、并在安全性、建设质量、系统效果等方面;
项目运营效益评估 这部分的评估主要是针对项目业务发展、系统运行后的安全、稳定性进行评估,重点分析建设该系统(项目)的效益,包括经济效益、公司品牌等等方面。
分别从事前、事中、事后进行指标分析与评估。
我们建立的评估体系总体框架和各阶段具体内容如下图一所示。
图一
(二)总体流程
IT系统项目建设效益评估体系,实现了项目建设的闭环管理。
(三)实施细则
在评估体系总体框架确定的情况下,需要进一步确定每个阶段评估内容涉及的具体评估指标,建立标准化评估规格和流程,通过定性或定量的方式将具体的评估意见指标化并量化,这样的评估体系才能具有说服力,才能站在客观的角度对各类系统进行统一的评判。
五、效果分析
利用IT项目效益评估体系去实践IT项目的建设情况,结合具体实际情况,对2010年完成的及在建的8个项目进行评估过程,有业务系统、客户服务系统、安全系统等等类型,具有较大的代表性。其中五个做了详细效益评估,每个项目评估时间20天左右。
(一)评估结论汇总
评估过程中,根据不同的系统建设目标和功能,效益评估的侧重点不同。有的系统不会产生经济效益,如VPN系统,其目的就是为了员工外出上网安全性而建设的;有的具有间接的经济效益,如WAP平台、短信群发平台;有的有直接的经济效益,如智能基金定投系统、阳光极速平台等。由于系统建设经济目标不相同(或没有),效益评估的侧重点就不相同。
这里摘录两个系统评估结论如下:
1.VPN评估的结论:对于正常使用了半年的VPN系统,从安全性考虑,SSL模式下的VPN系统建设的必要性是极其充分的;系统的建成达到立项多项目标(技术目标、应用目标等);系统安全性也得到保障系统运维方便、运行稳定;系统利用率极低,系统设计可满足10000人(license)并行使用,目前日均使用却只50人左右。建议在以后项目立项时应充分分析系统可能的利用率,相应控制系统规模及license量的购买,以节约建设成本。
2.智能基金定投系统评估结论:智能基金定投系统建设是必要的,对公司业务的发展意义重大;目前虽然可以开展基本业务,但系统在相关功能上,尤其合规需求功能上需要进一步完善;系统利用率低,业务没有开展起来,远没有达到建设目的;业务立项时需求考虑不周,以至于系统上线后,因补充需求的开发而暂停业务发展。业务部门应成立业务拓展团队,在制度和组织上保证智能定投业务的开展,经济效益上有实际的增长。
(二)效益评估而产生关于项目建设的几点体会和建议
1.项目立项初期可研不够严谨,导致项目在建设过程中和建设完成后无法实现建设目标。如智能基金定投系统,原计划在2010年6月正式上线运行,但由于需求考虑不周,没有认识到业务逻辑的合规问题,导致项目建成却不合规,重新补充与合规相关的需求,使得项目延误到2011年3月才上线,造成较大浪费。
2.系统上线后系统利用率较低,投资回报不合理。如VPN系统,其建设目的是加强外出人员访问企业办公网的安全,但是系统设计满足10000人(license)并行使用,可现在(上线一年半了)日均使用却只有50人左右。其实系统设计时就不应购买那么多(10000)license,1000即可,可视实际情况分步购买方式。又如智能基金定投系统投资118万,2011年3月21日―4月28日委托成功不到30笔,总交易金额不到3万元,产生的手续费可以忽略。
一般IT系统三年的折旧期,最多不超过五年。系统上线一年不到1%的利用率,五年后也不能达到20%,浪费是一定了。
3.系统建成,业务开展不尽人意,系统能力远没有得到发挥。立项报告和系统建设方案中都明确了建设的必要性。可系统平台建成后,一个月、两个月、甚至是一年了业务还没起色,有的系统利用率还达不到1%。
对业务的开展,有很多情况下业务部门没有一个完整的业务拓展方案及专门的业务推广团队,系统建成就被打入冷宫。
4.有些业务系统的建设在成本投入或建设时机上,有进一步斟酌的必要。业务系统的建设目的就是提供业务。可系统建成了,似乎发现该业务不重要。这就是在系统立项时没有充分考虑成本投入的效益和建设时机问题。
如阳光极速平台,针对VIP客户来说似乎是很重要的,可目前全业务上线一年多才有25人在用。有的客户经理不知道有这个系统,有的是不愿意去为客户安装(在客户端),认为功能上与一般的交易软件没有质的变化,必要性不大。又如智能基金定投平台,业务没发展起来,感觉是业务定位不准确,针对业务宣传、推广的人群不准和力度不够,该业务也没有在国内流行起来,建设时机好。
参考文献
[1](美)塞利格.《实施IT治理:方法论、模型、全球最佳实践》.
[2]中国证券业协会.《证券期货经营机构信息技术治理工作指引(试行)》.
[3]夏敬侃,文静.IT服务管理在一级业务支撑系统中的应用.《电信工程技术与标准化》2005年8期。
为了防御和减轻气象灾害,保护人民群众生命财产安全,促进我市经济社会又好又快发展,根据《中华人民共和国气象法》、《气象灾害防御条例》、《防雷减灾管理办法》、《防雷装置设计审核和竣工验收规定》和《省气象灾害防御条例》等有关规定,现将有关事宜通知如下。
一、充分认识气象灾害风险评估工作的重大意义
气象灾害是最严重的自然灾害之一,我市属气象灾害高发区,年平均雷暴日数35天,年最高雷暴日数达44天,每年大到暴雨日数达9天,冰雹日数达28天,大风天数达29天。近年来,随着我市经济社会快速发展和现代化建设水平的不断提高,气象灾害造成的灾害程度也在不断加剧,因气象灾害导致的人员受伤、火灾、信息系统瘫痪等事故时有发生。气象灾害风险评估是防御自然灾害风险管理的重要措施,是气象灾害风险控制和灾害防范的前提和基础,也是建设工程设计和施工的基本依据。各级政府、有关部门必须从构建“和谐”的高度,切实提高对气象灾害风险评估工作重要性的认识,坚决采取有效措施,科学组织,依法管理,认真做好气象灾害风险评估工作,为我市经济社会跨越式发展提供有力保障。
二、认真做好气象灾害风险评估工作
各级政府和有关部门必须依据相关法律、法规要求,认真做好本行政区域内的各种规划、大型建设工程、重点工程、爆炸危险环境等建设项目的气象灾害风险评估工作,特别是对新建、扩建和改建建设工程必须在项目动工前进行气象灾害风险评估,确保公共安全。我市气象灾害风险评估的主要内容是雷电、暴雨、洪涝、干旱、风灾、连阴雨、高温、寒潮、霜冻、冰冻、雪灾、雹灾、雾灾。评估的具体范围是:
(一)《建筑物防雷设计规范》规定的一、二、三类防雷建(构)筑物;
(二)煤矿、供电、化工企业,贮存燃油、燃气、火工等易燃易爆场所;
(三)邮电通信、交通运输、广播电视、医疗卫生、金融证券、文化教育、文物保护单位和其他不可移动文物、体育、旅游、游乐场所以及信息系统等社会公共服务设施;
(四)城乡、重点领域、区域发展和建设规划;重大区域性经济开发、区域结构调整区划;
(五)其他依法需要进行气象灾害风险评估的场所和设施。
上述进行气象灾害风险评估的项目,建设单位在申请办理气象行政许可时,应当根据《中华人民共和国气象法》第二十八条和第三十四条的规定,《防雷减灾管理办法》第二十七条的规定,《防雷装置设计审核和竣工验收规定》第八条的规定,《建筑物防雷设计规范》GB50057—第六章第条的规定,向气象主管机构提交气象灾害风险评估报告。
三、气象灾害风险评估程序
对按规定需要进行气象灾害风险评估的项目,各级建设、气象主管部门应当将气象灾害风险评估工作纳入项目审核与竣工验收许可制度,做到事前评估与事后审验相结合,充分发挥气象灾害风险评估在工程建设中的重要支撑作用。凡属气象灾害风险评估范围的建设工程项目,建设单位在项目可行性研究阶段或初步设计时应同步做好气象灾害风险评估工作。办理程序如下:
(一)建设单位到当地气象主管部门办理气象行政许可申报;
(二)当地气象主管部门应根据建设工程项目类型、类别在1个工作日内作出该项目是否需要进行气象灾害风险评估或雷击灾害风险评估的意见;
(三)气象灾害风险评估项目,由建设单位与具有气象灾害风险评估资质的法定机构签订有关合同。评估机构必须严格执行建设工程气象灾害风险评估技术规范等相关标准,并对评估结论负责,气象灾害风险评估机构应在签订有关合同后20个工作日内作出评估结论;
(四)建设单位将气象灾害风险评估结果报当地气象主管机构备案。
四、切实加强气象灾害风险评估工作的监督管理
(一)加强组织领导。气象灾害风险评估是关系人民群众生命财产安全的大事,市、县(区)政府要切实加强对气象灾害风险评估工作的领导,摆上重要议事日程,周密安排部署,精心组织实施,成立由政府分管领导任组长的气象灾害风险评估领导小组和专家评审组,气象、发改委、建设、规划、安监等部门要各负其责,密切配合,切实将气象灾害风险评估工作落到实处。
(二)靠实部门职责。气象灾害风险评估是社会公共安全保障的一项重要工作,涉及面广、责任重大,各有关部门要加强协调配合,共同做好相关工作。气象部门要做好气象灾害风险评估工作的组织、监督和管理,建立并落实气象灾害风险评估工作规范和工作流程,增强服务意识,提高办事效率,严格执行上级物价部门核准的技术收费标准和市政府规定的有关项目减免收费政策,确保风险评估工作顺利开展。发改部门在审批重点建设项目、易燃易爆工程建设项目立项时,应将气象灾害风险评估作为建设项目立项可行性论证的重要条件,对可行性研究报告或者申请报告中未包括气象灾害风险评估的项目,不予立项、审批、核准。规划、建设管理部门在进行项目规划建设许可时,应将气象灾害风险评估合格作为前置条件。安全生产监督管理部门应加强执法监督,督促气象灾害风险评估工作落实到位。
关键词:港口航道;码头通航;安全评估
一、前言
港口是水上航运不断繁荣发展的基石,港口的规模设施决定着其容纳的物资量,同时也影响着商业经济的稳步发展。伴随经济水平的提高,港口建设呈现快速发展的趋势,具体表现在港口规模扩大,港口码头来往船只数量和质量的增多,与港口腹地的交通运行繁忙。但是影响港口发展的因素也有很多,如果港口附近是水上交通的事故多发地带,都会影响港口和码头的正常运行,同时也会对附近的自然环境和水域环境带来一定的影响。所以一个港口航道的确定,要对这航道上的安全环境进行全面的评估,以保证港口及港口附近船只在往来和停靠时的安全。
近几年,随着港口航道和码头通航的快速发展,由于部分安全设施不够到位,安全评估不够全面,导致一些事故不断的出现在港口码头及附近水域,严重影响和制约了港口的全面发展。因此,加快港口航道和码头通航安全的评估研究成为现在港口建设的首要任务。
二、港口航道和码头通航安全评估的目的和组成
(一)安全评估的目的
为了实时掌控航道周围的安全性,为了促进港口航道的健康稳步发展,就必须要进行航道的安全评估。在评估过程中,要始终坚持具体问题具体分析和实事求是的态度去对待每一个评测。要充分考虑港口航道和码头通航中水的影响以及周围环境的变化,确保港口通航安全有序的进行,以不断促进我国河运和海运事业的健康快速的发展。
(二)安全评估的组成
1.操纵模拟器
利用具有集装箱船、油船、散货船、客船等30多种船舶模型的操纵模拟器,根据各种不同的港口码头、航道工程和通航环境来完成不同目的的模拟试验,然后依据试验结果进行安全评估。这种模拟器是由某高校自主研发的,包括主船模型、二百七十度视角投影屏和侧船的三个一百二十度视角投影屏,另外所有船体模型都可以通过雷达图像、电子海图进行信息的交流。
2.船舶运动数学模型
这类模型是作为操纵模拟器的一个核心部分,它关系到安全评估结果可信度的高低。国际上对这类的研究出现两大流派,一个是欧美学派,它是通过整体模型的结构来进行分析评估,目前这种方式已经不再是各国各大港口码头采用的主要分析方式。另一个是日本学派,它是利用船体与舵体之间的力矩和流体动力进行分析,同时也分析各个结构之间相互的力矩和流体动力。相比欧美学派的模型分析,日本学派的模型分析更细致,它来源于紧密结合理论分析与试验研究,对船舶在航道中的变化可以非常清楚的表现出来,特别适用于计算机进行船舶试验的动态数据预报,因而其成为现在国际上比较流行的船舶运动数学模型。
3.航道的评估环境
首先,制作一个电子版海图。这需要根据港口的实际情况来制作,包括港口的航道、修改的航道以及港口周围的建筑设施等影响船舶航行环境的因素。其次,港口区域的环境建立。港口区域包括风力、海浪、潮汐、洋流等水文、气象自然资料要进行收集整理并输入电脑,建立一个能够反映港口真实环境变化的虚拟环境。同时对那些最容易影响船只通航的环境变化,要进行深入的研究,并作特殊处理。最后,将数据进行CAD数据坐标表达转换,通过这种转换,能够更加方便的获取精确的位置坐标,以便于研究分析。
4.港口船舶航迹数据的分析处理
整合通过在评估环境下进行模型操纵而获取的数据,并对这些数据进行系统的分析处理,把航迹中的所有要素显示出来,以满足安全评估所需。通过系统数据的分析,能够直接获取船只在航道上的一系列数据的变化,结合这些变化,评估航道的安全系数。现在技术的成熟,出现了一种专业的分析评估系统软件,它可以非常清晰的将船舶在航迹上的所有操作运行数据展现出来。这不仅提高了安全评估的效率,而且也使得评估的结果更加准确和科学,对港口码头的建设具有十分重大的促进作用。
三、港口航道和码头通航的安全评估
对港口航道和码头通航的安全评估就是通过对港口周围水域环境的调查,研究分析港口水域环境的安全状况,并提出进行安全管理建设的办法和措施。利用操作模拟器和船舶运动模型,在虚拟的港口环境中模拟试验,并针对试验中出现的安全问题进行分析,研究出解决这类问题的安全对策,保障港口水域通航的安全,保证船舶在往来运作中的安全操作。具体的评估内容主要有港口水域通航条件,港口航道的带宽度,码头船只的转向水域尺度和船只停靠数量的配置等方面。
(一)现状分析
评估港口通航水域的深度和宽度、可供船舶航行的高度以及在码头范围内进行船体运动的空间条件是评估一个港口码头能否正常、安全进行船舶航行的标准。然而船只本身的运行能力、港口的吞吐量以及人员的技术水平等都会影响到这一标准的评估。因而,在进行港口航道安全评估的时候,首先要调查当地的通航能力、水域环境、交通能力、港口的建设前景以及港口附近的海图等,再经过全面分析和研究,然后确定该水域航道在运行中是否存在安全隐患。
(二)安全评估模拟试验
利用现有的技术,包括船舶模拟系统和虚拟现实等技术,制作试验海区电子海图、生成试验虚拟通航环境、建立船舶运动模型和制定仿真试验方案。
通过对船舶安全进出港口的航道尺度、码头前船舶的转向水域尺度以及极限通航条件的模拟试验,分析在港口码头船舶航行、靠离操作的安全性以及可行性。试验将船舶在操纵指令、模拟环境和运动状态记录下来,并运用专用分析软件对试验结果进行分析处理,以帮助船舶得出合理可靠的安全操纵数据。
(三)模拟试验结果的分析
依照事先设计好的试验方案,经过一定次数的仿真试验,获取足够多的试验数据之后,再根据一个合理的评价标准,对这些试验的数据结果,进行全面分析,并对港口以及附近水域通航的安全性作一个评价。也可以把模拟试验所得的数据与港航部门、海事局等相关部门的数据综合起来进行分析研究。
基于港口通航环境与模拟试验数据结果的分析,按照相关规范的要求,分析和研究港口建设工程对港口航道和码头通航安全性的影响,并采取相应的措施解决存在的的安全问题,完善港口的安全保障措施。
四、结束语
港口航道和码头通航的安全评估对港口航道的规划设计和码头规模格局的设计等方面有着非常重要的作用。运用模拟仿真试验可以确保评估结果的可信度,可以在为安全评估的数据结果分析时提供非常科学的理论依据。安全评估还可以通过对港口周边建筑工程项目的安全评估,减少其在实施过程中的风险,避免造成不必要的经济损失,同时也保证了港口水域通航环境以及周边环境的安全,也为港口的工作人员提供一个科学的安全管理依据。
拟建港口前,必须经过安全评估,这不仅是港口建设的需要,也是经济发展的需要,保障安全是所有工程项目建设的首要任务。现在经济技术的不断进步,港口航道的安全评估手段更加科学,更加准确。其对港口日常运作的正常有序进行有着重要的意义和作用。重视安全评估,是做好港口建设的第一步,是促进经济稳步发展的有效途径。港口航道和码头通航的安全评估形成一个港口安全管理和建设的保障,其在船舶航行安全方面的重要性是不容置疑的,它是保障港口船舶的安全运行,保障港口顺畅的运行,是港口安全评估的重要体现。
参考文献:
[1]周建红.港口航道和码头通航安全评估[J].科技创新与应用,2013(14)
[2]董海会.港口泊位改造工程水域通航安全评估方法研究[D].大连海事大学:交通信息工程及控制,2010
摘 要 随着核电事业蓬勃发展,核安全文化越来越突显其重要性。核安全文化自核电发展而起源,又极大地促进了核电事业的发展。作为核电企业,核安全文化更是整个企业文化的支柱与核心。本文阐述了核安全文化的起源、发展及其构成和特点,提出了推进核电企业核安全文化建设的几点建议,供企业核安全文化相关管理人员参考。
关键词 核安全文化 发展 推进
核电工程是一项投资巨大、技术复杂、单位众多、接口频繁、建设周期长的特大型工程,质量安全要求高,公众敏感性强。为对公众负责,政府专门设置独立的核安全监督机构,通过推行核安全法规、实施许可证制度,以及各类核安全检查,对核电建设及运行全过程实行严格的监督。像这样由政府部门对工程质量和安全实行如此严格的监督和管理,是任何其他工程项目所没有的。对核安全的特殊要求构成了核电工程项目管理的最突出特点。在此情况下,核安全文化作为一项基本管理原则加以推广,提升全体对核安全的重视与关注,帮助我们形成正确的思维习惯和良好的工作作风,最大限度的提高质量和减少安全事故,是非常必要的,在IAEA 2006年新的核安全法规中,核安全文化更是作为一条管理原则予以体现,以维护和增强组织的核安全文化水平[1]。2011年的福岛核事故更警示我们必须要进一步深刻认识核安全的极端重要性和基本规律,提升核安全文化水平;综合安全检查报告和核安全规划为新时期我国核电发展指明了方向,也为我们探索核安全文化建设提供了依据和要求。
一、核安全文化的起源与发展
核安全文化建设是随着核电站建设发展起来的。早在上世纪80年代,人们就已开始关注核安全问题,特别是美国三里岛和前苏联切尔诺贝利核事故的发生,使核安全问题引起全球范围的广泛重视。社会公众对核安全给予了越来越高的期望和要求。为杜绝此类严重事故的再次发生,核工业、相关政府及国际组织重新审视了核安全的立足点、层次和完善途径,促使了核安全文化的加速发展。国际原子能机构(IAEA)的国际核安全咨询组(INSAG)对核安全文化的认识也逐步深化,并确定了对核安全文化更加科学的评价方法[2]: 1986年,75-INSAG-1《关于切尔诺贝利事故后审评会议总结报告》,首次提出“核安全文化”概念; 1988年,75-INSAG-3《核电厂基本安全原则》,强调核安全文化是安全管理的基本原则,必须将实现安全的目标渗透到为核电厂所进行的一切活动中去; 1991年,75-INSAG-4《安全文化》,安全文化的概念被首次定义,并得到广泛认同; 1994年,《ASCOT指南》,制定出了用于评估安全文化的方法和指南; 1998年,《推进核活动中的核安全文化建设》,指出企业发展和强化核安全文化要经过三个典型阶段; 2002年,75-INSAG-15《强化核安全文化的关键实践》,提出了核安全文化的7个关键要素。
二、核安全文化的构成与特征
核安全文化是一个组织的价值观和行为,影响着企业全员的工作习惯,它以领导为楷模,内化为员工行为,致力于使核安全处于最高地位。核安全文化由表及里,由浅入深共分为三个层次,即表层、中层和深层[2],它强调核电企业全员价值观和行为的统一,强调追求卓越和高标准,强调核安全文化没有终点;它的本质,就是要求企业全员能够主动将核安全文化要求“内化于心、外化于形”,形成核安全文化磁场,以持续影响着进入组织的新成员。
一个拥有良好核安全文化的企业应具备以下特征:
(一)核安全人人有责:明确界定核安全的责任与权利,并让全体人员清楚自己的责任和权利。落实与核安全责任相关的指挥体系、岗位权限、人员配备和资金保障。公司政策中强调核安全高于一切。
(二)领导做安全的表率:高层领导和高级管理者是核安全的主要倡导者,应重视言传身教,要经常不断、始终如一地宣贯核安全第一的理念。
(三)建立组织内部的高度信任:在组织内建立高度的信任,并通过及时准确的沟通来培育这种信任。有畅通的信息流程来提出和处理问题,对员工提出问题所采取的措施要告知员工。
(四)决策体现核安全第一:员工在做出支持核电厂安全、可靠运行的决策时,经过系统和严格的考虑。如无百分之百的把握,高级管理层支持和强化保守决策。
(五)认识核技术的特殊性和独特性:所有的决策和行动都要考虑核技术的特殊性。
(六)培育质疑的态度:员工可通过质疑假设、思考行动的潜在不利后果表现出质疑的态度。事故的产生往往来自于组织根据错误的假设、价值和信念,所采取的一系列决策和行动。员工要对可能给核安全带来不利后果的状态或活动提高警惕。
(七)倡导学习型组织:高度重视经验反馈,培育学习和应用经验的能力。通过培训、自我评估、纠正行动和对标,来激励学习和提高业绩。
(八)评估和监督活动常态化:采用监督手段来强化安全和提升业绩。通过各种监督方法对核安全进行常态化的监督和检查。
三、强化企业内部核安全文化推进
在日常监查监督中,我们已经认识到一些行为的产生已经显示核安全文化处于被弱化的状态,包括:程序不能满足要求、没有对事故事件进行深入分析和没有吸取教训、纠正行动日益积压、过度关注技术层面问题、缺乏自我评估过程和质量保证部门地位较低等。因此,作为每一个参与核电建设和运行的单位,包括营运、设计、制造、建造、调试、维修、承包服务等各相关方,都必须结合自身业务强化企业内部核安全文化的建设,笔者建议可从以下几个方面(但不限于)进行推进:
(一)制定本单位核安全文化推进方案
首先应结合本单位现状及发展规划,制定核安全文化推进方案,设定本单位核安全文化建设目标,包括中长期目标(3-5年)和近期目标(1-2年),依据目标,列出核安全文化推进的实施步骤,包括宏观步骤与微观步骤。根据核安全文化三个层次的构成及强化核安全文化要经过三个典型阶段,一般建议分三个宏观步骤实施,包括文化牵引阶段(起步阶段)、建章立制阶段(提升阶段)及实施推进阶段(持续改进阶段),微观步骤一般为近期1-2年的具体工作计划。
(二)核安全政策声明
应由本单位最高领导者核安全政策声明,作为对社会的公开承诺和员工的行为准则,明确本单位的核安全方针和理念,并广而告之,全体员工应充分理解并作为行动指南。
(三)深入开展核安全文化培训与宣贯
应深入开展核安全文化知识和理念的系列培训、宣传活动。单位最高领导层及中层领导应带头学习并动员、宣讲核安全文化及本单位案例。利用公司网站、报刊开辟核安全文化专栏,制作核安全文化宣传册,宣传核安全理论知识、交流核安全文化心得体会,举办员工喜闻乐见的活动如知识竞赛、演讲比赛等。
(四)完善管理制度和程序,融入核安全文化管理要求
抽象的核安全文化需要有形的载体,转化成具体的行动准则。因此应将核安全文化管理要求落实在制度和程序里,以作为规范和约束员工行为准则、衡量工作质量的最基本标准,它是核安全文化的具体表现,是核安全文化建设推进的关键。单位应将制度和程序作为单位的“法律”来严格遵守,真正做到“凡事有章可循、凡事有人负责、凡事有人检查、凡事有据可查”。
(五)将核安全文化纳入目标管理与绩效考核
应将单位各部门、各级人员推进核安全文化的情况纳入目标管理与绩效考核体系,从目标下达、分解、考核各个环节体现核安全文化建设推进工作的要求,并建立奖惩机制,对于取得良好核安全绩效的部门及员工给予奖励,对于重复出现的问题或严重的错误,应采取惩罚措施。但具体做法要慎重,处罚不能导致员工隐瞒错误。
(六)建立评价准则,进行核安全文化自我评估
单位应建立定性和定量相结合的核安全文化评价准则,以对单位内部核安全文化进行评估,衡量本单位核安全文化所处状况,找出缺陷和薄弱环节,提出改进要求。评估的对象是本单位各级组织和人员,尤其是他们对待核安全的态度。核安全文化的自我评估需建立必要的评估组织,评估应逐步常态化,一般周期为一年一次,可单独进行,也可结合单位内部监查与管理部门审查工作一并进行。
四、核安全文化推进的要点
(一)结合公司企业文化建设同步推进
作为一家参与核电建设的单位,核安全文化必然成为公司企业文化不可分割的一部分,因此需要与公司企业文化建设紧密结合,整合资源,共同推进,在企业文化建设的各方面体现公司的核安全文化推进理念。
(二)全员参与,高层推动
核安全文化从某种意义上说是管理者的文化,其推进的首要保障条件是高层领导的大力支持和推动,他们的言传身教,身体力行,率先垂范,将激发全体员工的参与热情。另一方面,企业生产经营活动的主体是员工,所有员工的核安全文化理念和价值取向相互作用及融合,形成了公司的核安全文化,因此核安全文化建设必须是全员参与。
(三)各部门协调配合
核安全文化建设是一个系统工程,它要求各部门的相互配合、共同参与,需要有机地将公司核安全文化与经营生产活动紧密结合。核安全文化建设要求各部门协助参与,如规划发展部应完善公司目标管理与绩效考核制度、人力资源部应完善公司培训管理等。
(四)言而有信、奖惩兑现
公司对员工的承诺若无法兑现,即成为“空头支票”,员工对公司文化则失去信任,作为企业文化不可分割的一部分,核安全文化同样将面临“信任危机”。
(五)需要大量宣传推广
只有通过大量的宣传和培训,才能使人们愿意承认一个理念、文化是切实可行的,因此在核安全文化建设期间,应始终坚持做好宣传培训。
(六)实施过程的监督和检查
公司核安全文化建设工作在实施过程中,各部门应切实落实年度核安全文化推进工作计划,有专门组织进行监督和检查,并逐步将核安全文化建设工作与部门及员工工作目标与考核挂钩。
(七)核安全文化的评估
在文化牵引阶段取得一定进展后,应将核安全文化的评估工作提上日程并逐步常态化,以增进对核安全文化现状的认识,为核安全文化的变革或改善效果的长期跟踪提供途径。
(八)循序渐进,持续改进
行为规范和观念的转变过程大多很漫长,因此一个公司的核安全文化的形成需要时间,是一个循序渐进、不断提升的过程,在此过程中,应充分借助PDCA循环,持续改进公司核安全文化建设工作。
五、结束语
企业核安全文化的形成和改变是一个非常缓慢的过程。目前国内正面临多项目多机组发展的形势,对核安全文化的建设要求越来越迫切,需要企业做好方案,抓住要点,大力推进,使企业中的每个人都致力于“安全第一、质量第一”这个共同的目标,把核安全的要求切切实实落实到行为上,这样才能使电站的建设和运行获得最高的安全水平。
参考文献:
