風險評估的形式精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇風險評估的形式范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

關鍵字：雷擊；風險；評估；發展；建議

中圖分類號：S761.5文獻標識碼：A

雷電災情的調查

雷電災害調查是防雷減災的基礎性工作，沒有扎實可靠的雷電災害資料作為

基礎，防雷工作將淪為空談，我市雷電災害頻繁、形式嚴峻。

益陽市雷擊風險評估服務現狀、發展情況

（一）益陽雷擊風險評估發展的現狀

1.服務機構基本建成

益陽現有1個市防雷中心和5個縣、市、區防雷中心每個防雷中心均被氣象主管機構賦予雷電災害風險評估服務職責。覆蓋全區行政區域范圍的區、市、縣三級雷電災情服務初步建成并且正在籌劃建成資陽區、東部新區、大通湖區防雷中心的建成。

2.服務范圍廣泛

在服務地域方面，2011年益陽市6個防雷中心全部開展了雷擊風險評估服務。在服務領域方面，全市雷擊風險評估服務包括：大型建設工程、重點建設工程、電力、通訊、礦山、石油、化工、煙花鞭炮及其他易燃易爆等危險化學品生產、儲存場所或者設施，重要物資倉庫、高層建筑、人員密集的公共場所等。

3.服務效益初見成效。

2011年益陽市防雷中心為橋梁、學校、醫院、加油、加氣站等易燃易爆場所，提供了重要的雷電災害防御指導，取得了較好的社會效益。特別是沅江市防雷中心今年雷擊風險評估服務經濟收益明顯，年底有望突破七十萬。

4.管理水平上日益提高。

將雷擊風險評估服務定為氣象公共服務的一項基本職責，促進基層雷擊風險評估的責任感。建立健全的雷擊風險評估標準，嚴格控制防雷資質證的發放，并在網上進行公布。

（二）益陽雷擊風險評估發展特點

1.以政策法規突破促進雷擊風險評估服務發展。為響應《湖南省雷電災害防御條列》，益陽市人民政府2012年底9月出臺《益陽市防雷減災管理辦法》，規范進行雷電災害防御。

2.強化自身業務能力加強學習讓防雷中心技術人員都成為防雷方面的專家。

益陽雷擊風險評估服務制約分析

（一）雷擊風險評估服務質量不高是影響發展的最大隱患

1.防雷產品科技含量不高是制約雷擊風險評估服務發展的主要因素。

2.防雷產品售后的滯后影響用戶對防雷產品使用的效益。

3.防雷服務水平不高導致用戶對防雷服務產生怨言。

4.防雷服務的手段不恰當，有的地方采用行政手段強制執行雷擊風險評估，在社會上造成不良影響。

（二）法規政策的制約

雷擊風險評估服務的支撐依據是《氣象災害防御條列》、《湖南省雷電災害防御條列》，再者在這些條列以上法規中沒有明確雷擊風險評估服務的具體范圍，由此帶來了服務操作中的不便，許多應當進行雷擊風險評估的易燃、易爆場所扣住條列中的不確定字詞，而應進行雷擊風險評估的建（構）筑物不進行雷擊風險評估。

（三）專業技術和專業人才的制約

雷擊風險評估在益陽還只是剛剛起步，很多面子材料上的功夫做的不是很到位，加上雷擊風險評估服務專門的科研人才缺乏，沒有“一流的人才”支撐，難以提供高水平的服務，嚴重制約著雷擊風險評估服務的發展。

雷擊風險評估發展的建議

（一）雷擊風險評估服務的定位

1.雷擊風險評估是氣象部門的服務職責，而不是中介服務機構的服務項目。因此雷擊風險評估做為氣象部門的一項基本業務，不能因為某個機構企業具備從事防雷工作的資質就能從事雷擊風險評估服務。

2.雷擊風險評估是公共氣象服務的重要組成部分。雷擊風險評估做為一項總要的公共氣象服務，其所需要的人員、科研、經費、培訓等應納入公共氣象服務發展范籌；另外在服務中體現公共服務特色，加強對雷擊風險評估的宣傳和評估的技術含量，以加強公共氣象服務在社會上的認可程度。

3.結合實際半公益服務半經濟化運作。在行政審批上應當是在對方規范性文件規定需要辦理雷擊風險評估手續，應對其申請人補充相關手續，但不能以未辦理雷擊風險評估手續作為不予受理的條件，不得以強制手段威脅。

（二）雷擊風險評估服務的提高

1.明確雷擊風險評估服務的職責

氣象主管機構與防雷中心在雷擊風險評估服務中應當各自履行行政管理與技術服務職責，加強協調配合，共同做好雷擊風險評估服務工作。

2.防雷技術現狀

各級防雷中心是全地區雷擊風險評估服務人才和技術的集中地，相對具備“技術雄厚、人才較多；設備齊全、服務周全”有能力足夠人力和技術獨立完成服務的建設項目和雷擊風險評估服務。

五、結論

1.科學管理。首先要對各方面、各層次、各資源進行統籌考慮，加強雷擊風險評估服務發展設計，制定雷擊風險評估服務發展總體規劃發展方案。其次，要做好發展方案的可執行性評估。三是要加強行政指導，通過目標考核、實施情況調研、建立評價機制等方式推進雷擊風險評估的發展實施。四是建立科學高效的業務運行機制和管理模式。

2.完善法律法規依據。首先要根據益陽市雷擊風險評估的發展形勢，對雷擊風險評估建立具有地方性特色的法律、法規，進一步細化雷擊風險評估的法律規定，將雷擊風險評估的管理形式、服務主體、服務程序等通過地方性法規或政府形式等加以確定，為雷擊風險評估的依法發展提供法律保障。

篇(2)

關鍵詞：風險評估；管理工具；分類；選擇；設計

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2011)30-7388-02

Research on Risk Assessment and Management Tools

WANG Fu-hua,YAO Jie

(Chongqing Communication Institute, Chongqing 400035, China)

Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.

Key words: risk assessment; management tools; classification; choice; design

目前，網絡安全問題已成為影響社會經濟發展和國家發展戰略的重要因素，信息安全評估工作的重要性不言而喻。信息安全風險評估工作是個極復雜又具有挑戰性的工作，需要細致的工作，大量的支持性的專業知識的支撐，項目管理也比較復雜，因此如果要更好的完成信息安全風險評估工作就必須有一套非常實用的信息安全風險評估管理工具。一套使用的風險評估管理工具將極大地提高信息安全風險評估工作的效率和結果的正確性。

1 風險評估與管理工具分類

風險評估與管理工具是根據系統關鍵信息資產、資產面臨的威脅以及威脅所利用的脆弱點來確定所面臨的威脅、對風險情況進行全面考慮，估算出信息系統的風險情況，且在風險評估的同時根據面臨的風險提供相應的控制措施和解決方法。

1.1 基于國家、政府頒布的信息安全管理標準或指南

目前世界上存在多種不同的風險分析指南和方法，不同的風險分析方法其側重點和關注點各不相同。如：

NIST（National Institute of standard and Technology）的FIPS 65；

DOJ（Department of Justice）的SRAG；

GAO（Government Accounting Office）的信息安全管理的實施指南。

1.2 基于專家系統的風險評估工具

基于專家系統的風險評估工具主要通過建立專家系統和外部知識庫，以調查問卷的方式收集組織內部信息安全的狀態。對重要資產的威脅和脆弱點進行評估，產生專家推薦的安全控制措施。

基于專家系統的風險評估工具通?？梢宰詣有纬娠L險評估報告，根據風險的嚴重程度提供風險指數，同時分析可能存在的問題，并提供相應的處理方法。

COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統的風險評估工具，它是一個問卷調查式的風險分析工具，由三個部分組成：調查問卷生成、風險測量和結果分析生成。

基于專家系統的風險評估工具除COBRA之外，比較知名的還有@RISK、BDSS（The Bayesian Decision Support System）等工具。

1.3 基于定性或定量算法的風險分析工具

風險分析作為重要的信息安全保障措施，是信息安全體系不可或缺的一部分。而信息安全風險評估的算法作為風險評估的重要手段，很久以前就被提出并了大量的研究工作，其中一些算法已經成為正式的信息安全標準的一部分。早期的風險評估算法大部分僅僅作定性的分析，對風險產生的可能性和風險產生的后果只能按照高、中、低來區分，這種定性的方式無法準確地估算出風險產生的可能性和損失量。隨著人們對信息安全風險了解的不斷深入，獲得了更多的經驗數據，因此人們越來越希望用定量的風險分析方法反映事故發生的可能性。定量的信息安全風險管理標準包括美國聯邦標準FIPS31和FIPS191，提供定量風險分析技術的手冊包括GAO和新版的NISTRMG。

由于數據收集的困難，目前還沒有完全定量的風險評估工具，現有的風險評估工具要么在定性方面有所側重，要么在定量方面有所側重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風險評估工具，而@RISK、Risk-CALC、CORA是半定量的風險評估工具。

2 常見的風險評估管理工具比較

CRAMM：CRAMM是1985年由英國CCTA開發的風險評估系統。CRAMM包括全面的風險評估工具，并且完全遵循BS7799規范，包括依靠資產的建模、商業影響評估、識別和評估威脅和弱點、評估風險等級、識別需求和基于風險評估調整控制等。CRAMM評估風險依靠資產價值、威脅和脆弱點，這些參數值是通過CRAMM評估者與資產所有者、系統使用者、技術支持人員和安全部門人員一起的交互活動得到，最后給出一套解決方案。

COBRA：COBRA是1991年由C&A System Security公司推出另外一個風險評估工具，用來進行信息安全風險管理方法，提供了一個完整的風險分析服務，并且兼容許多風險評估方法學（如定性分析和定量分析等）。它可以看做一個基于專家系統和擴展知識庫的問卷系統，對所有的威脅和脆弱點評估其相對重要性，并且給出合適的建議和解決方案。此外，它還對每個風險類別提供風險分析報告和風險值。

@RISK是美國Palisade公司的一款軟件產品，在世界范圍內廣泛使用，是構架在微軟Excel之上的一套風險分析工具。在@RISK中，提供了一套完整的風險分析工具，包括可以自行修訂的統計分配模型、蒙特卡羅檢測、敏感性分析、環境分析、極限值測試等常用的風險評估模型。@RISK建立的流程包括：

1) 在Excel上建立需要分析的問題模型；

2) 確定需要輸入模型的不確定值；

3) 通過模擬程序，對可能的參數范圍進行分析，以@RISK內置的概率分布函數表示，然后確定模型的輸出結果；

4) 產生需要的資料圖表進行分析。

表1是對一些主要風險評估工具的比較。

表1

3 選擇風險評估工具的原則

1) 根據實際環境和企業的需求選擇

2) 風險評估工具應當能夠精確地映射網絡、應用以及進行攻擊測試

怎樣了解一個工具的實際功效？最有效的辦法是搜索Web，查看媒體的評論，要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數廠商都提供限制了功能的試用版本，通常是限制IP地址的范圍。

3) 不僅要注意風險評估工具為目標平臺提供的攻擊腳本數量，而且要留意它們的更新速度。

純粹的數量有時不能說明問題，因為有些廠商可能把許多相關的漏洞看成一個，有的廠商則把它們算作多個漏洞。一些較為優秀的風險評估工具，如CVE，把每一種測試都鏈接到了一個標準的漏洞案例ID。留意風險評估工具的更新頻率，看看它是自動更新還是需要手工執行更新，還有，新的安全威脅發現之后它要多長的時間才能推出相應的更新？

4) 報告數量的多少，內容翔實程度，是否允許導出報表

只能內部使用的掃描結果報表也許能夠滿足最初的需要，但如果經常對系統進行風險評估，最好能夠將生成的報表導出到外部數據庫，以便執行對比和分析。

5) 是否支持不同級別的入侵測試以避免系統掛起

所有風險評估工具都有這樣的警告：入侵測試過程可能產生DoS攻擊，或者導致被測試的系統掛起。通常，在高訪問量期間對擔負關鍵任務的系統不應該運行風險評估工具，風險評估工具本身可能帶來問題，引起服務中斷或系統被鎖死。大多數高質量的風險評估工具允許執行侵害程度較小的入侵測試，避免造成系統運行中斷。

6) 是否需要在線服務？

有些風險評估工具以在線服務的形式提供。這種形式的優點是不占用硬件資源，可以從任何地方運行和獲取報表，自動執行更新，一般而言總擁有成本也較低。缺點是服務的運行速度一般較慢，不象客戶端產品那樣容易定制。最后還有一點是，如果采用在線服務，則掃描出來的網絡漏洞清單還將落入第三方的手中。

4 信息安全風險評估管理工具設計

信息安全風險評估管理工具的設計必須考慮到參考模型可能存在的變化，或者計算方法發生變化而導致的工具適應性的問題，還應該具有項目管理功能，統計分析，報表，輔助評估專家系統，查詢，資產管理，更應該加入風險管理與控制模塊，如果能提供與其他資產管理軟件的接口就更好了。

為了適應評估工作模式，信息安全風險評估工具的架構應該選擇B/S結構，評估小組和評估人是最終用戶，系統管理員對信息安全風險評估工具進行維護和管理。系統架構如圖1。

信息安全風險評估工具中應該包含威脅參考庫、脆弱性參考庫、資產分類庫、可能性定義庫，后果定義庫、控制措施庫等評估輔助專家系統庫。這些庫都可以自己定義，便于使用。評估小組可以在評估的各個時期都能夠得到幫助。

資產管理模塊應該包含資產的各種基本信息，包括位置、責任人、所屬系統以及各種相關信息。根據不同資產的分類，相關信息也不同，這些相關信息都是有助于系統安全的相關信息。如資產的生命周期、系統補丁信息等。

信息安全風險評估工具需要實際使用的檢驗，將在不斷滿足客戶的需要的同時逐漸發展、成熟。通過不斷的改進和發展，相信信息安全風險評估工具將極大地推動信息安全風險評估工作的進行。

參考文獻：

[1] 陳友初.信息安全風險評估的探討與實踐[J].廣西科學院學報,2006,22(4):367-369.

[2] 杜輝,劉霞,汪厚祥.信息安全風險評估方法研究[J].艦船電子工廠,2006,26(4):65-69.

[3] 張建軍,孟亞平.信息安全風險評估探索與實踐[M].北京:中國標準出版社,2005.

[4] 趙戰生,謝宗曉.信息安全風險評估[M].北京:中國標準出版社,2007,8.

[5] 馮登國,張陽,張玉清. 信息安全風險評估綜述[J].北京:通信學報,2004,25(7):10-18.

[6] 關義章,戴宗坤.羅萬伯,等.信息系統安全工程學[M].北京:電子工業出版社,2002,12.

篇(3)

1．1屬性數學模型證券交易風險評估方法

證券交易風險評估，需要統計各種不同證券的相關參數，利用基礎屬性數學模型，對證券風險進行評估。其具體步驟如下所述:1)設置δj是第j種證券交易形式的利潤量屬性和成本量屬性的沖突系數，建立不同證券交易形式的矩陣X=x11x12…x1px21x22…x2pxn1xn2…xnp，其中xjk是需要進行風險評估的第k種證券交易形式第j天的市場價值。2)利用下述公式計算第j種證券交易形式的增長系數:ηj=xjk×j2－槡1δj(1)3)利用下述公式能夠計算證券交易風險評估誤差系數:φj=Xjk{fj1×1+fj2×(1+2)+…+fjp×[(p－1)+]j}2×(ej1+ej2+…+ejp)×T×ηj(2)其中，fjk是對應證券交易形式的權值系數，ejk是對應證券的收益率參數，T是證券交易風險評估時間。

1．2傳統方法存在的缺陷

在證券交易風險分析評估挖掘過程中，需要統計各種不同證券形式的相關數據，利用基礎屬性數學模型，對證券交易進行評估。假設在評估過程中，利潤量屬性和成本量屬性發生沖突，將造成評估模型穩定性降低的缺陷，導致證券交易風險分析挖掘的準確性較差。根據式(1)能夠得知，一旦證券利潤量屬性和成本量屬性的沖突系數增大，將導致第j種證券交易形式增長系數降低。根據式(2)能夠得知，第j種證券交易形式增長系數降低，將造成證券交易風險評估誤差系數增大。

2證券交易風險分析評估挖掘方法

證券交易風險分析評估挖掘，是金融領域研究的核心問題。利用傳統算法進行證券交易風險分析評估挖掘，無法避免由于利潤量屬性和成本量屬性沖突造成的評估模型穩定性較差的缺陷，導致證券交易風險分析評估挖掘的準確性降低。因此，提出了一種基于模糊支持向量機算法的證券交易風險評估方法。3．1建立模糊支持向量機評估模型證券交易風險分析評估挖掘主要包括建立模糊支持向量機評估模型和對評估過程中造成的誤差進行補償兩個主要的部分。評估模型質量與證券交易風險評估結果關系密切。利用模糊支持向量機的方法進行證券交易風險評估，需要對全部證券特征建立映射聯系，通過運算獲取理想的分類平面，從而建立模糊支持向量機評估模型。根據全部證券交易相關數據，能夠描述不同證券之間的相關性。其公式如下所述:L(y，z)=e1Lq(y，z)+e2LS(y，z)(3)其中，Lq是證券相關數據多項式核函數，LS是基函數。上述公式需要符合下述條件:e1+e2=1根據核函數相關理論能夠得知，對符合Mercer條件的核函數進行求和處理，得到的結果仍然符合Mercer的條件。對證券交易相關參數進行優化處理，能夠提高核函數的訓練能力和泛化能力。設置證券信息能夠用Tj(1＜j＜p)進行描述，將其作為證券交易風險分析評估挖掘的基礎數據，將其風險分為兩種不同的類別sj(sj∈{1，－1})，那么證券交易風險分析評估挖掘樣本構成的數據集合是{(tj，sj)，j=1，2，…，p}，假設tj∈S(s)，那么該證券樣本數據屬于第一個類別，用sj=1表示，否則，則屬于第二個類別，用sj=－1表示。假設樣本是一個線性數據集合，那么可以利用下述公式計算分類平面:ltj+n=0(4)其中，l是證券相關參數權值系數，n是樣本分類衡量標準，利用這個分類平面，能夠將線性數據集合中的樣本進行有效分類。假設樣本是非線性數據集合，則不能用上述方法進行分類，需要引入松弛系數εj和懲罰系數j，那么利用下述公式能夠對樣本數據進行分類:minγ(tj)=12l2∑pj=1εj，tj(lsj+n)－1+j(5)假設樣本數據集合是非線性的，那么需要利用非線性函數α=φ(sj)，對樣本數據sj進行映射處理，從而獲取線性特征空間，則可以在該特征空間中獲取理想分類平面，從而實現評估決策。利用下述公式能夠描述該線性特征空間的分類平面:lφ(tj)+n=0(6)該線性特征空間的決策函數如下所示:g(sj)=sign(lγ(sj)+n)(7)根據模糊支持向量機相關理論和上述決策函數，可以利用下述公式建立模糊支持向量機評估模型:maxME=∑mj=1χj－12∑pj=1∑pk=1χjχksjskL(tj，tk)(8)其中，0＜χj＜，∑pj=1χjsj=0。根據上面闡述的方法，能夠建立模糊支持向量機模型，對證券交易的風險進行評估。3．2證券風險評估誤差補償利用模糊支持向量機評估模型進行證券交易風險評估的過程中，會出現一定程度的誤差。因此，需要對這些誤差進行補償，從而準確完成證券交易風險評估。通過模糊支持向量機評估模型，可以獲取證券初始數據序列如下:Z(0)(v)={z0(1)，z0(2)，…，z0(q)}(9)利用下述公式，可以得到誤差參數:η=(z(0)(1)－wc)gc(10)將證券交易樣本數據分為q個狀態，通過下面的公式能夠實現樣本數據狀態轉移:λk=［λ1k，λ2k］，λjk∈λk，k=1，2，…，q(11)式中，λ1k和λ2k的值會根據證券交易走勢發生變化。通過下述公式能夠獲取證券交易風險分析評估挖掘過程中產生誤差的概率:Pkl(m)=Pkl(m)Pk(12)所以，可以獲取證券交易風險分析評估挖掘過程中產生的誤差構成的矩陣:P(m)=P11(m)P12(m)…P1q(m)P21(m)P22(m)…P2q(m)Pq1(m)Pq2(m)…Pqq(m)(13)式中，Pkl(m)是證券交易數據變化系數，λk是進行m次迭代處理后的變換系數，λl是證券交易數據集合的數量。按照上述矩陣，可以通過運算獲取證券交易風險分析評估挖掘過程中產生的誤差，從而進行補償。通過上面闡述的方式，能夠利用模糊支持向量機方法，對證券交易中的風險進行評估，利用誤差補償方法，對評估過程中產生的誤差進行補償，從而完成證券交易風險評估。

3仿真結果分析

在證券交易的過程中，證券交易的風險容易受到政策、市場、地域分布等多方面因素的影響，造成證券交易中的利潤量屬性與成本量屬性出現較大程度的沖突，從而造成對證券交易的評估出現較大的誤差。一旦利潤量屬性和成本量屬性出現沖突，將造成傳統評估模型穩定性降低的缺陷，導致證券交易風險分析評估挖掘的準確性降低。為此，提出了一種基于模糊支持向量機算法的證券交易風險評估方法。利用模糊支持向量機方法，對證券交易中的風險進行評估，利用誤差補償方法，對評估過程中產生的誤差進行補償，從而實現證券交易風險評估。

3．1證券交易風險分析評估挖掘數據

對證券交易風險分析評估的初始數據進行整理，從中選取不同風險等級的樣本，獲取的600個樣本數據如下表1所示。在實驗過程中，需要將這些樣本數據分為訓練數據集合和測試數據集合，其中訓練數據集合中包括500個訓練樣本，測試數據集合中包括100個測試樣本。

3．2計算不同證券交易形式權值系數

對證券交易進行風險分析評估挖掘，需要計算不同證券交易形式的權值系數，對不同證券交易形式的權值系數進行整理，能夠得到表2。

3.3實驗結果分析

為了驗證本文算法的有效性，需要進行一次實驗，分別采用線性評估模型算法、基礎屬性數學模型算法、回歸模型算法和模糊支持向量機算法進行證券交易風險分析評估挖

4結束語

篇(4)

社會穩定風險評估機制是源于地方政府“自下而上”的創新機制，如果將其政策目標僅僅鎖定在“維穩”的貢獻上，未免忽視了該機制內生的重要價值，即立足評估，意在尋求能夠讓老百姓易于接受的發展性政策方案，實現穩定與發展的互促共生。社會穩定風險評估機制實質上是一種“倒逼”邏輯，以“維穩”為主軸，推動政府與公民的互動，實現經濟社會的有序良性發展。

從政策過程的角度來看，社會穩定風險評估本質就是前置的政策評估

長期以來，地方政府決策重視后期的政策績效評估，而且主要是基于經濟學的成本效益分析，大多忽視前置的政策評估，尤其是價值、態度和個人偏好等主觀因素的評價至今尚未有行之有效的評估方法。從西方國家政策評估的實踐來看，政策評估已經從第一代簡單的測量取向的評估“升級換代”到第四代，即特別重視政策利害關系人對于政策的反應態度和意見。目前，各地推行的社會穩定風險評估，實際上就是政策影響評估，主要是對涉及居民重大利益的決策及其建設項目，采取多種形式征求群眾意見，提高決策的科學性和可行性，降低不必要的政策執行成本，提前預防可能發生的大量矛盾糾紛。

無論是四川遂寧的舊城改造，還是吉林磐石的三輪車政策，實踐都證明，增加了風險評估的政府決策過程，高度重視群眾的利益和意見，實際上夯實了政策執行的社會基礎，其社會意義不僅僅是“零”的出現，更重要的是實現了社會穩定和經濟發展的雙豐收。這也將大大消除一些地方官員擔心由于風險評估可能降低經濟發展效率的疑慮。事實上，由于決策的專業性和政府管理的職業化程度的不斷提高，風險評估的前置，將很少出現全面否決政府定的決策方案的局面。反之，如果有大量的風險程度較高的決策方案的出現，則意味著地方政府決策的科學性亟待提高。換言之，政府主導的發展戰略并不會因風險評估的出現而擱淺或延誤，只會朝著決策的科學化和民主化不斷邁進。

從政府過程的角度來看，社會穩定風險評估是后補的意見表達和意見綜合

雖然意見表達是政府過程的開端，但是在中國政府的實際運行過程中，“意見表達”與黨主導的“意見綜合”是交錯進行的?？紤]到中國特殊的政治環境，一方面，大部分個體意見表達的意愿不強，意見表達的能力不高；另一方面，大量的個體的意見表達是在“集體”中進行，突出地表現為“表達”中有“綜合”，“要求”中有“支持”。這種區別于西方國家的意見表達和綜合的特征，在某種程度上直接導致一些地方政府對于群眾意見的“誤讀”。長期以來，習慣成自然，地方政府過程環節竟直接從內部起草決策方案開始，群眾的利益和意見“被官員代表”。直到地方政府被大量的“”和突發性的出現包圍時，地方官員才開始意識到過度強調發展速度和決策效率，忽視群眾意見表達，只會人為地給自己平添更多的社會不穩定因素，阻礙當地經濟社會的發展。社會穩定風險評估機制的設置，是在政府政策方案形成之后，具體執行之前，補充性地增加群眾的意見表達，并由決策部門主導各方面的意見綜合階段。盡管風險評估機制是后補性地聽取群眾的意見，但是總比之前完全忽略群眾自我利益表達要好一些。我們有理由相信，隨著社會穩定風險評估機制的全面推行，嘗到“甜頭”的地方官員也將主動理順這種錯置的意見表達和綜合，將后補變為前置，切實有效地降低政策的社會穩定風險等級，真正提高政府決策的效率，推動當地社會全面發展。

從政府發展的歷程來看，社會穩定風險評估有利于促進產出式民主，構建責任政府

在以往的一些政策制定過程中，政府忽視在公民廣泛參與情況下制定出某些公共政策，由于缺乏百姓的認可，往往事與愿違，要么“好政策”被束之高閣無法推行，要么政策推行起來困難重重，執行成本大大提高。社會穩定風險評估就是要將這種傳統的“替民做主”的政府獨斷的決策方式，轉換為“與民做主”的政民協作式決策方式，全面構建責任政府。

一方面，社會風險評估機制實際上是在民眾和政府部門之間搭建了一座民心橋。政府部門通過政策評估將群眾的政治參與吸引到具體的公共服務提供的方式和結果上，避免了公民政治參與的形式化以及被外在力量左右的可能性，同時在評估的過程中培養了當地居民參與地方管理的能力和積極性，有利于基層民主的發展；另一方面，社會風險評估機制強調屬地管理和決策責任，有利于構建責任政府。在評估的過程中，全面開放透明的決策信息溝通，避免了政府決策的封閉性，有利于政府厘清自己的職責邊界，一改原先單純地把群眾放在“被管理者”位置的做法，將群眾、民間團體和其他社會組織平等地吸納到決策過程中來，在“與民共同做主”的過程中，真正承擔和全面履行政府的有限職責，構建更加完善的市場體系和成熟的公民社會，促進經濟結構轉型和社會全面發展。

社會穩定風險機制政策實現重在完善細節，絕不能大而化之，流于形式

社會風險評估作為一種新生的政府決策運行機制，在今后的推行中，理念和制度框架不是問題，因為先行先試的地方政府為后來者提供了較好的實踐基礎和行為標桿。關鍵性問題在于評估的過程中，具體細節的完善，將直接決定評估的實際效果。例如有關“重大”的標準問題，在四川省的制度文本中先后出現了33處“重大”，全部是定性的表述，缺乏具體程度和范圍的規定。顯然重大與否，在于官員自身認識決定，這個標準很難確定，直接導致政策執行的難度，有可能官員認為不“重大”，不需要評估的決策方案，恰巧是百姓認為涉及自身利益很重要的，又如何處理？

篇(5)

關鍵詞：網絡安全；風險評估；實施流程

中圖文分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2008)29-0366-02

Research on Network Security Risk Assessment Appraisal Flow

XING Zhi-jun

(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)

Abstract： Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.

Key words： network security;risk assessment;appraisal flow

1 引言

網絡安全風險評估就是通過對計算機網絡系統的安全狀況進行安全性分析，及時發現并指出存在的安全漏洞，以保證系統的安全。網絡安全風險評估在網絡安全技術中具有重要的地位，其基本原理是采用多種方法對網絡系統可能存在的已知安全漏洞進行檢測，找出可能被黑客利用的安全隱患，并根據檢測結果向系統管理員提供詳細可靠的安全分析報告與漏洞修補建議，以便及早采取措施，保護系統信息資源。

風險評估過程就是在評估標準的指導下，綜合利用相關評估技術、評估方法、評估工具，針對信息系統展開全方位的評估工作的完整歷程。對信息系統進行風險評估，首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系，應包括：系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。

2 風險評估的準備

風險評估的準備過程是組織進行風險評估的基礎，是整個風險評估過程有效性的保證。機構對自身信息及信息系統進行風險評估是一種戰略性的考慮，其結果將受到機構的業務需求及戰略目標、文化、業務流程、安全要求、規模和結構的影響。不同機構對于風險評估的實施過程可能存在不同的要求，因此在風險評估的準備階段，應該完成以下工作。

1） 確定風險評估的目標

首先應該明確風險評估的目標，為風險評估的過程提供導向。支持機構的信息、系統、應用軟件和網絡是機構重要的資產。資產的機密性、完整信和可用性對于維持競爭優勢、獲利能力、法規要求和一個機構的形象是必要的。機構要面對來自四面八方日益增長的安全威脅。一個機構的系統、應用軟件和網絡可能是嚴重威脅的目標。同時，由于機構的信息化程度不斷提高，對基于信息系統和服務技術的依賴日益增加，一個機構則可能出現更多的脆弱性。機構的風險評估的目標基本上來源于機構業務持續發展的需要、滿足相關方的要求、滿足法律法規的要求等方面。

2） 確定風險評估的范圍

機構進行風險評估可能是由于自身業務要求及戰略目標的要求、相關方的要求或者其他原因。因此應根據上述具體原因確定分險評估范圍。范圍可能是機構全部的信息和信息系統，可能是單獨的信息系統，可能是機構的關鍵業務流程，也可能是客戶的知識產權。

3） 建立適當的組織結構

在風險評估過程中，機構應建立適當的組織結構，以支持整個過程的推進，如成立由管理層、相關業務骨干、IT技術人員等組成的風險評估小組。組織結構的建立應考慮其結構和復雜程度，以保證能夠滿足風險評估的目標、范圍。

4） 建立系統型的風險評估方法

風險評估方法應考慮評估的范圍、目的、時間、效果、機構文化、人員素質以及具體開展的程度等因素來確定，使之能夠與機構的環境和安全要求相適應。

5） 獲得最高管理者對風險評估策劃的批準

上述所有內容應得到機構的最高管理者的批準，并對管理層和員工進行傳達。由于風險評估活動涉及單位的不同領域和人員，需要多方面的協調，必要的、充分的準備是風險評估成功的關鍵。因此，評估前期準備工作中還應簽訂合同和機密協議以及選擇評估模式。

3 信息資產識別

資產是企業、機構直接賦予了價值因而需要保護的東西，它可能是以多種形式存在的，無形的、有形的，硬件、軟件，文檔、代碼，或者服務、企業形象等。在一般的評估體中，資產大多屬于不同的信息系統，如OA系統、網管系統、業務生產系統等，而且對于提供多種業務的機構，業務生產系統的數量還可能會很多。

資產賦值是對資產安全價值的估價，不是以資產的帳面價格來衡量的。在對資產進行估價時，不僅要考慮資產的成本價格，更重要的是要考慮資產對于機構業務的安全重要性，即由資產損失所引發的潛在的影響來決定。為確保資產估價時的一致性和準確定，機構應按照上述原則，建立一個資產價值尺度（資產評估標準），以明確如何對資產進行賦值。資產賦值包括機密性賦值、完整性賦值和可用性賦值。

4 威脅識別

安全威脅是一種對機構及其資產構成潛在破壞的可能性因素或者時間。無論對于多么安全的信息系統，安全威脅是一個客觀存在的事物，它是風險評估的重要因素之一。

5 脆弱性識別

脆弱性評估也稱為弱點評估，是風險評估中的重要內容。弱點是資產本身存在的，它可以被威脅利用、引起資產或商業目標的損害。弱點包括物理環境、機構、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。

6 已有安全措施的確認

機構應對已采取的控制措施進行識別并對控制措施的有效性進行確認，將有效的安全控制措施繼續保持，以避免不必要的工作和費用，防止控制措施的重復實施。對于那些被認為不適當的控制應核查是否應被取消，或者用更合適的控制代替。安全控制可以分為預防性控制措施和保護性控制措施兩種。預防性控制措施可以降低威脅發生的可能性和減少安全脆弱性；而保護性控制措施可以減少因威脅發生所造成的影響。

7 風險識別

根據策劃的機構，由評估的人員按照相應的職責和程序進行資產評估、威脅評估、脆弱性評估，在考慮已有安全措施的情況下，利用適當的方法與工具確定威脅利用資產脆弱性發生安全事件的可能性，并結合資產的安全屬性受到破壞后的影響來得出資產的安全風險。

8 風險評估結果記錄

根據評估實施情況和所搜集到的信息，如資產評估數據、威脅評估數據、脆弱性評估數據等，完成評估報告撰寫。評估報告是風險評估結果的記錄文件，是機構實施風險管理的主要依據，是對風險評估活動進行評審和認可的基礎資料，因此，報告必須做到有據可查，報告內容一般主要包括風險評估范圍、風險計算方法、安全問題歸納以及描述、風險級數、安全建議等。風險評估報告還可以包括風險控制措施建議、參與風險描述等。

由于信息系統及其所在環境的不斷變化，在信息系統的運行過程中，絕對安全的措施是不存在的。攻擊者不斷有新的方法繞過或擾亂系統中的安全措施，系統的變化會帶來新的脆弱點，實施的安全措施會隨著時間而過時等等，所有這些表明，信息系統的風險評估過程是一個動態循環的過程，應周期性的對信息系統安全進行重新評估。

參考文獻：

[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.

篇(6)

現實性與必要性

建立重大事項社會穩定風險評估機制是維穩思路的重大調整，是維穩工作的重大創新，具有法律、政策和理論依據。

建立社會穩定風險評估機制有堅實的理論和實踐基礎。社會穩定風險評估工作機制的形成，是受流行于20世紀世界范圍內對經濟安全進行評估預警思潮的啟發。西方各主要發達國家推出了一系列預警系統偵測經濟安全，如美國的“美國商情指數”(哈佛指數)、法國的“景氣政策信號制度”、日本的“日本景氣警告指數”等，主要原理是甄選部分敏感指標組成一個有機聯系的指標系統針對經濟活動中具有代表性、先兆性的若干變量進行測評和辨識，以對經濟的活躍程度和安全風險進行評估。社會穩定風險評估也建立在與之相類似的科學理論、方法及技術手段基礎之上，通過事先對重大事項的社會穩定風險程度進行分析預測、研判評估，及時發現影響社會穩定的隱患問題，及早采取針對性措施予以防范化解，為確保重大事項順利實施提供科學依據和安全保障，保證社會運行在穩定與秩序的軌道上，從而防止嚴重危及社會穩定的局面出現。同時，全國一些地方相繼探索實踐重大事項社會穩定風險評估機制，也取得了一定的工作成效，如四川遂寧、我省的定海區、嘉興秀洲區等。這為我省推行這一機制提供了寶貴的實踐經驗。

建立社會穩定風險評估機制具有充分的法律政策依據?！吨腥A人民共和國突發事件應對法》第五條規定：“突發事件應對工作實行預防為主、預防與應急相結合的原則。國家建立重大突發事件風險評估體系，對可能發生的突發事件進行綜合性評估，減少重大突發事件的發生，最大限度地減輕重大突發事件的影響?！睂ν话l事件建立各種有效的評估機制是突發事件危機管理的一項重要內容，是突發事件危險管理的基礎。建立和完善突發事件評估體系，對預防減輕和消除突發事件可能帶來的風險，提高應對突發事件的主動性、前瞻性、科學性、有效性和有序性將發揮重要的作用。中央和省委有關預防處置的文件，都要求立足事先防范、及早化解，推進維穩關口前移，預防和減少的發生。而對事關人民群眾切身利益，牽涉面廣、涉及人員多的重大決策、重要政策、重大改革舉措、重點工程建設項目等重大事項，在實施前組織社會穩定風險評估，正屬于突發事件風險評估的一項子內容，是突發事件風險評估體系的一個有機組成，是中央和省委有關預防處置文件的應有之意。

建立社會穩定風險評估機制是貫徹落實科學發展觀的現實需要。事關民生問題的決策“牽一發而動全身”。決策一旦失誤，不僅造成經濟損失，而且會引起群眾的強烈不滿，造成黨群、干群關系緊張，使黨和政府的形象受到損害，引發危及社會穩定的事件。當前，，尤其是重大是影響社會穩定的最為突出的問題。從發生的誘因看，主要有土地征用、房屋拆遷、環境污染和企業改制等方面；從爆發的時段看，多發生在重大決策、重要政策的出臺實施、重大改革舉措的推出、重點工程建設項目開工等時段。近幾年，我省因土地征收、城鎮拆遷等重大事項引發的比重較大。通過建立社會穩定風險評估機制，為各項決策設置一道“剛性門檻”，有利于推動領導干部牢固樹立科學發展觀，推進科學民主依法決策，提高決策的科學性，盡可能減少因決策失誤給社會穩定帶來的沖擊：有利于妥善解決重大事項實施中可能出現的不穩定問題，從源頭上預防和減少社會矛盾以及：有利于重大事項的平穩順利實施，保障經濟發展。

實踐與探索

省委領導對建立重大事項社會穩定風險評估機制十分重視，省委書記趙洪祝、省委副書記夏寶龍等省領導多次對該機制的建立提出要求。省委維穩辦根據省委領導指示要求，積極采取措施。推動該機制的建立健全。

審慎周密制定《辦法》。一是認真總結基層實踐探索。一方面，廣泛學習借鑒兄弟省市成功經驗；另一方面，認真總結近年來省內部分市縣主動探索實踐風險評估工作有效做法，在2008年下半年組織開展深入細致的調查研究并形成調研文章，提出在全省開展風險評估工作的建議。二是積極開展規范化試點工作。經省委維護穩定工作領導小組決定，將建立完善重大事項社會穩定風險評估機制列為2008年重點工作，作為學習貫徹科學發展觀的具體實踐，在舟山市定海區組織開展試點工作，初步形成了重大事項社會穩定風險評估規程和操作辦法。三是反復征求意見修改完善。通過召開座談會、舉辦培訓班和書面征求等形式，廣泛聽取市、縣黨委、政府及有關部門的意見建議，六易其稿，反復修改，力求全面、準確、嚴謹、可操作。并采取先試行、再不斷完善的方案出臺。2009年初，以省委辦公廳、省政府辦公廳名義下發文件，出臺縣級重大事項社會穩定風險評估辦法的指導性政策。

評估工作緊密結合實際。一是評估工作立足縣級。縣級政府是行政體系中連接宏觀與微觀的樞紐，是經濟建設、社會管理的具體執行者，許多重大決策、重要政策、重大改革舉措、重點工程建設項目的制定和實施都集中在縣級層面。因此，縣級黨委、政府在發展經濟、維護穩定、構建和諧社會中起著至關重要的作用。突出抓好縣級重大事項社會穩定風險評估工作，就是把維穩工作重心下移、關口前移，對各類不穩定因素預測在先、防范在前，積極化解、有效控制，有力保障經濟社會平穩較快發展。市級重大事項風險評估可參照《辦法》組織開展，鄉鎮(街道)風險評估工作則由縣(市、區)規范細化。二是重大事項范圍立足“四重”。凡縣(市、區)黨委、政府及有關部門提出的，事關人民群眾切身利益，牽涉面廣、影響深遠，易引發不穩定問題的重大決策、重要政策、重大改革舉措、重點工程建設項目等要事先組織評估，而不僅僅限于工程建設項目。尤其是把黨委、政府提出的年度重點工作(如十大實事)作為評估的重點對象。三是責任主體立足部門。重大事項決策的提出部門、政策的起草部門、項目的申報審批部門、改革的牽頭部門、工作的實施部門是負責組織實施重大事項社會穩定風險評估的責任主體。涉及到多部門、職能交叉而難以界定評估直接責任部門的重大事項，由縣(市、區)黨委、政府指定

評估責任部門。維穩辦一般不負責具體評估工作。四是責任追究立足倒查。重大事項社會穩定風險評估工作列入“平安浙江”考核內容。對應評估而未評估，或在評估工作中搞形式主義、弄虛作假，造成評估失實，或防范化解工作不落實、不到位，引發不穩定問題和，給社會穩定造成嚴重影響的，扣除“平安浙江”考核分值，并嚴格按照有關規定，嚴肅追究有關單位領導和相關人員的責任。

多措并舉加大推動力度。一是抓培訓。省委維穩辦先后兩次組織部分市、縣黨委副書記、全省維穩辦主任進行集中培訓，就如何應對國際金融危機對社會穩定的影響、如何推進重大事項社會穩定風險評估工作、如何積極預防和妥善處置等授課交流，促進相互學習、相互借鑒。二是抓指導。省委書記趙洪祝、副書記夏寶龍等領導同志多次在全省維穩工作會議上強調，要求各地全面推行重大事項社會穩定風險評估機制，對項目建設、改革措施、政策調整等進行經濟效益與社會穩定風險“雙評估”，協調好不同階層和群體的利益，從源頭上預防和減少不穩定因素。省委維穩辦通過面上指導、點上檢查等方式，指導各地建立健全風險評估機制，推動各地穩步實施。省委維穩辦今年還組織人員對各地風險評估工作開展情況進行專項督查，指導工作，發現問題，推進深化。三是抓推廣。召開全省重大事項社會穩定風險評估工作現場會，認真學習全國推動“建立社會穩定風險評估機制"工作座談會精神，觀看了舟山市定海區重大事項社會穩定風險評估工作經驗電視片，總結推廣10個縣(市、區)的成功做法。四是抓考核。省委維穩辦把健全完善重大事項社會穩定風險評估機制作為2010年一項重點工作，列入年度工作計劃。積極與省平安辦溝通，將風險評估工作開展情況列入“平安浙江”考核范圍，對未建立重大事項社會穩定風險評估工作機制、未組織開展3項重大事項評估的、評估工作不規范的等情形予以扣分。

實踐成效與突出問題

經過近幾年來的探索實踐，我省社會穩定風險評估工作取得了較好的實際效果。至2010年底，全省90個縣(市、區)已全部制定出臺了社會穩定風險評估實施辦法，并已組織開展風險評估工作。11個市也都建立了穩定風險評估工作機制、開展了評估。2010年，全省共評估重大事項2767件，停止或暫緩實施186件，占6.7％。其中，縣(市、區)級評估重大事項占了總數的96.7％，市級占了3.3％；由維穩辦牽頭組織實施的占10.1％，由鄉(鎮)、責任部門組織實施的占89.9％，取得了初步成效。

工作氛圍基本形成。通過建立健全重大事項社會穩定風險評估機制，黨委政府對維穩工作重要性認識更加統一，進一步強化了“發展是第一要務，穩定是第一責任”的理念，推進了維穩責任的落實；各職能部門對發展與穩定的關系有了更深刻的理解，在抓發展中更加注重穩定工作。明顯增強了穩定意識，推進了齊抓共管格局的形成。

工作機制逐步完善。一是評估范圍更為拓展。評估范圍從最初的工程建設項目，正逐漸拓展到縣(市、區)黨委、政府及有關部門提出的，事關人民群眾切身利益，牽涉面廣、影響深遠，易引發不穩定問題的重大決策、重要政策、重大改革舉措等。二是責任主體更為明確。各地根據實際情況，細化探索評估工作的責任主體，對部門和鄉鎮(街道)的責任作了區別，對維穩辦自身牽頭實施評估的條件作了明確。三是評估程序更為完善。各地普遍按照確定事項、調查論證、科學評估等程序開展評估。杭州余杭區委把評估流程確定為評估事項排摸、申報、評估、應對、備案及考核六個環節，設定了走訪群眾、問卷調查、群眾聽證、基層座談、專家論證、部門會診、綜合分析等七個評估步驟。

評估成效初步顯現。通過正確運用科學評估手段有效控制社會穩定風險。從源頭上預防化解各類社會矛盾和不穩定因素，政策、決策、改革措施的科學性進一步提高，重大項目的推進更加順利，一批重大事項被暫緩實施或被停止實施。一些重大事項中的不穩定隱患被及時消除，因重大事項而引發的不穩定問題明顯減少，群眾對黨委政府出臺的重大事項更加理解和支持，維穩工作的環境得到改善，有力地促進了社會和諧穩定局面的形成。如，舟山定海區教育局準備對定海城區中小學學區重新進行劃分。因學區劃分牽涉群眾子女入學、區域房價等眾多問題，很可能會引發不穩定因素。區委維穩辦和教育局及時組織專項評估，對可能出現的不穩定因素進行預測，提出調整建議，提高了學區劃分的科學性和合理性，得到了群眾的普遍認可，消除了因學區劃分可能引發的不穩定問題，使政策調整得以順利實施。

當然，工作中也還存在一些問題和不足。主要為：一是思想認識不到位。一些同志認為社會穩定風險評估工作影響經濟發展，不利于項目建設；一些同志認為評估束縛工作，不利于放開手腳大干；一些同志認為評估工作是走過場、走形式，可有可無。二是工作開展不平衡。有一些地方重機制建設、輕運行操作，工作進展慢、開展項目較少，甚至有的地方存在敷衍考核的情況；各市雖建立了機制，但評估工作開展不理想，評估項目量少面窄：省級部門還沒有建立此項機制，評估工作還未開展，上下協調聯動的格局尚未形成。三是評估機制不完善。評估主體“重鄉鎮輕部門”，由責任部門開展評估的少。評估范圍“重項目輕決策”，基本停留在重大工程項目，重大決策、重要政策、重大改革舉措涉及少。評估程序“重評估輕落實”，一些地方在評估工作的后續措施落實上不力。存在“兩張皮”情況。評估時機“重事中輕事前”，習慣在重大事項實施過程中遇到問題時實施評估，在項目立項、審批、開工實施前開展評估的少。

思考與建議

進一步統一思想認識。各級各部門一定要充分認識全面推行社會穩定風險評估工作的重要性和必要性，進一步增強緊迫感和責任感，把它列入重要工作日程，擺上突出位置，切實改變一些地方工作缺乏主動性、敷衍了事的情況，改變重機制建設、輕運行操作的現象。要不斷總結實踐經驗，堅持固強補弱，建立健全機制，精心組織推進，把風險評估過程作為深化群眾工作的過程、作為化解社會矛盾的第一道工程全面加以推進，在全省上下切實形成縱向到底、橫向到邊的社會穩定風險評估工作格局。

進一步明確目標任務。當前和今后一個時期開展社會穩定風險評估工作的總體目標是：在縣級建立重大事項社會穩定風險評估制度基礎上，各級各部門全面建立制度、完善機制，把社會穩定風險評估作為重大決策的必經程序。未經評估的不得作出決策，努力提高依法科學民主決策水平。主要任務是：省級各部門要按照中央要求建立組織、出臺制度、健全機制，積極

探索開展社會穩定風險評估，著力在組織實施上下功夫；各市要進一步健全機制，細化措施，扎實推進社會穩定風險評估工作，著力在規范運作、落實要求上下功夫：各縣(市、區)要深入開展調查研究，總結經驗，查找不足，完善細則，著力在拓寬領域、深化提高上下功夫。

進一步拓展評估領域。凡是與人民群眾切身利益密切相關、影響面廣、容易引發社會不穩定的重大政策和重大工程項目等決策事項，都要組織進行經濟效益和社會穩定風險“雙評估”，既看要不要干，又看能不能干。當前，要以企業改制、征地拆遷、環境保護、教育醫療、社會保障等領域為重點，特別是容易引發社會矛盾的重大政策，包括城鄉建設和土地利用規劃、土地征收和房屋拆遷、公用事業價格調整、事業單位改革、社會保障制度改革等：容易引發社會矛盾的重大項目，包括政府投資項目、重大公共設施建設以及其他重大工程建設項目等：容易引發社會矛盾的其他重大事項，包括涉及面廣、情況復雜的大型活動、上級確定的重大決策和項目在本地實施的方案等。

進一步健全完善制度。一是健全工作機制。緊緊圍繞解決影響社會和諧穩定的源頭性問題，牢牢把握黨委政府主導、“誰主管誰負責”以及客觀公正等原則，建立健全黨委政府統一領導、主管部門具體負責、相關部門各負其責的組織領導體制和靈活、簡便、高效的運行機制。各級維護穩定工作領導小組及辦公室要牽頭做好社會穩定風險評估的綜合協調和督查指導工作。二是明確評估程序。按照確定評估項目、制定評估方案、認真分析預測、形成評估報告、確定實施意見、落實維穩措施等評估程序，做到相互銜接、環環相扣。三是制定實施細則。各地要結合本地實際情況，制定完善具體工作意見和相應實施細則，進一步細化評估的范圍、內容、責任主體以及基本程序等。省級相關部門要根據中央文件精神，結合本部門決策權限和實際需要，參照《辦法》制定社會穩定風險評估工作實施細則，明確評估事項范圍、評估內容、程序方法、結果運用等。

篇(7)

一、總則

為及時識別、監控公司保密潛在風險及其發生概率，確定公司保密風險承受能力及限度，認定該等風險所可能帶來的損失，根據《上海市涉密信息系統集成資質單位保密風險評估工作細則》和《涉密信息系統集成資質保密標準》結合公司實際，特制定本管理辦法。

二、職責分工

1、公司保密風險評估與管理主管部門為風險管理部。

2、各部門、各經營單元協助風險管理部實施本管理辦法。

3、公司各涉密經營單元是保密風險管理的第一道防線，負責本經營單元和公司內縱向歸口管理事項的保密風險管理工作。

4、公司保密風險評估工作小組（以下簡稱工作小組）是保密風險管理的第二道防線，接受保密管理辦公室的監督（以下簡稱保密辦），負責指導和檢查保密風險評估工作的開展。

5、公司保密工作領導小組（以下簡稱領導小組）是保密風險管理的第三道防線。作為保密風險管理的決策機構，負責監督保密風險評估工作的開展，負責組織建立完善保密管理的持續改進機制。

三、工作內容及流程。

1、領導小組授權風險管理部組織成立工作小組。工作小組組長由分管保密工作的公司領導擔任，成員由保密辦、風險管理部等部門負責人組成。領導小組應組織對評估過程中出現的問題和結果做分析和研究，查找出在保密管理的制度、流程和執行等方面的問題，組織對制度和流程進行修訂和完善。

2、工作小組至少每半年開展一次保密風險評估，使用“上海市涉密信息系統集成資質保密風險評估及自查自評系統”開展保密風險評估工作，按照業務流程對保密風險進行識別、分析和評估，評估的范圍包括項目、人員、資產、場所等主要管理活動在保密方面所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。

3、工作小組至少每年對《保密管理風險點識別及防控措施》評估一次，從人員風險、涉密載體風險、涉密計算機、涉密場所、投標、項目實施等，對每個風險點進行低、中、高等級識別，制定相應的防范措施。

4、工作小組在評估過程中如發現問題，及時向領導小組匯報，《保密風險評估報告》形成后，應向領導小組報告評估情況。向相關涉密經營單元和人員通報評估情況，監督防控措施的落實。

5、工作小組不定期組織開展評估業務培訓，使相關人員了解掌握保密風險形式、評估方法、評估工具、防控措施等知識。保密風險管理納入保密教育培訓，以增強涉密人員防控保密風險的意識。

6、《公司保密風險評估報告》以及《公司保密管理風險點識別及防控措施》由風險管理部保存，作為年度審查申請的附件材料報市國家保密局資質管理委員會辦公室。

四、獎懲機制

將評估工作履職情況納入部門和員工的年度績效考核評價體系。由領導小組對工作小組成員的保密工作進行考核評價；由工作小組負責對相關部門和人員的保密工作進行考核評價。對發現并上報重大保密風險的部門和人員給予獎勵。對瞞報或未發現明顯保密風險而導致發生泄密事件及嚴重違規行為的部門、人員給予重罰。

五、附則