安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產遭受威脅所造成的損失預期值還要高,那么所建議的控制措施就是不合適的。如果控制措施的費用比企業的安全預算還要高,則也是不合適的。但是,如果預算不足以提供足夠數量和質量的控制措施,從而導致不必要的風險,則應該對其進行關注。通常,一個控制措施能夠實現多個功能,功能越多越好。當考慮總體安全性時,應該考慮盡可能地保持各個功能之間地平衡,這有助于總體安全有效性和效率。
評估過程◆資產識別與賦值:對評估范圍內的所有資產進行識別,并調查資產破壞后可能造成的損失大小,根據危害和損的大小為資產進行相對賦值;資產包括硬件、軟件、服務、信息和人員等;◆威脅識別與賦值:即分析資產所面臨的每種威脅發生的頻率,威脅包括環境因素和人為因素;◆脆弱性識別與賦值:從管理和技術兩個方面發現和識別脆弱性,根據被威脅利用時對資產造成的損害進行賦值;◆風險值計算:通過分析上述測試數據,進行風險值計算,識別和確認高風險,并針對存在的安全風險提出整改建議。◆被評估單位可根據風險評估結果防范和化解信息安全風險,或者將風險控制在可接受的水平,為地保障網絡和信息安全提供科學依據。
1、企業應適時組織風險評價工作,識別與生產經營活動有關的危險、有害因素和隱患。2、企業應定期評審或檢查風險評價結果和風險控制效果。3、企業應在下列情形發生時及時進行風險評價:1)新的或變更的法律法規或其他要求;2)操作條件變化或工藝改變;3)技術改造項目;4)有對事件、事故或其他信息的新認識;5)組織機構發生大的調整。
4.10.2識別危害(危險源)方法(1)按物的不安全狀態(使事故可能發生的不安全舞臺條件或物質條件)進行識別GB6441-86《企業職亡事故分類》中將物的不安全狀態歸納為防護、保險、信號等裝置缺乏或有缺陷,設備、設施、工具附件有缺陷,個人防護用品用具缺少或有缺陷以及生產(施工)場地環境不良等4大類。(2)按人的不安全行為(違反安全規則或安全常識,使事故有可能發生的行為)進行識別GB6441-86《企業職亡事故分類》中將人的不安全行為歸納為操作失誤、造成安全裝置失效、使用不安全設備等13大類。(3)按導致事故和職業危害的直接原因進行識別根據GB/T13861-92《生產過程危險和有害因素分類與代碼》的規定,將生產過程中的危險、危害因素分為6類:物理性危險和有害因素、化學性危險和有害因素、生物性危險和有害因素、心理和生理性危險和有害因素、行為性危險和有害因素、其他危險和有害因素。
您好,歡迎來到易龍商務網!
發布時間:2021-08-12 04:23
