论文部分内容阅读
【摘要】想要避免信息通信事故的发生,就需要采取有效的安全风险管理措施。本文我们将对电力行业的安全风险管理模式展开分析,提出一种适合电力信息通信风险管理的体系模型,从实际情况出发,解答信息安全管理过程中出现的问题,为管理决策提供参考依据,从而推动电力企业信息通信安全风险管理的改进,提高电力企业安全风险管理整体水平。
【关键词】 电力信息通信;风险管理;信息安全;管理模式;信息系统
中图分类号:TN915.853
一、安全风险管理理论和技术的发展
人类对于防范意外事故的认识已经历了漫长的岁月,安全风险理论体系的发展经历了具有代表性的 3 个阶段:早期的事故学理论、后来的危险分析与风险控制理论、目前正不断发展和完善的现代系统安全科学理论。风险管理模式较为著名的有南非的 NOSA 安全管理体系、 美国的万全安全管理体系和国际上通行的 OSHMS管理体系、钻石安健环质量综合风险管理体系。南方电网公司为了提高安全生产风险控制水平,提高工作效率,实现安全生产业务的集约化、流程化、精细化管理,提出了“体系化、规范化、指标化”安全生产工作思路。 “体系化、规范化、指标化”的安全生产规范化建设围绕“安全管理常态化、生产管理制度化、业务流程标准化、基础管理信息化、教育培训实效化”5 大核心,坚持基础管理、信息管理、制度建设三管齐下,在公司内部逐步实现生产管理模式的规范和统一。
在安全风险管理方面,国家电网公司开展了大量的实践和探索工作,以“安全第一、预防为主、综合治理”为方针,推行安全管理标准化,实施安全风险管理,健全安全工作长效机制,针对电网、設备和生产环境中存在的隐患、缺陷和问题,有效组织安全性评价、隐患排查治理、安全检查等工作,系统辨识安全生产风险,落实整改治理措施,防范安全生产事故。 其基于安全管理体系的 PDCA 循环模式,对电网、设备和生产环境中存在的隐患、缺陷和问题,实现安全风险的超前分析和流程化控制,形成“管理规范、责任落实、闭环动态、持续改进”的安全风险管理工作机制。国家电网公司一体化企业级信息系统逐步建成并运行,各个系统在纵向、横向两个方面耦合程度日益加深。 信息系统进入以“大网络、大系统、大集中、高可靠性、高安全性”为标志的“三大两高”时代。 信息通信安全风险管理体系与模式无法满足企业发展需要,急需提升信息通信系统安全风险管理水平,进一步体现信息系统在企业发展过程中的支撑、驱动、引领作用。
二、安全风险管理对于电力行业信息通信的必要性
21 世纪以来 ,信息工业与传统工业融合速度逐步加快,融合层次逐步提高,融合内容逐步广泛。信息化已经发展成为国家、企业科学发展的重要推动力量。电力能源作为国家经济社会发展的基础行业,企业信息化建设发展迅速。通信网络规模和结构越来越复杂,各种各样的信息接入网络不计其数,信息系统和信息设备使用人群几乎遍布整个企业。这样的大规模信息系统、通信网络、使用和运行维护人群,给信息通信安全管理带来了极大的挑战。 因此,对电力信息通信进行有效的风险分析、评估和管理,消除潜在的安全隐患,是提高信息通信安全管理水平的重要手段。安全管理对于整个电力行业信息通信的发展必不可少,因此应该探索适合电力信息通信领域的风险管理模式和方法,为电力企业信息通信管理实践服务。
三、 电力信息通信风险管理的内容
安全风险管理的模式是多样化的,各国安全风险管理的模式与其国情和体制是分不开的。 要结合我国的国情,学习国外安全管理办法,研究自身的电力信息通信风险管理体系,提高企业的安全生产管理水平。基于安全管理体系的 PDCA 循环模式,梳理了电力信息通信安全性评价、隐患排查治理、信息通信模式分析、安全检查等工作的一般化流程,从工作计划、组织实施、整改治理、监督改进等环节,对电力信息通信管理中存在的隐患、缺陷和问题进行分析,构建安全风险的超前分析和流程化控制,可以形成“管理规范、责任落实、闭环动态、持续改进”的电力信息通信安全风险管理工作机制。借鉴其他安全风险管理体系,电力信息通信风险管理体系设计。电力信息通信风险管理体系需要把握以下关键环节。
1、风险识别
通过开展安全性评价、隐患排查、模式分析、安全检查等工作, 系统排查和梳理信息通信系统存在的安全隐患和问题,并对问题和隐患进行分析评估,以确定风险来源、风险特征、风险等级、风险后果等,建立风险识别和评估机制。系统梳理识别存在的问题和隐患,并根据问题和隐患的严重程度,确定风险等级是属于重大问题还是一般问题。安全检查针对季节性安全生产工作、专项安全活动、企业安全管理工作等方面,检查安全工作要求和措施、安全规章制度的落实情况,查找安全管理薄弱环节和存在问题。隐患排查治理针对各专业领域全面开展,通过发现识别事故隐患,确定事故隐患等级,落实制定治理措施,实现从发现到消除的闭环管理。
2、风险预警
根据风险等级,建立风险预警和跟踪机制,明确预警内容和要求,跟踪相关单位和部门的响应。风险预警内容应包括风险描述、风险等级、后果分析、整改要求等。 对于一般风险,提出整改意见和要求,定期统计分析整改情况,督促按期整改;对于重大风险,由上级单位挂牌督办,下发整改通知书,督促限期整改。
3、风险控制
按照管理职责和范围、 信息通信管理中存在的风险,研究制定预防措施和整改治理方案,从规划发展、建设工程、技改大修计划等方面,组织实施整改计划,开展安全管理专项行动。对关键环节风险控制过程、控制结果、措施有效性等,进行组织评估。 对暂时不能整改的重大问题和隐患,制定落实有效的预防控制措施和应急预案。 对需要上级单位和地方政府提供支持的重大问题和隐患的整改治理,及时上报备案。
在安全管理工作中实施安全风险识别、预警、控制闭环管理,实现安全风险的超前分析和流程化控制,提高企业安全风险管理水平。隐患排查治理要按照“谁主管、谁负责”和“全方位覆盖、全过程闭环”原则,开展信息通信领域隐患排查治理工作;按照“预评估、评估、核定”3 个步骤,确定事故隐患等级;按照“发现、评估、报告、治理、验收、销号”流程,实施隐患闭环管理;按照“统一领导、落实责任、分级管理、分类指导、全员参与”要求,建立电力企业信息通信事故隐患排查治理工作机制。结合日常工作常态开展隐患排查,及时发现、上报和治理事故隐患,鼓励基层和一线人员“多发现、多整改”隐患。 对排查出的事故隐患进行分类、评估、定级,对确认的重大危险源及时登记建档和备案;对隐患的发现、评估、治理、验收进行全过程动态监控,实现“一患一档”管理。企业应结合年度建设、技改、大修项目,制定隐患整改计划,保证隐患治理责任、措施、资金、期限、预案“五落实”。应按照 PDCA 循环模式,加强对安全性评价、隐患排查治理、安全检查的规范化管理,制定完善相关制度,对各阶段工作进行评估、监督和偏差纠正,及时进行总结,落实改进措施,不断改进和提高安全管理工作绩效。
四、结束语
电力企业信息通信风险管理对于整个电力行业的发展都至关重要,要督促安全性评价及排查安全隐患工作的进行,确保管理工作落到实处在开展安全风险管理过程中,应加强相关规定的宣传培训,保障人员素质和专业力量需求,确保电力信息通信风险管理工作扎实有效推进。
参考文献:
[1] 王伏华,王利军,蒋源.信息系统风险评估方法研究[J].电脑知识与技术,2011(23)
[2] 王伏华,姚杰.风险评估与管理工具研究[J].电脑知识与技术,2011(30)
[3]兰志强.浅谈电力通信信息化的现状与发展田.电力标准化与技术经济,2007;(5)
【关键词】 电力信息通信;风险管理;信息安全;管理模式;信息系统
中图分类号:TN915.853
一、安全风险管理理论和技术的发展
人类对于防范意外事故的认识已经历了漫长的岁月,安全风险理论体系的发展经历了具有代表性的 3 个阶段:早期的事故学理论、后来的危险分析与风险控制理论、目前正不断发展和完善的现代系统安全科学理论。风险管理模式较为著名的有南非的 NOSA 安全管理体系、 美国的万全安全管理体系和国际上通行的 OSHMS管理体系、钻石安健环质量综合风险管理体系。南方电网公司为了提高安全生产风险控制水平,提高工作效率,实现安全生产业务的集约化、流程化、精细化管理,提出了“体系化、规范化、指标化”安全生产工作思路。 “体系化、规范化、指标化”的安全生产规范化建设围绕“安全管理常态化、生产管理制度化、业务流程标准化、基础管理信息化、教育培训实效化”5 大核心,坚持基础管理、信息管理、制度建设三管齐下,在公司内部逐步实现生产管理模式的规范和统一。
在安全风险管理方面,国家电网公司开展了大量的实践和探索工作,以“安全第一、预防为主、综合治理”为方针,推行安全管理标准化,实施安全风险管理,健全安全工作长效机制,针对电网、設备和生产环境中存在的隐患、缺陷和问题,有效组织安全性评价、隐患排查治理、安全检查等工作,系统辨识安全生产风险,落实整改治理措施,防范安全生产事故。 其基于安全管理体系的 PDCA 循环模式,对电网、设备和生产环境中存在的隐患、缺陷和问题,实现安全风险的超前分析和流程化控制,形成“管理规范、责任落实、闭环动态、持续改进”的安全风险管理工作机制。国家电网公司一体化企业级信息系统逐步建成并运行,各个系统在纵向、横向两个方面耦合程度日益加深。 信息系统进入以“大网络、大系统、大集中、高可靠性、高安全性”为标志的“三大两高”时代。 信息通信安全风险管理体系与模式无法满足企业发展需要,急需提升信息通信系统安全风险管理水平,进一步体现信息系统在企业发展过程中的支撑、驱动、引领作用。
二、安全风险管理对于电力行业信息通信的必要性
21 世纪以来 ,信息工业与传统工业融合速度逐步加快,融合层次逐步提高,融合内容逐步广泛。信息化已经发展成为国家、企业科学发展的重要推动力量。电力能源作为国家经济社会发展的基础行业,企业信息化建设发展迅速。通信网络规模和结构越来越复杂,各种各样的信息接入网络不计其数,信息系统和信息设备使用人群几乎遍布整个企业。这样的大规模信息系统、通信网络、使用和运行维护人群,给信息通信安全管理带来了极大的挑战。 因此,对电力信息通信进行有效的风险分析、评估和管理,消除潜在的安全隐患,是提高信息通信安全管理水平的重要手段。安全管理对于整个电力行业信息通信的发展必不可少,因此应该探索适合电力信息通信领域的风险管理模式和方法,为电力企业信息通信管理实践服务。
三、 电力信息通信风险管理的内容
安全风险管理的模式是多样化的,各国安全风险管理的模式与其国情和体制是分不开的。 要结合我国的国情,学习国外安全管理办法,研究自身的电力信息通信风险管理体系,提高企业的安全生产管理水平。基于安全管理体系的 PDCA 循环模式,梳理了电力信息通信安全性评价、隐患排查治理、信息通信模式分析、安全检查等工作的一般化流程,从工作计划、组织实施、整改治理、监督改进等环节,对电力信息通信管理中存在的隐患、缺陷和问题进行分析,构建安全风险的超前分析和流程化控制,可以形成“管理规范、责任落实、闭环动态、持续改进”的电力信息通信安全风险管理工作机制。借鉴其他安全风险管理体系,电力信息通信风险管理体系设计。电力信息通信风险管理体系需要把握以下关键环节。
1、风险识别
通过开展安全性评价、隐患排查、模式分析、安全检查等工作, 系统排查和梳理信息通信系统存在的安全隐患和问题,并对问题和隐患进行分析评估,以确定风险来源、风险特征、风险等级、风险后果等,建立风险识别和评估机制。系统梳理识别存在的问题和隐患,并根据问题和隐患的严重程度,确定风险等级是属于重大问题还是一般问题。安全检查针对季节性安全生产工作、专项安全活动、企业安全管理工作等方面,检查安全工作要求和措施、安全规章制度的落实情况,查找安全管理薄弱环节和存在问题。隐患排查治理针对各专业领域全面开展,通过发现识别事故隐患,确定事故隐患等级,落实制定治理措施,实现从发现到消除的闭环管理。
2、风险预警
根据风险等级,建立风险预警和跟踪机制,明确预警内容和要求,跟踪相关单位和部门的响应。风险预警内容应包括风险描述、风险等级、后果分析、整改要求等。 对于一般风险,提出整改意见和要求,定期统计分析整改情况,督促按期整改;对于重大风险,由上级单位挂牌督办,下发整改通知书,督促限期整改。
3、风险控制
按照管理职责和范围、 信息通信管理中存在的风险,研究制定预防措施和整改治理方案,从规划发展、建设工程、技改大修计划等方面,组织实施整改计划,开展安全管理专项行动。对关键环节风险控制过程、控制结果、措施有效性等,进行组织评估。 对暂时不能整改的重大问题和隐患,制定落实有效的预防控制措施和应急预案。 对需要上级单位和地方政府提供支持的重大问题和隐患的整改治理,及时上报备案。
在安全管理工作中实施安全风险识别、预警、控制闭环管理,实现安全风险的超前分析和流程化控制,提高企业安全风险管理水平。隐患排查治理要按照“谁主管、谁负责”和“全方位覆盖、全过程闭环”原则,开展信息通信领域隐患排查治理工作;按照“预评估、评估、核定”3 个步骤,确定事故隐患等级;按照“发现、评估、报告、治理、验收、销号”流程,实施隐患闭环管理;按照“统一领导、落实责任、分级管理、分类指导、全员参与”要求,建立电力企业信息通信事故隐患排查治理工作机制。结合日常工作常态开展隐患排查,及时发现、上报和治理事故隐患,鼓励基层和一线人员“多发现、多整改”隐患。 对排查出的事故隐患进行分类、评估、定级,对确认的重大危险源及时登记建档和备案;对隐患的发现、评估、治理、验收进行全过程动态监控,实现“一患一档”管理。企业应结合年度建设、技改、大修项目,制定隐患整改计划,保证隐患治理责任、措施、资金、期限、预案“五落实”。应按照 PDCA 循环模式,加强对安全性评价、隐患排查治理、安全检查的规范化管理,制定完善相关制度,对各阶段工作进行评估、监督和偏差纠正,及时进行总结,落实改进措施,不断改进和提高安全管理工作绩效。
四、结束语
电力企业信息通信风险管理对于整个电力行业的发展都至关重要,要督促安全性评价及排查安全隐患工作的进行,确保管理工作落到实处在开展安全风险管理过程中,应加强相关规定的宣传培训,保障人员素质和专业力量需求,确保电力信息通信风险管理工作扎实有效推进。
参考文献:
[1] 王伏华,王利军,蒋源.信息系统风险评估方法研究[J].电脑知识与技术,2011(23)
[2] 王伏华,姚杰.风险评估与管理工具研究[J].电脑知识与技术,2011(30)
[3]兰志强.浅谈电力通信信息化的现状与发展田.电力标准化与技术经济,2007;(5)