公共安全风险识别大全11篇
时间:2023-06-11 08:57:44
公共安全风险识别篇(1)
【关键词】公共信息;信息安全管理;风险管理
信息安全风险管理是用可接受的成本识别、度量、控制或降低可能影响信息系统的安全风险,并使其与受保护的资产的价值相当的一种过程。作者将公共信息安全风险管控总结为三步法[],即:1.风险资产量化评估;2.设置风险优先级;3.风险分类处理。
一、风险资产分类量化评估
公共信息风险评估的价值就在于确定风险,确定风险的前提就是确定资产,包括硬件资产、软件资产、数据文档等,再进行一一评估。评估步骤如下
(一)数据文档资产:包括各种业务相关的电子类资料和纸质文件
据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正常流程交付过来使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。1.软件资产:各种安装使用的软件,包括系统软件、业务应用软件、办公软件等。各种安装使用的软件,包括系统软件、业务应用软件等。所列举的软件应该与产生、支持和操作已识别的数据或文档资产有直接关系2.硬件资产:使用的硬件设施,这些硬件设施或者安装有已识别的软件,或者其上存放有已识别的数据资产,或者是对业务有支持作用。3.人员资产:对已识别的数据资产、文档资产、软件资产和硬件资产进行使用、操作和支持的人员角色。4.服务资产:主要是负责管理的服务,如:外包人员服务、公共管理服务等。①
二、评估风险优先级
(一)评估数据文档资产风险级别
1.一级机密数据和一级机密文档:包含国家机密信息,任何对此类信息的非授权访问和泄露都会造成重大损失。因此,此类信息始终要求最高级别的安全保障,其访问者必须严格控制在最小的范围内。
2.秘密数据和秘密文档:涉及个人隐私或公共机构或特定部门行政秘密及技术秘密的信息,由于其内容的敏感性和重要性,信息访问者必须具有合理的原因和用途,并要求获得有效的授权。
3.内部数据和内部文档:仅供内部传阅和使用的信息,此类信息的对外披露不直接造成组织声誉、经营、财务上的损失或造成的损失较小,但有可能会给公共机构和员工带来负面影响,因此需要经过适当的授权才能对外公开。例如:公共机构员工手册、部门内各类政策文档等。此级别信息的访问控制遵循公共机构内部开放的默认原则,即默认为公共机构内部所有人员均可访问或使用。4.公开数据和公开文档:所有可以直接对外披露的公共机构信息,此类信息的不会对公共机构、客户以及行政伙伴带来任何不利的影响。例如:公共机构已公开的产品目录、市场宣传资料或刊登于公共机构公共网站的信息公告等。此级别信息的访问控制一般不做限制.
(二)评估硬件资产风险级别
1.一级:核心服务器:支持核心应用系统的服务器,比如SAPERP系统,MES系统的服务器。承载着公共机构最核心的应用程序、数据等信息。在业务恢复时需要首先考虑。
2.二级.一般服务器:支持一般应用系统的办公服务器,比如一般部门文件服务器、打印服务器等。在业务恢复时不在优先考虑的范畴。标准终端设备:终端用户个人使用的桌面电脑和笔记本电脑。
3.三级.非标准终端设备:因特殊工作用途使用的非标准类电脑,如研发、生产或测试用工作站等。
4.四级.核心网络设备:核心路由器,交换机和防火墙等,如在网关,虚网间的网络设备。
5.五级.一般网络设备:如连接终端用户的路由器、交换机、视频会议系统、语音网关,以及支持公共机构业务运作和监控保障的网络安全类设备
6.六级.服务器存储设备:磁盘阵列,备份磁带等。
7.七级.终端电脑存储设备:终端办公使用的移动硬盘,公共机构的USB盘、光盘、数码相机等。
8.八级.物理环境设施:包括门禁系统,UPS,火警系统,烟感系统,防水系统,灭火系统,监控系统,和电源系统等在机房中的环境控制和监控设备。
9.九级.设备:打印机、扫描仪、传真机等支持办公的硬件设备。
(三)评估服务类风险级别
1.一级.网络类服务:提供网络、通信的基础服务。
2.二级.外包运维服务:外包服务商提供的人员支持、硬件设备租赁、信息资产维修、信息处置等服务。
3.三级.外包开发服务:外包服务商提供的信息系统开发服务。
4.四级.物业服务。
5.五级.外包设计服务:外包服务商提供的设计服务,
(四)评估软件类风险级别
1.一级:核心业务系统指政府部门研发团队自主开发的、外购客户化或未经客户化的应用程序,用于支持公共部门核心业务的应用程序。
2.二级:一般业务系统指公共部门研发团队自主开发的、外购客户化或未经客户化的应用程序,用于支持公共部门日常运营的应用程序。
3.三级:服务器级支持软件,使用在服务器上的各类支撑软件,包括服务器级别操作系统、数据库软件、中间件等。
4.四级:PC级支持软件,使用在终端上的各类软件产品,包括PC级别操作系统、办公人员用于日常业务的记录和沟通所使用的软件、办公工具软件等。
5.五级:管理工具类软件指IT部门维护人员用于桌面维护、数据库管理、备份管理、数据分析等管理活动使用的工具软件。
(五)评估人员类风险级别
1.一级:高层、管理层。
2.二级:IT核心员工,包括IT部门的应用系统管理员、数据库管理员、操作系统管理员等IT运维人员、开发人员和系统管理人员。
3.三级:其他核心员工,主要指可以接触到部门敏感数据的员工。
4.四级:一般员工,应用系统操作人员(一般是系统使用者,没有配置和管理权限)。
5.五级:外部人员,长期驻场的外部员工、外部开发人员。
三、风险分析处理
对于各类别风险定义好相应的风险级别后,开始执行风险分析和处理,主要方法有三种,定量分析方法、基于知识的分析方法、和基于风险优先级的分析处理,本文将着重介绍第三种基于风险优先级的分析处理。
(一)定量分析方法
A:定量分析的过程:(1)确定资产价格;(2)评价特定威胁EF百分比;(3)计算特定即ARO,威胁发生的频率;(4)计算资产的SLE:SLE=AssetValue×EF;(5)计算资产的ALE:ALE=SLE×ARO②
(二)基于知识的分析方法
对于安全决策者而言,这些工作包括资产估价、安全投资成本以及风险效益之间的决策等。总而言之,相对评估法容易出现疏漏,而且,依据各自的经验进行安全风险相关的工作总是缺乏专业性和一致性。③
(三)基于风险优先级的分析处理
当遇到难以计量的风险时,很难用第一种来处理,通常我们采取优先级来处理风险。要对安全措施的可行性、有效性进行分析。采用最适当的安全措施,使风险降至最低。最后根据责任来分配任务和资源,实现所选择的安全措施并汇报残余风险。④综上所述,通过风险量化来加强电子政务信息安全管理是行之有效的方法,用可接受的成本识别、度量、控制或降低可能影响信息系统的安全风险,此方法基于风险管理的信息安全保障体系,将安全风险管理的思想全面应用于信息安全保障的各个重要环节。
参考文献:
[1]高钢,互联网时代公共信息传播的理念转型[J],当代传播,2014-03.
[2]何振;曹丹;电子政务建设中的信息安全问题及其对策探讨[J],湘潭大学学报(哲学社会科学版),2009-05.
[3]韩丽君;国内三网融合现状[J],价值工程,2012-07.
公共安全风险识别篇(2)
二、公共安全风险防控视域下大学生安全教育存在的问题
(一)大学生风险认知教育有待加强
公共安全风险防控需要大学生树立具有社会全局视野的个人安全与社会安全有机统一的安全观。当前高校大学生安全教育还不能适应现实要求,主要表现在以下几个方面。第一,教育内容偏向于涉及大学生自身安全知识传授。据对北京、上海等8个地区的16所高校近800名大学生进行的安全教育情况调查显示:分别有79.3%、72.4%和53.8%的大学生认为教育主要集中自我防范意识、人身安全、防灾知识,以及心理安全、购物安全、网路安全、就业安全等方面,虽然内容繁多,但知识结构零散,呈碎片化特征,缺乏系统性。第二,教育目标侧重于唤起大学生维护自身安全意识,62.4%和52.4%学生认为看到安全隐患和安全事故等危机事件信息,学校会提醒和通报,警示学生注意人身安全。教育着眼点在于对大学生个体保护,缺乏公共性。第三,教育时间集中于低年级大学生,且随着年级增加而减少。调查显示,认为安全教育安排在大学一至四年级的学生比例分别是87.3%,58.4%,45.4%,14.9%,有72.1%的学生认为学校强调节假日期间安全教育。教育阶段性、应急性特征明显,缺乏长期性。高校安全教育囿于大学生自身安全,缺少对社会整体安全目标价值引导。大学生虽能感知到安全风险,但没有完全形成对安全风险的理性认知,对个体行为与外部环境的关系、个人因素对大环境安全的影响乃至如何自觉纠正行为偏差,保持与外部环境的良性互动还缺乏认识,表现为对安全的焦虑和对风险的漠视并存。
(二)大学生安全责任教育仍显薄弱
公共安全风险防控需要大学生具有安全风险共担的责任意识,目前高校大学生安全教育尚不能完全促成大学生安全责任意识养成。一是安全教育方式趋于管理化模式。高校安全教育实施过程,常常是学校按照上级要求提出工作任务,职能部门布置工作方案,辅导员及具体执行人员负责落实,安全教育散落在职能部门常态化管理和辅导员常规性工作中,教育的管理特征明显,大学生处于被动地位,主动性和潜能没有充分发挥。二是教育实施主体倾向于单一化。高校安全教育,一方面是保卫处采取邀请校内外专家集中作报告的方式来讲授安全知识,另一方面由辅导员承担日常安全教育任务。据调查,有75.9%的大学生认为辅导员承担着安全教育管理的任务。教育实施主体单一,大学生参与度不高,突出大学生主体性的自我教育和实践教育缺乏,教育功能难以发挥。据调查,83.65%的大学生认为安全应由学校负责,91%大学生认为在学校或社会上出了安全问题是学校和社会的责任。大学生对安全责任共担没有产生共鸣,一方面对安全有着迫切需求,另一方面,在自身需求与公共安全规则相抵触时又表现出对规则的无视、从众心理和法不责众的心态。
(三)大学生逃生技能培训实效不足
公共安全风险防控需要大学生具有应对危险的逃生技能,目前高校大学生安全危机逃生演练还不能达到实际要求,亦不能满足大学生需求。高校开展危机逃生演练基本是依照上级提出的相关要求组织实施,尚未形成制度化的体制和机制。具体表现为:一是安全教育重知识,轻实践,据调查显示,有些高校安全教育中模拟训练仅占教育比重的12%;二是实践演练项目单一,主要是以消防演练为主;三是阶段性开展,集中演练时间多安排在大学生军训、“119”消防日期间及平安校园建设工作检查阶段;四是不规范,专业化程度不高。辅导员负责组织学生,学校相关职能部门负责现场指导,40.90%的学生认为学校安全教育师资力量欠缺。危机逃生演练专业性和针对性要求更高,在对学生进行专业技能指导上,学校更是显得“力不从心”。因此,演练停留在“组织逃生”环节,多流于形式,缺乏实效性。现实中往往一个异动或偶发事件就能引起学生群体失稳、造成混乱。据《中国青年报》社会调查中心对千名大学生进行在线调查结果显示,77.5%的学生赞成开设自救课程,82.9%的大学生认为应该进行突发事件应对演练,79.3%的学生希望学校开展实践性、针对性强的安全教育活动。
三、公共安全风险防控视域下大学生安全教育的路径选择
(一)改进大学生安全宣传教育工作,培养学生的风险思维
大学生面对公共安全风险的不确定性,掌握安全知识固然重要,培养风险思维更为关键。公共安全风险成因存在人为因素,公共安全风险防控依靠人的认知和行为,思维和观念决定着人的知行。风险思维是一种专门用来处理风险和不确定性的思维方式,是将规避风险或将风险降到最低为价值目标的。因此,在公共安全风险防控中,风险思维强调人对安全问题应持有前瞻性、全局性、关联性、警惕性认识,这有助于大学生形成对安全风险事先预判、对安全形势全局把握、对安全因素关联思考、对安全隐患预防为先的覆盖国家、社会、集体和个人的安全观念。高校应以培育风险思维为目标,开展大学生安全教育。一是要拓展教育内容,不拘泥于各种知识点的学习,而应从安全风险防控视角,引导大学生养成预判生活中可能面对的公共安全风险的习惯,特别是在涉及公共领域的活动之前,对所有可能发生的安全问题的概率和后果进行预测,并且做好应对准备,提高对安全风险的预判意识。二是要拓宽学生视野,教育着眼点不限于学生个体安全,应延伸至社会整体安全,帮助大学生辨析个体安全与整体安全之间的有机联系,认识到“风险是每个人和风险因素的结合体”,它与每个人有着密切的相关性。三是要提升认识高度,在安全防范意识上,帮助大学生进一步认识在安全风险面前人不仅是处于防卫状态,而是可以影响公共安全风险的发生、发展及走向,可以化解、降低风险,避免其转化成实际危险。在公共活动中,个体良好的行为习惯具有公共性和公益性。四是养成行为自觉,大学生由对安全风险的感知,上升到理性认知,还要将正视和规避风险、追求安全的生活态度和行为习惯贯穿于日常生活中,保持维护社会整体安全的警惕性和自觉性。
(二)完善以学生为本的校园安全教育、管理体制,强化学生安全责任意识
乌尔里希•贝克在对风险和风险社会论述中说:“一场风险或灾难的来临,在其影响范围内个人和群体都难以逃避,因此,风险社会必然会形成一种新的风险文化,也呼唤着一种责任共担的风险价值”。的确,当公共安全受到威胁时,没有人可以“独善其身”。平安的社会环境需要制度保障,更需要全社会责任共担的共同意识。在安全教育、管理工作当中,高校应尊重大学生的主体地位,发挥大学生的主体作用,唤起大学生的主体意识。一是组织学生参与学校安全管理制度制定。在制定相关规章制度时吸纳学生参与,组织学生讨论,征求学生意见,鼓励学生提出建议,培养大学生的主体意识。二是提倡学生开展自我安全教育。教育家叶圣陶主张“自能教育”,他说“要把依赖性的‘受教育’转变为主动性的‘自我教育’”。课外活动和社团组织是以大学生为主角的教育载体,高校要引导大学生将安全内容引入丰富多彩的活动中,开展自我学习,自我教育,充分发挥大学生潜能和主观能动性。三是倡导学生以社会实践方式参与学校安全管理。高校通过组织大学生志愿者等方式,在相关职能部门的指导下,让学生参加与之密切相关的校园安全管理和安全检查,实现学生自我教育、自我管理,增强大学生遵守安全规则意识和维护公共安全秩序的自觉性和主动性。
(三)增强突发事件应急演练的实效性,提升学生的逃生技能
英国社会学家安东尼•吉登斯在阐述风险社会理论时说:“我们所有的人都需要抵御风险的保障,也需要具有面对风险并以一种积极的方式对待风险的能力。”大学生应对安全风险,既要具备积极的心态,也要掌握应对的本领和技能。在汶川大地震中,桑枣中学2000名师生用1分36秒全部逃离教学楼,创造零伤亡的奇迹,令人印象深刻。奇迹的创造与平日制度化、规范化逃生训练分不开,也让我们看到了危机应对演练在风险规避中的至关重要性。风险规避中的逃生技能具有极强的实践性和专业性,需要具备处惊不乱的心理素质、协同配合的整体意识、科学规范的逃生技巧、自救互救的专业知识,对人的安全综合素质要求较高,仅靠“纸上谈兵”难以取得实效,需要通过实际演练获得切身体验,在实践中养成。高校大学生安全教育应重视突发事件应急演练,克服客观条件制约,联合社会力量,借助社会资源,争取专业指导,建立常态机制。一是要社会化。高校应与地方政府相关部门加强联系,利用防灾训练基地等社会资源,实现资源共享,组织大学生开展危机情景模拟演练。二是要专业化。高校要与社会相关专业机构部门开展合作,争取专业技术支持,请专业人员现场进行逃生技能、自救互救技术指导,强化对大学生的专业规范训练,力求实效性。三是常态化。高校应协调校内外各相关部门,建立长期协同合作、相互配合的体制和机制,有针对性地开展常态化危机应对演练,提高大学生安全逃生技能。
公共安全风险识别篇(3)
一、引言
公共基础项目关系到国计民生,对社会经济建设起到巨大的推动作用,是促进国家和地方经济发展的重要基础资源。近年来,大型公共基础项目的数量增长迅速,项目范围与规模日益扩大,项目风险管理难度提高,项目的风险将会直接威胁项目建设的顺利实施与最后的成功。因此,对公共基础项目进行风险识别分析地研究就显得尤为重要。
二、相关文献概述
风险管理的定义具有代表性的是Tumala于1994年提出风险管理发展过程的合理框架,这一过程包括风险辨识、风险评价、风险处理和风险监控。20世纪90年代以后,风险管理技术得到了很大地发展和应用,同时风险管理观念也从过去基本静态的管理发展为动态、系统的风险管理。
我国在20世纪70年代末、80年代初引进项目管理理论与方法,对项目风险评价研究起步较晚。1987年,清华大学郭仲伟教授《风险分析与决策》的出版,标志我国新时期风险管理研究的开始。1996年由雷胜强编著的《国际工程风险管理与保险》和 1998年由卢有杰、卢家仪主编的《项目风险管理》,促进了国内对项目风险管理的关注。总体来说,我国项目风险管理理论研究水平还不是很高,对风险评价缺乏系统化和科学化,系统性定量的项目风险分析方法还有待进一步研究,在实际应用中成效并不显著。
三、公共基础项目的风险识别
根据工程进行的一般顺序,将工程全生命期划分为决策阶段、前期工作阶段、建设阶段及管理阶段。公共基础项目各阶段面临的风险因素如下:
(一)决策阶段
决策风险是公共基础项目最大的风险,如果项目不可行、立项错误,就会造成根基不稳。公共基础项目在决策阶段主要面临的风险因素有政策风险、经济风险、投资方式风险及可行性研究风险。政策风险包括经济总体形势变化、产业结构调整、经济政策变化及法律法规不完善等。经济风险主要在于国内外金融市场的波动、通货膨胀等因素的影响。随着我国公共基础项目管理体制的变化,该类项目的投资方式逐渐多样化,由此带来投资方式选择的风险。可行性研究对项目的投资估算、建设条件与生产条件、技术、建筑工程的方案和标准、项目的财务收益、社会效益和不确定性分析等,可能由于调查不足等原因导致对项目可行性的错误认识。
(二)前期工作阶段
公共基础项目在立项之后,进入前期准备工作阶段。这一阶段面临的风险因素主要包括勘察设计风险、融资风险、招标与发包风险及合同风险等。勘察设计风险在于勘察设计单位存在违反必要程序,未经勘察就设计或初步设计未经审批就提供施工图,勘察人提供成果的时效及质量风险,设计人侵权等风险。融资风险包括资金供应不足或资金来源中断,融资方信用等,融资方承担信用保证的能力及履行信用保证责任直接影响项目的进程。投标决策风险,如不当的项目选择、报价等,发包人存在提供资料内容要求及时间错误等风险。合同风险涉及发起人、投资人及承包人之间权利、义务和职责界定不清等方面,从而对项目建设进度和质量造成不利影响。
(三)建设阶段
在公共项目建设阶段施工过程中存在的风险包括技术风险、工期风险、工程质量风险、财务风险、安全风险及自然风险。技术风险包括所应用技术及设备自身的时效性、成熟度、生命周期性质,也包括技术与项目实施环境适应性、实施后满意度风险等方面。工期风险包括项目工程进度安排是否合理、是否能按进度安排按时按质完成,工期拖延对工程成本、项目实施效果造成严重影响。财务风险主要涉及项目建设阶段资金流动性及充足性,及时、充足的资金有利于保障项目的进程及质量。安全风险包括施工过程中设备运作安全性、施工人员人身及财产安全等方面。自然风险指在工程建设施工过程中由于自然灾害、社会政治经济意外事故等非人为可控因素造成损失的风险。
(四)管理阶段
现代公共基础项目往往规模大、时间周期长,从而存在较大的管理难度,对项目形成管理风险。公共基础项目建成后管理运营阶段风险主要表现在继承性风险、管理运营风险及维护不当风险。项目运营风险包括残值风险、运营成本超支、运营变更等,管理风险表现在经营管理经验缺乏,影响项目经营效率,构成经营管理风险。项目的维护涉及专业技术及经验,项目建成后面临专业技术人才缺乏、设备及技术未能及时维护、更新等风险,从而人力资源成本增加,影响项目的正常运营,构成维护不当风险。
四、结语
公共基础项目由于公共性及经营性的双重属性,项目的风险与其他类工程项目风险存在一定的区别,其风险来源较复杂。在风险管理理论基础上,按照项目生命周期识别各阶段风险,为采取有效的风险管理措施提供依据。
参考文献
[1]乌云娜,胡新亮,张思维. 基于ISM-HHM方法的PPP项目风险识别[J].土木工程与管理学报,2013(01).
[2]李力.基于风险矩阵的BOT-TOT-PPP项目融资风险评估[J].昆明理工大学学报(社会科学版),2012(01).
公共安全风险识别篇(4)
传染病是造成全球致死、致残的主要原因。近年来,新的传染病不断出现,旧的传染病死灰复燃,成为威胁人类健康,影响社会稳定及经济发展的重要因素之一。及早发现、识别和评估传染病事件公共卫生风险,对有效积极应对突发公共卫生事件具有重要意义。突发事件公共卫生风险评估在中国开展较晚,方法较少,多是借鉴其他领域的方法[1-3]。风险矩阵法是在一些项目管理过程中识别风险比较重要的方法, 它能够对项目存在的潜在风险进行评估, 定性分析和定量分析相结合,是操作简便的方法。该方法由美国空军电子系统中心采办工程小组于1995年4月提出的, 很多项目采用风险矩阵方法进行风险评估[4-6],传染病风险评估是对传染病疫情的产生原因、发展过程及危害后果具体的定性和定量评价,是实施降低传染病疫情导致损害的第一步,也是预防控制传染病疫情损害的重要基础。近几年来,我区每年发生传染病暴发及重要散发疫情多达80余起。之前区公卫系统尚未开展类似系统的风险评估,使得传染病突发事件处理相对较为被动,尤其在应对较大传染病疫情时,由于缺乏事先针对性的准备,更显捉襟见肘。本文采用风险矩阵模型对我区各种可能的传染病疫情进行评估,根据评估结果预先开展防控准备,使得疫情应对具有前瞻性。
1资料与方法
1.1一般资料查阅本区近20年的暴发疫情、重要散发疫情。
1.2风险评估方法及步骤所用评估方法为风险矩阵模型评估方法[7],步骤具体如下:
1.2.1风险评估准备首先收集宝安区以往传染病疫情资料及1994~2012年所发生的由传染病引起的突发公共卫生事件。同时整理相关的文献资料,综合考虑相关传染病的临床和流行病学特点,包括致病力、传播力和毒力;季节性、地区性;传播途径、高危人群等。结合宝安区的自然条件、人口与民族、经济社会、重大基础设施、重要场所等信息,根据已有风险控制措施、应急救援能力和历史经验,确定传染病疫情的评估范围;制定评估方案,制定风险评估的工作流程、评估模板、表格、评估报告样式等,细化具体的工作方法和操作程序;根据传染病疫情的特征,从经济、社会等角度制定传染病疫情风险评估标准,为风险评估的具体操作提供指导。
1.2.2风险识别组织专家用会商法根据其工作经验及历史监测数据识别全区当前存在的传染病公共卫生风险因素。最后确定的传染病风险种类有急性传染病12类24种场景。
1.2.3风险分析①对每种传染病疫情描述风险场景,包括灾害点基本情况、发生地点、影响区域、事件起因、持续时间,现有应急能力、参考事件等内容。②可能性分析,风险事件发生可能性或概率估计采用5级制分类来予以描述和度量,参数设为R,分5个等级,见表1。采取比对过去20年突发公共事件相关资料,对R进行赋值。③后果分析,在假设某传染病疫情出现的前提下,根据相关规定,从5个领域(人、经济、基础设施、生态环境、社会环境)设定损害参数(最高分为5分),通过计算总损害值D来评估可能造成的影响。④风险评定:根据发生可能性及可能造成的损失,评定风险。⑤确定风险水平:将风险可能性等级及风险后果等级列成风险矩阵图,于风险矩阵图中标出风险等级(四级:低、中、高、极高)。
1.2.险评价根据计算的风险值V划定风险评价标准,当V值>4时,风险为不可接受,此时应采取风险管控措施;如果4>V值≥2,表明风险为有限接受,此时应在综合权衡基础上尽量规避风险;当V值
图1风险矩阵图
1.2.5风险排序对所有参与评估突发公共卫生事件按风险等级从高到低进行排序,确定风险大小及优先处理顺序,提供行政部门决策参考意见。
2结果
2.1 评估结果 通过对风险评估, 深圳市风险V值>4的有:SARS社区暴发(4.63)、新亚型流感暴发(4.31)、新亚型流感社区流行(4.18),鼠疫、霍乱等21种模型风险值V均
2.2染病疫情的风险源深圳市风险源主要存在于人群密集的工厂、学校等场所,可能与气候条件、人员相对集中、流动性大、工厂通风不良、环境较差有关,同时也可能与部分病原微生物传染性强有关。
3讨论
采用风险矩阵模型对传染病疫情进行风险评估,可以通过量化指标,确定传染病风险等级,对于风险值>4、风险等级不可接受的,就应该尽最大可能降低风险,而对于风险值
本次研究结果表明,深圳市21个传染疫情模型VV均4,为不可接受等级。应将其列为我市防控重点,特别重大呼吸道传染病应采取病例出现后的先期处置,以预防短期内迅速扩散。
当然,该模型在突发公共卫生事件风险评估中的存在一定的局限性。和现有的其他分析模型一样,该系统在赋值时存在一定的主观性,导致最终结果会出现一定的偏差。即使不同专家对同一场景进行评估,也可能会得出不同的风险等级。在不同领域,这种偏差会被放大。本文研究表明,采用风险评估模型,能够在科学性与实用性之间寻找到一个平衡点,但如何更加优化模型,增加其客观性,是一个仍然值得探讨的问题[9]。
参考文献:
[1]谈立峰,郝东平,孙樨陵,等.综合应用风险矩阵法与Borda序值法评价区域性大型活动公共卫生突发事件风险[J].环境与职业医学,2012,29(9):556-560.
[2]董艳,李剑峰,王连军,等.基于风险矩阵法与Borda排序法对某城区突发事件的风险评估[J].安全与环境学报,2010,10(4):213-216.
[3]薛晔,黄崇福.自然灾害风险评估模型的研究进展[J].应用基础与科学工程学报,2006,增刊:1-10.
[4]吴长青,朱文涛.基于风险矩阵等方法的药品不良反应风险评价的探讨[J].中国中医药现代远程教育,2010,8(13):20-22.
[5]柳红卫.城市天然气管道半定量风险评估方法研究[J].中国安全生产科技技术,2006,2(3):96-100.
[6]张,慕德俊,任帅,等.一种基于风险矩阵法的信息安全风险评估模型[J].计算机工程与应用,2010,46(5):93-95.
公共安全风险识别篇(5)
0 引言
在公众聚集的大型群众性活动中,所谓的公共安全主要是指参与者的安全,这是核心问题与主要矛盾。大型群众性活动(以下简称大型群众性活动)是法人或者其他组织面向社会公众举办的每场次预计参加人数达到1000人以上的活动,包括比赛、演唱会、展览展销、游园、招聘会等活动。据公安部统计资料显示,2006年全国共举办大型群众性活动3.5万场,参与群众3.2亿人次。根据北京市十二届人大常委会公报第22号资料表明,从公安机关对大型群众性活动举行前进行的安全检查情况看,有62%的活动存在各种安全问题。2005年11月1日,北京市率先出台了《大型社会活动安全管理条例》,该条例首次要求主办方在活动举办前进行风险评估,提交风险评估报告。随后,杭州、南宁等地也出台了大型群众性活动安全管理规定。2007年9月14日,国务院公布《大型群众性活动安全管理条例》,并于2007年10月1日施行。该条例对大型群众性活动的范围,承办者、场所管理者的安全责任和公安机关的职责,安全许可的条件、程序、时限,安全管理措施以及法律责任等作了明确规定,有利于保证大型群众性活动安全顺利进行。目前,大型群众性活动安全工作逐渐受到全社会的广泛重视,但仍然需要采用科学的方法,通过风险评估加强大型群众性活动的日常安全管理,将危险降到最低,通过应急管理加强突发事件防范和应急处置能力,真正的保障大型群众性活动的安全成功举行。
1 公众聚集的大型群众性活动特征及风险评估
公众聚集的大型群众性活动的组织运营管理是一个庞大的人、机、环境系统工程,各部分紧密联系相互影响。对大型群众性活动的日常安全防范周密,有章可循,才能大大降低发生突发事件的可能性,这就需要开展大型群众性活动的风险评估工作。要从系统的每个层面识别和分析大型群众性活动可能发生的突发事件,建立预测预警系统,有针对性地制定风险处置措施。
1.1 大型群众性活动特征
大型群众性活动至少具备以下三个特征:
(1)规模大。至于何谓“规模大”,大多都是从参加的人数、所占场所的面积、持续时间的长短等方面作出大致的判断,在司法实践中往往缺乏统一的标准。2007年8月29日,国务院第190次常务会议通过了《大型群众性活动安全管理条例》,其中规定:“本条例所称大型群众性活动,是指法人或者其他组织面向社会公众举办的每场次预计参加人数达到1000人以上的下列活动?”由此看来,“每场次预计参加人数达到1000人以上”是判断规模大小的标准。值得一提的是,这里的1000人并非实际参加的人数,而是在举办活动之前预测的可能参加的人数。如果根据经验和常识判断,可能会有超过1000人参与,但由于意外原因实际参加人数没有那么多,仍然不失为“大规模”。另外,该人数也不是整个活动的所有人数,而是“每场次”可能参加的人数。
(2)群众性。“群众性”是指参加的人员范围非常广泛,不具有特定性,是面向社会公众举办的。虽然某一种活动可能是针对某些社会群体而举办的,比如篮球赛事的观众大都是篮球爱好者,人才招聘会的参加者大都是应聘人员,音乐会的参与者大都是音乐爱好者,但他们来自何方、年龄大小、民族种族、文化水平等都不具有确定性,也不排除其他人员的参加。特别是象焰火晚会这样的活动,没有任何的资格限制,无需任何入场票证,人员更为庞杂,更具有“群众性”的特点。
(3)随机性。大型群众性活动的组织往往具有随机性特点,在何时举行、何地举行、以何种方式举行都是不确定的,或简单地说不具有职业性的特点。在车站、码头、民用航空站,每天都会有成千上万的人聚集在那里,这是一种常态,而且已经形成了较为固定的公共秩序和管理模式,因此,不属于大型群众性活动。一所大学里往往有一两万学生在同时上课,但上课的时间、场所、方式、参加人员等都是较为固定的,因而也不属于大型群众性活动。
1.2 风险评估
公共安全风险识别篇(6)
从安全到公共安全,再到城市公共安全,逻辑上应该是一个由宽到窄的过程,但随着社会经济发展,特别是城市这个人口、建筑物、各类活动密集的聚居模式出现后,这个逻辑正在发生变化,城市公共安全已经成为一个包罗万象的领域,在城市发生的,不在城市发生的,发生在空中的、水上的、实体空间的、虚拟空间的各种风险,构成了对城市公共安全的巨大威胁。城市公共安全研究自然顺应了这一特点,具有广泛性、多元性、分散化的特征。限于篇幅和主题,本文不对大量文献作综述性概括,只沿着全过程管理的路径做一初步审视,提出深化的方向,更深入的研究留作日后展开。
一、对城市公共安全研究的简要回顾
城市公共安全已经成为一个包罗万象的领域,相应的,城市公共安全的相关研究涵盖了概念研究,如安全生产、突发事件、国土安全、粮食安全、环境安全、水安全、食品药品安全等;体系建设,包括管理体系、评价体系、支撑体系、应急体系、保障体系等;规划管理,包括风险源定位、排查、分布、优化、隔离、监控等,以及由此衍生的聚焦某一环节的深入研究,信息技术、生物技术等现代科技支撑的各类研究,还有人防、技防、物防、犬防等手段的运用研究等。随着互联网、物联网产业发展,以信息技术为依托的城市公共安全研究方兴未艾。
对于城市公共安全管理,根据兰贵兴的定义,城市公共安全管理就是城市政府及社会为预防和控制各种重大事件、事故和灾害的发生或保护人民生命财产安全,减少社会危害和经济损失而有计划、有组织地学习、制定和实施一系列管理和因应策略的行为。在这一过程中,城市政府是城市公共安全管理的责任主体,而企事业单位、社会组织以及市民个人则是不可或缺的参与主体。[1]
保障城市公共安全有两个重要方面,一是防患未然,使公共安全事件不发生、少发生,在这一过程中,通过对城市公共安全事件进行研究和防范,并从时间和空间上安排和准备、加强管理,从而控制和降低城市风险;[2]二是及时的应急管理,也就是公共安全事件发生后在最短的时间内恢复城市正常运转。因此,从内涵上来讲,城市公共安全管理包括日常管理和应急管理两部分。日常管理的重点在于查明风险、消除隐患、消灭诱因。应急管理的重点在于编制预案、充分演练、巡查检验、及时反应。
二、对城市公共安全管理的基本评价
我国城市公共安全管理已经进入了法律有依据、机构很健全、体制很顺畅、体系很完备的良性阶段。
(一)我国政府对城市公共安全管理的重视程度无以复加
如果从对城市公共安全的重视程度看,我国政府对城市公共安全管理重视程度已经达到顶峰,无以复加,主要体现在两个方面。一是快速的立法进程。2002年我国颁布了《中华人民共和国安全生产法》,2014年进行了修订,2007年颁布了《中华人民共和国突发事件应对法》,日常管理由《安全生产法》来保障,应急管理有《突发事件应对法》为依据。相对我国立法、修法十分缓慢的进程,这两部法的出台是十分顺利和快速的,足见立法机构和中央政府对城市公共安全的重视程度之高。二是依据两法中央政府确定的地方一把手安全责任制。每当一次安全生产事件或突发事件发生后,当地一把手都是亲临现场指挥,而且成为媒体报道的头条,重大事件中央还组成工作组现场调查,有些情况国务院总理、副总理还要亲临现场指挥并慰问。历次火灾、水灾、地震、沉船、爆炸、滑坡、井喷、透水、踩踏等事件,一把手承担安全责任而辞职或被罢免的并不鲜见。
(二)安全生产已经成为日常工作生活的组成部分
从中央到地方、从企事业单位到社区,各级各类的安全生产管理委员会已经做到了横向到边、纵向到底的全覆盖,而且是大部分由主要负责人兼任单位安全生产委员会主任。行业管理组织还设立了安全生产联席会议制度、安全员联络制度等。如原建设部就建立了从中央到地方再到各类建筑企业的安全员联络制度,可以做到从上到下、从政府到企业安全生产责任到人。日常工作中我们每个员工、家庭成员经常收到安委会的各类提示,包括交通、用电、用火、用气、防盗等。
安全评价通过危险性识别及危险度评价,客观地描述系统的危险程度,指导人们预先采取相应措施,来降低系统的危险性。目前安全评价已取得了长足的发展,分别从风险因素、灾种、环节和过程等多种不同的角度构建了安全风险评估体系,[3]已经成为安全生产的约束环节。
(三)从上到下的应急管理体系已经建立
我国正式建立应急管理体系是从应急预案编制开始的,2003年我国战胜SARS疫情之后启动了全国性的应急预案编制工作。国务院办公厅专门为制定预案出台了《应急预案编制指南》,要求预案编制要做到纵向贯通行政和各类组织层级、横向覆盖行政和社会层面。在国务院的指导下,全国制订了各级各类应急预案130多万件,涵盖了各类突发公共事件。[4]
2006年8月,党的十六届六中全会通过《关于构建社会主义和谐社会若干重大问题的决定》,正式提出了我国以“应急预案、法制建设、体制建设和机制建设”为核心框架的应急管理体系。国务院办公厅设立了应急管理办公室,各级地方政府相应成立了政府办公厅内的应急管理办公室。以北京为例,2005年4月25日,北京市成立了突发公共事件应急委员会,统一领导全市突发事件应对工作。2006年底,市专项应急指挥部体系建设完成,绝大部分街、乡、镇和社区等都建立了应急责任体系和工作机制。当然也有其他形式的机构设置,如深圳把相关四个局合并为应急管理办公室,作为市人民政府的组成部门。
既然各级领导和各层各面高度重视城市公共安全管理工作,又建立了完善的安全生产管理和应急管理体系,为什么还会出现很多人祸或是应该控制而没有控制的事故或灾害局势呢?吉林爆炸、昆山爆炸、天津爆炸,北京踩踏、上海踩踏,克拉玛依剧院火灾、哈尔滨仓库火灾、上海高楼大火、央视大火,北京淹了、深圳淹了、广州淹了、武汉淹了、济南淹了,东方之星沉了、湖南邵阳渔船沉了、西沙渔船也沉了,广州九江大桥塌了、湖南凤凰大桥塌了、哈尔滨阳明滩大桥塌了,这说明城市公共安全管理肯定还有重大领域或者重要环节没有触及。我们的系统研究认为,城市公共安全事件不断的主要原因是管理基础薄弱和过程管理脱节。管理基础薄弱是指整个社会对城市的认识不深入,对城市的运行规律不熟悉,对城市功能属性和空间属性没概念,对各类功能包括基础功能和衍生功能的作用机制不了解,不可避免地出现对危险和风险诱因的漠视,既不避也不管,任其恶变。限于篇幅,这里无法展开论述,可参见《现代城市综合管理的本质、功能与体系再认识》一文。[5]而过程管理脱节,可以反映在安全生产管理和应急管理的多个环节。
(一)各级领导对城市公共安全很重视,但如何重视、重视什么没有细化
各级领导的重视体现在会议和文件,召开会议传达精神,文件部署措施,但很多时候流于形式,如何重视、重视什么往往没有细化。从安全生产的角度看,因为绝大部分安全生产管理委员会是兼职机构,安全意识和管理行为落实在日常工作中,开不开会、发不发文影响不大,特别是在会议连连的工作方式下,没有时间思考哪个环节更应该引起注意。从应急管理的角度看,大部分“应急办”作为内设机构设在政府办公厅,平时迎来送往,每天脚不着地,忙个不停,哪有时间思考风险和危险的发生规律?如果没有一个全日制专家团队和系列的专门研究支撑,应急办很难判断危险来临的可能性和影响程度,也就难以判断启动应急响应的确切等级。
也就是说,无论事前事后,政府对城市公共安全的重视程度很高,但面对城市这个复杂巨系统,单用战争年代的死命令、军令状是难以确保城市公共安全的。会议和文件传达部署了,不能跟上具体的落实措施,或者落实上错位缺位,加上一定程度的侥幸心理和短期行为,很多没有取得避免灾害和事故的明显效果。类似的事故此起彼伏就是例证。
(二)公众的安全意识淡薄,危机宣传还有很多空白
社会公众是防范突发公共安全事件的重要力量。城市社会蕴含大量危机因素,不被认知很容易诱发或衍生事故和灾难。但政府在公众危机意识的宣传教育、行为引导等方面往往是面子工程,并没有取得应有的效果,热衷于安全宣传的社会组织又缺乏经费维持义务宣传,应该宣传提示的领域缺乏经费投入,由此造成了我国城市市民对公共空间的使用没有规则意识,对公共设施的使用缺乏常识,对公众安全缺乏起码的认知,遇到公共安全事件缺乏必要的防灾避险知识和自救能力。如很多人不知道自己的住所、工作场所附近是否有避难场所,很多人在盲道上停车甚至建临时构筑物,很多人不知道在加油站打电话很危险,很多人不知道遇到火灾应该匍匐逃生和用湿毛巾捂嘴,很多人过马路与机动车抢行,很多高空作业的人员仅凭一条纤细的绳索维系安全,很多人不按规章乘用自动扶梯。在上海外滩踩踏事件中,虽然警察一直在维持秩序,但几乎没什么效果,人群依然继续向前,对风险的集体无意识最终导致了事故的发生。
(三)安全监管和风险监测不足,监管流于形式,评估成为赚钱工具
安全监管和风险监测与评估是保证城市运行安全的基础。在有效的风险监测与评估的基础上,有针对性地采取防范措施,是公共安全管理科学化的重要前提。城市公共安全风险遍布城市生产生活的各个方面,安全监管需要横向到边、纵向到底地全覆盖,这个工作不需要低成本运转,因为市民个人没有专门知识和专用设备加以鉴别,例如普通人没有办法分辨牛奶是否含有三聚氰胺,日常吃的生姜很难辨别是否浸过福尔马林,空气质量凭感觉难以识别是否有害健康,不一而足。
当前风险监测与评估中存在的问题是程式化和工具化,前者表现为简单套用,脱离针对性分析,管理者看到报告就盖章,编制者交了报告就完事儿,走个程序罢了,后者表现为编制者为了经济效益,把评估报告作为赚钱的简单工具,评估的科学性被抛之脑后。加上技术手段的落后以及人力资源投入的吝啬,整个风险监测与评估的效果很差。每次事故发生后都有大量的质疑,安评哪去了?安监何在?就是很好的佐证。
(四)应急预案抄袭和部门化现象严重,可操作性大打折扣
我国的应急预案体系建立于2003年抗击SARS之后,在三个月内完成了中央到地方的多层级应急预案编制。这就应了“萝卜拔了不起泥”的俗语,抄来抄去,连灾害种类都抄了去,响应模式大同小异,经过多次大灾和事故检验才有所调整。目前仍有部门化和形式化的问题,对部门协调配合、资源信息共享、指挥平台统一有要求,没落实,遇到事件踢皮球。这次天津爆炸事故前几次新闻会就能让人有此猜测。如果把企业的应急预案与当地政府的应急预案一起比较,就会发现更多值得协调的环节,可操作性可想而知。
(五)应急演练按照规定次数执行,但流于形式、装备储备作秀演戏
应急演练是检验应急预案可操作性,应急管理体系的完善程度、部门配合协调、物资设备完好程度的重要方式,也是提升社会公共安全意识的重要途径。但可惜的是,很多演练强调演练本身效果的完美,不愿暴露问题和薄弱环节,提前打招呼,使演练参与者有了准备,最后变成了一次彩排,真正的演戏作秀。有的学校被定为演练示范校,专门迎接参观和参与接待,对该校的学生培养应急意识有一定帮助,但对扩散安全知识和培养社会应急意识的作用十分有限。避难场所本该存有与设计人数和容留时间相匹配的物资储备,但一些过期食品、残次品出现在这样的地方,更有一些地方电力和供水无法保障,或出现清单与实物不符,并缺乏定时检验检查的现象,一但发生天津爆炸这样的事故,周围避难场所根本无法启用。
(六)安全责任追究制度提高了地方首长的重视程度,但也出现了因噎废食的现象
安全责任追究制度提高了地方首长对城市公共安全的重视程度,但也出现了因噎废食、百分百确保安全的倾向。影响最大的应属2012年延安8・26特大交通事故,该事故发生在陕西省延安市境内的包茂高速公路上,一辆宇通双层卧辅客车和一辆装有甲醇的罐车追尾,导致客车上的36人死亡。该辆客车是一红眼班车,意思类似铁路的夕发朝至列车,只不过由卧铺大客车运行在高速路为主的两地之间,很受一些暂时没有高铁或动车链接的城市间乘客的欢迎。事发之后,为了达到百分百安全的目标,省长当即就表态取消省内省际所有红眼班车,最后不仅陕西省做出了这样的决定,也被交通运输部借鉴,要求大客车夜间不能上高速行驶。该事故不仅牵出了“表哥”杨达才,还让国人体会了因噎废食的典故。结果是很多旅行团为了顺畅搭接航班,长时间夜路奔波在国道上,经常引发参团游客不满,这也是国务院优化旅游消费环境应该反思的重要内容吧。类似的因应之策不少,产生了很多负面影响。
四、城市公共安全管理的补强措施
(一)夯实基础,把握城市运行规律,把各级领导的高度重视细化为全过程环节研判
很多安全事故的发生就是因为相关主管部门的忽视造成的。夯实基础是指提高管理者对城市运行规律的认识和把握,没有对安全事故依托物的深入了解,防范就无从谈起。城市运行涉及的部门多、层次多,易发危机的环节多,主管部门必须始终保持对可能影响公共安全的一切因素高度警惕,不断引导科学研究,对可能引发城市公共安全事件的因素实时监测和预判,把各级领导对城市公共安全的高度重视细化为全过程环节研判,把问责机制和责任环节一一对应,增强防范的针对性、持续性,避免盲目性。安全生产和应急管理部门要定期、不定期地组织管理人员、专家对城市中各运行环节存在的各种可能风险隐患进行排查、筛选;合理配置人员、设备、资金、技术和信息等资源,制定出切实可行的预防措施和办法,将各种可能引发风险的因素限定在可控范围内。要认真分析既往公共安全事件的发生原因,包括事前防范的长处和短板,事中处理的到位与缺位,事后救援与安置存在的问题和取得的经验等,及时调整目前的工作方式,改进预防和演练的工作内容和形式,使重视落到实处。
(二)创新宣传教育方式,强化依法处罚的教化作用,提高公众的危机意识
城市公共安全教育既是一个长期的过程,也带有一定的强制性,主要是因为我们刚刚进入城市社会,对城市的运行规则不熟悉,快速城镇化使大量农民进入城市,而农村和城市的生活习惯差异大,更加大了适应城市社会的难度。一方面要潜移默化,从幼儿园开始开设公共安全教育课程,让孩子们掌握大量的公共安全知识,进而影响家庭。另一方面,要在广泛宣传的基础上,加大处罚力度,发挥法律的教化作用。中国公民法不责众的心理强烈,必须通过大众媒体,包括利用电视、广播、报刊杂志、手机、网络等传播媒介,运用微博、微信等自媒体,广泛开展公共安全知识宣传,让城市居民公共安全知识全覆盖,在此基础上,对可能引发突发事件、威胁公共安全的个人行为高额处罚。酒驾入刑就起到了很好的教化作用,如果把应急车道占用入刑,这类堵塞救命通道的行为必将大大减少。
(三)安全监管和前置许可必须落到实处,与反腐败紧密结合
我们说安全大于天。中央领导高度重视,地方领导一把手全责,这些都不为过。但是,老百姓看到听到的却是一个个安全事故、一批批有害食品,甚至怀疑政府有没有作为。其实我们不是人手少,也不是检验检测设备不先进,而是机制设计出了问题,监督机制和惩戒机制的设计无法适应形势发展需要。对于产品,抽样检测和送样检测肯定不代表全部,抽样检测还可以有一定的可信度,送样检测一定是投其所好或有权钱交易;对于服务机构,一次性核定资质,任由机构把关,会有很多漏网之鱼。另外,这样的监督机制无法扩大监督面,通过举报机制和惩戒机制的配合,才可以扩大监督面,变机构监管为社会监管,形成全覆盖、无缝隙的安全监管局面。惩戒机制的配合在于使用重典,也就是发现安全事故和事件,当事人承担难以想象的重责,美国一个公司违法可以罚款200多亿美元,深圳汽车违章罚款1000元人民币还引起舆论关注,这不利于法律重典的引导和治乱作用。反腐败让大家看到了对的严惩,但对食品安全的责任人还没有重刑加以引导和威慑。对天津爆炸事故的直接责任人严惩已成定局,但在规划环节、安评环节、环评环节负有责任的人员也用酒驾入刑的思路绳之以法,这样的悲剧至少会少得多!
(四)应急预案应该尽快梳理完善,增强针对性和可操作性
以上提到的爆炸、塌桥、淹城、沉船、大火灾害绝大部分发生于2003年启动第一轮应急预案编制之后,换言之,很多省市和企业的应急预案都经过了事件检验,已经有可以提升应急预案的针对性和可行性的基础。建议在灾害种类、风险分级、联动配合、资源共享、信息互通、统一指挥等方面梳理修订。
灾害种类应把可能的恐怖袭击和有组织的公共安全事件纳入,并依次进行风险分级。美国新奥尔良飓风之后进行的风险分级,把恐怖袭击、化学爆炸等列为最高等级风险。联动配合应该作为应急预案的重要内容,无论是部门预案还是企业预案都必须把医疗、交管、通讯等的配合作为基础。另外,应特别强调把安全和应急管理专家支持纳入预案。信息互通、统一指挥平台的建设和使用都需要一定时日的统筹,但却是应急管理的关键环节,应予高度重视。
(五)应急演练要增加次数和覆盖度,提升整个城市社会的实战能力
城市公共安全教育要自始至终贯穿人们的日常工作和生活,最有效的行动就是随机实战演练。结合案例教学、情景模拟等多种多样的教学形式,加强对政府部门、企事业单位、社会机构的公共安全和应急反应培训,通过实践演练,检验公共安全知识的掌握程度和覆盖面、安全监管的有效性和应急预案的针对性,提高可行性。在此过程中,优化调整安全提示、避险标志、引导标识的位置、大小、明暗、颜色等,增强实用性。改变很多场所只满足于有无标识、有无灭火器的状况,强化遇火匍匐逃生有导引、人多拥挤可见标志、任何起火位置都可以便利拿到灭火器的基本要求。培养自救能力和把有限资源让给更需要的人的互救意识。美国在新奥尔良飓风之后频频启动应急预案检验,确保任何位置和任何层级的应急管理人员及时反应,值得我们学习。
(六)细化责任追究机制,确保权责一一对应,真正保障城市运行安全
安全管理和责任追究的目的是保障城市的正常运行,不是为了责任而责任。要避免因噎废食和难以确责的尴尬局面,就必须认真分析城市运行的条条块块,全过程管理的各个环节,把责任落实到环节处,细分到每一个责任人。上层安全管理者有权根据形势需要调整具体管理措施,避免城市公共安全事故出现和促进应急管理的切合实际。香港曾发生黑色元旦事件,它催生了香港一整套安全防范体系的出台,落实到日常管理中。例如,港铁在繁忙时段采用人流管理措施,包括间歇性关闭部分入闸机,安排更多的职员在月台上不断提示乘客排队。可见,把责任追究延伸到日常管理中,才能提升我国城市公共安全的管理能力。权责对应不是事后追究,而是权责履行在日常管理中。
参考文献:
[1]兰贵兴.城市公共安全管理的战略思考[J].中国公共安全,2008(12).
[2]刘茂,赵国敏,王伟娜.城市公共安全规划编制要点和规划目标的研究[J].中国公共安全,2006(4).
公共安全风险识别篇(7)
公共养老保险基金的运行过程专指基金运行机构根据制度安排实现基金的筹集、累积和支付过程。在我国,由于制度碎片化和基金运行立法不完整的原因,由公共养老保险基金受到运行风险引起的资金损失时有发生,而且一些问题是重复发生、屡禁不止。笔者从2007年开始关注我国公共养老保险基金控制系统问题,本文选题以我国公共养老保险基金现状为现实背景,以公共养老保险基金运行风险控制为核心展开研究,具有重要的现实意义和理论价值。
一、公共养老保险基金运行系统
公共养老保险基金运行系统三个目标,两条主线和三个层次,三个目标由财务平衡总目标分解而来,两条主线以参保信息和资金收支为核心,三个层次分前台、和后台。
三个目标以基金的财务平衡为中心。筹集目标包括两个含义,一是基金收入按照公共养老保险制度安排及时、足额进入基金的资金专户;二是基金收入在近期和远期足以完成基金支付。累积目标根据公共养老保险制度安排可能有三个部分的内容,一是资产完整目标,二是增值保值目标,三是资金调拨目标。支付目标的核心是实现公共养老保险制度安排,为符合受益条件的受益人支付待遇金额,内容包括了保险偿付和管理费支付。
两条主线,信息流和资金流。信息流以保险信息为中心,内容涉及身份识别信息、保险关系信息和待遇相关信息的录入、查询和保存。资金流是整个基金运行系统的核心,可以从静态和动态两个方面进行描述,从静态来看资金流表现为某个时点的资金形态和权益状况,从动态来看分为三个阶段:资金收入、资金累积和资金支付。
三个业务层次,包括前台层次、层次和后台层次。前台层次直接面对基金运行机构的外部环境,实现资金流与信息流进入和流出机构的基层功能,为层次提供原始数据。层次是整个系统的中枢层次,处理前台层次生成的原始数据,确定基金运行目标,识别基金运行风险,制定风险决策。后台层次以基金运行机构的组织行为为中心,建立公共养老保险基金运行系统的执行保障平台,内容包括,组织结构、人力资源政策、沟通和监控过程。
二、公共养老保险基金运行风险
影响公共养老保险基金运行目标的风险因素可能来两个方面,一是基金运行机构的内部,称为系统内风险,二是基金运行机构外部,称为系统外风险。
公共养老保险基金运行的系统内风险产生于基金运行系统内部,包含四项风险因素,一是人员因素,是由雇员引起的欺诈、越权行为、操作失误、违法用工、劳动力中断以及关键人员流失等行为,二是流程因素,是由基金运行业务流程的设计缺陷和执行不合理引起,三是系统因素,是由计算机系统和网络的普遍使用引起的风险因素,四非常事件因素,由法律和公共责任、犯罪、灾难和基础设施以及政治和政府风险等引起。系统内风险可以从基金运行的信息登记与保险税费征缴、受益核准与养老金支付、基金预算与投资四个环节来描述。
公共养老保险基金运行系统外风险由基金运行机构以外的因素引起,包括由信用主体的违约行为引起的信用风险、由基金投资活动引起的投资风险以及由公共养老保险制度变革引起的制度风险。信用风险是由违约行为的不确定性引起,即信用主体不履行偿债协议或约定的行为。投资风险是由投资活动产生的,表现为基金实际投资回报率低于预期的可能性。制度风险是由公共养老保险制度产生的,当制度安排在覆盖范围、资金筹集、受益条件和管理机构等等方面不符合经济社会现况时导致基金收入减少或支付增加的可能性。
三、公共养老保险基金控制系统
如前所述,应该建立公共养老保险基金控制系统,这个系统以公共养老保险基金运行机构作为载体,以实现基金财务平衡为目标,保障基金运行的信息流与资金流通畅,控制过程分别在基金运行的三个层次实现。
前台业务控制的主要内容包括四个部分:公共养老保险关系控制、公共养老保险税费征缴控制、公共养老保险待遇支付控制和公共养老保险基金投资控制。以参保资格为核心的公共养老保险关系控制活动主要包括:明确参保信息内容、审查或认证参保信息、参保主体对参保信息的确认过程、参保信息更正与注销过程以及参保业务的受理时间要求。保险税费征缴是信用风险治理的关键环节,包括:参保缴费金额的计算和审核、欠费情况统计与催缴过程、对保险缴费基数的稽核制度、定期与雇员核对缴费情况以及对违规行为应实施处罚措施。公共养老保险待遇支付控制,包括:养老金领取资格的认证、初核与复核过程、对于非现金支付的确认与备案过程、支付失败的信息反馈与处理措施、欺诈行为的处罚措施以及对待遇支付业务设定受理时间要求。公共养老保险基金投资控制的要点包括:投资范围的限定、对基金投资回报率进行合理评估、投资额度的分级授权、第三方资质和协议的认证以及计算风险存量并提取损失准备金。
作为公共养老保险基金运行的数据处理和决策层次,信息控制包括了目标确立、风险识别、财务控制和信息系统四个部分。目标确立过程包括:业务运行目标和收支预算目标、预算的调整制度、目标传达过程以及制定和调整目标的流程安排。风险识别过程首先要对影响基金财务平衡风险因素进行识别,其次要建立特殊的识别过程,包括紧急的风险识别机制、越级报告环节和社会投诉环节。财务控制的主要内容包括:独立的基金会计制度、资金收支的严格审批过程、账实核对过程;财务信息披露以及档案保管过程。信息系统控制以信息流数据的控制过程为核心,主要内容包括:建立业务处理的书面和软件系统、数据处理的兼容性、严格的用户识别和认证系统、数据备份机制、网络安全防护以及保险业务信息的归档。
公共养老保险基金的后台控制活动为前台和提供组织框架和系统维护,保障各层次业务的顺利进行,主要控制内容包括组织机构控制、人力资源控制、多渠道沟通控制和持续的监控过程。
参考文献
[1]郑秉文.《社保基金违规的制度分析与改革思路》.《中国人口科学》,2007(4).
[2]章萍,严运楼.《政府在养老保险基金监管中的定位》.《财经科学》,2008年6月.
[3]曹明睿.《社会保险基金监管法律制度比较研究》.《河北法学》,2009年10月.
[4]岳松,李真.《论我国社会保险基金会计目标选择》.《江淮论坛》,2008年3期.
公共安全风险识别篇(8)
1.生成阶段的风险
城建档案的形成贯穿于整个工程的建设中,一套完整的建筑工程竣工资料,包括准备阶段文件、监理文件、施工文件、竣工文件、竣工图以及声像、电子档案,整个工程的跨度时间长。因此,在形成这些档案的过程中,各种因素都会破坏城建档案,造成档案内容不真实、不完整、不准确。档案员的风险。一些工程项目建设过程中未配备档案员,亦或是兼任,缺乏基本的档案意识,这严重影响了城建档案的质量,不真实、不完整的文件混在档案中。《城市建设档案管理》规定建设单位应当在工程竣工验收后三个月内,向城建档案馆移交工程档案。档案应是在工程建设过程中陆续产生的,但由于档案员的失职,图纸丢失、施工文件未及时制作、材料后补现象普遍存在,这些文件缺乏真实性、准确性。生成环境的风险。在向城建档案馆移交之前,一部分施工单位把文件、图纸随意堆放在施工现场。工地鱼龙混杂,保管建筑物多数是板房,既会造成档案损坏、图纸遗失,又可能发生施工环节档案的失密。数字化外包的风险。为了降低建设成本、节约人力财力,整合多方面资源,各地城建档案馆会选择外包来完成数字化工作。数字化外包存在两个主要风险:一是数字化质量堪忧。外包企业质量参差不起,以利益最大化为目的,形成恶性竞争,易压缩成本、降低质量,造成不必要的损失。二是发生泄密。城建档案馆难以对外包企业进行管理和约束,外包企业人员、设备、管理的不完善,极有可能发生泄密。
2.保管阶段的风险
城建档案是不可再生资源,由于各地保管条件和档案载体的不同,寿命也不同。城建档案内容又涉及建筑、交通、地下管线、拆迁等,这些与个人、城市密切相关的信息,如果保管不力,将威胁公众权利,影响城市经济的发展。保管阶段城建档案所面临的风险有:库房的风险。城建档案库房是保存城市记忆的存储器,被动和主动因素都威胁着库房。一是自然灾害。地震、洪水等天灾给档案带来的是毁灭性的打击,2008年汶川地震中大部分档案馆遭受严重破坏就是一个真实的案例。二是库房建设和设备落后。作为公益性部门,部分城建档案馆的库房仍然狭小、破旧,缺乏必要的恒温恒湿设备,虫害、潮湿不利于档案的长期保管。载体的风险。城建档案载体形式包括纸质文字、图纸、照片、录像等,载体的风险重点反映在两个方面。一是档案内容的缺失。早期形成的少数城建档案由于纸张和笔的原因,已经发生字迹褪变,内容丢失。二是档案内容的不可用。城建档案馆拥有大量反映城市变迁的照片、录像,但载体寿命有限,随着信息技术的更新换代,一些存储载体已经淘汰或是存储设备故障,造成不可读,成为了“死档案”。如何使照片、声像档案经久不衰,给我们带来严峻考验。数据库的风险。信息化时代,网络变得开放,城建档案数据库遭受到多方面的攻击。一是内部的风险。数据库的维护中,人为的操作不规范,任意开放权限,会造成数据误删。苏州城建档案馆在管理系统自查中,发现一些工程卡被误删,直接影响了档案的查询利用工作。二是外部的风险。计算机系统漏洞、病毒传播、网络攻击等将破坏数据库的安全,易形成档案失密。
3.利用阶段的风险
城建档案是城市发展的记录,近年来各地城建档案馆围绕民众所关心的“住”、“行”的热点、难点问题,开展了全方位的服务,包括老新村改造、房屋安全鉴定、申请保障性住房等。但在利用服务中的风险也随之产生,主要体现在:保密与公开的风险。档案开放鉴定准确与否,直接关系到档案的安全,城建档案保密与公开范围的不明确,过度的开放或是一味保密,都不是理智的决定。一方面城建档案随意公开,会造成涉及城市安全的公共建筑、关乎个人隐私的拆迁和房产信息发生泄密,泄密信息随意的传播,严重危害社会稳定。另一方面公开不及时,造成信息滞后,未能服务公众,反而降低了城建档案价值,不利于城市的稳定发展。人为因素的风险。在档案利基层工作用过程中,档案人员与利用者是服务与被服务的关系。一方面大批人员的查阅、复印,过度使用图纸造成价值的损失。另一方面利用者和档案人员的档案意识不强。在查阅过程中,利用者保护意识不强,无意中会污损图纸。档案人员管理不严格,在利用者查阅过程中不对其监管或监管不力,会造成失密,给非法分子可乘之机。城建档案在各阶段风险因素的存在,直接导致决策失误、业务延误、秘密泄露、公众满意度下降、未尽公共信息服务职责。风险的进一步深化,将带来间接风险,导致社会记忆的丢失、公众知情权受损,甚至危害国家和地方经济发展和整体形象。
二、风险防范策略城建档案的专业性、原始性、单一性
以及广泛参与的社会性,决定了管理城建档案的特殊性,不仅要保证城建档案的完整、真实、准确、可用,还要确保城建档案的原始面貌与历史痕迹,更需要长期、不间断地安全保管,尽可能延长其寿命。这需要档案人员在工作中充分认识风险,采取有效方法规避风险,及时处理问题,建立牢固的安全体系,增强对风险的抵抗力。
1.推进法规标准和责任制度的完善
城建档案在形成、管理、利用中的保护工作,必须营造良好的法治环境,通过法律来规范。一是健全安全管理法规标准。结合档案和建筑相关法律法规,健全安全管理的标准,并严格档案开放的审批制度,强化法规的执行力。特别是对城建档案形成过程中各种问题,制度细化标准。二是严格执行国家档案馆建设标准规划,完善档案基础设施。严格执行《档案馆建设标准》《档案馆建筑设计规范》对库房的抗震、耐火、防雷、供电、消防、监控的规定。三是强化责任落实和监管。城建档案员都要树立安全管理意识,明确岗位安全职责,将责任层层落实到每个人,包括建设单位、施工单位、监理单位、城建档案馆的个人和集体,同时对违反安全制度的人和事进行严格查处。
2.建立城建档案风险评估机制
风险评估工作的目的在于通过风险的评估,找出管理环节中的薄弱部分,并以此提出规避和降低风险的必要措施。利用风险管理,按照“风险评估准备、资产识别、威胁与脆弱性识别、已有控制措施确认、风险计算及等级确定、提出风险处理计划、编写风险评估报告”的一整套流程对城建档案进行风险评估,测定每个风险的等级,并依据风险级别的差异,制定解决策略,周而复始,直至风险降至最低。对城建档案进行风险评估,以前段控制来预防风险,有助于城市安全的维护,比如针对公共建筑物(包括火车站、学校、商场、居民楼等)受恐怖袭击的可能性的不同,确定其档案的开放程度,区别对待各类型的城建档案。
3.健全城建档案信息安全的保障
城建档案信息安全的保障,涉及到思想、技术、人员,通过采用“预防-监控-捕获-治理-提高-再预防”这一良性循环、逐步提升的措施,完善信息安全的保障。其中信息技术是保障体系最为困难的,不仅涉及到“防”和“治”,而且已扩展到密码、访问控制、知识产权等,通过实行隔离、加密、容灾备份,保护城建档案信息的安全。一是在利用中,以电子档案来代替图纸、文件等原件,城建档案原件尽可能封存,减少物理损伤。二是根据《数字档案馆建设指南》要求,对城建档案数据进行在线、离线、异地、异质和分级存储,主要进行异地备份和异质备份,同时以技术迁移应对技术或标准发生的重大变化。
公共安全风险识别篇(9)
现代社会是一个到处充满风险的社会,尤其是正处于社会转型时期的中国,社会公共风险已经开始进入高发期,且各类风险交织在一起。如贫富分化加剧,生命安全和社会尊严安全受到威胁,社会治安状况恶化;SARS、艾滋病、性病以及禽流感等高强度传染病的暴发和流行,食品质量的降低等使人民的健康安全和心理安全受到威胁;生态恶化及灾害应对机制落后,危机预警和监控机制欠缺,行政执法监控出现漏洞,以及危机处理操作不当而导致的人为社会安全危机等。再如,近年来我国矿难事故频发,若在网上搜索“矿难”一词,可显示出近两万条相关网页。另据国家安监总局2005年11月28日的2005年1月1日~11月27日的全国安全生产简报:全国发生一次死亡30人以上的特别重大事故12起,死亡795人,其中煤矿企业发生8起,死亡640人,同比增加3起、352人[1].2004年岁末,中国的两个国有重点煤矿———河南大平煤矿和陕西陈家山煤矿相继发生特大安全事故,分别有148人和166人遇难;2005年2月14日,辽宁阜新矿业集团孙家湾煤矿发生瓦斯事故,死亡人数多达200余人;而11月27日,黑龙江七台河东风煤矿发生井下爆炸事故,169人死亡。2005年11月13日中石油吉林石化公司双苯厂发生爆炸,专家估算约有100吨苯类污染物进入松花江,直接导致哈尔滨市停水4天,给市民生活带来极大的不便。这些事件的发生共同预示着一个高风险社会的来临。如何有效地防范和处理社会公共风险,以维护社会、经济及政治的稳定,确保各方面的有序发展,成为我们面对的严峻的现实问题。
一、社会公共风险的理论界定
20世纪后半期,社会公共风险问题逐渐被国内外学者所关注,并形成了关于风险的理论和学说。德国的马尔里希。贝克首次提出“风险社会”这一概念。在其《风险社会:迈向一种新的现代性》一书中,贝克将生态危机视为社会危机,并在此基础上诊断工业文明所面临的困境。他认为,人类以前的活动所涉及的都是个别人的风险,而现在则是所有人类面临的全球性危险;以前所谓的风险带有勇敢和冒险的意味,而现在,风险则是指对地球上所有生命毁灭的威胁。基于此,贝克把现代社会称之为风险社会[2].英国的安东尼。吉登斯认为,风险社会就是日益生活在高科技前沿,无人能够完全明白,也难以把握各种可能的未来;他认为风险有“外在的风险”(externalrisk)和“人为的风险”(manufacturedrisk),其中外在风险是指意外地从外部打击个体的事件,这种事件的发生有一定规律可寻,而人为的风险则几乎没有任何防范经验可以借鉴,难以预测。德国社会学家卢曼认为,贝克主要关心的只是技术风险,是一系列灾难性后果,而现实社会生活中还有许多其他风险,如金融市场投机中的风险、人生筹划中的风险、不安全的性活动中的风险,乃至在花费了大量的时间和努力去申请有关风险研究的基金而得不到的风险等等[3].英国社会学家斯科特。拉什认为:在“风险文化时代,人们的主要任务就是防止和排除诸如生物技术、空间技术等飞速发展后所造成的包括生态风险、核风险在内的各种可以危及人类毁灭人类的巨大风险”[4].
在我国,一些学者自1980年代以来也开始了关于社会公共风险问题的研究。如1987年王巍出版的《国家风险———开放时代的不测风云》一书就对风险问题进行了全面系统的分析。宋林飞(1999)认为,“社会风险是社会所难以承受的损失或影响。我们对风险的理解有以下三个要点:(一)风险是关于不愿发生的不确定之客观体现;(二)风险是‘可测定的不确定性’;(三)风险并非只是在实现决策时带来的损失,而且也指偏离决策目标的可能性”,并于1989年提出“社会风险早期预警系统”[5].此外,其它一些学者也对社会风险问题从不同的方面进行了研究,如著名财政学家刘尚希博士主要从财政的角度对社会公共风险问题进行了深入的分析。
从国内外学者对社会公共风险的研究来看,主要是从不确定性和损失性两个视角来进行的。如经济学家奈特于1921年首次明确提出风险与不确定性之间的关系,认为概率型随机事件就是风险,非概率型随机事件就是不确定性。以后的大多数经济学家都是从不确定性视角去研究风险,而且不少学者混用风险和不确定性,甚至断定风险和不确定性是同一个概念。社会学界也有一些学者从不确定性的视角研究风险问题。如贝克把现代社会称之为风险社会,正是从不确定性角度认识风险的结果。贝克看到了现代文明越发展、科技越进步,不确定性就越明显的事实,所以才把现代社会定义为风险社会。研究风险的另一视角是损失性,即把风险看成是一种损失类型。从损失性视角研究风险的学者都用损失去定义风险。如美国学者海斯认为风险就是损失发生的可能性[6].在风险的不确定性和损失性这两种属性中,损失性是更为根本的属性,没有损失性,也就无所谓风险。风险中的不确定性是指损失的不确定性。因此,风险的本质实际是指损失的不确定性。
公共安全风险识别篇(10)
近年来,随着我国经济与科学技术的飞速发展,我国公共安全事件频发,如2008年年末发生在深圳龙岗舞王歌厅的重大火灾事故,一次性死亡40余人;2011年9月,上海地铁追尾,造成271人受伤;2012年8月,哈尔滨市三环路高架桥洪湖路上桥匝道处钢混叠合梁侧滑,4辆货车侧翻,造成3人死亡、5人受伤。这些事故无一不是血的教训,不仅造成了巨大的财产损失,而且造成了重大的人员伤亡,对国家、社会和家庭都造成了极大的打击。然而,这些事故往往由于事故责任不清,事故证据难以收集,导致受害者求救无门。针对这些情况,我国有必要完善公众责任保险,以避免这些因公共意外事故而导致的社会公众人身伤亡和财产损失。
一、公众责任保险概述
(一)公众责任保险的定义
公众责任保险,又称普通责任保险或综合责任保险,在作为附加险承保的时候称为第三者责任保险。理论界,通常将公众责任保险定义为:被保险人因其违反法定义务造成他人(公众)人身伤亡或财产损失而应当承担的以赔偿责任为标的的责任保险。①
公众责任保险可适用于旅游景区、办公楼、旅馆、住宅、商店、医院、学校、影剧院、展览馆等各种公众活动场所。形式主要有普通责任险、综合责任险、餐饮业综合保险、场所责任险、电梯责任险、景区责任险等。
(二)公众责任保险的特点
1.公众责任保险中的受害方范围广泛。公众责任保险的保险区域一般限于固定区域,处于此固定区域中的受害方可能是任何法人或个人,即其受害人并不局限于某一群体,其范围非常广泛。
2. 公众责任保险的保险区域固定。公众责任保险的保险区域一般只限于被保险人的固定场所,即保险人只对该固定场所发生的保险事故且依法应负的经济赔偿责任负责,对该固定场所范围外的活动造成的经济赔偿责任一般除外不保。
3. 公众责任保险承保独立。公众责任保险业务均采取完全独立的方式承保,即每一笔业务都有独立的保险合同作为法律依据。
4.公众责任保险的业务相对复杂。公众责任保险包括综合公众责任保险、场所责任保险、承包人责任保险、环境责任保险等内容,其内容较多,且各保险业务收费方式,利率浮动,评判标准不同,造成公众责任保险的业务相对复杂,需要保险人精心设计来满足市场需求。
(三)公众责任保险的作用
1.有利于转嫁责任风险。公众责任险与公共安全相关,而公共安全具有其特殊性。一旦发生公共安全事故,往往会造成巨大的人身财产损失,这些损失需要公共场所的商家来"埋单",而一旦损失过大,其责任人无法承担,那么该损失就需要政府或受害者自身承担,其结果会造成政府成为无辜的牺牲者,加重了政府的负担,同时受害者也不一定能得到合理的赔偿。公众责任保险就可以解决这一问题,一方面它可以转移公共场所商家的事故风险,使一旦发生事故,商家可以通过保险公司承担赔偿责任,另一方可以将政府从"不情愿的埋单者"这一角色中解救出来,使其可以更好地为大众服务。
2.有利于确保公众利益。公共安全事故发生后,公众作为受害者,理应得到合理的赔偿,但多数事故发生后,受害人却求救无门,无法得到补偿。究其原因:一是商家缺乏风险意识,并未众责任险;二是责任巨大,商家承担不起,商家之间,或商家与政府间互相推诿,谁也不承担责任,最后导致事故不了了之,受害人只能自担苦果。而公众责任保险作为一种保险,其主要义务就是按照合同约定承担赔偿或者给付保险金,因此,公众责任保险可以保证民事赔偿责任得以兑现,确保受害者的利益得到足够补偿。
3.有利于维护社会的稳定。公共安全事故往往会造成重大的人身伤亡和财产损失,一旦这些损失不能得到很好的补充,那么将对我国的社会经济秩序及社会生活的稳定造成巨大的打击。公众责任保险不是一种消极的损害赔偿风险转嫁机制,而是一种积极的损害赔偿防治社会化监督保障机制。因此,公众责任保险不仅能够在损失发生时进行赔偿,保障社会经济的顺利运行,保障社会生活的稳定,而且能够起到预防事故发生的作用,为社会安定团结发挥自己的作用。
4.有利于预防和控制隐患。保险公司在承保公众责任保险前会采取防灾防损工作及核保时采取采取区别对待、浮动费率等措施,投保人同样为了减轻保费而进行安全防护措施,这在客观上使公转安全中的隐患得以有效预防和控制。
综上,公众责任保险对我国的经济及社会稳定具有重要作用,完善我国公众责任保险不仅是必要的、而且是迫切的。
二、我国公众责任保险的发展现状。
频发的公共安全事故凸显了我国公众责任保险"缺位"。目前我国公众责任险发展缓慢,其应有的功能远未得到充分发挥,公众责任险投保率低与频发的事故所带来的灾难性后果形成了强烈的反差。
我国自20世纪80年代初开始试办公众责任保险,但由于宣传不到位,经济条件有限等种种原因,这一险种的发展却很不到位。迄今,我国责任保险在整个财产保险市场所占的比重不到4%,与国内生产总值之比仅为0.03%左右,分别仅为国际平均水平的1/3和1/10。而我国一些有影响的大型商场和娱乐场所,除极个别单位投保了公众责任保险外,90%以上的经营者并未重视公众责任保险。公众责任保险大众认知度不高,经营者、所有者风险意识不强,造成了公众责任保险投保率低;而公众责任保险保费低,赔偿额高,造成了保险公司不愿意承保,因此,多种原因造成了公众责任保险的发展缓慢。
21世纪初,我国公众场所火灾频发,给经济、社会及个人造成了严重的损失。2006年3月29日,公安部和中国保险监督管理委员会联合下发《关于积极推进火灾责任保险切实加强火灾防范和风险管理工作的通知》,开始有步骤地大力推进火灾公众责任保险。2006年6月15日,国务院下发《国务院关于保险业改革发展的若干意见》,也将火灾公众责任保险列为重点推广对象。于是,在一些城市,如上海、甘肃等地开始进行火灾公众责任保险的强制推行。②至2012年,我国在上海、甘肃开展火灾公众责任保险试点已有成效,甘肃新农合自然灾害公众责任险及附加无责事故救助责任险试点工作已经顺利开展。山东省、江西省、浙江省、重庆市等省市都积极推进火灾公众责任保险。以上事例说明我国正逐渐重视公众责任保险,公众责任保险,尤其是火灾公众责任保险有望在全国各地得到推广。
尽管我国公众责任保险目前发展缓慢,但随着法制的健全,政府的支持,保险公司的积极运作,投保人的逐渐重视,其将来必能得到较快的发展。
三、完善我国公众责任保险
(一)政府主导,保险公司协助
首先,建议各地政府联合各个部门,出台政策,推行公众责任保险。各地保险公司随之推出合适的保险类型,大力宣传推广。同时可以将公共场所的商家是否众责任保险列为检验商家经营状况的一项标准。
其次,当全面推广完成时,逐步向其他公共行业拓展,实现由强制承保向主动办理递进。通过建立政府主导、各部门配合、保险公司大力推进的联动模式,顺利形成一条公众责任安全保险的有益推广途径。
(二)立法强制推广
当前我国公众法律意识淡薄和保险风险意识并不健全,仅仅依靠市场力量来发展公众责任保险还远远不够,而公众责任保险直接关系到广大人民的人身财产安全,涉及社会的健康稳定发展,因此,就需要立法强制手段来推动公众责任保险的发展。
新修订实施的《广东省实施〈中华人民共和国消防法〉办法》规定:公众聚集场所应当投保火灾公众责任保险,承保的保险公司应在承保前对投保单位的消防安全状况进行检查,并在保险期间内及时向投保单位提出消除不安全因素和安全隐患的书面建议,健全火灾风险防范机制,保障公众安全。
《广东省实施〈中华人民共和国消防法〉办法》中火灾公众责任保险是强制投保,这样有利于扩大火灾公众责任保险的范围,加强公众对火灾公众责任保险认识,并正确保障公众安全和社会稳定。
我国完善公众责任保险也可参照《广东省实施〈中华人民共和国消防法〉办法》中的规定,通过立法,使公众责任保险强制投保。只有切实发展公众责任强制保险,才能有效保障投保人、被保险人、第三人的利益。
此外,在立法强制推广的同时,保险公司也应积极配合,不仅要提供令人满意的产品及服务,而且要在公平、自由的前提下尽量为投保人多考虑,不仅要认真履行自身义务,而且在出险后,尽快做到理赔,使公众安全责任险能得到大众的信赖和赞扬。
(三)深入宣传,强化保险风险意识
虽然由政府主导,保险公司协助,立法强制,但是深入宣传,引入公众责任保险概念还是十分重要的。
《北京公共安全意识调查研究》说明,目前,我国公众安全意识整体水平不够,对于对自身所处环境潜在的风险有所忽视,存在一定的侥幸心理。这说明我国公众公共安全意识有待于提高,对于风险的认识还有待于加深。尤其是农村居民的总体意识较差,这这也反映出当前开展的各类安全教育活动在农村、城镇地区宣传力度还很不够,安全教育针对性不强,不能适应全体公众的需要,导致部分公众认为安全教育没意思。③
政府及有关部门、新闻媒体及保险公司、保险行业协会针对以上情况要积极开展宣传攻势,广泛宣传普及公共安全知识、设立典型保险案例,积极宣传公众责任保险对补偿公众损失、合理分配事故风险、稳定社会的巨大意义,引导公共场所商家及业主主动参与公众责任保险工作,加强全社会对公众责任保险的认识程度,培养社会各界的责任意识、责任风险意识和责任保险意识,努力开创推广公众责任保险的良好进程。此外,尤其应注重对农村居民及基层负责人的风险意识的培养,努力让广大农村居民认识公众责任保险的重要性,并努力扩大公众责任保险在农村的保险范围。这样,农村和城镇都宣传到位,才能真正实现公众责任保险的价值。
在深入宣传的同时,还应注意针对广大群众,不能较多使用保险专业术语,应尽量贴合生活,使宣传浅显易懂,并且宣传时应注意收集反馈信息,及时解答大众的疑问,使公众责任险真正走入民间。
(四)联系实际,创新产品
我国公众责任保险实行"低保费,广覆盖,高赔偿"的方式推广,但是依然收效甚微。其主要原因虽然是商家的投保意识较差、消费者维权的意识不强以及我国公共场所安全保障的法律不够完善等,但也与保险公司不能推出合乎公众生活需求的保险产品有关。
因此,保险公司应加大力度研究,在政府主导,立法支持的背景下,努力创新,更多更好地为公众服务。
保险公司要发展公众责任保险,开发保险新产品,就必须以大众需求为本,针对不同行业、不同场所、不同地域、不同人群的需要,开发不同的产品,如火灾公众责任险,与场所公众责任险,虽然都是公众责任险,但其投保目的不同,因此保险合同也不同。创新产品就应注意以需求为导向,重点开发那些直接关系到人民群众生产生活安全的产品。此外,创新产品的同时也应注意形成产品链,通过市场推广,不断深入发展,得到大众的认同。在产品的推广过程中,同样应注意创新服务,不仅要在原来服务的基础上,不断升级,使保险相对人获得更好的享受,而且要拓展更多的服务方式,如网上快速理赔等等。
只有不断创新,不断进取,才能使公众责任保险不断发展,不断壮大,成长为成熟优质的险种,为公众,为社会服务。
(五)吸取试点经验,逐步推广全国
我国可以在初期选择一些城市作为试点,强制推广公众责任保险,推广期间不断关注这些城市的推广进度与推广过程中取得的成就及经验教训(可参照火灾公众责任保险的推广方法)。一段时间后,可以组织这些城市的相关工作人员进行讨论研究,吸取各城市的推广经验,避免期间"摸石头过河"出现的错误,最后总结提炼并提出优秀的推广方案。接着,可以再第二批试点城市中试验该推广方案,观察该方案的效果及成就,然后在总结该方案成功的地方,改善该方案效果不理想的地方,通过不断完善该方案,得到最理想的推广方方法。此后,可以进行全国各省市的大范围推广,并在此过程中注意因地制宜,根据各地的经济、文化、民俗等条件,创造性地,灵活地进行推广和。在此阶段,需要不停地注意各地推广中出现的问题,总结经验和教训,并不断完善工众责任保险的业务,力求满足消费者的各种需求,达到维护社会、经济稳定,保护受害人利益的目的。
综上,我国公共安全事故频发,公众责任保险发展缓慢,欲完善公众责任保险,保护公共安全,还需要从多方面入手,逐步,逐级开展工作。在这个过程中,政府、保险人、投保人、被保险人需要互相配合,共同努力,才能最终实现维护社会、经济稳定,保障保险相对人利益的美好目标。
注释:
公共安全风险识别篇(11)
论文关键词:软件企业;信息安全;风险管理
随着国家大力推动软件外包行业和IT行业的发展,软件企业发展呈现良好态势,在自身业务发展壮大的同时,软件企业信息安全重要性日益凸显。互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2007年5月~2008年5月间,有62.7%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为85.5%,遭到端口扫描或网络攻击的占31.4%,垃圾邮件占25.4%。
信息是软件企业的重要资源,是非常重要的“无形财富”,分析当前的信息安全问题,有如下典型的信息安全问题急需解决。
(1)网络共享与恶意代码防控。
网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。如果对恶意信息交换不加限制,将导致网络的QoS下降,甚至系统瘫痪不可用。
(2)信息化建设超速与安全规范不协调。
网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。
(3)信息产品国外引进与安全自主控制。
国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。目前,国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中。但是这些软件或多或少存在一些安全漏洞,使得恶意攻击者有机可乘。目前,我们国家的大型网络信息系统许多关键信息产品长期依赖于国外,一旦出现特殊情况,后果就不堪设想。
(4)IT产品单一性和大规模攻击问题。
信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生,例如网络蠕虫、计算机病毒、”零日”攻击等安全事件。
(5)IT产品类型繁多和安全管理滞后矛盾。
目前,信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。但是,不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之问安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,也给信息系统管理留下安全隐患。
(6)IT系统复杂性和漏洞管理。
多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将可能成为攻击切入点,攻击者可以利用这些漏洞入侵系统,窃取信息。为了解决来自漏洞的攻击,一般通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。特别是大型的信息系统,漏洞修补是一件极为困难的事。因为漏洞既要做到修补,又要能够保证在线系统正常运行。
(7)攻击突发性和防范响应滞后。
网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。以漏洞的传播及利用为例,攻击者往往先发现系统中存在的漏洞,然后开发出漏洞攻击工具,最后才是防守者提出漏洞安全对策。
(8)口令安全设置和口令易记性难题。
在一个网络系统中.每个网络服务或系统都要求不同的认证方式,用户需要记忆多个口令,据估算,用户平均至少需要四个口令,特别是系统管理员,需要记住的口令就更多,例如开机口令、系统进入口令、数据库口令、邮件口令、telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则,口令设置既要求复杂,而且口令长度要足够长,但是口令复杂则记不住,因此,用户选择口令只好用简单的、重复使用的口令,以便于保管,这样一来攻击者只要猜测到某个用户的口令,就极有可能引发系列口令泄露事件。
(9)远程移动办公和内网安全。
随着网络普及,移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络,安全程度难以得到保证,如果内部网络直接允许远程访问,则必然带来许多安全问题,而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网,又要保证内部网络的安全”就成了一个许多单位都面临的问题。
(10)内外网络隔离安全和数据交换方便性。
由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。同时,内部网的用户因为安全意识薄弱,可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全,有的安全专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,许多企业或机构都需要从外网采集数据,同时内网的数据也需要到外网上。因此,要想完全隔离开内外网并不太现实,网络安全必须既要解决内外网数据交换需求,又要能防止安全事件出现。
(11)业务快速发展与安全建设滞后。
在信息化建设过程中,由于业务急需要开通,做法常常是“业务优先,安全滞后”,使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是亡羊补牢,出了安全事件后才去做。这种情况,在企业中表现得更为突出,市场环境的动态变化,使得业务需要不断地更新,业务变化超过了现有安全保障能力。
(12)网络资源健康应用与管理手段提升。
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在一些企业单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。但是,传统管理手段难以适应虚拟世界,网络资源管理手段必须改进,要求能做到“可信、可靠、可视、可控”。
(13)信息系统用户安全意识差和安全整体提高困难。
目前,普遍存在“重产品、轻服务,重技术、轻管理,重业务、轻安全”的思想,“安全就是安装防火墙,安全就是安装杀毒软件”,人员整体信息安全意识不平衡,导致一些安全制度或安全流程流于形式。典型的事例如下:用户选取弱口令,使得攻击者可以从远程直接控制主机;用户开放过多网络服务,例如:网络边界没有过滤掉恶意数据包或切断网络连接,允许外部网络的主机直接“ping”内部网主机,允许建立空连接;用户随意安装有漏洞的软件包;用户直接利用厂家缺省配置;用户泄漏网络安全敏感信息,如DNS服务配置信息。
(14)安全岗位设置和安全管理策略实施难题。
根据安全原则,一个系统应该设置多个人员来共同负责管理,但是受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,一旦管理员的权限被人控制,极易导致安全失控。
(15)信息安全成本投入和经济效益回报可见性。
由于网络攻击手段不断变化,原有的防范机制需要随着网络系统环境和攻击适时而变,因而需要不断地进行信息安全建设资金投入。但是,一些信息安全事件又不同于物理安全事件,信息安全事件所产生的经济效益往往是间接的,不容易让人清楚明白,从而造成企业领导人的误判,进而造成信息安全建设资金投入困难。这样一来,信息安全建设投入往往是“事后”进行,即当安全事件产生影响后,企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划,基本上是“头痛医头,脚痛医脚”,信息网络工作人员整天疲于奔命,成了“救火队员”。
为了解决信息安全问题,保护企业信息的安全,建立实施信息安全管理体系是非常有效的途径。无论是自身发展需求还是国际国内客户的要求,越来越多的软件企业希望或已经建立实施信息安全管理体系。如何提高组织的信息安全,通过建设信息安全管理体系中降低组织存在的信息安全风险的方法,来提高组织信息的安全性。由此可见信息安全风险管理,是我们建立信息安全管理体系的一个重要环节,也是信息安全管理体系建立的基础。下面我们着重探讨在软件企业中的信息安全风险管理。
1.信息安全风险管理概述
我们将标识、控制和消除可能影响信息系统资源的不确定事件或使这些事件降至最少的全部过程称之为风险管理,风险管理被认为是良好管理的一个组成部分,
2.确定范围
在建立信息安全管理体系之初,根据业务、组织、位置、资产和技术等方面的特性,我们确定了组织ISMS的范围,那么风险管理的范围应该和我们确定的ISMS的范围相一致。在软件企业中,我们要将企业的业务流程、组织架构、覆盖地址、信息系统、相关资产等都纳入到风险管理的范围当中
3.风险分析
风险分析是标识安全风险,确定其大小和标识需要保护措施地区域的过程,其目的是分离可接受的小风险和不能接受的大风险,为风险评价和风险处置提供数据。风险分析主要有定性分析方法和定量分析方法两种。定性分析方法是最广泛使用的风险分析方法,主要采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性,相对于威胁发生的可能性,该方法通常更关注威胁事件带来的损失。定性分析方法在后果和可能性分析中采用数值(不是定性分析中所使用的叙述性数值范围),并采用从不同来源中得到的数据进行分析,其主要步骤集中在现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考数据。在软件企业进行风险分析时,因为定量分析方法中的数值、数据不易获取,我们通常采用定性分析方法。风险分析又包括以下4个方面,针对定性分析方法,具体过程如下:
(1)识别评估资产。
在ISMS中所识别评估的资产有别于常见的固定资产,这里的资产主要指信息、信息处理设施和信息使用者。在识别资产时,我们需要选择适合的分类原则和识别粒度。在软件企业中,通常把资产划分为硬件、软件等方面,还需要对这些方面进行细分,也就是进行二级分类。
在评估资产时,我们要从信息的三个属性即保密性、完整性和可用性来评估资产的重要度等级。资产的重要度等级是我们进行风险评价的依据之一。资产重要度等级可以按如下定义和赋值:
①资产属于“高”等级重要度,赋值为“3”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成严重或无法挽回的经济损失;
②资产属于“中”等级重要度,赋值为“2”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成一定的经济损失;
③资产属于“低”等级重要度,赋值为“1”,该类信息资产若发生泄露、损坏、丢失或无法使用,会给公司造成轻微的经济损失。
(2)识别评估威胁。
我们应该清楚威胁一定是与资产相对应的,某一资产可能面临多个威胁。在识别威胁时,我们主要从威胁源来识别出相对应的资产所面临的威胁。识别出威胁后,综合考虑威胁源的动机、能力和行为,对威胁进行评估。例如软件企业中计算机面临病毒、木马攻击的威胁,这种威胁动机、能力较强。
(3)识别评估脆弱性。
脆弱性可以理解为资产可以被某种威胁所利用的属性,一种威胁可能利用一种或多种脆弱性而产生风险。我们从管理和技术两个方面来识别脆弱性,通常采用文档审核、人员访谈、现场检查等方法。针对“识别评估威胁”中所举例的威胁,软件企业计算机可能存在未安装杀毒软件、防火墙或使用人员未及时升级病毒库等脆弱性。
(4)识别评估控制措施。
在我们识别出威胁和脆弱性之后,我们要针对威胁利用脆弱性产生的风险,来识别组织自身是否已经采取控制措施,并采取叙述性数值的方式来描述已采取控制措施的有效性,评估的标准由组织进行制定,例如控制措施有效性可以定义进行如下定义和赋值:
①控制措施影响程度为“好”,赋值为“1”,该类控制措施已经对信息资产威胁和脆弱性起到良好的控制效果,能够满足公司的信息安全管理要求;
②控制措施影响程度为“中”,赋值为“2”,该类控制措施已经对信息资产威胁和脆弱性起到一定的控制效果,需要增加辅助的控制措施满足公司信息安全管理要求;
③控制措施影响程度为“低”,赋值为“3”,该类控制措施已经对信息资产威胁和脆弱性未起到控制效果,需要重新制定新的控制措施满足公司信息安全管理要求。
控制措施的有效性是我们风险评价的依据之一。
4.风险评价
风险评价是将风险与给定的风险准则加以比较以确定风险严重性的过程,其结果是具有不同等级的风险列表,目的是判断特定的风险是否可接受或者是否需采取其他措施处置。风险评价主要包括以下几个过程:
(1)分析评估可能性和影响。
“可能性”指威胁利用脆弱性的可能性,“影响”指威胁利用脆弱性后,对组织资产造成的影响。在分析可能性时,我们主要考虑威胁源的动机、能力和脆弱性的性质。在评估可能性时,依据组织制定的评估准则,对可能性进行描述,例如将可能性进行如下定义和赋值:
①可能性级别“高”,赋值为“1”,威胁源具有强烈动机和足够的能力,防止脆弱性被利用的防护措施是无效的;
②可能性级别“中”,赋值为“0.5”,威胁源具有一定的动机和能力,但是已经部署的安全防护措施可以阻止对脆弱性的成功利用;
③可能性级别“低”,赋值为“0”,威胁源缺少动机和能力,或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
在分析影响时,我们主要考虑威胁源的能力、脆弱性的性质以及威胁利用脆弱性对组织资产保密性、可用性、完整性造成的损失。在评估影响时,同样依据组织制定的评估准则,对影响进行描述,例如将影响进行如下定义和赋值:
①影响级别“高”,赋值为“l00”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的高成本损失;b.可能严重违犯、危害或阻碍单位的使命、声誉或利益;c.可能导致人员死亡或者严重伤害;
②影响级别“中”,赋值为“50”,该级别影响对脆弱性的利用:a.可能导致有形资产或资源的损失.b.可能违犯、危害或阻碍单位使命、声誉或利益-c.可能导致人员伤害。
③影响级别“低”,赋值为“10”,该级别影响对脆弱性的利用:a.可能导致某些有形资产或资源的损失;b.可能导致单位的使命、声誉或利益造成值得注意的影响。
参考“风险分析”中的例子,病毒、木马攻击的动机、能力很强,员工很容易忽略对杀毒软件病毒库的升级,病毒、木马攻击很可能导致公司重要数据的丢失或损坏,那么这种威胁利用脆弱性的可能性就比较高,影响也比较高,均属于“高”等级。
可能性和影响都是我们进行风险评价的依据。
(2)评价风险。
在评价风险时,我们需要考虑资产的重要度等级、已采取控制措施的有效性、可能性和影响,通常可以采取叙述性赋值后依据组织制定的评价方法进行计算的方式,计算出风险值,并根据组织制定的准则,将风险进行分级,例如将风险进行如下分级:
①“高”等级风险:如果被评估为高风险,那么便强烈要求有纠正措施。一个现有系统可能要继续运行,但是必须尽快部署针对性计划;
②“中”等级风险:如果被评估为中风险,那么便要求有纠正行动,必须在一个合理的时间段内制定有关计划来实施这些行动;
③“低”等级风险:如果被评估为低风险,那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。
5.风险处置。
风险处置是选择并执行措施来更改风险的过程,其目的是将评价出的不可接受风险降低,包括以下几个过程:
①行动优先级排序。
行动优先级排序主要依据风险级别进行,对于不可接受的高等级风险应最优先。
②评估建议的安全选项
评估建议的安全选项主要考虑安全选项的可行性和有效性。
③实施成本效益分析。
对建议的安全选项进行成本效益分析,帮助组织的管理人员找出成本有效性最好的安全控制措施。
④选择控制措施。
在成本效益分析的基础上,组织的管理人员应确定成本有效性最好的控制措施,来降低组织的风险。
⑤责任分配。
根据确定的控制措施,选择拥有合适的专长和技能,能实现相应控制措施的人员,并赋以相关责任。
⑥制定控制措施的实施计划。
明确控制措施的具体行动时间表。
⑦实现所选择的安全防护措施。
