|
北京蓝盾世安信息咨询有限公司 张莹 总经理
一、安全风险评估机制的引入
随着经济的高速发展和国际交往的增加,尤其是我国加入世界贸易组织(WTO)和以缔约国身份加入各国际组织后,国内的许多行业都在面临着与国际接轨,履行缔约国责任和义务的重要课题,安全防范已经不再只是本单位或本部门范围的事情,而是关系到不仅要按照国际通行的安保标准提供安全防范,而且要在作业程序上符合国际相关规则和标准的要求。
对防护对象施行安全风险评估的要求,最先出现在与国际组织和国际社会接触密切的行业,如民用航空的航空公司与机场、海运领域的船舶与港口设施。2002年12月,第22届国际海事(IMO)外交大会通过了《1974年国际海上人命安全公约》(SOLAS公约)海上保安修正案和《国际船舶和港口保安规则》(ISPS规则)。ISPS规则要求各缔约国政府对港口设施进行安全风险评估,分析、预测各种潜在的保安威胁事件发生的可能性及后果,综合确定该威胁事件的风险等级,以此来判定是否需要采取新的保安措施,并对其降低风险的效果进行评估。在此基础上建立《港口设施保安规划》,由规划确定港口的实体保安措施,运行这些措施,并且对保安事件做出迅速的反应。
受世界范围内的反恐局势的影响,各种矛盾和各种形式的犯罪行为表现得更为突出和多样化,这对安全防范提出了更新和更高的要求。对于一般的组织而言,即面对着社会及商业环境所产生的威胁和风险,因而存在安全防范的需求;另一方面,单单依靠与安防相关的法律法规已经不足以满足这些需求。引入风险评估机制,从根本上克服了投资的规模难以预料,安全防范系统的效果与投入不成比例,甚至无法达到预期等困难。借鉴其他领域的风险评估机制,根据安全防范领域的现实情况,引入的风险评估环节有其自身的特点和流程。
二、安全风险评估
1.风险构成
被防护对象(目标)资产所面临的风险取决于资产遭受损失可能性及资产损失后果(程度和影响),它与资产特征、针对资产的威胁及被防护对象存在的弱点三个因素有关。风险构成关系如下图所示。
由上图所示,资产、威胁与弱点是构成风险要素的因子,它们三者之间的关系如下图所示:
注意:
□ 用户单位(组织)赋予风险分析 / 评估的,包括组织、法律、物理、产品、过程及社会责任在内的边界条件;
□ 资产是指在上述边界条件范围内的人员、财产(有形及无形)、过程等可保护资财;
□ 被防护对象(目标)是由国家法律法规、行业标准或用户单位指定的,要求或希望加以保护的具体资产;
□ 资产、被保护对象自身存在的弱点,以及针对被保护对象的威胁,构成了安全防范设计评估师所需要分析和评估的风险。
2.风险评估过程
(1)用户需求识别
|
