等級保護和風險評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的等級保護和風險評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：等級保護和風險評估范文

關鍵詞:電子政務 信息安全

0 引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1 電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1 基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2 數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3 網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4 數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2 電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題， 通常是將基于公鑰證書（PKC）的PKI（Public Key Infrastructure）與基于屬性證書（AC）的PMI（Privilege Management Infrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限， 許多用戶也可能有相同的權限集， 這些權限都必須寫入屬性證書的屬性中， 這樣就增加了屬性證書的復雜性和存儲空間， 從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP 目錄服務器等實體組成，在該模型中：

2.1 終端用戶：向驗證服務器發送請求和證書， 并與服務器雙向驗證。

2.2 驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3 應用服務器： 與資源數據庫連接， 根據驗證通過的用戶請求，對資源數據庫的數據進行處理， 并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4 LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器， 一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP 目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3 電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1 信息系統的安全定級 信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2 采用全面的風險評估辦法 風險評估具有不同的方法。在ISO/IEC TR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NIST SP800-30、AS/NZS 4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4 結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

第2篇：等級保護和風險評估范文

【 關鍵詞 】 內蒙古電力公司信息系統；信息安全；風險評估；探索與思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，電力行業信息安全的研究只停留于網絡安全防御框架與防御技術的應用層面，缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構架與策略，文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術構建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術的改進與應用。少數文獻對電力信息安全評估模型進行了討論，但對于安全風險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風險分析需要考慮的內容；文獻[8]討論了一種基于模糊數學的電力信息安全評估模型，這種模型本質上依賴于專家的經驗，帶有主觀性；文獻[9]只提出了一種電力信息系統安全設計的建模語言和定量化評估方法，但是并未對安全風險的評估模型進行具體分析。

本文介紹了內蒙古電力信息系統風險評估的相關工作，并探討了內蒙古電力信息系統風險評估工作在推動行業信息安全保護方面帶給我們的啟示。

2 內蒙古電力信息安全風險評估工作

隨著電網規模的日益擴大，內蒙古電力信息系統日益復雜，電網運行對信息系統的依賴性不斷增加，對電力系統信息安全的要求也越來越高。因此，在電力行業開展信息安全風險評估工作，研究電力信息安全問題，顯得尤為必要。

根據國家關于信息安全的相關標準與政策，并根據實際業務情況，內蒙古電力公司委托北京數字認證股份有限公司（BJCA）對信息系統進行了有效的信息安全風險評估工作。評估的內容主要包括系統面臨的安全威脅與系統脆弱性兩個方面，以解決電力信息系統面臨的的安全風險。

3 電力系統信息安全風險評估的解決方案

通過對內蒙古電力信息系統的風險評估工作，我們可以總結出電力信息系統風險評估的解決方案。

4 電力信息系統風險評估的流程

電力信息系統風險評估的一般流程。

（1） 前期準備階段。本階段為風險評估實施之前的必需準備工作，包括對風險評估進行規劃、確定評估團隊組成、明確風險評估范圍、準備調查資料等。

（2） 現場調查階段：實施人員對評估信息系統進行詳細調查，收集數據信息，包括信息系統資產組成、系統資產脆弱點、組織管理脆弱點、威脅因素等。

（3） 風險分析階段：根據現場調查階段獲得的相關數據，選擇適當的分析方法對目標信息系統的風險狀況進行綜合分析。

（4） 策略制定階段：根據風險分析結果，結合目標信息系統的安全需求制定相應的安全策略，包括安全管理策略、安全運行策略和安全體系規劃。

5 數據采集

在風險評估實踐中經常使用的數據采集方式主要有三類。

（1） 調查表格。根據一定的采集目的而專門設計的表格，根據調查內容、調查對象、調查方式、工作計劃的安排而設計。常用的調查表有資產調查表、安全威脅調查表、安全需求調查表、安全策略調查表等。

（2） 技術分析工具。常用的是一些系統脆弱性分析工具。通過技術分析工具可以直接了解信息系統目前存在的安全隱患的脆弱性，并確認已有安全技術措施是否發揮作用。

（3） 信息系統資料。風險評估還需要通過查閱、分析、整理信息系統相關資料來收集相關資料。如：系統規劃資料、建設資料、運行記錄、事故處理記錄、升級記錄、管理制度等。

a） 分析方法

風險評估的關鍵在于根據所收集的資料，采取一定的分析方法，得出信息系統安全風險的結論，因此，分析方法的正確選擇是風險評估的核心。

結合內蒙電力信息系統風險評估工作的實踐，我們認為電力行業信息安全風險分析的方法可以分為三類。

定量分析方法是指運用數量指標來對風險進行評估，在風險評估與成本效益分析期間收集的各個組成部分計算客觀風險值，典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。

定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊案例等非量化資料對系統風險狀況做出判斷的過程。在實踐中，可以通過調查表和合作討論會的形式進行風險分析，分析活動會涉及來自信息系統運行和使用相關的各個部門的人員。

綜合分析方法中的安全風險管理的定性方法和定量方法都具有各自的優點與缺點。在某些情況下會要求采用定量方法，而在其他情況下定性的評估方法更能滿足組織需求。

表1概括介紹了定量和定性方法的優點與缺點。

b） 質量保證

鑒于風險評估項目具有一定的復雜性和主觀性，只有進行完善的質量控制和嚴格的流程管理，才能保證風險評估項目的最終質量。風險評估項目的質量保障主要體現在實施流程的透明性以及對整體項目的可控性，質量保障活動需要在評估項目實施中提供足夠的可見性，確保項目實施按照規定的標準流程進行。在內蒙古電力風險評估的實踐中，設立質量監督員（或聘請獨立的項目監理擔任）是一個有效的方法。質量監督員依照相應各階段的實施標準，通過記錄審核、流程監理、組織評審、異常報告等方式對項目的進度、質量進行控制。

6 內蒙古電力信息安全風險評估的啟示

為了更好地開展風險評估工作，可以采取以下安全措施及管理辦法。

6.1 建立定期風險評估制度

信息安全風險管理是發達國家信息安全保障工作的通行做法。按照風險管理制度，適時開展風險評估工作，或建立風險評估的長效機制，將風險評估工作與信息系統的生命周期和安全建設聯系起來，讓風險評估成為信息安全保障工作運行機制的基石。

6.2 編制電力信息系統風險評估實施細則

由于所有的信息安全風險評估標準給出的都是指導性文件，并沒有給出具體實施過程、風險要素識別方法、風險分析方法、風險計算方法、風險定級方法等，因此建議在國標《信息安全風險評估指南》的框架下，編制適合電力公司業務特色的實施細則，根據選用的或自定義的風險計算方法，，制各種模板，以在電力信息系統實現評估過程和方法的統一。

6.3 加強風險評估基礎設施建設，統一選配風險評估工具

風險評估工具是保障風險評估結果可信度的重要因素。應根據選用的評估標準和評估方法，選擇配套的專業風險評估工具，向分支機構配發或推薦。如漏洞掃描、滲透測試等評估輔助工具，及向評估人員提供幫助的資產分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統。

6.4 統一組織實施核心業務系統的評估

由于評估過程本身的風險性，對于重要的實時性強、社會影響大的核心業務系統的評估，由電力公司統一制定評估方案、組織實施、指導加固整改工作。

6.5 以自評估為主，自評估和檢查評估相結合

自評估和檢查評估各有優缺點，要發揮各自優勢，配合實施，使評估的過程、方法和風險控制措施更科學合理。自評估時，通過對實施過程、風險要素識別、風險分析、風險計算方法、評估結果、風險控制措施等重要環節的科學性、合理性進行分析，得出風險判斷。

6.6 風險評估與信息系統等級保護應結合起來

信息系統等級保護若與風險評估結合起來，則可相互促進，相互依托。等級保護的級別是依據系統的重要程度和安全三性來定義，而風險評估中的風險等級則是綜合考慮了信息的重要性、安全三性、現有安全控制措施的有效性及運行現狀后的綜合結果。通過風險評估為信息系統確定安全等級提供依據。確定安全等級后，根據風險評估的結果作為實施等級保護、安全等級建設的出發點和參考，檢驗網絡與信息系統的防護水平是否符合等級保護的要求。

參考文獻

[1] 魏曉菁， 柳英楠， 來風剛. 國家電力信息網信息安全防護體系框架與策略. 計算機安全，2004，6.

[2] 魏曉菁，柳英楠，來風剛. 國家電力信息網信息安全防護體系框架與策略研究. 電力信息化，2004，2（1）.

[3] 沈亮. 構建電力信息網安全防護框架. 電力信息化，2004，2（7）.

[4] 梁運華，李明，談順濤. 電力企業信息網網絡安全層次式防護體系探究. 電力信息化，2003，2（1）.

[5] 周亮，劉開培，李俊娥. 一種安全的電力系統計算機網絡構建方案. 電網技術，2004，28（23）.

[6] 陳其，陳鐵，姚林等. 電力系統信息安全風險評估策略研究. 計算機安全，2007，6.

[7] 阮文峰. 電力企業網絡系統的安全風險分析和評估. 計算機安全，2003（4）.

[8] 叢林，李志民，潘明惠等. 基于模糊綜合評判法的電力系統信息安全評估. 電力系統自動化，2004，28（12）.

[9] 胡炎，謝小榮，辛耀中. 電力信息系統建模和定量安全評估. 電力系統自動化，2005，29（10）.

作者簡介：

第3篇：等級保護和風險評估范文

[關鍵詞] 基礎地理；信息系統；安全；風險評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194（2015）21- 0155- 03

1 引 言

風險是以一定的發生概率的潛在危機形式存在的可能性，而不是已經存在的客觀結果或既定事實。風險管理是通過對風險的識別、衡量和控制，以最小的成本將風險導致的各種損失結果減少到最小的管理方法。隨著信息化向縱深發展，基礎地理信息系統被廣泛應用，但信息安全方面的威脅也大大增加，具體到市縣級基礎地理信息系統中存在各類風險，這些風險有著自身的特點，對系統的影響也隨著不同階段而不同。其中信息安全風險是指系統本身的脆弱性在來自環境的威脅下而產生的風險，這些風險會對信息系統核心資產的安全性、完整性和可用性造成破壞。對測繪行業信息安全風險的評估是進行有效風險管理的基礎，是對風險計劃和風險控制過程的有力支撐，而如何識別和度量風險成為一個難題，目前測繪地理信息行業沒有一個行業性安全評估類或者安全管理類規范標準，通用安全評估規范在很多方面對于測繪地理信息系統復雜性和行業特點缺乏適用性，往往較難落地，為此提出市縣級國土資源基礎地理信息系統安全風險評估規范研究。

2 國內外信息安全風險評估的研究現狀

信息安全風險評估經歷了很長一段的發展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到技術與管理相結合的科學方法。由于信息安全問題的突出重要性，以及發生安全問題的后果嚴重性，目前評估工作已經得到重視和開展。國內外很多學者都在積極投身于信息安全的研究，期望找到保護信息安全的盔甲。美國在信息安全風險管理領域的研究與應用獨占鰲頭，政府控管體制健全，己經形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。DOD作為風險評估的領路者，1970年就已對當時的大型機、遠程終端作了第一次比較大規模的風險評估； 1999年，美國總審計局在總結實踐的基礎上，出版了相關文檔，指導美國組織進行風險評估；2001年美國國家標準和技術協會（NIST）推出SP800系列的特別報告中也涉及到風險評估的內容；歐洲各國對信息安全風險一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關鍵系統的風險分析平臺項目CORAS，被譽為歐洲經典。我國信息安全評估起步較晚，2003年7月，國信辦信息安全風險評估課題組啟動了信息安全風險評估相關標準的編制工作；8月，信息安全評估課題組對我國信息安全工作的現狀進行了調研，完成了相關的評估報告，總結了風險評估是信息安全的基礎性工作；2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿；2005年2月至9月，開始了國家基礎信息網絡和重要信息系統的信息安全風險評估試點工作；2007年7月我國頒布了《信息安全技術信息安全風險評估規范》（GB/T 20984一2007）并于2007年11月1日實施；2008年4月22日，在國家信息中心召開了《信息系統風險評估實施指南》預制標準第二次研討會，此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論，《信息系統風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規范》和《信息安全風險管理規范》之后又一技術性研究課題，將充實信息安全風險評估和風險管理具體實施工作。

3 市縣級基礎地理信息系統安全風險評估規范研究方法和手段

3.1 市縣級基礎地理信息系統安全風險評估規范研究方法

市縣級基礎地理信息系統安全風險評估規范研究通過綜合分析評估后的資產信息、威脅信息、脆弱性信息，最終生成風險信息。資產的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析，從資產的相對價值中體現了威脅的嚴重程度；威脅評估是對資產所受威脅發生可能性的評估；脆弱性的評估是對資產脆弱程度的評估；具體如下：

（1）資產評估。資產評估的主要工作就是對市、縣、鄉三級基礎地理信息系統風險評估范圍內的資產進行識別，確定所有的評估對象，然后根據評估的資產在業務和應用流程中的作用對資產進行分析，識別出其關鍵資產并進行重要程度賦值。根據資產評估報告的結果，可以清晰的分析出市、縣、鄉三級基礎地理信息系統中各主要業務的重要性，以及各業務中各種類別的物理資產、軟件資產和數據資產的重要程度，從而得出信息系統的安全等級。同時，可以明確各業務系統的關鍵資產，確定安全評估和保護的重點對象。

在此基礎上，建立針對市、縣、鄉三級基礎地理信息系統中的資產配置庫，對資產的名稱、類型、屬性以及相互關系、安全級別、責任主體等信息進行描述。

（2）威脅評估。威脅是指可能對資產或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式，威脅主體是指可能會對信息資產造成威脅的主體對象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會采用威脅方法利用資產存在的脆弱性對資產進行破壞。

在此基礎上，充分調研，分析現有記錄、安全事件、日志及各類告警信息，整理本行業信息系統在物理、網絡、主機、應用和數據及管理方面面臨的安全威脅，形成風險點列表。

（3）脆弱性評估。脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業務系統。

通過研究，將建立本行業的涉及主要終端、服務器、網絡設備、安全設備、數據庫及應用等主要系統的基線庫，從而為脆弱性檢測在“安全配置”方面提供指標支撐。

（4）綜合風險評估及計算方法。風險是指特定的威脅利用資產的一種或一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合。在風險評估模型中，主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發生的可能性，風險的屬性是風險發生的后果。

綜合風險計算方法：根據風險計算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：風險值=資產價值×威脅可能性×弱點嚴重性，下表是綜合風險分析的舉例：

注：R表示風險；A表示資產；V表示脆弱性；T表示威脅；Ia表示資產發生安全事件后對組織業務的影響（也稱為資產的重要程度）；Va表示某一資產本身的脆弱性，L表示威脅利用資產的脆弱性造成安全事件發生的可能性。

風險的級別劃分為5級（見表1），等級越高，風險越高。

各信息系統風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數進行加權計算，具體的加權計算方法如下。

風險級別權重分配：

極高風險 30%

高風險 25%

中風險 20%

低風險 15%

很低風險 10%

各級別風險個數對應關系（即各級別風險相對于很低風險的個數換算）：

極高風險 16

高風險 8

中風險 4

低風險 2

很低風險 1

風險計算公式R’=K（av，p，n）=av×p×n，其中，av代表各級別風險求平均后總和，p代表相應的風險級別權重，n代表相應的風險個數權重。

總體風險值=R’（極高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市縣級基礎地理信息系統安全風險評估規范研究的手段

（1）專家分析。對于已有的安全管理制度和策略，由經驗豐富的安全專家進行管理方面的風險分析，結合江蘇省基礎地理信息系統安全建設現狀，指出當前安全規劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測。采用成熟的掃描或檢測工具，對于網絡中的服務器、數據庫系統、網絡設備等進行掃描評估；為了充分了解各業務系統當前的網絡安全現狀及其安全威脅，因此需要利用基于各種評估側面的評估工具對評估對象進行掃描評估，對象包括各類主機系統、網絡設備等，掃描評估的結果將作為整個評估內容的一個重要參考依據。

（3）基線評估。采用基線風險評估，根據本行業的實際情況，對信息系統進行安全基線檢查，拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線，是在諸多標準規范中規定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。

（4）人工評估。工具掃描因為其固定的模板，適用的范圍，特定的運行環境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評估與工具掃描相結合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結果。人工檢測評估主要是依靠具有豐富經驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談，業務流程了解等方式，對評估對象進行全面的評估。

（5）滲透測試。在整個風險評估的過程中，結合外部滲透測試的方式發現系統中可能面臨的安全威脅和已經存在的系統脆弱性。

第4篇：等級保護和風險評估范文

一、企業各級信息管理部門職責，主要分為總部信息部門和各分部信息管理部門進行管理。

企業總部信息管理部門負責企業整體信息技術風險評估、統一建設信息系統的風險評估和總體層面信息系統的風險評估，并對企業信息技術風險評估工作進行指導和檢查。

各分部信息管理部門負責本單位信息技術風險評估工作，組織本單位層面信息系統的風險評估，并將信息技術風險評估報告總部備案。

各級信息業務使用部門職責是在同級信息管理部門的組織下，參與和本部門業務相關的信息系統風險評估工作。

二、信息技術風險分類及主要內容

信息技術風險主要包括信息技術項目風險、信息技術服務連續性風險、信息資產風險、供應商風險、應用風險、基礎設施風險、戰略與新興技術風險等。

信息技術項目風險是指信息技術項目無法交付的風險，包括因項目管理關鍵要素未能有效控制，導致項目延期、消耗資源超支、與計劃相比功能減少、交付產品未達標準、實施期間造成業務中斷等。

信息技術服務連續性風險是指由于信息系統的不可靠造成業務操作中斷，包括因信息技術服務水平過低等導致的宕機或系統響應時間過長等造成業務中斷。

信息資產風險是指未能有效保護與保存信息資產，包括信息系統裝載的信息資產損毀、丟失以及不當泄露等。

供應商風險是指在信息技術項目交付和日常運營過程中，由于供應商未能交付信息技術產品或服務，或已交付但未達到標準，對信息系統和服務造成即時或潛在的影響。

應用風險主要指信息系統不能滿足關鍵業務需求及信息技術應用故障，包括系統在操作性、功能性、可靠性、可維護性等方面存在缺陷對業務造成的負面影響。

基礎設施風險是指由于信息基礎設施不能正常運行帶來的風險，包括基礎設施構件發生故障、替換不當、配置不當等。

戰略與新興技術風險是指由于企業的信息技術能力有限，對戰略和新的技術環境缺乏足夠的適應能力，包括信息技術總體規劃和信息技術架構設計缺乏整體、戰略角度的考慮，缺乏靈活性等

三、信息技術風險評估方法

信息技術風險評估前期工作主要是針對信息技術風險評估對象收集相關的內部、外部初始信息，進行必要的篩選、提煉、對比、分類、組合等，以支撐信息技術風險評估工作。信息技術風險評估工作由信息管理部門會同有關業務部門共同完成。

信息技術風險評估包括風險識別、風險分析、風險評價。風險識別是通過查找信息系統支撐的各業務單元、各項重要經營活動及其重要業務流程，系統化地識別風險來源和風險類別；風險分析是對識別出的風險及其特征進行明確定義與描述，分析和描述風險發生的概率及風險發生的條件；風險評價是綜合資產的價值、資產面臨的威脅、威脅發生的可能性、現有控制體系已經提供的保護等多種因素，按照風險測量方法和風險等級評價原則，評估風險對企業目標的影響程度和風險的價值等。

信息技術風險評估要從戰略、運營、項目等多個層面進行綜合分析。在戰略層面，主要關注信息技術能力與業務戰略的一致性、應對新技術發展帶來的威脅等；在運營層面，關注危害信息系統及基礎設施有效性的風險、繞過系統安全措施的風險、造成重要資源損失或不可用的風險、違反法律法規的風險等；在項目層面，關注項目目標不能達到時所帶來的后續風險等。

信息技術風險評估包括各類風險之間的關系分析，以便發現各風險之間的自然對沖、風險事件之間的相關性等組合效應，從策略上對風險進行統一集中管理

信息技術風險識別、分析和評價采用定性與定量相結合的方法。定性方法可采用問卷調查、專家咨詢、情景分析、政策分析、行業標桿比較、訪談和調查研究等。定量方法可采用統計推論、計算機模擬、失效模式與影響分析、事件樹分析等。

根據信息技術風險評估工作實際，可請有IT風險管理經驗的人員參加，以及聘請資質、信譽好的專業機構協助實施。

五、信息技術風險評估后續工作

信息技術風險評估后續工作主要包括制定風險管理策略、實施風險管理、持續跟蹤改進等。

制定風險管理策略，主要是根據企業自身條件和外部環境，圍繞企業發展戰略，確定風險偏好、風險承受度、風險管理有效性標準，選擇適合的風險管理工具，并制定風險管理所需人力和財力資源的配置原則。

實施風險管理可通過風險承擔、風險規避、風險轉移、風險降低4種方法進行?？偛亢头植啃畔⒐芾聿块T在實施信息技術風險管理方面應采取有效控制措施，盡量規避或降低信息技術風險。

持續跟蹤改進主要指對信息技術風險實行動態管理，總部和分部信息管理部門應定期或不定期開展風險識別、分析、評價工作，及時發現新的風險和原有風險的變化并進行評估。

六、信息技術風險管理監督、檢查

第5篇：等級保護和風險評估范文

關鍵詞：調度安全；風險管理

Abstract: according to the years work experience in the work found that many potential safety problems, puts forward the safety of electric key management is to find out the unsafe ACTS, to the conduct of the safety risk assessment, according to the results of the evaluation to determine major hazard installation (not the risk to the) to make major hazard control measures can prevent or reduce accident risk.

Keywords: scheduling security; Risk management

中圖分類號：TM73文獻標識碼：A 文章編號：

1危險辨識和風險評估方法

1.1危險辨識

人的行為對于電網安全非常重要，要特別重視人的因素在電網全中的重要性。依據國家標準GB/T 13816-1992《生產過程危險有害因素分類與代碼》的規定，生產過程中的危險、有害因素可分為6類；電力調度工作中的危險因素與其中第5類危險因素辯識密相關，即行為性危險，其有害因素包括：指揮錯誤(指揮失誤、違章揮、其他指揮錯誤)；操作失誤(誤操作、違章作業、其他操作失誤);護失誤；其他錯誤；其他行為性危險和有害因素。

1.2風險評估

風險評估是運用安全系統工程的方法，對系統的安全性進行定和定量的分析，以確認系統發生危險的可能性及其嚴重度。電力統常用作業條件風險性評價法(亦稱格雷厄姆———金尼法)進行定評估判定重大危險(重大危險源)。

作業條件風險性評價法主要是以與系統風險性有關的3種因指標值的乘積來評價系統人員傷亡風險性的大小，其表達式為：D=L×E×C。

L-發生事故的可能性大小;E-人體暴露于危險環境中的頻繁程;C-發生事故可能造成的后果;D-風險性分值。

事故發生的可能性L值：將L值最小定為0.1,最大定為10，在.1～10之間定出若干個中間值,具體如下表1。

人體暴露于危險環境中的頻繁程度E值：將E值最小定為0.5，最大定為10，在0.5～10之間定出若干個中間值，具體如下表2。

發生事故產生的后果C值：將需要救護的輕微傷害的C值規定為1，把造成多人死亡的C值規定為100，其他情況值為1～100之間，具體如下表3。

發生事故產生的后果D值：根據經驗，把風險性分值劃分為5個等級(風險性等級的劃分憑經驗判斷，難免帶有局限性，應用時需要根據實際情況予以修正)，具體情況如下表4。

江西電力系統將風險等級3及以上的風險定為重大危險源。

2電力調度安全風險及防范措施

電網調度運行人員是電網的直接指揮者，承擔著管轄范圍內電網安全、可靠、經濟運行的重任。各級調度人員在日常工作和電網異常事故處理時的每一項調度指令都必須正確，發生調度誤操作、事故誤處理，將會導致設備損壞、人身傷亡甚至電網振蕩解列和大面積停電事故，造成巨大的經濟損失和不良社會影響。

根據危險辯識和風險評估方法，調度誤操作和調度事故誤處理發生事故存在可能性，但不會經常發生，(L)值取3；每天都有可能遇到操作和事故處理，(E)值取6；一旦發生調度誤操作和調度事故誤處理，事故產生的后果是非常嚴重的，(C)值取15。D=L×E×C=3×6×15=270危險性分值D=270，處于160～320之間，危險等級在3級以上，屬高度危險，所以，調度誤操作和調度事故誤處理為重大危險源。

2.1調度誤操作

調度誤操作多為習慣性違章所致。調度人員應提高安全風險意識和責任感，定期參加安全教育培訓，學習安全規程，嚴格執行相關規定，杜絕習慣性違章行為。調度操作過程中具體防范措施如下:

2.1.1檢修工作票的審核與答復。認真審核工作票填寫是否規范，工作內容、工作時間、設備雙重命名編號、特殊說明等是否清楚、明確；合格的工作票按調度規程規定執行工作答復，不規范的工作申請票退回重填。

2.1.2擬寫操作指令票。應由有資格并熟悉系統運行方式的調度員擬寫操作指令票；擬寫前應認真核對工作申請票，核對模擬盤及SCADA畫面，核對現場設備狀態(變電站接線方式、變壓器中性點投切、繼電保護投退對系統的影響及停送電設備對系統的影響)；當涉及兩級以上調度聯系操作時，應將電網方式和設備狀態、開工許可與完工匯報寫入調度操作指令票中。

2.1.3審核操作指令票。審票調度員應是對所轄電網非常熟悉、且調度專業知識比較全面的主值及以上調度員；審核內容包括操作指令是否規范、操作步驟是否合理、方式調整是否合理、是否按保護要求調整并考慮停電范圍的影響。

2.1.4預發操作指令票。經審核合格的計劃工作，其調度指令票應按規定時間提前預發，如未按預定時間預發，則該調度指令票作廢。不論在網上傳票或傳真方式傳票，都必須經電話與現場核對預發票內容；預發調令時應互通單位、姓名、崗位、核對調令票編號和預發時間，并說明是預發調令。

2.1.5調度操作。當值調度員應保持良好的精神狀態以防止誤操作；操作時注意當時環境，盡量錯開電網負荷高峰時段、避開惡劣天氣(雷、雨、霧、冰雪、大風等)；操作前調度員應熟悉掌握電網事故應急預案，根據電網情況做好危險點分析及事故預想,明確操作目的并執行“三核對”，掌握操作引起的潮流和電壓變化；操作應按預計時間準時操作，操作中嚴格執行、發令、復誦、錄音、匯報制度，按調令票順序執行并有監護。遇特殊情況需更改操作順序時應履行相關規定，一、二次部分配合操作應及時，區間調度配合操作時應清楚移交系統、設備狀態。

2.1.6操作完畢。調令執行完畢后，調度員應明確調令執行完畢時間，將設備狀態及時通知相關運行部門或檢修單位，及時許可工作開工。

2.2調度事故誤處理防范措施

2.2.1事故預防。根據負荷變化、氣候、季節以及現場設備檢修情況等做好當班事故預想及危險點分析；遇重大節日及特殊運行方式下應編制相應事故預案。

2.2.2事故信息收集與初步分析判斷。調度員應全面收集事故信息，了解事故情況，核對相關信息,準確掌握當時電網運行方式，事故地點的天氣情況,清楚現場設備、保護、安全自動裝置動作狀況，清楚負荷性質，明確各級調度管轄范圍的設備，并按設備管轄歸屬及時匯報相關調度，根據需要協助和配合事故調查與處理。

2.2.3事故處理。根據已掌握的信息分析事故情況下的電網運行方式及電網解環點；考慮并注意事故處理過程中因電網運行方式變化引起的潮流、電壓變化及設備運行限額。按調度規程規定的電壓、頻率異常、系統振蕩等多種故障的事故處理原則進行事故處理；使用設備雙重命名，使用統一的調度術語規范事故處理操作；盡快隔離故障點，消除事故根源；嚴格執行發令、復誦、錄音、匯報制度，并做好詳細記錄。

2.2.4調整運行方式，防止事故擴大。調度員應按照穩定原則，及時調整事故處理后的電網運行方式，保持正常設備繼續運行和對用戶的連續供電；盡快恢復對已停電用戶的供電，特別是廠用電和重要用戶的保安用電。

3結束語

第6篇：等級保護和風險評估范文

在“三個體系”建設工作中，檔案安全體系是指檔案安全保障各個構成要素有機的系統的相互聯系、相輔相成的總體，由檔案安全基礎設施、技術支撐、組織管理、法規標準等若干部分組成。檔案安全保障體系建設的任務非常繁重，涉及眾多方面，而擺在我們面前的一個緊迫問題，顯然涉及如何從理論和實踐的角度把檔案安全體系建設的各項任務落到實處。在今年中國檔案學會相繼召開的“三個體系建設高層論壇”和“2010中國檔案工作者年會”上，筆者曾就此作過一些探討，筆者以為，不妨把風險評估作為一個切入點和著力點，帶動檔案安全體系建設各項任務的全面落實。

檔案安全風險評估機制的建立

應對危機、化解風險，首先要能夠充分意識到危機和風險的存在。在檔案安全體系建設過程中，引入風險評估機制，研究制定檔案安全風險評估指標體系及其實施辦法，并且抓緊開展相關試點，適時在全國各級檔案部門全面推開，對于推動檔案安全體系的科學健康構建無疑具有重要意義。

我國有句俗話，叫做“風起于青萍之末”，說的是凡事均有先兆。海恩法則認為：每一起嚴重事故的背后，必然有29次輕微事故和300起未遂先兆以及1000起事故隱患。人們對導致事故發生的隱患、征兆往往容易忽略，甚至發現后沒有引起足夠的重視，這是導致意想不到的安全事故發生的重要原因。

如何緊密跟蹤初起之“風”，及時發現檔案管理中可能存在的安全隱患呢?我們應當及早研究和建立檔案安全風險評估機制，通過對檔案安全狀況開展風險評估，指導各單位立足于防患未然，采取更加具有針對性的安全防范措施，預防安全事故發生，并為處置安全事故提供科學依據。

一個檔案部門如果發生安全事故，問題往往出在管理工作的某個薄弱環節。短板理論認為：“一只木桶可以裝多少水，取決于木桶上最短的那塊板?！币簿褪钦f，一只木桶再高再大，如果有一塊板不夠高，最終也只能由最短的那塊板決定木桶裝水的多少。也就是我們經常所說的主要矛盾，只有明白事務的薄弱環節，抓住問題的關鍵所在，抓住問題的主要矛盾，才能抓住解決問題的關鍵，以獲得最大限度的成功。對檔案館可能存在的安全風險進行系統的、規范的、科學的評估，就是為了及時查找各個環節可能存在的漏洞或隱患，弄清楚本單位安全管理的“短板?所在，有針對性地及時把各種漏洞予以堵塞，把隱患消滅在萌芽狀態。

有些短板，可能不是一大塊，而只是一個小窄條，但其危害同樣是致命的。因此，千萬不要小看一些似乎不打緊的不安全因素?！扒Ю镏?，潰于蟻穴”，以及著名的“蝴蝶效應”，說的都是這個道理。殊不知，“蝴蝶在熱帶輕輕扇動一下翅膀，遙遠的國家就可能造成一場颶風。”指的是在一個動力系統中，初始條件下微小的變化能帶動整個系統的長期的巨大的連鎖反應。檔案安全管理過程中存在的任何細微隱患，如果不加以及時察覺并及時消減，也有可能演變成大的漏洞，甚至直接導致災難性后果。安全隱患，無論大小，必須一律加以解決，將其消滅在萌芽狀態。

檔案安全風險評估工作相關要求

所謂檔案安全風險評估(RiskAssessment)，就是對檔案實體和檔案信息資源所面臨的威脅及其可能造成的影響的可能性的評估。檔案安全風險評估，是檔案部門風險管理的基礎，是確定檔案安全需求的一個重要途徑，屬于檔案安全保障體系策劃的過程。

檔案安全風險評估工作的目標是，通過檔案安全風險評估結果，找出檔案安全管理中的薄弱環節，以此為基礎，及時采取必要措施，并對各種要素加以調節，以便最大可能地規避和降低風險，使檔案盡可能地保持穩定狀態，而對已經處于不安全或不穩定狀態下的檔案使之達到新的穩定狀態。

檔案安全風險評估工作的主要任務包括：識別檔案面臨的各種風險；評估風險概率和可能帶來的不利影響；確定風險控制和消減的優先等級；提出和推薦風險防控與消減對策；等等。

識別檔案面臨的各種風險，了解檔案安全威脅源。近些年來，我國一些檔案部門遭受了地震、洪水、泥石流等自然災害的直接破壞，一些檔案部門經受了的沖擊，一些檔案部門暴露了基礎設施不完善、管理制度不健全、安防手段不得力等管理上的漏洞也承受了相應的后果。2009年3月德國科隆市檔案館坍塌，源于城市建設中的地鐵施工；2005年11月民族文化宮圖書和經卷被水浸泡，源于基礎設施老化失修導致的水管爆裂?？梢?，很多因素都有可能對檔案安全帶來直接或間接的風險而構成檔案安全的威脅源。

評估風險概率和可能帶來的不利影響。在檔案部門可能遇到的安全風險中，有一些屬于系統性的風險，而另一些屬于偶然性的風險。有一些屬于地域性的風險，如沿海地區可能遇到的臺風影響；還有一些屬于周期性的風險，如長年發生在我國南方一些地區的洪澇災害風險等。要根據不同風險的類型和特點，確定風險控制和消減的優先等級和措施強度，并提出和推薦相應的風險防控與消減對策。

總之，在檔案安全風險評估過程中，需要注意確定所保管檔案的內在價值；要梳理檔案面臨的潛在威脅源有哪些，導致威脅的問題所在，威脅發生的可能性有多大；現有保管條件環境存在哪些弱點而可能易于遭受威脅攻擊，程度如何；一旦威脅事件發生，檔案會遭受怎樣的損失，或者面臨怎樣的不利影響等。

檔案安全風險評估的方法有基線評估法、詳細評估法、組合評估法等。在檔案安全風險評估的實際工作中，我們可以采用通常使用的一種比較簡單的評估，方法，即基線評估法。采用基線風險評估(Baseline Rrisk Assessment)，檔案館可以根據自己的實際情況，對檔案保管系統進行安全基線檢查，(即拿現有的安全措施與安全基線規定的措施進行比較，找出其中的差距)，得出基本的安全需求，通過選擇并實施標準的安全措施來消減和控制風險。所謂安全基線，就是在諸多標準規范中規定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環境下的所有系統，可以滿足基本的安全需求，能使系統達到一定的安全防護水平。

檔案安全風險評估指標體系構建

檔案安全基線評估途徑的采用，關鍵在于安全基線的選擇，也就是有必要

建立一個系統的、可操作性較強的檔案安全要求指標體系。檔案安全風險評估指標體系基本框架的搭建，要統籌考慮檔案實體安全、信息安全等各個方面。

近年來，國家檔案行政管理部門對各省級國家檔案館和中央國家機關檔案部門開展了檔案安全專項督察工作，重點檢查相關部門檔案安全基礎設施是否完備，檔案安全防護設施是否齊全，檔案安全規章制度是否健全，檔案安全日常管理是否到位。盡管該項工作還僅僅是初步的、定性的、粗放的，但無疑是檔案安全風險評估工作的濫觴，是一項有益的探索。我們現在的任務是，怎樣把這項工作做得更加定量化、更加精細化、更加科學化、更加規范化。這就需要在調查研究的基礎上建立一套系統全面、導向明確、易于評估、具有可操作性的要求、規范和約束性指標，作為我們開展檔案安全風險評估的基線。檔案安全基線風險評估，需要的資源少，周期短，操作簡單，可以直接而簡單地實現基本的安全水平，并且滿足檔案館履行功能的基本要求。

在制定檔案安全基線相關要求時，要重點關注檔案安全管理的環境條件、規章制度、安全措施、應急和搶救機制、日常管理等主要方面。既要關注與檔案實體安全直接相關的要求，也要關注與檔案信息安全保密密切相關的規范。要通過對潛在的各種安全威脅源的精心梳理和相關需求分析，抓住關鍵和重點，不能“披頭散發”，無所不包。與此同時，要遴選和鎖定一些必要的剛性指標，如防火等級，抗震等級，溫濕度范圍，照度，空氣質量，容災等級，等等，便于規范掌握和量化操作。

事實上，選擇安全基線可依據和利用的資源非常豐富，如《檔案法》及其實施辦法，保密法等。在檔案實體安全方面，有諸如《檔案館建筑設計規范》、《檔案館建設標準》、《檔案庫房技術管理暫行規定》、《檔案館防治災害工作指南》，等等。在檔案信息安全方面，比如《電子信息系統機房設計規范》、《計算機信息系統安全保護等級劃分準則》、《信息安全應急響應計劃規范》、《信息安全風險管理指南》、《終端計算機系統安全等級技術要求》、《基于互聯網電子政務信息安全實施指南》，等等。

第7篇：等級保護和風險評估范文

Abstract: In the market competition intense situation, the enterprise besides the dependence product quality, the price, the post-sale service, the advertisement and so on increases the market share day by day, the selling on credit is also one important method. But under traditional account receivable management pattern, many enterprises, because sells on credit besets with a crisis finance, even goes bankrupt. But uses the financial risk management some experiences to carry on the risk management to enterprise's account receivable, without doubt is reduces the risk, to avoid a crisis's efficient path.

關鍵詞:風險管理 風險識別 風險評估

Key word: Risk management risk recognition risk assessment

應收賬款的風險是應收賬款遭受損失的不確定性。這個不確定性主要是指損失是否發生以及損失的大小不確定。應收賬款的風險管理就是識別、評估與控制企業應收賬款損失的程序。

一、應收賬款的風險識別

風險識別,是風險評估和風險控制的基礎。在進行風險分析時,找出企業應收賬款面臨的風險因素,并將這些風險與企業銷售收款業務流程聯系起來,以便發現各種潛在的風險。這里示范性地列出幾條:

1. 交易雙方產生的貿易糾紛;

2. 客戶經營管理不善,無力償還到期債務;

3. 交易對象有意占用企業資金;

4. 交易對象蓄意的商業欺詐。

對于上面的每一種原因,我們還可以繼續追究下去,找出原因中的原因。例如,交易雙方產生的貿易糾紛,我們要看是合同中的特定條款約定不明確,還是產品質量的缺陷導致顧客不滿意拒絕付款;而后三種情況則是要檢討信用政策和銷售收款的業務流程,在賒銷審批時,是否對客戶的信用情況進行評估,是否對沒有資格的客戶進行賒銷,是否給予客戶不適當的信用額度,是否發生越權審批,是否存在銷售人員與客戶相互勾結,損害企業利益的情況。

風險的識別離不開相關部門的密切配合,尤其是銷售部門?？蛻敉鶗幸怆[瞞一些不愿透露的信息,有些客戶甚至故意提供虛假的資信狀況信息。而銷售人員直接與客戶交往,最容易了解客戶情況,發現客戶的異常行為。像拖欠員工工資、頻頻更換主管、開始銷售不動產等信息對我們識別風險非常有用,如果我們能對銷售人員進行一定的培訓,提高他們捕捉客戶風險信息的能力,就可以幫助企業盡早發現風險,避免造成損失。

二、應收賬款的風險評估

在損失發生前,我們要評估發生損失的可能性,而在損失發生后,我們要評估損失的大小。

評估工作離不開客戶信息的搜集。一般說來,我們可以閱讀客戶的財務報告、實地訪問或電話聯絡、總結以往與客戶的交易經驗、借助大眾傳播媒介或專業的信用中介機構等等。

高風險的客戶發生損失的可能性和損失的程度都比較高,所以,有必要對客戶進行風險等級的劃分,在此我們的依據是客戶的信用狀況。什么變量能夠用來說明客戶的信用狀況呢?二十世紀初亞歷山大?沃爾提出沃爾評分法,他選擇了流動比率、存貨周轉率、應收賬款周轉率等七項財務比率,分別規定各項財務指標在該模型中的比重,綜合為100分,然后確定標準比率相比較,評出每項指標的得分,匯總求得總的得分。得分越高,客戶的風險等級越低,依此將客戶劃分為高、中、低風險等級。這只是一種定量模型,還有其他一些定量分析和定性分析的模型,企業可以根據自身情況選擇適當的模型。在進行定量分析的時候,往往借助于客戶的財務報告,要注意報表本身的局限性,辨別其中可能存在被粉飾的情況.

在實際操作中,我們還需注意客戶的風險等級并不是一成不變的,市場瞬息萬變,今天的低風險客戶明天可能就成了高風險客戶,因此,要定期根據客戶的最新情況,對客戶的風險等級進行再評定。

應收賬款的損失包括逾期應收賬款的資金成本,附加收賬費用,壞帳損失,這些直接的損失比較顯而易見。另外,還有一些間接的損失,比如,企業賒銷時雖然能使企業產生較多的利潤, 但是并未真正使企業現金流入增加, 反而使企業不得不運用有限的流動資金來墊付各種稅金和費用, 加速了企業的現金流出,主要表現為:

1.企業流轉稅的支出;

2. 所得稅的支出;

3.因資金周轉不靈而向銀行借債的利息費用;

4.因拖欠供應商貨款而無法取得購貨的現金折扣,或因為資信的降低而無法獲得較優的購貨優惠。

如果同一時間發生多起損失,超出了企業對應收賬款損失最大的承受能力,企業就可能陷入嚴重的財務危機,甚至是破產。

三、應收賬款的風險控制

所謂風險控制,是指在風險識別和風險評估的基礎上,針對所存在的風險因素,積極采取控制措施,以消除風險因素或減少風險因素的危害性。

風險控制措施可以分為五種:避免風險、預防風險、降低損失、轉移風險和承擔風險。在損失發生前,我們可以避免、預防或轉移風險,避免發生損失;在損失發生時和發生后,我們可以采取措施降低損失或承擔損失。下面依次介紹。

1、避免風險

避免風險又稱規避風險。經過風險評估后,我們將某客戶評估為高風險,那么我們可能就不給其賒銷,這樣就規避了風險。不過在運用這一措施的時候,需要注意以下三點:

(1)當風險很高或者管理風險的成本極高時,規避風險是合適的;

(2)有些風險是不可避免的,比如自然災害、瘟疫、經濟危機等;

(3)不愿意承擔風險,就沒有銷售的機會,不能有風險就規避,現在只接受現金交易的企業是很少見的,因此,我們不能因噎廢食,應收賬款雖然有風險,但是我們可以有選擇地接受風險,從而獲得與風險相匹配的收益。

2、預防風險

預防風險就是要降低發生損失的可能性。

首先,通過風險評估,我們可以劃分特定企業的風險等級,如果能夠只和一些低風險的客戶交易,那么企業應收賬款的綜合風險將會大幅度降低。

其次,營銷管理大體上有五種觀念:生產觀念、產品觀念、推銷觀念、市場觀念和社會觀念。在我國,大部分企業還停留在產品觀念和推銷觀念上,如果企業能夠采用市場營銷觀念,把市場的需要放在首位,生產出滿足消費者需求的產品,就能獲得較強的競爭力,從而爭取到低風險的客戶。同時,產品如果獲得終端消費者的認可,客戶也能盡快將產品銷售出去,從而使企業盡快收回貨款。

另外,在進行風險識別的時候,我們發現很多風險其實是來源于企業銷售收款相關的內部控制制度不健全,為此國家財政部出臺了《內部控制規范―銷售與收款(試行)》及《財政部關于建立健全企業應收賬款管理制度的通知》來指導和規范企業的銷售和收款行為,企業應該在這些法規的指導下,建立健全相關的內部控制制度,比如:

(1)嚴格賒銷審批制度。

在簽訂銷售合同前,信用部門或信用崗位要按照有關合同管理的規定,詳細審查對方的主體資格、經營范圍、資信及履約能力等情況,由企業法定代表人或財務經理審閱合同文本,并由企業顧問對合同的合法性、嚴密性進行審查,確保合同規范有效,預防出現交易糾紛或者遭受商業欺詐。

(2)定期核對

財務部門定期與銷售部門核對回款記錄,重點監控出現到期而沒有對方簽字的應收賬款,并及時采取措施處理,避免出現不受法律保護的債權糾紛。

3、降低損失

當企業有好的投資機會,此時卻由于很多應收賬款未能及時收回,沒有足夠的資金時,可以利用應收賬款進行融資,主要有以下四條途徑:

(1)應收賬款證券化

在我國,一些外貿出口企業可實施出口應收賬款跨國證券化,它是指將出口銷售形成的應收賬款經過組合包裝出售給國外的特殊目的載體,由其經過信用增級,從而在國際資本市場上發行資產支持債券,提前收回應收賬款的一種融資方式。

(2)應收賬款的抵借

應收賬款的抵借是將企業的應收賬款作為抵押品向銀行獲得借款的一種融資方式,分為整體抵借和特定抵借。尤其使用于中小型企業,因為中小型企業的信用地位與社會地位使其不但難以進入直接融資市場,間接融資也是困難重重,客觀上制約了中小企業優勢的發揮。應收賬款的抵借能夠滿足中小企業的資金需求,加速應收賬款的周轉率。

(3) 委托專業機構追討或采取仲裁、法律訴訟的形式

對于有能力付款卻惡意拖欠的客戶,可以委托專業機構追討應收賬款,由其行使債權人的追討工作,如果還不行,就只好通過仲裁或法律訴訟來捍衛自身的正當權益了。

(4)在合同中約定所有權保留條款

根據我國《合同法》第134條規定:“當事人可以在買賣合同中規定買受人未履行支付價款或其他義務的,標的物所有權屬出賣人?！?這樣,只有客戶在付清全部貨款時,才能取得貨物的所有權,即使客戶破產了,由于該貨物的所有權仍然屬于企業,不會作為破產財產,從而很大程度上保障了應收賬款的安全。

4、轉移風險

當企業不愿意為某些應收賬款承擔風險時,就要考慮如何將風險轉移掉,有些相關機構以其信息資源的優勢,可以參與到企業應收賬款的處置中來,通過主動承擔風險,參與企業所創價值的分配,主要有以下幾種方式:

(1)應收賬款的無追索權讓售

就是把應收賬款作為商品賣給金融機構,從而將風險轉移掉。在我國,一些商業銀行大都只接受有追索權的應收賬款融資業務,但相信在不久的將來,我國將會出現一批專門從事應收賬款經營的公司,商業銀行的業務也將不僅僅局限于有追索權的應收賬款融資業務。

(2)為特定的應收賬款上保險

雖然我國的保險業目前尚未開展這項業務,但有風險的地方就會有保險,保險業為應收賬款提供保險是遲早的事。

(3)取得第三方擔保

當某客戶被評價為高風險等級時,企業一般只與其進行現金的交易,但是如果有第三方愿意為其提供擔保,承擔連帶責任的話,我們也應該考慮對其采用賒銷,一旦發生損失,我們可以對第三方進行追討。

5、承擔風險

在風險評估時,企業為每個客戶評定了風險等級,并設定了信用額度,這便是企業愿意對某一客戶承擔的最大的賒銷風險額。在日常業務中,企業可以連續地接受某一客戶的訂單,只要對該客戶的賒銷額不超過其信用額度,就可以對其辦理賒銷業務;一旦超過信用額度,除非經企業有關部門批準,否則不能再對該客戶提供賒銷。它雖然不一定能夠提高客戶付款的及時性,但它可以限制客戶不付款引起的損失。企業應定期對客戶的信用額度重新加以核定,使信用額度保持在企業所能承擔的風險范圍之內。

第8篇：等級保護和風險評估范文

關鍵詞：深基坑支護；施工風險；措施

Abstract: with the city construction and large public facilities construction of booming development, underground space development and use of the project as an important part of the construction of the foundation pit engineering is headed in the direction of the super, super deep development. The work of the deep foundation pit construction high technical requirements and dangerous factor is big, accidents often brings uncounted losses of life and property. Therefore, in deep foundation pit engineering implementation process, should make full scientific predictions may risk in, and effective risk analysis and control. This paper, based on his years of work experience of the construction of the foundation pit supporting structure's risk and its evaluation is discussed and studied, based on the construction of the concrete measures to deal with risk, so that the meaning of the experience.

Keywords: deep foundation pit supporting; Construction risk; measures

中圖分類號：TV551.4文獻標識碼：A 文章編號：

引言

隨著改革開放的發展,國家經濟建設取得了長足的進步, 從而帶動了巖土工程包括開挖和支護工程技術的發展和進步,至少在面的方面己是廣泛地鋪展。目前,各地基本建設中的各類建筑朝著高、大、深、重等方面的發展勢頭仍方興未艾?？梢灶A計,基坑開挖與支護技術的各個方面均將繼續得到全面而深入的應用和推廣,各種支護型式和設計計算方法將會在“點”上更深入而形成“點深面廣”的發展勢態。城市建設迅速發展,深基坑支護結構優選問題正在成為建筑工程界的熱點和難點問題之一，深基坑支護開挖風險大，影響因素多，條件復雜。與場地巖土工程條件,基坑周圍環境狀況，地下水條件，施工工序流程及監測措施相關，由于深基坑支護計算理論都是在某些簡化假定的前提下建立，具有一定的局限性,多半依靠傳統理論和地區經驗進行設計與施工深基坑工程是一個復雜的系統工程，其施工技術要求高、危險系數大、發生事故時往往帶來難以估量的生命財產損失。因此，在深基坑工程實施過程中，應充分科學地預測可能遇到的風險，并進行有效地風險分析與控制。本文結合自己多年的工作經驗隊基坑支護結構施工的風險及其評價進行了探討和研究，提出應對施工風險的具體措施，以便具有借鑒之意義。

施工過程風險及評價

2.1施工過程風險評價的主要方法

基坑工程施工是城市基礎設施建設的關鍵環節，也是勞動安全與社會公共安全監管的重點，個別基坑發生或引發安全事故，除可能導致項目巨大的費用、工期損失外，還會對項目參與各方帶來無法挽回的社會聲譽損失，昭示出基坑工程的嚴肅性和復雜性。因此，在深基坑工程實施前，應充分科學地預測可能遇到的風險，并進行有效地風險分析與控制。現行的風險評估理論和風險評估技術主要集中在基于不確定性理論、概率及數理統計、模糊數學、決策理論等多種理論方法。目前，對基坑工程施工的風險評估工作還停留在定性和簡單的定量評估水平上。

2.2 風險評估評價指標體系及其權重

(1)風險評估評價指標體系

風險評估指標體系的設計直接關系到評價結果的客觀性、準確性和有效性。要構建一個合理的評價指標體系，必須堅持一定的原則。指標體系應能反映影響施工風險的各個方面，從不同的角度來反映被評價系統的主要特征和狀況，同時指標選取應該具代表性、典型性，避免意義相近、重復的指標。根據上述指標體系設計原則，建立了深基坑施工風險評估第一層次指標體系包括自身經濟損失、第三方損害、工期延誤以及環境傷害四個評估指標。在經濟損失方面包括人員機具材料損失、恢復損失兩個指標，在第三方損害方面，以第三方生命財產損害、公共設施損害為評估指標，在工期延誤方面，以搶救延誤、災后重建延誤為評估指標，在環境傷害方面，包括永久性傷害和暫時性傷害兩個評估指標。

(2)風險評估影響因子權重分析

權重的確定是采用模糊層次分析法( AHP) 。層次分析方法是把同級各個因素兩兩相互比較，按比較重要性大小在一個九標度表中進行仿數量化，各因子數量值構成一個構造判斷矩陣，該矩陣在一致性檢驗后，其最大特征值對應的向量為對應各因子的權重向量。模糊層次分析法是將層次分析法中的成對比較數值加以模糊化，再以幾何平均法求模糊權重。

（3）深基坑施工風險評估等級確定

首先，要根據各個基坑工程實際施工情況確定風險因子。評估人員需要確定的數據包括施工風險因子發生的概率(P) 以及導致的風險事故損失等級(C)，從而確定其相應估值。依據深基坑風險事故損失等級，風險發生概率，考慮風險度接受程度，可以確定深基坑施工風險等級。具體計算過程如下：(1) 確定深基坑工程單項施工風險因子；(2) 計算各個施工風險因子相對于風險事故損失等級的權重:Wi =風險事故損失等級估值×風險評估指標體系中的風險因素相對權重( i = 1，2……8)；(3) 計算風險事故損失等級總權重，計算公式為:總權重W=ΣWi ( i = 1，2……8)；(4) 計算深基坑工程單項施工風險因子風險度，計算公式為:單項風險度R =風險發生概率P ×權重總分數W；(5) 依據風險度數值，結合風險評估矩陣，確定施工風險因子風險等級。

應對深基坑支護施工的風險應采取的措施

為減少基坑開挖對周圍環境影響，在基坑工程方案設計前，應對基坑周圍環境狀況進行詳細調查, 對現狀進行拍照記錄。做好深基坑工程勘察工作，提供準確可靠的巖土參數作為設計依據。合理選用地下水處理方案，包括止水或排水方案，充分考慮地下水對支護結構受力的影響，降水對周圍環境的影響。信息化施工和動態設計:進行信息化施工，發現問題及時調整設計方案，有針對性采取保護措施。深基坑支護結構的幾種施工方案及其措施如下：

3.1懸臂式支護結構

擋土結構的使用是在現場不允許基坑維持其天然坡度的情況下用于保持基坑開挖穩定的構筑物，懸臂式擋土結構可能是地下連續墻、木樁、鋼筋混凝土樁、鋼板樁等。

3.2錨桿擋墻支護結構

錨桿式擋土墻指的是由鋼筋混凝土板和錨桿組成，依靠錨固在巖土層內的錨桿的水平拉力以承受土體側壓力的擋土墻。為便于立柱和擋板安裝，大多采用豎直墻面。立柱間距2.5~3.5m，每根立柱視其高布置2~3 根錨桿，錨桿的位置應盡量使立柱受彎分布均勻。錨桿一般水平向下傾斜10°~45°。錨桿的有效錨固長度在巖層中一般不小于4m，在穩定土層內，應有9~10m。錨孔內灌以膨脹水泥砂漿；錨孔口與墻面間一段錨桿采用瀝青包扎防銹。擋墻分級設置時，每級高度不大于6m，兩級之間留有1~2m 的平臺，以利施工操作和安全。

3.3混合支護結構

這是由擋墻和固定擋墻就位的組合擋土結構體系，擋墻可以是板樁（鋼、混凝土、木），有擋板或無擋板的立柱（或樁），鋼筋混凝土灌注樁和地下連續墻等。而固定擋墻就位（支點）主要有撐梁支撐、斜撐或錨桿等。

3.4地下連續墻支護結構

地下連續墻施工震動小、噪聲低，墻體剛度大，防滲性能好，對周圍地基無擾動，可以組成具有很大承載力的任意多邊形連續墻代替樁基礎、沉井基礎或沉箱基礎。對土壤的適應范圍很廣，在軟弱的沖積層、中硬地層、密實的砂礫層以及巖石的地基中都可施工。初期用于壩體防滲，水庫地下截流，后發展為擋土墻、地下結構的一部分或全部。房屋的深層地下室、地下停車場、地下街、地下鐵道、地下倉庫、礦井等均可應用。

結束

深基坑工程的施工技術要求高、危險系數大、發生事故時往往帶來難以估量的生命財產損失。因此在深基坑工程實施過程中，應充分科學地預測可能遇到的風險，并進行有效地風險分析與控制。本文結合自己多年的工作經驗隊基坑支護結構施工的風險及其評價進行了探討和研究，提出應對施工風險的具體措施，以便以后類似工程借鑒。

參考文獻：

[1]張薔．高層建筑深基坑邊坡支護結構綜述[J]．華北水利水電學院學報，1998，（01）．

第9篇：等級保護和風險評估范文

Tao Liqun；Zhu Fengqi；Lv Fenghua；Jing Zhirui

（Jiangsu Tobacco Industrial Co.，Ltd.，Nanjing 210011，China）

摘要：品牌是企業核心價值與核心競爭力的重要體現，實施卷煙品牌戰略對于卷煙企業可持續發展具有重要的推動作用。卷煙品牌風險管理作為卷煙企業品牌戰略的重要組成部分，是卷煙企業進一步加強品牌戰略的重要保證。本文通過分析卷煙品牌價值鏈中風險的形成機理，建立了集風險識別、風險評估、風險控制于一體的卷煙品牌風險管理體系，為卷煙企業強化品牌管理、構建品牌戰略提供了可借鑒的研究成果。

Abstract: Brand stands for the core values and core competitiveness of enterprises, and carrying out brand strategy is of importance to enterprises' sustainable development. As important component of the brand strategy, cigarette brand risk management is the significant guarantee for enterprise to extend its brand strategy. This paper analyzes the forming mechanism of the cigarette brand risk among the brand value chain, and proposes a model of cigarette brand risk management. This model consists of risk identification, risk assessment and risk control, which provides experience for cigarette enterprises to explore tobacco brand tactics and strengthen brand management.

關鍵詞：卷煙品牌 品牌風險管理 風險識別 風險評估 風險控制

Key words: cigarette brand；brand risk management；risk identification；risk assessment；risk control

中圖分類號：F273文獻標識碼：A文章編號：1006-4311（2011）29-0110-03

0引言

我國是全世界最大的煙草生產國與消費國，烤煙種植面積、烤煙產量、烤煙增長速度、卷煙產銷量、卷煙增長速度、吸煙人數、吸煙人數增長數量、煙稅增長速度均為世界第一[1]。據保守數據：中國有3.5億煙民，占世界煙民總數的25%，其煙草生產占全球的35%，而煙草消費占全球的32%。煙草行業每年對國家的稅收貢獻超過1000億元，占國家稅收收入的10%。從以上數據可以看出煙草行業在我國國民經濟中的重要作用。然而，在國家煙草專賣體制下，國產卷煙的市場化運作程度很低，各卷煙企業對卷煙品牌的重視程度還很不夠。隨著我國加入WTO的進一步深入，卷煙行業逐漸對外開放，眾多國外知名企業，如“555”、“萬寶路”等，爭相進入我國卷煙市場，給我過卷煙企業帶來了極大的壓力。面對國內外煙草市場格局的變化，在國家煙草專賣局制定的《中國卷煙科技發展綱要》中闡述了，中國卷煙業發展所面臨的機遇和挑戰，明確了中國卷煙科技發展的主要任務，提出了中式卷煙發展的目標，以積極地姿態提高國內煙草行業的競爭力。

品牌風險，也稱為品牌危機，是指在企業品牌建設中，對企業品牌造成嚴重威脅的、不確定性的和有危機感的情境或者事件。國內外學者對品牌風險管理進行了深入的研究，從不同的角度對品牌風險給出了自己的理解。吳狄亞、盧冰（2002）首次提出了品牌危機的定義：“品牌危機指的是由于企業外部環境的突變和品牌運營或營銷管理的失常，而對品牌整體形象造成不良影響并在很短的時間內波及到社會公眾，使企業品牌乃至企業本身信譽大為減損，甚至危機企業生存的窘困狀態。[2]”鐘唯希（2003）則把這個概念進一步明晰化，把誘發品牌風險的因素細化，并指出，品牌風險的實質就是信任危機[3]。郭盈盈（2006）首次從媒介和信息傳播角度對品牌危機下了定義，指出“品牌危機是指品牌所代表的產品（服務）及其組織的自身缺失或者外部不利因素以信息的形式傳播于公眾，……，使得該品牌面臨嚴重威脅的突發狀態[4]”。

品牌風險管理是一項復雜的系統工程，針對企業品牌價值鏈形成的過程中的各種相關因素，從系統的角度，結合先進的品牌風險管理理論，運用各類風險管理技術和信息技術，對品牌風險進行管理。東方船（2000）指出，品牌是企業“整個戰略系統的完整體系”[5]。劉慶玉等（2005）認為品牌本質上是一個復雜的價值系統，需要企業資源系統各要素的協同作用穩定發展[6]。系統角度的品牌風險管理研究在于擴大研究的范疇，上升到企業的戰略管理層面，從宏觀的角度來考察品牌風險的形成。

從以上研究可以看出，品牌風險管理越來越引起了企業管理者的重視，隨著市場化的發展，品牌戰略已經成為企業立足于市場中的重要基礎因素。本文通過對卷煙品牌實施品牌風險進行風險管理，開展品牌風險要素的識別和預警，以及品牌風險的處理等，能夠促進卷煙品牌又快又好地健康發展。因此，如何有效地識別、防范和管理企業卷煙品牌風險，是我國卷煙企業急需解決的一個關鍵問題，也是我國卷煙行業從傳統保護行業走向市場化過程中的一個管理新課題。

1卷煙品牌風險管理框架

從風險的一般原理出發，煙草品牌風險可以定義為煙草品牌的持續盈利能力受到不利因素沖擊而導致的不確定性。在卷煙品牌建設中，在品牌環境、品牌載體、品牌運作的過程中，存在著各類薄弱點，風險源就是通過影響這些弱點來達到影響卷煙品牌的目的。針對這些風險源，采取一定的應對措施加以控制，即進行品牌風險管理，是一項綜合全方位的管理任務。卷煙品牌風險形成機理的概念模型如圖1所示。

品牌風險管理是一種通過對風險的識別、評價和控制，以最少的成本將風險導致的各種不利后果減少到最低限度地科學方法[7]。煙草品牌風險管理的一般過程為：首先，對卷煙品牌的經營的內外環境進行分析，識別風險；其次，對識別的風險影響因子進行風險評估，根據已有的風險表征指標對各風險因子進行評價；最后，得出卷煙品牌風險管理的應對對策，建立品牌風險預警體系，如圖2所示。2卷煙品牌風險管理策略過程分析

卷煙品牌風險管理的一般過程主要包括風險識別、風險評估和風險控制三個方面，通過三個方面的綜合集成，能夠建立一套完善的卷煙品牌風險管理策略。

2.1 風險識別風險識別主要分為風險因子定義、風險因子提取和風險因子識別，風險識別要根據定義的風險因素的類型、特征，提取風險因素，進而定位到風險事件。風險因素的提取是指通過對風險源進行分析，對其中關鍵的影響因子就行抽象化處理，得出具體的因素指標。風險因素的識別要求識別出影響品牌風險的關鍵因子，剔除次要因子。卷煙品牌風險因素是指導致卷煙品牌運作的實際結果與預期目標產生差異的因素。查閱相關研究文獻，在分析我國卷煙品牌當前風險管理的現狀的基礎上，初步將風險因素分為四大類：宏觀環境因素、生產價值鏈、商品流通價值鏈、行業競爭與企業決策，如圖3所示。

2.2 風險評估風險評估是指對識別的風險因子進行估計的工作，以考慮其對卷煙品牌的各方面所造成的影響和損失的嚴重性，來確定是否采取措施進行管理，或者采取何種措施加以控制。風險評估分為三個步驟：確定風險表征指標、選取風險評估模型、進行風險評估。

2.2.1 風險表征指標風險表征指標是風險出現時所反應的某個側面的度量指標變化，顯然，表征指標在理論上是無限可分的，但從管理的實際出發需遵循可理解性、準確性、易于操作性等原則。從品牌持續成長的表征出發，通過頭腦風暴法集思廣益，然后對得到的結果進行分析處理，得出影響卷煙品牌風險的三大類7個表征指標：一是從公眾的視角產生的三個指標，分別為品牌忠誠度、品牌公關知名度、品牌聲譽度；二是從品牌在行業內的個性視角來產生的兩個指標，分別為品牌競爭力和品牌免疫力；三是考慮品牌的成長和擴張的兩個指標，分別為品牌成長性和品牌輻射度。這些指標分別從不同的視角刻畫了卷煙品牌的風險產生的過程。

2.2.2 風險評估模型風險評估模型是評估結果是否可靠的關鍵，風險評估模型要能夠體現出卷煙品牌所面臨的各類風險類型，根據不同類型的風險要素的影響程度，按照一定的評價策略，對其進行相應的分析，最后得出風險等級信息。具體的風險評估模型如圖4所示。其中，風險要素分為三種類型：一是可度量的風險因素；二是定性描述的風險事件；三是企業內部運作的風險。針對三種不同類型的風險源，分別采取影響分析、威脅分析、脆弱性分析三種不同的分析方法，得出相應的風險信息，然后對這些信息進行風險評估，最后得出相應的風險等級信息。

2.2.3 風險評估在選定了品牌風險表征指標，建立了風險評估模型后，接下來要完成的就是根據現有的風險因子信息進行卷煙品牌的風險因子評估，每一個風險因子按照評估的流程進行分析，得出其對卷煙品牌的影響度。風險因子評估的目的：①測定風險路徑影響因子，給出警情判斷；②根據對警情的綜合判斷，按照一定的規則對影響因素進行警情排序；③根據判斷的結果，對重要警情進行線路標注，然后再標注的基礎上對其進行控制。風險因子評估的流程如圖5。

2.3 風險控制對策風險控制，也稱為風險管理，是根據一定的風險管理策略對產生品牌風險的要素、事件等進行管理的過程，以期起到化解風險的作用。風險控制主要包括風險控制策略的制定以及相應的組織體系的建設，此外還涉及重要警源的管理流程設計、風險管理投資與立項的管理等。卷因品牌風險控制策略的制定和實施需要經歷四步：①風險預測。對可能發生的風險損失有足夠的估計，發現潛在的風險和損失。②風險決策。采取定量和定性的方法進行科學的決策，提出風險控制的可行性方案。③實施風險控制方案。采取各種有效措施來降低風險，保證方案順利實施。④方案的成果評價。

2.3.1 風險控制框架獲得了卷煙品牌風險的評估結果后，需要采取適當的風險控制策略，對潛在的風險因素進行控制，達到預防的目的。常用的風險控制策略有風險回避、風險應對、風險轉移和風險自留等。風險回避是以放棄或拒絕承擔風險作為控制方法來回避損失發生的可能性。 風險應對是卷煙品牌通過降低風險發生概率和減少風險發生帶來的損失來達到控制風險目的的手段和方法。風險轉移是通過若干技術手段和經濟手段，將風險部分的或全部轉移給其他人承擔。風險自留是對一些無法避免和無法轉移的風險，采取現實態度，在不影響根本利益的同時，將風險自愿承擔下來。風險控制是一個復雜的過程，在控制的過程中，涉及到卷煙的生產、銷售、流通等各個環節，涉及企業內部各主體，如何權衡各方的權利和義務是擺在決策者面前的一個難題。為了便于協調企業內部各部門之間的關系，需要設計一套規范的風險流程機制，并將其上升為企業的規章制度，保征風險控制策略能夠順利實施。經過研究，本項目設計了風險控制了基本機制，如圖6所示。

2.3.2 風險控制組織體系良好的風險管理組織體系是風險控制策略得以實施的重要保證。為了進行風險的預警和控制，企業需要設定專門的負責品牌風險管理的組織。但考慮到煙草公司現有管理體系是在實踐中形成的，有其存在的基礎和合理性，同時為了更好的調集各部門在風險控制中的積極性。因此，本項目認為將卷煙品牌的風險管理作為管理的一個側面，作為一種新的管理職能，融入到現有的管理體系中，更符合現實情況。為了便于風險控制策略的實施，本項目設計了一套風險管理的組織體系，該體系能夠很好的融入到各部門、各組織，有利于開展風險控制工作?；舅枷胧窃诂F有組織體系中建立一個職能團隊式的品牌風險管理小組，來制定或者審核風險控制的方案，清理風險危機。風險管理小組不一定是實際存在的部門，而是在企業部門中選定風險管理人員，在市場部設定風險管理經理，同時在經理層設定一位風險管理主管領導的團隊，該團隊是協調組織各部門落實風險管理的運作中心。相應的組織形式如圖7所示。風險管理小組成員需要由各部門業務精煉，具有較強風險洞察力的人員組成。各部門風險人員的職責就是隨時監測卷煙品牌風險影響因子，并及時反饋信息，向風險經理匯報相關指標的變化情況；其次還要負責本部門與全公司之間的協調，保證相關風險管理行動在部門內順利開展。風險經理的職責是定期召開風險管理會議，收集各部門風險指標數據，進行分析，并做出風險管理決策。

3結束語

卷煙品牌風險管理對于卷煙企業的品牌建設具有重大的意義。隨著我國卷煙行業環境的變革，企業內部的顯現出來的各種因素對于企業的進一步發展或多或少的產生著各種影響，尤其對于卷煙品牌價值鏈的形成會帶來巨大的影響。

本文在系統分析卷煙品牌建設的基礎上，針對卷煙品牌價值鏈形成的全過程，建立了卷煙品牌風險識別、風險評估和風險控制的卷煙品牌風險管理體系，并針對三個方面進行了深入具體的分析，分別建立了卷煙品牌風險識別、風險評估和風險控制的策略，建立了一個相對完整的卷煙品牌風險管理流程體系。本文的研究對于卷煙企業應對卷煙品牌風險的管理具有現實的指導意義。

參考文獻：

[1]趙全意.探索中國煙草的品牌之路.中國經貿導刊,2001,(22):32-33.

[2]吳狄亞,盧冰.企業品牌危機防范[J].經營管理者,2002,(2):44-45.

[3]鐘唯希.品牌預警管理研究[D].武漢:武漢理工大學,2003.

[4]郭盈盈.品牌危機分析及其管理研究[D].成都:西南交通大學,2006.

[5]東方船.切開危機看品牌[J].中國廣告,2000，(2):61-62.