信息系统安全管理与风险评估

信息系统安全管理与风险评估

陈泽民：3080604041

信息时代既带给我们无限商机与方便，也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机，盗取重要资料，或者破坏企业网络，使其陷入瘫痪，造成巨大损失。因此，网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说，也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系，就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标，信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统，只从网络安全技术的角度保证整个信息系统的安全是很网难的，网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据，才能保障整个安全体系的完备性、合理性。

制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全，软件开发上可选择不同的安全粒度，如记录级，文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理，并与技术策略和措施相结合，从而使信息系统达到整体上的安全水平。其实，在系统的安全保护措施中，技术性安全措施所占的比例很小，而更多则是非技术性安全措施。两者之间是互相补充，彼此促进，相辅相成的关系。信息系统的安全性并不仅仅是技术问

题，而严格管理和法律制度才是保证系统安全和可靠的根本保障。

信息系统安全是计算机信息系统运行保障机制的重要内容。他的不安全因素主要来自以下几个方面：物理部分主要有机房不达标设备缺乏保护措施和存在管理漏洞等。软件部分，安全因素主要有操作系统安全和数据库系统安全。网络部分，包括内部网安全和内h外部网连接安全两方面。信息部分，安全的因素有信息传输线路不安全存储保护技术有弱点及使用管理不严格等。

信息系统安全风险评估是一种对信息系统所面临各类危及信息安全的影响冈素进行的综合评判和分析。由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响，使信息系统的安全存在风险。信息安全风险评估就是要依据同家有关的信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后产生的实际负面影响，并根据安全事件产生的可能性和负面影响的程度来标识信息系统的安全风险。信息系统安全风险评估也是对信息系统所面临威胁的评估和信息系统脆弱性的评估。信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体，这些威胁主要来自于：

1．通过网络进入信息系统的行为人。这种威胁是对信息系统基于网络的威胁，是行为人有意或无意的行为。

2．通过物理方式接近信息系统的行为人。这种威胁是对信息系统的物理威胁，是行为人有意或无意的行为。

3．系统缺陷造成的威胁。包括硬件缺陷、软件缺陷、相关系统的不可用性，重要基建的不可用性造成的威胁。

4．病毒和恶意代码的威胁。目前病毒和恶意代码已经成为影响信息系统安全运行的重要因素。

5．自然灾害的威胁。如洪水、地震或风暴。

信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点，主要有：

1．技术脆弱性：主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。如操作系统存在漏洞，系统巾多个不受控外联网络，没有防病毒工具可能被病毒利用导致系统被病毒感染。

2．组织脆弱性：由于信息系统管理组织的问题，导致信息系统被威胁网素所利用造成对系统的不良影响。如没有人负责防病毒代码库的更新，对系统中介质的使刚没有任何约束，可能被病毒利用导致系统感染。

信息系统安全风险评估是信息系统安全保障体系建立过程中的重要评判方法和决策机制，主要有以下作用：

1．明确信息系统的安全现状。通过评估可以让信息系统的管理组织准确了解自身的网络、各种应崩系统以及管理制度规范的安全现状，从而明晰信息系统安全的需求。

2．确定信息系统的主要安全风险。对信息系统进行信息安全评估并对风险分级，让信息系统的管理组织选择处置措施。

3．指导信息系统安全技术体系与管理体系的建设。信息系统安全风险评估，有助于信息系统的安全策略及安全解决方案的制定，并指导信息系统安全技术体系与管理体系的建没。

通过评估，可以明晰信息系统所面临的安全风险，制定相应的安全策略并组

织实施，使南信息系统所面临的风险引发的安全事件的可能性降低到最小。它是信息系统安全工作的一个重要环节，信息系统的安全策略的制定和实施包括：信息系统安全管理策略；信息系统安全运行策略。安全符理策略规定了针对信息系统的组织管理和技术管理的安全保护策略，包括：

1．信息系统组织策略。它包括人事安全管理制度，操作安全管理制度，场地与设施管理制度，设备安全管理制度，网络维护安全管理制度，操作系统、数据库安全管理制度，计算机网络安全管理制度，应用软件安全管理制度，技术文档、资料安全管理制度，口令安全管理制度，应急管理制度。

2．安全贯彻策略。它主要指为整个信息系统制定统一的安全策略。包括安全策略宣传贯彻体系、安全策略评审与评估体系，整个信息系统安全策略的一致性检查等。

3．人员安全策略。包括定义工作职责中的安全责任，建立人员资质审查策略，与重要员工签署保密协议，建立定期的信息安全教育和培训体系，建立安全事故报告制度，建立安全弱点报告制度，建立软件故障报告制度，建立安全事件分析总结制度，建立违规处罚制度。

4.物理和环境安全策略。包括建立基本的物理安全边界，在重要的信息处理设备进出口处设置保安设施，对所有信息设备采取物理保护措施，保障电力，保护传输电缆，设备定期维护，保障离开安全区域的设备安全，建立设备报废或再启用安全流程。

信息系统访问控制策略包括有：强口令设置管理；身份认证管理；访问外网控制；用户身份及权限及时更新；网络边界安全策略；网络入侵检测。网络系统安全策略包括线路冗余，网络设备冗余，服务器的高可用性。

计算机系统平台安全策略包括计算机防病毒体系的建立、信息系统的审计、主机入侵检测和系统加固。除此之外，还有信息资源管理与安全监控。负责整个信息系统的日常运行维护、资源管理、设备报废、设备登记、软硬件设备接入、网络故障排除、网络流量统计分析、安全设备及安全事件分析处理等。对重要的服务器和重要的客户机进行安全加固，对网络设备及安全设备统一进行安全配置。

(1)定期安全评估。(2)备份与恢复。(3)病毒、漏洞管理。

任何信息安全系统都不可能保障信息系统的绝对安全，因此，必须建立信息系统的应急响应系统，以应付突发事件的发生，使安全事件产生的影响最小化。应急响应体系包括应急组织机构的建立，突发事件的定位，风险控制，限制损害事故的后果，应急预案的确立并经过演练后加以执行，以确保在所要求的时间期限内恢复业务处理，减少事件的影响，减低系统的风险。信息系统的管理组织应针对各自的信息系统的实际情况制定安全应急处理预案，明确应急指挥机构，明确信息安全事件的严重程度和类别以及应急处理流程等内容，编制具体应急方案。应急响应系统应能处理各种应急事件，对应对信息系统的管理人员进行相关的培训，使应急响应系统发挥应有的作用。应急响应系统应跟踪同内外安全事故的发展趋势，使其能够处理新型安全事件的发生。应急响应系统也要制定相应的方案，做到有备无患。

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全风险评估方法

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO2700 2,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。

企业安全生产危险辨识风险评价 危险源辨识、风险评价和风险控制

职业安全健康风险评价标准 （作业条件危险性评价法：D=LxExC） D：危险性分值 L：发生事故的可能性大小 E：人体暴露在这种危险环境中的频繁程度 C：发生事故产生的后果

职业安全健康风险评价标准 （作业条件危险性评价法：D=L×E×C）

危险源辨识、风险评价和风险控制 安全监察部刘庆章 第一讲基本概念 在讲座之前我先介绍南方电网已在二00七年十一月推出了《安全生产风险体系》要求全网要在三年风推进，体系的特色就是通过全员参与、动态持续的风险识别和风险分析，强化风险意识，形成以人为本的安全价值观，科学管理、严谨的过程控制和PDCA循环模式，按标准做事。体系由9个管理单元、51个管理要素、159个管理节点和480条管理子标准组成 体系的9个单元 ?安全管理 ?风险控制与评估 ?应急与事故管理 ?作业环境、生产用具

?生产管理 ?职业健康系统 ?能力要求与培训 ?检查与审核。 安全风险体系要解决什么问题 ?就是要解决安全生产“管什么、怎么管，做什么、怎么做”的问题，能有效推动安全生产管理向科学化、规范化、体系化方向发展。 ?安全管理风险控制离不开危险源辨识。 ?安全权是指企业员工免于职业危害(职业病和职业伤亡)的权利。通过以下八个方面体现： ? 1)职业安全卫生培训、教育的权利； ? 2)安全防护权利； ? 3)接受职业健康、职业病诊疗、康复服务的权利； ? 4)知情权； ? 5)危害、危害后果，防护条件的权利； ? 6)要求改善工作条件，拒绝违章操作、冒险作业的权利；

?7)批评、检举、控告的权利； ?8)要求并获得健康损害赔偿，参与民主管理的权利。危险源辨识、风险评价和风险控制步骤的示意图

安全风险评价管理制度

安全风险评价管理制度 1、目的 规范危险、有害因素识别和评价，增强安全风险预防和控制能力，确保安全生产。 2、适用范围 适用于气雾剂公司安全风险识别、评价和控制的管理 3、职责 3.1各科、组＼车间：负责分管区域生产活动的危险、有害因素的识别、评价、更新和控制管理。 3.2安管科：负责编制危险、有害因素识别和风险评价表，指导各科、组＼车间开展危险、有害因素风险识别、评价，负责各科、组＼车间风险评价记录的审查与控制效果有效性验证。建立、更新《重大危险源档案》，定期进行风险信息更新。 3.3经理： 3.3.1负责组织分管部门生产活动中危险、有害因素风险识别、评价、更新和控制管理工作； 3.3.2负责审核危险、有害因素识别和风险评价结论。 3.4执行董事： 3.4.1负责组织生产活动中危险、有害因素风险识别、评价、更新和控制管理工作； 3.4.2负责审批危险、有害因素识别和风险评价结论。 4、内容与要求 4.1公司建立风险评价组织，组织成员由执行董事、经理、安管科长、各科、组＼车间主管和基层班组长骨干组成。 4.2风险评价和控制以各科、组＼车间为单位进行，各科、组＼车间在安管科的指导下实施。审核由执行董事、经理、安管科负责。 4.3评价依据风险评价准则，从影响人、财产和环境等三个方面的可能性和严重程度，定期和及时对作业活动和设备设施进行危险、有害因素识别和风险评价分析。 4.4各级员工应积极参与所从事生产活动的危险、有害因素的识别、评价工作。主动参加公司和部门组织的相关培训，掌握基本分析评价方法，能自行评价。 4.5同一个项目涉及多个部位作业的（如设备、电气、仪表、几个施工单位等），由各部门自行分析评价后，项目负责人进行汇总。 4.6风险分级管理 4.6.1风险评价依据本制度附录《风险评价方法》进行分级。 4.6.2各科、组＼车间负责对所辖范围内所有的直接作业、操作岗位、关键装置与重点部位进行风险评价。 4.6.3作业风险：重大风险作业由所在部门负责人初审签字，经安管科负责人复审签字后，报执行董事批准；较大风险作业由所在部门负责人初审签字后，报安管科审核批准；中等风险、可接受风险和可忽略风险作业由所在部门负责人签字审核批准。 4.6.4岗位（装置、部位等）风险：重大风险和较大风险所在的岗位（装置、部位等）由所在部门作为重点部位和关键装置按照《安全生产重点部位管理规定》进行管理；中等风险、可接受风险和可忽略风险所在的

信息安全系统风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的性问题提出要求，对安全的评估只限于性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。

信息安全风险评估方案教程文件

信息安全风险评估方 案

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部

安全风险评估和控制管理制度

安全风险评估和控制管理制度 1目的为对公司作业活动和服务过程中的危险、危害因素进行辨识和风险评估，以确定重大危险源，进而为风险控制提供依据，以实现安全管理标准化，特制订本制度 2 适用范围 适用于公司作业活动和服务全过程中风险因素的识别、评价、控制与管理。 3 支持/相关文件 3.1 水利水电工程施工安全管理导则（SL721-2015） 3.2 水电水利工程施工重大危险源辨识及评价导则（DLT 5274-2012) 4 职责和权限 4.1 各职能部门负责识别、评价、控制和管理与本部门相关的风险因素，确定重大 风险源，制定对风险因素的控制办法。 4.2 各项目部负责识别、评价、控制和管理与本单位相关的风险因素，确定重大风 险源，制定对风险因素的控制办法。 4.3 各职能部门、各项目部应根据施工进展，对危险源实施动态的辨识、评价和控 制。 4.4 本制度由公司安全质量环保部负责编制、修订、解释，部门负责人审核、常务 副总经理批准。 5 定义重大危险源根据可能造成的人员伤亡数量和财产损失情况进行分级，可以按 下标准分为4级： 5.1 一级重大危险源：是指可能造成30 人以上（含30 人）死亡，或者100 人以上（含 100 人）重伤，或者造成1亿元以上直接经济损失的危险源。 5.2 二级重大危险源：是指可能造成10 人～29 人死亡，或者50 人～99 人重伤，或者 造成5000 万元以上1亿元以下直接经济损失的危险源。 5.3 三级重大危险源：是指可能造成3人～9 人死亡，或者10 人～49 人重伤，或者造 成1000 万元以上5000 万元以下直接经济损失的危险源。 5.4 四级重大危险源：是指可能造成3人以下死亡，或者10 人以下重伤，或者造成1000 万 元以下直接经济损失的危险源。 6 程序 6.1 工作步骤 6.1.1 选择活动、过程和服务 6.1.2 进行活动、过程和服务中危险源的识别。 6.1.3 进行危险源的定性和定量评价。

信息安全风险评估报告

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月

1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

公司风险评估的管理规定

制度索引号：SFJD-FD-AQ-C2/2017-024 公司风险评估管理规定

◇工作规索引 1．外部规 (1)《安全生产法》（2014年修订版） (2)《防止电力生产重大事故的二十五项重点要求》（国家能源局2014年） (3)《火力发电厂安全性评价》（第二版） (4)《电业安全工作规程（热力和机械部分）GB26164.1-2010》 (5)《电业安全工作规程（发电厂和变电所部分）》（GB 26860-2011） (6)《危险化学品重大危险源辨识》（GB 18218—2009） (7)《生产过程危险和有害因素分类与代码》（GB／T13861—2009） (8)《风险管理术语》（GB/T 23694—2009） (9)《风险管理—风险评估技术》（GB/T 27921—2011） 2．部规 (1)《发电企业风险综合分析方法使用导则》(集团有限责任公司2014修订版) (12) 本单位机组设计标准

公司风险评估管理规定 第一章总则 第一条为了明确和规公司（以下简称公司）在生产业务运营过程中的危险源辨识与风险评估管理工作，促进评估方法的有效运用，落实风险管控措施和方案，降低安全生产风险，有效监控危险源，特制定本规定。 第二条本规定规定了风险评估和危险源评估的程序及管理要求。 第三条术语定义和缩略语 (一)危害因素（简称“危害”）：是指生产过程中可能导致伤害、损失、不良影响等发生的条件或行为。 (二)危害识别：是指识别危害的存在并确定其特性的过程。 (三)风险：是指某一事件发生的概率和其后果的组合。 (四)风险评估：是指包括风险识别、风险分析和风险评价在的全部过程。 (五)外因综合风险分析法：包含设备故障风险评估、生产区域风险评估和工作任务风险评估三种模式。

信息安全风险评估报告

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全风险评估方案

第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

施工现场危险源安全风险评价及控制措施

编号：SM-ZD-46964 施工现场危险源安全风险评价及控制措施 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

施工现场危险源安全风险评价及控 制措施 简介：该方案资料适用于公司或组织通过合理化地制定计划，达成上下级或不同的人员之间形成统一的行动方针，明确执行目标，工作内容，执行方式，执行进度，从而使整体计划目标统一，行动协调，过程有条不紊。文档可直接下载或修改，使用时请详细阅读内容。 1 建设工程施工安全危险源及辨识 建设工程施工安全危险源，是指建设施工活动中可能导致的人员伤亡、财产及物质损坏、环境破坏等意外潜在的不安全因素，包括管理者和作业人员等的不安全意识、情绪和行为；机具、材料、施工设施及辅助设施等的不安全状态；环境、气候、季节及地质条件等的不安全因素，以及这些因素间的相互影响和作用。在建设工程施工过程中，常见的单危险源以及导致的事故主要有：物体打击；高空坠落；坍塌；起重伤害；机具伤害；车辆伤害；触电；火灾；爆炸；雷击；中毒；窒息；气象灾害及地质灾害等。以上危险源或事故，既单独出现，又相互影响，互为因果。同一个危险源对于不同地域、不同环境、不同建设条件、不同建设者、不同作业技术水平、不同工程建设阶段出现的概率及导致的事故风险

安全风险评估管理制度

安全风险评估管理制度 为全面加强安全基础管理～规范、完善安全风险评估工作～提升安全风险预控水平～制定本制度。 一、组织领导 为确保安全风险评估工作的顺利开展～厂专门成立安全风险评估工作领导小组～全面组织领导工作的开展。 组长:***副组长:*** 员:**** 成 组长对此项工作负总责～负责全厂安全风险评估工作的总体规划、组织协调与考核监督。 副组长负责人员协调和物资供应～为安全风险评估各项工作的开展提供人员保障和物资支持。 副组长负责各项制度措施的编写完善、现场评估的考核与隐患问题的解决～为安全风险评估工作提供技术支持。 各成员负责组织做好本车间各岗位的风险评估工作的宣传、排查评估、记录填写等工作。 二、安全风险评估内容 定期对全厂生产设备设施、作业现场、作业人员、制度措施等安全可行性和重大灾害、重大危险源等进行安全风险分析评估～主要包括以下几个方面: 1、新技术、新工艺、新设备、新材料的应用。 2、日常作业的人员、环境、系统、设备设施等。 3、检维修及特殊条件作业。

4、工作流程、生产工序、技术工艺发生变化以及工作区域的设备、设施、环境发生重大变化。 6、其他需要安全风险评估的事项。 三、生产系统及装备安全风险评估 在生产系统、装备投运前、运行中、停运时等各阶段～全过程组织开展安全风险评估工作。 1、设备、物资购置及验收。涉及安全生产的设备、物资购置前～要对设备、物资是否适应安全生产要求进行安全、技术选型论证～并按规定程序报批。设备、物资入库前～应对其完好情况、技术参数、安全性能等进行评估验收～符合要求方可入库。材料、配件、工器具、劳动保护用品等出库投入运行前～使用人员应对其完好情况、安全性能进行检查评估～确认符合安全要求方可投入运行。 2、生产环境及系统运行。定期组织对运行中的生产系统、装备设施、作业环境等进行安全风险分析评估。经分析评估认定为隐患的～按照《南屯煤矿安全生产事故隐患排查治理管理办法》要求进行监控治理。 3、生产系统及装备停运。因放假停产或其他因素影响需停运系统、装备时～要对其安全停运进行综合分析评估。内容包括:停运存在的风险因素～对运行系统的影响,安全隔离措施,停运后安全管理等。 4、生产系统及装备重启。重新启用长期停运的车间、生产线、装备等～或非正常停工、停产系统及长期停运的系统、装备前～要对其安全投运进行综合分析评估。 5、“四新”试验。在涉及安全生产的新技术、新工艺、新设备、新材料试验前～由技术人员对其安全性能、环境适应性、存在的危险因素、 可能造成的危害等方面进行安全性能检验、鉴定～符合要求后方可投入使用。 四、作业现场安全风险评估

安全风险评价管理制度

安全风险评价管理制度 1.目的与编制依据 1.1 编制目的 为规范公司安全风险（以下简称“风险”）的评价管理，及时发现生产安全事故隐患和重大危险源，为制订风险控制措施提供可靠依据，落实“预防为主”的安全生产方针，特制定本制度。 1.2 编制依据 《中华人民共和国安全生产法》（2002） 《危险化学品从业单位安全标准化规范》（AQ3013-2008） 《安全生产岗位责任制》（ZS-AWH-SMP-146-01，2009） 《生产安全事故隐患排查治理管理制度》（ZS-AWH-SMP-01，2009）2.主题内容 本制度规定了风险评价的目的、范围和评价准则，规定了风险评价和风险控制措施管理的工作程序，明确了相关部门的风险管理职责。 3.范围 本制度适用于公司范围内风险评价工作管理。 4.职责 4.1 公司安全生产管理委员会（以下简称“安委会”）为风险评价的归口管理部门，负责制订风险评价计划，组织实施重大项目和常规活动的风险评价，并负责协调、指导、监督风险控制措施的落实。 4.2 安全环保部（以下简称“安环部”）负责协助组织风险评价，编

制评价报告，制订风险控制措施，并参与措施落实工作的组织与监督。 4.3 生产、研发、中试、设备动力、分析技术、行政等部门参与风险评价，负责落实风险控制措施，参与本制度的编制与修订。 4.4 本制度由安委会组织编制、修订。本制度经公司管理程序审核、批准后，由行政部颁布实施。安环部负责将本制度及其修订版本报行政部备案。 5.术语与定义 5.1 风险 发生特定危险事件的可能性与后果的结合。 5.2 风险评价 评价风险程度并确定其是否在可承受范围的过程。 5.3 危险有害因素 可能导致伤害、疾病、财产损失、环境破坏的根源和状态，主要表现为人的不安全行为、物的不安全状态和管理上的缺陷。 5.4 常规/非常规/异常活动 常规活动为日常生产经营中经常出现的活动，具有周期性、重复性的特点，如生产原料的采购和储存、生产设备设施的日常维护清洁、危险化学品的管理使用等；非常规活动为不经常出现的市场经营活动，如新项目的建设或生产工艺改造、新设备或新装置的安装使用等；异常活动为非正常情况下所采取的各类应急措施。 6.风险评价基本要求 6.1 评价范围

信息安全风险评估报告

XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2

3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3

欢迎下载 4 如下： 1. 2017-9-10 ~ 2017-9-10，风险评估培训； 2. 2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3. 2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4. 2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS 工作组内审核； 5. 2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS 工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风 险115个，不可接受风险42个.

安全风险评价和控制管理制度

安全风险评价和控制管理制度 1.目的 识别企业在生产(管理)、服务、活动过程中能够控制 与可能施加影响的危害，评价和确定一级风险、二级风险和重大 风险，以确定一般危害和重大危害，作为制定安全标准化目标的基础与依据，并进行有效控制。 2.范围 公司全体员工。 3.内容 3.1评价组织及职责 (1)本公司成立风险评价小组 组长为本公司安全第一责任人，副组长为分管安全生 产的副总经理和安全办主任，成员为相关部门负责人和安全办成员。 (2)职责 组长：直接负责风险评价工作。组织制定风险评价程 序；审批《重大风险及控制措施清单》。 副组长：协助组长做好风险评价工作。负责风险评价 管理的具体工作；负责组织进行风险评价定期评审； 成员：对各单位上报的《工作危害分析(JHA记录表》、 《安全检查(SCL分析记录表》进行调查、核实、补充完善，确定公司的重大危害和重大风险并编制《重大风险及控制措施清单》和重大隐患项目治理方案；负责相关方风险评价和风险控制。

3.2风险管理 （1）危害识别 1）在进行危害识别时，应充分考虑： ①火灾和爆炸；一切可能造成时间或事故的活动或行 为 ②冲击与撞击；物体打击，高处坠落，机械伤害； ③中毒、窒息、触电及辐射（电磁辐射、同位素辐射）； ④暴露于化学性危害因素和物理性危害因素的工作环 境； ⑤人机工程因素（比如工作环境条件或位置的舒适度、重复性工作、照明不足等）； ⑥设备的腐蚀、焊接缺陷等； ⑦有毒有害物料、气体的泄漏； ⑧可能造成环境污染和生态破坏的活动、过程、产品 和服务：包括水、气、声、渣、废物等污染物排放或处置以及能源、资源和原材料的消耗。 2）同时还应考虑： ①人员、原材料、机械设备与作业环境； ②直接与间接危险； ③三种状态：正常、异常及紧急状态； ④三种时态：过去、现在及将来。 （2）人的不安全行为： 违反安全规则或安全常识，使事故有可能发生的行类

业务系统信息安全风险评估方案

第3章业务系统信息安全风险评估方案 3.1 风险评估概述 3.1.1 背景 该业务系统风险评估的目标是评估业务系统的风险状况，提出风险控制建议，同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。 需要指出的是，本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况，反映的是系统当前的安全状态。 3.1.2 范围 该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。 3.1.3 评估方式 信息系统具有一定的生命周期，在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。 本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。 资产划分是风险评估的基础，在所有识别的系统资产中，依据资产在机密性、完整性和可用性安全属性的价值不同，综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。 对于列为重要及以上等级的资产，分析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面，采取人工访谈。现场核查。扫描检测。渗透性测试等方式，找出系统所存在的脆弱性和安全隐患。 对重要资产已识别的威胁、脆弱性，根据其可能性和严重性，综合评估其安全风险。 3.2 该业务系统概况 3.2.1 该业务系统背景 近年来，由于数据量迅速增加，业务量也迅速增长，原先的硬件系统、应用系统和模式已渐渐不适应业务的需求，提升IT管理系统已经成为刻不容缓的事情。 经过仔细论证之后，信息决策部门在IT管理系统升级上达成如下共识：更换新的硬件设备，使用更先进和更强大的主机；在模式上为统一的集中式系统；在系统上用运行和维护效率较高的单库结构替换原有多库系统；在技术上准备使用基于B/S架构的J2EE中间件技术，并且实施999.999%的高可靠性运行方式；在业务上用新型工作流作为驱动新一代业务系统的引擎，真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率，从而降低成本、提高核心竞争力以应对外部的竞争。 3.2.2 网络结构与拓扑图 该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络，通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网，两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。

安全风险评估与管理制度

安全风险评估与管理制度 通过安全风险评估及风险管理，减少安全风险的影响，以合理有效的管理行为获得最大安全保障。为做好本项目安全风险评估与管理工作，特制定本制度。 第一条组织机构及相应职责 成立安全风险评估与管理领导小组，明确人员职责。 组长：胡振潮 副组长：李国英杨彦岭戈红雷于浩利杜鹏毅 梁辛酉李卫兵 组员：王瑶孙延峰李子强吴海香闫培隆 杨志杰刘世杰孟伟钟亚军 组长负责安全风险评估的全面领导工作。 副组长负责指导组织安全专项施工方案、风险评估报告等相关资料的搜集和编制以及施工中的动态风险管理工作。 组员负责制定计划和策略，确定风险评估对象及目标、风险等级标准和接受准则，提出风险识别和评价方法，编制安全专项施工方案、风险评估报告等相关资料；具体落实本制度规定的相关内容，积极开展安全风险评估与管理工作。组员有权要求其他相关部门参与配合安全评估与管理工作。 第二条风险评估与管理原则 1、隧道风险评估应主要对造成人员伤亡、环境破坏、财产损

失、工程经济损失、工期延误等风险事件进行评估； 2、风险评估是风险管理的基础和重要工作内容，风险管理是风险评估的目的，均应随着项目建设各阶段的推进而动态地进行； 3、隧道风险评估与管理目标为安全风险、环境风险、工期风险等； 4、隧道风险评估与管理应遵循以下基本流程： 第三条风险评估 1、确定风险的来源并分类，建立适合的风险指标体系。风险识别应提出风险指标和风险清单等结果。风险识别方法可采用核对表法、专家调查法、头脑风暴法和层次分析法等。 2、风险估计和评价应建立合理、通用、简洁和可操作的风险评价模型，并按下列基本程序进： （1）对初始风险进行估计，分别确定各风险因素对目标风险发生的概率和损失。风险概率难以取得时，可采用风险频率代替； （2）分析各风险因素对目标风险的影响程度； （3）评价初始风险等级； （4）根据评价结果制定相应的风险处理方案和措施；

施工安全风险评估管理制度

施工安全风险评估管理制度第一章总则 第一条为加强项目桥梁和隧道工程施工安全管理，优化施工组织方案，组织方案，提高施工现场安全预控有效性，根据《关于开展公路桥梁和隧道工程施工安全风险评估试行工作的通知》（交质监发[2011]）217号）的要求，特制定本办法。 第二章目的与适用范围 第二条公路桥梁和隧道施工环境条件复杂，施工组织实施困难，作业安全风险居高不下，一直是行业安全监管的重点环节。在工程实施前，开展定性或定量的施工安全风险估测，能够增强安全风险意识，改进施工措施，规范预案预警预控管理，有效降低施工风险，严防特大事故发生。 第三章评估范围

公路桥梁和隧道工程施工安全风险评估范围，可由各地根据工程建设条件、技术复杂程度和施工管理模式，以及当地工程建设经验，并参与以下标准确定。 第三条桥梁工程 一、多跨或跨径大于40m的石拱桥，跨径大于或等于150m的钢筋混凝土拱桥，跨径大于或等于350m的钢箱拱桥，钢桁架、钢管混凝土拱桥； 二、跨径大于或等于140m的梁式桥； 三、墩高或净空大于100m的桥梁工程（岩根河大桥）； 四、采用新材料、新结构、新工艺、新技术的特大桥、大桥工程； 五、特殊桥型或特殊结构桥梁的拆除或加固工程；

六、施工环境复杂、施工工艺复杂的其他桥梁工程。 第四条隧道工程 一、穿越高地应力区、岩溶发育区、区域地质构造、煤系地层、采空区等工程地质或水文地质条件复杂的隧道，黄土地区、水下或海底隧道工程； 二、浅埋、偏压、大跨度、变化断面等结构受力复杂的隧道工程； 三、长度3000m及以上的隧道工程，Ⅵ、Ⅴ级围岩连续长度超过50m 或合计长度占隧道全长的30%及以上的隧道工程； 四、连拱隧道和小净距隧道工程； 五、采用新技术、新材料、新设备、新工艺的隧道工程； 六、施工环境复杂、施工工艺复杂的其他隧道工程。

《水安全风险评估、管控及预警(专科)》18年6月作业考核1

《水安全风险评估、管控及预警(专科)》18年6月作业考核-0001 试卷总分:76 得分:0 一、单选题 (共 19 道试题,共 38 分) 1.剂量是指给予机体的或机体接触的外来（）的数量。 A.化学物 B.物理量 C.生物量 D.物质 正确答案:A 2.安全饮用水指的是一个人（）饮用，也不会对健康产生明显危害的饮用水。 A.50年 B.30年 C.60年 D.终身 正确答案:D 3.用于描述和评估某一个体未来发生某种特定疾病或因为某种特定疾病导致死亡的（）。 A.机会 B.确定 C.希望 D.可能性 正确答案:D 4.（）指生物有效剂量和与之产生的疾病的联结关系。 A.潜在剂量 B.生物效应 C.内部剂量 D.实用剂量 正确答案:B 5.除丰水年不缺水以外，其他年份仍然经常缺水的称为（）。 A.中度缺水 B.不常缺水 C.经常缺水 D.严重缺水 正确答案:B 6.（）是根据污染物的生物学和化学资料，通过筛选饮用水中的污染物判定是否对饮用人群

健康产生危害。 A.暴露评估 B.危害鉴别 C.不确定性分析 D.风险管理 正确答案:B 7.保证率供水水源保证率不低于90%为基本安全（）。 A.不安全 B.一般安全 C.安全 D.基本安全 正确答案:D 8.饮用水中碳、氢、氧、氨、钙、钾、磷、硫、镁、钠、氯等11种属于（）。 A.常量无机物质 B.生物微量元素 C.有机物 D.放射性元素 正确答案:A 9.农村饮水安全是指农村居民能够获得并且在经济上负担得起符合（）的足够的饮用水。 A.地方标准 B.行业标准 C.国家卫生标准 D.水质标准 正确答案:C 10.风险是可使未来管理过程遭遇损失的不确定性，是指发生不幸事件的（）。 A.机会 B.机率 C.希望 D.确定 正确答案:B 11.水量不低于20～40升为基本安全为（）。 A.不安全 B.一般安全 C.安全