张晓丽

【摘 要】建设工程风险大，建设工程风险因素和风险事件发生的概率均较大，往往造成比较严重的损失后果，参与工程建设的各方均有风险，即使是同一风险事件，对建设工程参与方的后果也会迥然不同。风险评估是建立安全管理体系的基础，在安全领域具有重要地位。本文综合运用定性、定量的方法提出了风险评估流程、模型和方案，使风险评估的过程和结果更具有逻辑性、系统性和可操作性。

【关键词】安全风险；安全措施；风险评估报告

1.前言

建筑业是危险性较大的行业之一，安全生产管理的任务十分艰巨，安全生产不仅关系到广大群众的根本利益，也关系到企业的形象，还关系到国家和民族的形象，甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则，我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明，安全生产已成为生产经营活动的基本保障，更是当前建筑工程行业管理的首要目标。

风险评估的目的是为了全面了解建设安全的总体安全状况，并明确掌握系统中各资产的风险级别或风险值，从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系（ISMS）的基础，也是前期必要的工作。风险评估包括两个过程：风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型，风险评价是指按给出的风险标准估算风险水平，确定风险严重性。

2.风险评估模型与方法

风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。

2.1 资产识别与赋值

一个组织的信息系统是由各种资产组成，资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。

本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。

风险评估的第一步是界定ISMS的范围，并尽可能识别该范围内对业务过程有价值的所有事物。

资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性，完整性，可用性的权重，QC=C / （C+I+A），QI、QA类似。

2.2 识别重要资产

信息系统内部的资产很多，但决定工程安全水平的关键资产是相对有限的，在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。

通常，根据实际经验，三个安全属性中最高的一个对最终的资产价值影响最大。换而言之，整体安全属性的赋值并不随着三个属性值的增加而线性增加，较高的属性值具有较大的权重。

在风险评估方法中使用下面的公式来计算资产价值：

资产价值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表机密性赋值；I代表完整性赋值；A代表可用性赋值；Round{}表示四舍五入。

从上述表达式可以发现：三个属性值每相差一，则影响相差两倍，以此来体现最高安全属性的决定性作用。在实际评估中，常常选择资产价值大于25的为重要资产。

2.3 威胁与脆弱性分析

识别并评价资产后，应识别每个资产可能面临的威胁。在识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是，一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。

识别威胁的关键在于确认引发威胁的人或事物，即所谓的威胁源或威胁代理。建筑企业的威胁源主要是四个方面：人的不安全行为，物的不安全因素、环境的不安全因素、管理的不安全因素。

识别资产面临的威胁后，还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑：威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高（1、2、3、4、5）这五级来衡量。脆弱性，即可被威胁利用的弱点，识别主要以资产为核心，从技术和管理两个方面进行。在评估中可以分为五个等级：几乎无（1）、轻微（2）、一般（3）、严重（4）、非常严重（5）。在风险评估中，现有安全措施的识别也是一项重要工作，因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上，确定威胁利用脆弱性的实际可能性。

2.4 综合风险值

资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时，以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为：

威胁的风险值（RT）=威胁的影响值（I）×威胁发生的可能性（P）；

2.5 风险处理

通过前面的过程，我们得到资产的综合风险值，根据组织的实际情况，和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。

对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级，对于风险级别高的资产应优先分配资源进行保护。

对于不可接收的风险处理方法有四种[3]：

1）风险回避，组织可以选择放弃某些业务或资产，以规避风险。是以一定的方式中断风险源，使其不发生或不再发展，从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞，一旦中标损失巨大，可以选择放弃中标的原则，可能会损失投标保证金，但可避免更大的损失。

2） 降低风险：实施有效控制，将风险降低到可接收的程度，实际上就是设法减少威胁发生的可能性和带来的影响，途径包括：

a.减少威胁：例如降低物的不安全因素和人的不安全因素。

b.减少脆弱性：例如，通过安全教育和意识培训，强化员工的安全意识等。

c.降低影响：例如灾难计划，把风险造成的损失降到最低。

d.监测意外事件、响应，并恢复：例如应急计划和预防计划，及时发现出现的问题。

3）转移风险：将风险全部或者部分转移到其他责任方，是建筑行业风险管理中广泛采用的一项对策，例如，工程保险和合同转移是风险转移的主要方式。

4）风险自留： 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。

选择风险处理方式，要根据组织运营的具体业务环境与条件来决定，总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略，以及管理规范有机结合起来，这样才能达到较好的效果。

通过风险处理后，并不能绝对消除风险，仍然存在残余风险：

残余风险Rr =原有的风险Ro-控制△R

目标：残余风险Rr≤可接收的风险Rt，力求将残余风险保持在可接受的范围内，对残余风险进行有效控制并定期评审。

主要评估两方面：不可接受风险处理计划表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期}；残余风险评估表，主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。

2.6 风险评估报告

在风险评估结束后，经过全面分析研究，应提交详细的《安全风险评估报告》，报告应该包括[4]：

1） 概述，包括评估目的、方法、过程等。

2） 各种评估过程文档，包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级，最终的风险评价等级、残余风险处理等。

3）推荐安全措施建议。

3.结论

目前仍有相当一部分施工现场存在各种安全隐患，安全事故层出不群，不仅给人们带来剧痛的伤亡和财产损失，还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支，涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科，本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素，最终衡量出建设工程的安全状况与水平，为建立安全管理体系ISMS提供基础，对建设工程的风险评估具有一定的借鉴意义。

参考文献：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.

[3]孙强，陈伟，王东红.信息安全管理.北京.清华大学出版社.2004.

[4]王大虎，杨熊，柳艳红.移动通信信息系统安全风险评估研究.中国安全科学学报，2005，15（7）.