什么是信息安全评估

什么是信息安全评估（精选8篇）

篇1：什么是信息安全评估

更多广州企业管理培训资料请访问：http:///qymanage/

什么是安全信息

所谓安全信息指的是在劳动生产中起安全作用的信息集合。它包括很多方面，比如警示信息、上级命令等等诸多方面对安全生产工作起到影响作用的信息总称。安全信息是安全活动所依赖的资源，安全信息是反映人类安全事物和安全活动之间的差异及其变化的一种形式。安全科学是一门新兴的交叉学科。安全科学的发展，离不开信息科学技术的应用。安全管理就是借助大量的安全信息进行管理，其现代化水平决定信息科学技术在安全管理中的应用程度。只有充分地发挥和利用信息科学技术，才能使安全管理工作在社会生产现代化的进程中发挥积极的作用。在日常生产活动中，各种安全标志、安全信号就是信息，各种伤亡事故的统计分析也是信息。掌握了准确的信息，就能进行正确的决策，提高企业的安全生产管理水平，更好地为企业服务。

安全信息的功能

（1）安全信息是企业编制安全管理方案的依据企业在编制安全管理方案，确定目标值和保证措施时，需要有大量可靠的信息作为依据。例如，既要有安全生产方针、政策、法规和上级安全指示、要求等指令性信息，又要有企业内部历年来安全工作经验教训、各项安全目标实现的数据，以及通过事故预测获知生产安危等信息，作为安全决策的依据，这样才能编制出符合实际的安全目标和保证措施。（2）安全信息具有间接预防事故的功能 安全生产过程是一个极其复杂的系统，不仅同静态的人、机、环境有联系，而且同动态中人、机、环境结合的生产实践活动有联系，同时又与安全管理效果有关。如何对其进行有效的安全组织、协调和控制，主要是通过安全指令性信息（如安全生产方针、政策、法规，安全工作计划和领导指示、要求），统一生产现场员工的安全操作和安全生产行为，促进生产实践规律运动，以此预防事故的发生，这样安全信息就具有了间接预防事故的功能。

（3）安全信息具有间接控制事故的功能 在生产实践活动中，员工的各种异常行为，工具、设备等物质的各种异常状态等大量的不良生产信息，均是导致事故发生的因素。企业管理人员通过安全信息的管理方式，获知了不利安全生产的异常信息之后，通过采取安全教育、安全工程技术、安全管理手段等，改变了人的异常行为、物的异常状态，使之达到安全生产的客观要求，这样安全信息就具有了间接控制事故的功能。

安全信息的分类

依据不同的原则，安全信息可有不同的分类方式。

从信息的形态来划分，安全信息划分为：一次安全信息和二次安全信息。

（1）一次安全信息指生产和生活过程中的人、机、环境客观安全性，以及发生事故后的现场。

（2）二次安全信息包括安全法规、条例、政策、标准，安全科学理论、技术文献，企业安全规划、总结、分析报告等。安全信息流技术首先要认识生产和生活中的人一人信息流，人一机信息流，人一环境信息流，机一环境信息流等。安全信息动力技术涉及系统网络管理、工程技术的检验，规范化和标准化的科学管理方法等方面的内容。从应用的角度，安全信息可划分为如下三种类型。（1）生产安全状态信息

包括：①生产安全信息，如从事生产活动人员的安全意识、安全技术水平，以及遵章守纪等更多广州企业管理培训资料请访问：http:///qymanage/

安全行为；投产使用工具、设备（包括安全技术装备）的完好程度，以及在使用中的安全状态；生产能源、材料及生产环境等，符合安全生产客观要求的各种良好状态；各生产单位、生产人员及主要生产设备连续安全生产的时间；安全生产的先进单位、先进个人数量，以及安全生产的经验等。②生产异常信息，如从事生产实践活动人员，进行的违章指挥、违章作业等违背生产规定的各种异常行为；投产使用的非标准、超载运行的设备，以及有其他缺陷的各种工具、设备的异常状态；生产能源、生产用料和生产环境中的物质，不符合安全生产要求的各种异常状态；没有制定安全技术措施的生产工程、生产项目等无章可循的生产活动；违章人员、生产隐患及安全工作问题的数量等。③生产事故信息，如发生事故的单位和事故人员的姓名、性别、年龄、工种、工级等情况；事故发生的时间、地点、人物、原因、经过，以及事故造成的危害；参加事故抢救的人员、经过，以及采取的应急措施；事故调查、讨论、分析经过和事故原因、责任、处理情况，以及防范措施；事故类别、性质、等级，以及各类事故的数量等。（2）安全活动信息

安全活动信息来源于安全管理实践，具有反映安全工作情况的作用。具体包括以下几点。①安全组织领导信息。主要有安全生产方针、政策、法规和上级安全指示、要求及贯彻落实情况；安全生产责任制的建立、健全及贯彻执行情况；安全会议制度的建立及实际活动情况；安全组织保证体系的建立，安全机构人员的配备，及其作用发挥的情况；安全工作计划的编制、执行，以及安全竞赛、评比、总结表彰情况等。②安全教育信息。主要有各级领导干部、各类人员的思想动向及存在的问题；安全宣传形式的确立及应用情况；安全教育的方法、内容，受教育的人数、时间；安全教育的成果，考试人员的数量、成绩；安全档案、卡片的及时建立及应用情况等。③安全检查信息。主要有安全检查的组织领导，检查的时间、方法、内容；查出的安全工作问题和生产隐患的数量、内容；隐患整改的数量、内容和违章等问题的处理；没有整改和限期整改的隐患及待处理的其他问题等。④安全指标信息。具有各类事故的预计控制率，实际发生率及查处率；职工安全教育率、合格率、违章率及查处率；隐患检出率、整改率，安全措施项目完成率；安全技术装备率、尘毒危害治理率；设备定试率、定检率、完好率等。（3）安全指令性信息

安全指令性信息来源于安全生产与安全管理，具有指导安全工作和安全生产的作用。其主要内容如下。①安全生产方针、政策、法规和上级主管部门及领导的安全指示、要求。②安全工作计划的各项指标。③安全工作计划的安全措施计划。④企业现行的各种安全法规。⑤隐患整改通知书、违章处理通知书等。

安全信息应用的方式、方法

依据安全信息所具有的反映安全事物和活动差异及其变化的功能，从中获知人们对物的本质安全程度、人的安全素质、管理对安全工作的重视程度、安全教育与安全检查的效果、安全法规的执行和安全技术装备使用的情况，以及生产实践中存在的隐患、发生事故的情况等状况，用于指导安全管理，消除隐患，改进安全生产状况，达到预防、控制事故发生的目的。

（1）安全信息应用的方式

安全信息应用方式是指依据安全管理的需求，运用安全管理规律和安全管理技术确立的对安全信息进行应用管理的形式。大致有如下九种。安全管理记录，如安全会议记录，安全调度记录，安全教育记录，安全检查记录，违章记录，隐患记录，事故记录，事故调查记录，事故讨论分析记录等；安全管理报表，如事故速报表，事故月报表，安全管理工作月报表等；安全管理登记表，如伤亡事故登记表，非伤亡事故登记表，重大隐患整改表，违章人员控制更多广州企业管理培训资料请访问：http:///qymanage/

表等；安全管理台账，如事故统计台账，职工安全管理统计台账，隐患统计台账，安全天数管理台账等；安全管理图表，如安全组织体系图、事故动态图和安全工作周期表等；安全管理卡片，如职工安全卡，安检人员卡，尘毒危害人员卡，工伤职工卡，新工人卡等；安全管理档案，如职工安全档案、事故档案、安全法规档案、计划总结档案、隐患管理档案、违章人员管理档案、安全文件档案、安全宣传教育档案、尘毒危害治理档案、安全措施工程档案、安全技术设备档案等；安全管理通知书，如隐患整改通知书，违章处理通知书等；安全宣传信息，如安全简报、安全板报、安全广播、安全标志、安全天数显示板、安全宣传教育室等。

（2）安全信息应用的方法

安全信息既来源于安全工作和生产实践活动，又反作用于安全工作和生产实践活动，促进安全管理目的的实现。因此，对安全信息的管理，要抓住安全信息在安全工作和生产实践中流动这个中心环节，使之成为沟通安全管理的信息流。安全信息的应用方法，是以收集、加工、储存和反馈这四个有序联系的环节为主，促使安全信息在企业安全管理中流通。

（3）安全信息的收集方法

①利用各种渠道收集安全生产方针、政策、法规和上级的安全指示、要求等。②利用各种渠道收集国内外安全管理情报，如安全管理、安全技术方面着作、论文，安全生产的经验、教训等方面的资料。③通过安全工作汇报、安全工作计划、安全工作总结，安全检查人员、职工群众反映情况等形式收集安全信息。④通过开展各种不同形式的安全检查并利用安全检查记录，收集安全检查信息。⑤利用安全技术装备，收集设备在运行中的安全运行、异常运行及事故信息。⑥利用安全会议记录、安全调度记录和安全教育记录，收集日常安全工作和安全生产信息。⑦利用事故登记、事故调查记录和事故讨论分析记录，收集事故信息。⑧利用违章登记，违章人员控制表，收集与掌握人的异常信息。⑨利用安全管理月报表、事故月报表，定期综合收集安全工作和安全生产信息。

（4）安全信息的加工

安全信息的加工，是提供规律信息，指导安全科学管理的重要环节。对信息进行加工处理，就是把大量的原始信息进行筛选、分类、排列、比较和计算，聚同分异、去伪存真，使之系统化、条理化，以便储存和使用。具体的加工分以下几个方面。①利用事故统计台账，对事故的类别、等级、数量、频率、危害等进行综合分析，进而掌握事故的动向。②利用隐患统计台账，对隐患的数量、等级、整改率、转化率进行综合统计分析，进而发现隐患，‘掌握导致事故发生的情况，并将其整改使之消除。③利用职工安全统计台账，对职工的结构、安全培训、违章人员、发生事故等情况进行综合统计分析，进而掌握职工的安全动态。④利用安全天数管理台账，对事故改变安全局面，影响安全天数的事故单位、事故时间、类别、等级，以及过去连续安全生产天数等，进行定期累计，从中掌握企业的安全动态。

（5）安全信息的储存

安全信息的储存方法，除可利用各种安全管理记录、各种报表进行临时简易储存外，还可以利用如下信息管理形式进行定项、定期储存。①利用安全管理台账，既可以对安全信息进行处理，又可以对安全信息进行积累储存待用。②利用安全管理卡片，可以对安全管理人员、工伤职工、特种作业人员、新工人、尘毒危害人员的自然情况和动态变化，进行简易储存待用。③利用安全管理档案，可以对安全信息进行综合、分类储存。④也可以运用电子计算机，对安全信息进行加工处理和储存。更多广州企业管理培训资料请访问：http:///qymanage/

（6）安全信息的反馈

安全信息的反馈，具有指导安全管理，改进安全工作和改变生产异常的作用。反馈的方式主要有两种：一是直接向信息源反馈；二是加工处理后集中反馈。①通过领导讲话、指示、要求和安全工作计划、安全技术措施计划、安全法规的贯彻执行，对安全信息进行集中反馈。②利用各种安全宣传教育形式，对安全信息进行间接反馈。③利用各种管理图表，反映安全管理规律，安全工作进度和事故动态。④发现人的异常行为、物的异常状态等生产异常信息，当即提出处理意见，直接向信息源进行反馈。⑤利用违章处理通知书和隐患整改通知书，对违章人员和发现的隐患提出处理意见，也是对安全信息的一种反馈。

安全信息的质量与价值

信息质量是指信息所具有的使用价值。信息的使用价值，是由收集信息的及时性，掌握信息的准确性和使用信息的适用性所构成的。信息的价值取决于如下几方面。（1）信息的及时性

信息的及时性指收集和使用信息的时间所具有的使用价值。如果不能及时地收集、使用应收集、使用的信息，错过了收集和使用的时间，信息就失去了应有的作用。这是因为，生产实践活动处在不断发展变化之中，生产中的安全与事故不仅同生产活动方式联系在一起，而且也同人们的管理方式联系在一起。例如，人们在进行安全管理中，如果能够做到及时地发现并及时纠正劳动者在生产中的异常行为，消除设备的异常状态，这样就能有效地抑制事故的发生。反之如果不能及时发现劳动者的异常行为和设备的异常状态，不能及时地纠正劳动者的异常行为和消除设备的异常状态，迟早要导致事故的发生。由此可见，安全信息的使用价值与信息的及时收集和使用联系在一起，因此安全信息的及时性，属于信息管理质量的范畴。（2）信息的准确性

信息的准确性，是指真实的、完整的安全信息所具有的全部使用价值。收集到的安全信息如果不真实或不完整，会影响信息的使用效果，有的可能失去应有的使用价值，有的可能失去部分使用价值，甚至导致领导者做出不符合实际的使用决策，贻误了安全管理工作。例如，有一名高空作业人员没有按规定系安全带，原因是没有安全带，领导就决定让他进行高空作业。在收集此信息时，如果只收集到高空作业人员没有系安全带的违章作业行为，没有掌握到领导违章指挥的事实，这样在使用高空作业人员没有系安全带这个信息时，就会导致由于对信息掌握的不全面而影响信息使用的全部价值。其结果只解决了高空作业人员的违章作业问题，而没有解决领导者的违章指挥问题。（3）信息的适用性

信息的适用性，是指适用的安全信息所具有的使用价值。在应用安全信息加强安全管理中，收集掌握的安全信息，有的是储存的，可以直接使用的；有的是需加工后使用的；有的是储存待用的；也有的是无用的。其中，由于人们的需求和使用的时间、使用的方式、使用的对象不同，这样安全信息的适用性就决定了信息的使用价值。只有适用的安全信息才有使用价值。因此，在应用安全信息中，除要注意收集、选择直接能应用的信息外，还要学会加工处理信息，使它具有使用价值，才能更好地发挥信息的作用。（4）安全信息流

保证安全信息流的合理、高效状态是信息发挥其价值的前提。安全生产过程的信息流形态有人一人信息流（作业过程员工间的有效、可靠配合）；人一机信息流（机器、设备、工具的有效控制和操作）；人一环境信息流（人对环境的感知），机一环境信息流（高效的自动控制等）。

安全信息的处理技术 更多广州企业管理培训资料请访问：http:///qymanage/

安全信息的处理技术：安全管理信息系统

20世纪80年代以来，随着现代安全科学管理理论和安全工程技术，以及微机软、硬件技术的发展，在工业安全生产领域应用计算机作为安全生产辅助管理和事故信息处理的手段，得到了国内外许多企业和部门的重视。这一技术正不断得到推广应用。国外很多专业领域，如航空工业系统、化工工业系统，以及像美国国家职业安全卫生管理部门、国际劳工组织等机构，都建立了自己的安全工程技术数据库和开发了符合自己综合管理需要的系统。在国内，很多工业行业也都开发有适合自己行业使用的各种管理系统。如原劳动部门开发了劳动法规数据库和安全信息处理系统；航空、冶金、煤炭、化工、石油天然气等行业，都开发了事故管理系统、安全仿真培训系统等。近几年来，国内各行业都在大力推行安全科学管理理论，有的行业开展了事故预测活动和安全评价技术的应用研究，并且在一定范围内获得了成功。国家有关部门已将此项技术列入“九五”期间的发展规划。1999年底在国家经贸委安全生产局的主持下，国家事故中心开发推广网上事故信息管理，在政府首先使用计算机网络技术进行事故信息的系统管理。目前，国内许多企业、部门及研究院、所正在积极进行这方面的研制和推广工作。在安全信息技术方面，开发了很多实用软件，如“事故信息管理与分析系统”、“安全生产综合信息管理系统”、“职业安全健康法规、标准数据库系统”、“石油勘探开发安全生产多媒体培训系统”、“建筑安全生产多媒体培训系统”、“故障树分析系统（FTA）”、“安全评价系统”、“安全工程电子课件系统教材”、“危险源预控与应急信息系统”等。对安全信息技术方面的发展趋势进行全面分析，把现代的计算机技术与安全科学管理技术有机地结合；把安全系统管理和事故分析预测、预警、辅助决策相结合；利用多媒体技术和仿真演示技术提高安全教育和培训的功能认识和效果，将会大大促进现代企业安全管理、安全教育的发展，提高事故预防能力和安全生产保障水平。

更多广州企业管理培训资料请访问：http:///qymanage/

篇2：什么是信息安全评估

信息---》信息技术---》信息安全 信息通俗的说：

有意义有价值的资料，表现形式多种多样：语音，图像，图片，流媒体，数据信息技术就是对其进行加工处理的方法。机密性，可靠性，完整性，保护，监测，反应，恢复。保护的过程性和周期性。

信息安全的现实需求及意义

1.个人安全

网络钓鱼，支付的安全问题，木马 解决方式：一个系统一级的安全防护 2.企业安全

企业的信息安全是一个很复杂的体系结构工程。遵循“木桶原理”（1）木马/黑客/病毒（2）系统漏洞（3）犯罪取证（4）电子商务安全

企业要具有较强的网络安全防护能力，企业内部要有安全的完善的安全管理机制，并且要定期的巡查，并要注意电子商务安全。计算机的取证技术及痕迹跟踪技术，系统日志中的异常行为和异常现象进行查看。做到“拿不掉，看不到，赖不掉”看不到就是有加密与解密技术并不是通过明文的方式将信息储存在电脑中。3.国家信息安全

（1）充分研究网络攻击技术（2）全面掌握网络防范技术

例如：强身份认证技术，基于生物特征的生物认证技术（3）建立健全完备的应急响应机制 攻得进，守得住，打不垮

信息安全防护体系

当今网络表现出来的特点：

接入方式多样化，联网对象广泛，安全形势严峻 安全防御阶段：

事前防御：网络隔离，访问控制，实时监测

实时监测：病毒检测，入侵监控，系统/用户行为监测 事后响应：报警、急救、取证、问责、修复、加固 保护阶段：加密解密，身份认证，访问控制，放火墙，操作系统安全 监测阶段：入侵监测，漏洞检测 反应阶段：电子取证，入侵追踪 恢复阶段；数据恢复，系统恢复 信息技术前景展望：

计算能力：量子计算，DNA计算

计算与应用模式:云计算（数据隔离，隐私保护），物联网（安全体系，信息控制，隐私保护）

篇3：信息安全风险评估与安全预算

一、如何看待安全预算

安全预算是各类企事业单位为保护信息资产, 保证自身可持续发展而投入的资金, 是一种预防行为。安全预算多少合适, 是不是投入得太多了?虽然安全问题越来越受到重视, 但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。

在国外, 安全投入占企业基础建设投入的5%~20%, 这人比例在中国的企事业中却很少超过2%。从风险的角度看, 就是要平衡成本与风险之间的关系, 用一百万美金保护三十万的资产, 显然是不可接受的, 但是如果资产的价值超过了一千万美金, 产生的效益就显而易见, 目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来, 并没有发生重大的信息安全事件, 年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件, 那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系, 每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算, 我国也有数百亿美元的经济损失, 然而安全方面的投入却不超过几十亿美元。由此可以看出, 我国整体信息化建设, 安全预算不足。

一个单位在安全方面投入了很多, 但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论, 很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金, 但是却不关注内部人员的考察、安全产品有效性的审核等安全要素, 缺乏系统的、科学的管理体系支持, 都是导致这种结果产生的原因。

二、科学制定安全预算

信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做, 一是因为信息安全涉及到很多方面的问题, 例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理, 应该关注以下几个方面: (1) 是否“平衡”了成本与风险的关系; (2) 是否真正用于降低或者消除信息安全风险, 而不是引入了新的不可接受风险; (3) 被关注的风险是否具有较高的优先等级。

信息安全风险评估恰恰解决了以上问题, 通过制定科学的风险评估方法、程序, 对那些起到关键作用的信息和信息资产进行评估, 得出面临的风险, 然后针对不同风险制定相应的处理计划, 提出所需要的资源, 从而利用风险评估辅助安全预算的制定。

三、风险评估过程

目前国际和国内都有一些比较成熟的风险评估标准及指南, 通常包括下述几个过程: (1) 确定评估的范围、目的、评估组、评估方法等; (2) 识别评估范围内的信息资产; (3) 识别对于这些资产的威胁; (4) 识别可能利用这些威胁的薄弱点; (5) 识别信息资产的损失给单位带来的影响; (6) 识别威胁时间发生的可能性; (7) 根据“影响”及“可能性”计算风险; (8) 确定风险等级及可接受风险的等级。

风险评估过程中, 应该考虑那些应该输出的必要信息、表示方式等问题。例如, 风险评估的方法, 如果采用简单的评估方法, 其输出的结果往往不够细致, 进而不能很好的辅助制定预算的决策过程。从整个评估的过程看, 应该考虑以下几方面的问题: (1) 科学选择风险评估人员。风险评估过程中, 通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入, 那么在整个风险评估的过程中, 都应该考虑到对制定预算起到关键作用的管理层人员的加入。 (2) 准确采取风险评估方法。风险评估通常采用定性和定量的分析方法。需要更多地考虑如何量化一些关键指标, 作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系, 也更利于各部门横向沟通, 及与管理层的纵向沟通。 (3) 查找导致风险的威胁及薄弱点。在进行风险评估时, 应该系统地考虑来自各个方面的威胁。目前, 仍然有很多人对于风险评估的理解还停留在“技术关注”的层面, 这样的风险评估显然是不够的。 (4) 选择适当的控制措施。针对风险评估所产生的不可接受风险, 应该采取一定的控制措施对风险进行处理。风险的处理方式通常包括:降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同, 同样的处理方式所采取的控制措施也可能不同。所以就应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避, 而是要降低到一个可以接受的水平。另外控制措施的选择也要考虑到成本的问题, 任何单位不需要部署所有的安全产品, 也没有必要追求风险最小化。

篇4：政府绩效评估是副什么药？

日前，一份在网络上流传的北京某交警支队《绩效考核办法》，详细地曝光该支队交警的绩效考核标准。这份长达12页的文件被网友以扫描图片的方式贴到了网上，其中部分涉嫌“鼓励罚款”的条款招来一片骂声，一些网民把矛头指向了“绩效考核”的政策制定。

这份考评内容中规定：处罚交通违法每1笔，加0.1分，少一起减0.2分；处罚每笔平均金额超过100元，每多10元，加1分；处罚闯红灯、涉牌严重违法行为，每1笔，加0.3分，少1笔，扣0.5分……民警处罚笔数日均不能低于8笔，新警不低于2笔。未完成的，一次性扣30分，并按照未完成的笔数累加扣分。每月对排名靠前的民警进行通报表扬，对排名靠后的进行告诫谈话，当月未完成执法纠违常量的，要评为当月末位民警，季度奖金降为三等……

交通警察的职责是维护交通安全，而这份以罚款为指标的考核办法多少带有一些“放纵违章”的味道。现实中，这种目标与使命错位的例子并不少见，许多地方的环保监察、计划生育、GDP增长考评都异化为罚款或排名的工具。

政府绩效评估旨在提高政府行政效能，我国已有三分之一以上的省区市探索并施行了政府绩效评估制度，但某些地方和部门的绩效评估为何惹来“与民争利”的骂名？

国家行政学院政府绩效评估中心副秘书长刘旭涛认为，这是政府績效评估理念导入出现了偏差，并不是绩效评估本身的问题。“绩效评估是一副好药，但用错了方向反而会起反作用。”

评估是为了“诊断”而不是“排名”

事实上，一些地方和政府部门对政府绩效评估是“干什么，解决什么”的问题并不是很清楚。“仅仅是为了评估而评估，或是为了排名而评估。”

刘旭涛告诉《小康》，政府绩效评估本质上是一个发现问题、诊断问题的工具，它能解决一些问题，但工具毕竟是工具，并不能解决行政管理中的所有问题。“绩效评估是一种在技术上存在缺陷的工具，‘测不准’在绩效评估中是一个原理。”

评估指标和绩效永远存在差异。比如，评估一个地区的经济发展，实际上我们测的是GDP、招商引资、财政收入等可以量化的指标，但它并不能完全真实地代表这个地区的经济发展水平。如果我们用一个本身就不够精确的评估结果去打分排名、评比评优，显然不够客观，而且会引发欺骗行为、弄虚作假的问题，或是有意识地回避整体性工作——“考核什么就干什么，不考核的就不去干”。然而，从技术的角度看，我们的指标不可能覆盖所有的工作。

西方发达国家的绩效评估也存在同样的问题，但他们更多地把绩效评估作为发现问题、诊断问题，不断提高政府管理手段的工具，而不是像我们这样强调打分排名、评比评优。

北京大学政府绩效评估中心主任周志忍指出：“我们目前在评估结果的使用上存在两个极端，一个极端是绩效评估结果与官员考核毫不相关，有些地方的绩效评估结果很差，但官员照样升迁的很快；另一个极端是过于急功近利，不顾实际情况，“一票否决”、“末位淘汰”的处罚相当严厉。高压之下，一些部门和官员只能靠杜撰数据、弄虚作假来应付考评。甘肃省曾经有几个缉毒警察为摆脱末位排名，竟然设套陷害百姓，致使3名普通百姓被扣上了“毒枭”的罪名……

周志忍痛心地说，政府绩效考核的目的是提高公共服务质量和老百姓满意度，如果绩效评估导致与民争利，甚至坑害百姓的行为，会让每一个推动这项工作的人感到无地自容，还不如不搞。

经济统计数据、民意测评数据等量化指标的真实与否，直接决定绩效评估结果是否公正。倘若考核的信息有虚假成分，那么诊断的结果自然就不会准确。“就象医生对一个人做体检一样，先用一套科学的指标体系对政府组织进行诊断，再提出怎么改进。”刘旭涛说。

然而，恰恰是在这方面，“政绩不够、数字来凑，官出数字、数字出官”这个流传很广的顺口溜表明统计数字注水问题非常普遍。仅2007年，全国查处的统计违法案件就高达19096起，其中虚报、瞒报的将近50%。刘旭涛教授称这种现象为“数字化陷阱”。

他认为，政府绩效评估出现了虚假信息，很大程度上是对绩效评估的价值导向上出现了问题，而不是技术本身的问题，是绩效评估参与人的动机和行为出了问题。“所以，我们不单是要怎么样去开发一套好的评估技术，更重要的是对政府绩效评估理念要有重新认识。”

政府绩效评估中的一个重要理念是“结果导向”。现实中，很多人对“结果”的理解并不相同，在周志忍教授看来，公安机关每天出动多少警力、巡逻多少次、抓获多少犯罪分子、查处多少违规车辆，这不是“结果”而是“产出”，老百姓不会关心这些数字。他们关心的是晚上睡觉要不要关窗，要不要装防盗护栏，晚上女儿放学要不要去接，交通事故是不是降低了，安全感是不是提高了，这些才是老百姓可以感受到的“结果”。

强调“结果导向”并非不重视过程，但在完成结果的过程中，更希望得到一个公正、真实的结果。在某些领域“结果”有很多不可控的因素，比如，各地的经济基础不一样，当地官员付出的努力越多，GDP的增长未必会越高。此外还有一个大环境的因素，中国GDP增长连续多年超过10%，但金融危机的时候，当地官员付出的努力再多，也很难超过10%的增长率。所以，仅仅看“结果”并不能反映政府的真实效能。

“绩效打分你也是十分，他也是十分，从总分来说是一样的，但实际上可能是不一样的”。刘旭涛说，算总分只是解决排名的问题，但真正哪些是优点，哪些是缺点，哪些是需要改进的，从总分上并没有看出来。反而掩盖了很多缺点，或者说把绩效评估的信息给过滤掉了。“其实我们更希望知道你的优点是什么，你的缺点是什么，下一步怎么去改进。”

“公民参与”需要技术理性

20世纪90年代末，随着公民政治参与观念的加强，“公民评议政府”作为一种新的绩效评估形式被许多地方政府引入：1998年沈阳市推行“市民评议政府”，1999年珠海市举行“万人评政府”，2000年邯郸市开展“市民评议政府及政府部门问卷调查活动”，2001年杭州市开展“满意不满意评选活动”，2002年邵阳市推行“优化经济环境综合测评”，2003年北京市开展“市民评议政府”等等，都是公民参与政府绩效评估的地方探索。

“公民参与评议政府，无疑是一种进步，但技术上还需要改进和完善。”刘旭涛教授把绩效评估的“公民导向”分为政治理性和技术理性。公民导向在政治理性上必须坚持，但在技术上需要解决信息对称和需求对称的问题，信息对称是指公民对评估的内容了解不了解，需求对称是指公民对评估的内容关心不关心。如果这两个都不对称，公民怎么能打出合理的分数呢？

虽然有很多城市开展万人评政府、千人评政府，但有时候评价的结果令人尴尬。有些涉及老百姓的切身利益，而对其期望值又很高的部门，往往会打很低的分；有些和老百姓没有直接利益关系，甚至老百姓都不知道它是做什么的部门，往往会打很高的分。如果把全市所有部门都打分排名，有的部门再怎么努力也是排在后面……所以，现在很多地方并不把公民参与的评估结果作为严谨的决策依据。

在信息对称方面，刘旭涛教授比较推崇山东烟台市建委率先实施的社会服务承诺制，这是借鉴英国公民宪章运动经验的一次成功尝试，可惜这些好的做法并没有与后来开展的社会评议很好地结合起来。

在需求对称方面，他认为北京市海淀区这几年的做法比效成熟：把“公民”分成不同的类别，面向企业的政府部门，就由企业来打分；面向社区的部门，就由社区居委会来打分；直接為老百姓服务的窗口部门，就由群众来打分……

刘旭涛说，公民参与政府绩效评估要对政府的服务对象类群细分，根据部门的特点选择其具体的服务对象作为评议主体，在考虑引入某一类评议主体的时候，我们应该问一下：他对评议的内容是否了解？是否关心？了解到什么程度？比如宗教局之类的部门，面向的是宗教人士，那就不能在大街上随便找些老百姓来评价。

不宜出台全国统一管理法规

4月25日，《中国政府绩效评估报告》正式出版发行，该报告推出了“山东青岛的整体推进型、江苏邳州的战略导向型、贵州省直机关的目标责任制型、江苏南通的三位一体型、上海杨浦的问绩于民型、河南洛阳的干部实绩型”六种绩效评估模式。

六种典型模式虽然各有特色，但都有一个不足，就是政府绩效管理的法律制度基本处于空白状态，因此很多人希望中央能设计出一套“普适”性的指标体系。

在《小康》采访中，专家们普遍认为中央不宜出台过细的、整齐划一的政府绩效管理文件或法律制度。现在全国各地的模式不太一样，有的模式是重点解决本地区的某一项问题，搬到其他地方不一定就是好模式。中央可出台一个指导思想，突出绩效评估的价值导向，并给予一定的技术支持就可以了，要给地方政府和部门一定的自主性，要允许有地方特色。

中国行政学会政府绩效管理研究会秘书长张定安向《小康》透露，国务院曾指定原国家人事部起草有关政府绩效评估的指导意见，目前这项工作已经交由监察部牵头去做。而在去年的政府工作报告中，“政府绩效评估”的提法已经改成了“政府绩效管理”，这是一种理念上的进步。

政府绩效评估被国际上认为是行政管理的一场“静悄悄的革命”。“绩效评估对行政改革很重要，但是在落实方面的作用更大一些，如果把绩效管理看作一个过程的话，绩效评估只是一个环节。”周志忍教授认为，管理层面的改革是当代发达国家政府改革的侧重点，而绩效管理是管理改革最有效的工具之一。

外国政府绩效评估发展趋势

府绩效评估的实践最早可追溯到第二次世界大战以前，其发展过程大致经历了三个阶段，一是起步阶段，20世纪40年代至70年代。第二个时期是大规模发展阶段，20世纪70年代到90年代。第三个时期是规范深化阶段，20世纪90年代至今。进入20世纪90年代，政府绩效评估的发展出现了新的趋势：

一是绩效评估逐步走向制度化、法制化。1993年7月，美国政府颁布了《政府绩效与结果法》，规定“每个机构应提交年度绩效规划和报告”，财政预算与政府部门绩效挂钩。英国1997年颁布的《地方政府法》规定，地方政府必须实行最佳绩效评价制度，各部门每年都要进行绩效评估工作，要有专门的机构和人员及固定的程序。日本也于2002年出台了《政府政策评价法》。

二是绩效评估的主体多元化。在评估过程中有公民和服务对象的广泛参与，由单纯的政府机关内部的评估发展到由社会机构进行评估。美国民间机构锡拉丘兹大学坎贝尔研究所自1998年以来就与美国《政府管理》杂志合作，每年对各州或市的政府绩效进行评估，并发布评估报告，引起了政府和民众的广泛关注，一些州政府在对其部门年终业绩进行评估时，也往往请专门的社会评估机构参与。

三是评估主题的公民导向。20世纪90年代以来，有关质量和顾客满意度指标在评估指标体系中大幅度增长，加拿大等国家还进行大范围的政府顾客满意度调查，将提升顾客的满意度作为政府绩效的目标。

四是评估技术不断成熟，科学化程度提高。包括信息技术、量化技术、针对不同部门不同的评估方式和方法技术。

篇5：什么是贷款项目评估？

贷款项目评估是对申请银行贷款的项目，在其可行性的研究、设计任务书或年度贷款计划正式批复之前，贷款银行对项目建设的必要性、技术的合理性、财务效益和国民经济效益的可行性所进行的论证分析评价工作。在我国，率先开展贷款项目评估的是中国投资银行。1980年，我国恢复在世界银行的席位以后，开始向世界银行借入基金。1981年，我国政府决定设立中国投资银行，作为办理世界银行中小项目借贷的中间金融机构。经过多次谈判，中国政府与世界银行于1982年12月签订了第一笔7000万美元的工业信贷协定，并由中国投资银行转贷给国内企业。世界银行对向它借款的各中间金融机构有一个共同要求，即选择贷款项目必须事先进行周密的研究评估。从1983年开始，中国投资银行对转贷世界银行的贷款项目进行了评估。1984年开始，中国人民建设银行学习了世界银行管理项目的科学方法，对利用建设银行存款发放贷款的项目，在发放贷款前，进行周密的评估论证。此后，其他的一些国家专业银行和商业银行也相继开展了贷款项目评估工作。

建设银行对新建贷款项目的评估审查，一般包括以下内容：

1项目概况分析；2产品市场需求分析；3项目建设条件评估；4生产条件评估；5项目投资区域环境评估；6工艺技术评估；7基础财务数据的测算评估与表格编制；8财务效益指标的计算和分析；9国民经济评估；10银行效益与风险评估；11社会效益评估；12不确定性分析；13总结评估与决策建议。对于项目业主已经确定的新建贷款项目，除对贷款项目的上述内容进行评审外，还对项目业主的贷信状况，企业领导人的政治业务素质、管理水平和经营能力进行评估审查。

建设银行从1984年开展项目评估工作以来，为优化信贷资金投向，支持国家重点建设，促进贷款决策科学化，收到了显著的效果，据统计，仅1991年到1996年6年间，建设银行共评审各类固定资产的贷款项目20535多个，经过评估审查，对不符合国家产业政策要求，经济效益差、贷款清偿能力低、建设规模不合理，产品市场无销路、原材料来源无保证的4818个项目，根据项目具体情况，分别提出了取消立项、不予承诺贷款的建议，并得到了有关部门的采纳，从而避免了1087亿元人民币信贷资金和3.7亿美元的风险投入；对于有发展前景、投资效益好的项目，建设银行开放“绿灯”，积极扶持上马，协助项目法人完善贷款项目的建设、生产条件及相应外部环境，落实缺口资金的来源，保证了项目的顺利建设实施，提高了投资的效益。

篇6：听觉康复的评估标准是什么

听觉康复评估包括数量评估和功能评估：数量评估即运用专业的测试设备，测试聋人裸耳和配戴助听器后各个频率的阈值，并对其阈值加以分析的过程。它主要反映耳蜗的功能。功能评估即选用一组单字或一组双音节单词，聋儿要选择适合其年龄、智力、听力、语言等方面特点的简单词汇要有一定的语言基础，运用专业的测试设备测试听障者的言语分辨率，并对其结果加以分析的过程。此项检查可以反映整个听觉通路的全过程，因此是常用的评估方法并经常与数量评估相配合使用。具体的评估和等级划分标准如下：

(1）戴助听器后测助听听阈，如果从250—4000Hz的听力补偿均能进入言语频谱范围内(香蕉图），且言语分辨率≥90%，助听效果是最合适的听觉康复的效果，属于一级。

(2）戴助听器后测助听听阈如果从250—3000Hz的听力补偿能进入言语频谱范围内，而4000Hz的听力补偿未进入言语频谱范围内，言语分辨率）80%，助听效果为适合听觉康复的效果，属于二级。

(3）戴助听器后测助听听阈，如果从250～2000Hz的听力补偿能进入言语频谱范围内，而3000～4000Hz的听力补偿未进入言语频谱范围，言语分辨率≥70%，助听效果为较合适听觉康复的效果，属于三级。

(4）戴助听器 后测助听听阈，如果从250～1000Hz的听力补偿能进入言语频谱范围内，而2000～4000Hz的听力补偿未进入言语频谱范围，言语分辨率≥44%这种情况就需要借助“看话”来帮助学习和理解语言听觉康复的效果，属于四级。

关于助听器的几个问题

问题

一、助听器会不会戴越聋

答：助听器不会越戴越聋的。很多人觉得，随着时间的推移，戴用眼镜的度数越来越高，视力也越来越差，因此推断戴用助听器后听力也会越来越差。想想看，如果不戴眼镜，视力会提高、维持不变还是会继续下降呢？老花眼而不戴花镜，随着年龄的增长，“老花”同样会越来越重，这是视力功能退化的必然结果；同样，近视而不戴眼镜，近视的程度也会加重。听觉是同样的道理。有需要而不用助听器，只会加重听觉困难，加速听觉退化过程。反过来说，戴用适宜的助听器本身，不会导致听力越来越差。

有一种情况例外----耳聋患者使用不适合他们的助听器会加重听力损失。300度的近视眼戴用800度的近视镜显然有害而无益，助听器也是如此。所以，助听器也需要验配，而且是比眼镜更复杂、更细致的验配。确切地说，佩戴经过准确验配的适宜的质量合格的助听器才不会加重耳聋的程度，才有利于减缓耳聋进程。

问题

篇7：什么是地质灾害危险性评估

地质灾害危险性评估是对地质灾害的活动程度进行调查、监测、分析、评估的工作，主要评估地质灾害的破坏能力。地质灾害危险性通过各种危险性要素体现，分为历史灾害危险性和潜在灾害危险性。历史灾害危险性是指已经发生的地质灾害的活动程度，要素有：灾害活动强度或规模、灾害活动频次、灾害分布密度、灾害危害强度。其中危害强度指灾害将活动所具有的破坏能力，是灾害活动的集中反映，是一种综合性的特征指标，只能用灾害等级进行相对量度。

地质灾害潜在危险性评估是指未来时期将在什么地方可能发生什么类型的地质灾害，其灾害活动的强度、规模以及危害的范围、危害强度的一种分析、预测。地质灾害潜在危险性受多种条件控制，具有不确定性。地质灾害活动条件的充分程度是控制点，地质灾害潜在危险性的最重要因素，包括地质条件、地形地貌条件、气候条件、水文条件、植被条件、人为活动条件等。历史地质灾害活动对地质灾害潜在危险性具有一定影响。这种影响可能具有双向效应，有可能在地质灾害发生以后，能量得到释放，灾害的潜在危险性削弱或基本消失。也可能具有周期性活动特点，灾害发生后其活动并没有使不平衡状态得到根本解除，新的灾害又在孕育，在一定条件下将继续发生。

地质灾害危险性评估的方法主要有：发生概率及发展速率的确定方法，危害范围及危害强度分区，区域危险性区划等。

国土资源部《地质灾害防治管理办法》第15条规定，城市建设、有可能导致地质灾害发生的工程项目建设和在地质灾害易发区内进行的工程建设，在申请建设用地之前必须进行地质灾害危险性评估。

评估结果由省级以上国土资源行政主管部门认定。不符合条件的，国土资源行政主管部门不予办理建设用地审批手续。地质灾害危险性评估包括下列内容：

（1）工程建设可能诱发、加剧地质灾害的可能性。

（2）工程建设本身可能遭受地质灾害危害的危险性。

篇8：信息安全风险评估综述

信息安全风险评估的目的非常的明确, 其一就是要能够获得系统现在和未来面临的风险位置, 其二是当知道面临着怎么样的风险之后, 还需要知道这些存在的风险对整个系统会带来哪些威胁以及会对其造成哪些不利的影响。只有了解了风险所在, 知道了风险造成的影响大小之后, 才能为下一步的安全防备措施做好理论的基础。因此从以上内容可以看出, 系统安全风险评估实际上有利于信息系统的安全建立以及安全运行, 为安全策略方案的确立提供理论的依据。

信息安全风险评估同样对于信息技术产品而言有着积极的作用, 因为在安全风险评估往往是有第三方或者由国际机构进行人质, 因此这样一来让信息技术产品的安全更加的有保障, 由于第三方往往具有权威性, 所以这让购买运用信息技术产品或者系统的用户能够对产品增强信心, 同样也可以提高产品的安全性, 让它在市场上的竞争力加强。

一、风险评估方法

在系统出现信息安全风险隐患的时候, 如何对其进行评估, 采用什么样的方法手段至关重要。在评估过程中如果选择的方法不适当, 则可能会适得其反, 并且评估方法的选择对于评估整个过程而言有着重要的意义, 它可能会直接影响到评估的过程, 所以应该根据系统反映的不同情况, 选择合适的评估手段, 这样才能起到有效的作用。由于系统内容非常之繁琐, 因此评估的方法种类也很多。

(一) 定量评估法

定量评估的方法指的是根据统计的数据来创建一个数学模型, 并且根据这一模型来获知系统的各项指标, 根据这些得到的数值进行评估。简单来说, 定量评估就是依据系统反映出的数量指标来评估风险的大小, 其中比较常见的分析方法有聚类分析法、回归模型以及决策树法等。由于定量评估法主要反映的是一种数据分析的模型, 因此一般称之为定量分析, 它需要的不仅仅是一般的法则计算, 还需要具备深奥的数学知识。它的优点非常之明显, 因为其数据往往非常的直观, 所以系统评估人员可以很清楚的看到数据之间的关系, 非常的简洁明了, 这样一来就可以节约一定时间, 而且获取的数据一般是客观的、真实的、科学的。采用定量评估法能够保证获知的结果是严谨准确的。除此之外, 它的每一个数据都有着深刻的含义, 每一个简单的数据能够反映出一个重要的问题, 所以不能其中的任何数据。然而由于为了让定量评估法的结果更加量化, 系统评估者常常会把复杂的数据变得更加简单化, 但是也会使得其更加的模糊, 因此在风险因素的确认上, 往往会问题频出, 无法得到有效的确立。

(二) 定性与定量结合

系统风险评估并非一朝一夕就能够完成的, 它是一个相当繁琐且复杂的过程, 因此会面临着各式各样的因素, 因此在对系统进行风险评估的过程中, 要考虑多方面的因素, 从整体出发, 但是有些评估的因素仅仅采用定量评估法是远不能解决的, 因为其不能够用量化的形式表达出来, 而且有些因素不适合量化, 要对其进行量化非常的困难。不仅如此作为系统评估者应该具备这样的认知在对系统风险进行评估的时候不应该一味的只提倡量化, 并且量化的结果也不会全然就是准确无误的, 它在风险评估的过程中总会有不准确、不科学的时候, 因此这个时候就需要系统评估者考虑其他的方法了。

定性分析方法与定量分析法存在着相同之处与不同之处, 相同点在于定量分析它为定性分析方法的确立提供了理论的基础, 只有定量分析法这个前提在, 定性分析法才能够在这个基础之上来发挥其应有的作用。定性分析法的目的在于揭示出事物的客观规律, 将事物的内在表明出来, 它与分量评估法不同之处是因为要获知整个评估的结果, 做出准确的判断, 必须依赖于定性评估法, 它是最后结果形成的一个关键因素。因此对于比较复杂繁琐的信息系统风险评估中, 要将定性与定量分析方法结合起来, 不能够将这两种方法分开来看, 只有将两者合理的运用到信息评估风险过程中去, 采用综合评估方法, 才能提高分析评估的准确性。

二、评估过程

(一) 确定系统资产与评估风险

在对系统风险进行评估之前, 首先要了解信息系统的资产的价值, 这是对系统信息安全风险进行评估的前提条件, 只有了解了其资产的价值, 才能开始评估工作。其价值的确定与供应商、客户等相关方有关。资产确定的范围相当广泛, 在确定的时候其标准时只有在系统出需要进行保护的东西都应该算是资产, 都具有资产价值, 它主要包括以下几方面的内容, 信息资产、软件资产、人员以及公司的形象声誉等, 除此之外, 还有纸质的相关文件以及一些物理方面的资产也能算在其内。在评估资产的时候应该先抓住重点的业务, 从重要的业务开始, 然后再依次的评估到所有的关键资产。在资产评估过程中, 需要进行周密且谨慎的分析, 一旦发现由于脆弱点构成的威胁因素, 则应该立即的对风险之后造成的损失进行统计。

(二) 制定措施与决策

在发现威胁之后, 需要在短时间内给出解决或减轻风险的措施, 它不是最终的决策, 而是面对威胁风险后一种及时的安全防范措施, 需要注意的是在采取措施的时候应该充分的考虑其实施的成本, 严格控制好成长多少。在制定措施的额时候应该全面的进行考虑, 也要有针对性, 具体的问题具体的进行分析, 只有制定出有效的解决方法, 才能为决策阶段做好充分有利的准备。在制定最终决策的时候应该充分的考虑如何的避免风险以及最快的将风险转移。

(三) 交流与实施

沟通交流指的是当决策得出结论之后, 要进一步的对得出的结论进行交流与沟通, 它的作用在于让所有的系统评估人员对于系统所面临的风险有一个清晰的认识, 不仅如此还可以在沟通过程中进一步的发现一些没有注意到的风险因素。对决策进行实施是最后的一个步骤, 在这一过程中需要进行监督, 这样才能确保决策能够落到实处。

摘要：随着社会信息化进程的的加快, 有关信息安全风险问题也随之而来。因此如何的保障网络信息安全成了人们关注的重要问题, 信息安全风险评估就是在这样的环境下产生的, 它是建立在安全体系的基础之上, 是信息系统安全工作的一个重要组成部分。

关键词：信息安全,评估,风险

参考文献

[1]贾颖禾.信息安全风险评估国计算机用户[J].刊文, 2004.