安全管理的基本邏輯范例6篇

前言：中文期刊網精心挑選了安全管理的基本邏輯范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

安全管理的基本邏輯范文1

【關鍵詞】模糊事故樹 安全管理 施工 應用

建筑工程的質量是保證建筑物使用性能和使用壽命的基本前提。在我國建筑行業的發展過程中，建筑工程的質量總體來說是好的，大批的優質工程為建筑行業的施工樹立了良好的典范。然而，隨著社會經濟的發展，建設規模的持續擴張和建設進程的不斷加快，建筑工程安全事故也隨之頻頻發生。這就迫切需要加強建筑工程的施工管理工作，提高建筑施工中的安全質量。而模糊事故樹在施工領域的運用，給建筑施工過程中的安全管理工作帶來了新的發展機遇。

一、模糊事故樹的概述

事故樹分析（FTA）是安全系統工程中最重要的分析方法之一，該方法最早是由美國貝爾電話公司的H.A.Watson和A.B.Mearns于1962 年首先提出的。他們發現，在處理數據時用于描述流程的邏輯方法也可用于描述系統中非期望事件發生的概率。因此，他們首先將邏輯樹技術應用于系統安全的研究，這就是所謂的事故樹分析方法。

事故樹分析是一種表示導致災害事故的各種因素之間的因果及邏輯關系的樹形圖，也就是在設計過程中或現有生產系統和作業中，通過對可能造成系統事故的或導致災害后果的各種因素（包括物、人、環境等）進行分析，根據工藝流程、先后次序和因果關系繪出邏輯圖（即事故樹），從而確定系統事故原因的各種可能組合方式（即判明災害或功能事故的發生途徑以及導致災害、功能事故的各種因素之間的關系）及其發生概率，進而計算系統事故概率，并據此采取相應的措施，以提高系統的安全性和可靠性。

二、建筑工程安全管理的重要性及現狀分析

施工現場是完成建筑工程的基層單位，也是事故多發部位。眾所周知，建筑生產的真正實現是在施工現場完成的，在施工中可能出現的一切輔助過程，如鋼筋加工、混凝土攪拌等，也都是圍繞場施工生產服務的，因此施工現場是建筑生產的一線單位，真正的建筑生產施工是在這里完成的，由于這里工程量大，也是事故的易發部位，稍有不慎，就有可能發生重大事故，造成人身財產的重大損失。因此，提高施工現場的安全管理水平有著特殊的意義。

加強安全管理工作是建筑行業施工管理工作的一項重要內容。從宏觀的角度來說，作為國民經濟發展的四大支柱產業之一，建筑業在國民經濟的發展建設中占據著十分重要的地位。建筑安全管理是建筑行業提升管理質量、保障施工現場安全性的重要舉措。在建筑管理中，安全管理同質量管理都處于第一的位置，兩者具有同等的重要性。從某種程度上來說，沒有安全的生產形勢，長治久安的社會形勢就無從談起。所以，從社會和經濟的角度考慮，安全施工不僅僅是建筑行業的問題，還是關系到社會長期穩定的重要問題，是關系到國家長治久安的政治問題。因此，只有高度重視安全管理工作，采取全方位的措施提升施工企業安全管理的水平，才能促進建筑行業平穩、規范、健康的發展，才能保證國民經濟各項建設順利進行。

三、基于模糊事故樹的施工安全管理流程

安全管理是指通過采取一定的控制技術和管理活動以保證工程項目達到其安全要求。要想把安全管理能夠順利的貫徹落實下去，就需要使用一定的質量特性來規范安全指標，可以是定性的或者定量的指標。由于安全管理工作貫穿于施工過程的每一個環節，因此要確保避免在施工環節中的施工工藝、技術無法滿足規范要求的現象，要及時采取措施達到安全管理的目的。安全管理的目標是確保施工過程中施工現場的人身和財產安全，為實現這一目標需要對施工過程中所有的環節進行實時的監控和管理，及時發現并排除這些環節中有關技術活動偏離規定要求的現象，使其恢復正常，從而達到控制的目的。

（一）重視事前預控

事前控制避免了事后控制的被動性，可以從根源上起到切斷事故的危險源、從根本上抑制事故發生的作用，因此應當充分重視事前控制、改善事前控制的質量，以達到保證建筑工程施工質量的目的。做好建筑質量的事前策劃是預防質量缺陷、降低質量成本的手段。質量策劃的內容包括：根據建筑工程的特點、難點、質量管理目標、管理體系、各項制度及保證實施的計劃，按照模糊事故樹分析法的基本流程制定完善的預控措施。據此編制出切實可行的施工組織設計、技術方案和技術交底等。

（二）做好過程控制

在工程施工過程中要保證工程符合國家規定的程序，有關手續要齊全；施工單位、監理單位的質量保證體系、管理制度要健全；相關人員要具備相應的資格，操作有依據，工序有控制，驗收有標準；單位工程各個層次實體質量符合標準規定等。在保證上述條件滿足的前提下，現場施工管理人員要切實做好施工過程把關，及時發現并解決問題。

（三）強化事后控制

事后控制是在管理系統運行產生結果后，用輸出的實際結果與計劃標準進行比較，發現偏差找出原因，為改進下一期的決策提供依據。事后控制的目的是防止已經發生的偏差繼續發展并阻止再度發生，從而對未來工作的開展和改進提供基礎，其主要工作包括：對實際工作績效進行客觀的評價；根據評價的結果對有關工作人員和部門進行適當的獎勵；深入分析原因并為現行工作的改進和未來工作的開展制定正確的方針、政策、計劃和措施。

四、結語

綜上所述，建筑工程施工安全管理是關乎施工現場人身和財產安全的重大問題，需要得到施工企業的高度重視。在建筑工程的施工安全管理中，運用模糊事故樹的分析方法可以建立起一套科學的關于安全分析評價的數學模型，通過分析、判斷、推理的方法對影響施工安全的因素進行分析，從而未采取措施消除這些安全隱患提供了科學依據。

參考文獻：

安全管理的基本邏輯范文2

關健詞：安全管理；PDCA循環；施工管理

中圖分類號：TU714文獻標識碼：A

引言

PDCA（計劃、執行、檢查、處理） 循環模式是在TQC（全面質量管理）基礎上建立起來的一種質量管理的科學方法。在建設工程質量管理方面過程中，PDCA的應用已趨向成熟，由于建筑工程的質量管理和安全管理是相輔相成的，筆者認為可以將PDCA有效的運用到建筑項目安全管理體系中，從而使建設企業的安全管理工作轉化成連續的、動態循環的過程管理，這樣能加強安全管理的全方位和系統化，大大提高安全管理水平。

一、PDCA在建設建筑工程項目安全管理的基本原理

PDCA循環是能使任何一項活動有效進行的一種合乎邏輯的工作程序，是人們在管理實踐中形成的基本理論方法。根據以往大量的工程實踐來看，項目管理的本質是確定任務目標，根據PDCA循環原理來實現這一目標。[1]

PDCA循環的核心內容大概可以分為四個階段和八個步驟：

第一階段是計劃階段（即P階段）。該階段的主要工作是制定項目安全管理目標、活動計劃和管理項目的具體實施措施。這一階段的具體步驟如下：

（一）分析安全現狀，找出存在的安全隱患問題。這就是要有安全問題意識和提高安全意識，并用數據形式體現。[2]

（二）分析安全隱患的各種原因或影響因素。

（三）從各種原因中找出影響安全的主要原因或因素。

（四）針對影響安全的主要原因或因素制定對策，擬定改進安全的管理、技術和組織措施，并提出執行計劃和預期效果。

第二階段是實施階段（即D階段）。該階段的主要工作任務是按照第一階段所制定的計劃，采取相應措施并組織實施。[3]

第三階段是檢查階段（即C階段）。該階段的主要工作重點是把實施效果和預期目標進行對比，檢查執行的情況來判斷是否達到了預期效果，并進一步查找新的問題。

第四階段是處理階段（即A階段）。該階段的主要工作任務是對檢查結果進行總結和處理。這一階段分為兩步，即管理循環的第七步和第八步。

第七步是總結經驗，納入標準。經過第六步的檢查后，明確有效果的措施，通過制定相對應文件、作業標準、規程以及各種安全管理的規章制度，總結成功的經驗，避免類似問題再次發生。[4]

第八步是將遺留問題轉入下一個循環，通過檢查找到效果尚不明顯的原因，轉入下一個管理循環，為下一期計劃完善提供有效的數據資料和依據。[5]

二、PDCA在建設建筑工程項目安全管理中的應用

PDCA循環的成熟運用主要在制造行業的質量管理方面，但由于建筑施工作業的特殊性，在安全管理方面的工作遠比質量管理更具有多變性，所以PDCA循環模式在安全管理體系中的側重點不一樣，筆者結合施工現場的管理特點在實際應用中針對具體實施流程加以改進和深化，并在某項工程中的腳手架安全管理方面的得到應用。[5]

本工程為深圳信息職業技術學院遷址新建項目，工程包括深圳信息職業技術學院遷址新建工程學生宿舍A棟、B棟，學生宿舍A棟B棟間的連廊、B棟C棟間的連廊，食堂B和賽時商業中心，深圳信息職業技術學院遷址新建工程架空天橋。建設地點位于深圳市龍崗區，水官高速龍崗出口南側，總建筑面積為61936m2。學生宿舍主要結構類型為剪力墻結構，賽時商業中心主要結構為框架結構。

因為本工程為深圳市重點創優工程，安全管理的目標是死亡事故為零，杜絕職業病傷害，爭創建設部安全文明工地。所以腳手架的安全管理工作是重中之重，本項目商業中心和食堂采用雙排落地鋼管腳手架，學生宿舍采用懸挑腳手架，在第三層開始懸挑。

筆者經調查發現，在整個腳手架的搭設和施工作業中，存在著不少的安全隱患以及作業人員施工方法不正確的現象。為有效控制安全隱患以及管理的缺失，確保腳手架工程達到優良，項目成立了專項安全小組，借鑒全面質量管理的觀點，充分運用因果分析、排列圖表及對策表等科學方法揭示了問題的本質，并取得不錯的效果。

第一次PDCA循環結束，項目部的安全小組針對腳手架的安全質量問題進行了詳細的檢查，共檢查18處，其中有一處存在潛在安全隱患，三處細小安全問題，最后評估得分為80分，基本滿足要求。 結論：第一次PDCA循環目標實現，但還是存在個別安全隱患，安全小組活動目標未能實現，所以須進行第二次PDCA循環。第二次PDCA循環的流程與第一次基本相同，在此不再贅述，因為安全管理工作是不可能做到完美理想的效果，所以循環沒有終點，貫穿整個項目，只能不斷完善。

三、結論和不足

通過專項安全小組活動，整個工程的腳手架安全工作推進十分順利。說明PDCA循環在安全管理上同樣可得到有效應用，并為今后的項目安全管理工作提供了科學的思路。因為迫于時間關系，某些問題的研究還不是很透徹。所以有待進一步加強的研究工作包括：

(一)從實施PDCA安全管理模式項目的績效進行總結分析；

(二)通過已有識別和評價方法的基礎上，進一步深入研究施工現場，將作業條件危險性評價法和風險評價指數矩陣法相結合，并不斷改進評價方法以提高評價結果的客觀性。通過對制約施工現場實施PDCA安全管理模式的內外部因素進行系統的梳理分析，以及有關建筑施工安全管理行業標準、規范的不足進行深入分析，可以適當提出相關對策建議報行業主管部門作決策參考。

因為筆者的理論知識有限，本文一定存在不足之處，希望各專家讀者多多批評指正，謝謝！

參考文獻：

[1] 湖南省村鎮磚砌體房屋抗震施工方法及質量控制研究.歐陽攀(導師：陳大川) - 《湖南大學碩士論文》- 2009-05-15.

[2] PDCA模式在建筑施工現場安全管理中的改進應用研究.段益慶(導師：張宏勝;甘永輝) -《重慶大學碩士論文》- 2007-10-01.

[3] 姜芳祿.建筑安全管理的PDCA循環.安全與環境工程.2004.1.

安全管理的基本邏輯范文3

職業院校的信息安全問題對于職業院校的重要程度不言而喻，而信息化程度越高，一旦發生安全事件，職業院?？赡茉馐艿膿p失也就越大。隨著職業院校信息化技術的發展，職業院校信息化的規模正變得越來越大，業務信息系統的集中度也越來越高，特別在云計算技術被應用之后，計算資源被高度的整合和集中，混合著物理設備和虛擬機的職業院校信息化系統的網絡安全管理的復雜程度不斷提高，這使得傳統的網絡安全管理方法很難理清信息系統之間的關系，難以發現并避免可能存在的安全問題，也難以尋找到有效的網絡安全設備部署位置。隨著大數據技術的興起，職業院校信息化在計算資源被集中整合后，又開始了對數據信息的集中整合，這更加劇了職業院校信息化系統安全管理的重要性，提高了對網絡數據傳輸合法、合規性的安全審核要求。軟件定義網絡技術是一種以軟件定義的方式來管理網絡中節點間通信轉發技術的統稱，將該技術引入職業院校信息化網絡環境中，能夠有效地讓原本復雜且難以管控的網絡通信環境變得清晰可控，從而為網絡的安全管理提供有力的技術支撐。本文針對職業院校信息化在新型網絡環境中的網絡安全管理問題，提出了一種從網絡控制層面結合職業院校業務模型的有效的網絡安全管理解決方案。

二、相關工作

云計算是被認為是繼微型計算機、互聯網后的第三次IT革命，它不僅是互聯網技術發展、優化和組合的結果，也為整個社會信息化帶來了全新的服務模式。云計算的定義在業界并未達成共識，不同機構賦予云計算不同的定義和內涵。其中，美國國家標準與技術研究院對云計算的定義是被接受和引用最廣泛的。NIST認為，云計算是一個模型，這個模型可以方便地按需訪問一個可配置的計算資源（如網絡、服務器、存儲設備、應用程序以及服務）的公共集。這些資源可以在實現管理成本或服務提供商干預最小化的同時被快速提供和。云模型包括了5個基本特征、3個云服務模式、4個云部署模型。從技術的角度來看，云計算不僅僅是一種新的概念，并行計算和虛擬化也是實現云計算應用的主要技術手段。由于硬件技術的快速發展，使得一臺普通的物理服務器所具有的性能遠遠超過普通的單一用戶對硬件性能的需求。因此，在職業院校信息化系統的構建中，通過虛擬化的手段，將一臺物理服務器虛擬為多臺虛擬機，提供虛擬化服務成了構建職業院校私有云的技術基礎。軟件定義網絡是一種新興的控制與轉發分離并直接可編程的網絡架構。傳統網絡設備耦合的網絡架構被分拆成應用、控制、轉發三層分離的架構?？刂乒δ鼙晦D移到服務器之上，上層應用、底層轉發設施被抽象成多個邏輯實體。該研究來源于斯坦福大學的一個名為CleanSlate的項目，其目的是為了在不受現有互聯網技術架構的影響下，重新設計新的網絡底層實現方案。本文針對新型網絡環境下職業院校信息化過程實際存在的問題，結合基于SDN的安全防護技術，提出一種結合職業院校網絡業務信息流的邏輯關系的網絡安全管理方案，并設計出一種基于可信業務訪問關系表的網絡安全管理系統，使得網絡安全管理能夠深度結合職業院校的真實業務邏輯，并實現高靈活、細粒度和高性能的網絡安全管理。

三、新型網絡環境下職業院校信息化面臨的安全挑戰

所謂新型網絡環境，主要指使用了虛擬化技術來構建職業院校信息化系統的網絡環境，這里既包括職業院校私有云的形態也包括僅適用服務器虛擬化技術的職業院校網絡環境。在這樣的網絡環境中，通常用戶的業務系統不僅僅存在于虛擬化環境中，由于信息化系統向虛擬化平臺遷移并不能瞬間完成，因此在真實的應用場景中，往往會存在混合虛擬化環境和傳統物理網絡環境的情況。在這樣復雜的網絡環境下，存在以下幾個方面的安全挑戰：

（一）業務系統間信息流監測和梳理困難的問題

梳理清楚業務系統間的通信關系，并對業務系統間信息流提供實時的監測功能，對職業院校信息化環境實施安全防護方案有著重要作用，是讓安全方案能夠真正理解業務安全需求的重要步驟之一。但由于職業院校信息化不斷向著計算系統的高度集中化發展，大量的業務主機集中管理在一個大型的網絡環境中，如私有云的環境，使得跟蹤和監測系統間的信息流變得非常困難：難以找到合適的監測點，并且由于虛擬機和物理主機的數量龐大，難以把分散在各處的監測數據整合起來。

（二）業務系統邏輯網絡邊界難以界定和隔離的問題

業務系統在使用虛擬機作為服務器后，傳統的物理網絡邊界就失去了意義，虛擬機可以在虛擬化環境中進行漂移。雖然在邏輯上，一個業務系統仍然是由原先那幾臺服務器構成，但這幾臺服務器在物理拓撲位置上卻并不一定在一起，甚至不固定，可能隨著虛擬化環境資源的調配而發生變化，這樣就使得以邊界防護和隔離為管理目標的傳統網絡安全管理失去了存在的意義，同時也難以對一個業務系統的邊界實施有效的安全隔離。

（三）安全設備監測負載過大、噪音數據過多的問題

在傳統網絡環境中，監控網絡流量需要依靠在交換機上對數據包的捕獲，再通過安全設備進行檢測分析。而在虛擬化環境中，由于無法找到明確的網絡邊界，因此若想保證不存在安全監控的盲區，往往需要在所有物理交換機或虛擬交換機上進行抓包，以保證所有可能與被監控業務系統的通信流量都能夠被捕獲，這樣就會在捕獲到真正屬于被監控業務系統的通信流量的同時，也抓取到大量的不屬于被監控系統和主機的干擾數據，從而容易造成用于進行安全檢測和防御的安全設備接收到過量的負載而導致處理能力和響應速度受到影響，同時大量的噪音數據也會影響安全檢測的準確性，易產生大量的誤報警。

四、基于軟件定義網絡技術的網絡安全管理系統

針對上述問題，本文給出了一種基于軟件定義網絡技術構建的、可與新型職業院校信息化環境緊密結合的網絡安全管理系統。采用集中式的管理，基于全景式的系統拓撲和業務關聯的相關知識，能夠有效地對復雜職業院校信息系統網絡環境進行細粒度的信息流梳理和安全管理。為了獲得全景式的系統拓撲，并能夠提高細粒度的網絡流安全管控能力，需要將軟件定義網絡的基礎架構引入到職業院校的信息化網絡環境中，即需要讓整個網絡環境中的軟件交換機和硬件交換機都開啟對Openflow協議的支持。安全管理系統通過調用SDN網絡控制器的北向接口來獲得整個網絡的拓撲知識，并根據需求操控業務系統間的信息流的轉發。在混合了虛擬化（云計算）網絡環境和傳統物理網絡環境的企業信息化網絡環境中，傳統的物理交換機和虛擬交換機都需要開啟Openflow協議的支持。傳統物理網絡仍然以物理局域網的邊界為安全檢測和防護的邊界，并且可以支持以虛擬局域網的方式在虛擬化環境中使用虛擬機以擴展傳統物理局域網的規模。為了能夠提供基于業務的安全管理，我們提出采用業務流可信表的方式來關聯業務模型與底層的網絡流安全管控。系統通過提供管配接口，讓安全管理員能夠對其職業院校內部的系統進行邏輯邊界的建模，形成以邏輯安全邊界為管理對象的安全管理模型。業務流可信表則允許用戶以軟件定義的方式定義業務系統間的可信互訪關系，包括業務系統內部主機間的相互訪問是否可信，不同業務系統間的相互訪問是否可信等規則?；ピL關系的定義將作為SDN控制器流表的生成規則，當互訪關系為可信時，認為是無須監測的業務流，Openflow的流表項上將直接轉發至目的節點，不在業務流可信表中的網絡流量需要根據對安全設備的配置轉發到相應的安全設備接入端口。在整個業務流的安全管理流程中，安全防護和檢測的工作由專業的安全設備完成，這些安全設備被接入到職業院校的網絡環境中，由安全管理系統統一管理。當用戶創建業務系統模型后，即可為該業務系統指定邊界安全防護和檢測設備，這樣就形成了一套完整的、基于業務系統邏輯邊界的細粒度安全防護和檢測流程。系統在啟動后，通過虛擬化管控和SDN管控獲得整個網絡的拓撲信息，以可視化的方式將這些拓撲信息展現出來，并讓用戶在此基礎上進行業務系統邏輯邊界的建模，即指定哪些虛擬機屬于一個業務系統?；谝褎摵玫臉I務系統邏輯邊界可在業務流可信表中指定相互間的可信互訪關系以及一個業務系統內的主機間的互訪是否可信。通過業務流可信關系轉換模塊將定義好的表項翻譯為Openflow的轉發規則，并通過SDN管控下發到相應的SDN交換機上。通過業務流可信表對業務邏輯和網絡流管控的關聯，網絡安全管理系統能夠對每個通過交換機的網絡流進行監控與審計，對于符合業務流可信表定義的網絡流直接進行轉發，以減小安全設備的負載壓力；對于不符合業務流可信表定義的網絡流通過SDN的流表轉發功能，將其轉發至接入的物理安全設備上進行分析和檢測，如對于數據庫服務器和web服務器之間的連接關系認為是可信的，則他們之間的網絡流將被直接轉發，而外部主機直接對數據庫服務器的訪問將被認為不可信而需要被重定向至安全設備進行檢測。同時系統也通過對業務流關系的跟蹤分析提供基于業務流的安全審計預警能力，從而進一步加強整個系統的安全管理功能。

五、結論

安全管理的基本邏輯范文4

不同于普通的飲食業,體育賽事的飲食提供必須要考慮營養問題。體育賽事的飲食,尤其是提供給運動員的飲食,不但對口感和觀感有著很高的要求,對營養方面同樣有著非常高的要求。運動員在大強度的訓練和比賽的前、中、后及時合理的補充必要的營養物質,才使其能量供應充足,各種營養達到平衡狀態,才能保證運動員的身體健康和運動能力的提高,才有利于運動員競技水平的提高。由于體育賽事飲食場所的就餐人流量大,就餐時間相對集中,而且體育賽事本身持續時間也不長,所以體育賽事的飲食供應與普通餐飲業有著很大的區別。體育賽事食堂必須在短時間內準備充足的原料,能夠隨時滿足就餐者的用餐要求,提供新鮮可口的飯菜飲品,并且做到提供足夠的座位,營造和諧的就餐環境。鑒于以前某些體育賽事的飲食供應出現運動員吃不飽或暴飲暴食而導致的各種問題的現象,體育賽事的飲食供應部門應該提前與各個運動隊結合,在飲食提供方面做到有計劃、有專門的指導或監督。條件許可的情況下應該由運動隊自己選擇菜單和每個運動員的食物量,交給體育賽事食堂,食堂按照不同隊員的不同要求提供個性化的食品。

2HACCP管理模式在大型體育賽事飲食活動的應用

2.1體育賽事飲食安全管理流程圖

體育賽事飲食安排一般根據營養要求和運動員的消費需求,每天的食譜不完全重樣,食品有近百個品種,基本種類為葷菜、素菜、主食和湯等;食品原料包括肉、禽、魚、豆制品、蛋、蔬菜、米、面、油、調味品等幾十種,運動員飲食基本烹調的方法為炒、燉、蒸、煮、炸,西餐更為復雜;由于餐飲的加工工藝復雜多樣,根據對體育賽事的特點進行的分析,參考以前體育賽事飲食安全管理的模式,在查閱大量文獻資料的基礎上,本研究提出體育賽事飲食安全管理流程圖。我們可以根據流程環節來設計具體的管理細節。（如圖1）就具體的操作方法來說,我國現在對于體育賽事等大型活動的飲食安全管理采取抽樣調查和現場監督相結合的方法。這種飲食安全管理模式的特點是于事前或事后進行監督檢查,以及發生問題后對出現的問題進行處理。抽樣調查不但要耗費大量的檢驗試劑、要求精密的檢驗儀器還要求有足夠的專業人才;現場監督則需要眾多的衛生監督管理人員的參與。這樣效果雖然顯著,但是將耗費眾多的人力物力,對于像奧運會這樣的大型體育賽事更是一筆不菲的開支。

2.2“HACCP”管理模式

現在發達國家出現了一種新的管理模式HACCP(HazardAnalysisandCriticalControlPoint)。HACCP是危害分析和關鍵控制點的英文縮寫,是對食品生產進行“過程控制”的一種系統方法,可以預測哪些環節最可能出現問題,一旦出現問題對人的危害有多大,據此來建立防止這些問題的有效措施,以保證食品安全。這種體系已經被運用在包括食品安全在內的許多管理領域,取得了顯著的經濟和社會效益,我國也開始了在這方面的嘗試。HACCP在韓國已發展到把涼粉、冷凍水餃、面條這些基本食品都一網打盡的程度。2.2.1體育賽事飲食安全的危害分析(HA)(1)確定影響體育賽事飲食安全的主要常見因素。邀請多名具有大型體育賽事或其他大型活動經驗的衛生監督管理員,運用文獻資料法和頭腦風暴法,可以基本確定體育賽事飲食安全中主要存在的條危害因素(可能有很多項,例如有100項)。(2)確定影響體育賽事飲食安全的重要危害因素。邀請多位從事公共衛生、食品衛生管理的專家,對已經找出的以上常見主要危害因素綜合考慮,一旦發生將產生的后果和可能發生的幾率,按照危害高(包括易發生和不易發生)(5分)、危害中但易發生(4分)、危害中但不易發生(3分)、危害低但易發生(2分)、危害低且不易發生(1分)五個層次進行打分。得到影響體育賽事飲食安全的重要危害因素(例如有50項)。2.2.2大型體育賽事飲食安全的關鍵控制點(CCP)(1)擬訂CCP控制樹模型。根據國際通用的CPP控制樹模型,參考國內運用于質量管理領域的CCP控制樹,建立CCP控制樹模型。(2)取得關鍵控制點。把危害分析中所得到的重要危害因素逐項通過CCP控制樹模型的邏輯分析,篩選出以下項目做為體育賽事飲食安全管理的關鍵控制點(例如20項)。至此,已經得到體育賽事飲食安全管理的關鍵控制點共20項,按照HACCP理論,對這些關鍵控制點進行逐個控制、監測,即可達到控制危害、降低風險的目的。但是考慮到體育賽事不同于工業企業,體育賽事的飲食提供也和食品工業的自動化生產有著天壤之別,體育賽事飲食食物原料多樣,加工過程復雜,所以如果生搬硬套食品工業的HACCP管理體系,那么很可能會適得其反。所以,結合上文所提出的體育賽事飲食安全管理流程圖,結合體育賽事風險管理的特點,對以上得出的體育賽事飲食安全管理中的關鍵控制點再加以分析,然后提出控制策略。

3結語

安全管理的基本邏輯范文5

［基金項目］教育部人文社會科學研究規劃項目（10YJA790182）；南京審計學院校級一般項目（NSK2009/B22）；江蘇省優勢學科“審計科學與技術”研究項目

［作者簡介］劉國城（1978― ），男，內蒙古赤峰人，南京審計學院講師，碩士，從事審計理論研究。

第27卷第3期2012年5月審計與經濟研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012

［摘要］在分析中觀信息系統風險與損失的成因基礎上，借鑒BS7799標準，一方面從物理層次與邏輯層次兩個方面研究中觀信息系統固有風險的評價模式；另一方面從一般控制與應用控制兩個層面探索中觀信息系統內部控制的評價機制?；贐S7799標準對中觀信息系統審計進行研究，旨在為IT審計師有效實施中觀信息系統審計提供應用指南。

［關鍵詞］BS7799標準；中觀審計；信息系統審計；內部控制；中觀信息系統；中觀信息系統風險

［中圖分類號］F239.4［文獻標識碼］A［文章編號］10044833(2012)03005007

所謂中觀信息系統審計就是指審計主體依據特定的規范，運用科學系統的程序方法，對中觀信息系統網絡的運行規程與應用政策實施的一種監督活動，旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性，以保障中觀信息系統的高效運行［1］。中觀信息系統的審計主體即IT審計師需要重視中觀信息系統審計的復雜性，且有必要借助BS7799標準，構建并完善中觀信息系統審計的實施流程，優化中觀信息系統審計工作，提高審計質量。之所以需要借助BS7799標準，是因為BS7799標準的眾多功能可以滿足中觀信息系統審計工作的需求。在尚未有詳細信息系統審計（以下簡稱“IS審計”）規范的條件下，中觀信息系統審計對信息安全管理策略的需求巨大，而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準，它能夠確保在計算機網絡系統進行自動通信、信息處理和利用時，在各個物理位置、邏輯區域、存儲和傳媒介質中，較好地實現保密性、完整性、有效性與可用性，能夠在信息管理與計算機科學兩個層面加強信息安全管理向中觀信息系統審計的理論轉化，中觀信息系統審計的需求與BS7799標準的功能具備整合的可行性。

一、 BS7799標準

1995年，英國貿工部制定了世界首部信息安全管理體系標準“BS77991：1995《信息安全管理實施規則》”，并作為各類組織實施信息安全管理的指南［2］，由于該標準采用建議和指導的方式編寫，因而不作為認證標準使用；1998年，英國又制定了信息安全管理體系認證標準“BS77992：1998《信息安全管理體系規范》”，作為對組織信息安全管理體系進行評審認證的標準［3］；1999年，英國再次對信息安全管理體系標準進行了修訂，形成“BS77991：1999”與“BS77992：1999”這一對配套標準；2000年12月，“BS77991：1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799：2000《信息技術：信息安全管理實施規則》”，此外，“BS77992：1999”也于2002年底被ISO/IEC作為藍本修訂，成為可用于認證的“ISO/IEC《信息安全管理體系規范》”；2005年，BS77991與BS77992再次改版，使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南；安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題，它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求，指出組織在實施過程中需要遵循的風險評估等級，從而識別最應該控制的對象并對自身需求進行適當控制。BS77991為信息系統提供了通用的控制措施，BS77992則為BS77991的具體實施提供了應用指南。

國外相對成熟的信息安全管理理論較多，它們各有千秋，彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種，與傳統審計方法相比，僅適用于IS審計范疇。然而，BS7799標準的特別之處表現在：其一，它是一部通用的信息安全管理指南，呈現了較為全面的系統安全控制措施，闡述了安全策略和優秀的、具有普遍意義的安全操作方法，能夠為IT審計師開展審計工作提供全程支持；其二，它遵循“計劃-行動-控制-改善方案”的風險管理思想，首先幫助IT審計師規劃信息安全審計的方針和范圍，其次在審計風險評估的基礎上選擇適當的審計方法及風險控制策略并予以實施，制定持續性管理規劃，建立并運行科學的中觀信息系統審計執行體系。

二、 中觀信息系統的風險與損失

中觀信息系統風險是指成功利用中觀信息系統的脆弱性或漏洞，并造成系統損害的可能性。中觀信息系統風險極其龐雜且非常普遍，每個中觀信息系統面臨的風險都是不同的，這種風險可能是單一的，也可能是組合的［4］。中觀信息系統風險包括：人員風險、組織風險、物理環境風險、信息機密性風險、信息完整性風險、系統風險、通信操作風險、設施風險、業務連續性風險、法律風險及黏合風險（見圖1），它們共同構成了中觀信息系統的風險體系，各種風險除具有各自的特性外，有時還可能相互作用。

中觀信息系統風險的成因離不開外來威脅與系統自身的脆弱性，且風險的最終后果就是損失。圖1中的“a.威脅性”是系統的“風險源”，它是由于未授權訪問、毀壞、數據修改以及拒絕服務等給系統造成潛在危害的任何事件。中觀信息系統的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統造成威脅的決定性力量，人為因素造成威脅的主體有競爭對手、網絡黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統安全程序、管理控制、物理設計中存在的、可能被攻擊者利用來獲得未授權信息或破壞關鍵處理的弱點，由物理環境、技術問題、管理問題、法律問題四個方面組成。圖1中的“d.風險承受力”是指在中觀信息系統遭遇風險或受到攻擊時，維持業務運行最基本的服務和保護信息資產的抵抗力、識別力、恢復力和自適應能力。

中觀信息系統風險的產生有兩種方式：一是遵循“abc”路徑，這條路徑形成的風險為中觀信息系統“固有風險”，即假定中觀信息系統中不存在內部控制制度，從而造成系統存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風險源，對中觀信息系統構成威脅，該威脅產生后尋找并利用系統的脆弱點（假定中觀信息系統對該脆弱點沒有設計內控制度），當威脅成功作用于脆弱點后，就對系統進行有效攻擊，進而產生中觀信息系統風險。二是遵循“abPc”路徑，該路徑所形成的風險為中觀信息系統的“控制風險”，即內部控制制度體系未能及時預防或發現系統中的某些錯誤或不法行為，以致中觀信息系統遭受損失的可能性。與“abc”路徑比較，該路徑多出“P.內部控制”過程，這說明當威脅已產生并將利用系統的脆弱點時，中觀經濟主體已經對該脆弱點設計了內控制度體系，但是由于內部控制制度設計的不科學、不完善或沒有得到有效執行，從而造成內部控制未能阻止“威脅”，致使中觀信息系統形成風險。中觀信息系統損失的形成遵循“cde”路徑。然而，由于中觀信息系統自身具有一定的風險防御能力（即“d.風險承受力”），因而并非所有風險都將造成損失。當中觀信息系統識別并抵抗部分風險后，最終未能消除的風險通過對系統的負面作用，會給中觀信息系統造成間接或直接的損失。

三、 中觀信息系統固有風險的評價模式

圖1中的“abc”路徑是中觀信息系統固有風險產生的路徑，固有風險形成的條件是“假定不存在內部控制制度”。評價固有風險是中觀信息系統審計準備階段的一項基礎工作，只有正確評價固有風險，才能合理評估審計風險，準確確定審計范圍并制定審計計劃［56］。筆者認為，BS7799標準之所以能夠有效評價中觀信息系統的固有風險，是因為BS7799標準的管理要項、管理目標，控制措施與管理要點組成了信息安全管理體系，這個體系為IT審計師確定與評價系統固有風險提供了指南［7］。BS7799標準對IT審計師評價固有風險的貢獻見上表1。

(一) 物理層次的風險評價

物理層次的內容包括物理環境安全與物理環境設備［7］，其中，物理環境安全包括硬件接觸控制、預防災難措施和網絡環境安全；物理環境設備包括支持設施、硬件設備和網絡物理環境。針對上述分類，下面對物理層次風險評價進行具體分析。

首先是物理環境安全風險評價。在評價物理環境安全風險時，可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如，IT審計師在了解被審中觀信息系統的“預防災難措施”時，可參照“A.安全方針”，依據BS7799對“安全方針”進行闡述，了解被審系統的“信息安全方針”，關注被審系統在相關的“方針與策略”中是否估計到了系統可能遭遇的所有內外部威脅；當威脅發生時，是否有具體的安全保護規定及明確的預防措施；對于方針的執行，是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統的“安全方針”，或找到了但“安全方針”并未涉及有關“災難預防”方面的安全措施，則IT審計師可直接認定被審系統在這方面存在固有風險。其次，物理環境設備風險評價。在評價物理環境設備風險時，可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如，IT審計師在了解被審系統有關“硬件設備”的情況時，可參照“C1.資產責任”。BS7799標準對“資產責任”的說明有“組織可根據運作流程與系統結構識別資產，列出清單”，“組織的管理者應該確定專人負責相關資產，防止資產的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施，IT審計師可以關注被審單位是否列出了系統硬件設備的清單，是否有專人對資產負責。如果相關方面的管理完備，則說明“硬件設備”在責任方面不存在固有風險，IT審計師也不需要再對此方面的固有風險進行評價。再如，IT審計師在確認“硬件設備”方面的固有風險時，還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產清查”，“未經授權，資產不能隨便遷移”等。借鑒這一措施，IT審計師需要了解被審系統的有關資產清查記錄以及資產轉移登記手續，如果相關記錄不完整或手續不完備，則IT審計師可直接認定“硬件設備”在控制方面存在固有風險。

(二) 邏輯層次的風險評價

邏輯層次的內容包括軟件環境、系統生命周期和邏輯安全［7］。其中，軟件環境包括系統軟件、網絡軟件與應用軟件；系統生命周期包括系統規劃、分析、設計、編碼、測試、試運行以及維護；邏輯安全包括軟件與數據接觸、數據加密機制、數據完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類，下面對邏輯層次風險評價進行具體分析。

首先是軟件環境風險評價。在評價軟件環境風險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如，IT審計師在掌握被審系統有關“網絡軟件”的情況時，可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程，對用戶訪問實施授權”，“對特權實行嚴格管理”，“對用戶口令進行嚴格管理”等。借鑒G2下相關信息安全管理措施，IT審計師可以詳細核查被審網絡軟件是否建立了用戶注冊與登記過程、被審軟件的特權管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發現用戶并未得到訪問網絡軟件的權限卻可以輕易訪問網絡軟件，則該軟件必然存在風險，IT審計師就可通過與BS7799標準比照并發表評價結論。又如，IT審計師在評價“系統軟件”固有風險時，可借鑒“G5.系統訪問與使用的監控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務”，“對高風險的不活動終端采取時限措施”。IT審計師在評價“系統軟件”自身風險時，可套用上述安全措施，逐項分析被審系統軟件是否完全達到上述標準并作出合理的風險評價。其次是系統生命周期的風險評價。在評價系統生命周期風險時，可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統的“系統設計”時，可參照“H1.系統安全要求”。H1的解釋為“系統設計階段應該充分考慮系統安全性，組織在項目開始階段需要識別所有的安全要求，并將其作為系統設計開發不可或缺的一部分進行調整與確認”。因而，IT審計師在檢查系統設計有關資料時，需要分析被審單位是否把上述解釋融入系統設計中，或是否全面、有效地融入設計過程，如果被審單位考慮了諸因素，IT審計師就可以確認被審系統的設計環節在此方面不存在風險。假若IT審計師發現在系統設計階段被審單位沒有考慮到需要“引入控制”，且在系統運營期間對系統的“控制”也不夠重視，則IT審計師可以作出系統自身安全及系統設計開發過程存在風險的結論。第三是邏輯安全的風險評價。在評價邏輯安全風險時，可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統的“病毒與惡意代碼”時，可借鑒“G4.網絡訪問控制”。BS7799對該標準的闡述有“建立并實施網絡用戶服務使用方針”，“從用戶終端到網絡服務的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中，應該關注被審系統在上述方面的執行思路與執行程度，假若被審單位對上述方面缺乏重視，則惡意用戶未經授權或未受限制就能輕易訪問系統，系統遭受病毒或惡意代碼損害的風險會相應加大。再如，IT審計師在評價系統“數據完整性”的風險時，可借鑒“F1.操作程序與職責”。該標準的描述有“在執行作業的過程中，提供差錯處理及例外情況的指導”，“進行職責分離，減少出現非授權更改與數據信息濫用的機會”等。結合上述措施，IT審計師應該關注被審單位是否通過外鍵、約束、規則等方式保障數據的完整性，如果被審單位沒有按照上述方法操作，則被審系統將會在“數據完整性”方面存在風險。

需要強調的是中觀信息系統固有風險的評價較為復雜。在理論研究中，本文僅選取BS7799的某些標準舉例進行闡述，但在實踐中，IT審計師不應只借鑒BS7799標準的單個或部分標準，就做出某方面存在“固有風險”的結論。如僅從C1看，“硬件設備”無固有風險，但從E3看，“硬件設備”確實存在固有風險。鑒于此，IT審計師應由“點”及“面”，全面借鑒BS7799標準的整個體系。只有如此，才能更科學具體地進行物理及邏輯層次的風險評價。

四、 中觀信息系統內部控制的評價機制

圖1中的“abPc”路徑是中觀信息系統控制風險產生的路徑，控制風險的形成條件是“假定存在內部控制制度，但是內控制度不科學、不健全或執行不到位”，產生控制風險最主要的原因是內部控制機制失效，即“P”過程出現問題。評價內部控制是IT審計師防范審計風險的關鍵，也是中觀信息系統審計實施階段的一項重要工作。然而，當前我國信息系統審計方面的標準與規范僅有四項，因而IT審計師對信息系統內部控制的評價還處于摸索階段，急需詳細的流程與規范進行指導。筆者認為，BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規范》能夠為IT審計師評價中觀信息系統的內部控制提供思路。BS7799是一套完備的信息安全管理體系，IT審計師完全可以借鑒其體系與框架來設計中觀信息系統內部控制評價流程，構建適用于中觀信息系統的審計流程。BS7799標準的具體借鑒思路見表1，具體闡述如下。

(一) 一般控制的評價

1. 組織管理的內部控制評價

在評價組織管理的內控時，可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統組織管理內部控制的衡量標準，并以此確認被審系統組織管理內控制度的科學性與健全性。假若某中觀經濟主體將信息系統的部分管理活動外包，則IT審計師可借鑒BS7799中的“B3.外包控制”標準，檢查外包合同的全面性與合理性。如果被審單位在外包合同中規定了信息系統的風險、承包主客體各自的系統安全控制程序，并明確規定了“哪些措施必須到位，以保證涉及外包的所有各方關注各自的安全責任”，“哪些措施用以確定與檢測信息資產的完整性和保密性”，“采取哪些實物的和邏輯的控制以限制和限定授權用戶對系統敏感信息的訪問”以及“發生災難時，采用怎樣的策略來維持服務可用性”，則IT審計師就可確認被審系統在外包方面的控制設計具有科學性與全面性，只需再對外包控制條款的執行效果進行評價就可以得出對被審單位外包活動評價的整體結論。

2. 數據資源管理的內部控制評價

在評價數據資源管理的內控時，可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統數據包括數據字典、權限設置、存儲分配、網絡地址、硬件配置與系統配置參數，系統數據資源管理有數據存放、備份、恢復等，內容相對復雜。IT審計師在評價數據資源管理的內部控制時，也需要借鑒BS7799標準體系。例如，IT審計師可借鑒“F1.操作程序與職責”或“G6.應用訪問控制”評價數據資源管理。F1與G6的闡述有“識別和記錄重要數據的更改”、“對數據更改的潛在影響作出評估”、“向所有相關人員傳達更改數據的細節”、“數據更改不成功的恢復措施”、“控制用戶的數據訪問權，如對讀、寫、刪除等進行限制”、“在系統共享中，對敏感的數據實施高級別的保護”。IT審計師在審計時，有必要根據上述思路對系統數據管理的控制制度進行深層次評價。在當前缺乏信息系統審計規范的情況下，以BS7799體系作為評價數據資源管理內部控制的指南，不失為一種好的審計策略。

3. 環境安全管理的內部控制評價

在評價環境安全管理的內控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統的環境安全管理包括物理環境安全管理與軟件環境安全管理，系統環境是否安全決定著危險因素對脆弱性的攻擊程度，進而決定著信息系統風險。IT審計師在審計系統環境的安全管理過程時，需要關注設備、網絡、軟件以及硬件等方面。在評價系統環境安全管理的內部控制時，IT審計師有必要借助上述BS7799標準體系。例如，BS7799的“E1.安全區域”標準與“E2.設備安全”標準的解釋有“信息處理設施可能受到非法物理訪問、盜竊、泄密等威脅，通過建立安全區域、嚴格進入控制等控制措施對重要的系統設施進行全面保護”，“應該對信息處理設施運作產生不良影響的環境條件加以監控，如，濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環境安全管理的內控提供了審計指導，且其指導思路清晰、全面。IT審計師通過借鑒BS7799系列標準，可以深層次挖掘系統環境安全管理規章制度中存在的疏漏以及執行中存在的問題，從而有效評判環境安全管理的控制風險。

4. 系統運行管理的內部控制評價

在評價系統運行管理的內控時，可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經濟主體對運行系統的管理相對復雜，涉及到系統組織、系統維護、系統完善等多個方面。由于系統運行中需要管理的環節繁多，而且目前也沒有規范與流程可以參考，因而，評價系統運行管理的內控也有必要借鑒上述BS7799標準體系。例如，BS7799標準“D2.設備安全”與“H5.開發與支持過程中的安全”的闡述有“信息系統操作者需要接受安全意識培訓，熟悉與系統運行相關的安全職責、安全程序與故障制度”，“系統運行中，建立并實施更改控制程序”以及“對操作系統的更改進行技術評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統運行管理的內部控制，需要有上述明細的、清晰的信息安全管理規則予以指導，這些標準可以指導IT審計師了解被審系統是否有健全的運行管理規范及是否得到有效運行，借此，IT審計師可以作出全面的內控判斷，進而出具正確的審計結論。

(二) 應用控制的評價

信息系統的應用控制包括輸入控制、處理控制與輸出控制。在評價系統輸入控制、處理控制以及輸出控制三者的內控時，同樣有必要借鑒BS7799標準，且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應的信息安全管理目標與措施能夠在IT審計師對三者進行內控評價時提供相對詳盡的審計框架。為確保信息系統輸入、處理與輸出的信息完整、正確，中觀經濟主體需要加強對信息系統的應用控制。IT審計師在中觀信息系統審計的過程中，需要做到對被審系統應用控制進行正確評價。

在IT審計師對應用控制的符合性測試過程中，上述BS7799標準體系可以對應用控制評價進行全程指導。例如，BS7799標準中“H2.應用系統的安全”提到“數據輸入的錯誤，可以通過雙重輸入或其他輸入檢查偵測，建立用于響應輸入錯誤的程序”，“已正確輸入的數據可因處理錯誤或故意行為而被破壞，系統應有確認檢查功能以探測數據的破壞”，“為確保所存儲的信息相對于各種情況的處理是正確而恰當的，來自應用系統的輸出數據應該得到確認”等控制策略，并提出了相對詳細的控制措施。應用控制環節是信息處理的脆弱集結點，IT審計師在進行應用控制的符合性測試環節時有必要考慮周全，詳盡規劃。IT審計師可以遵循H2全面實施針對應用控制的審計，依照BS7799標準體系，檢查被審系統對于超范圍數值、數據區中的無效字符、丟失的數據、未經認可的控制數據等系統輸入問題的控制措施以及應急處理能力；檢查是否對系統產生的數據進行了確認，系統的批處理控制措施、平衡控制措施等，以及相關控制行為的執行力度；檢查信息輸出是否實施了可信性檢查、一致性控制等措施，如果有相關措施，那么執行力度如何。BS7799標準體系較為全面，對于IT審計師評價系統的應用控制貢獻很大，如果IT審計師能夠創造性借鑒該標準，必可做好符合性測試，為實質性測試夯實基礎，也定會提高審計質量。

五、 結束語

表1是筆者在分析某商業銀行信息系統與某區域物流信息系統的基礎上，對“BS7799標準如何應用于信息系統審計”所進行的設計，當針對其他行業時，或許需要對表1進行適當調整。不同行業、不同特性的中觀經濟主體在信息系統審計中運用BS7799標準時側重點會有所不同。本文以分析中觀信息系統風險為著手點，沿用BS7799標準對中觀信息系統審計進行研究，旨在拋磚引玉。

參考文獻：

［1］王會金,劉國城.中觀經濟主體信息系統審計的理論分析及實施路徑探索［J］.審計與經濟研究,2009(5):2731.

［2］BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management［S］. London:British Standards Institation,2000:179202.

［3］BSI.BS779922002 information security managementspecification for information security management systems［S］. London: British Standards Institation,2002:267280

［4］孫強.信息系統審計［M］.北京:機械工業出版社,2003.

［5］劉國城,王會金.中觀信息系統審計風險的理論探索與體系構架［J］.審計研究,2011(2):2128.

［6］王會金.中觀信息系統審計風險控制體系研究――以COBIT框架與數據挖掘技術相結合為視角［J］.審計與經濟研究，2012（1）：1623.

［7］科飛管理咨詢公司.信息安全管理概論-BS7799理解與實施［M］.北京:機械工業出版社, 2002.

BS7799 Criterion and Its Application in Mesoinformation Systems Audit

LIU Guocheng

（Jinshen College of Nanjing Audit University, Nanjing 210029, China）

安全管理的基本邏輯范文6

關鍵詞：計算機；網絡安全；管理；對策

隨著網絡的普及和計算機網絡技術的發展，計算機網絡已成為人們獲取信息的重要方式之一，深入到生活的各個領域。計算機網絡打破了地域的限制，以低成本、實時溝通、方便快捷等優勢受到眾多使用者的青睞。然而，隨之而來的網絡信息安全問題也一直困擾著網絡的管理者和使用者，因此加強計算機信息網絡安全管理建設成為當務之急。

1 進行信息網絡安全管理的必要性

計算機網絡安全管理的目標就是通過采取合適的安全防范制度和手段，保證網絡系統中信息的機密性、完整性、可用性、抗抵賴性以及可控性，滿足人們在網上進行各種活動的安全需求。隨著計算機技術的發展，威脅網絡安全的方式和手段也在不斷變化，主要有木馬病毒、黑客攻擊、邏輯炸彈以及內部、外部泄密等。另外進行日常工作對計算機的依賴程度不斷增強，相關數據的存儲、處理、操作等基本都要通過計算機網絡來進行，一旦網絡安全存在威脅或者受到攻擊，將造成嚴重后果。進行信息網絡安全管理對提高整個網絡系統的安全性、可靠性，對保證日常工作正常進行具有重要意義。

2 計算機信息網絡安全管理中存在的主要問題

2.1 網絡安全管理制度不完善

網絡安全管理制度和條例是網絡安全管理者進行日常工作的所遵循的依據，對開展網絡安全管理工作具有重要作用?，F行的管理制度缺乏有效的激勵和約束機制，對工作中必要的管理內容和工作沒有詳細列出，造成網絡安全管理工作具有很大的妥協空間，不能有效起到對管理者的約束和激勵目的。

2.2 網絡安全管理意識不強

網絡安全管理關系到整個網絡系統數據的安全和有效傳遞，任何一個可能存在的安全威脅都有可能造成系統崩潰、原始數據遭到竊取或修改等嚴重后果。管理人員對可能存在的網絡安全威脅缺乏足夠的重視，認為現在沒有對計算機網絡造成危害以后也不會造成危害，抱有僥幸心理，為計算機網絡安全留下隱患。

2.3 對外來安全威脅缺乏有效措施

缺乏有效的應急機制，當計算機網絡受外來威脅時，不能快速采取應對措施，將危害降到最低。外來威脅是計算機網絡安全的重要因素之一，計算機網絡安全的預防和防范不可忽略外來威脅可能對計算機網絡系統的危害。

3 加強計算機信息網絡安全管理的對策

3.1 建立健全網絡安全管理制度，做到有章可循

“無規矩不成方圓”，對于網絡安全管理工作也是如此。沒有完善的網絡安全管理制度，就會造成網絡安全管理工作的混亂，不能有效激勵網絡安全管理工作人員積極開展工作，對整個網絡安全管理都缺乏有效的約束與激勵。因此，必須建立健全網絡安全管理制度，對工作中涉及到的工作范圍、網絡安全監控系統、病毒查殺軟件的更新、系統漏洞補丁更新以及數據備份等日常工作內容進行明確規定，讓網絡安全管理人員有章可循。另外可對其他高校的網絡安全管理制度進行借鑒，依據本校的實際情況進行制度的完善和修改，切實制定符合本校實際的網絡安全管理制度，促使網絡安全管理工作的有效開展。

3.2 加強網絡管理的安全意識，提高管理人員專業水平

態度決定行為，網絡安全管理人員的思想意思會影響其工作的效果。然而網絡安全關系到全校師生的正常工作學習，對教學管理和教學活動具有重要影響，因此必須加強網絡管理人員的安全意識，確保整個校園網絡系統的正常運行。可以通過開展網絡安全的專題學習和培訓，強化網絡安全管理人員對網絡安全的重要性認識，改變以往的僥幸心態，在工作管理中以正確的心態對待網絡安全管理，正確認識網絡安全管理的意義，并通過學習掌握一定的網絡安全管理知識，提高網絡安全管理水平。

3.3 增強網絡安全技術的應用，提高網絡抵抗外來威脅能力

網絡安全技術的應用是提高網絡系統對外來威脅抵抗能力的主要手段之一，合理利用網絡安全技術也是增強網絡系統安全能力的有效途徑。對于校園網絡安全來講，主要應用到的有防火墻、數據維護和備份、數據加密、殺毒軟件、以及用戶識別與限制等，通過多種網絡安全技術的綜合運用，對外來威脅進行識別和防范，有效阻止外來威脅進入到校園網絡系統。這些技術的應用還需要定期的維護和更新，比如殺毒軟件以及軟件的病毒庫要及時更新，不能識別新產生的病毒和木馬，不能有效阻止木馬和病毒進入到計算機，進而不能起到保護計算機的功能。

[參考文獻]

[1]張宏凱.論計算機網絡安全管理的技術與措施[J].江蘇：無線互聯科技，2012（12）：35-35.

[2]張紅利.計算機網絡安全管理的技術與方法探析[J].北京：科技與生活，2013（01）：177-177.

[3]張智.計算機系統安全與計算機網絡安全淺析[J].黑龍江：黑龍江科技信息，2013（07）：111-111.