关于食品安全信息与风险监测评估的探讨

2024-04-09

关于食品安全信息与风险监测评估的探讨（通用9篇）

篇1：关于食品安全信息与风险监测评估的探讨

关于食品安全信息与风险监测评估的探讨

中国质量新闻网 2009-05-22 10:58:32 新《食品安全法》第二章对“食品安全风险监测和评估”制度进行了详细的规定，要求各地政府“组织制定、实施本行政区域的食品安全风险监测方案”。通过开展风险监测与评估，预控食品质量，预防食品安全事故，是解决当前食品安全问题的主要途径。

实施食品安全风险监测与评估，就是对食品安全信息的收集、加工、传递和利用，没有充足的、正确的数据和信息，就无法开展食品安全的风险监测和评估，收集信息是风险监测关键的一步。生产、市场、消费等许多环节都是收集信息的关键步骤，严格的生产监控，科学的质量管理、缜密的安全监测，专业的风险评估，就是食品安全风险监测与评估的核心。

一、从农田到餐桌，通过对数据信息的记录、收集、加工，实现食品安全的可溯源性。1．食品安全的风险监测与评估，以对食品安全全过程信息的掌握为基础。食品区别于工业产品的生产过程，一般总是以农田作为生产的源头，以人作为消费终点，质量因素环环相扣，任何环节出现偏差，都可能造成安全问题。安全监测与风险评估必须从源头的信息开始收集，例如：农副产品生长的土壤、空气、水源、肥料，畜禽类产品的饲料和兽药等，只有不放过生产、流通、消费等任何环节中的重要数据，才可能对安全风险有全面的评估。“苏丹红鸭蛋、瘦肉精猪肉”等事件，食品的安全问题最终都来源于畜禽的饲料，如果错过了对饲料相关信息的收集，就很难对该食品的安全实施全面监测和风险评估。

2．生产中原料的验证(检验)和半成品的过程检验，对检测数据进行记录整理加工，实现食品安全质量的可溯源性。检测是信息来源的主要途径，对原料和半成品的检测，能够获取大量数据，对数据加工整理，收集出关系最终食品质量和安全的重要信息，将这些信息与产品联系在一起。在食品的每一步生产或流通过程中，都应当进行必要的检测，根据技术法规和相关经验获得事关安全的数据参数，获取重要的安全信息，各种原料来源、生产工人等信息可作为企业的生产资料信息存档备案，部分涉及食品安全简要的信息可直接登记在产品的包装或合格证上。安全信息具体记录在产品和企业档案上，为食品安全的可溯源性提供了信息支持。

3．食品的生产、流通过程，也应该是重要安全信息的传递过程，信息链的完好是安全可溯源性的保障。食品生产加工的安全信息涉及农业、养殖、加工、运输、包装销售多环节，需要农业、食品、流通多个领域的合作监测。在原料和半成品、成品的买卖交易过程中，关系安全的信息也必须比较完整地传递。生产的过程是信息从食源向最终产品发展的过程，溯源则是从产品向食源逆向探寻的过程，没有生产流通过程中信息传递，就无法溯源。食品在交易流通过程中，一般是买者向卖者索要食品安全信息，作为成品的质量保证资料。例如“三鹿奶粉”事件，奶厂向奶农或收购站收购牛奶时，有意或无意地忽略了源奶的质量信息，信息的缺失导致了厂家对安全风险评估的失误，造成严重质量事故。

4．市场化、信息化的企业生产方式为食品安全的可溯源性评估提供了条件。市场化、信息化的企业生产方式，淘汰了落后的小作坊生产模式，企业规模化生产，具备完整的信息管理过程，这是食品安全生产可溯源性的条件。我国当前只在部分食品行业具备这样的条件，能够实现食品安全的可溯源。但在农畜、小餐饮等行业，非规模化生产的比重还非常大，食品安全信息还难以收集，部分安全问题还得不到有效的控制。例如，从奶农那里收购来的几公斤源奶，或者收购来的几公斤鸭蛋，亦或几张桌子的早点摊位，这些食品安全信息经常缺失在小农业、小作坊式的非企业化生产中。这些问题需要通过市场经济的快速发展，形成现代的企业生产，质量安全信息管理逐步完善，最终在这些行业也实现食品安全的可溯源性。5．食品安全信息和风险的可溯源性，也是落实安全责任的关键。落实食品安全责任，在于责任的可追究，安全责任一旦落到了实处，责任人无法逃脱处罚，能够最大程度地约束生产经营者的行为。信息的记录和监测，是追究责任的主要依据。食品生产企业从规避自身安全风险的角度出发，也应当加强对信息的收集和记录。例如“三鹿奶粉事件”中奶农、奶站和奶厂任一方能通过自身收集记录的信息证明自己不是三聚氰胺的添加者，就可以不承担事故责任。这样的教训让食品行业进一步认知了食品安全信息和风险的可溯源性的重要。

二、专业的食品质量检测机构提供的检测数据，是食品安全风险评估的主要依据。1．检测数据是食品安全风险检测与评估的基础。食品安全风险监测与评估的大部分数据来源于检测，检测数据是食品原料、生产加工过程、运输以及市场销售等环节中内部自我监控和外部监督检查的重要依据，更是支撑风险评估制度的基石。对安全相关参数的检测能够让我们从数据中了解食品的安全性能。食品检测的手段多样，数据繁多，部分数据能够揭示其是否安全和安全的程度，也就是安全风险。食品安全检测包括企业自身的检测和专业检测机构检测，这些检测数据成为评估食品安全的依据。

2．检测机构对食品质量和安全的检测技术应与时俱进，是风险评估的保证。在实行从农田到餐桌管理的食品安全保障体系中，检测工作应当紧随产品的变化和标准的修订不断完善。随着食品品种的日益丰富及食品中安全卫生指标限量值的逐步降低，对检测技术提出了更高的要求，检验检测应向高技术化、速测化、便携化以及信息共享迈进。在科学的检测质量保证体系上与时俱进加强检测技术储备和人员储备，努力发现食品行业的潜规则是风险评估的保证。

3．卫生行政机构对食品安全性的评价，是风险评估的重要依据。食品的安全性评价就是评价食品中有关危害成分或者危害物质的毒性以及相应的风险程度，这就需要利用足够的毒理学资料确认这些成分或物质的安全剂量。食品安全性评价在食品安全性研究、监控和管理方面具有重要的意义。长期以来，我国对食品安全的监管是以对不安全食品的立法、清除市场上的不安全食品和负责部门认可项目的实施作为基础的。这些传统的做法由于缺乏预防性手段，故对食品安全现存及可能出现的危险因素不能做出及时而迅速的控制。食品的毒副作用，最终一般反映在卫生医疗机构，食品的哪些质量参数可能引发安全问题，这需要卫生部门的研究和总结。“三鹿奶粉”事件发生后，卫生部门对三聚氰胺的毒副作用进行了研究，提出了安全标准，这样的信息反馈给食品行业，三聚氰胺含量成为相关食品安全检测和风险评估中的重要指标。卫生行政机构对与食品有关的生物性的、化学性的、物理性的和微生物及新的食品相关技术（基因工程和辐照等高新技术）等危险因素的评价研究，引导人们了解食品安全的更多未知因素，对安全监测和风险评估提供更全面的依据。

4．对检测数据进行分析整理，是风险监测和评估的主要方法。农田、畜牧业、生产企业、市场、消费、卫生医疗等部门为食品安全监测和风险评估提供了大量信息，了解这些信息，加工整理这些信息，从中获取事关安全的有用信息，利用这些信息对食品的安全进行评估，这就是食品安全的风险与评估。对数据的筛选、整理、利用是风险监测和评估的主要方法。例如，对奶粉的安全监测与风险评估，主要就是收集牧场、奶牛、饲料、奶农、奶站、奶厂工艺、工人等方面的信息，从中梳理关系到奶粉安全的部分，整理这些信息，对照相关的安全标准，探究和分析安全风险。

三、多个系统部门的检测和信息交流是食品监测和风险评估的关键。

1．风险安全检测在不同阶段的侧重点不同，所以安全评估需收集多次检测信息。对食品的安全监测和评估，一般需收集食品在生产过程中多个阶段的检测数据，这些检测数据的侧重点是不一样的。在农业阶段，以农药残留安全检测为主，在生产阶段，以生产环境和添加剂安全检测为主，在市场和消费阶段，以消费者不良反映监测为主。由于各次检测的重点和内容不同，因此对食品的安全评估需要收集其多次检测的信息，从农田里的农药残留，到生产企业的加工信息，到市场消费后工商卫生部门的监测信息，这些食品安全信息收集、归纳、汇总，经过科学的研究分析，政府部门及时做出决策，把突发的、潜在的食品安全风险降至最小，才能实现对食品安全的监测和风险评估。

2．检测机构类别各异，需要相互协作，提高风险监测和评估的准确性。当前，我国的食品检测机构的检测范围和能力差别很大，且分属农业、质量技术监督、卫生等多个行业，需要相互协作，优化效率，提高效能，才能提高风险监测和评估的准确性。例如，关于乳制品中三聚氰胺含量的检测，其毒副作用的研究在卫生医疗检测机构，其产品含量的检测一般在质量技术监督行业的检测机构，如何确定其安全限值，需要两类检测机构的共同协作，获取大量数据，既不能超出现有的生产技术条件，又不能导致不良的安全后果。只有在生产和医疗方面两类数据信息基础上，食品安全监测和安全评估才能实现，两类检测机构都必须协作，为安全检测和风险评估提供数据支持。

四、食品安全涉及公共安全，政府应统筹行政力量，对食品安全检测、监测和监管。1．政府可从公共安全的角度，提出对食品监测和风险评估的范畴。政府部门可根据食品安全可能导致的后果，提出食品安全监测和风险评估的范畴，强制性地要求市场销售的某种特征的食品，都必须进行安全监测和风险评估。例如，对农药使用过量的农产品、对转基因食品、对某种添加剂使用过量的食品、某种曾发生过食用后不良反映的食品，这些产品由于其潜在的危害还不为人知，有必要进行监测和风险评估。政府提出强制性的监测和评估要求，是为了更早地发现安全问题，避免发生重大的食品安全事故。

2．政府可委托检测、研究等技术机构收集信息，并对食品安全进行监测和评估。政府作为行政管理部门，缺乏必要的技术能力进行食品安全监测和评估，一般可以委托专业的检测或科研机构对某类食品安全进行监测和风险评估。政府也有必要建立非盈利的、公益性的食品安全监测评估机构，委托这样的专业机构开展具体的技术工作，保证监测和评估的公正和权威性，监测和评估报告向社会公开，以便每一个社会公民了解和选择食品。地方各级政府可以在上级的引导下，依托本地的技术部门开展地区性的食品安全监测和风险评估，建立多层次的技术力量，以应对各种食品安全问题。国家检测或科研机构应指导和帮助地方检测机构，针对地区性食品安全问题进行监测和评估。例如，对高氟地区的饮水安全问题，在国家技术部门的帮助下，地方应根据本地的实际情况开展对饮水安全的监测和评估。3．政府多个行政部门都必须掌握食品安全的重要信息，预控安全问题。尽管技术工作通过委托的形式完成，但食品安全事关公共安全，政府还是有必要对食品安全的重要信息进行收集，了解食品安全风险，并对食品安全进行行政管理。卫生行政、农业行政、质量技术监督、工商行政管理、食品药品监督管理部门都应当对职责范围内的食品安全信息进行收集整理，形成共享的资源数据库，并“加强沟通、密切配合，按照各自职责分工，依法行使职权，承担责任”。有了足够的食品安全监测和风险评估信息，行政部门的管理才能有的放矢，工作效率将大大提高。（根据监测信息，农业行政部门对农药的使用和粮食的生产进行管理；质量技术监督和食品药品监督管理部门对食品的生产企业进行监督；工商行政管理部门对食品市场流通环节进行监管。由于食品安全跨越多个政府管理部门，因此“县级以上地方人民政府统一负责、领导、组织、协调本行政区域的食品安全监督管理工作，建立健全食品安全全程监督管理的工作机制”。在政府的统筹安排下，食品安全的监测、风险评估和行政管理之间信息相互交流和利用。政府利用技术部门的安全信息实施管理，通过法律和行政手段将食品安全风险控制在较小的范围内。

食品安全信息是安全监测和风险评估的主要依据，有了足够的、正确的信息，通过对信息的加工整理传递，实现对食品安全的监测和风险评估，能够有效预控和避免食品安全事故的发生，摆脱事后“救火”的窘境。

（作者单位：江苏省泰州市产品质量监督检验所）

叶平

声明：

凡本网注明“中国质量新闻网”的所有作品，版权均属于中国质量新闻网，未经本网授权，不得转载使用。

本网转贴的文章均转载自国家正规网站，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请致电010-84639548。

篇2：关于食品安全信息与风险监测评估的探讨

第一章

总则

第一条为规范公司食品安全风险监测和风险评估工作，及时、准确第二条第三条第四条第五条地发现食品安全问题，为食品安全决策提供科学依据，根据《中华人民共和国食品安全法》、《中华人民共和国农产品质量安全法》、《中华人民共和国食品安全法实施条例》、《保健食品管理办法》的规定，结合我公司实际制定本办法。

食品安全风险监测和评估应本着代表性、客观性、准确性和及时性的原则进行。

食品安全风险评估的范围包括对本单位食品、食品添加剂、食品相关产品中生物性、化学性和物理性危害进行的评估。

办公室负责公司食品安全风险监测和风险评估的组织领导及综合协调工作，及时将监测和评估结果报公司负责人。办公室负责公司食品安全风险监测和风险评估日常管理工作。组织开展调研，并向公司领导提出工作建议，执行相关决议；制定、组织实施食品安全风险监测和评估方案；负责对监测结果进行分析，及时向上级报告监测情况，根据监测结果，认为有需要进行风险评估的，下达风险评估任务。

食品风险监测和评估所获得的数据、结果、结论等相关信息实行保密制度，在批准公布前，任何部门和个人不得以任何方式擅自引用或对外公布。第二章风险监测和实施

第六条食品安全风险监测分日常监测、专项监测和应急监测。日常监测是各相关部门根据有关法律法规和规定而开展的常规性监测活动。专项监测是各相关部门结合我公司实际情况或根据需要及主管部门的规定而开展的专项监测活动。应急监测是针对突发性食源性疾病信息、食品安全热点问题、突发食品安全事故和新发现的食品安全问题等而开展和实施的应急监测活动。

第七条食品安全风险监测遵循优先选择原则，兼顾日常监测范围和重点，将以下情况作为优先监测的内容：

（一）健康危害较大、风险程度较高以及污染水平呈上升趋势的；

（二）易于对婴幼儿、孕产妇、老年人、病人造成健康影响的；

（三）使用范围广、流通过程长、消费量大的；

（四）以往导致食品安全事故或者受到消费者关注的。第八条办公室于每年12月底前制定并印发下食品安全风险监测方案。

第九条食品安全风险监测方案应包括以下内容：

（一）承担监测任务的部门；

（二）具体监测的内容，包括样品种类、数量、采样来源、检验项目；

（三）样品的采样、封装、运输及保存条件；

（四）采样方法、检验方法及依据；

（五）结果汇总及报送机构；

（六）监测完成时间及结果报送日期。

第十条承担食品安全风险监测工作的部门应根据要求，完成监测方案规定的监测任务，按时向办公室报送监测数据和分析结果，保证监测数据真实、准确、客观。

第十一条办公室负责对监测数据进行收集和汇总分析，及时向企业负责人报告监测数据和分析结果。

第三章风险评估原则和实施

第十二条食品安全风险评估以食品安全风险监测和监督管理信息、科学数据及其他有关信息为基础，遵循科学、透明和个案处理的原则进行。

第十三条承担风险评估任务的部门应独立开展风险评估，保证风险评估结论的科学、客观和公正。

第十四条有下列情形之一的，经公司负责人审核同意后，由办公室组织组成评估委员会下达食品安全风险评估任务：

（一）为制订或修订食品安全标准提供科学依据需要进行风险评估的；

（二）通过食品安全风险监测或者接到举报发现食品可能存在安全隐患的，在组织进行检验后认为属于区域性污染，需要进行食品安全风险评估的；

（三）主管行政部门根据法律法规的规定认为需要进行风险评估的其他情形。

第十五条办公室组织组成评估委员会进行风险评估，对风险评估的结果和报告负责，并及时将结果报告给公司领导。

第十六条本管理办法用语定义：

食品安全风险监测,指通过系统和持续地收集食源性疾病、食品污染及食品中有害因素的监测数据及相关信息，并进行综合分析的过程。

食品安全风险评估,指对食品、食品添加剂中生物性、化学性和物理性危害对人体健康可能造成的不良影响所进行的科学评估，包括危害识别、危害特征描述、暴露评估、风险特征描述等。

食品安全，指食品无毒、无害，符合应当有的营养要求，对人体健康不造成任何急性、亚急性或者慢性危害。食品安全事故，指食物中毒、食源性疾病、食品污染等源于食品，对人体健康有危害或者可能有危害的事故。食品污染,是指根据国际食品安全管理的一般规则，在食品生产、加工或流通等过程中因非故意原因进入食品的外来污染物，一般包括金属污染物、农药残留、兽药残留、真菌毒素及食源性致病微生物、寄生虫等。

食品中的有害因素,指在食品生产、流通、餐饮服务等环节，除了食品污染以外的其他可能途径进入食品的有害因第十七条素，包括食品中自然存在的有害物、违法添加的非食用物质、超范围或超限量使用的食品添加剂及被作为食品添加剂使用的有害物质。

危害,指食品中所含有的对健康有潜在不良影响的生物、化学或物理因素或食品存在状况。

危害识别,指对食品中可能产生不良健康影响的某种危害的定性描述。

篇3：关于食品安全信息与风险监测评估的探讨

电力企业信息安全的风险分析

基础设施风险分析

基础设施安全是信息系统安全的必要前提。目前电力系统在机房基础设施建设的访问管理存在缺陷, 亟待解决。比如楼层交换机的机柜位置及其不安全, 非运维管理人员可以随时接触, 给内部攻击和窃密提供方便。

信息网络安全风险分析

部分电力企业用户由于工作需要涉及互联网, 这给信息内网带来安全隐患;局域网及广域网内部用户有意或者无意地对信息系统发起攻击和泄密行为。此外企业内部人员技术水平, 信息设备性能等各方面的制约, 使得整个电力信息网络的外部边界保护能力存在一定差异, 均降低整个信息系统安全防护能力。

其他设备的安全风险分析

没有完整的备份策略, 备份不及时或者没有应急预案;移动介质管理不规范, 对备份介质没有做领取、使用等方面的记录。灾难恢复水平低, 没有有关灾难恢复的管理制度等。

管理风险分析

随着信息技术日新月异的发展, 近些年来, 电力企业在信息化应用方面的要求也在逐步提高, 但其中安全意识薄弱, 管理制度不健全以及缺乏可操作性等都可能引起安全管理的风险。

电力企业信息安全的风险计算

结合电力企业实际情况, 从风险管理的角度, 运用科学的手段, 对信息资产存在的脆弱性、面临的威胁以及脆弱性被威胁利用会产生的负面影响和危害事件发生的可能性, 进行科学评价的过程。力图通过最优的风险管理策略, 把信息系统上客观存在的风险, 逐步降低到一个可以接受的程度。由于电力企业目前受到的威胁涉及环境威胁、内部人员威胁、外部人员威胁以及环境威胁四个方面, 脆弱性涵盖管理脆弱性、运维脆弱性以及技术脆弱性三个环节。根据风险评估的关键要素:资产、威胁和脆弱性, 风险计算流程如图1所示:

采用Z=f (x, y) =x*y公式计算风险值, 函数f可以采用矩阵法。矩阵法的原理是:x={x1, x2, …, xi, …, xm}, 1≦i≦m, xi为正整数,

y={y1, y2, …, yi, …, yn}, 1≦y≦n, yj为正整数,

以要素x和要素y的取值构建一个二维矩阵, 矩阵行值为要素y的所有取值, 矩阵列值为要素x的所有取值。矩阵内m×n个值即为要素z的取值, z={z11, z12, …, zij, …, zmn}, 1≤i≤m, 1≤j≤n, zij为正整数。

信息安全风险值=安全事件发生可能性*安全事件损失其中, 安全事件发生可能性=威胁发生频率*脆弱性严重程度;安全事件损失=资产价值*脆弱性严重程度;

经过计算, 将风险等级划分如下:

通过防范措施实施后如图2所示, 信息系统威胁等级如图1所示。

通过技术手段加管理手段等有效的防范措施, 同时借助信息安全常态防护机制和不定期督查机制, 使得信息安全风险得到大幅度的降低。

总结

篇4：针对信息安全风险评估分析与探讨

关键词：信息安全；风险评估；脆弱性；威胁

一、前言

随着信息技术的飞速发展，信息系统依赖程度日益增强，采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险。

二、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征：

1、保密性：即信息不泄露给非授权的个人或实体。

2、完整性：即信息未经授权不能被修改、破坏。

3、可用性：即能保证合法的用户正常访问相关的信息。

4、可控性：即信息的内容及传播过程能够被有效地合法控制。

5、可审查性：即信息的使用过程都有相关的记录可供事后查询核对。

网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础，网络信息安全的风险因素主要有以下6大类：

1、自然界因素，如地震、火灾、风灾、水灾、雷电等；

2、社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；

3、网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；

4、软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；

5、人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；

6、其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

三、目前网络信息安全风险评估工作中急需解决的问题

信息系统涉及社会经济方方面面，在政务和商务领域发挥了重要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。

四、信息系统风险评估解决措施

1、确诊风险，对症下药

信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。

2、夯实安全根基，巩固信息大厦

信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

3、寻求适度安全和建设成本的最佳平衡点

安全是相对的，成本是有限的。在市场经济高度发达的今天，信息系统建设要达到预期经济效益和社会效益，就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账，让我们认清信息系统面临的威胁和风险，在此基础上决定哪些风险必须规避，哪些风险可以容忍，以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点，力求达到预期效益的最大化。

4、既要借鉴先进经验，又要重视预警防范

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用，亦须知其锋芒与瑕疵，加强预警防范与借鉴先进技术同样重要。

五、结束语

综上所述，本文主要对信息安全风险评估进行了分析和探究，在今天高速的信息化环境中，信息的安全性越发显示出其重要性，风险评估可以明确信息系统的安全状况和主要安全风险基础，通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。

参考文献：

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，2007年

[2]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010.

篇5：关于食品安全信息与风险监测评估的探讨

当前，信息安全风险管理已成为企业信息化工作的关键，而信息系统安全风险已经成为企业信息化运营风险中最为重要的组成部分。信息系统风险管理是内控框架中的核心内容，并已成为判定企业成熟度的一项重要指标。信息系统安全风险评估是安全风险管理的基础和重要内容，既是企业信息安全体系建设的起点，也将覆盖其全生命周期。如何持续提升信息安全风险评估意识和能力，妥当开展信息系统安全风险评估及风险管控，是企业信息安全工作的重中之重，本文就此进行探讨研究。

一、评估目的、原则及方式

1.1 评估的目的。企业进行信息系统安全风险评估，是为了提高信息安全保障体系的有效性，主要包括：发现现有基础信息网络和重要信息系统的安全问题和隐患，提出针对性改进措施；识别在用系统和在建系统在生命周期各个阶段的安全风险；分析现有与信息安全相关的组织管理机构、管理制度和管理流程的缺陷与不足；评价已有信息安全措施的适当性、合规性等。

1.2 评估的原则。进行信息系统安全风险评估，要遵循以下原则：

（1）整体性。系统安全风险评估应从企业实际需求出发，不局限于网络、主机等单一的安全层面，而是从业务角度进行评估，包括技术、管理和业务运营的安全性。

（2）动态性。风险评估应是动态、阶段性重复的，并非一次评估即可解决所有问题。每次评估应达到有限的目标，并依据评估的动态特性考虑再次评估的时机，形成良性的评估生命周期。

（3）适当性。选择恰当的评估对象、评估范围、评估时机，评估对象要有代表性，确定评估范围的恰当性、可行性等情况。

（4）规范化。应严格规范评估过程和成果文档，便于项目跟踪和控制。

（5）可控性。评估过程和所使用的工具应具有可控性。评估所采用的工具必须经过实践检验，可根据企业实际现状与需求进行定制。

（6）最小影响。评估工作应充分准备，精心筹划，事先预见可能发生的情况并制定应急预案，不能对网络和信息系统的运行及业务的正常运作产生影响。

（7）保密性。参与评估的工作人员应签署保密协议，明确要求在评估过程中对所有的相关数据、信息严格保密，不得将评估中的任何数据用于与评估以外的任何活动。

1.3 评估方式。风险评估的方式可分为自评估、检查评估、委托评估三种。自评估是由企业自身实施，以发现现有信息技术设施和信息系统的弱点、实施安全管理为目的的评估方式。检查评估是由主管部门发起，对下级单位的安全风险管理工作进行检查而实施的评估活动。委托评估是指企业委托具有风险评估能力和资质的专业评估机构实施的评估活动。

企业信息管理部门应定期或在重大、特殊事件发生时组织进行风险评估，识别和分析风险，实施控制措施，确保信息安全和信息系统的稳定安全运行。

1.4 评估时机。企业信息系统风险评估应贯穿于系统的整个生命周期，方可做好风险管控。在系统规划设计阶段，通过风险评估明确系统建设的安全目标；在系统建设阶段，通过风险评估确定系统的安全目标是否达到；在系统运行维护阶段，实施风险评估识别系统面临不断变化的风险和脆弱性，从而确定安全措施的有效性，确保信息系统安全运行；在系统废弃阶段，确保硬件和软件等资产的残留信息得到适当的处置，确保废弃过程在安全的状态下完成。

二、评估方法

企业信息系统的安全风险评估大致可分为三个阶段：计划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工作内容和步骤如图 1 所示。

2.1 计划准备阶段。在进行安全风险评估之前，充分的准备工作是评估工作成功的基础。在计划准备阶段，需要开展以下工作：

（1）制定项目计划。确定评估目标、范围和对象；明确评估人员组织，包括项目领导小组、项目负责人、项目技术顾问组、风险评估小组、被评估单位项目协调人和项目配合人员；制定项目进度计划；明确项目沟通与配合制度。（2）召开项目启动会。进行评估前的项目动员。

（3）收集相关信息。收集所有评估对象资产信息；收集文档信息，包括安全管理文档、技术设施文档、应用系统文档和机房环境文档等。

2.2 现场评估阶段。现场评估阶段包含文档审阅、问卷调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员访谈等工作内容。

（1）文档审阅。通过文档审阅了解评估对象的基本信息（包括安全需求），了解各评估对象已被发现的问题、已实施的安全措施，确定需要通过访谈了解的信息和澄清的`问题，以便尽量缩减人员访谈沟通时间，降低评估工作对相关人员正常业务工作的影响。

（2）问卷调查。由一组相关的封闭式或开放式问题组成，用于在评估过程中获取信息系统在各个层面的安全状况，包括安全策略、组织制度、执行情况等。

（3）脆弱性扫描。利用技术手段对信息系统组件进行脆弱性识别，收集各信息系统组件可能存在的技术脆弱性信息，以便在分析阶段进行详细分析。

（4）本地审计。本地审计与脆弱性扫描互补，收集各信息系统组件可能存在的技术脆弱性信息，以便在分析阶段进行详细分析。

（5）渗透测试。利用模拟XX攻击方式发现网络、系统存在的可利用弱点，目的是检测系统的安全配置情况，发现配置隐患。主要通过后门利用测试、DDos 强度测试、强口令攻击测试等手段实现。需要注意，渗透测试的风险较其它几种手段要大得多，在实际评估中需要慎重使用，未必每次评估都要进行渗透测试。

（6）现场观测。主要通过现场巡视和观察等方法，观察与应用系统、机房环境等有关的管理制度、安全运维相关的机制、系统配置现状（如系统现有账号、日志功能等），了解制度实际执行情况，保留检查证据（截图，日志文件等）并填写现场观测结果。

（7）人员访谈。访谈的对象包括：信息系统管理人员、应用系统相关人员、网络及设备负责人和机房管理人员。主要涉及信息系统控制环境评估，包括安全策略、组织安全、人员、资产管理、风险管理、法律法规符合性等；信息系统通用控制评估，包括程序开发设计、变更管理、程序和数据访问控制、投产上线、系统运维等；应用系统的安全性评估，包括身份认证、标识与授权、会话管理、系统配置、日志与审计、用户账户管理、输入控制、异常处理、数据保护和通信等；应用控制评估，包括业务操作、权限管理、职责分离、业务流程、备份等。

2.3 分析报告阶段。分析报告阶段的主要工作是整理现场评估获得的数据、资料，进行综合分析以及生成最终评估报告。

综合分析根据收集到的各种信息，整理出系统 / 资产脆弱性，并对脆弱性进行威胁分析，包括分析威胁发生的可能性、产生的后果，判定风险级别，以及制定风险处理计划。综合分析对分析人员的能力要求较高。主导综合分析和报告生成的人员必须参与过信息系统风险评估的各阶段，对被评估系统有基本的了解，熟悉风险评估的方法、手段、过程，掌握风险计算方法，了解风险评估基本理论，具备较强的文字功底。

最终编写的风险评估报告是风险评估重要的结果文件，是企业实施风险管理的主要依据，是对风险评估活动进行评审和认可的基础资料。风险评估报告通常应包括以下内容：

（1）概述。简要描述被评估系统的基本情况，包括功能用途、系统体系结构以及风险评估所使用的评估方法、评估过程等。

（2）评估综述。对被评估系统及其支撑平台已经实施的安全措施、评估发现的风险进行综合评价。

（3）评估详述。概要描述评估过程所发现的被评估系统存在的风险、以及不同级别的风险数量和比例；针对被评估系统及其支撑平台的每一个风险点，进行威胁分析、现有或计划实施的安全措施分析、风险评价等。

（4）整改建议。综合以上分析，说明被评估系统及其支撑平台需要采取的安全整改措施。

（5）附件。说明风险评估过程中主要访谈的人员和审阅的文档、脆弱性-风险对应表、控制措施-风险对应表等。

三、风险控制措施

风险评估的目的在于控制和规避风险。风险控制报告包括安全管理策略和风险控制措施，要依据通过审批的风险控制报告，落实控制措施。

控制信息安全风险的重要措施是实施信息系统安全等级保护，而等级保护的基本前提是信息系统等级的划分。企业要根据公安部等四部委联合发布的《关于信息安全等级保护工作的实施意见》，结合企业实际情况和国内相关领域专家的建议，确定信息系统安全保护等级，实施相应的等级保护，有效控制信息安全风险，支撑企业业务的连续运行。

四、风险控制实施的监督与跟踪

风险评估通常还包括一个至关重要的跟踪过程，即对执行与落实整改建议的情况进行监督与跟踪，必要时再次进行评估。

要充分利用风险评估管理信息系统作为基础性必备工具，实现对资产信息、安全威胁信息、脆弱性信息、评估结果的统一管理，以提升评估结果的可用性。

监督与跟踪主要工作包括建立监督与跟踪机制、制定跟踪计划、执行主动监督与报告等三个步骤：

（1）企业各级信息管理部门指定专门人员，建立监督与跟踪机制以跟踪安全整改建议的实施和效果。

（2）对关键的、意义重大而且至关紧要的安全整改措施，制定并实施跟踪计划，包括实施计划、预计实施时间、事项清单、验收方法与过程等。

篇6：关于食品安全信息与风险监测评估的探讨

食品安全是重大的民生问题，关系人民群众身体健康和生命安全，关系社会和谐稳定。为保障全区人民群众身体健康和生命安全，系统、连续地收集、整理、分析食源性疾病分布及其影响因素，了解全区食源性疾病的发病及其流行趋势，提高食源性疾病的预警与控制能力。围绕食品食源性致病菌监测、化学污染物和有害因素监测、食源性疾病主动监测等任务，真抓实干、全力以赴，努力为政府食品安全监管做好专业参谋，扎实完成了食品安全风险监测各项工作任务。现将食品安全风险监测评估工作情况汇报如下：

一、提高思想认识，明确责任分工，从制度上保障风险监测工作

根据《关于印发2016年食品安全风险监测方案的通知》要求，我局高度重视，组织制定了详细的监测工作实施方案和采样计划，细化监测任务和采样工作进度，对具体食品安全风险监测工作进行协调安排和部署。明确了相关单位职责，要求区疾控中心和各职能部门高度重视此项工作，基本建立了食品安全风险监测体系，将食品安全监测工作当成一项重要任务，认真组织实施，及时做好调查、采样、检验、网报和分析报告等工作，为开展食源性疾病（包括食物中毒）、疑似食源性异常病例、异常健康时间监测工作奠定了坚实基础。

二、扎实工作，严格要求，认真开展食品安全风险监测工作

（一）食品样品采集

为确保食品安全风险监测工作的顺利开展，我局严格按照省市《2016年食品安全风险检测工作方案》的要求，制定了《2016年xx区食品安全风险监测工作计划》，根据监测计划及任务安排，制定了详细的样品采集、存放、送样等工作计划和工作制度，严格按照采样要求规范采样，确保采样及时、准确。从3月份开始在超市、食品商店和农贸市场等居民的主要购买点采集样品，采样人员以消费者身份购买样品，对样品信息进行详细登记，建立溯源档案，并确保相关样品信息的保密性。采集的样品有儿童食品、速冻米面生制品、煎饼、草莓、生鲜肉、即食非发酵豆制品、水果、蔬菜等。截止目前，全区完成食品安全风险监测微生物采样9次，采集样品18份。完成食品风险监测理化项目3次，采集样品44份。将样品分别编号并送至疾控中心，微生物样品用无菌袋包装，冷藏箱送样。

（二）食源性疾病监测

根据市《2016年食源性疾病监测方案》的要求，我局制定了《2016年xx区食源性疾病监测方案》，主要对异常病例、临床病例、食源性疾病暴发三方面进行监测，对相关工作人员进行了业务培训。并做好暴发食源性疾病的流行病学调查，溯源分析和网络报告，并承担对各医疗机构监测工作的技术指导、质量控制和督导考核工作。

三、存在问题

一是食源性疾病监测工作的开展，人员还没有得到充分培训，对具体内容、程序仍有疑惑，监测能力没有得到充分发挥，监测工作质量难以保证。二是人员短缺。监管人员少，食品安全工作任务重，监管还不能完全到位。

四、下一步打算

（一）要继续认真学习《食品安全法》、《食品安全法实施条例》及省市有关食品安全风险监测的文件和规定，严格按照国家、省、市有关要求，做好食源性疾病监测工作。

（二）继续落实食源性疾病监测责任制。继续把食源性疾病监测工作纳入目标考核范畴，全面落实安全监管责任，完善食源性疾病监测各项工作制度，为食源性疾病监测工作深入地开展提供了有力的制度保障。

（三）深入开展食源性疾病监测、疑似食源性异常病例、异常事件监测工作。继续采取有效措施，加大监督检查力度，努力构建监测长效机制，不断提高自身监测水平，确保食品安全监测工作取得实效。

xx区食品药品监督管理局

篇7：关于食品安全信息与风险监测评估的探讨

第一条为规范我市食品安全风险监测和风险评估工作，及时、准确地发现食品安全问题，为食品安全决策提供科学依据，根据《中华人民共和国食品安全法》、《中华人民共和国农产品质量安全法》、《中华人民共和国食品安全法实施条例》、《保健食品管理办法》的规定，结合我市实际制定本办法。

第二条食品安全风险监测和评估应本着代表性、客观性、准确性和及时性的原则进行。食品安全风险监测的结果可用于食品安全风险评估、风险管理、风险交流及指导食品安全监督管理等工作。

第三条食品安全风险监测的范围包括在本市从事供食用的初级农产品种养殖、食品生产、食品流通和餐饮服务和食品进出口等各个环节。监测的内容包括食品、食品原料、食品添加剂、食品相关产品及食用农产品。食品安全风险评估的范围包括对本市区域性食品、食品添加剂、食品相关产品中生物性、化学性和物理性危害进行的评估。第四条深圳市食品安全委员会（以下简称市食安委）负责全市食品安全风险监测和风险评估的组织领导及综合协调工作，及时将监测和评估结果报市政府，并通报各有关部门。市食品安全委员会办公室（以下简称市食安办）负责全市食品安全风险监测和风险评估日常管理工作。组织开展调研，并向市食安委提出工作建议，执行食安委相关决议；制定、组织实施食品安全风险监测和评估方案；负责对监测结果进行分析，及时向市政府报告和向相关部门通报监测情况，根据监测结果，认为有需要进行风险评估的，下达风险评估任务。各区食品安全委员会负责本行政区内食品安全风险监测和风险评估的组织领导及综合协调工作，及时将监测结果和评估结果报区政府，并通报各有关部门。

第五条市卫生和人口计划生育委员会、市市场监督管理局、市农业和渔业局、市药品监督管理局、深圳出入境检验检疫局等部门，负责组织实施本部门食品安全风险监测和评估工作，及时、准确上报监测和评估结果。获知有关食品安全风险信息后立即向市食安办报告，并根据食品安全监测和评估结论及时采取相应措施。

第六条市食品安全专家委员会（以下简称专家委员会），应及时收集国内外食品安全风险信息，提出食品安全风险监测和评估建议，负责解释风险监测和风险评估结论，完成市食安办下达的任务。

第七条建立食品安全相关信息报告制度。市食品安全委员会各成员单位依据各自职责收集、分析和报告食品安全相关信息，遵守《深圳市食品安全信息工作管理办法》。

第八条食品风险监测和评估所获得的数据、结果、结论等相关信息实行保密制度，在依法公布前，任何部门和个人不得以任何方式擅自引用或对外公布。风险监测和实施

第九条食品安全风险监测分日常监测、专项监测和应急监测。

日常监测是各相关部门根据有关法律法规和规定而开展的常规性监测活动。

专项监测是各相关部门结合我市实际情况或根据需要及上级主管部门的规定而开展的专项监测活动。

应急监测是针对突发性食源性疾病信息、食品安全热点问题、突发食品安全事故和新发现的食品安全问题等而开展和实施的应急监测活动。第十条食品安全风险监测遵循优先选择原则，兼顾日常监测范围和重点，将以下情况作为优先监测的内容：

（一）健康危害较大、风险程度较高以及污染水平呈上升趋势的；

（二）易于对婴幼儿、孕产妇、老年人、病人造成健康影响的；

（三）使用范围广、流通过程长、消费量大的；

（四）以往在国内导致食品安全事故或者受到消费者关注的；

（五）已在国外导致健康危害并有证据表明可能在国内存在的。第十一条市卫生和人口计划生育委员会、市市场监督管理局、市农业和渔业局根据自身职责，按照优先顺序在每年的10月底前向市食安办提出下食品安全风险监测方案和建议。保健食品的风险监测和评估工作计划，由市药品监督管理局结合日常工作制订并实施。进出口食品的监测计划由深圳出入境检验检疫局按国家质检总局统一要求制定，其中发现有问题的，属于应向地方政府报告的，按相关要求上报。

第十二条市食安办会同深圳市食品安全委员会各成员单位于每年12月底前制定并印发下深圳市食品安全风险监测方案。

第十三条深圳市食品安全风险监测方案应包括以下内容：

（一）承担监测任务的行政机构；

（二）具体监测的内容，包括样品种类、数量、采样来源、检验项目；

（三）样品的采样、封装、运输及保存条件；

（四）采样方法、检验方法及依据；

（五）结果汇总及报送机构；

（六）监测完成时间及结果报送日期。

第十四条市食安办会同市卫生和人口计划生育委员会、市市场监督管理局、市农业和渔业局、市药品监督管理局、深圳出入境检验检疫局等部门确定承担食品安全风险监测工作的技术机构，并予以公布。

承担食品安全风险监测工作的技术机构应具备食品检验机构资质认定条件和按照规范进行检验的能力，原则上应当按照国家有关认证认可的规定取得资质认定（非常规的风险监测项目除外）。

第十五条承担食品安全风险监测工作的技术机构应根据有关法律法规的规定和《深圳市食品安全风险监测工作方案》的要求，完成监测方案规定的监测任务，按时向市食安办报送监测数据和分析结果，保证监测数据真实、准确、客观。第十六条市食安办负责对监测数据进行收集和汇总分析，及时向市政府报告和向相关部门通报监测数据和分析结果。

第十七条市卫生和人口计划生育委员会经市食安委同意后，应当依法向社会公布如下信息：

（一）深圳市食品安全总体情况；

（二）深圳市食品安全风险评估信息和食品安全风险警示信息；

（三）深圳市重大食品安全事故及其处理信息；

（四）其他重要的食品安全信息和市食安委认为需要统一公布的信息。市食品安全委员会各成员单位依据各自职责依法公布相关食品安全信息。

信息公布应当准确、及时、客观。

第十八条市食安办会同市食品安全委员会各成员单位制定食品安全风险监测质量控制方案并组织实施。

风险评估原则和实施

第十九条食品安全风险评估以食品安全风险监测和监督管理信息、科学数据及其他有关信息为基础，遵循科学、透明和个案处理的原则进行。

第二十条专家委员会及承担风险评估任务的机构应独立开展风险评估，保证风险评估结论的科学、客观和公正。

第二十一条有下列情形之一的，经市食安办审核同意后向专家委员会及承担风险评估任务的机构下达食品安全风险评估任务：

（一）为制订或修订食品安全标准提供科学依据需要进行风险评估的；

（二）通过食品安全风险监测或者接到举报发现食品可能存在安全隐患的，在组织进行检验后认为属于本市区域性污染，需要进行食品安全风险评估的；

（三）市卫生和人口计划生育委员会、市市场监督管理局、市农业和渔业局、市药品监督管理局、深圳出入境检验检疫局等部门按照《中华人民共和国食品安全法实施条例》第十二条要求提出食品安全风险评估建议，并按规定提出《风险评估项目建议书》（见附表1）；

（四）上级部门根据法律法规的规定认为需要进行风险评估的其他情形。

第二十二条有关部门向市食安办提出风险评估建议时，应提交《风险评估项目建议书》，并提供下列信息和资料：

（一）风险的来源和性质；

（二）相关检验数据和结论；

（三）风险涉及范围；

（四）其他有关信息和资料。

市食安办根据食品安全风险评估的需要组织收集有关信息和资料，市食品安全委员会各成员单位应当协助收集前款规定的食品安全风险评估信息和资料。第二十三条对于下列情形之一的，经专家委员会提出意见，市食安办可以作出不予评估的决定：

（一）通过现有的监督管理措施可以解决的；

（二）通过检验和产品安全性评估可以得出结论的；

（三）国际政府组织或国内专业机构、组织有明确资料对风险进行了科学描述且适于我国或我市膳食暴露模式的。

对做出不予评估决定和因缺乏数据信息难以做出评估结论的，市食安办应当向有关方面说明原因和依据；如果国际组织或国内专业机构、组织已有评估结论的，应一并通报相关部门。第二十四条市食安办根据本规定第二十一条的规定和专家委员会的建议，确定食品安全风险评估计划和优先评估项目。

第二十五条市食安办以《风险评估任务书》（见附表2）的形式向专家委员会或承担风险评估任务的机构下达风险评估任务。《风险评估任务书》应包括风险评估的目的、需要解决的问题和结果产出形式等内容。

第二十六条专家委员会或承担风险评估任务的机构应根据评估任务提出风险评估实施方案，报市食安办备案。

对于需要进一步补充信息的，可向市食安办提出数据和信息采集方案的建议。第二十七条专家委员会或承担风险评估任务的机构按照评估实施方案，遵循危害识别、危害特征描述、暴露评估和风险特征描述的结构化程序开展风险评估。

第二十八条承担风险评估任务的机构应在专家委员会要求的时限内提交风险评估相关科学数据、技术信息、检验结果的收集、处理和分析的结果。

第二十九条专家委员会进行风险评估，对风险评估的结果和报告负责，并及时将结果、报告上报市食安办。

第三十条发生下列情形之一的，市食安办可以要求专家委员会立即研究分析，对需要开展风险评估的事项，专家委员会应立即成立临时工作组，制定应急评估方案。

（一）处理重大食品安全事故需要的；

（二）公众高度关注的食品安全问题需要尽快解答的；

（三）有关部门监督管理工作需要并提出应急评估建议的；

（四）其它需要通过风险评估解决的食品安全事故的。第三十一条需要开展应急评估时，专家委员会按照应急评估方案进行风险评估，及时向市食安办提交风险评估结果报告。

第三十二条市卫生和人口计划生育委员会经市食安委同意后，应当依法向社会公布食品安全风险评估结果。

风险评估结果由专家委员会负责解释。第三十三条本管理办法用语定义如下：

食品安全风险监测,指通过系统和持续地收集食源性疾病、食品污染及食品中有害因素的监测数据及相关信息，并进行综合分析的过程。

食品安全，指食品无毒、无害，符合应当有的营养要求，对人体健康不造成任何急性、亚急性或者慢性危害。

食品安全事故，指食物中毒、食源性疾病、食品污染等源于食品，对人体健康有危害或者可能有危害的事故。

食品污染,是指根据国际食品安全管理的一般规则，在食品生产、加工或流通等过程中因非故意原因进入食品的外来污染物，一般包括金属污染物、农药残留、兽药残留、真菌毒素及食源性致病微生物、寄生虫等。

食品中的有害因素,指在食品生产、流通、餐饮服务等环节，除了食品污染以外的其他可能途径进入食品的有害因素，包括食品中自然存在的有害物、违法添加的非食用物质、超范围或超限量使用的食品添加剂及被作为食品添加剂使用的有害物质。

危害,指食品中所含有的对健康有潜在不良影响的生物、化学或物理因素或食品存在状况。危害识别,指对食品中可能产生不良健康影响的某种危害的定性描述。危害特征描述,指定性或定量分析危害的量效反应关系或危害作用机理。暴露评估,不同人群摄入某种危害的定性或定量分析。

风险特征描述,根据危害识别、危害特征描述和暴露评估的结果，综合分析该危害产生不良健康影响的严重性和可能性。

第三十四条本管理办法由市食安办负责解释，自发布之日起实施。附表：

1、风险评估项目建议书

2、风险评估任务书附表1 风险评估项目建议书任务名称

建议单位及地址

联系人及联系方式

建议评估模式*

非应急评估（）应急评估（）

风险来源和性质

风险名称

进入食物链方式

污染的食物种类

在食物中的含量

风险涉及范围

篇8：信息安全风险评估与安全预算

一、如何看待安全预算

安全预算是各类企事业单位为保护信息资产, 保证自身可持续发展而投入的资金, 是一种预防行为。安全预算多少合适, 是不是投入得太多了?虽然安全问题越来越受到重视, 但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。

在国外, 安全投入占企业基础建设投入的5%~20%, 这人比例在中国的企事业中却很少超过2%。从风险的角度看, 就是要平衡成本与风险之间的关系, 用一百万美金保护三十万的资产, 显然是不可接受的, 但是如果资产的价值超过了一千万美金, 产生的效益就显而易见, 目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来, 并没有发生重大的信息安全事件, 年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件, 那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系, 每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算, 我国也有数百亿美元的经济损失, 然而安全方面的投入却不超过几十亿美元。由此可以看出, 我国整体信息化建设, 安全预算不足。

一个单位在安全方面投入了很多, 但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论, 很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金, 但是却不关注内部人员的考察、安全产品有效性的审核等安全要素, 缺乏系统的、科学的管理体系支持, 都是导致这种结果产生的原因。

二、科学制定安全预算

信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做, 一是因为信息安全涉及到很多方面的问题, 例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理, 应该关注以下几个方面: (1) 是否“平衡”了成本与风险的关系; (2) 是否真正用于降低或者消除信息安全风险, 而不是引入了新的不可接受风险; (3) 被关注的风险是否具有较高的优先等级。

信息安全风险评估恰恰解决了以上问题, 通过制定科学的风险评估方法、程序, 对那些起到关键作用的信息和信息资产进行评估, 得出面临的风险, 然后针对不同风险制定相应的处理计划, 提出所需要的资源, 从而利用风险评估辅助安全预算的制定。

三、风险评估过程

目前国际和国内都有一些比较成熟的风险评估标准及指南, 通常包括下述几个过程: (1) 确定评估的范围、目的、评估组、评估方法等; (2) 识别评估范围内的信息资产; (3) 识别对于这些资产的威胁; (4) 识别可能利用这些威胁的薄弱点; (5) 识别信息资产的损失给单位带来的影响; (6) 识别威胁时间发生的可能性; (7) 根据“影响”及“可能性”计算风险; (8) 确定风险等级及可接受风险的等级。

风险评估过程中, 应该考虑那些应该输出的必要信息、表示方式等问题。例如, 风险评估的方法, 如果采用简单的评估方法, 其输出的结果往往不够细致, 进而不能很好的辅助制定预算的决策过程。从整个评估的过程看, 应该考虑以下几方面的问题: (1) 科学选择风险评估人员。风险评估过程中, 通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入, 那么在整个风险评估的过程中, 都应该考虑到对制定预算起到关键作用的管理层人员的加入。 (2) 准确采取风险评估方法。风险评估通常采用定性和定量的分析方法。需要更多地考虑如何量化一些关键指标, 作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系, 也更利于各部门横向沟通, 及与管理层的纵向沟通。 (3) 查找导致风险的威胁及薄弱点。在进行风险评估时, 应该系统地考虑来自各个方面的威胁。目前, 仍然有很多人对于风险评估的理解还停留在“技术关注”的层面, 这样的风险评估显然是不够的。 (4) 选择适当的控制措施。针对风险评估所产生的不可接受风险, 应该采取一定的控制措施对风险进行处理。风险的处理方式通常包括:降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同, 同样的处理方式所采取的控制措施也可能不同。所以就应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避, 而是要降低到一个可以接受的水平。另外控制措施的选择也要考虑到成本的问题, 任何单位不需要部署所有的安全产品, 也没有必要追求风险最小化。

篇9：信息安全风险评估综合分析

关键词：信息安全；风险评估；脆弱性；威胁

1.引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下6个特征：(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。

(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：(1)自然界因素，如地震、火灾、风灾、水灾、雷电等；(2)社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；(3)网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；(4)软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；(5)人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；(6)其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3、安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估種类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5评估结果管理

安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。

4、风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段