为什么需要信息系统安全风险评估？

一、为什么需要信息系统安全风险评估？

由于信息系统生命周期的各个阶段的安全防范目的不同，致使使用风险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。

信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：

1、在信息系统生命周期的设计和实施阶段，使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。

2、在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：

（1）了解防火墙、IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的安全防范效果是否有满足安全目标的要求；

（2）了解安全防范策略是否切合实际，是否被全面执行；

（3）检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常；

（4）当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全

措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。

3、在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的

数据或设备，确实已经不能被任何方式所恢复；淘汰的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。

万方安全专注与网络信息安全领域10余年以上，具备国家网络信息安全主管部门颁发的最权威认证资质及国际权威认证资质，安全博士领衔数十位获得国际和国内顶级安e59b9ee7ad全资质的专家团队为您服务。

二、作为局域网的网络安全管理员，应该从哪些方面来确保整个局域网的安全和可靠？

1、没事的时候用纸把网络拓布图画出来，并在上面标注好每台路由，交换机，电脑的ip地址。

2、制作一个应急方案，比如，对关键的路由器，配置出一个一样的来放起备用。为每台电脑做系统备份。并把备份编号收集起来，以备不时之需。

3、如果公司电脑比较固定，那就把ip和mac做绑定。

4、ip地址的管理，公司内部的ip地址要合理分配，并有预留。最好制作一份ip地址分配方案

5、根据需要，做好防火墙和杀毒软件的安装。

等等。

跟据具体情况，你可以再想想。希望帮到你

三、微波炉的辐射大吗？食物拿出来之后有辐射吗？

“微波”“辐射”这样的词总能引起许多人的恐慌，关于微波炉的“可怕”传说也就往往得到格外关注。

在这个“闻癌色变”的年代，“微波炉加热产生致癌物”更是在一遍又一遍的重复中成为广泛接受的“信念”。

本文从微波炉为什么能加热食物入手，来介绍微波炉的特点并解析关于微波炉的一些传言。

一、 微波炉为什么能加热食物让我们从水说起。

水分子是由一个氧原子两个氢原子构成的，氧原子对电子的吸引力很强，所以水分子中的电子比较集中在氧原子那一头，相应的氢原子那头就少一些。

整体来看，水分子就有一头带着正电，另一头带着负电。

在化学上，这样的分子就被叫做“极性提交回答分子”。

在通常的水里，水分子是杂乱无章地排列的，正电负电冲哪个方向的都有。

当水处在电场中的时候，正电的那头就会转向电场的负极，而带负电那头会转向电场的正极——所谓的“异性相吸，同性相斥”。

如果是一个静止的电场，水分子们排好队也就安静下来了。

如果电场在不停地转，那么水分子就会跟着转，试图和电场保持一顺儿的队型。

如果电场转得很快，那么水分子们也就转得很快——类似摩擦生热，水的温度就升高了。

电磁波就相当于这样一种旋转的电场。

用在微波炉上的电磁波每秒钟要转二十几亿圈，水分子们以这样的速度跟着转，自然也就“浑身发热”，温度在短时间内就急剧升高了。

一旦微波停止，旋转电场消失了，水分子们也就安静下来，它们的世界也就回复清净了。

在这个过程中，水分子本身并没有被微波改变。

不仅是水，其它极性分子也都可以被微波加热。

通常的食物中都含有水和其它极性分子，所以在微波作用下可以被迅速加热。

而非极性的分子，比如空气，以及某些容器，就不会被加热。

我们平常热完食物后觉得容器也热了，往往是被高温的食物给“烫”热的。

四、企业标准体系中管理标准如何进行考核

   在专业管理考核标准的制定过程中，我们可以通过强调七个体现，来保证标准符合企业实际。

    一、考核标准要体现公司管理要求

    所设定的考核标准，首先要体现公司设置本部门或岗位的目的，目标的达成与否直接关系企业该项专业管理水平。

    以某企业安全专项管理为例。该企业以“本职安全管理”为内容，在“保持重大安全责任事故、重大货运事故为0”目标前提下，提出培训本质安全人，达到：想安全（员工都要有强烈的自主安全意识）；会安全（员工具有本专业岗位知识和熟练安全技能）；能安全（员工自觉遵守安全制度，能熟练地操作设备和工具）。做到本职安全岗：岗位无隐患（安全要超前预想、预警、预防，及时消灭岗位隐患）、操作无失误（严格上标准岗、干标准活、按标准和程序严格操作）、管理无缺陷（全面提高安全执行力，严格管理、精细管理）；形成本职安全场:要求各基层单位从自查自评、人机配合、封闭管理、指挥工的培训、员工培训及安全预知、安质员作用的发挥、自主管理及主动管理、站 队安全基础达标八个方面抓好安全工作，形成大安全的工作氛围，保证安全目标的实现。

    二、考核标准要成为被考核单位的“作业指导书”

    专业管理工作涉及面广、项目多且工作缺少定性，为达到管理目标考核项目指标量化、评价科学、可操作性强的目的，成为指导被考核单位管理工作的“作业指导书”，我们可以将专业管理工作按公司职能管理角度分解成专业目标，再将专业目标分解后形成考核项目，然后针对考核项目的要求，结合岗位要求，分解成具体的考核标准，使考核的内容与实际工作完全融合，真正成为各单位、部门、岗位管理的“作业指导书”。

    例如在“物资管理”这一考核项目上，我们将考核内容细分为“消耗控制管理、物资计划管理、物资使用过程管理、废旧物资管理”等4项内容，对每项内容有具体描述。在“消耗控制管理”这一项目中，按照公司年度可变成本指标测算后，分解各基层单位的月度消耗指标，这样各单位在实施这项工作时，对工作内容、标准就有了一个非常直观的认识，便于按标准开展此项工作。

    三、要充分借助规章制度、程序文件细化考核标准

    在职能部门制定各项专业管理考核标准前，需要做大量基础性的工作，要梳理各项规章制度、管理程序，指导基层。如设备管理，职能部门通过一系列的设备管理制度，指导基层单位如何管、用、养、修设备，同时要对基层单位的机械设备建立台帐，实行动态跟踪。基层的单位可以根据专业设备管理的考核内容，建立具备本单位特色的岗位标准。如“状态监测、强制保养、视情修理”的模式和设备巡检制度，通过合理规范设备的计划维修，落实设备责任承包制，制定完善的设备维修体系及区域职责划分，明确所属设备的技术责任负责人、责任班组、班组责任人，做到每月有普查、每周有计划、每日有安排。   四、考核标准坚持职责界定清晰，责任到人、到岗

    各项工作都按标准进行分解，要明确规定主管人、责任者、配合者、考核者、工作程序、质量记录、工作频次，从而做到的每件事都有专人负责，使考核标准有据可循。

    例如生产组织管理考核。对现场由多个协作站队完成的生产组织，可以采用现场行为记录法的写实考核形式对参与生产的各作业队、设备队影响生产的因素每班次进行现场行为记录，经当班调度审核确认后，交负责生产组织考核管理人员进行汇总。生产组织管理标准涉及的考核指标要界定清晰：约束指标、激励指标、否定指标，缺一不可。约束指标主要考核生产准备过程、生产组织管理过程；激励指标主要考核作业效率、主动协调、工作质量方面；否定指标主要考核质量事故、服务态度、执行力方面。有针对性地发挥考核具体评价作用。

    五、考核标准尽量具体、量化、程序化

    有了明确的考核标准，就可以促进工作改善的指导方向；更要保证职能部门专业目标与基层单位目标保持一致性，避免目标重复或断层。

具体专业考核标准还要明确目标完成期限；目标的可对比性，不但与不同的单位、班组相对比，而且与自己的进步程度相对比，体现公平。如在实际操作过程中奖励前三名的考核，可以将考核前两名确定为在考核中绝对考核分值前两名者，第三名考核奖设为进步程度最大奖，既坚持考核标准的“标杆”引导的方向性，也根据各基层单位组建时间长短不一，保证各单位的努力程度有相应的认可，并对基层单位有明确的指导作用。

    六、考核标准要体现轻重缓急

    考核标准可以分出基本要求和较高要求，突出阶段目标，循序渐进引导基层单位的管理提升。

    考核标准一是体现职能管理的要求，引导基层单位按照考核标准逐项落实管理工作，二是通过标准不断提高，引导基层单位工作的自主管理。在拟定考核标准时，我们注重考核内容、考核标准的选定和提炼，使标准在切合当前工作实际状况的前提下，分出基本要求和较高要求。

    如在治安管理考核中，设定“安防体系”这一考核项目，考核内容将“安防措施、设施管理、安防检查、突发事件处理、重点区域防范”等五项内容，作为单位部门的基本要求，但这五项不能充分体现各单位防范工作开展情况。于是对考核内容进行了细化提高，增设了 “货运凭证管理、登轮证管理、港口设施保安工作”三项内容，提出了较高要求，将考核标准进一步修订提高，较好地保证了考核的引导作用。

    七、结合基层实际需求（情况）去制定考核标准

    考核内容的拟定既从职能专业化管理的角度去设定，又充分满足基层单位的实际工作需求，我们重点将职能要求与基层实际工作中出现的问题有机地结合在一起，目标、内容、标准呈现可控性、针对性、多样性的特点，充分调动基层单位积极参与目标考评的积极性。

    如:为做好人力资源考核标准的拟定工作，先根据企业年度专业考核标准，结合现场工作的形势与特点，在拟定出第一稿考核标准后，分别到基层单位就考核内容、考核标准、考核方法、扣分标准等内容进行摸底、调研，对基层单位反映的各单位间由于员工数量、文化层次、工作范围、工作性质等内容导致的管理实际情况，设置了权值考核，根据被考核单位考核项目重要程度不同分设不同的权值。对涉及的单位，视其重要程度不同，权值也有高低。

    八、关于考核标准实际操作中的一些感悟

    一是考核标准的制定，要改变考核只是单纯负面处罚的考核方式。在最初推行绩效管理的单位，可以分两步走：试推行阶段，企业可以拿出一部分专项奖，只奖前，不罚后。在正式推行阶段再正式施行奖前罚后的机制，同时要将各种奖项与企业原有的奖惩制度相结合，保证制度建设的连续性和严肃性。例如设备管理考核与红旗设备奖挂钩，生产组织考核与生产组织奖惩条例结合，及时兑现，既是对当前工作状况的确认，同时也是对以后的努力方向形成一种目标明确的激励导向，使考核上升为公司日常管理的一项基本内容 。

    二是要实行管理责任评价。建立有效改进提高的反馈机制。在专业管理中，对各基层单位的管理建立管理责任评价，月度以各种月报形式反馈基层单位，对其协作配合、单项专业管理进行点评，对存在问题与难题处理以及责任制落实情况及时反馈，既推广亮点，又指出不足。日常工作与最后结果结合，注重过程控制；保证目标按计划进度执行并完成。