PHA定性风险评估程序
1 、概述
以下描述是用于评估一个潜在工艺危害事故事件风险严重程度的程序。在这个程序中,分析者首先对这个事故事件的后果确定它的级别,分1到4个级别。然后评估现有能导致事故事件发生的系统失效频率,也分1到4个级别。综合后果和频率的评估给总的风险程度打分。该风险分数用于建议措施的优先次序排列。
2 、声明
该程序是用于风险的定性评估。当情况需要一个正式的定量风险评估时,不能用本程序的评估作为替代。当某个事故事件的潜在后果极端严重或是灾难性时,要给予特别关注。
3 、程序
对危害事故事件的后果进行定义,将后果进行定性或定量的评估(必要时进行后果分析和设施布置分析)。
对该事故事件发生的过程进行评估。通常情况下,应该使用工艺安全分析方法。
警告!该矩阵适用于危害事故事件的评估,而不能用于整个厂区的总体评估。矩阵的对象是某件具体的危害事故事件,而不是用来对整个工厂进行工艺安全管理审核的,因为它可能对一个要素或事故事件评分很高但对另一个的评分却很低。该矩阵是风险大小的一个判定标准。
3.1 具体实施步骤
3.1.1 后果评估
使用表J-2(对人员的安全和健康的影响)、或表J-3(财产损失、环境影响、企业声誉影响)来确定后果的级别。选择最贴近事故事件的后果级别描述来确定后果级别(从1到4)。
3.1.2 频率评估
使用表J-4(简单的事故事件发生频率分类)或表J-5(分类的事故事件频率评估矩阵)来评估事故事件发生的频率。选择最贴近事故事件发生频率的级别描述来确定频率级别(从1到4)。
3.1.3 风险评估
使用表J-1:风险评估矩阵,综合后果级别分数和频率级别分数,评估出一个最终的风险分数。
表J-1 风险评估矩阵
后果严重性升高
后果级别
IVIVIVIIIIIIIIIVIIIIIIIVII IIIVIV频率级别 100 F-410 F-3
IV
IV
IV
III
II
III
IV
III
I
II
IV
I
I
II
IV
IV
频率级别
100 F-4
10 F-3
1 F-2
0.1 F-1
可能性升高
C-1 C-2 C-3 C-4
0.1 3 30 300
严重性升高
风险等级的解释如下:
风险等级
描述
需要的行动
PHA改进建议
I
不能容忍的
应立即采取行动,通过工程等控制措施在3个月内,把风险降低到级别III或以下,在整改完成之前需有临时的相应管控措施并经领导审批。
需要
II
不希望发生
应当通过工程和/或管理上的控制措施在6个月之内,把风险降低到级别III或以下,在整改完成之前需有临时的相应管控措施并经领导审批。
需要
III
在控制措施可靠的条件下可以容忍
应当确认程序和控制措施已经落实,并阶段性的验证它们的可靠性。
个案评估。评估现有控制措施是否足够。
IV
可以容忍
不需要采取额外的措施降低风险。
不需要。可适当考虑提高安全水平的机会(在PHA范围之外)
表 J-2 后果评估矩阵(对人员的安全和健康的影响)
火灾、有毒物质泄漏、爆炸、不可逆的健康影响
类别
(人员的安全和健康)
典型的描述
近似的相应量化频率(按照1:29:300)
后果类别C-1:轻微的
没有人员伤害或健康影响
0.1
后果类别C-2:中等的
轻伤(105日以下损工事故事件)的伤害或可恢复的健康影响
3
后果类别C-3:严重的
重伤(105日以上的损工事故事件)或多重限工/损工或中等程度的健康影响
30
后果类别C-4:灾难性的
一人或一人以上死亡
300
表J-
3简单的事
表J-3 补充性后果评估矩阵
事故事件/影响的类别
后果类别C-1:较小的
后果类别C-2:中
等的
后果类别C-3:较大的
后果类别C-4:灾难性的
财务/投资影响
财产损失(直接损失)
装置不停车,但部分设备非计划停车;财产损失少于5万。
装置非计划停产不超过一个班次;
财产损失介于5
万- 10万。
装置非计划停产一个班次到3天;
财产损失介于10万- 30万人民币。
装置非计划停产超过3天。
财产损失大于30万人民币.
环境影响
有毒、有害物质泄漏、“三废”超标排放,已对公司内部环境造成影响
有毒、有害物质泄漏、“三废”超标排放,或公司外排水、排气超标,对公司污水处理站造成影响,
有毒、有害物质泄漏、“三废”超标排放,或公司外排水、排气超标,对外界环境造成轻微污染,被环保部门书面通报批评的事故事件;
有毒、有害物质泄漏、“三废”超标排放,或公司外排水、排气超标,对外界环境造成较大污染,被环保部门书面通报批评并对公司造成经济处罚事故事件;
声誉影响
工厂内影响;
对公司影响。
区级媒体大量的报道;
市媒体/国家媒体报道,引起公众抗议。
J-4简单的事故事件发生频率分类
类别
典型的描述
近似的相应量化频率(每年)
F-1非常不可能
现实中预期不会发生
<10-4(千年以上)
F-2 不可能
预期不会发生,但不能排除发生的可能性
10-3到10-4(百年到千年)
F-3 有可能
在某个特定工厂的生命周期里不太可能发生,但有多个类似工厂时,可能在其中的一个里发生
10-2到10-3(十年到百年)
F-4 极有可能
在设施的使用期内可能至少发生一次
≥10-2(十年内)
表J-5 分类的事故事件频率评估矩阵
性质
频率类别F-1:
非常不可能
频率类别F-2: 不可能
频率类别F-3:
有可能
频率类别F-4: 极有可能
工程控制措施
多道防护层*a
两道或两道以上的被动防护系统,互相独立,不存在可靠性问题。
两道或两道以上,其中至少有一个是被动和可靠的。
一个或两个复杂的、主动的系统。有一些可靠性问题,可能有共因失效的弱点。
没有或有一个复杂、主动的系统。可靠性差
检测(联锁、机械完整性和应急系统)
检测程序有完善的书面文件。完整的功能检查。效果好。故障少。
定期的检测,功能检查可能不完全。问题不常见。
不经常检查。历史上经常出问题。一些检查说做过,但实际没执行。
检测工作不明确,没检查过或没有受到正确对待。
以往事故事件
没有过重大事故事件,
非常少的轻微事
故。及时的采取了
整改行动
没有过重大事故事件,或许有轻微事故事件。找出了原因并吸取了教训。
一次重大事故事件,事故事件原因没有完全掌握。对整改措施是否合适存有疑问。
很多事故事件,未遂事故事件。不会从事故事件中学习经验教训。
运行经验
熟悉掌握工艺。流
程异常不常出现,
出现也能及时地处理。
流程异常不常出现。大部分异常的原因被弄清楚,处理措施有效。
持续出现小的流程异常,对其原因没有全搞清楚或进行处理。较严重的流程异常被标记出来并最终得到解决。
经常性出现流程异常,很多从未得到解释。流程经常出现偏移,对产生原因不甚清楚。
变更的速度
稳定的工艺;了解
掌握潜在的危险
源;操作规程和相关工艺参数总是
可以方便的查阅
到。
合理的变更速度。可能是新技术带有一些不确定性。高质量的工艺安全分析。
快速的变更或新技术。质量一般、有些地方考虑不深入的工艺安全分析。运行极限不确定。
快速改变。新技术。不完全或质量差的工艺安全分析。边运行边摸索。
人为因素
培训和程序
清晰、明确的操作
执行力*b。制定了
要遵循的纪律。错
误被指出并立刻得到更正。例行举办复习培训,内容包括正常、特殊操作和应急操作程序。包括了所有的意外情况。
关键的操作执行力情况不错。其它的则有些非致命的错误或缺点。例行开展检查和评审。员工熟悉程序。
操作执行力存在,没有定期更新或进行评审。紧急情况培训程序质量差。
对操作执行力无认知。培训仅为口头传授。不正规的操作规程。过多的口头指示。没有固定成形的操作。无紧急响应培训。
表J-5 分类的事故事件频率评估矩阵(接上页)
性质
频率类别F-1:
非常不可能
频率类别F-2:
不可能
频率类别F-3:
有可能
频率类别F-4:
极有可能
技术和表现(操作员,技工,班组长,承包商)
每个班都有多个经验丰富的操作工。没有显著的工作过度情况和厌倦感。理想的压力水平。所有人都符合资格要求。献身精神显著可见。员工在乎工厂。清楚了解并重视危险源。
有一些新人。但不会全在一个班值。偶尔的短暂的疲劳。有一些厌倦感。人员知道自己有资格做什么和自己能力不足的地方。对危险源有足够认识。
可能一班都是新人,但不常发生。有时出现的短时期的班组群体疲劳,较强的厌倦感。人员不会主动思考。人员有时可能自以为是。不是每个人都了解危险源。
人员周转快。一个或一个以上班全为无经验的人员。过度的加班,疲劳情况普遍。破坏性的工作计划。士气低迷。工作由技术有问题的人员完成。没有明确的工作范围限制。对危险源没有认识。
a 防护层类型定义:被动的:不需要人的介入或动力源 主动的:电子联锁系统或要求人的动作
b 操作执行力 操作指导
注:当故障率是已知的或当一个大致的频率评估较为合适的时候,表J-4(简单的事故事件发生频率分类)比表J-5(分类的事故事件频率评估矩阵)更适用。
一、风险评估概述
1、风险服务的重要性
对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其他安全策略的必要前提。
近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。
安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。
2、风险评估服务的目的及其意义
信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。
信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。
3、风险评估服务机制
在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估:
在设计规划或升级新的信息系统时;
给目前的信息系统增加新应用时;
在与其他组织(部门)进行网络互联时;
在技术平台进行大规模更新(例如,从Linux系统移植到Sliaris系统)时;
在发生计算机安全事件之后,或怀疑可能会发生安全事件时;
关心组织现有的信息安全措施是否充分或食后具有相应的安全效力时;
在组织具有结构变动(例如:组织合并)时:
在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满足组织持续运营需要时等。
4、风险评估服务的收益
风险评估可以帮助客户:
准确了解租住的信息安全现状;
明晰组织的信息安全需求;
制定组织信息系统的安全策略和风险解决方案;
指导组织未来的信息安全建设和投入;
建立组织自身的信息安全管理框架。
二、风险评估服务介绍
本公司遵循公认的ISO 27001、GB/T 20984-2007信息安全风险评估规范以及国际信息安全等级保护指南等安全标准知道风险评估的工作,针对资产重要程度分别提供不同的频率和方式的风险评估,帮助客户了解客观真实的自身网络系统安全现状,规划适合自己网络系统环境的安全策略,并根据科学合理的安全策略来实施后续的安全服务、选型与部署安全产品以及建立有效的安全管理规章制度,从而全面完整的解决可能存在的各种风险隐患。
1、风险评估服务遵循标准
在整个评估过程中,本公司遵循和参照最新、最权威的信息安全标准,作为评估实施的依据。这些安全标准包括:
安全技术标准:
GB 17859:计算机信息系统安全保护等级划分准则
GB 18336(ISO 15408):信息技术-安全技术-信息技术风险评估准则(等同于Common Criteria for Information Technology Security Evaluation V1.2,简称CC V1.2)
CVE:Common Vulnerabilities & Exposures,通用脆弱性标准。CVE是个行业标准,为每个漏洞和弱点确定了惟一的名称和标准化的描述,可以称为评价响应入侵检测和漏洞扫描等工具产品和数据库的基准
安全管理标准:
ISO/IEC 27001: 2005 Information Technology-Security techniques-Information security management systems-Requirements,信息技术-安全技术-信息安全管理体系要求
ISO/IEC 27005:2008 Information Technology- Security echniques-Information security risk management,信息技术-安全技术-信息安全风险管理
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
信息安全等级保护 信息系统安全管理要求(送审稿)
ISO 13335,信息技术-安全技术-IT安全管理指南
GB/Z 24364 2009 信息安全技术 信息安全风险管理指南
风险评估实施方法:
GB/T 20984-2007:信息安全风险评估规范(最新国家标准)
NIST SP 800-30:RiSk Management Guide for Information Technology Systems,信息技术系统风险管理指南(美国国家标准和技术学会发布)
NSA IAM:INFOSED Assessment Methodology,信息风险评估方法(美国国家安全局发布)
OCTAVW:The Operationally Critical Threat,Asset,and Vulnerability Evaluation,可操作的关机那威胁、资产和脆弱性评价
信息技术 安全技术 信息系统安全保障等级评估准则
SSE-CMM:The Systems Security Engineering Capability Maturity Model,安全系统工程能力成熟度模型
2、风险评估服务实施原则
(1)保密性原则
本公司对安全服务的实施过程和结果将严格保密,在未经客户授权的情况下不会泄漏给任何单位和个人,不会利用此数据并进行热呢侵害客户权益的行为。
(2)标准性原则
服务设计和实施的全过程均依据国内或国际的相关标准进行。
(3)规范性原则
本公司在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便与项目的跟踪和控制。
(4)可控性原则
服务所使用的工具、方法和过程都会在本公司与客户双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性。
(5)整体性原则
服务的范围和内桶整体全面,设计的IT运行的各个层面,避免由于遗漏造成未来的安全隐患。
(6)最小影响原则
服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
3、风险评估对象及内容
本公司风险评估服务主要包括以下内容:
物理环境安全性评估
网络架构安全性评估
主机系统设备安全性评估
服务器系统
桌面主机
网络设备(路由器、交换机)
应用系统安全性评估
通用应用服务(WEB、FTP、Mail、DNS等)
专用业务系统(B/S、C/S)
数据库
机密数据安全控制保障评估(机密信息的生成、传递、存储等过程)
信息安全管理组织架构和理性评估
信息安全管理制度及安全性评估
人员安全管理状况评估
安全产品和技术应用状况有效性及合理性评
对应重大紧急安全事件的处理能力评估
……
4、风险评估方法
为了确切、真实地反映信息系统现状,本公司在风险评估过程中使用到的方法有顾问访谈、工具扫描、专家经验分析、实地勘察、渗透测试、策略审查六种,如下图所示:
图 风险评估方法
5、成果输出
《风险评估安全现状综合分析报告》
《风险评估安全解决方案》
四、风险评估服务框架及流程
1、风险要素关系
信息是一种资产,资产所有者应对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用那些弱点来破坏其安全性。风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。
风险评估中各个要素的关系如下图所示:
图 风险要素关系示意图
图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开,在对这些要素的评价过程中需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图中的风险要素及属性之间存在着以下关系:
业务战略依赖资产趋去实现;
析产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越大;
资产价值越大则其面临的风险越大;
风险是由威胁引发的,资产面临的威胁越多测风险越大,并可能演变成安全事件;
弱点越多,威胁利用脆弱性导致安全事件的可能性越大;
脆弱性时未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;
风险的存在及对风险的认识导出安全需求;
安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响;
风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,有些残余风险来自于安全措施可能不当或无效,在以后需要继续控制,而有些参与风险则是在综合考虑了安全成本与效益后为控制的风险,是可以被接受的;
参与风险应受到密切监视,他可能会在将来有发心的安全事件。
2、风险分析
风险分析示意图如下图所示:
图
风险评估分析中主要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:
对资产进行识别,并对资产的重要性进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
根据威胁和脆弱性的识别结果判断安全事件;
根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组的影响,即风险值。
3、风险评估实施流程
本公司在进行风险评估服务过程中,将严格参照GB/T 20984-2007《信息安全风险评估规范》国家标准所定义的服务流程规范来实施,整个实施流程如下图所示:
信息安全风险评估实施流程
准备阶段
风险评估的准备过程是进行风险评估的基础,是整个风险评估过程有效性的保证。风险评估作为一种战略型的考虑,其结果将受到组织的业务需求及战略目标、文化、业务流程、安全要求/规模和结构的影响。不同组织对于风险评估的实施过程可能存在不同的要求,因此在风险评估实施前,需要做好以下准备工作:
a)确定风险评估的范围;
b)确定风险评估的目标;
c)建立适当的组织结构;
d)建立系统性的风险评估方法;
e)获得高层管理者对风险评估策划的批准。
(2)风险识别阶段
a)信息资产识别
资产是组织直接赋予了价值因而需要保护的东西。他可能是以多种形式存在,有无形的、有有型的,有硬件、有软件,有文档、代码,也有服务、组织形象等。他们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
组织的信息资产是组织资产中与信息开发、存储、转移、分发等过程直接、密切相关的部分。不同的信息资产具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。
此阶段的工作就是通过考察组织信息资产的三种不同的安全属性,从而更好地反映信息资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。
b)威胁识别
威胁是可能导致对系统或组织危害的不希望事故潜在起因。威胁可能源于对组织信息直接或间接地攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成伤害。威胁也可能源于偶发的/或蓄意的事件。一般来说,威胁总是要利用组织中的系统、应用或服务的弱点才可能成功地对资产造成伤害。
c)脆弱性识别
脆弱性和信息资产紧密相连,它可能被威胁利用/引起资产损失或伤害。值得注意的是,脆弱性本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。
脆弱性的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,他们的共同特性就是给攻击者提供了机会。
d)已有安全措施确认
在本阶段,本公司将对采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些却认为不适当的控制核查是否应被取消,火星和用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施(如业务持续性计划、商业保险等)两种,预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性,而保护性控制措施可以减少因猥亵发生所造成的影响。
已有安全措施的确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合。比较明显的例子是防火墙的访问控制措施。
(3)风险分析阶段
a)残余风险分析
残余风险分析将根据在识别阶段对资产、脆弱性、威胁识别的结果,结合现有安全控制措施分析的结果,确定信息系统的残余风险;然后结合残余风险对业务影响性的分析,确定残余风险的处置计划并给出合理的风险处置建议。
b)综合风险分析
风险是一种潜在可能性,是指某分威胁利用脆弱性引起某项资产或一组资产的损害,从而直接地或间接地引起组织或机构的损害。因此,风险和具体的资产、其价值、威胁等级以及相关的脆弱性直接相关。
从上述的定义可以看出,风险评估的策略是首先选定某项资产、评估资产价值挖掘并评估资产面临的威胁、挖掘并评估资产存在的脆弱性、评估该资产的风险、进而得出整个评估目标的风险。
(4)风险处置阶段
根据项目文档中对信息系统网络风险评估的主要目标,依照安全风险中获得的阶段性结果和《风险评估安全现状综合分析报告》,参考安全体系和框架,得出针对客户的《风险评估安全解决方案》。
4、评估过程中的风险控制
在评估过程中,不可避免地会对平复对象造成影响,相应地可能会造成各种损失。这些影响包括信息泄露、业务停顿或处理能力受损等。因此,必须充分考虑各种可能的影响及其危害并准备好相应地应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。下表给出了平复过程中可能的风险与控制方式。
项目
可能的影响和方式
等级
控制方式(措施)
备注
资产评估
资产信息泄露
高
合同、协议、规章、制度、法律、法规
安全管理评估
安全管理信息泄露
高
合同、协议、规章、制度、法律、法规
应急安全评估
系统切换测试导致部分业务中断、部分数据遗失
高
和DBA、SA、NA协同工作做好系统备份和恢复措施;通知相关业务人员在响应时间内注意保护数据,并检查提交的数据是否在测试后完整。
网络威胁收集
网络流量
低
控制中心与探测引擎直接连接,不占用网络流量
网络/安全
设备评估
误操作引起设备崩溃或数据丢失、损坏
高
规范审计流程;
严格选择审计人员;
用户进行全程监控;
制定可能的恢复计划;
网络/安全设备资源占用
低
避开业务高峰;
控制扫描策略(线程数量、强度)
弱点扫描
流量占用
低
避开业务高峰;
控制扫描策略(线程数量、强度)
主机资源占用
低
避开业务高峰;
控制扫描策略(线程数量、强度)
控制台审计
误操作引起系统崩溃或数据丢失、损坏
高
规范审计流程;
严格选择审计人员;
用户进行全程监控;
制定可能的恢复计划;
网络流量和主机资源占用
低
避开业务高峰
应用平台
产生非法数据,致使系统不能正常工作
中
和DBA、SA、NA协同工作做好系统备份措施
异常输入(畸形数据、极限测试)导致系统崩溃
高
和DBA、SA、NA协同工作做好系统备份措施
表
推荐访问:实施方案 风险评估 矩阵 实施方案 风险评估矩阵及风险评估实施方案