管理疏忽与危险树(Management Oversight and Risk Tree,MORT)
目录 |
管理疏忽与危险树(MORT)是一种应用事先设计好的系统化的逻辑树确定整个系统风险,进行安全分析评价的方法。MORT也是一种全面的职业事故调查和安全计划分析的方法。它特别关注企业安全管理工作中的疏忽、失误和管理系统的缺陷,因而也可以说,它是一种最好的对安全管理系统进行分析评价的方法,它对企业安全管理系统的评价、管理缺陷的改进有相当重要的作用。[1]
20世纪60年代中期,美国国家安全委员会(NSC)为解决职业事故以及交通和其他一些领域的事故率难以进一步降低的问题,努力寻求一种新型的现代化管理方法,并把航空航天领域中开发的系统安全技术应用于职业安全卫生工作之中,这些及随之而来的对变化的探测和控制的研究及行为和组织科学的出现、都为MORT的开发和应用奠定了坚实的基础。
1970年.美国能源研究开发总署为MORT研究提供资金,由约翰逊(W.G.Johnson)主持研究,并于1971年问世。MORT方法借鉴了故障树分析(FTA)的方法,以一张“逻辑树”图,把整个安全管理系统的各有关部分结合起来。在整个分析过程中,系统地结合了当时最先进的安全理论和概念,特别是变化分析、能量与屏障和安全系统等重要概念,始终贯穿于MORT分析之中。除此之外,当时最好的安全实践经验,行为、组织、和分析等科学及系统安全技术等也被结合进了MORT之中。因而使MORT成了安全管理方面最为先进、最为全面的管理系统安全分析评价方法。
1973年后,经多次修改和完善,MORT文本进一步吸取丁世界各种安全程序计划的精华。特别在1974牛8月成立系统安全开发中心(SSPC)以后,对MORT进行了更进一步的研究和推广,并于l978年、1983年、1987年、l992年对其进行了四次全面的修订,使之更趋完善。
MORT应用了一些较为先进的概念,其主要包括变化分析、能量转移及屏障、安全系统和风险评价等。在MORT中自始至终贯穿着这些概念。因而.对这些概念加以充分的理解和认识,对于了解和应用MORT分析方法具有十分重要的意义。
除了变化分析及能量转移与屏障的很念外,在MORT中,还独创性地建立了安全系统的概念。这个概念的主要观点包括以下几个方面:
安全管理是企业整个系统中的—个子系统,这个子系统有3个基本功能:建立并应用测定运行系统与计划的偏离情况并通知有关部门的反馈回路;建立并应用向有关人员提供减少危险的方法和策略的反馈回路;建立并应用危险分析方法分析有关测定结果。
一般情况下,分析这个系统按照计划的过程进行生产和其他有关活动。只有当系统的运行偏离计划时,事故才可能减少。这种偏离包括设备、零件或工具的失效,人的失误或系统内某种功能的降低。而一个好的安全系统应具有协助企业管理部门减少各种失误、偏离和失效的能力。
作为专业安全人员,其首要工作目标就应是把其安全系统的工作目标与企业这个大系统的目标相结合并与之相一致,使企业管理人员认识、支持安全系统的运行,使安全工作成为企业管理中提高企业生产效率的重要一环。否则,安全工作者的工作职能就会大受影响,其管理职能、分析技术都难以发挥其应有的水平和效率。
在MORT中,把安全系统(也可以称为安全管理系统)简化为如图1所示的6个组成部分,即为安全系统模型。
图1(动态安全系统模型):
该图形象地描述了MORT中所分析研究的各个主要部分及其职能,强调了安全系统对于整个系统工作的利害关系。
安全系统的6个主要部分包括管理决策、危险分析、信息收集、参与和反馈、工作流程及性能检测。而整个系统是一个具有动态反馈—控制—调整的不断改善的过程,是通过工程设计、教育管理方针和政策、改善环境和实施监督管理来消除和控制危险事件的一整套措施。其主要目的是将系统中所有可识别的危险事件减少的可能性和严重件都控制在可接受的水平上。
安全系统的主要作用是,找出影响危险定性分析和安全决策实施的主要因素;正确预测系统的变化过程。确定危险分析过程是否恰当、合适;确定监控系统能否充分保证系统按计划运行及运行是否恰当。
在图1所示“动态安全系统模型”中,“管理决策”过程是利用系统的目的、要求、现有资源等有关条件,建立起安全系统本身的目标,制定有关政策,建立组织机构,制订发展计划;“工作流程”是利用基层管理部门对人、物和生产过程按管理决策实施的过程;系统性能由系统的输出显示,直接反映出系统的实际情况;系统的目标是根据已拟订的计划确定理想的输出,用来衡量系统性能的优劣;“性能监测”就是及时将系统输出与目标相比较,及时发现偏差,及时反馈给有关职能部门;“信息收集”具有三个基本的功能,即测定目标达到的程度,指出需要的变化及指出变化的方法;“参与和反馈”采用奖励、惩罚等手段,鼓励和支持正确行为,反对和制止不良行为,而“危险分析”过程则是利用一系列系统安全分析方法,对系统的输出结果进行全面、系统的评价和分析,并提出建设性意见,供管理决策等有关部门参考。
作为一个管理系统失误及缺陷的分析手段和方法,MORT应用的主要目的和用途是:
1、预防与管理上的疏忽、失误和管理系统的缺陷有关的事故,为消除潜在的事故做指导。
2、评价现有的安全管理系统,分析和确定事故因素,把剩余危险安排在适当的管理阶段,以便采取相适应的措施。
3、优化分配各有关因素,以有利于安全计划和危险管理。
4、对已发生的事故进行全面细致的调查分析,探求事故发生的过程,澄清事故发生的原因,为进行事后处理、决策提供依据。
基于以上目的,MORT的使用一般可分为3种类型:
1、事故发生后,对事故发生的原因进行全面调查和分析。
2、对安全管理系统进行全面的分析和评价,找出有关缺陷,防止事故发生。
3、假定某些问题存在,通过MORT方法找出解决问题的最佳手段和方法。
MORT简图如图2(MORT主要分支图)所示:
MORT图中所应用的符号及各自代表的意义如图3所示,其有关定义如下:
1、缺陷事件,这类事件包括不正常事件和中间事件。在MORT分析中主要指疏忽或适当的条件。
2、基本事件。在MORT中指基本功能或组成部分的失效。
3、不发展事件,在MORT中指因缺乏信息或后果,或缺乏解决方法而不再继续分析的事件。这类事件最终被转化为假定危险。
4、正常事件,指在正常情况下,应当或必然发生的事件。
5、满意事件,MORT中特指正常发生的中间事件。
6、或门,一个或一个以上输入事件发生,输出事件即发生。
7、与门,当且仅当所有输入事件都发生,输出事件才发生。
8、条件或门,当一个或一个以上输入事件发生,且条件a被满足时,输出事件才发生。
9、条件与门,当且仅当所有输入事件都发生,且条件a被满足时,输出事件才发生。
10、转移符号,用来将某分析过程从树的某一部位转移到另一部位,前者表示从某处转出,后者表示转入某处。
11、已确定假定危险的事件,并转到假定危险部分。
MORT图包括1500多个基本事件,上千条判断准则,并从工程、设计、教育、管理环境等各有关方面提出了98个一般问题。
在MORT图中,主要包括三个分枝。如图2所示,左边为特殊管理因素分枝,简称为S分枝,中间为管理系统因素分枝,简称为M分枝,右边为假定危险分枝,简称为R分枝。顶上事件为造成损失的类型和损失的大小,而导致顶上事件发生则有两个基本原因:管理疏忽和漏洞(S/M)和假定危险(R)。S分枝主要了解发生了什么,M分枝则找出发生了事故的根源,了解为什么事故会发生。特殊管理因素是与被研究的事故有关的、特别的管理疏忽和漏洞。在MORT中,S分枝是按时间发生的前后顺序由左向右排列事件,按对结果影响的直接程度由上向下排列事件。因而我们可以看出,为了较早地中断事故的发展过程,在MORT树的左下侧,即事故发展的早期阶段设置屏障是最佳的防止事故发生的手段。
M分枝则考虑一般管理因素,考虑整个管理系统的缺陷,研究直接或间接促成事故的一般管理系统的问题。S因素和M因素是有所区别的,在评价S分枝时,分析人员应将事故发生的过程着重加以考虑。评价M分枝时,则应在整体管理系统概念上考虑。
假定危险是在评价该被系统所接受的事故发生的危险性,它主要分2种类型,即①其发生频率和后果是可以接受的;②后果严重仅无法消除的;③因控制危险的代价太大而接受的。
使用MORI时,关键是逐个因素地水查MORT图,从具有事故损失或潜在事故的问题的实际着手,对三个分枝中的每一因素都依次进行考虑,并可将与事故有关的因素圈上适当的颜色,如把显示系统缺陷的因素涂成红色,显示系统良好状态的因素涂成绿色,而那些需要更多信息才能做出判断的因素,则徐成蓝色,若图中的某一部分对于某一具体问题不适用或不需要加以考虑时,也可以用黑色删去。
在MORT中,S分枝主要分析管理上的疏忽和失误,即导致事故的真正原因是什么,主要应用于事故调查。M分枝则注重管理系统缺陷。即疏忽、失误产生的深层次原因,特别是那些即使没有任何人失误或疏忽,包可能引发事故的管理制度上的缺陷,如管理系统的不封闭,有盲区等,主要适用于对安全管理系统进行评价。相对于其他一些评价管理系统的方法,MORT的M分枝有着逻辑性强,应用面广,注重根本原因而不是仅关注表面现象的优势,对真正提高安全管理系统的水平将会起到很好的作用。
R分枝则是MORT方法的创新所在,其主要思路中首先就抛弃了事故有关管理水平之间的一些不正确的观点,认为有些事故的发生,即上述三类事故,并非管理系统的问题,而是“正常”现象,管理水平的向低主要应取决于是否发生了上述三种类型之外的事故,发生的频度如何,后果怎样?这与空喊事故为零,或一发生事故就人人自危的管理方法是有天壤之别的。
MORT特别适用于管理水平较高、安全要求较高的大型企业或系统,但也有着一些需要改进之处。而且作为一种对安全管理系统进行全面的分析、评价的方法,MORT在我国的推广应用也遇到了一些难题,其本身也存在着一定的缺陷。其一,MORT中有些因素的评价受使用者的主观因素的影响较大,使用时,因使用者水平不同,理解的差异也使MORT的效果颇受影响;其二,MORT在某些方向过于细致、繁杂、费工、费时,使得其不太适用于小型企业或系统;其三,MORT中许多内容都是依据美国的法规、标准而设,因而不符合我国的具体国情。
一、MORT原理及结构简述
管理疏忽和危险树追究与伤亡事故有关的所有问题,分析发生事故的全部途径。管理疏忽和危险树的顶端是一起事故造成的严重后果.诸如重大伤亡事故、财产损失等。接着向下,该树有以下三个主要分支。首先是S分支,与被研究的突发事故有关的管理疏忽和漏洞。其次是膨分支。这是常规管理因素,它们可能是明显的故障.也可能是管理系统的弱点.它们是直接或间接促成被分析事故的一般管理系统的问题。最后是R分支,这是被接受的危险的一览表。所谓被接收的风险是一系列已经知道其存在,但还没有有效措施进行控制的危险因素.目的是唤起人们的注意.更加努力研究以减少这些危险。
该方法的独特之处是将常规管理系统问题与产生重大事故的那些突发问题设在不同的两个分支.上。考察一般管理系统的问题可使人们联想起事故发生的背景:对特别事故的远因分析又可使人去思考一般管理系统的哪个方面存在欠缺。
二、电子政务安全事故影响因素解析
根据MORT图的结构分析可知。对于电子政务信息资产损失事故的分析应从三大分支进行分析:
S因素、M因素和R因素。
(1)S分支(突发事故管理因素)
①事故前
事故之所以会发生,有三个缺一不可的必要条件:偶然的事件、未能屏蔽。以及重要信息处于危险位置。
导致偶然事件的两个缺一不可的必要条件.是安全防护失控和周围存在异常环境。一方面,根据网络的七层结构。网络的任何一层控制不当都可能造成安全防护技术管理的失控。主要的失控因素可以归纳为物理层控制不当、网络层控制不当、系统层控制不当、应用层控制不当以及数据层控制不当。另一方面.周围存在的异常环境则指信息系统面临的威胁.通常是以人为威胁为主,因此可以划分为内部攻击或外部攻击.任何一种攻击都能促使异常环境形成。内部攻击:内部威胁往往由内部合法人员造成,他们具有对信息系统的合法访问权。分为恶意和非恶意两种。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。非恶意攻击是指误操作、经验不足、安全意识薄弱而导致的特殊行为,对信息系统造成了无意的破坏。外部攻击:主要来源于互联网.分为被动攻击、主动攻击、临近攻击和分发攻击。
重要信息处于危险位置是指应严格遵守“涉密信息不上网.上网信息不涉密”的原则合理存放政务信息。否则将导致重要信息暴露在不安全的位置上。
②事故中
电子政务信息系统的关键业务活动在遇到自然灾害、系统软件硬件故障、网络病毒、人员欺诈与恶意行为等威胁时.能否避免信息系统的中断、能否减小事故的影响.关键控制环节就是能否适当地实施计划以恢复与遏制中断的后果。安全事件的应急响应能力和恢复能力不足将是导致事故重大损失的关键原因。
③事故后
事故后的处理也是特殊管理因素的重要组成,因为事后对教训的总结、追求事故致因是对整个电子政务安全管理体系各个控制环节的反馈.将对后期应急预案的调整修订、安全管理平台的总体控制能力提升起到决定性作用。
(2)M分支(常规管理因素)
在这一分支中.各因素的排列遵循前文的管理系统工程分析中垂直结构的划分原则.在水平方向上自左至右表示管理体系垂直结构的自顶向下.在水平方向上依次列举M因素有:最高决策层、管理层、执行层和操作层。
首先,最高决策层的角色主要包括:机关高层领导、决策顾问专家。一个组织的信息安全目标、指导方针和安全策略是电子政务安全管理体系的根基,把握这些根基的正是组织的最高决策者。因此,他们对机关总体安全状况的了解或判断的失误必将是导致信息安全事故发生的源头。
第二层是管理层.主要指主管信息化部门的管理者,是直接调动组织人、物、财等管理要素的组织协调环节。他们对管理技术的运用不当导致了上级的安全策略不能有效实现。导致信息资产损失发生的潜在弱点可能是管理层在制定安全管理制度、机构设置.以及对人员安全行为规范等的组织协调方面的缺陷。
第三个层次是执行层,主要角色有:系统设计开发人员、监控及值班等运行维护人员、审计员等。
这一层是贯彻执行管理指令的控制环节.在信息系统生命周期全过程中(设计、实施、运行维护、废弃)直接发挥作用,因此他们的管理疏忽将是导致信息资产遭受损失的直接原因。
最底层是操作层.主要指政府内非信息化部门的业务系统及网络的普通用户,是从事和完成各项具体业务工作的。由于他们计算机操作技能和安全意识普遍较低,因此是导致信息资产遭受损失的重尊因素。
(3)R分支(已被接受的风险)
尺分支是被接收的风险是一系列已经知道其存在,但还没有有效措施进行控制的危险因素。
(4).电子子政务安全事故的MORT图
根据前文对造成信息资产损失的三大致因分支的剖析。推导出电子政务安全事故的MORT图的主干图。如图所示: