风险评估原则-脆弱性参考列表

合集下载

风险脆弱性分析评价表

1=高
2=中
3=低/无
0=未知
1=高
2=中
3=低/无
0=未知
1=高
2=中
3=低/无
0-100
%
三、事故灾难
13.后勤、基建突发事件
-
建筑工程重大安全危害事件
注：（1）低/无（低风险度/无风险1-3分）、中（中等风险度4-6分）、高（高等风险度7-10分）
（2）要求参与评分的人员要求：部门领导2位，业务骨干3-5位。
医院事故灾难脆弱性分析-评价结果概要表
危险事件
可能性
严重性（损失-风险）
相对
风险
合计分数
发生概率
人员伤亡
财产损失
声誉影响
认知情况
防范准备
内部反应
外部反应
脆弱度
得分
0=未知
1=低
2=中
3=高
0=未知
1=低
2=中
3=高
0=未知ห้องสมุดไป่ตู้
1=低
2=中
3=高
0=未知
1=低
2=中
3=高
0=未知
1=高
2=中
3=低/无
0=未知

BRC供应商风险评估、脆弱性评估(含附属excel全套资料)

Matrix Zonal Parameters矩阵带状参数
Likelihood of Occurrence
SSESSMENT, 5X5脆弱性评估，5X5
V.High:1 / High:2 / Medium:3 / Low:4 / V.Low:5
Matrix Zonal Parameters矩阵带 12.00 8.00 1.00
Overall Testing Overall Testing Likelihood of Method Likelihood of Occurrence Sophistication/ Method (=Average)发 Capability测试 Frequency测 Detection 生的总体可能方法复杂化/ 试方法频率 (=Average) 性（＝平均） 2.14 2.14 2.00 2.14 0.00 能力 5 3 3 3 3 3 3 3 4.00 3.00 3.00 3.00 0.00
V.HIGH (1) V.LOW (5) LOW (4) Low Low Low Low Low V.LOW (1) Medium Medium Low Low Low LOW (2) High High Medium Low Low MEDIUM (3) High High High Medium Low HIGH (4) High High High Medium Low V.HIGH (5)
VULNERABILITY ASSESSMENT, 5X5脆弱
V.High:5 / High:4 / Medium:3 / Low:2 / V.Low:1 高：5 /高：4 /中等：3 /低：2 / V：低：1
Nature Fraud Economic Ease of Supplier Raw history舞 factor经济 Access易 History供 Material天 Ingredient 弊史因素访问性应商历史然原料成分

脆弱性风险分析评估表

附件1：脆弱性风险分析评估
序号
原物料名称
原物料特性
过往历史引用
经济驱动因素
供应链掌控度
识别难度
综合得分
综合风险等级
1
有工业硫磺进行漂白
记录。
评分：3分
掺假或替代能达成较高的经济利益
评分：1分
合作多年供应商，信誉好。
评分：1分
通过检验难以判定。
评分：2分
9
低风险
2
几乎没有被掺假和替代的记录。
评分：1分
5
低风险
8
几乎没有被掺假和替代的记录
评分：1分
掺假或替代有较低或无经济利益。
评分：1分
合作多年供应商，信誉好。
评分：1分
较容易感官理化识别出来。
评分：1分
5
低风险
注：危害性：根据发生的可能性判定分值为1～6分，其中高风险划分有（容易产生：6分；较容易产生：5分），中风险划分有（一般产生：4分；轻微产生：3分），低风险划分有（基本不产生：2分；不产生：1分）等级分数评判结果判定：5-10分为低风险，11-16分为中风险，17-30分为高风险。
掺假或替代有较低或无经济利益。
评分：1分
合作多年供应商，信誉好。
评分：1分
较容易感官理化识别出来。
评分：1分
5
低风险3几乎没有被掺和替代的记录。评分：1分
几乎没有被掺假和替代的记录。
评分：1分
掺假或替代有较低或无经济利益
评分：1分
较容易感官理化识别出来。
评分：1分
6
低风险
4
有被掺假和替代及非法添加（四环素类、磺胺类）的记录。
6
几乎没有被掺假和替代的记录

脆弱性分析明表

ห้องสมุดไป่ตู้
评分强雷暴降雪暴风雪冰雹地震极端温度干旱洪水野火滑坡溃坝流行病暴发自然类平均分电力故障发电机故障燃料短缺天然气故障供水故障污水系统故障蒸汽故障火警故障通讯故障医用气体故障信息系统故障内部火灾
内部水灾内部危险品暴露供应短缺结构性损坏技术类平均分大规模伤害事件（外伤）大规模伤害事件（医疗/感染）婴幼儿诱拐劫持人质情况民间暴乱罢工行动法医爆炸物威胁人员类平均分大规模危险品伤亡事件（历史事件≥5名受害者）小规模危险品伤害事件（从历史事件＜5名受害者）外部，化学品暴露小一中规模内部泄露大规模内部泄露恐怖袭击，化学性质内部放射性物质暴露恐怖袭击，放射性危险品类平均分
灾害脆弱性分析（HVA）明细表
严重性可能性事件相关威时间、效社区/互助胁预案率、资源员工和供给 0=无/不适 0=无/不适 0=无/不适 0=无/不 0=无/不适 0=无/不适 0=无/不适用1=低 2= 用1=低用1=低2= 适用1=低用1=低用1=低2= 用1=低 0-100% 中3=高 2=中3=高中3=高 2=中3=高 2=中3=高中3=高 2=中3=高发生的可能性死亡或受伤物质上损对运营的的可能性失和损坏干扰人力影响资产影响运营影响准备工作内部响应外部响应风险

信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》

整性标签应随数据一起流动，系统应保证低完整性的数据不能插入、覆盖到高完整性的数据；
d)对操作系统中处理的数据，应按回退的要求设计相应的SSOOS安全功能模块，进行异常情况
的操作序列回退，以确保用户数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。
用户数据保密性
a)应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括：
——鉴别信息应是不可见的，在存储和传输时应按GB/T 20271-2006中6.3.3.8的要求，用加密方法进行安全保护；
——过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c)对注册到操作系统的用户，应按以下要求设计和实现用户-主体绑定功能：
实现对SSF出现失败时的处理。系统因故障或其它原因中断后，应有一种机制去恢复系统。
系统应提供在管理维护状态中运行的能力，管理维护状态只能被系统管理员使用，各种安全
功能全部失效；
n)操作系统环境应控制和审计系统控制台的使用情况；
o)补丁的发布、管理和使用：补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的
服务器脆弱性识别表格
依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目
子项
内容
是否符合
备注
安全功能
身份鉴别
a)按GB/T 20271-2006中6.3.3.1.1和以下要求设计和实现用户标识功能：
——凡需进入操作系统的用户，应先进行标识（建立账号）；
理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性；应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户；

信息安全风险评估-脆弱性识别-操作系统脆弱性表格

d）系统应确保在被授权的主体发出请求时，资源能被访问和利用；
e）当系统资源的服务水平降低到预先规定的最小值时，应能检测和发出报告；
f）系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统管理员使用；
——确保非授权用户不能查找使用后返还系统的记录介质中的信息容；
——确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息容；
b) 在单用户系统中，存储器保护应防止用户进程影响系统的运行；
c) 在多用户系统中，存储器保护应保证系统各个用户之间互不干扰；
d) 存储器保护应包括:
——对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元；
g) 对备份或不影响 SSOOS 的常规的系统维护，不要求所有的系统维护都在维护模式中执行；
h) 当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目
录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制；
i) 执行系统所提供的实用程序，应（默认地）限定于对系统的有效使用，只允许系统管理员修
g) 应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态；该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动；审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除；应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档；系统管理员应能够定义超过审计跟踪极限的阈值；当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括：报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。
理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性；应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户；

1-信息安全风险评估准及常见威胁、脆弱性

风险评估准则资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值风险值计算方法：风险值 = 资产等级＋威胁性赋值＋脆弱性赋值资产等级、风险等级评定方法：见下要素准则数据资产实体资产软件资产文件资产服务资产人员资产保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上可以访问的信息4只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或少数关键人员可以访问的信息5要素准则数据资产实体资产软件资产文件资产服务资产人员资产完整性按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响的严重程度来评估影响程度赋值影响程度赋值影响程度赋值文件类别赋值影响程度赋值岗位范围赋值可以忽略1可以忽略1可以忽略1可以忽略1可以忽略1实习员工\外聘临时工1轻微2轻微2轻微2轻微2轻微2一般员工2一般3一般3一般3一般3一般3技术、管理、财务等方面的骨干人员3严重4严重4严重4严重4严重4中层管理人员4非常严重5非常严重5非常严重5非常严重5非常严重5高层管理人员5要素准则数据资产实体资产软件资产文件资产服务资产人员资产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值使用频次要求赋值允许离岗时间赋值16次以上或全部工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上1 9-15次或1/2工作时间中断21－3天2每个季度都要使用至少1次2每个季度都要使用至少1次2每个季度都要使用至少1次26-9工作日2 3-8次或1/4工作时间中断312小时－1天3每个月都要使用至少1次3每个月都要使用至少1次3每个月都要使用至少1次33-5个工作日3 1-2次或1/8工作时间中断43小时－12小时4每周都要使用至少1次4每周都要使用至少1次4每周都要使用至少1次42个工作日4不允许50－3小时5每天都要使用至少1次5每天都要使用至少1次5每天都要使用至少1次51个工作日5要素标识相对价值范围等级资产重要程度资产等级很高23,25,274重要资产高17,19,213一般资产一般11,13,152一般资产低3,5,7,91一般资产要素标识发生的频率等级威胁利用弱点导致危害的可能性很高出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过5高出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过4一般出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3低出现的频率较小；或一般不太可能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1要素标识严重程度等级脆弱性被威胁利用后的严重性很高如果被威胁利用，将对公司重要资产造成重大损害5高如果被威胁利用，将对重要资产造成一般损害4一般如果被威胁利用，将对一般资产造成重要损害 3低如果被威胁利用，将对一般资产造成一般损害2很低如果被威胁利用，将对资产造成的损害可以忽略1常见威胁ID威胁威胁方影响资产利用弱点可能性影响风险R01篡改恶意人员业务数据系统缺陷，网络缺陷低高低R02传输信息泄漏恶意人员业务数据网络线路中高中R03配置错误维护人员应用系统，业务数据运行管理流程缺陷中中低低高高R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄漏R05病毒感染维护人员、用户业务数据，应用系统系统缺陷、运行管理缺陷低高低R06业务信息泄漏用户业务数据运行管理流程缺陷低高低R07攻击恶意人员应用系统，业务数据系统缺陷，网络缺陷中高高R08操作抵赖维护人员，用户应用系统，业务数据操作记录低中低R09越权访问用户应用系统，业务数据系统配置缺陷中低低R10设备物理破坏恶意人员应用系统，业务数据设备物理安全漏洞低高低威胁分类表常见脆弱性脆弱性识别内容表。

安全评估：评估风险和脆弱性

3
技术创新和研究
鼓励和支持在安全领域进行技术创新和研究，以应对不断变化的网络威胁和安全挑战。
THANKS
感谢观看
安全评估：评估风险和脆弱性
汇报人：某某某 2023-11-20
目录
• 介绍 • 风险评估 • 脆弱性评估 • 安全控制措施评估 • 结论与建议
01 介绍
安全评估的定义
识别潜在风险
安全评估旨在识别可能对信息系统造成威胁的潜在风险。这些风险可能来自于内部或外部因素，如技术漏洞、人为错误、恶意攻击等。
风险评价
风险等级划定
根据风险分析结果，划定风险等级，为后续风险管理策略制定提供依据。
风险接受度确定
明确组织对各类风险的接受度，有助于合理分配风险管理资源。
风险处理建议
针对不同风险等级和接受度，提出风险处理建议，如风险降低、风险转移、风险接受等。
03 脆弱性评估
资产识别
资产清单建立
首先，需要全面梳理和记录系统、网络、应用等所有相关资产，建立详细的资产清单。
强化安全防护措施
根据脆弱性评估结果，增强现有的安全防护措施，如防火墙、入侵检测系统等，提高系统、网络或应用的抗攻击能力。
未来安全策略和建议
1 2
持续监控和评估
建议定期对系统、网络或应用进行安全监控和评估，确保及时发现新的安全风险和脆弱性，并采取相应措施进行防范。
安全意识培训
加强员工的安全意识培训，提高整体安全防范意识，减少人为因素导致的安全风险。
入侵检测系统（IDS）
能够实时监测并发现潜在攻击，但可能产生误报和漏报。
加密技术
能够确保数据在存储和传输过程中的安全性，但可能存在加密算法被破解的风险。

风险评估涉及标准列表

《网络和终端设备隔离部件测试评价方法》
网络和终端设备隔离部件脆弱性识别
GB/T 22081-2008
《信息安全管理实用规则》
管理资产脆弱性识别，
包括管理规章制度、各类开发文档等
GB／T 20985-2007
《信息安全事件管理指南》
信息安全事件以及风险处置措施
GB／T 20986-2007
《信息安全事件分类分级指南》
威胁识别基本方法
脆弱性识别基本方法
GB/T 20274-2006
《信息系统安全保障评估框架》
描述风险评估的一般规范和准则
GB/T 2887-2011
《计算机场地通用规范》
描述关于机房或办公场地管理的基本方法和原则
ISO/IEC 13335
《IT安全管理指南》
描述关于信息安全管理的基本方法和原则
ISO/IEC2007:2005
GB/T20281-2005
《信息安全技术防火墙技术要求和测试评价方法》
防火墙脆弱性识别
GB/T20010-2006
《包过滤防火墙评估准》
防火墙脆弱性识别
GB/T 20269-2006
《信息系统安全管理要求》
信息系统脆弱性识别
GA/T 681-2007
《网关安全技术要求》
网关脆弱性识别
GB/T 22081-2008
风险评估涉及标准表
标准名称
对于威胁识别的作用
对于脆弱性识别的作用
对于出报告的作用
基本标准
GB/T 20984-2007
《信息安全风险评估规范》
描述风险评估的一般规范和准则
GB/T 18336-2008
《信息技术安全性评估准则》
描述风险评估的一般规范和准则

脆弱性风险评估表

3
0
1
1
1
3
9
M
1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告
淀粉糖（饴添加果糖糖）调整甜度
3
0
1
1
1
3
9
M
奶粉
使用或添加廉价奶粉冒充
3
0
3
1
3
3
27
H
1.索取经销商企业资质 2.索取第三方检测报告和出厂检验报告
H
1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告 1.索取生产商企业资质 2.索取第三方检测报告和出厂检验报告
类白色或浅米黄色颗粒或粉末
白色至淡黄色粉末，几乎无味或有淡淡的豆腥味
1
0
1
1
1
2
2
L
瓜尔胶
1
0
1
1
1
2
2
L
包装袋
版面与样板色一致，色泽均匀，批次之间应无明显的颜色差异，无杂质
1
0
1
1
3
1
9
M
托盘
/
1
0
1
1

灾害脆弱性分析评分表

危险事件
得分
自然灾害地震台风降雪洪水高温冰雹滑坡海啸溃堤
流行病暴发平均分技术事故
供电故障供水故障
灾害脆弱性分析评分表
可能性
发生概率
0=未知 1=低 2=中 3=高
人员伤害
0=未知 1=低 2=中 3=高
财产损失
0=未知 1=低 2=中 3=高
严重性（损失-防范）
服务影响
0=未知 1=低 2=中
0=未知 1=高 2=中 3=低或无
0=未知 1=高 2=中 3=低或无
0=未知 1=高 2=中 3=低或无
相对风险值
0~100%
备注
污水系统故障供暖故障蒸汽故障
医用气体故障通信故障
信息系统故障水灾泛水
放射源泄漏供应短缺电离辐射平均分人员类伤害
大规模伤害事件（恐怖袭击、外伤）
大规模伤害事件（医院感染）
爆炸物威胁挟持人质针刺伤感染平均分危险品伤害
危险气体泄漏细菌毒株泄漏危险化学品泄漏平均分

信息安全风险评估物理脆弱性识别用例

1物理脆弱性检测主要是对场所环境 (计算机网络专用机房内部环境、外部环境和各网络终端工作间)、电磁环境(内部电磁信息泄露、外部电磁信号干扰或者冲击)、设备实体(网络设备、安全防护设备、办公设备)、路线进行检测，通过问卷调查和现场技术检测方式，得出物理方面存在的脆弱性。

1.1检查地理位置选择是否合理GB/T 20984机房技术交流、现场查看问询机房具体地址查看机房所在地是否划分主机房、辅助区、支持区、行政管理区等相应区域高中低检查主机房划分是否合理GB/T 20984机房技术交流、现场查看问询主机房划分高中低检查辅助区划分是否合理GB/T 20984机房技术交流、现场查看问询辅助区划分高中低检查支持区划分是否合理GB/T 20984机房技术交流、现场查看问询支持区划分高中低检查行政管理区划分是否合理GB/T 20984机房技术交流、现场查看问询行政管理区划分高中低检查是否远离水灾、火灾隐患区域。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离产生粉尘、油烟、有害气体以及生产或者贮存具有腐蚀性、易燃、易爆物品的场所。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离强振源和强噪声源。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否避开强电磁场干扰。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低检查电力供给是否稳定可靠，交通、通信是否便捷，自然环境是否清洁。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否设置了二氧化碳或者卤代烷灭火设备，摆放位置如何，有效期是否合格，是否定期检查。

GB/T 20984机房手持灭火设备技术交流、现场查看请机房管理人员带领去查看手持灭火器；每一个门口至少应有1个以上的手持灭火器；检查手持灭火器的有效期；检查手持灭火器的检查记录，若没有，需向负责人员索要。

第七章-脆弱性及风险评模型估(参考)

（五）等级评估
目标：为了区域灾害风险管理中有效地实施等级防护，灾害研究者需要从等级保护的基本原理出发，将风险评估结果的等级化与防灾措施的等级化关联起来。
（六）评估指标的分级方法
分级：根据一定的方法或标准把风险指标值所组成的数据集划分成不同的子集，借以凸现数据指标之间的个体差异性。
（六）评估指标的分级方法
分级统计方法： 4）自然断点法：任何统计数列都存在一些自然
转折点、特征点，而这些点选择及相应的数值分级可以基于使每个范围内所有数据值与其平均值之差原则来找，常见有频率直方图、坡度曲线图、累积频率直方图法等。
优点：每一级别数据个数接近一致，较好制图效果缺点：数据差异过大情形不适用
性（Vs）*应对灾害能力（Vd）
（一）历史情景类比法
（2）参数评估法
风险度评估涉及的评估指标十分复杂，每一评估要素有众多因子，一般应当进行定量化标识和归一化处理。
根据各因子之间及它们与评价目标相关性，理顺不同因子组合方式与层次，确定标度指标和作用权重。
采用的方法有层次分析法、模糊聚类综合评价法、灰色聚类评价法、物元模型、W值法等。
另外，由于参数评估涉及灾害评估数据多具有空间属性，因此应用GIS的空间分析和统计功能。
（二）物理模型法及实验法
含义：根据对自然灾害事件的灾害动力学过程认识，以物理学模型及实验手段模拟灾害发生环境及过程，从而找出致灾因子强度、承灾体脆弱性诸指标之间函数关系模型。注意： 1、仅农作物干旱损失和洪涝减产损失有进展，耗时费力； 2、只适用小空间尺度灾害风险评估，大的空间不可能。
Ⅱ级应急响应：地震灾害造成50人以上、300人以下死亡。
Ⅲ级应急响应：地震灾害造成20人以上、50人以下死亡。 Ⅳ级应急响应：地震灾害造成20人以下死亡。

灾害脆弱性分析

绵竹市精神病医院灾害脆弱性分析评分表科室：时间：灾害脆弱性分析方法1.发生概率在确定事件发生的概率时，可以参考已知的数据、以往的历史数据、有关机构的统计数据、专家评价、上级应急预案的要求等。

2.人员伤害评价人员伤害时，要考虑可能造成的工作人员伤亡、病人与来访者的死亡、伤者的预后、情感和心理的影响等3.财产损失估计财产损失时，要计算更新的费用、建立临时替代设施的费用、维修的费用、恢复正常所需要的时间等。

4.服务影响要关注正常工作的中断、关键物资供应的中断、外部服务的中断、职员的减员、病人到达的受阻、不能履约的情况、不能遵守规定的情况、可能的法律纠纷、公共声誉和形象的损失、医院财务负担的增加等。

5.应急准备要注意应急预案是否完善、是否经常开展应急演练、是否对工作人员进行了必要的培训、应急物资的情况、应急支援的情况等。

6.内部反应在评级内部反应的能力时，要考虑到做出有效反应所需要的时间、目前的物资种类和数量能否满足需要、工作人员掌握相关技能的情况、对事件严重程度和持续时间的预计、有无后背机制、上一级应急预案的要求等。

7.外部反应在评价外部支持时，要考虑国家和本地的应急反应能力、有关机构签订相互援助协议的情况、与其他同类医院协调的情况、社区志愿者的情况、与物资供应机构签订的应急供应计划或合同的情况等。