关于医药物流服务供应链的风险评估机制(完整).doc

关于医药物流服务供应链的风险评估机制 风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。风险评估的主要任务　　识别评估对象面临的各种风险 　　评估风险概率和可能带来的负面影响 　　确定组织承受风险的能力 　　确定风险消减和控制的优先等级 　　推荐风险消减对策jp 表示风险因素的权重，ija 表示企业 i 针对风险因素 j 的评估值。整个供应链系统的可靠性可表示为 （2）单级供应链可靠性分析 对于单级供应链，一般是以制造商为中心的生产销售系统(见图4-3)。 （3）多级供应链可靠性分析 通常的供应链运作是一连串的生产、存储和销售的行为。原材料供应和商 品销售的状态到达在时间上具有一定的随机性，并不是单纯的串联结构或并联 结构。另外，供应链各级之间发生的事件之间具有相互关联。如果考虑到库存 和随机到达的因素，则供应链网络可以看作一个离散事件动态系统。如果假定 系统的修复时间和故障前工作时间服从指数分布且其参数不变，则可以认为该 供应链为一个马尔可夫过程，可以通过概率状态方程的方法来求解。 4 建模语言分析法 供应链系统的风险评估过程与系统开发过程具有“V 形关系”，如图 4-4所示。系统开发过程可分为三个阶段：需求分析、系统设计和系统实现。在这三个阶段中包括两个不同的建模过程：一是在需求分析阶段建立系统的业务模型，是平台无关建模（Platform Independent Modeling, PIM）过程；二是在设计阶段建立系统模型，是特定平台建模（Platform Specific Modeling, PSM）过程。 基于建模语言描述的风险评估可以概括为业务分析、系统平台分析、风险识别、风险分析和风险评估五个阶段。 （1）业务分析 是评估者对系统业务的认识过程，目的是认识并深入理解被评估系统的业务，这是正确认识供应链风险的基础。业务分析在系统相关文档和系统调查基础上，运用 UML 用例图、活动图和状态图来描述系统业务，分析并描述系统业务功能、业务流程和数据，建立系统业务模型。业务分析阶段应识别、分析系统的主要风险因素，它是风险评估的核心。 （2）系统平台分析 目的是准确认识被评估系统的平台结构〔包括网络拓朴结构、系统单元（节点或构件包）、构件和接口关系等〕、系统边界以及相关的内部和外部环境（网络环境、物理环境、相关基础设施和相关信息系统），建立系统平台模型。系统平台模型主要采用 UML 部署图来描述，可根据需要采用类图对构件进行深入描述。 （3）风险识别过程 是对供应链风险状况的数据采集过程。风险识别的主要目的是识别系统面临的威胁、系统平台脆弱性以及安全管理的脆弱性。 （4）风险分析 风险分析阶段要针对风险识别阶段已识别的风险威胁的相关属性，进行归纳、分析，建立威胁列表。威胁类主要属性有：标识、类型、主体、来源、动机、方法/途径、相关客体、方式、破坏、能力/强度、频度。供应链风险相关的要素具有复杂的关系，用 UML 类图描述风险相关要素关系模型，并建立关键信息资产的 ATA 模型。该阶段主要关注系统平台的安全风险相关要素。 （5）风险评估 风险评估阶段是基于前面已建立的模型，分析关键因素风险概率，分析关键因素发生风险对系统业务的影响，评估关键风险因素的风险。业务影响分析：业务影响分析可以采用事件树分析（ETA）方法，以关键因素发生风险为初因事件，分析影响业务的后续事件，建立业务影响事件树。根据后续事件对业务影响的程度，确定定量的业务影响严重度等级，业务影响分析的目的是的找出初因事件所造成的影响等级最严重的后续事件。可以通过系统单元的安全事件对信息系统安全风险的概率重要度，得到系统单元安全事件的影响等级，从而确定各系统单元的安全风险。 5． 蒙特卡洛模拟法 供应链风险有其特殊性，有很多风险是很难用精确的数值来将其量化的。随着概率论的发展．对供应链风险发生程度的不确定性测定取得了一定的进展。现在可以利用计算机技术使用蒙特卡洛模拟法及其它仿真手段来评估供应链风险。 （1）基本思想 蒙特卡洛模拟法，又称数字仿真，是通过计算机技术，假设存在某种风险，而令其它风险不存在，来模拟风险发生的概率，计算评价指标的期望值、方差、标准差。蒙特卡洛模拟的基本思想在于，首先将最终考察问题进行因素分解，并且设