第1篇 信息安全獎(jiǎng)懲管理辦法
1.目的
明確信息安全獎(jiǎng)勵(lì)與違規(guī)行為處罰的操作原則,強(qiáng)化執(zhí)行,促進(jìn)員工信息安全意識(shí)提升。
2.適用范圍
本規(guī)范適用于深圳市**公司 (后續(xù)簡(jiǎn)稱為公司)。
3.定義
序號(hào)
角色
職責(zé)
001
信息安全事件
指識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效;或以前未知的與安全相關(guān)的情況;其中一、二級(jí)信息安全事件稱為重大信息安全事件。
002
信息安全活動(dòng)
為培養(yǎng)員工信息安全意識(shí),提高公司整體安全水平而舉辦的活動(dòng),形式包括但不限于:考試、培訓(xùn)、宣傳和自查。
4.職責(zé)與權(quán)限
序號(hào)
角色
職責(zé)
001
員工
遵守公司信息安全管理制度,積極配合、參與信息安全活動(dòng)。
002
各部門信息安全接口人
協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓(xùn)工作;負(fù)責(zé)對(duì)部門信息安全問題進(jìn)行匯總與反饋。
003
部門主管
是部門信息安全的直接責(zé)任人,負(fù)責(zé)監(jiān)督和管理本部門員工的信息安全行為,并對(duì)潛在的信息安全風(fēng)險(xiǎn)進(jìn)行預(yù)警,預(yù)防信息安全事件。
004
部門經(jīng)理
作為部門信息安全的間接責(zé)任人,熟悉公司信息安全戰(zhàn)略,并積極推動(dòng)信息安全策略的落地執(zhí)行。
005
部門副總
對(duì)所負(fù)責(zé)部門的信息安全事件負(fù)相應(yīng)的管理責(zé)任。
006
it部信息安全組
對(duì)信息安全事件進(jìn)行跟蹤處理,并確定事件責(zé)任人。
007
董事會(huì)秘書
審核信息安全事件處理報(bào)告。
008
總經(jīng)理
最終審批信息安全事件處罰申請(qǐng)。
009
人力資源部
依據(jù)公司財(cái)務(wù)制度對(duì)已審批的信息安全獎(jiǎng)勵(lì)/處罰報(bào)告執(zhí)行經(jīng)濟(jì)獎(jiǎng)勵(lì)或者處罰措施。
010
法務(wù)部
配合it部信息安全組進(jìn)行信息安全事件處理,對(duì)違反法律法規(guī)的信息安全責(zé)任人依法追究法律責(zé)任。
5.內(nèi)容
5.1獎(jiǎng)勵(lì)、違規(guī)行為處罰原則
5.1.1及時(shí)激勵(lì)原則
對(duì)長(zhǎng)期妥善保護(hù)公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M(jìn)信息安全合理共享表現(xiàn)突出的個(gè)人或者集體,將及時(shí)獎(jiǎng)勵(lì)。
5.1.2舉報(bào)保密原則
對(duì)于舉報(bào)信息安全違規(guī)行為的人員,將對(duì)其進(jìn)行獎(jiǎng)勵(lì)并嚴(yán)格保護(hù)其個(gè)人資料不公開。
5.1.3違規(guī)行為處罰原則
5.1.3.1法律追究原則
公司所有保密信息均為公司合法資產(chǎn),受國(guó)家法律法規(guī)保護(hù)。任何損害公司保密信息的行為,公司均有權(quán)追究行為人法律責(zé)任。
5.1.3.2違規(guī)分級(jí)原則
根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴(yán)重程度、違規(guī)人員是否有意對(duì)違規(guī)行為分級(jí)。涉及關(guān)鍵信息資產(chǎn)的,違規(guī)等級(jí)要升級(jí);一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級(jí)從重處罰;對(duì)多次違反信息安全規(guī)定的人員再次違規(guī)時(shí)要從重處罰。
5.1.3.3主動(dòng)從寬原則
產(chǎn)生違規(guī)行為后主動(dòng)報(bào)告,積極采取補(bǔ)救措施以減少影響和損失的人員,可減輕處罰;對(duì)問題隱瞞不報(bào)或者不及時(shí)上報(bào)而導(dǎo)致違規(guī)影響擴(kuò)大的人員,加重處罰。
5.1.3.4過度防衛(wèi)處罰原則
對(duì)阻礙信息合理流動(dòng)與共享的人員要給予處罰。
5.1.3.5及時(shí)處理原則
對(duì)重大信息安全違規(guī)事件,要及時(shí)處理。任何拖延、推諉不處理的責(zé)任人,要給予問責(zé)。
5.2 獎(jiǎng)勵(lì)等級(jí)與責(zé)任部門
5.2.1獎(jiǎng)勵(lì)等級(jí)與措施
獎(jiǎng)勵(lì)事跡
獎(jiǎng)勵(lì)等級(jí)
獎(jiǎng)勵(lì)措施
舉報(bào)或者制止泄密、竊密或者其他嚴(yán)重?fù)p害公司利益事件的集體或者個(gè)人
一級(jí)
根據(jù)具體情況給予8000元集體獎(jiǎng)勵(lì)或者5000元個(gè)人獎(jiǎng)勵(lì);通報(bào)表?yè)P(yáng)(遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息)。
制止他人違規(guī)行為或者即時(shí)反映可能造成泄密、竊密或者其他重大安全隱患的個(gè)人,以及在信息安全方面做出表率或者突出貢獻(xiàn)的集體
二級(jí)
根據(jù)具體情況集體獎(jiǎng)5000元或者3000個(gè)人獎(jiǎng)勵(lì);通報(bào)表?yè)P(yáng)(遵循“舉報(bào)保密原則“淡化事跡并隱藏人員信息)。
在信息安全管理中做出貢獻(xiàn),反映信息安全隱患或者過度防衛(wèi)被核實(shí)、提出信息安全合理化建議并被采納的個(gè)人,以及在信息安全方面做出貢獻(xiàn)的集體
三級(jí)
根據(jù)具體情況給予3000元集體獎(jiǎng)勵(lì)或者1000元個(gè)人獎(jiǎng)勵(lì)。
5.2.2獎(jiǎng)勵(lì)責(zé)任部門
1)對(duì)于滿足信息安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)的集體或者個(gè)人,it部信息安全組可根據(jù)具體事跡定期進(jìn)行申報(bào),審批通過后由人力資源部根據(jù)公司財(cái)務(wù)制度進(jìn)行發(fā)放獎(jiǎng)金;
2) 各部門信息安全接口人可自行組織對(duì)本部門優(yōu)秀信息安全集體或者個(gè)人進(jìn)行獎(jiǎng)勵(lì)。
5.3 違規(guī)等級(jí)與責(zé)任部門
5.3.1 違規(guī)等級(jí)與措施
違規(guī)事件
違規(guī)等級(jí)
處罰措施
盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴(yán)重造成重大影響或者風(fēng)險(xiǎn)
一級(jí)
1. 直接開除,永不錄用;
2. 如違反法律法規(guī)由公司法務(wù)部移送公安機(jī)關(guān)處理;如給公司造成相關(guān)損失,須賠償公司損失。
3. 全公司范圍內(nèi)通報(bào)處罰決定。
故意違反信息安全規(guī)定,性質(zhì)嚴(yán)重;或者造成較大影響或較大風(fēng)險(xiǎn)
二級(jí)
1. 如給公司造成相關(guān)損失,須賠償公司損失;
2. 擔(dān)任公司管理崗位的人員,進(jìn)行降職或者降薪處理;非公司管理崗位的人員,進(jìn)行降薪處理;
3. 全公司范圍內(nèi)通報(bào)處罰決定。
過失違反信息安全管理規(guī)定,造成一定影響或者風(fēng)險(xiǎn)的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重影響或風(fēng)險(xiǎn)
三級(jí)
1. 記入關(guān)鍵事件考評(píng)結(jié)果減10分或罰款500元;
2. 12個(gè)月內(nèi)2次三級(jí)違規(guī)升級(jí)為1次二級(jí)違規(guī)。
3.部門內(nèi)部通報(bào)處罰決定。
過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風(fēng)險(xiǎn)
四級(jí)
1.記入關(guān)鍵事件考評(píng)結(jié)果減5分或罰款300元;
2.12個(gè)月內(nèi)2次四級(jí)違規(guī)升級(jí)為1次三級(jí)違規(guī);
3.部門內(nèi)部通報(bào)處罰決定。
說明:
1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;
2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級(jí)的參考原則。常見違規(guī)行為所適用違規(guī)等級(jí)具體參考附件1:《常見違規(guī)行為及其適用處罰等級(jí)舉例》,其他違規(guī)行為所使用等級(jí)可參考舉例進(jìn)行認(rèn)定。
5.3.2 責(zé)任判定
1)發(fā)生一、二級(jí)重大信息安全事件違規(guī)時(shí),違規(guī)者直接上級(jí)和部門經(jīng)理承擔(dān)直接和間接責(zé)任,部門副總須承擔(dān)連帶管理責(zé)任,并按照《常見違規(guī)行為及其適用處罰等級(jí)舉例v1.0》適用條款進(jìn)行處罰;
2)對(duì)于三、四級(jí)信息安全違規(guī),根據(jù)以下條件判斷責(zé)任人直接上級(jí)是否連帶處罰:
員工無(wú)意違規(guī),且責(zé)任人領(lǐng)導(dǎo)未進(jìn)行審批授權(quán)的,不進(jìn)行連帶處罰;
員工無(wú)意違規(guī),但責(zé)任人領(lǐng)導(dǎo)進(jìn)行包庇的,在事實(shí)確認(rèn)的基礎(chǔ)上,進(jìn)行連帶處罰;
若所管理部門一個(gè)月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無(wú)意違規(guī)事件,對(duì)直接上級(jí)進(jìn)行連帶處罰。
5.3.3 處罰責(zé)任部門
處罰等級(jí)
處罰責(zé)任人
批準(zhǔn)
申訴
一級(jí)
總經(jīng)理
/
人力資源部
二級(jí)
總經(jīng)理
/
人力資源部
三級(jí)
部門分管副總
it部信息安全組
人力資源部
四級(jí)
部門分管副總
it部信息安全組
人力資源部
說明:
1)對(duì)于各類違規(guī)行為處罰應(yīng)當(dāng)慎重,應(yīng)建立在客觀事實(shí)的基礎(chǔ)上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權(quán)要求對(duì)當(dāng)事人加重或者減輕處罰;
2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責(zé)任部門。為了加快一級(jí)違規(guī)行為的處理進(jìn)度,溝通時(shí)限和批準(zhǔn)期限都是2天;
3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責(zé)任人完成處罰執(zhí)行工作。處罰責(zé)任人或其授權(quán)人員要做好與違規(guī)員工的溝通工作。對(duì)違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權(quán)。
5.4.維護(hù)與解釋
1)本規(guī)定發(fā)布之日起生效;
2)本規(guī)定由it部信息安全組至少每?jī)赡陮徱曇淮?根據(jù)審核結(jié)果修訂標(biāo)準(zhǔn)并頒布執(zhí)行;
3)本規(guī)定解釋權(quán)歸it部信息安全組。
6.相關(guān)文件
附件1:《常見違規(guī)行為及其適用處罰等級(jí)舉例》
7.記錄表格
無(wú)
第2篇 學(xué)校信息安全管理保密條例
學(xué)校校園網(wǎng)已投人正常使用,學(xué)校相關(guān)重要信息已聯(lián)接到校園網(wǎng)上,為了加強(qiáng)這些系統(tǒng)的安全性,特制定《學(xué)校校園信息管理安全保密條例》以下簡(jiǎn)稱本條例。
1、本條例適用對(duì)象為:各科、室、教研組信息員、系統(tǒng)管理員、校園網(wǎng)用戶。
2、本條例適用范圍為學(xué)校校園網(wǎng)所覆蓋的范圍。
3、系統(tǒng)管理人員安全保密職責(zé):
(1)、嚴(yán)格做好本系統(tǒng)超級(jí)用戶和普通用戶口令的安全保密工作,不得隨意泄露口令及有關(guān)內(nèi)容。
(2)、根據(jù)學(xué)校機(jī)構(gòu)和工作職能將用戶劃分為低級(jí)權(quán)限用戶和高級(jí)權(quán)限用戶。低級(jí)權(quán)限用戶只能授予檢索相關(guān)數(shù)據(jù)的權(quán)限,不能修改或刪除任何數(shù)據(jù);高級(jí)權(quán)限用戶,可以進(jìn)行相關(guān)數(shù)據(jù)的錄入和修改工作。
(3)由系統(tǒng)管理人員設(shè)置登錄站點(diǎn)限制,使得各信息員只能在指定網(wǎng)絡(luò)站點(diǎn)上進(jìn)行操作。
(4)系統(tǒng)管理員與操作人員進(jìn)行協(xié)商,限制高級(jí)權(quán)限用戶的登錄時(shí)間,不允許非辦公時(shí)間進(jìn)行操作。如有特殊情況,應(yīng)事先與系統(tǒng)管理人員聯(lián)系后再上機(jī)進(jìn)行操作。
(5)強(qiáng)制要求高級(jí)權(quán)限用戶定期修改登錄口令。
(6)設(shè)置登錄口令輸錯(cuò)次數(shù)限制,當(dāng)有人試圖猜測(cè)口令非法進(jìn)入系統(tǒng)時(shí),該用戶將被封閉一段時(shí)間后再解除登錄限制。
(7)定期備份關(guān)鍵數(shù)據(jù)。
4、編程人員開發(fā)軟件注意事項(xiàng):
(1)程序和數(shù)據(jù)庫(kù)文件在不影響運(yùn)行的情況下設(shè)為只讀屬性。
(2)將程序和數(shù)據(jù)分開,數(shù)據(jù)統(tǒng)一存到數(shù)據(jù)目錄。
(3)設(shè)置中間過渡數(shù)據(jù)庫(kù),盡量避免對(duì)數(shù)據(jù)庫(kù)的直接操作。
(4)將程序編譯成執(zhí)行文件,并將源文件旋轉(zhuǎn)在安全目錄中。
(5)管理系統(tǒng)中用到的批處理命令全部轉(zhuǎn)換成可執(zhí)行文件,增加安全的保密性。
5、應(yīng)用人員安全保密職責(zé):
(1)信息員的帳號(hào)和密碼不得告知無(wú)關(guān)人員或由學(xué)生代為錄入數(shù)據(jù),泄密造成的后果自負(fù)并追究本人的責(zé)任。
(2)如平時(shí)經(jīng)常更換口令,更換的口令最好不具有規(guī)律性,輸人口令時(shí)注意安全保密性。
(3)只能對(duì)與本職責(zé)有關(guān)的子系統(tǒng)進(jìn)行操作,不得進(jìn)人其他子系統(tǒng)。
6。時(shí)時(shí)刻刻做好三防工作。嚴(yán)禁在校園網(wǎng)中心機(jī)房進(jìn)行吸煙、打鬧等有可能破壞設(shè)備的行為。網(wǎng)管中心每天必須有人值班,及時(shí)處理校園網(wǎng)用戶疑難問題,以保證網(wǎng)絡(luò)暢通。
7、未經(jīng)允許,非工作人員嚴(yán)禁在網(wǎng)管中心機(jī)房出人。網(wǎng)管中心硬件軟件財(cái)產(chǎn)必須定期登記、查收。
8.本條例監(jiān)督部門為學(xué)?,F(xiàn)代信息技術(shù)教育中心,有關(guān)人員應(yīng)積極與中心工作人員配合,做好校園信息管理系統(tǒng)的安全保密工作。
第3篇 高校信息化安全管理方案范本
在高校信息化應(yīng)用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行,確保信息安全是亟待解決的關(guān)鍵問題。從調(diào)研顯示,目前我國(guó)高校網(wǎng)絡(luò)系統(tǒng)存在許多安全問題,如:非授權(quán)訪問、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等,產(chǎn)生這些安全問題的原因在于:沒有建立完善的網(wǎng)絡(luò)系統(tǒng)安全體系;沒有建立相應(yīng)的安全組織、管理、技術(shù)機(jī)構(gòu);沒有建立完備的網(wǎng)絡(luò)系統(tǒng)安全措施。
本文從高校信息系統(tǒng)的需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上,借鑒國(guó)際最佳實(shí)踐經(jīng)驗(yàn),研究并實(shí)施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。
規(guī)劃信息化安全管理體系
分層次建立安全管理制度和手段
信息化安全管理體系規(guī)劃是高校安全體系建立的第一步,目的是識(shí)別安全問題,明確安全管理的范圍和內(nèi)容,建立安全管理的組織管理機(jī)制,從管理和技術(shù)兩個(gè)角度,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過程歸納為以下8個(gè)步驟:
1. 建立安全管理組織:安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成,包括來自行政、it、業(yè)務(wù)、安全、保衛(wèi)、風(fēng)險(xiǎn)和規(guī)劃部門的人員。
2. 識(shí)別保護(hù)對(duì)象:識(shí)別學(xué)校目前的關(guān)注點(diǎn)、面臨的風(fēng)險(xiǎn)及威脅,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮。
3. 評(píng)估現(xiàn)有措施:了解學(xué)校目前的安全管理措施并評(píng)估它們的效力。
4. 考慮長(zhǎng)期需要:安全整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要,具有一定的前瞻性,如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。
5. 納入學(xué)校的建設(shè)規(guī)劃:了解學(xué)校新建項(xiàng)目,如辦公樓、教學(xué)樓、停車場(chǎng)等項(xiàng)目,是否會(huì)影響現(xiàn)有的物理安全規(guī)劃,如有影響,將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤考慮。
6. 建立安全工作機(jī)制:形成文件化的制度體系和工作條例,明確各崗位的責(zé)任、應(yīng)提供的服務(wù)和交付物,這些將有助于確保工作的落實(shí)和運(yùn)作效率。
7. 應(yīng)對(duì)新老技術(shù)的混合:新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊,新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。
8. 關(guān)鍵設(shè)施重點(diǎn)布局:關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合,這些設(shè)施的安全尤為重要,風(fēng)險(xiǎn)也最為突出。
體系框架的內(nèi)容
上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校信息化安全管理的具體問題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術(shù)體系。
圖1 高校信息化安全管理體系
1. 安全組織體系
它是確保信息安全工作貫徹和落實(shí)的基石,基本框架應(yīng)包含決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次。決策層負(fù)責(zé)信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等;管理層負(fù)責(zé)信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等;運(yùn)營(yíng)層具體負(fù)責(zé)機(jī)房、網(wǎng)絡(luò)和服務(wù)器、數(shù)據(jù)庫(kù)、信息系統(tǒng)的安全管理和維護(hù);應(yīng)用層即普通用戶,職責(zé)包括嚴(yán)格按照系統(tǒng)操作手冊(cè)正確使用信息系統(tǒng),不得進(jìn)行可能危害信息系統(tǒng)安全的操作,不得發(fā)布惡意信息等。
2. 安全管理體系
它是整個(gè)安全管理體系有效運(yùn)作和持續(xù)改進(jìn)的保障,應(yīng)在實(shí)踐中逐步實(shí)現(xiàn)規(guī)章制度的文件化、工作機(jī)制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立、建設(shè)與運(yùn)營(yíng)工作條例的建立、應(yīng)急響應(yīng)機(jī)制的建立、審計(jì)與評(píng)審機(jī)制的建立、安全教育與培訓(xùn)。
3. 安全技術(shù)體系
該體系有力保障信息資源和應(yīng)用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡(luò)層安全技術(shù)、系統(tǒng)層安全技術(shù)和應(yīng)用層安全技術(shù)構(gòu)成。網(wǎng)絡(luò)層安全技術(shù)包括防火墻、病毒防范、入侵檢測(cè)、vpn等;系統(tǒng)層安全技術(shù)包括數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)庫(kù)安全審計(jì)、應(yīng)用系統(tǒng)監(jiān)控、身份認(rèn)證等;應(yīng)用層安全技術(shù)包括權(quán)限管理、信息加密、桌面系統(tǒng)等。
信息化安全管理體系整改
上海財(cái)經(jīng)大學(xué)經(jīng)過多年的信息化建設(shè),包括教學(xué)、學(xué)生、辦公自動(dòng)化、招生、人事、財(cái)務(wù)、公共數(shù)據(jù)平臺(tái)、校園一卡通等一大批信息系統(tǒng)得到應(yīng)用。隨著應(yīng)用的深化,系統(tǒng)中積累大量的業(yè)務(wù)數(shù)據(jù)和工作成果,這些信息對(duì)學(xué)校目前的管理乃至今后的發(fā)展都至關(guān)重要,因此,信息的安全問題也成為信息化工作的焦點(diǎn)。2023年起,在認(rèn)真分析學(xué)校信息安全管理和技術(shù)兩方面的問題和原因的基礎(chǔ)上,學(xué)校從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術(shù)體系。
完善信息安全管理的組織結(jié)構(gòu)
2023年,學(xué)校對(duì)信息安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理,形成包含決策、管理、維護(hù)和應(yīng)用4 個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu),工作職責(zé)更加明確。上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)如圖2。
圖2 財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理組織機(jī)構(gòu)
1. 決策層:在信息化領(lǐng)導(dǎo)小組的職能中明確信息系統(tǒng)的安全管理職能,由信息化領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。
2. 管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機(jī)構(gòu),工作小組由信息化相關(guān)部門領(lǐng)導(dǎo)及專業(yè)技術(shù)人員和部分管理人員組成。
3. 運(yùn)營(yíng)層:完善系統(tǒng)運(yùn)營(yíng)各崗位人員的工作職責(zé),包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員。
4. 應(yīng)用層:進(jìn)一步明確應(yīng)用層各院系、部門及用戶的安全責(zé)任,與各院系、部門簽訂安全責(zé)任書,同時(shí)明確各院系、部門信息員的日常信息安全工作職責(zé),使其成為信息安全工作的基礎(chǔ)支持隊(duì)伍。
形成文件化的信息安全整體策略
早在2008年,學(xué)校就著手組織制定《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全管理辦法》、《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)建設(shè)管理辦法》和《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)運(yùn)行維護(hù)管理辦法》,從場(chǎng)地與設(shè)施安全管理、設(shè)備安全管理、系統(tǒng)安全管理、信息安全管理、建設(shè)安全管理、運(yùn)行維護(hù)安全管理和技術(shù)文檔安全管理7 個(gè)方面詳細(xì)制定安全管理規(guī)定,并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過程中相關(guān)人員的工作流程和操作規(guī)范,為全校的信息系統(tǒng)安全管理提供依據(jù)。
2023年至2023年,針對(duì)信息安全問題突發(fā)性強(qiáng)的特點(diǎn),為建立健全應(yīng)急工作機(jī)制,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應(yīng)急處置能力,最大限度地減輕突發(fā)事件造成的損失,學(xué)校完成《上海財(cái)經(jīng)大學(xué)信息系統(tǒng)安全應(yīng)急預(yù)案》的制定,并在it部門建立起突發(fā)事件應(yīng)急響應(yīng)工作機(jī)制。與此同時(shí),為加強(qiáng)日常防控來減少突發(fā)事件的發(fā)生,學(xué)校it部門制定《運(yùn)行維護(hù)工作條例》對(duì)硬件維護(hù)、操作系統(tǒng)維護(hù)、數(shù)據(jù)庫(kù)維護(hù)和應(yīng)用系統(tǒng)維護(hù)的各個(gè)環(huán)節(jié)的工作流程和操作規(guī)程進(jìn)行更加詳細(xì)的規(guī)定,并在工作中增加安全監(jiān)控、安全檢測(cè)、安全策略優(yōu)化、安全審計(jì)等環(huán)節(jié)加強(qiáng)對(duì)信息系統(tǒng)的安全防護(hù)。
2023年初,為明確和建立學(xué)校的信息安全策略,為各部門制定操作規(guī)范和開展安全工作提供指導(dǎo),學(xué)校制定《上海財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全管理整體方案》,從信息安全組織體系、管理體系和技術(shù)體系3個(gè)層次,詳細(xì)描述管理策略以及技術(shù)手段。該方案的出臺(tái)極大地推動(dòng)it部門管理制度的完善和技術(shù)改進(jìn),同時(shí)也促進(jìn)各院系、部門內(nèi)部安全管理的強(qiáng)化和人員安全意識(shí)的提高。
強(qiáng)化安全管理
信息安全是一項(xiàng)長(zhǎng)期的工作,必須將其納入信息系統(tǒng)的日常管理中常抓不懈,防患于未然。信息系統(tǒng)質(zhì)量的內(nèi)涵,除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外,與信息系統(tǒng)安全有關(guān)的系統(tǒng)安全性、可靠性、可用性也是系統(tǒng)質(zhì)量控制的范疇。主要采取的管理措施如下:
1.增加建設(shè)過程中的評(píng)審環(huán)節(jié)
在項(xiàng)目設(shè)計(jì)、開發(fā)階段成果接近完成時(shí),由項(xiàng)目組會(huì)同相關(guān)業(yè)務(wù)部門共同組織技術(shù)評(píng)審,包括對(duì)系統(tǒng)安全性的審查。評(píng)審以項(xiàng)目前期形成的方案、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù),對(duì)該階段形成的方案、技術(shù)文檔及系統(tǒng)進(jìn)行審查、確認(rèn)等工作,并形成評(píng)審結(jié)論。
2.進(jìn)行內(nèi)部測(cè)試和第三方測(cè)試
在項(xiàng)目驗(yàn)收前,除了由項(xiàng)目?jī)?nèi)部和業(yè)務(wù)部門參與的集成測(cè)試外,聘請(qǐng)專業(yè)的第三方測(cè)試機(jī)構(gòu)進(jìn)行測(cè)試。
3.安全檢測(cè)與審計(jì)雙管齊下,全方位監(jiān)控安全事件
對(duì)應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行每三個(gè)月一次的定期安全檢測(cè),有效消除潛在的安全隱患;定期進(jìn)行應(yīng)用系統(tǒng)的安全審計(jì)、數(shù)據(jù)庫(kù)的安全審計(jì)、服務(wù)器的安全審計(jì)、配置管理的安全審計(jì)等,避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生。
4.建立突發(fā)事件應(yīng)急響應(yīng)機(jī)制
基于《上海財(cái)經(jīng)大學(xué)信息安全應(yīng)急預(yù)案》,建立突發(fā)事件的應(yīng)急響應(yīng)機(jī)制,落實(shí)信息系統(tǒng)的服務(wù)級(jí)別管理,實(shí)行應(yīng)急預(yù)案演練制度,建立預(yù)案庫(kù),在突發(fā)事件發(fā)生后形成處置報(bào)告,分析原因,改進(jìn)工作。
5.加強(qiáng)安全意識(shí)宣傳與教育
我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動(dòng),包括組織面向?qū)W生和教師的信息安全知識(shí)競(jìng)賽活動(dòng),開展信息安全意識(shí)培訓(xùn)等,提高人員的安全防范意識(shí),發(fā)揮人在信息安全對(duì)策中的主體作用。
加強(qiáng)技術(shù)防范,構(gòu)筑安全堡壘
系統(tǒng)的日常建設(shè)與運(yùn)行管理中,我們通過構(gòu)建自動(dòng)化防控系統(tǒng)來加強(qiáng)系統(tǒng)的安全防范,為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅(jiān)實(shí)的安全堡壘,具體措施包括:
1.搭建版本控制系統(tǒng),確保開發(fā)中源代碼的安全
在程序開發(fā)的過程中,需要多人同時(shí)參加和協(xié)作,通過搭建版本控制系統(tǒng),記錄系統(tǒng)建設(shè)過程中相關(guān)文檔和源代碼的變更過程,防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。
2.構(gòu)建三套獨(dú)立環(huán)境,保證正式環(huán)境安全
將系統(tǒng)開發(fā)環(huán)境、系統(tǒng)測(cè)試環(huán)境和正式系統(tǒng)進(jìn)行分離,確保開發(fā)階段和測(cè)試階段的工作不影響正式系統(tǒng)的使用。
3.建立備份與恢復(fù)機(jī)制,保護(hù)系統(tǒng)建設(shè)成果
建立本地及異地?cái)?shù)據(jù)備份及恢復(fù)規(guī)范及方案,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關(guān)程序,對(duì)系統(tǒng)建設(shè)過程中的成果進(jìn)行及時(shí)備份,防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失,切實(shí)保證數(shù)據(jù)的安全。
4.防火墻與入侵監(jiān)測(cè),構(gòu)筑網(wǎng)絡(luò)屏障
在internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻,防止校內(nèi)外用戶對(duì)服務(wù)器的攻擊;部署網(wǎng)絡(luò)分析系統(tǒng),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播,為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關(guān)鍵信息系統(tǒng),用戶需要通過vpn加密鏈路才能實(shí)現(xiàn)從校外訪問關(guān)鍵信息系統(tǒng)。
5.漏洞掃描與日志分析,促進(jìn)應(yīng)用安全的不斷提升
在應(yīng)用系統(tǒng)層,我們采用系統(tǒng)日志分析平臺(tái)對(duì)應(yīng)用進(jìn)行日志分析,捕捉和定位異常事件;定期對(duì)應(yīng)用服務(wù)執(zhí)行漏洞掃描,對(duì)出現(xiàn)的sql注入、跨站腳本攻擊、網(wǎng)頁(yè)非法篡改、強(qiáng)制訪問等系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)進(jìn)行分析和整改。
6.主動(dòng)式監(jiān)控及時(shí)追蹤問題
自主完成服務(wù)器軟硬件運(yùn)行狀態(tài)監(jiān)控系統(tǒng)的開發(fā),實(shí)現(xiàn)對(duì)服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動(dòng)監(jiān)聽和預(yù)警;建立統(tǒng)一日志服務(wù)器,對(duì)所有系統(tǒng)的日志進(jìn)行集中管理和備份,確保問題發(fā)生時(shí)通過日志進(jìn)行定位和追蹤。
所謂“三分技術(shù),七分管理”,信息化安全管理問題需要從管理和技術(shù)兩方面考慮和解決,依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐,才能達(dá)到“以較小的代價(jià)利用有限資源控制安全風(fēng)險(xiǎn)”的目標(biāo),更好地保證信息化建設(shè)和應(yīng)用的成果。
第4篇 藥品安全信息化管理暫行規(guī)定
推進(jìn)藥品經(jīng)營(yíng)企業(yè)信息化建設(shè),運(yùn)用信息化手段實(shí)現(xiàn)藥品安全監(jiān)管是貫徹落實(shí)科學(xué)監(jiān)管理念的重要舉措,也是藥品經(jīng)營(yíng)企業(yè)提高管理水平和工作效率的重要途徑。為進(jìn)一步提升藥品經(jīng)營(yíng)企業(yè)質(zhì)量管理水平,促進(jìn)信息技術(shù)在藥品流通領(lǐng)域的應(yīng)用,實(shí)施實(shí)時(shí)監(jiān)控,根據(jù)國(guó)家食品藥品監(jiān)督管理局等上級(jí)部門規(guī)定,結(jié)合本縣實(shí)際,現(xiàn)就全縣藥品經(jīng)營(yíng)企業(yè)實(shí)行信息化管理作如下規(guī)定,請(qǐng)遵照?qǐng)?zhí)行。
一、藥品經(jīng)營(yíng)企業(yè)計(jì)算機(jī)管理系統(tǒng)建設(shè)
全縣所有藥品經(jīng)營(yíng)企業(yè)均應(yīng)配置專用計(jì)算機(jī),實(shí)現(xiàn)藥品購(gòu)銷存信息化管理,保證藥品質(zhì)量可控可追溯。計(jì)算機(jī)設(shè)施和管理系統(tǒng)應(yīng)符合以下要求:
1、具有獨(dú)立的計(jì)算機(jī)管理信息系統(tǒng),能覆蓋企業(yè)內(nèi)藥品的購(gòu)進(jìn)、儲(chǔ)存、銷售以及經(jīng)營(yíng)和質(zhì)量控制的全過程,保證藥品購(gòu)、銷、存數(shù)量保持一致;能全面記錄企業(yè)經(jīng)營(yíng)管理及實(shí)施《藥品經(jīng)營(yíng)質(zhì)量管理規(guī)范》方面的信息;符合《藥品經(jīng)營(yíng)質(zhì)量管理規(guī)范》對(duì)藥品經(jīng)營(yíng)各環(huán)節(jié)的要求。
2、應(yīng)配備能通過計(jì)算機(jī)自動(dòng)開具載明藥品名稱、生產(chǎn)廠商、批號(hào)、數(shù)量、價(jià)格等內(nèi)容的銷售憑證設(shè)備,藥店在銷售藥品時(shí)均應(yīng)向購(gòu)藥者出具銷售憑證。同時(shí),應(yīng)在店堂醒目處告示消費(fèi)者有權(quán)索取藥品銷售憑證,使廣大群眾知道藥品銷售憑證開具有效憑證的規(guī)定,保障群眾用藥安全。
3、保證計(jì)算機(jī)系統(tǒng)的安全性。
(1)計(jì)算機(jī)系統(tǒng)自身安全,主要包括利用防毒、防火等軟、硬件設(shè)備保障系統(tǒng)本身不易受破壞和干擾,保證其正常運(yùn)行;同時(shí),定期做好備份。
(2)計(jì)算機(jī)系統(tǒng)使用安全,主要包括系統(tǒng)操作人員權(quán)限的設(shè)定、分配應(yīng)符合要求,能按照法律法規(guī)和崗位職責(zé)進(jìn)行權(quán)限的分配,不會(huì)出現(xiàn)非本崗位的操作功能。
4、計(jì)算機(jī)系統(tǒng)數(shù)據(jù)信息能隨時(shí)接受藥品監(jiān)管部門檢查、查詢、復(fù)制。
二、藥品經(jīng)營(yíng)企業(yè)在線遠(yuǎn)程監(jiān)管系統(tǒng)建設(shè)
1、應(yīng)在營(yíng)業(yè)場(chǎng)所內(nèi)指定一臺(tái)固定電話,報(bào)藥品監(jiān)管部門備案,確保通訊暢通,并保證在崗人員能隨時(shí)接聽來電。
2、以企業(yè)身份申請(qǐng)注冊(cè)qq帳號(hào),加入藥品監(jiān)管部門統(tǒng)一指定的qq群(群號(hào)202038542),由企業(yè)負(fù)責(zé)人負(fù)責(zé)管理,可委托藥店從業(yè)人員操作,確保不因從業(yè)人員變動(dòng)而影響正常登錄使用;qq設(shè)置為自動(dòng)登陸,在營(yíng)業(yè)期間保持處于正常在線狀態(tài),指定專人負(fù)責(zé)接收發(fā)qq群內(nèi)發(fā)布的各項(xiàng)通知、公告等信息。
3、配備網(wǎng)絡(luò)視頻設(shè)施,確保藥品監(jiān)管部門在巡查藥師是否在崗等情況時(shí)能正常啟用。
4、所有購(gòu)進(jìn)品種應(yīng)及時(shí)上傳至浙江省藥品信用信息系統(tǒng),并保證品種信息完整、準(zhǔn)確、真實(shí),為藥品監(jiān)管部門實(shí)行購(gòu)進(jìn)品種在線監(jiān)管提供條件。
5、具備能與藥品監(jiān)管部門開展實(shí)時(shí)監(jiān)控的數(shù)據(jù)接口,為藥品監(jiān)管部門對(duì)購(gòu)銷品種和溫濕度在線監(jiān)管提供條件。
三、其它規(guī)定事項(xiàng)
1、藥品經(jīng)營(yíng)企業(yè)駐店藥師需要請(qǐng)假或調(diào)整在崗排班表的,應(yīng)提前以電子文檔格式報(bào)送至藥品監(jiān)管部門指定的電子郵箱。
2、藥品經(jīng)營(yíng)企業(yè)在實(shí)施藥品安全信息化體系建設(shè)的表現(xiàn)情況與將企業(yè)信用等級(jí)評(píng)定掛鉤。對(duì)于本規(guī)定的各事項(xiàng)履行不到位,尤其是藥品購(gòu)銷存記錄不及時(shí)輸入電腦臺(tái)帳、經(jīng)營(yíng)品種不及時(shí)上傳至省局信用系統(tǒng)、不同步開具銷售憑證的,將加大日常監(jiān)督檢查深度和頻次,強(qiáng)化監(jiān)督抽樣的力度,降低信用等級(jí),構(gòu)成違法的,依法予以從重處理,并予以實(shí)名通報(bào)。
第5篇 綠谷集團(tuán)計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)定
第一章 總則
第一條 為了保護(hù)綠谷集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全、促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用和發(fā)展、保證網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)用戶的使用權(quán)益,制定本安全管理規(guī)定。
第二條 本管理規(guī)定所稱的網(wǎng)絡(luò)系統(tǒng),是指由綠谷集團(tuán)投資購(gòu)買、由網(wǎng)絡(luò)與信息中心負(fù)責(zé)維護(hù)和管理的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、配套的網(wǎng)絡(luò)線纜設(shè)施及網(wǎng)絡(luò)服務(wù)器、工作站所構(gòu)成的、為網(wǎng)絡(luò)應(yīng)用及服務(wù)的硬件、軟件的集成系統(tǒng)。
第三條 綠谷網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行和系統(tǒng)設(shè)備管理維護(hù)工作由信息設(shè)計(jì)部負(fù)責(zé)。任何單位和個(gè)人,未經(jīng)網(wǎng)絡(luò)負(fù)責(zé)單位同意、不得擅自安裝、拆卸或改變網(wǎng)絡(luò)設(shè)備。
第四條 任何單位和個(gè)人、不得利用聯(lián)網(wǎng)計(jì)算機(jī)從事危害綠谷網(wǎng)站及本地局域網(wǎng)服務(wù)器、工作站的活動(dòng),不得危害或侵入未授權(quán)的服務(wù)器、工作站。
第五條 任何單位和個(gè)人不得利用公司內(nèi)部網(wǎng)和國(guó)際聯(lián)網(wǎng)危害公司安全、泄露公司秘密,不得侵犯公司的利益,不得從事違法犯罪活動(dòng)。
第二章安全保護(hù)運(yùn)行
一、操作管理
第六條 除網(wǎng)絡(luò)負(fù)責(zé)單位,其它單位或個(gè)人不得以任何方式對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)功能及計(jì)算機(jī)信息網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加;
第七條未經(jīng)保管人允許,任何人不得擅自使用她人電腦;
第八條 任何單位和個(gè)人不得利用內(nèi)部網(wǎng)國(guó)際聯(lián)網(wǎng)制作、復(fù)制、查閱和傳播下列信息:
1、捏造或者歪曲事實(shí),散布謠言,擾亂公司秩序的;
2、宣揚(yáng)淫穢、色情的;
3、公然侮辱她人或者捏造事實(shí)誹謗她人的;
4、損害公司形象的;
第九條 任何單位和個(gè)人不得將涉及公司秘密的計(jì)算機(jī)信息系統(tǒng),直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接;
第十條 任何單位和個(gè)人不得將公司秘密的信息,在國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳遞;
第十一條 任何單位和個(gè)人不得在電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組上發(fā)布、談?wù)摵蛡鞑ス久孛苄畔?
第十二條 未經(jīng)允許,任何單位和個(gè)人不得私自將計(jì)算機(jī)接入局域網(wǎng);
第十三條 有密碼功能的計(jì)算機(jī)要求設(shè)置密碼;人員離開計(jì)算機(jī)后,要求退出系統(tǒng)并關(guān)機(jī),或設(shè)計(jì)屏幕保護(hù)密碼;
二、軟件管理
第十四條 公司上網(wǎng)計(jì)算機(jī)操作軟件必須由專人負(fù)責(zé)同一安裝,任何單位和個(gè)人不得擅自安裝其它軟件;
第十五條 嚴(yán)禁在公司網(wǎng)絡(luò)及計(jì)算機(jī)上使用來歷不明、引發(fā)病毒傳染的軟件;
第十六條 嚴(yán)禁在公司網(wǎng)絡(luò)及計(jì)算機(jī)上使用盜版軟件;
三、文件管理
第十七條 重要文件必須及時(shí)備份;
第十八條 盡量減少文件共享,共享文件必須設(shè)置密碼;
四、病毒管理
第十九條 每臺(tái)計(jì)算機(jī)必須安裝殺毒軟件及防火墻;
第二十條 每臺(tái)計(jì)算機(jī)必須定時(shí)查毒和升級(jí)殺毒軟件,發(fā)現(xiàn)病毒立即上報(bào)信息設(shè)計(jì)部;
第二十一條 嚴(yán)禁故意制作、傳播計(jì)算機(jī)病毒等破壞性程序;
第二十二條 嚴(yán)禁使用未經(jīng)殺毒的軟盤;
第二十三條 嚴(yán)禁未經(jīng)殺毒拷貝文件,或?qū)⑽募l(fā)送到其它客戶機(jī)上;
第二十四條 嚴(yán)禁接受和發(fā)送未經(jīng)殺毒的電子郵件;
第二十五條 新系統(tǒng)安裝前必須進(jìn)行病毒檢測(cè);
五、硬件管理
第二十五條 任何單位和個(gè)人不得以任何借口盜竊、破壞網(wǎng)絡(luò)設(shè)施;
第二十六條 公司內(nèi)從事施工、建設(shè),不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全;
第二十七條 除計(jì)算機(jī)維護(hù)人員,任何單位和個(gè)人不得隨意拆卸所使用的計(jì)算機(jī)或相關(guān)設(shè)備;
第二十八條 計(jì)算機(jī)房間鑰匙不得隨意轉(zhuǎn)借她人使用,做到人走鎖門;
第二十九條 裝有計(jì)算機(jī)房間內(nèi)的電線必須按規(guī)定鋪設(shè),不得私拉亂接;
六、監(jiān)督管理
第三十條 每臺(tái)計(jì)算機(jī)由使用人負(fù)責(zé)日常維護(hù)及安全管理;
第三十一條 網(wǎng)絡(luò)各類服務(wù)器中開設(shè)的帳戶和口令為個(gè)人用戶所擁有,信息設(shè)計(jì)部對(duì)用戶口令保密,任何單位和個(gè)人不得隨意提供這些信息。
第三十二條 各單位和用戶,應(yīng)當(dāng)接受并配合信息設(shè)計(jì)部實(shí)施的監(jiān)督檢查,并根據(jù)信息設(shè)計(jì)部的要求,刪除計(jì)算機(jī)及網(wǎng)上不符合規(guī)定的內(nèi)容;
第三十三條 各部門和用戶,發(fā)現(xiàn)違反規(guī)定情況時(shí),應(yīng)當(dāng)立即向信息設(shè)計(jì)部報(bào)告;
第三十四條 負(fù)責(zé)部門必須定期檢查安全情況,對(duì)網(wǎng)絡(luò)上有害信息及時(shí)控制并刪除,不得傳播;
第三十五條 人員離崗離職必須到信息設(shè)計(jì)部登記,做好軟硬件及帳號(hào)、密碼交接工作;
第三章 違規(guī)責(zé)任與處罰
第三十六條 違反上述規(guī)定造成公司秘密泄漏、數(shù)據(jù)丟失、硬件損壞、病毒感染、對(duì)公司或她人造成不良影響者以及使用盜版軟件者,根據(jù)具體情況追究當(dāng)事人及其直接領(lǐng)導(dǎo)責(zé)任;
第四章 其她
第三十七條 本管理制度自公布之日起實(shí)行。
第6篇 工業(yè)企業(yè)安全信息及歸檔管理辦法
工業(yè)公司安全信息及歸檔管理辦法
1、主題內(nèi)容與使用范圍
本辦法規(guī)定了安全信息管理體系、信息管理機(jī)構(gòu)的職責(zé)、信息內(nèi)容、處理程序、填報(bào)要求、歸檔及檢查與考核。
本辦法適用于我公司安全生產(chǎn)信息及檔案管理。
2、引用文件
qjl424《安全生產(chǎn)管理通用表格》
3、術(shù)語(yǔ)
安全信息:國(guó)家和上級(jí)有關(guān)安全生產(chǎn)管理要求中所涉及的各種數(shù)據(jù)、報(bào)表、原始資料、檔案和文件。
4、安全信息管理體系
4.1經(jīng)營(yíng)部是我公司安全信息歸口管理單位,負(fù)責(zé)安全信息的收集、傳遞、處理、反饋、分析、匯總、貯存及歸檔工作。
4.2各基層單位安全員負(fù)責(zé)本單位安全信息的收集、傳遞、處理、反饋等工作。
5、各級(jí)信息管理人員的職責(zé)
5.1公司安全第一負(fù)責(zé)人對(duì)本公司安全信息系統(tǒng)的正常運(yùn)轉(zhuǎn)負(fù)責(zé)。
5.2主管安全副總經(jīng)理負(fù)責(zé)組織協(xié)調(diào)公司安全信息管理工作,審批、下達(dá)公司安全信息調(diào)查、建檔、統(tǒng)計(jì)任務(wù)。
5.3各單位安全第一負(fù)責(zé)人負(fù)責(zé)組織協(xié)調(diào)本單位安全信息管理工作,保證所下達(dá)的信息工作的正常進(jìn)行。
6、安全信息內(nèi)容
6.1 qjl424中所規(guī)定的內(nèi)容。
6.2國(guó)家和上級(jí)有關(guān)安全生產(chǎn)監(jiān)察規(guī)程所要求的數(shù)據(jù)、資料。
6.3各級(jí)安全部門為貫徹國(guó)家和上級(jí)有關(guān)安全生產(chǎn)規(guī)定而提出的統(tǒng)計(jì)、建檔資料。
6.4上級(jí)有關(guān)安全生產(chǎn)的文件、法令及公司內(nèi)各項(xiàng)安全規(guī)章制度。
6.5各單垃安全生產(chǎn)管理的信息包括:
a.重大安全事故和重大安全問題及需要上級(jí)或有關(guān)部門協(xié)調(diào)、緊急處理的安全問題。
b.工傷事故分析報(bào)告、安委會(huì)會(huì)議執(zhí)行情況、安全檢查情況、隱患整改情況、技措計(jì)劃的實(shí)施情況、安全活動(dòng)、安全教育培訓(xùn)、安全組織機(jī)構(gòu)變動(dòng)情況。
c.單位年度安全工作計(jì)劃、目標(biāo)、工作總結(jié)及其它有關(guān)情況。
d.與安全工作有關(guān)的原始記錄、檔案。
7、安全信息傳遞與處理
7.1在生產(chǎn)管理過程中,公司內(nèi)各單位發(fā)現(xiàn)安全問題需反饋到總公司的,由發(fā)出信息單位以文字形式上報(bào)經(jīng)營(yíng)部。
7.2經(jīng)營(yíng)部接受基層的信息后,按信息內(nèi)容,及時(shí)進(jìn)行調(diào)查核實(shí),提出處理意見,明確責(zé)任單位、反饋時(shí)間要求等,立即反饋給責(zé)任單位執(zhí)行。
7.3責(zé)任單位負(fù)責(zé)按信息內(nèi)容及經(jīng)營(yíng)部處理意見組織處理,將處理情況填寫清楚,并按要求反饋給經(jīng)營(yíng)部。
7.4經(jīng)營(yíng)部負(fù)責(zé)信息存檔工作。
8、安全信息填報(bào)要求
8.1提供的信息必須備有相應(yīng)完整可靠的原始記錄,隨時(shí)為查詢服務(wù)。
8.2提供的信息必須符合規(guī)定的格式,便于統(tǒng)計(jì)和貯存,通用表格如下:
8.2.1安全生產(chǎn)管理通用表格隱患類表格 見qjl424.3―88
8.2.2安全生產(chǎn)管理通用表格技措類表格 見qjl424.4―88
8.2.3安全生產(chǎn)管理通用表格獎(jiǎng)懲類表格 見qjl424.5―88
8.2.4安全生產(chǎn)管理通用表格管理類表格 見qjl424.6―88
8.2.5安全生產(chǎn)管理通用表格有害作業(yè)類表格 見qjl424.7―88
8.3提供的信息必須在規(guī)定時(shí)間內(nèi)傳遞完畢。
8.4提供的信息必須有填報(bào)人和單位領(lǐng)導(dǎo)審查簽字。
9、安全信息資料歸擋要求
9.1經(jīng)營(yíng)部建立七種安全管理檔案和八種安全管理圖表,并歸檔。
9.2七種安全管理檔案:
9.2.1工傷事故檔案。
9.2.2安全教育檔案。
9.2.3安全獎(jiǎng)懲檔案。
9.2.4安全技術(shù)措施項(xiàng)目檔案。
9.2.5特種設(shè)備檔案(主要指吊車、壓力容器、空壓機(jī)等)。
9.2.6隱患及整改記錄。
9.2.7違章記錄。
9.3八種圖表:
9.3.1安全機(jī)構(gòu)網(wǎng)絡(luò)體系圖。
9.3.2危險(xiǎn)點(diǎn)和塵毒點(diǎn)分布圖。
9.3.3公司內(nèi)動(dòng)力管線分布圖。
9.3.4配電系統(tǒng)及接地線布置圖;
9.3.5歷年工傷事故頻率圖。
9.3.6工傷事故年度統(tǒng)計(jì)圖。
9.3.7多發(fā)性事故及重大事故樹形圖。
9.3.8安全信息反饋圖。
10、檢查與考核
10.1本制度的執(zhí)行情況列為公司安全工作經(jīng)濟(jì)承包任務(wù)考核內(nèi)容,按年度進(jìn)行檢查與考核。
10.2經(jīng)營(yíng)部按制度檢查與考核,綜合評(píng)比各職能部門、分公司的安全信息管理工作。
勞保用品標(biāo)準(zhǔn)
第7篇 談?shì)旊娋W(wǎng)安全性評(píng)價(jià)信息管理工作
云南電網(wǎng)公司自1997年開始推行水電廠、火電廠和供電企業(yè)的安全性評(píng)價(jià)工作以來,積累了很多行之有效的工作方法。為了適應(yīng)電網(wǎng)發(fā)展和云電外送對(duì)電網(wǎng)安全的需求,云南電網(wǎng)公司在2003年初開始進(jìn)行輸電網(wǎng)安全性評(píng)價(jià)的前期宣傳、調(diào)研工作,并著手進(jìn)行了輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)的開發(fā)工作。
1 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)建設(shè)的必要性
(1) 安全性評(píng)價(jià)信息管理系統(tǒng)能實(shí)現(xiàn)現(xiàn)代化電網(wǎng)管理對(duì)輸電網(wǎng)安全性評(píng)價(jià)的快捷性、準(zhǔn)確性、實(shí)時(shí)性提出的更高要求。
(2) 輸電網(wǎng)安全性評(píng)價(jià)是過程管理,這一過程管理要求循序漸進(jìn),評(píng)價(jià)、分析、評(píng)估、整改各階段工作要形成嚴(yán)格閉環(huán),每一輪評(píng)價(jià)都要建立在上一輪評(píng)價(jià)反饋信息的基礎(chǔ)上。同時(shí),輸電網(wǎng)安全性評(píng)價(jià)又是動(dòng)態(tài)的,包括評(píng)價(jià)內(nèi)容要不斷完善和更新,評(píng)價(jià)標(biāo)準(zhǔn)要不斷修訂,評(píng)價(jià)過程要不斷推進(jìn),評(píng)價(jià)質(zhì)量要不斷提高等。采用信息管理系統(tǒng)才能適應(yīng)輸電網(wǎng)評(píng)價(jià)動(dòng)態(tài)與發(fā)展的要求。
(3) 采用信息管理系統(tǒng)有利于提高輸電網(wǎng)安全性評(píng)價(jià)的制度化、規(guī)范化管理,也是輸電網(wǎng)安全性評(píng)價(jià)日常工作管理的需要,能達(dá)到實(shí)現(xiàn)輸電網(wǎng)安全性評(píng)價(jià)長(zhǎng)效管理的目的。
(4) 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)是實(shí)現(xiàn)輸電網(wǎng)安全性評(píng)價(jià)企業(yè)自主管理的途徑。通過信息系統(tǒng)能快速地實(shí)現(xiàn)自我找缺陷、自我找隱患、自我找問題,能主動(dòng)、便捷、準(zhǔn)確地獲得電網(wǎng)安全性的信息,能及時(shí)采取加強(qiáng)電網(wǎng)安全的有力措施,以實(shí)現(xiàn)基于風(fēng)險(xiǎn)管理的長(zhǎng)效過程管理。
(5) 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)可克服手工對(duì)評(píng)價(jià)信息進(jìn)行記錄、整理、上報(bào)所存在的弊端,如難以保證信息的及時(shí)性和準(zhǔn)確性、不能充分利用評(píng)價(jià)信息、無(wú)法全面對(duì)其進(jìn)行分析等。
2 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)的建設(shè)目標(biāo)
輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)的建設(shè)目標(biāo)是,通過先進(jìn)信息技術(shù),改進(jìn)效率較低的安全性評(píng)價(jià)手段,實(shí)現(xiàn)輸電網(wǎng)安全性評(píng)價(jià)高效、準(zhǔn)確、可靠的目的。將輸電網(wǎng)安全性評(píng)價(jià)理論、執(zhí)行流程與先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)有機(jī)地結(jié)合起來,通過系統(tǒng)的開發(fā),協(xié)助企業(yè)高效地完成層層自查、評(píng)價(jià)、整改、復(fù)查、統(tǒng)計(jì)、分析、上報(bào)、審核等工作,形成電網(wǎng)企業(yè)自我約束、自我發(fā)展的安全生產(chǎn)機(jī)制,使電網(wǎng)安全基礎(chǔ)不斷得到鞏固,從而產(chǎn)生良好的安全經(jīng)濟(jì)效益。
3 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)應(yīng)實(shí)現(xiàn)的功能
(1) 通過網(wǎng)絡(luò)上報(bào)數(shù)據(jù)和遠(yuǎn)程報(bào)表傳遞,克服傳統(tǒng)工作方式下跨部門協(xié)同工作帶來的效率低下的缺點(diǎn)。采用系統(tǒng)進(jìn)行報(bào)表處理,節(jié)省人力物力,保證評(píng)價(jià)信息的及時(shí)性和準(zhǔn)確性。
(2) 提供通用的web數(shù)據(jù)庫(kù)查詢功能,使各電力企業(yè)可以快速地查詢與輸電網(wǎng)安全性評(píng)價(jià)工作相關(guān)的數(shù)據(jù)和標(biāo)準(zhǔn),提高評(píng)價(jià)工作效率。
(3) 通過任務(wù)狀態(tài)跟蹤,為安監(jiān)部門提供對(duì)基層單位任務(wù)進(jìn)展?fàn)顩r查詢的工具,保證評(píng)價(jià)項(xiàng)目的順利進(jìn)行。
(4) 對(duì)評(píng)價(jià)所形成的典型問題及整改建議采用專家知識(shí)庫(kù)方式進(jìn)行管理。
(5) 實(shí)現(xiàn)對(duì)評(píng)價(jià)發(fā)現(xiàn)問題的狀態(tài)記錄,確保發(fā)現(xiàn)問題能夠得到及時(shí)處理。
(6) 實(shí)現(xiàn)輸電網(wǎng)安全性評(píng)價(jià)數(shù)據(jù)在網(wǎng)絡(luò)上隨時(shí)可查,使得企業(yè)領(lǐng)導(dǎo)對(duì)企業(yè)的安全狀態(tài)心中有數(shù),并具體掌握本企業(yè)以及企業(yè)內(nèi)部各方面、各系統(tǒng)安全基礎(chǔ)的強(qiáng)弱程度。
4 安全性評(píng)價(jià)信息管理系統(tǒng)的實(shí)現(xiàn)方案
系統(tǒng)的開發(fā)采用目前較為流行、易于實(shí)現(xiàn)的browser/server架構(gòu)方式實(shí)現(xiàn)。突出系統(tǒng)基于網(wǎng)絡(luò)的異地協(xié)同工作模式,系統(tǒng)—模塊化編碼,易于將來的擴(kuò)展以及兼容其它安全性評(píng)價(jià)系統(tǒng)。同時(shí),結(jié)合移動(dòng)設(shè)備(掌上電腦)的使用,實(shí)現(xiàn)掌上電腦與后臺(tái)服務(wù)器的通信,達(dá)到現(xiàn)場(chǎng)查評(píng)數(shù)據(jù)電子保存、自動(dòng)提交的目的。
4.1 系統(tǒng)主要功能模塊設(shè)置
系統(tǒng)主要功能模塊設(shè)置見圖1。
4.2 評(píng)價(jià)任務(wù)管理模塊
輸電網(wǎng)安全性評(píng)價(jià)工作一般由企業(yè)自查、資料匯總分析、專家組查評(píng)、總結(jié)和布置整改4個(gè)任務(wù)組成。
評(píng)價(jià)任務(wù)管理模塊功能即實(shí)現(xiàn)查評(píng)任務(wù)建立,任務(wù)相關(guān)描述信息(查評(píng)方式、要求、范圍、時(shí)間等)的錄入和保存,以及承擔(dān)任務(wù)人員的分配。
4.3 評(píng)價(jià)內(nèi)容管理模塊
系統(tǒng)評(píng)價(jià)內(nèi)容的設(shè)計(jì)將采用模塊化,即實(shí)現(xiàn)對(duì)評(píng)價(jià)內(nèi)容模板的新增、修改、刪除功能,使評(píng)價(jià)內(nèi)容成為動(dòng)態(tài)可更新的標(biāo)準(zhǔn)信息,以適應(yīng)相關(guān)評(píng)價(jià)標(biāo)準(zhǔn)的變化,使系統(tǒng)在盡可能長(zhǎng)的時(shí)間范圍內(nèi)具有良好的實(shí)用性。
引入知識(shí)庫(kù)管理功能,該項(xiàng)功能將已經(jīng)過專家組查評(píng)并給出整改意見的典型問題入庫(kù),作為系統(tǒng)運(yùn)行經(jīng)驗(yàn)數(shù)據(jù)保存,以后查評(píng)中再次發(fā)現(xiàn)相同問題時(shí),系統(tǒng)根據(jù)知識(shí)庫(kù)信息提供標(biāo)準(zhǔn)問題描述以及專家整改意見,供參考??杀苊庵貜?fù)性的工作,提高查評(píng)工作效率,并可進(jìn)一步對(duì)典型問題出現(xiàn)頻率進(jìn)行分析,找出問題的內(nèi)在聯(lián)系,為分析提供有效的輔助工具。
4.4 評(píng)價(jià)項(xiàng)目評(píng)分模塊
該模塊提供安全性評(píng)價(jià)工作評(píng)分的功能,可以采用在線和移動(dòng)2種方式進(jìn)行。
在線評(píng)分:用戶可以通過任何1臺(tái)聯(lián)網(wǎng)計(jì)算機(jī)的瀏覽器登錄系統(tǒng),將預(yù)先查評(píng)的結(jié)果錄入系統(tǒng)。系統(tǒng)將其詳細(xì)評(píng)分?jǐn)?shù)據(jù)和結(jié)果保存,并將其任務(wù)提交給上級(jí)匯總分析。
移動(dòng)評(píng)分:用戶可以預(yù)先將需要的數(shù)據(jù)從服務(wù)器下載到掌上電腦中,攜帶至現(xiàn)場(chǎng),通過移動(dòng)評(píng)分程序完成現(xiàn)場(chǎng)查評(píng)工作。該程序可以在現(xiàn)場(chǎng)為工作人員提供相關(guān)查評(píng)標(biāo)準(zhǔn)的查詢和歷史查評(píng)數(shù)據(jù)的查閱功能,同時(shí)將現(xiàn)場(chǎng)查評(píng)結(jié)果保存。將其與桌面計(jì)算機(jī)連接后可以自動(dòng)將查評(píng)結(jié)果傳回到數(shù)據(jù)庫(kù)服務(wù)器。
4.5 任務(wù)狀態(tài)跟蹤模塊
安全性評(píng)價(jià)工作中安監(jiān)部門需要時(shí)刻掌握評(píng)價(jià)項(xiàng)目協(xié)作部門的工作進(jìn)展情況,以保證評(píng)價(jià)項(xiàng)目的順利完成。該模塊將對(duì)安監(jiān)部門提供針對(duì)供電企業(yè)查評(píng)工作情況的查詢功能,在系統(tǒng)中準(zhǔn)確反映該企業(yè)查評(píng)工作已經(jīng)完成了多少,發(fā)現(xiàn)了多少問題,使得評(píng)價(jià)項(xiàng)目協(xié)作部門的查評(píng)進(jìn)度實(shí)時(shí)在系統(tǒng)中得到反映。
4.6 評(píng)價(jià)報(bào)表打印模塊
該模塊提供查評(píng)工作中所產(chǎn)生的報(bào)告的自動(dòng)生成功能,用戶在查評(píng)數(shù)據(jù)錄入完成后可使用該功能自動(dòng)生成報(bào)表。
4.7 評(píng)價(jià)人員管理模塊
該模塊實(shí)現(xiàn)與實(shí)際工作中一致的人員組織管理,實(shí)現(xiàn)網(wǎng)絡(luò)下達(dá)任務(wù)、網(wǎng)絡(luò)跟蹤任務(wù)的人員配置。人員組織形式具體分為集團(tuán)公司職能部門(地區(qū)供電局)、所隊(duì)(分局)、基層班組3個(gè)層次。
5 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)的運(yùn)用效果
2004年,云南電網(wǎng)公司在開展輸電網(wǎng)安全性評(píng)價(jià)工作中運(yùn)用了根據(jù)本企業(yè)查評(píng)流程開發(fā)的信息管理系統(tǒng),數(shù)據(jù)的錄入、上報(bào)和評(píng)價(jià)、整改任務(wù)的下達(dá)、監(jiān)督都通過系統(tǒng)進(jìn)行,使得工作效率和質(zhì)量得到大大提高,在當(dāng)年圓滿完成了查評(píng)工作,按時(shí)完成了年度工作計(jì)劃。目前,各單位的整改工作已結(jié)合年度計(jì)劃在進(jìn)行當(dāng)中,其進(jìn)展情況在系統(tǒng)中得到直觀的監(jiān)督。同時(shí),為供電單位和電網(wǎng)規(guī)劃、建設(shè)、改造工作提供了翔實(shí)的依據(jù),為云南電網(wǎng)安全穩(wěn)定水平的提高提供了決策的依據(jù)。
6 輸電網(wǎng)安全性評(píng)價(jià)信息管理系統(tǒng)功能擴(kuò)展設(shè)想
在開發(fā)輸電網(wǎng)安全性評(píng)價(jià)管理系統(tǒng)的時(shí)候,由于采用了模塊化設(shè)計(jì),將來可繼續(xù)集成安全性評(píng)價(jià)的其他系統(tǒng),如供電企業(yè)安全性評(píng)價(jià)、調(diào)度機(jī)構(gòu)安全性評(píng)價(jià)、并網(wǎng)發(fā)電廠并網(wǎng)運(yùn)行安全性評(píng)價(jià)等平臺(tái)的開發(fā),從而最終完善整個(gè)安全性評(píng)價(jià)系統(tǒng)。
第8篇 搞好安全信息管理提高企業(yè)安全管理水平
安全信息管理是電力企業(yè)安全管理的重要組成部分,是指導(dǎo)安全生產(chǎn)和做出安全決策的重要依據(jù),搞好企業(yè)內(nèi)部安全信息管理對(duì)提高企業(yè)安全管理水平,預(yù)防、控制事故的發(fā)生,有著極其重要的作用。
1. 安全信息的分類
安全信息包括安全情報(bào)、資料、臺(tái)帳、指令以及發(fā)生在生產(chǎn)現(xiàn)場(chǎng)的事故、障礙、異常、未遂、差錯(cuò)的具體行為等,它應(yīng)反映出企業(yè)整個(gè)生產(chǎn)過程的基本安全情況,企業(yè)內(nèi)部安全信息的獲得可來自企業(yè)內(nèi)部和外部,一般以企業(yè)內(nèi)部的安全信息為主,采取內(nèi)外結(jié)合的原則。
安全信息分類的目的是為了便于具體認(rèn)識(shí)與運(yùn)用安全信息去指導(dǎo)安全生產(chǎn),提高安全管理水平,從而有效地預(yù)防和控制事故的發(fā)生。安全信息分類主要是根據(jù)安全信息的產(chǎn)生和作用來進(jìn)行的,安全信息大體可分為3類:
(1) 安全指令信息。是指上級(jí)領(lǐng)導(dǎo)及管理部門下發(fā)的各種安全工作的文件、指令、要求、事故通報(bào)、安全生產(chǎn)簡(jiǎn)報(bào)、其他單位安全管理經(jīng)驗(yàn)以及事故教訓(xùn)等信息。
(2) 安全動(dòng)態(tài)信息。是指生產(chǎn)過程中的安全運(yùn)行情況、安全規(guī)章制度的制定和落實(shí)情況;易燃易爆等危險(xiǎn)品及現(xiàn)場(chǎng)設(shè)施防護(hù)完善狀況;生產(chǎn)中出現(xiàn)的異常現(xiàn)象;現(xiàn)場(chǎng)作業(yè)工人的情緒以及工器具、設(shè)備的異常狀態(tài)等多方面的安全動(dòng)態(tài)信息。
(3) 安全反饋信息。是指能將在執(zhí)行安全指令過程中發(fā)生的人的不安全行為、物的不安全狀態(tài)以及環(huán)境的不安全因素等信息及時(shí)反饋到安全監(jiān)督人員和相應(yīng)決策部門,通過閉環(huán)控制、偏差管理,及時(shí)作出新的決策,制定新的防范措施。
2. 安全信息管理
安全信息管理要采用現(xiàn)代科學(xué)管理的理論和方法,應(yīng)體現(xiàn)“及時(shí)、準(zhǔn)確、適用”3個(gè)特性:
(1) 及時(shí)性——收集、傳遞、反饋、運(yùn)用、處理安全信息要及時(shí),錯(cuò)過收集和使用的時(shí)間,安全信息就失去應(yīng)有的作用。如:對(duì)于在裝設(shè)三相短路接地線時(shí),沒有用驗(yàn)電器在停電設(shè)備上驗(yàn)明確無(wú)電壓,就直接在停電設(shè)備上裝設(shè)接地線的違規(guī)行為,如果在生產(chǎn)中能及時(shí)發(fā)現(xiàn)并糾正,就能有效地控制、預(yù)防事故的發(fā)生,否則,就可能導(dǎo)致事故。
(2) 準(zhǔn)確性——收集到的安全信息要真實(shí)、準(zhǔn)確、完整,實(shí)事求是,不弄虛作假,否則就會(huì)影響安全信息的使用效果,甚至可能做出不符合實(shí)際的決策,貽誤了安全管理工作。如:在電氣倒閘操作過程中,沒有使用操作票,原因是領(lǐng)導(dǎo)允許無(wú)票操作。在收集此信息時(shí),如果只收集到無(wú)票進(jìn)行電氣倒閘操作的違章作業(yè)行為,而沒有收集到領(lǐng)導(dǎo)違章指揮的事實(shí),就不能使決策部門提出全面的整改措施,其結(jié)果是只解決了無(wú)票操作的違章作業(yè)問題,而沒有解決領(lǐng)導(dǎo)的違章指揮問題。
(3) 適用性——安全信息的使用價(jià)值因人們的需求和使用的時(shí)間、方式、對(duì)象、地點(diǎn)不同而不同。只有適用的安全信息,才能促進(jìn)安全管理工作,才能充分發(fā)揮安全信息的作用。如:在學(xué)習(xí)兄弟單位安全管理經(jīng)驗(yàn)時(shí),不結(jié)合本企業(yè)的安全生產(chǎn)實(shí)際情況,生搬硬套,就不可能充分發(fā)揮安全信息的作用。
一個(gè)企業(yè)安全工作的好壞,在一定程度上取決于企業(yè)對(duì)安全信息的收集、處理和利用的狀況。企業(yè)的安全信息管理應(yīng)該通過收集、分析、管理、處理、傳遞等環(huán)節(jié)形成一個(gè)自上而下、自下而上的高效、流通的閉環(huán)反饋系統(tǒng)。只有這樣,才能夠使領(lǐng)導(dǎo)全面準(zhǔn)確地掌握安全信息,作出符合實(shí)際的決策,然后,再下達(dá)給基層,指導(dǎo)生產(chǎn)一線的安全管理。
3. 安全信息管理的基本環(huán)節(jié)
(1) 建立安全信息管理制度。從制度上保證安全信息在企業(yè)中的流通,把安全信息管理工作納入議事日程中,在討論研究安全工作時(shí),應(yīng)討論研究安全信息的應(yīng)用管理工作,解決安全工作中存在的問題,保證安全信息所具有的作用在安全管理中得到充分發(fā)揮。
(2) 建立安全信息管理網(wǎng)。通過安全信息管理網(wǎng)及時(shí)傳達(dá)有關(guān)安全生產(chǎn)的法規(guī)和方針政策,了解兄弟單位及本企業(yè)的安全生產(chǎn)動(dòng)態(tài),并將重要的安全信息及時(shí)、準(zhǔn)確地傳送到信息管理網(wǎng),實(shí)現(xiàn)資源共享,提高工作效率。
(3) 落實(shí)安全信息管理責(zé)任制。安全信息要分級(jí)管理,分工明確,責(zé)任到人,提高安全信息的利用率,保證安全信息正常運(yùn)轉(zhuǎn),保證安全信息管理得力、有效。
(4) 加強(qiáng)班組安全信息收集。班組是企業(yè)最小的基層單位,又是安全信息的重要來源。加強(qiáng)班組信息管理是搞好信息收集和反饋的重要環(huán)節(jié)。
(5) 加強(qiáng)信息檔案工作。安全信息建檔資料是企業(yè)寶貴的財(cái)富,它可以幫助人們了解企業(yè)安全生產(chǎn)的狀況,及時(shí)作出正確決策,掌握安全生產(chǎn)主動(dòng)權(quán),對(duì)提高安全管理水平,預(yù)防、控制事故的發(fā)生有著重要的作用。
第9篇 信息系統(tǒng)密碼安全管理辦法
1.1制定目的
(1) 規(guī)范公司信息系統(tǒng)密碼管理。
(2) 確保網(wǎng)絡(luò)安全運(yùn)行,保護(hù)信息系統(tǒng)、服務(wù)器不受侵害。
1.2適用范圍
凡隸屬本公司信息系統(tǒng)用戶,悉依照本辦法所規(guī)范之體制管理。
1.3權(quán)責(zé)單位
(1) 信息科負(fù)責(zé)本辦法制定、修改、廢止之起草工作。
(2) 總經(jīng)理負(fù)責(zé)本辦法、修改、廢止之核準(zhǔn)。
2 信息系統(tǒng)密碼安全管理辦法
(1) 服務(wù)器、應(yīng)用系統(tǒng)賬號(hào)和密碼要專人專管不得轉(zhuǎn)借他人使用。為了避免賬號(hào)被盜,密碼不定期更換,建議密碼長(zhǎng)度不少于6位,建議數(shù)字與密碼組合使用。
(2) 如果用戶密碼忘記,需用戶本人親自申請(qǐng)恢復(fù)密碼。
(3) 擁有新賬戶的員工,需盡快修改初始密碼,防止賬號(hào)被盜用。
(4) 服務(wù)器和服務(wù)器數(shù)據(jù)庫(kù)超級(jí)用戶必須設(shè)置密碼,系統(tǒng)管理員嚴(yán)格保管數(shù)據(jù)庫(kù)和服務(wù)器的登錄密碼。
(5) 服務(wù)器和數(shù)據(jù)庫(kù)的超級(jí)用戶密碼設(shè)置位數(shù)必須大于10位。除數(shù)據(jù)庫(kù)的超級(jí)用戶密碼和服務(wù)器密碼不定期更換,其他密碼由信息中心工程師定期更換,操作時(shí)間為每月1號(hào),并在信息總監(jiān)處以電子形式留有備份,提交備份時(shí)間為每月1號(hào)。 密碼類型 密碼長(zhǎng)度 更換時(shí)間 服務(wù)器超級(jí)用戶密碼 大于10位 兩個(gè)月更換一次 數(shù)據(jù)庫(kù)超級(jí)用戶密碼 大于10位 設(shè)置好后不做更換 系統(tǒng)管理員密碼 大于6位 一個(gè)月更換一次 ftp及防火墻等管理員密碼 大于6位 一個(gè)月更換一次
(6) 機(jī)房工作人員應(yīng)嚴(yán)格執(zhí)行密碼管理規(guī)定,對(duì)操作密碼定期更改,任何密碼不得外泄,如有因密碼外泄而造成各種損失的,由當(dāng)事人負(fù)全部責(zé)任。
2022-2-1
第10篇 煤礦安全信息閉環(huán)管理系統(tǒng)體系辦法
林場(chǎng)煤礦安全信息運(yùn)行閉環(huán)管理是全礦安全隱患管理的關(guān)鍵,其運(yùn)行質(zhì)量如何直接影響著礦井安全隱患管理水平得高低。為進(jìn)一步規(guī)范和完善我礦的安全信息運(yùn)行管理系統(tǒng),夯實(shí)我礦安全管理基礎(chǔ),提高我礦安全管理水平,保證我礦安全生產(chǎn)長(zhǎng)治久安,特制定本管理制度。
一、 運(yùn)行程序:
安全信息運(yùn)行必須遵守以下五個(gè)程序,即:檢查→填卡→篩選處理和通知→整改反饋→復(fù)查
二、 具體要求:
(一)、檢查:
1、礦屬各級(jí)安全管理、檢查人員到現(xiàn)場(chǎng)后,要對(duì)現(xiàn)場(chǎng)的安全隱患進(jìn)行全面的檢查、識(shí)別、評(píng)價(jià)。
2、對(duì)發(fā)現(xiàn)的“三違”要立即制止并按有關(guān)規(guī)定處罰。
3、對(duì)查出的、可對(duì)現(xiàn)場(chǎng)施工人員直接構(gòu)成威脅的安全隱患:
(1)、能現(xiàn)場(chǎng)處理的,必須立即采取措施組織現(xiàn)場(chǎng)人員處理解決。
(2)、不能現(xiàn)場(chǎng)處理而又不能保證現(xiàn)場(chǎng)施工安全的,必須立即責(zé)令其停止作業(yè)并匯報(bào)調(diào)度室,由調(diào)度員及時(shí)匯報(bào)礦分管領(lǐng)導(dǎo)采取措施組織處理。在隱患沒有得到解決之前,不準(zhǔn)進(jìn)入作業(yè)。
(3)、不能現(xiàn)場(chǎng)解決,暫時(shí)又不會(huì)對(duì)現(xiàn)場(chǎng)人員造成傷害的,要提出整改意見并作好準(zhǔn)確記錄,由現(xiàn)場(chǎng)負(fù)責(zé)人簽字,上井后按要求到礦安全信息中心填寫信息卡,限期解決。
(4)、對(duì)現(xiàn)場(chǎng)檢查不認(rèn)真,該查出的隱患沒查出,該制止的“三違”不制止,一經(jīng)發(fā)現(xiàn),將給予20至50元罰款。若在其檢查過的路線內(nèi)24小時(shí)內(nèi)發(fā)生事故,經(jīng)分析認(rèn)定檢查人員有責(zé)任的,將給予嚴(yán)肅處理。
(二)填卡:凡進(jìn)行安全檢查的礦屬各級(jí)干部和各類安全監(jiān)察人員,必須到礦調(diào)度室即安全信息中心平臺(tái),按照要求填寫記錄簿。填寫時(shí)要詳細(xì)填寫:
1、檢查人的單位、姓名、同行人、年、月、日、班次、詳細(xì)經(jīng)過路線。
2、所查隱患的單位、地點(diǎn)或工程名稱、隱患的具體內(nèi)容、整改意見、是否整改、接受指令人的姓名等,內(nèi)容不得少于兩條。
3、大檢查和陪同上級(jí)領(lǐng)導(dǎo)的檢查同行人員可填寫同一張卡上,正常檢查一律要求一人一卡。填寫要符合有關(guān)質(zhì)量標(biāo)準(zhǔn)化要求。對(duì)填卡不認(rèn)真,經(jīng)信息中心平臺(tái)信息員篩選不合格的填卡人將給予每條10元罰款、通知重新填卡并通報(bào)批評(píng)。
(三)篩選處理和通知:
安全信息中心平臺(tái)信息員對(duì)安全信息卡要進(jìn)行認(rèn)真篩選處理:
1、 檢查鑒定信息卡是否合格并做好標(biāo)記,對(duì)填寫不認(rèn)真、字跡潦草、內(nèi)容不清楚的不合格卡進(jìn)行處罰并通知其本人重填。
2、 對(duì)篩選出的安全隱患要登記做好臺(tái)帳,同時(shí)一式三份填寫隱患整改通知單,于當(dāng)班將通知單通知到責(zé)任單位值班人員,并按照貫徹要求讓被通知單位的人員在通知單第一聯(lián)上簽字。
3、對(duì)確需礦領(lǐng)導(dǎo)平衡處理的,另行填寫安監(jiān)人員意見書,報(bào)礦分管領(lǐng)導(dǎo),由礦領(lǐng)導(dǎo)在意見書上簽署意見后,將意見書下達(dá)到有關(guān)責(zé)任單位整改。
4、篩選出的不危機(jī)現(xiàn)場(chǎng)安全的問題,用電話通知有關(guān)單位的人員加強(qiáng)注意和改正,并在卡上記錄通知人、接收人及時(shí)間。
(四)整改和反饋:
1、責(zé)任單位值班人員接到隱患整改通知后,除由兼職信息員將隱患登記做好臺(tái)帳外,要根據(jù)整改意見采取措施,安排人員負(fù)責(zé)處理。對(duì)重要隱患,要立即交單位負(fù)責(zé)人根據(jù)整改意見,制定專門措施,安排專人負(fù)責(zé)處理。
2、在解決過程中要嚴(yán)格按章作業(yè),保證人員安全。
3、整改單位在接到整改通知單的第二天,要在現(xiàn)場(chǎng)隱患反饋單上認(rèn)真填寫:接到整改指令人、整改人、整改時(shí)間、填表人、由單位負(fù)責(zé)人簽字后,及時(shí)傳遞反饋到安全信息中心。
4、反饋單的填寫要符合所有體系貫標(biāo)的要求。
5、對(duì)不能在限期內(nèi)整改完的,要在反饋單上詳細(xì)說明原因,必要時(shí)應(yīng)有業(yè)務(wù)科室及分管礦領(lǐng)導(dǎo)簽字認(rèn)可。
6、對(duì)電話通知的問題應(yīng)詳細(xì)記錄接整改指令人、整改人、整改時(shí)間和結(jié)果。
7、對(duì)不按要求整改、簽字、將給予50元的罰款。
(五)復(fù)查
由安全科組織安全小分隊(duì)或小班安檢員進(jìn)行復(fù)查并記錄。對(duì)經(jīng)復(fù)查,發(fā)現(xiàn)有簽字已整改而現(xiàn)場(chǎng)未整改的弄虛作假現(xiàn)象,對(duì)整改負(fù)責(zé)人和單位負(fù)責(zé)人分別給予每條罰款100元,對(duì)單位每條加罰100元,并通報(bào)批評(píng)、責(zé)令立即整改,重新下達(dá)隱患整改通知單,納入新的信息運(yùn)行系統(tǒng)。
同時(shí),對(duì)電話通知,信息反饋已整改的問題,要實(shí)行抽查制度,具體每天由信息主任篩選確定安排復(fù)查。
三、 統(tǒng)計(jì)、通報(bào)、處罰:
信息主任(1)每天對(duì)信息員執(zhí)行制度的質(zhì)量情況進(jìn)行檢查,重點(diǎn)檢查是否有該通知而未通知,該下卡而未下卡的情況,一經(jīng)發(fā)現(xiàn)應(yīng)視其情節(jié)給予批評(píng)教育、罰款20--50元,督促指導(dǎo)信息員做好信息運(yùn)行工作。
(2)每周對(duì)信息運(yùn)行情況進(jìn)行統(tǒng)計(jì),形成統(tǒng)計(jì)報(bào)表。由安全科在周一安全辦公會(huì)上通報(bào)各單位隱患整改情況;對(duì)未按要求整改的責(zé)任單位和責(zé)任人給予通報(bào)批評(píng)、處罰和考核扣分。
四、信息溝通、反饋及爭(zhēng)議處理:
為及時(shí)發(fā)現(xiàn)和糾正信息的失實(shí)和不足,有效解決安全生產(chǎn)過程中存在的各類問題,消除事故隱患,消除誤解和爭(zhēng)議,消除錯(cuò)罰和誤法給安全工作帶來的負(fù)面影響,安全科將罰款通知、意見反饋及爭(zhēng)議處理過程作修改補(bǔ)充后規(guī)定如下:
1、 安全科信息中心三班信息員每班將罰款的事由和罰款金額,用電話通知道有關(guān)單位,并作好記錄。
2、信息中心每日下達(dá)一份各類問題及書面通知單,由信息員按早、中、夜三班順序?qū)⒁粋€(gè)圓班的各類問題和罰款金額,分單位填寫在書面通知單上。由區(qū)隊(duì)信息員每日上午9:00前將通知單領(lǐng)回本單位。區(qū)隊(duì)信息員在領(lǐng)取通知單時(shí),要在通知單領(lǐng)取登記簿上簽字。
3、單位值班人員和主要領(lǐng)導(dǎo)在接到書面通知單后,對(duì)存有異議的罰款,應(yīng)首先通過安全信息中心查詢檢查人員,在全面調(diào)查和了解的基礎(chǔ)上,應(yīng)及時(shí)辦好書面說明,檢查當(dāng)事人及單位主要領(lǐng)導(dǎo)簽字后由單位信息員在當(dāng)天下午17:00前,報(bào)到安全科信息中心。由安全礦長(zhǎng)安排有關(guān)科室和有關(guān)人員進(jìn)行調(diào)查分析、再次核實(shí),由安全礦長(zhǎng)根據(jù)調(diào)查結(jié)果研究相應(yīng)的處理意見。
4、有關(guān)單位接到電話通知后,值班人員要做好記錄,并安排信息員到信息中心及時(shí)領(lǐng)回通知,對(duì)有爭(zhēng)議的罰款問題,要及時(shí)調(diào)查并以書面的形式報(bào)安全科。否則,因自身原因未能及時(shí)將問題反映到安全科,造成無(wú)法調(diào)查的,后果由單位自己承擔(dān)。
5、各單位主要領(lǐng)導(dǎo)要高度重視此項(xiàng)工作,對(duì)偏聽當(dāng)事人一面之詞,不作全面詳細(xì)了解或明知當(dāng)事人有錯(cuò),不做思想工作,而把矛盾上交,放任當(dāng)事人胡攪蠻纏,擾亂正常工作的,對(duì)當(dāng)事人加倍處罰并升級(jí)考核處理,同時(shí)對(duì)其單位黨政領(lǐng)導(dǎo)給予通報(bào)批評(píng)和罰款。
五、評(píng)價(jià)與提高
安全科嚴(yán)格安全信息運(yùn)行閉合管理系統(tǒng)進(jìn)行檢查評(píng)價(jià),不斷總結(jié)、學(xué)習(xí)、創(chuàng)新、完善和提高,使安全信息閉合管理系統(tǒng)保持嚴(yán)密、科學(xué)、適用。
職工業(yè)余安全學(xué)習(xí)培訓(xùn)考試制度
為認(rèn)真貫徹執(zhí)行《安全生產(chǎn)法》,加強(qiáng)對(duì)我礦職工安全生產(chǎn)教育和培訓(xùn),提高職工安全生產(chǎn)意識(shí),保證職工具備必要的安全生產(chǎn)知識(shí),熟悉相應(yīng)的安全生產(chǎn)規(guī)章制度和安全操作規(guī)程,真正掌握安全操作技能和預(yù)防事故的實(shí)際能力,逐步向“本質(zhì)安全型”員工轉(zhuǎn)變,從而最大限度地防止和減少生產(chǎn)安全事故的發(fā)生,保障職工群眾生命和財(cái)產(chǎn)安全,促進(jìn)礦井經(jīng)濟(jì)正常發(fā)展。特制定本制度,具體如下:
礦成立業(yè)余安全學(xué)習(xí)培訓(xùn)考試領(lǐng)導(dǎo)小組:
組長(zhǎng):李建國(guó)
副組長(zhǎng):沈遠(yuǎn)東、陳萬(wàn)峰、朱學(xué)金、趙書東、王永濤、司繼江、孫立民
成員:各科室、工區(qū)負(fù)責(zé)人及各分管負(fù)責(zé)人
領(lǐng)導(dǎo)小組下設(shè)辦公室,辦公室設(shè)在安全科,孫立民任辦公室主任,具體負(fù)責(zé)制定林場(chǎng)煤礦安全學(xué)習(xí)培訓(xùn)計(jì)劃及業(yè)務(wù)考核工作。
一、 學(xué)習(xí)培訓(xùn)人員范圍:
全礦各科室、區(qū)隊(duì)的各級(jí)管理人員和職工。
二、 學(xué)習(xí)內(nèi)容:
《煤礦安全規(guī)程》、各單位對(duì)應(yīng)的《煤礦作業(yè)規(guī)程》、各工種對(duì)應(yīng)的《煤礦操作規(guī)程》、《安全生產(chǎn)法》、《林場(chǎng)煤礦崗位安全生產(chǎn)責(zé)任制》、安全管理制度、隱患識(shí)別的方法、事故案例等。
三、 學(xué)習(xí)組織的形式:
1、 各單位根據(jù)礦的需要,結(jié)合本單位實(shí)際,制定出本單位每月、每周的詳細(xì)安全學(xué)習(xí)計(jì)劃,于每月5號(hào)前書面報(bào)到安全科。
2、 利用班前班后會(huì)、周五安全活動(dòng)等時(shí)間組織業(yè)余培訓(xùn),由單位主要管理人員主持,技術(shù)人員講課。采取每日一題的形式每周不少于5題,5天學(xué)習(xí),1天復(fù)習(xí),1天考試。對(duì)部分綜合安全素質(zhì)差的職工,單位應(yīng)安排人員進(jìn)行重點(diǎn)指導(dǎo)、幫助,單位應(yīng)做好備課教案,職工要認(rèn)真做好學(xué)習(xí)記錄,以備檢查。
四、 考試形式:
(一)、單位自考:各單位在學(xué)習(xí)培訓(xùn)的基礎(chǔ)上,每周組織自考,考試應(yīng)以書面為主,對(duì)個(gè)別確實(shí)不會(huì)書寫的也可采用口頭考試形式,但必須記錄真實(shí)。單位要保存好試卷和考試成績(jī)備查。
(二)、礦抽查、考試:
1、每周由安全科牽頭,有關(guān)部門參加,根據(jù)規(guī)定進(jìn)行抽查各單位制度執(zhí)行情況。
2、每月礦安全科根據(jù)各單位報(bào)送的學(xué)習(xí)計(jì)劃內(nèi)容,組織對(duì)有關(guān)單位進(jìn)行抽查考試,重點(diǎn)對(duì)班組長(zhǎng)、安全不放心人員(素質(zhì)差、技能低、違章人員)等進(jìn)行考試,對(duì)考試不合格的,一律不得安排上崗作業(yè),由安全科書面通知其單位組織待崗培訓(xùn),直至合格方可返崗工作。
3、對(duì)各單位、各部門的管理人員采用不定期書面或口頭抽查考試的方法。
4、對(duì)各科室、區(qū)隊(duì)單位職工的考試:
(1)、井下區(qū)隊(duì)單位采用每月組織集中書面考試和井上下現(xiàn)場(chǎng)動(dòng)態(tài)口頭抽查相結(jié)合的方式。
(2)、地面單位根據(jù)各工種分類情況,由安全科具體組織書面抽查或現(xiàn)場(chǎng)口頭抽查的方式。
五、考核獎(jiǎng)罰辦法:
根據(jù)工作性質(zhì)結(jié)合專業(yè)特點(diǎn),將井上下單位分成若干類后分別比較考核獎(jiǎng)罰,具體為:
1、 每季度將各區(qū)隊(duì)單位職工的考試成績(jī)分別實(shí)行獎(jiǎng)罰制度,獎(jiǎng)罰資金平均三級(jí)落實(shí)三大員。每月公布考核兌現(xiàn)結(jié)果。
2、 對(duì)單位管理人員的考試成績(jī),以平均分為標(biāo)準(zhǔn),超獎(jiǎng)少罰,每分10元。
全礦各單位,各部門要根據(jù)礦上的統(tǒng)一安排和部署,結(jié)合本單位的實(shí)際情況,制定出詳細(xì)嚴(yán)密的年度業(yè)余安全學(xué)習(xí)培訓(xùn)計(jì)劃,充分利用班前班后會(huì)、周五安全活動(dòng)等時(shí)間,組織本單位的職工系統(tǒng)學(xué)習(xí)、培訓(xùn)考試,真正達(dá)到提高本單位職工的安全生產(chǎn)意識(shí),養(yǎng)成遵章作業(yè)、按章操作的嚴(yán)謹(jǐn)作風(fēng),掌握安全操作技能和預(yù)防事故實(shí)際能力的目的,為提高我礦全員的綜合安全素質(zhì)打下堅(jiān)實(shí)的基礎(chǔ)。
第11篇 信息安全事件管理程序范本
1 目的
為建立一個(gè)適當(dāng)?shù)男畔踩录?、薄弱點(diǎn)和故障報(bào)告、反應(yīng)與處理機(jī)制,減少信息安全事件和故障所造成的損失,采取有效的糾正與預(yù)防措施,特制定本程序。
2 范圍
本程序適用于***業(yè)務(wù)信息安全事件的管理。
3 職責(zé)
3.1 信息安全管理流程負(fù)責(zé)人
確定信息安全目標(biāo)和方針;
確定信息安全管理組織架構(gòu)、角色和職責(zé)劃分;
負(fù)責(zé)信息安全小組之間的協(xié)調(diào),內(nèi)部和外部的溝通;
負(fù)責(zé)信息安全評(píng)審的相關(guān)事宜;
3.2 信息安全日常管理員
負(fù)責(zé)制定組織中的安全策略;
組織安全管理技術(shù)責(zé)任人進(jìn)行風(fēng)險(xiǎn)評(píng)估;
組織安全管理技術(shù)責(zé)任人制定信息安全改進(jìn)建議和控制措施;
編寫風(fēng)險(xiǎn)改進(jìn)計(jì)劃;
3.3 信息安全管理技術(shù)責(zé)任人
負(fù)責(zé)信息安全日常監(jiān)控;
信息安全風(fēng)險(xiǎn)評(píng)估;
確定信息安全控制措施;
響應(yīng)并處理安全事件。
4 工作程序
4.1 信息安全事件定義與分類
信息安全事件是指信息設(shè)備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接影響(后果)的。
造成下列影響(后果)之一的,均為一般信息安全事件。
a) ***秘密泄露;
b) 導(dǎo)致業(yè)務(wù)中斷兩小時(shí)以上;
c) 造成信息資產(chǎn)損失的火災(zāi);
d) 損失在一萬(wàn)元人民幣(含)以上的故障/事件。
造成下列影響(后果)之一的,屬于重大信息安全事件。
a) 組織機(jī)密泄露;
b) 導(dǎo)致業(yè)務(wù)中斷十小時(shí)以上;
c) 造成機(jī)房設(shè)備毀滅的火災(zāi);
d) 損失在十萬(wàn)元人民幣(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理負(fù)責(zé)人組織相關(guān)的運(yùn)維技術(shù)人員根據(jù)***對(duì)信息安全的要求,確認(rèn)代碼管理相關(guān)信息系統(tǒng)的安全需求;
對(duì)代碼管理相關(guān)信息系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,預(yù)測(cè)風(fēng)險(xiǎn)類型、風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)級(jí)別、潛在的業(yè)務(wù)影響,形成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告;
由信息安全日常管理員組織相關(guān)技術(shù)人員根據(jù)對(duì)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果以及服務(wù)級(jí)別協(xié)議的安全需求,提出現(xiàn)階段的安全改進(jìn)建議,并提交至信息安全管理負(fù)責(zé)人進(jìn)行評(píng)估;若同意執(zhí)行安全改進(jìn)建議,則在變更管理的控制下實(shí)施安全建議;
信息安全日常管理員根據(jù)安全改進(jìn)之后的信息系統(tǒng)安全現(xiàn)狀提出具體的安全控制措施,形成風(fēng)險(xiǎn)處置計(jì)劃;
根據(jù)風(fēng)險(xiǎn)處置計(jì)劃,實(shí)施信息安全控制措施,盡可能的降低信息和業(yè)務(wù)風(fēng)險(xiǎn);
監(jiān)視信息系統(tǒng)的活動(dòng)并識(shí)別反常的活動(dòng)和安全事件,并記錄下來,做初步的響應(yīng)和處理;評(píng)估安全漏洞和不符合安全要求的任何情況,并采取必要的糾正措施;
對(duì)發(fā)現(xiàn)的或已發(fā)生的信息安全事件,按照信息安全事件響應(yīng)程序進(jìn)行處理;
每年一次或在發(fā)生重大信息安全事件時(shí)進(jìn)行信息安全評(píng)審,分析信息安全事件的顯現(xiàn)趨勢(shì)、信息安全管理的改進(jìn)等信息,并形成風(fēng)險(xiǎn)改進(jìn)計(jì)劃,持續(xù)改進(jìn)信息系統(tǒng)安全。
4.3 信息安全事件事后處理措施
對(duì)于一般信息安全事件,在故障排除或采取必要措施后,相關(guān)信息安全管理職能部門會(huì)同事件責(zé)任部門,對(duì)事件的原因、類型、損失、責(zé)任進(jìn)行鑒定,形成《信息安全事件報(bào)告》,報(bào)信息安全管理者代表批準(zhǔn);對(duì)于重大信息安全事件的處理意見還應(yīng)上報(bào)信息安全管理委員會(huì)討論通過。
對(duì)于違反組織信息安全方針、程序安全規(guī)章所造成的信息安全事件責(zé)任者依據(jù)以下措施予以懲戒。
處罰方式:
一般安全事故,根據(jù)所造成的經(jīng)濟(jì)損失,由***辦公室通過郵件發(fā)出正式嚴(yán)重警告。
一年內(nèi)累計(jì)出現(xiàn)三次或三次以上的一般安全事故,報(bào)***領(lǐng)導(dǎo)批準(zhǔn)后進(jìn)行相應(yīng)懲罰,并在***進(jìn)行通報(bào)批評(píng)。
造成重大安全事故的,***有權(quán)將責(zé)任人調(diào)離原工作崗并給予相應(yīng)懲罰。
一年內(nèi)累計(jì)出現(xiàn)二次或二次以上的重大安全事故,***有權(quán)解除勞動(dòng)合同并依法追究法律責(zé)任。
如果屬于故意行為導(dǎo)致信息安全事故,***有權(quán)解除勞動(dòng)合同并依法追究法律責(zé)任。
對(duì)于信息安全事故責(zé)任人的處理結(jié)果由處理部門在***范圍內(nèi)予以通報(bào)。
負(fù)有信息安全事故處罰的各職能部門在確定實(shí)施處罰后,***室與被處罰部門溝通,確認(rèn)責(zé)任者及處罰方式并上報(bào)***領(lǐng)導(dǎo)。
信息安全管理職能部門要求事件責(zé)任部門制定糾正措施并實(shí)施,實(shí)施結(jié)果記錄在《信息安全事件報(bào)告》。
由信息安全管理職能部門對(duì)實(shí)施情況進(jìn)行跟蹤驗(yàn)證,驗(yàn)證結(jié)果記入《信息安全事件報(bào)告》。
4.4 報(bào)告信息安全薄弱點(diǎn)與預(yù)防措施
***與信息安全管理有關(guān)的所有員工發(fā)現(xiàn)信息安全薄弱點(diǎn)或潛在威脅均應(yīng)履行報(bào)告義務(wù)。
對(duì)以下行為應(yīng)給予獎(jiǎng)勵(lì):
及時(shí)發(fā)現(xiàn)非責(zé)任區(qū)信息安全隱患,該隱患足以導(dǎo)致信息安全事故的;
及時(shí)發(fā)現(xiàn)非責(zé)任區(qū)信息安全重大隱患,該隱患足以導(dǎo)致信息安全重大事故的;
及時(shí)發(fā)現(xiàn)并制止系統(tǒng)操作問題以避免設(shè)備重大損失或人員死亡的;
及時(shí)制止或報(bào)告泄露商業(yè)機(jī)密的事件以避免***重大經(jīng)濟(jì)損失或及時(shí)中止正在進(jìn)行中的商業(yè)泄密行為的;
在信息安全事故中采取積極有效措施,降低損失的程度。
獎(jiǎng)勵(lì)方式如下:
根據(jù)防止一般安全事故發(fā)生、一年內(nèi)防止一般安全事故發(fā)生三次或三次以上、防止造成重大安全事故、及時(shí)中止正在進(jìn)行中的商業(yè)泄密行為、提出信息安全合理化建議等級(jí)別,報(bào)請(qǐng)***批準(zhǔn)后,給予相應(yīng)表?yè)P(yáng)或獎(jiǎng)勵(lì),并作為年底工作考核依據(jù)。
發(fā)現(xiàn)信息安全事故、薄弱點(diǎn)與故障的員工填寫《一般信息安全事件/薄弱點(diǎn)報(bào)告》,相關(guān)的代碼管理中心及信息安全實(shí)驗(yàn)室進(jìn)行調(diào)查后,確定是否采取預(yù)防措施,確認(rèn)責(zé)任部門并實(shí)施。
5 相關(guān)文件
6 相關(guān)記錄
第12篇 信息化安全管理
信息化安全管理包括機(jī)房管理和服務(wù)器管理兩部分。機(jī)房、服務(wù)器的日常維護(hù)、操作都應(yīng)有專門的信息管理人員負(fù)責(zé),未經(jīng)信息部門許可其他人員不得對(duì)隨意進(jìn)出機(jī)房、操作服務(wù)器。機(jī)房管理人員負(fù)責(zé)機(jī)房的日常檢修、事故排查;
服務(wù)器管理員負(fù)責(zé)服務(wù)器的安裝調(diào)試、例行維護(hù)、日常檢查等工作。
炎炎夏日,尤其注意機(jī)房?jī)?nèi)線路排查,做好防火工作,服務(wù)器數(shù)據(jù)備份和系統(tǒng)備份。
一、機(jī)房安全管理
1.1 機(jī)房嚴(yán)格執(zhí)行門禁制度,未經(jīng)信息部門允許,任何人不得擅自進(jìn)入;
1.2 機(jī)房?jī)?nèi)禁止堆放雜物,保證設(shè)備和辦公桌面清潔、衛(wèi)生、整齊;
1.3 機(jī)房?jī)?nèi)禁止存放易燃易爆品;設(shè)備設(shè)施周圍及上方不得堆放物品,特別是液體物品;
1.4 機(jī)房?jī)?nèi)電氣設(shè)備、供電線路必須由專職電工按規(guī)范安裝;
1.5 機(jī)房?jī)?nèi)禁止亂拉臨時(shí)電源線;
1.6 機(jī)房?jī)?nèi)的各類保險(xiǎn)絲必須使用符合規(guī)定的保險(xiǎn)絲,嚴(yán)禁使用銅、鐵、鋁線代替;
1.7 長(zhǎng)期使用的電器設(shè)備應(yīng)對(duì)其發(fā)熱情況進(jìn)行檢查,避免發(fā)生火災(zāi);
1.8 嚴(yán)格明火管理。明火作業(yè)必須有相關(guān)部門批準(zhǔn)、核發(fā)“動(dòng)火證”后方可施做;
1.9 規(guī)范配備滅火器材,定期進(jìn)行消防報(bào)警設(shè)施試驗(yàn),嚴(yán)禁使用其他物品將煙感包裹,禁止吸煙;
1.10 禁止攜帶食品進(jìn)入機(jī)房,并定期滅鼠;
1.11 機(jī)房?jī)?nèi)溫度和濕度嚴(yán)格控制在:溫度:18-25℃,相對(duì)濕度:60%—80%;
1.12 機(jī)房值班人員要堅(jiān)守崗位,早進(jìn)入、晚離開時(shí)要檢查設(shè)備情況,上班時(shí)密切監(jiān)視網(wǎng)絡(luò)的工作情況,防止黑客襲擊,做好每天的數(shù)據(jù)備份,不得無(wú)故脫離崗位。下班時(shí),要做好交接班記錄,要對(duì)所有計(jì)算機(jī)的電源進(jìn)行細(xì)致的檢查,該關(guān)的要切斷電源,離開時(shí)察看燈、門、窗、鎖是否關(guān)閉好。雙休日、節(jié)假日,要有專人值班,檢查網(wǎng)絡(luò)運(yùn)行情況,如發(fā)現(xiàn)問題應(yīng)及時(shí)解決,并做好記錄處理,解決不了的要及時(shí)報(bào)告;
1.13 不得隨意合閘拉閘,不得同意不得擅自對(duì)程控交換機(jī)、核心交換機(jī)、路由器、服務(wù)器等設(shè)備設(shè)施進(jìn)行停、斷電;
1.14 員工負(fù)責(zé)設(shè)備設(shè)施性能測(cè)試,及時(shí)排除故障,下班前必須做全面檢查,不留安全隱患;
1.15 機(jī)房?jī)?nèi)所有設(shè)備設(shè)施維護(hù)工作必須在計(jì)劃內(nèi)完成;計(jì)劃外操作必須得到同意;
1.16 不得利用職務(wù)之便撥打與工作無(wú)關(guān)的外線電話;
1.17 未經(jīng)批準(zhǔn),不得擅自關(guān)閉、重啟各系統(tǒng)服務(wù)器、接口機(jī);
1.18 未經(jīng)批準(zhǔn),不得隨意開關(guān)外線;
1.19 如遇緊急情況和突發(fā)事件必須在第一時(shí)間內(nèi)通知主管人員;
二、服務(wù)器安全管理
1.1? 物理環(huán)境要求
1.1.1? 服務(wù)器須放置在機(jī)房或具備服務(wù)器運(yùn)行相關(guān)條件的空間內(nèi)。
1.1.2? 系統(tǒng)管理員應(yīng)在每季度末對(duì)服務(wù)器進(jìn)行一次硬件檢測(cè)和除塵工作,并填寫《服務(wù)器硬件檢測(cè)記錄單》(附錄a)。
1.2? 軟件環(huán)境要求
1.2.1? 無(wú)特殊情況,服務(wù)器要關(guān)閉網(wǎng)絡(luò)文件與打印服務(wù)、qos、終端服務(wù)、授權(quán)服務(wù)、site server ils服務(wù)、消息隊(duì)列服務(wù)(msmq)、遠(yuǎn)程存儲(chǔ)、證書服務(wù)等其他暫時(shí)不用的服務(wù)。
1.2.2? 服務(wù)器操作系統(tǒng)需設(shè)置安全策略,策略設(shè)定后要進(jìn)行有效性檢查,確保有效執(zhí)行。
1.2.3? 服務(wù)器應(yīng)禁用匿名/默認(rèn)賬戶或嚴(yán)格限制訪問權(quán)限。
1.2.4? 為了保證該服務(wù)器的運(yùn)行效能和安全,除了安裝解壓縮、殺毒軟件等必要的應(yīng)用軟件外,一般不安裝其他非必要的軟件,包括office等。
1.2.5? 服務(wù)器上至少要設(shè)置兩個(gè)以上(含兩個(gè))的邏輯卷。
1.2.6? 服務(wù)器嚴(yán)禁安裝游戲、聊天工具等與系統(tǒng)運(yùn)行無(wú)關(guān)的程序及文件。
1.3? 服務(wù)器開關(guān)機(jī)
1.3.1? 各單位系統(tǒng)管理員負(fù)責(zé)服務(wù)器的開關(guān)機(jī)操作,操作完成后填寫《服務(wù)器開關(guān)機(jī)記錄表》(附錄b)。
1.3.2? 除安裝調(diào)試或者例行維護(hù)外,服務(wù)器不得頻繁開關(guān)機(jī)。服務(wù)器維護(hù)應(yīng)安排在非工作時(shí)間段進(jìn)行。
1.3.3? 服務(wù)器在出現(xiàn)嚴(yán)重故障非重起不能解決時(shí),系統(tǒng)管理員應(yīng)及時(shí)通知服務(wù)器用戶,在用戶保存完正在操作的數(shù)據(jù)后方可中斷數(shù)據(jù)庫(kù)連接并進(jìn)行重起操作。
1.4? 日志管理
1.4.1? 系統(tǒng)管理員應(yīng)在每周末檢查服務(wù)器的“事務(wù)日志”,發(fā)現(xiàn)有“嚴(yán)重錯(cuò)誤”的,必須立即檢查并排除故障,服務(wù)器所有日志在得到“事務(wù)已經(jīng)滿”提示的情況下,必須立即備份到制定目錄下,事務(wù)日志備份完畢應(yīng)立即清空。
1.4.2? 服務(wù)器日志至少保留半年,只允許授權(quán)用戶訪問,且不能進(jìn)行修改。
1.5? 磁盤檢查
1.5.1? 系統(tǒng)管理員應(yīng)在每周末檢查服務(wù)器的磁盤情況,如果發(fā)現(xiàn)磁盤的使用容量超過70%以上時(shí),應(yīng)及時(shí)刪除不必要的文件騰出磁盤空間,必要時(shí)申購(gòu)新的磁盤。
1.5.2? 服務(wù)器外出維修時(shí)系統(tǒng)管理員必須刪除磁盤數(shù)據(jù)。
1.5.3? 系統(tǒng)管理員在每月末對(duì)服務(wù)器進(jìn)行磁盤碎片整理工作。
1.6? 病毒和補(bǔ)丁管理
1.6.1? 為保障服務(wù)器性能,工作時(shí)間段內(nèi)一般不進(jìn)行查殺病毒和安裝補(bǔ)丁的操作。
1.6.2? 每日22:00設(shè)置服務(wù)器自行查殺病毒。
1.6.3? 服務(wù)器殺毒軟件的病毒庫(kù)應(yīng)設(shè)置為自動(dòng)更新。
1.6.4? 在得知有重大病毒流行時(shí)應(yīng)立即確認(rèn)病毒庫(kù)是否為最新且是否有效防護(hù),如果病毒庫(kù)不能有效防護(hù)應(yīng)下載相關(guān)專殺工具或進(jìn)行相關(guān)技術(shù)處理。
1.6.5? 系統(tǒng)管理員應(yīng)在每月末登陸操作系統(tǒng)廠商網(wǎng)站查看是否有最新的更新通知,在得知有最新的安全漏洞時(shí),應(yīng)下載經(jīng)測(cè)試后在非工作時(shí)間段內(nèi)安裝補(bǔ)丁。對(duì)于重大的安全漏洞應(yīng)第一時(shí)間進(jìn)行更新。
1.7? 故障管理
1.7.1? 服務(wù)器的故障包括:軟件故障,硬件故障,入侵與攻擊,其他不可預(yù)料的未知故障等。應(yīng)建立服務(wù)器故障記錄,當(dāng)出現(xiàn)服務(wù)器故障,系統(tǒng)管理員對(duì)故障現(xiàn)象及解決過程進(jìn)行詳細(xì)記錄,填寫《服務(wù)器故障處理記錄單》(附錄c)
1.7.2? 當(dāng)服務(wù)器出現(xiàn)硬件故障時(shí),系統(tǒng)管理員應(yīng)立即通知服務(wù)器廠商,并督促和配合廠商工作人員盡快維修或更換相關(guān)配件。
1.7.3? 對(duì)于不能盡快處理的故障,系統(tǒng)管理員應(yīng)立即通過電話通知上級(jí)主管領(lǐng)導(dǎo),并保護(hù)好故障現(xiàn)場(chǎng)。
1.8? 相關(guān)記錄文檔
1.8.1? 《服務(wù)器硬件檢測(cè)記錄單》????????????????????? 保存期3年
1.8.2? 《服務(wù)器開關(guān)記錄表》???????????????????????????? 保存期3年
1.8.3? 《服務(wù)器故障處理記錄單》???????????????????????? 保存期3年