信息安全管理办法及细则
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全管理办法及细则范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全管理办法及细则范文第1篇
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
信息安全管理办法及细则范文第2篇
一、稳步实施基层医疗机构管理信息系统建设项目。顶层设计,统筹规划,按程序启动政府采购工作,组织项目实施。重点抓好省级云平台建设,为卫生计生业务应用信息系统和基层医疗卫生机构提供基础公共服务技术支撑。继续推进省、市两级人口健康信息平台建设,遵循相关数据标准和技术规范,建成一个,对接一个,逐步实现省、市两级信息平台互联互通。实行人口健康信息化建设项目备案制,出台全省人口健康信息化建设管理办法、市级人口健康信息平台建设指南、省市两级数据采集和交换标准等规范性文件,确保数据与信息平台有效对接,项目建成后能够真正实现信息资源共享与利用。
二、加快推进以电子病历为核心的医疗机构信息化建设。以优化医疗服务流程,规范医疗服务行为,方便群众看病就医为目标,推进电子病历建设和应用,建设和完善以电子病历为核心的医院信息系统,逐步实现临床服务精细化管理,提高医疗服务效率和质量。通过区域卫生信息平台逐步实现居民电子健康档案与电子病历动态融合,以居民健康卡为纽带,促进医疗机构之间的检验结果、医学影像、用药记录以及患者基本健康信息的交换、共享和业务协同。完善中医医疗机构信息化建设,突出中医药特色,提升中医医疗服务质量。
三、全面推进居民健康卡普及应用。完成省级卡管平台搭建工作并实现上下对接和数据共享。制发省级居民健康卡建设实施细则等标准规范及与金融机构合作发卡用卡指导意见,加强医疗卫生机构发卡用卡环境改造。各设区市至少明确2个以上县(市、区)试点发卡,并不断扩大试点数量和规模,年底前,力争全省发卡突破1000万张,各市试点县(市、区)发卡实现全覆盖。
四、进一步加快信息惠民工程建设。推广远程医疗建设,扩大远程医疗服务规模。整合现有已建的邯郸市、沧州市远程会诊系统资源,统一接入省级远程医疗平台。探索与第三方远程医疗服务平台对接服务模式,积极推进与京、津两地远程医疗资源整合与共享,形成覆盖京津冀的区域远程医疗平台。在全省预约诊疗服务平台基础上,加快推进“健康河北”医疗惠民移动平台建设,利用移动互联网技术,使优质医疗资源更加便捷高效地服务群众。各地结合本地实际,以需求为导向开展区域双向转诊、区域临床检验、区域体检等区域化新型医疗服务模式。
五、加快推进“金人工程”项目。按照有关程序,继续协调做好河北省全员人口统筹管理信息系统项目(“金人工程”项目)省级立项事宜。继续推广鹿泉市计划生育网上办事大厅等业务系统。
六、开展全省网络规划与升级改造工作。结合省级云中心建设进程,按照“纵向到底,横向到边”原则,规划全省卫生计生业务专用网络,统一分配网络与信息资源。制定全省网络应用管理办法,规范用网行为,努力打造一张安全、可靠、畅通、高效的人口健康信息专用网,确保数据快捷、安全交换与传输。整合委机关局域网络,强化管理。
七、不断完善网络与信息安全保障体系。加强人口健康信息平台及各业务应用系统数据安全管理,注重保护患者隐私,规范系统内部及与相关部门信息系统数据交换机制。各地要按照卫生行业重要信息系统信息安全等级保护相关要求,组织辖区内机构开展医疗卫生单位重要信息系统备案和测评工作,全省医疗卫生机构要在2015年12月30日前完成。继续规范和推广电子认证服务在全省卫生计生行业应用。强化网络安全宣传与培训,加大督导检查力度。
信息安全管理办法及细则范文第3篇
(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。
(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。
(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。
(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。
二、基层行信息科技风险管理工作面临的挑战
(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。
(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。
(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。
三、基层行信息科技风险治理展望
(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。
(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。
(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。
信息安全管理办法及细则范文第4篇
1.1不良信息威胁借助互联网便捷的信息传播功能,不健康信息可以在网络上大肆蔓延,严重污染网络环境。例如各种黄色、暴力和成人不良信息影响青少年健康成长的案例时有发生。虽然政府部门对此制定了严格的管理办法,但是依然诸多安全隐患,对青少年的成长造成了巨大的威胁。
1.2计算机病毒计算机病毒是互联网的主要敌人。病毒传播途径和方式十分多样化,例如可以通过数据下载、电子邮件、网页等方式传播和扩散,使得电脑病毒防不胜防。随着科技的不断进步,计算机病毒的传播方式也在不断发生变化,其的防范技术要求日益提高。任何信息工具和电脑配件都可能成为病毒传播和寄生对象——互联网、U盘、光盘等,传统的病毒防范技术已难以有效控制病毒的扩散和蔓延。
1.3应用系统的安全应用系统的安全涉及面很广,以目前Intemet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。对于有些特别重要的信息需要对内部进行保密的(比如学校学生成绩、学生档案、教师档案、学校财务等重要信息)可以考虑在应用级进行加密。
1.4加强网络安全管理加强管理是提高网络安全性主要手段和途径。当前,不少互联网用户安全意识较弱,违反安全管理操作行为十分普遍,随意将自己的登录账号和密码给他人使用,或者在网络上传输保密信息等,这些行为都增大的网络安全风险,稍有不慎即会造成严重的网络安全事故。网络一旦遇到恶意攻击或者其他安全威胁时,就不能进行安全评估和预警。同时,安全事故发生后,计算机也不能搜集和追踪网络黑客的攻击路径信息和数据,为开展网络安全管理造成了巨大的困难。因此,在日常工作中要对站点访问活动进行多层次的记录,提高对非法访问行为的识别度。要创新网络安全管理制度,重新评估当前网络安全形势并制定行之有效的应对措施,因此,最保险的做法是采取“制度+方案”的管理手段。
2、校园网络安全对策
2.1网络设备安全对策
首先要提高计算机网络物理安全,这是最基本的工作要求,由于这类安全措施比较常见,本文不再赘述。
2.1.1环境安全对系统所在环境的安全保护包括设备的防盗、电源保护如配制UPS电源,保证系统和设备的正常工作等等。
2.1.2媒体安全包括媒体数据的安全及媒体本身的安全。在网络的安全方面,主要考虑两个层次,一是优化网络结构,二是整个网络系统的安全。
2.2网络软件系统平台安全对策
2.2.1制订严格的管理制度用户授权实施细则、口令及帐户管理规范、权限管理制度。
2.2.2配备相应的安全设备在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一。
2.3网络中信息安全对策
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全性建设中重要的一环。具体而言,磁盘分区格式为NTFS,它的安全性比FAT32格式要好;安装完操作系统后,要打好漏洞补丁;安装好病毒防火墙,并且支持实时检测的,同时要经常升级病毒代码库;文件夹和磁盘的安全选项千万不要开完全共享,都开只读共享,可以在一定程度上防止网络病毒的人侵;不要安装来历不明的程序,防止被木马控制,不要轻易打开来历不明的电子邮件;将重要的数据经常备份,存放在安全的盘中或者是其他媒介中;对学校服务器的安全日志进行备份;经常对各种资源采取备份,最便捷的方法就是录制光盘;经常对存贮设备进行常规检查,尽可能早发现隐藏的问题。
3、结束语
信息安全管理办法及细则范文第5篇
关键词:公司;岗位人员;等级认定;安全管理
一、专业管理的目标描述
1.专业管理的理念与策略
理念:近几年随着马鞍山电网基建项目、老旧设备及综自改造工程大幅度增加、智能化设备的投入以及“三集五大”体系建设的实施,对现场作业人员及安全监督人员的安全素质要求越来越高。在这样的困境下如何能确保人身、设备、电网不发生安全事件,确保公司电网安全稳定运行,公司经研究首次推出岗位人员安全等级认定的思路,以强化员工安全意识和技能水平,把岗位安全进行分级,给人员定位,进行有针对性的培训,确保相应岗位人员具备胜任其岗位的能力,实现安全生产不留“死角”。策略:为确保工作落到实处,公司相继出台了《岗位人员安全等级认定办法和实施细则》,成立了常设机构,制定了工作推进计划。领导小组下设安全生产考试、模拟操作、认定审核三个专项工作组。成立了7个专业认定专家组,编制了3000余道复习题,安全等级认定考试每年进行两次,从组织和内容上保证活动的推进。安全认定等级分为3级,1级为第二种工作票许可人、负责人、签发人;2级为第一种工作票许可人、负责人、签发人;3级为基层工区的领导班子成员及安全管理人员、机关部室安全负责人及安全监督管理人员。对于1级和2级认定的一般员工,在原评价的基础上增加专家组认定环节,通过认定专家组的现场拷问和高一等级人员、班组长、工区、机关领导工作评价的综合考核,对通过者才能持证上岗,同时不定期对2级人员进行复评。3级认定人员为企业的中坚力量,对他们的认定内容,以国家有关法律法规、安全生产规章制度为主,认定重点是辨识工作危险点的能力和制定有效防控措施的水平。此等级的人员不仅要通过公司统一组织的安全知识考试和专家组认定,还必须通过安全生产监督部门进行的安全资格培训并取得安全资格证书后才能持证上岗。
2.专业管理的范围和目标
范围:机关部室安全生产、营销、基建安全负责人及安全监督管理人员;集体企业分管安全生产领导;基层工区安全第一负责人及安全管理人员;营销班组及生产班组人员。目标:通过建立和健全岗位人员安全等级认定的准入和评价机制,以提高公司员工的安全责任意识,规范引导员工按工作规程、安规去作业、去操作,杜绝违章,防控人身事故的发生。
3.专业管理的指标体系及目标值
(1)管理指标:①公司、工区及班组三级安全教育培训制度建立和培训记录情况;②各工区和班组针对不同专业安全生产技能培训计划和记录情况、“两票三制”执行落实情况、劳动防护用品和电气绝缘工器具正确使用和保管情况;③现场作业的安全风险辨识、分析、作业安全表现情况;④管理人员安全资格教育培训、认证考试情况;⑤定期点评和分析机制执行情况。(2)业绩指标:①不发生全口径人身重伤、死亡事故;②不发生10kV及以上电压等级的恶性误操作事故;③不发生五级及以上电网、设备、质量事件;④不发生公司负主要责任及同等责任的重大交通事故;⑤不发生有人员责任的火灾事故;⑥不发生六级及以上信息系统事件;(3)目标值:不发生因为公司、工区、班组安全生产技能教育培训不到位引起的人身、电网、设备和信息安全事件。
二、专业管理的主要做法
1.专业管理工作的流程说明
岗位人员1级认定流程:新任职员工、转岗人员在工作岗位试用满一年后,根据班组长对其一年内安全技能表现情况进行人员推荐,推荐后的人员由相应班组所在工区对其进行电业安全工作规程、两票三制、专业技能和现场模拟操作技能等内容考试,考试通过人员上报公司安监部进行审核批准,同时需提交公司专业认定专家组进行认定,认定方式为现场拷问加2级及以上人员和班组长对申报人员平时的安全表现、业务技能的综合评价,认定通过后才能持证上岗。对未通过人员进行再次教育培训考试,对2次不能通过者一年将取消1级认定资格。岗位人员2级认定流程:2级岗位人员必须由1级人员晋级而来或是平级认定,他们是公司生产一线各项现场作业的中梁砥柱,安全责任重大,所以对认定2级岗位人员自身的安全知识水平和生产业务技能要求比较高。班组首先对需要认定2级岗位的人员自行组织本岗位安全操作技能的培训和考试,对考试通过者上报所在工区。工区组织对上报人员进行工区层面侧重的现场安全生产规程的培训和考试,通过者才统一上报公司安监部,没有通过者重新进行培训教育考试。公司安监部根据各工区上报的人员统一组织公司层面安全教育培训考试,公司各专业技术骨干对笔试通过的人员再进行模拟操作考试,考试合格后经专家组进行认定,认定方式为现场拷问加3级及以上人员和工区、机关部室对申报人员平时的安全表现、业务技能的综合评价,认定通过后才能持证上岗。同时每年不定期对持有2级上岗证但现场开票数量少甚至没有的人员进行复评,对不满足要求的人员直接降级处理。对专家组认定2次不能通过的人员不予晋级或降一级处理。岗位人员3级认定流程:3级岗位人员为企业的中坚力量,必须由2级人员晋级而来或平级认定,他们承担着重要的管理任务,每年由公司安监部统一组织安全教育培训考试,主要针对安全生产法律、法规、规定等安全生产方针政策,企业安全规章制度以及企业安全监督管理内容进行考试,考试通过后同样需要由专家组进行认定。同时为了提升我公司安全生产管理人员岗位适应能力,达到电网企业安全生产标准化规范及达标评级标准的要求,每年认定通过人员还需要参加地方安全生产监督部门组织的安全生产知识和管理能力培训,并经安全资格考试合格后才能持证上岗。对两次不能通过者,年度绩效考核直接记入C档。
2.确保流程正常运行的人力资源保证
设领导小组“组长:总经理;副组长:分管生产、基建、营销副总经理”。设工作办公室“主任:安监部负责人;副主任:人资部负责人;成员:各专业部门安全管理人员”。
3.保证流程正常运行的绩效考核与控制
主要依照《安全生产风险抵押金考核办法》和《月度绩效考核管理办法》对岗位人员进行评价考核。将各岗位人员现场作业安全表现、工作质量的综合评价结果,纳入安全工作绩效考核和企业负责人年度业绩考核范围。
三、评估与改进
1.专业管理的评估方法
纳入评先评优:按照公司相关考核办法,对各级人员和部门在工作中有突出表现、发现或消除重大隐患、风险防范得当、安全工作开展得力并无违章记录、不发生各类安全事件等作为公司各类评先评优的依据。以奖励提高晋级积极性:为了鼓励现场人员层层晋级,公司对各认定等级人员实施奖金系数差异化、安全生产风险奖励差异化以及工作票执行数量质量差异化进行奖励,不同人不同等级、不同等级不同薪酬,通过薪酬激励措施大大提高了人员晋级的积极性。严格优胜劣汰:对认定人员安全表现差、工作质量不高的人员实施降级淘汰制。
2.专业管理存在的问题
(1)认定的相关规章制度虽然已出台,但还需进一步完善准入和认定的实施细则并严肃执行。(2)由于公司实训基地还未建立,所以在执行现场模拟操作的环节还不能充分体现各岗位的工作特性,不能充分体现岗位人员的安全业务技能水平。(3)目前实施的岗位人员安全等级的认定范围比较小,只覆盖了生产类层面,其它非生产类如交通运输、物业管理等公司涉及的各个领域的安全管理工作都需要进行人员安全等级认定。
3.今后的改进方向或对策
(1)进一步完善岗位人员安全等级准入和认定实施细则,严格按照实施细则进行人员安全等级认定,对多次不能考核通过的人员给予待岗处理。(2)建立岗位人员认定智能管理系统,将所有认定人员的考试、考核积分、工作评价录入数据库,建立档案,让每一名员工都可以登录系统,查看自己的成绩,做到公开透明。(3)扩大公司岗位人员安全等级认定的范围,逐步实现对非生产类专业的安全等级认定工作。(4)针对不同专业提炼现场作业风险辨识和防范措施的技巧,以提高生产作业人员安全风险意识和风险辨识能力,从生产作业的源头进行风险辨识和预控,以达到主动认识风险,主动去防范风险的目的。从而进一步提高公司安全管理水平。
参考文献
[1]钱家庆.供电企业生产安全管理实务手册[M].中国电力出版社,2012.
[2]游建川.供电企业作业现场安全风险辨识和控制手册[M].水利水电出版社,2008.
