首页 > 文章中心 > 信息安全等级保护条例

信息安全等级保护条例

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全等级保护条例范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

信息安全等级保护条例

信息安全等级保护条例范文第1篇

清晰明了等级保护制度

毕马宁认为要开展信息安全等级保护工作,首先应该弄明白什么是等级保护,“等级保护是我们国家以法律形式固定下来的一个关于国家信息安全保障体系建设和保护关键基础设施的基本国家制度”,而信息安全等级保护制度的法律依据则是1994年国务院的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。

其次,还应该明白信息安全等级保护的等级概念。“等级保护简单地说,等级是手段,目的是保护”,而等级的划分是根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。毕马宁强调:“信息系统的重要程度不是由系统的技术性所决定,而是由这个系统的社会属性所决定的。”比如,同样是财务系统,银行的财务系统与某小型企事业单位的财务系统所承载的应用对社会秩序、国家安全的影响是不一样的,一旦遭到破坏,银行财务系统对社会秩序和国家安全的负面影响更重大。“所以,原卫生部才会要求全国的三级甲等医院的核心系统通过第三级测评。”他说。

一体之两翼

其实信息安全等级保护并非我国独创,而是借鉴国际已有的信息安全风险管理理论和方法,并结合我国信息安全管理的特色,制定的具有中国特色的信息安全等级保护制度。现阶段整个人民生活、社会运行,包括政府的运行,都跟信息化密不可分。信息化已经从原来的辅助作用变成支撑作用,成为机构、企业发展,获得价值或者改善自身生存,为社会做贡献的一个利器、一个支撑平台。“正如所说的,一个国家的发展,一个民族的发展,需要‘一体两翼’,‘一体’是发展;‘两翼’,则是信息化和信息安全保障。想要发展就缺一不可。”毕马宁说,“等级保护制度是对信息系统做风险控制,是一种国家风险管理行为。可以说等级保护制度就是国家风险管控手段。它虽然不能完全保证信息系统不出事,但起码能够保证信息系统少出事,或者是风险可控的,而且一旦出了事我们知道如何去应对。”

等级测评工作的目的和意义

等级保护是要通过定级、备案、建设整改来提升信息系统安全防护能力,安全建设整改工作完成后,如何检验效果?这就是等级测评工作的目的和意义。等级测评是检测评估信息系统安全保护状况是否达到相应等级能力要求的过程,是落实信息安全等级保护制度的重要环节。

毕马宁认为,“等级测评是等级保护工作推进过程中的一项能力技术判断活动,它是一个必备的环节。”他还建议:“不要把等级测评工作当作是考试,应该是把等级保护工作重点放在准确定级、建设整改上,逐步提升信息系统的安全防护能力,通过等级测评来发现自己的问题,再明确下一步的方向,这是最关键的。”

等级测评工作也可以在定级备案之后,安全建设或整改之前开展,因为“公安机关赋予了等级测评机构提供咨询的权利和义务,可以站在用户的角度帮他们做咨询服务”,毕马宁解释:“作为评估中心,我们不仅要发现问题,还要跟用户共同商量解决问题,这也是服务型政府的一个特点。”

对医疗卫生行业信息安全等级保护工作的建议

信息安全等级保护条例范文第2篇

信息安全作为国家安全的重要组成部分,是一项关系全局的战略任务,具有极端的重要性、紧迫性、长期性和复杂性。可以说,目前我国信息安全产业是通过等级保护、可信计算和产业化发展相互结合,实现网络虚拟世界秩序的安全和可信。

产业化成为重点

中国的信息安全产业仅有二十多年历史,快速发展也只是近十年的事,尚存诸多不足。在互联网应用与普及方面,我国已经进入了世界大国的行列,因此我国的信息安全问题与国际上的问题基本一样。

中国工程院院士方滨兴认为,我国在网络安全方面的解决策略是政府重在行动,企业重在引导,公众重在宣传。就是说,凡是政府信息系统,必须接受信息系统安全等级保护条例的约束,以行政的手段来强化信息系统的安全。凡是企业的系统,通过对信息安全产品的市场准入制度,以保证企业所采用的信息安全防护手段符合国家的引导思路。公众方面则通过对网络安全方面的广泛宣传,让公众对网络安全具有正确的认识,从而提高相应的防范能力。

据悉,教育部、公安部、工业和信息化部、国家标准化管理委员会等单位已经将“为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化”作为2009年信息安全重点工作。其中涉及到四个方面:

1.重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化。

2.重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化。

3.重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化。

4.重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。

技术成果的产业化过程应当是一个市场化、社会化的过程。将核心技术产品产业化地发展,推动产业结构升级,是提升核心技术发展的破局之举。

可信计算成为标尺

虽然我国的信息化技术同国际先进技术相比,存在一定的差距。但是,中国和国际上其他组织几乎是同步在进行可信计算平台的研究和部署工作。其中,部署可信计算体系中,密码技术是最重要的核心技术。

绝对的信息安全是不存在的,但信息安全却存在着一种终极的理想状态,那就是:进不去、看不见、拿不走和赖不掉。总结起来,这12字方针的目标就是可信计算。

中国可信计算工作组组长、中科院软件所副总工程师冯登国介绍,可信计算的基础是在每个终端平台上植入一个信任根,让PC从BIOS到操作系统内核层,再到应用层,均构建信任关系,由此建立一个能在网络上广泛传递的信任链。这样,人们将梦想进入一个计算免疫的时代――终端被攻击时可以实现自我保护、自我管理和自我恢复。

可以说,可信计算根就像是一把丈量计算机可信度的标尺。它会在启动之初对计算机系统上所有的运行软件进行可信性(完整性)分析,由此判定它们是否被非授权篡改。若判定不可信则阻止该软件运行,并自动恢复其合法的版本。所以,计算机一旦嵌入了该技术,即可在启动操作系统时发现内核已改,并根据用户需求进行阻止和恢复。

中国可信计算工作组发言人刘晓宇说,随着《可信计算密码支撑平台功能与接口规范》等一系列国家政策的出台与推动,以可信密码模块为TCM核心的PC、笔记本电脑、服务器、加密机等系列产品和解决方案,将逐步被我国政府/军队、制造、金融、企业/科研、公共机构、航天等行业在IT领域广泛采用。

刘晓宇说,我国自主研发的可信技术从芯片到PC硬件到系统/应用软件以及CA认证,早已形成了一条初具规模的完整产业链。

冯登国表示:“2009年将是中国可信计算蓬勃发展的一年,为打造更为强大的可信计算体系,中国可信计算工作组将优化和完善TCM硬件平台,还将致力于打通产、学、研之间的一切壁垒,促进业内同行实质性的合作交流。”

等级保护推力强劲

信息安全等级保护,是这几年听到最多的词之一。从1994年国务院147号令至今,已经过去了15年。这些年间我国在信息安全领域已经制定了数十个国家标准和行业标准,初步形成了信息安全等级保护标准体系。

方滨兴说,目前,政府在信息系统等级保护方面加大了推进力度,已经完成了等级保护的定级工作,接下来的工作就是采取有效措施来实施信息系统的安全等级保护技术。等级保护的大力推动,一方面在国际上展示了我国政府对信息安全和网络安全的管理决心;另一方面,等级管理制度的建立,突破了我国惯性思维的管理理念。

随着工业和信息化部的成立,公安部与工业和信息化部在信息系统等级保护管理方面出现了职能交叉,因此,等级保护工作的进一步开展将取决于两个部委的有效协调和合作。

2003年,国家出台《国家信息化领导小组关于加强信息安全保障工作的意见》(简称“27号文件”),明确要求我国信息安全保障工作实行等级保护制度,2007年出台《信息安全等级保护管理办法》(简称“43号文件”)。随着两项标志性文件的下发,2007年被称为等级保护的启动元年;由于要对现有信息安全系统进行加固,大量产品和服务采购开始,2008年被普遍视为等级保护采购元年;更有业内人士说,2009年等级保护的好戏才真正上演。

“当前的信息与网络安全研究,处在忙于封堵现有信息系统安全漏洞的阶段。”公安部网络安全保卫局处长郭启全认为,“要彻底解决这些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系,并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。”

“事实上,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实。建立一个完整的内网安全体系,是信息系统在安全等级保护工作中的一个重点。”郭启全说。

信息安全等级保护条例范文第3篇

工控系统信息安全事关国家命脉,先前人们较少提及,而在近期突然成为一个新的关注点。2010~2012年间,伊朗、叙利亚等中东国家的计算机网络先后出现了“震网”、“火焰”等病毒,能够对与石油工业相关的计算机实施监控、截取信息乃至破坏。

随着两化融合和物联网的应用普及,工控系统已经成为我国关键基础设施的重要组成部分。因此,这些工控系统一旦遭受信息安全威胁,其后果的严重性不堪设想。两化深度融合的挑战

2009年至2012年期间,工业和信息化部组织专业研究力量先后对钢铁、机床、汽车、棉纺织、家电等17个行业开展了两化融合发展水平评估工作。报告显示,随着我国工业化和信息化的深度融合以及物联网的快速发展,工业控制系统面临的信息安全问题日益严重。

越来越多的数控系统和智能设备应用到了工业现场中,它们更多的采用了开放性和透明性较强的通用协议、通用硬件和通用软件,并通过各种方式与企业内网以及互联网实现连接,使企业的生产计划、调度指令等可通过信息系统直接下达到车间、生产线,甚至具体生产装备,实现企业生产过程的管控一体化。然而,网络的互联性、开放性越是先进,其承受的恶意企图也就越多。

在2012年10月于杭州举办的全国首期“工业控制系统信息安全保障能力建设高级研修班”上,工信部信息安全协调司欧阳武副司长接受记者采访时表示,我国工控系统的安全形势非常严峻。“约80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网甚至互联网连接;此外,一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于,对于发现风险源头缺乏手段,对控制风险的技术与方法缺乏必要的研究。”

欧阳武司长认为,工控系统信息安全成为关注点主要有两个原因:一方面,随着计算机技术的发展,很多专业的系统实现了通用化,现在的工控系统开始在通用技术的基础上做专业的系统设计,这样一来,存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面,长期以来工控系统并没有因为信息安全问题发生大的事故,人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是,伊朗的“震网”事件,给了全世界一个警示,计算机病毒不仅可以感染到工控系统,而且可以对控制对象进行物质破坏。

据介绍,目前我国在工控高端设备上还在使用国外的产品,软件开发中存在逻辑冲突和错误不可避免,彻底消除信息安全漏洞是不现实的,在这种现实情况下,就必须加强管理。2011年9月29日,经国务院同意,工信部下发了《关于加强工业控制系统信息安全管理的通知》,标志着我国工业系统信息安全工作的启动。

围绕着这一文件的落实,工信部对重要工业控制系统及其应用单位、中央企业有了基本的了解,并对所有中央企业在本集团内部进行了摸底调查。接下来工信部办公厅于2012年又印发了《关于开展工业控制系统信息安全风险信息工作的通知》,对工业控制系统信息安全风险信息工作做出了安排,目前国内已经了200多个漏洞。

如何堵住漏洞?

工控系统的安全问题日益严重,确保工控系统的安全可控,已经不仅仅是单个研究机构或企业要思考的问题,更需要国家层面进行战略布局,产业界群策群力。

据中国机械工业仪器仪表综合技术经济研究所所长欧阳劲松介绍,传统IT信息安全一般要实现三个目标,即保密性、完整性和可用性,通常都将保密性放在首位,并配以必要的访问控制,以保护用户信息的安全,防止信息盗取事件的发生,完整性放在第二位,而可用性则放在最后。对于工业自动化控制系统而言,目标优先级的顺序则正好相反,工控系统信息安全首要考虑的是所有系统部件的可用性,完整性则在第二位,保密性通常都在最后考虑。

面对我国工业控制系统安全的压力,欧阳劲松表示,当下最为紧迫的任务是树立工控系统安全和防范意识、建立出台相关标准与法规、系统管理第三方认证机构,同时他认为工业控制系统信息安全问题必须在国家的推动和贯彻下才能得到切实解决。

目前在传统IT信息安全领域,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,我国已经了《信息安全等级保护管理办法》,对信息系统分等级实行安全保护。同样地,为保障工业控制系统的信息安全,更加迫切地需要有关政府部门相关法令法规,引起各行业足够的重视,并规范行业实践。

信息安全等级保护条例范文第4篇

这是怎样的一种安全工具?它的工作原理是什么?它真的能取代IDS吗?本期特组织了一组讨论NBA的专题。

为什么需要

网络行为分析

近年来,全球许多大公司都将“法规遵从”列入了自己的工作议程中,其原因在于:全球的立法机关和政府部门为了应对网络世界日益增多的各种安全威胁,都在不断与时俱进,相应出台了许多新的法规,比如美国出台了《支付卡行业数据安全标准》、《萨班斯-奥克斯利法案》和《健康保险可携性及责任性法案》等标准,中国政府出台了信息安全等级保护条例、信息系统灾难恢复指南标准,等等。这些标准与法规要求企业必须懂得数据如何得到安全的处理。企业不仅要保护网络安全、信息安全,还要通过全面的报告机制来证明自己的网络是安全的。

这些新标准的出台,证明各国政府对信息安全的重视与积极应对的态度,但遗憾的是,这些标准中并没有建议企业应该采取哪些具体的技术措施来帮助维护数据安全,这导致了各种安全技术的流行。

防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受,成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来,这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此,最近出现的一个新的技术手段――网络行为分析(NBA)工具逐渐开始流行,正是因为它结合了基于网络流的异常检测和网络性能监控,可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为,而不是检查流量是什么模样。

传统安全措施

尚存不足

在PC和互联网得到广泛使用之前,公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式,黑客和病毒编写者为了攻击系统,不得不了解每个攻击目标存在的各种安全漏洞。因此,黑客对目标的攻击往往仅局限于单独的系统,很难发动大规模的攻击。而如今,我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下,这种技术的一致性在创造了便利的同时,也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。

一些安全应用软件(如反病毒软件)往往依靠特征引擎(signature engine)来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配,那么它就会发出报警,或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效,但在识别未知威胁方面效果有限,这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现,反病毒软件厂商努力开发出合适的特征代码时,已经存在明显的时差了:不管停机还是被全面感染,用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种,这样反病毒引擎在下一次特征更新之前很难发现它们。

传统的安全产品历来侧重于保护网络边界,因此很多公司在网络边界上使用了防火墙,但遗憾的是,现实普遍的情况是,网络的核心更不安全。因此,包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议,端点安全似乎是堵住这种缺口的一种方法,但这种方法在大型网络上很不方便,因为用户往往有许多不同的应用,所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是,我们需要配置多个桌面及配置多个用户文件,所以公司需要很多端点安全策略。

很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤,但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网(WAN)等其他专用的基础架构。即便使用了内部防火墙,这些技术仍受到特征库更新频率和准确性的局限。

NBA弥补不足

而新出现的行为分析工具(NBA)则克服了这些传统安全产品的不足。但它不是取代后者,而是后者一个很好的补充。NBA技术可收集及分析网络中的数据,提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如,如果出现了一种未知蠕虫,在它还没有被传统的入侵检测/预防系统的特征识别出来之前,NBA系统则能立即识别这种蠕虫不同寻常的流量模式,这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为,并且向网络管理员发出报警。

NBA最吸引人的一项功能在于,它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外,NBA可与现有的身份管理解决方案融合在一起,把流量异常与相应的用户名称联系起来,从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求,还能够解析异常流量――一直到解析用户名称,而不是单单解析IP地址。这种机制还有可能实现双向操作,那样还可以通过解析用户名称来识别IP地址,从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力,并且加快了补救与安全相关的问题。

信息安全等级保护条例范文第5篇

文献标识码:A 文章编号:16749944(2016)08010805

1 引言

在21世纪,电力发展的福利已经深入人类生活的方方面面。在这种高科技高水平高效率的电力生产行业,对电力系统的安全管理是重中之重。电力生产企业,是一个资产设备数量大、品种多、自动化程度高、对设备的完好率及连续运转可利用率要求高的技术密集和设备密集型企业。在电力生产系统运行过程中,一旦发生故障和事故就会危及设备和人身安全,甚至会波及社会用电安全。

据调查显示2012年上半年,全国发生电力人身伤亡事故24起,死亡人数达到43人,比往年同期事故数量增加7起,死亡人数增加20人。其中,电力生产人身伤亡事故18起,死亡22人,同比事故起数增加5起,死亡人数增加6人;电力建设人身伤亡事故6起,死亡21人,同比事故起数增加2起,死亡人数增加14人。全国共发生21起电力安全事件,其中电网停电事件11起[1]。如此伤亡惨重的教训,不得不对电力行业的安全管理给予重视。

在现有电力生产行业管理方面是存在以下问题的,首先是安全生产管理信息系统孤岛现象严重[2]。不符合电力企业各部门强耦合的、严密的协同关系。其次是电力行业在信息化系统建设方面各系统间基本上没有联系。耦合度不紧密,与电力生产的整体性、连续性不符合。要想实现电力企业“集团化运作、集约化发展、精细化管理和一强三优的发展目标”还有相当一段差距。最后是电力生产系统本身就是危险源,并且存在安全隐患。设备异常情况、负荷变化、电能质量的变化都会影响电力生产系统运行。一旦某个环节发生变化,若不能及时采取相应措施,可能会造成事故发生。因此,加强和改善对电力生产行业的安全管理以及保障电力生产系统安全稳定运行已经迫在眉睫。

对电力系统安全评估的方法有很多,常用的方法是确定性的安全评估[3~7]。其原理先确定分析对象,包括事故列表、系统网络结构以及时间范围和负荷状况。然后找出先违反系统运行状况标准的事故。最后采取措施解决这些事故。虽然确定性方法很直观好用,但是存在以下不足:运行标准不统一;单纯重视最严重、最可信的事故,而对非限制性事故疏漏使评价结果过于保守;事故发生频率没有考虑;难以评价系统安全工程能力级别及其能力优化升级问题。在这种形势下,美国国家安全局、美国国防部、加拿大通信安全局以及60多家著名公司共同研发SSE-CMM模型[8-10],国内外学者也纷纷对SSE-CMM进行探讨,并提出在工程项目上的应用。李志明,丛琳等人就SSE-CMM模型进行研究探讨,将其应该在电力信息安全工程评估,提高了系统安全工程能力;蔡皖东,李伟英等人基于SSE-CMM模型[10],并将其映射、剪裁、关联在电力通信网络及信息系统安全工程评估中,有效地改革了安全管理模式,降低了安全事故的发生。刘晓杉、乔悦怿等人基于SSE-CMM模型[11,12],对银行信息系统建设的管理合理进行评估,从而加强管理模式。由此可见,SSE-CMM模型在安全工程领域具有广阔的发展前景[13]。

参考前人所得经验,文章将根据电力生产系统的特性,利用系统安全工程能力成熟度模型对电力生产系统进行映射、关联、裁剪得到电力生产系统安全工程能力成熟度模型并对电力生产系统进行安全评估。此思路特点:安全过程域和基本实践并不是照搬固有系统安全工程能力成熟度模型模板,而是根据电力生产系统组成结构来确定安全工程过程域;基本实践根据电力生产安全特性来确定;采用模糊聚类方法对通用实践进行分类,并确定通用实践。

2 电力生产系统SSE-CMM安全性评估

2.1 系统安全工程能力成熟度模型(SSE-CMM)

系统安全工程能力是指系统达到所需要达到的安全性指标的能力,对一个系统工程的过程安全能力稳定地进行改善,该系统工程也会变得“成熟”。此模型的基本思想是建立和完善一套成熟的、可度量的安全工程过程。特点是任何工程活动在这个安全工程下都是清晰定义,并且都是可管理的、可测量的、可控制的且有效的。

系统安全工程能力成熟度模型是由“过程域”和“能力”两个维数构成。过程域是为完成一个子任务所需要实施的一组工程实践,其涉及三种过程域:工程过程域、组织过程域和项目过程域。后两类过程域并不直接同系统安全相关,故不是模型的一部分。模型为每个过程域定义了一组确定的基本实践(BP),每个基本实践都是完成该子任务所不可缺少的。能力维表示的实践代表过程管理和制度化能力,称为通用实践(GP)。而通用实践是来描述每个级别的共同特性(CF),即每个级别的判定反映为一组共同特性。通用实践是应用于所有过程的活动,它们强调过程的管理、度量和制度化。用通用实践来描述共同特性的逻辑区域被划分5个能力级别(还有第0级,表示无安全工程能力,不予讨论)如图1所示。

2.2 电力生产系统安全性SSE-CMM模型构建

系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法。根据电力生产系统的安全特性,对其进行映射、关联、裁剪得到关键过程域,并拟定每个关键过程域中必不可少的基本实践项目,从而构建电力生产系统安全工程能力成熟度模型。电力生产系统安全工程过程域可以根据电力生产系统工作流程或者组成结构进行划分。通过进行全面、深入地了解,细致地调查以及相关文献资料调研来确定过程域的能力级别。根据能力级别等级,可有针对性改进其管理水平,提高能力级别,最终达到优化升级目的。

2.2.1 确定过程域与基本实践

根据电力生产系统主要组成结构特性,对电力生产系统进行映射、关联、裁剪选出关键电力生产系统安全过程域如下:PA01发电厂、PA02送电线路、PA03变电所以及PA04配电网。根据所选过程域,拟定执行该过程域必不可少的子任务,即基本实践项目。以发电厂为例,其基本实践项目如下:BP0101建立安全职责、BP0102指定的安全要求、BP0103安全配置、BP0104人员安全意识培训、BP0105安全控制机制、BP0106安全状态监视、BP0107设备安全防护及维护保养和BP0108安全应急预案及消防措施。映射与关联的对应关系如表1所示。

2.2.2 电力生产系统的能力级别与通用实践确定

能力级别反映一组共同特性,而每组共同特性可由通用实践来描述。采用拟以SSE-CMM的公共特性为基础,采用模糊聚类方法对通用实践进行分类,组成电力系统安全工程工程的公共特性。以上结合电力生产系统安全特性以及所调查的资料文献和相关考察,确定能力级别与通用实践如表2所示。能力级别的原则与匹配如表3所示。

2.2.3 评估该系统安全能力成熟度水平

根据“5个能力级别”相关属性描述,对裁剪后的过程域中的基本实践进行关联与评价,从而确定该系统安全工程过程域的能力级别。主要步骤如下:首先是确定该系统是否执行了所有的基本实践;然后根据所列举的通用实施,考察所有的基本实施是否得到良好的管理与制度化。最后通过考察结果确定该过程域的能力水平。通过熟练度水平等级,电力生产部门优先对能力级别较低的过程域采取相应措施进行改进,从而提高其安全运行与管理,以达到改进其安全级别。

3 实例分析

根据对某电力企业展开调研得到相关资料,然后对某电力行业发电厂评估其安全等级。文章根据发电厂安全特性,构建发电厂基本实践以及相关通用实践。文章前面已经例出,此处不再重复。以下是对电力生产系统发电厂中的基本实践进行评估。

3.1 BP0101建立安全职责评估

该发电厂以多年管理及运行经验已经形成比较完善的安全管理组织体系。该厂每年年初就已制定了年度安全生产目标。 各级安全负责人所担负的职责已在《安全员安全职责》中详细描述。安全生产负责人的责任划分规定已在《调度科安全生产责任制》中描述。《各科室、班组报送资料时间表》规定定期对电力生产部门专业学习和总结资料进检查。《安全生产工作规定》、《安全生产监督规定》、《安全生产奖惩规定》明确部署对各级部门、各小组、各员工以及相关安全责任人的职责并给予相关的奖励与惩罚。《人身安全责任书月度落实检查表》对安全规章制度落实以及安全决策措施执行进行描述,并按月度检查。《工作票签发人、工作许可人、工作负责人名单》规定员工职责范围。《电业安全生产规程》详细描述工作票签发人、工作负责人、工作许可人的职责。

3.2 BP0102指定安全要求评估

该电力企业执行《国家电网公司电力安全工作规程》,每月对已执行的工作票、操作票进行认真的检查、评定合格率,对不合格的工作票、操作票进行考核。每季进行一次总结分析,查找在执行工作票、操作票制度中存在的问题,并提出相应的改进措施给予记录。该厂根据《电力安全工作规程》,结合该厂实际制订《湖南省电力公司工作票、操作票制度补充规定》。为贯彻执行安全生产“三个百分之百”的要求(即人员、时间、力量三个百分之百)该厂制定了《湖南省电力公司安全生产“违章下岗”实施规定(试行)》,规范安全生产管理。此外,该企业要求员工熟悉《安全法》、《电力安全工作规程》、《农村低压电安全规程》、《农村安全用电规程》以确保安全工作顺利进行。人员作业要求规范,并有相应安全技术要求,如:国家标准GB4385-1995防静电鞋、导电鞋技术要求;国家标准GB12011-2000电绝缘鞋通用技术条件;国家标准GB17622-1998带电作业用绝缘手套通用技术条件。

3.3 BP0103安全配置评估

该电力生产系统的所有设备都运行在标准化的机房中,机房内的设备资料、运行记录以及测试、操作修改日志以及安全记录等在日常维护管理工作中被执行。该企业配置的安全帽、电绝缘橡胶板、防静电鞋、带电作业用遮蔽罩、防静电工作服等安保用品,其规格均采用国家标准(GB)。并且人员使用均需记录,每次工作前后都进行签字。

3.4 BP0104人员安全意识培训评估

该电力生产部门按照“用什么、学什么、缺什么、补什么”的原则对工作人员定期进行安全学习、培训及教育活动。并根据员工岗位实际和工作特点,来学习安全规章制度。培训内容还包括《安规》、“两票三制”、防止失误操作管理、标准化作业等方面规程制度,来提高员工遵守规程、抵制违章的自觉性。该厂每周一上午举行的“安全日活动”以讨论方式进行展开,员工可根据自己对安全工作的感想进行发言或者对某方面还需加强安全建设给予自己的建议。会议内容均被记录在《安全会议记录本》上,并由主管安全的负责人进行检查考核。此外,该企业部门每月召开安全生产工作会议,分析当前安全生产状况,部署当前及下一步的安全工作,督促各类人员抓好安全工作。同时,由相应人员进行会议记录,并交负责人检查考核。公司工作人员要熟悉行业安全法规,通常有《安全法》、《电力安全工作规程》等基本法规,定期举行学习并考试。考试内容包含时常安全常识、个人对安全工作理解等。

3.5 BP0105安全控制机制评估

机房中《设备运行记录》、《设备修改、更新记录》将所有设备操作运行更新修改情况随时记录保留。《设备运行分析报告》定期整理、统计设备在运行过程中的运行指标完成情况、系统现存问题、故障与缺陷问题。《设备配置记录》详细配有各个设备硬、软件、外围支持系统等内容,并且每台设备参数、型号、配置等都急了在《设备统计情况》文档中。

3.6 BP0106安全状态监视评估

机房中所有设备运行情况保留在《设备运行记录》中,电力调度部门每日将收集查看记录,做出相应决策处理,并定期做出《设备运行分析报告》,包活发电机在线检测管理分析,发电机出口风温差检测等。其次,根据每种设备重要程度,电力部门以周期(日、月、季)对每种电力设备进行巡视检查。检查内容包括设备所处环境温度、设备温度、压力、发电机定子绕组端部线圈的磨损、紧固情况、各设备运行状况是否正常、有否警告提示产生等。其次,电力部门定期举行安全大检查。检查内容根据“人、机、环”进行检查,其包括设备运行管理指标、技术管理、系统运行情况、人员安全培训教育工作、人员安全管理,并以安全检查表方式记录检查评估,督促整改完善改进。所有记录以电子文档和纸质文档方式进行保留,保留期限5年以上。

3.7 BP0107设备安全防护及维护保养评估

公司依据《电力法》、《电力设施保护条例》、《关于加强电力设施保护工作的通知》以及《国家电网公司电力设施保护工作管理办法(试行)》等文件要求,设立了电力设施保护工作领导小组,并建立电力设施保护工作长效机制,并制定《电力设施保护的工作到位标准和防护设施标准》。领导小组对重点部位进行巡视、设立警示指标并派专人看护与记录。每年春、秋季对电力系统进行预试检修,检修对象主要包括防误装置、防护设施警示标示、继电保护装置以及安全稳定自动装置。检修结果将记录《设备防护及维护管理》文档。电力设施保护工作领导小组负责人对文档中出现的问题及时处理更换装置并做好了相关记录。

3.8 BP0108安全应急预案及消防措施评估

公司根据《国家电网公司应急管理工作规定》以及《国家电网公司应急预案编制规范》成立以各级主要负责人为组长的应急领导小组,并针对人身安全、设备设施安全、突发事件等编制相应的综合应急预案、专项应急预案和现场应急处置预案。其次,公司定期进行培训演练,并规范应急预案的上报备案,同时定期对应急物资进行普查,需要补充、更新的物资及时进行补给并将情况记录在《应急预案》文档。此外,公司根据《电力设备典型消防规程》、《火力发电厂与变电所设计防火规范》等规定配备消防专责人员,并加强对机房监视和防控。

根据上述评估结果,最终可以确定某电力生产系统中发电厂PA01系统安全熟练度能力等级为3级,即达到“充分定义级”。因此,利用“木桶原理”原理,该电力生产管理部门应该将管理重点放置在能力等级低的基本实践,通过改进、强化和完善,提高其能力等级,从而推进其他级别的改善。