变更安全管理制度
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇变更安全管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
变更安全管理制度范文第1篇
【关键词】计算机网络安全;防护策略;维护思路;安全管理工作
在信息时代及计算机技术广泛应用的当下,很多企业都注重信息化建设,石油企业同样如此。石油企业信息化建设经过多年发展取得了显著成绩,但是网络安全问题一种困扰着企业,特别是目前网络攻击手段日渐多样化,隐蔽性很高,成为影响企业网络安全运行的关键因素。为此,石油企业应根据自身业务经营与发展需要加强计算机网络安全管理,针对当前网络安全管理中的问题制定可行的维护方案,采取针对性的措施,为企业计算机网络安全运行提供基本保障。
一、石油企业计算机网络安全管理中的不足
随着计算机技术及互联网的普遍应用,网络安全已经得到改进,但是在多种因素共同影响下,石油企业计算机网络安全管理依然出现问题,主要为网络安全管理力度不足,具体体现在结构本身、系统设备及信息上。石油企业的业务范围较广,内网系统结构越来越复杂,造成系统本身存在一些漏洞。如果这些漏洞不能及时补丁,很容易成为网络攻击的主要对象,造成木马、病毒等恶意插件在内网中传播,降低石油企业计算机网络安全性能。此外,石油企业对计算机网络安全管理缺乏足够重视,没有制定完善的信息安全管理制度,岗位分工不明确等,使网路安全管理不够制度化、规范化。而且,石油企业办公环境相对恶劣一些,在温度、湿度等条件不适宜情况下工作很容易降低系统设备的性能,造成设备损坏、系统内部信息丢失、篡改等问题。
石油企业为方便工作往来,往往允许员工上网,网络上不安全的信息极容易影响企业内网,降低信息传输速度,影响系统性能,为网络安全带来严重的隐患。针对这些,必须站在企业战略目标高度上明确维护思路,编制可行、有效的维护方案,促进石油企业计算机网络安全管理工作水平的提高。
二、石油企业计算机网络方案维护思路与具体方案
(一)维护思路
由于石油企业计算机网络安全管理缺乏健全的管理制度,相关人员素质普遍不高,且系统存在漏洞,易受网络攻击,计算机等身背性能受工作环境影响大,严重降低了计算机网络安全性能。对此,一方面要完善计算机网络安全管理制度,制定系统设备维护制度,加强计算机系统安全管理,另一方面要采取网络安全防护技术,如防火墙技术、漏洞扫描技术、数字加密技术等,保护计算机系统信息安全,防止被恶意篡改与删除。通过以上两个方面,双管齐下、多策略的进行石油企业计算机网络安全管理,把网络安全管理上升到战略目标实现的高度上,纳入石油企业日常工作范围之内,使网路安全管理满足石油企业日常工作和业务往来需要。
(二)具体方案
1、完善计算机网络安全管理制度和网络设备维护检修制度
计算机网络安全管理及维护工作是由信息部门员工负责的,若没有完善的管理制度,就难以用制度对人员进行约束,造成相关管理、维护工作落实不到位。所以,石油企业应完善计算机网络安全管理制度和网络设备维护检修制度,为有关人员的管理、维护工作提供准则,约束并规范其工作行为。同时,不允许计算机使用者浏览要求以来的网页,擅自安装一些网络程序,规范计算机使用。如发现员工做出违反计算机网络安全管理制度的行为,要给予严厉处罚。此外,要求管理人员定期检查计算机设备性能,定期清理设备,根据使用者反馈立即检修设备,使设备始终保持良好的工作状态,避免出现运行故障。
2、应用计算机网络安全防护技术
目前,计算机网络安全防护技术是较多的,如防火墙技术、漏洞扫描技术、数字加密技术、杀毒软件等。第一,防火墙技术。一般计算机网络防火墙设置在计算机的系统中,可以采用安全性能相对比较高的Linux系统,并保留计算机基本功能,如SMIP协议,及时阻拦恶意侵入系统的木马程序、病毒软件,保护内网办公安全;第二,漏洞扫描技术。采用自动扫描技术,自动进行系统漏洞扫描并修补漏洞,及时进行系统补丁,既能降低网络攻击的概率,又可以提高系统运行性能;第三,数字加密技术。对重要的信息利用数字加密技术进行保护,然后再进行存储与传输,可以有效防止信息被攻击、被篡改,维护计算机系统信息的安全。当然,在不同网络环境下密码保护性存在一定差异,并选采用最先进的算法进行密码设计;第四,采用杀毒软件,及时查找出系统内病毒软件并及时清理,以加强系统的维护管理;第五,采用警告技术,并设置多样化的警告方式。针对不同的网络安全危害及系统故障可以设置不同的警告方式。比如,不同的问题用不同的声音,给管理人员自动发送邮件、手机短信等,以便管理人员实施网络安全维护。以上技术的应用能有效的提高石油企业网络安全管理工作水平,提高网络安全维护能力,保护日常工作的正常运行。
三、结束语
综上所述,面对石油企业计算机安全管理中存在的一些不足,应建立完善的计算机网络安全管理制度与设备维护检修制度,同时科学应用计算机网络安全防护技术,多层面、多策略的进行计算机网络安全管理,让石油企业计算机网络安全管理在明确的维护思路和有效的策略下有序、高效的进行,进而提高石油企业计算机网络安全管理工作实效。随着计算机技术的革新变更,计算机网络安全防护技术水平会不断提高,石油企业在今后的计算机网络安全管理中应注重先进防护技术的引用,这是提高石油企业计算机网络安全管理工作水平的根本。
参考文献:
[1]李伟.计算机网络安全管理工作的维护思路及具体方案研究[J].电脑知识与技术,2015,20:22-23.
变更安全管理制度范文第2篇
关键词:人员密集场所;隐患成因;防范措施
随着我国经济的快速发展和人民生活水平的不断提高,人们对待生活的品位也在迅速增长,对于一些人员密集场所的环境要求和空间要求也就更高,现在一些宾馆、饭店、歌厅、舞厅从以前的几十平方米到现在的上千平方米,室内装修也越来越奢侈、豪华,甚至很多都是可燃材料装修;更为严重的是有的场所缺少安全出口、堵塞安全出口,占用消防设施等严重的违规问题,这些问题极易造成群死群伤的恶性火灾事故。笔者结合工作实际,主要就人员密集场所火灾隐患的成因及预防对策问题进行探讨。
一、人员密集场所的特点
(一)场所所在建筑使用性质变更。酒吧、网吧、饭店等人员密集场所很少使用独立的建筑,经营者一般都是租用建筑物的一部份进行装修和改造,有的是在商场、办公楼的某个楼层,有的在停用的仓库或厂房内,有的在居民住宅楼首层,有的甚至在居民住宅楼内改建。这些建筑原设计不是用作人员密集场所,内部的消防设计不能满足人员密集场所的相关要求。将这些建筑随意改为人员密集场所不仅改变了建筑的使用性质,也给场所带来了“先天性的火灾隐患”。
(二)建筑面积比较小。一般为几十或几百平方米不等,通常设置在建筑底层,楼层高度4~5米。租赁户或经营户为“充分”利用空间,将楼层分隔成两层,有的甚至在中间形成一个小中庭,由于底层楼层分隔必然会引起安全出口数量不足,人员聚集的多,人员疏散困难。这是造成群死群伤事故的重要原因。
(三)人员密集场所经营项目的多样性。酒吧、网吧、卡拉OK房、美容美发店、茶艺楼等,应有尽有。
(四)装修相对高档化。由于商业需要,最大限度地吸引顾客而赢利,往往因造型和突出宣传效果而采用大量木材、塑料、纤维织品等可燃易燃材料进行装修,直接导致火灾荷载大幅度增加。
(五)安全出口、疏散通道设置不符合要求。设置的门多数是推拉门、转门等,门向内开启,而且有的还在门口1.4米范围内设置踏步;疏散通道采用木板等可燃材料搭建,宽度不够;室外疏散小巷宽度达不到3米的要求。
二、人员密集场所火灾隐患的成因
(一)违章装饰装修。《建筑内部装修设计防火规范》明确规定了建筑物顶棚、墙面等部位以及窗帘、帷幕等装饰织物必须满足的燃烧性能等级要求。然而有的装饰工程设计、施工单位任意降低防火标准,人为造成很多火灾隐患。
(二)消防安全管理制度不健全。各类人员密集场所用火用电、防火检查、控制室值班、员工培训、消防设施维修保养、火灾隐患整改、灭火和应急疏散演练以及消防安全操作规程等必须建立消防安全管理制度。有的虽然建立了一些内部管理制度,但不符合本单位或公共场所安全管理的实际,制度内容不具体、不全面,有的规定内容与现行消防法律法规规定不相一致,缺乏可操作性。
(三)某些人员密集场所未经消防审核,有的未经验收擅自投入使用,或随意改变建筑物内部结构,擅自改变场所的使用性质;有的验收不合格就投入使用,而与之相匹配的消防安全基础设施没有跟上,事后又无法弥补,有的消防水压不足、室内消火栓数量不足,致使消防设施先天不足,留下了火灾隐患,增大了发生火灾的危险性。
(四)消防器材和安全疏散设施不符合规范要求,设置位置不够合理。有的建筑内部缺少自动消防设施或建筑消防设施不能正常运行,一旦发生火灾事故,不能发挥应有的作用。
三、人员密集场所火灾隐患预防及对策
(一)进一步加强消防安全管理。主要采取以下措施:
1.从源头抓起,严把“四关”
变更安全管理制度范文第3篇
【关键词】信息安全;电力企业;防护措施
前言
当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。
1电力网络和信息安全管理的主要内容
电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:
1.1安全策略
信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。
1.2风险管理
评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。
1.3安全教育
所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。
2电力企业信息化发展的特征
随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。
2.1信息化基础设施完善
经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。
2.2营销管理系统广泛应用
电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。
2.3生产、调度自动化系统应用熟练
电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。
2.4管理信息系统的建设逐步推进
电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。
3电力企业网络和信息安全管理中存在的问题
电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:
3.1信息化机构建设不完善
部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。
3.2网络信息安全管理未成为企业文化的一部分
电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。
3.3企业管理革新跟不上信息化发展的步伐
电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。
3.4网络信息安全存在风险
电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。
4电力企业网络和信息安全管理对策
4.1建立健全网络和信息安全管理组织架构
网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。
4.2构建网络和信息安全管理体系框架
在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,
4.3建立网络信息安全防护对策,合理划分安全域
网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。
4.4网络信息安全管理制度建设
为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。
4.5信息安全技术保障举措
为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。
4.6规范企业人员的管理
规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。
4.7做好对企业信息资产管理分析
依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。
5结束语
电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。
参考文献
[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.
[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.
[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.
[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.
[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.
变更安全管理制度范文第4篇
一、推进安全标准化,实施全过程风险管理,完善公司安全管理体系
从年起,我处开始牵头推进公司安全标准化工作。在原有职业健康安全管理体系的基础上,我处对照安全标准化规范,制定安全标准化实施方案,清理公司各环节各层次安全管理流程,完善规章制度、作业安全管理和组织现场安全整治。通过两年的艰苦工作,公司于年月27日通过市安监局化学品登记办组织的达标验收,达到国家安全标准化二级企业要求。
安全标准化的核心是实施全过程风险管理,建立PDCA管理模式,持续改进安全绩效。按照这一要求,我处每年组织各单位进行一次全面的安全风险辨识和风险控制效果评价;对检修、技改、变更等非常规活动,坚持要求在实施前进行风险评价,制定落实风险控制措施,实施中进行检查确认,实施后进行验证和效果评价;特别对重大危险源、重大风险,要求制定预案和专项控制方案。通过这些手段,保证公司生产运行中的安全风险时刻处于可控状态。
二、建立完善公司规章制度,规范各环节安全管理
为规范公司各层面、各环节的安全管理,我处于年组织相关职能部门对企业安全管理制度进行全面梳理,补充完善,经过8个月艰苦工作,形成《安全管理制度汇编》。这本制度汇编,包括综合管理、组织措施、危险作业、技术规范、职业卫生5大类43个制度。随着形势的变化,我处及时组织对汇编进行评审和修订,并于今年上半年公司完成对原汇编的全面修订,出台公司《安全管理制度》(版),将公司安全管理制度从原来的5大类43个制度完善为10大类62个制度。使公司层面、各环节的安全管理从制度层面持续符合国家法律法规、标准和其他要求。
三、规范作业票证台帐,严格危险作业审批,确保生产过程安全
近年来,我处不断改进和完善公司各种安全管理台帐和作业票证,到目前为止,已建立了24个安全管理台帐和10个危险作业票证,并指导各单位正确规范使用。生产现场是我处安全管理工作的重心,安排2人专门负责危险作业审批和现场安全管理,确保危险作业全过程在有效监控内。
四、开展安全检查,排查各类隐患和问题,督促安全制度和规程的落实
我处坚持每月组织一次全厂性综合检查,每星期分别对重大危险源、关键装置、重要物料管线、危险场所安全检修作业进行一次专项检查,每天对全公司生产现场进行不定期的巡回检查,发现隐患和问题责令责任单位或人员进行整改,如今天前三季度排出隐患和问题78项、下隐患整通知书6份、发违章告知卡3份,有效地将消除事故隐患、规范人员行为,保证公司安全生产正常进行。
五、开展安全教育,提高全员安全素质
我处严格执行“三级安全教育”,对新进公司的人员按要求进行了公司级教育,同时督促、检查二、三级安全教育,使他们熟悉、掌握必要的安全技术知识和自我防护技能,达到要求后方可上岗操作。监督二级单位对换岗、转产、复工人员,按要求进行安全技能和岗位操作法的培训,经考核合格后才能上岗作业。对外来单位人员严格进行公司级安全教育,并作业所在单位进行车间级安全教育,经考核合格后才准许其施工作业。我处每季度针对各班组的实际情况制定班组安全活动计划,编制学习资料,指导各班组开展安全活动,并每月进行检查确认,保证了安全活动的质量。我处定期识别特种作业人员培训要求,制定培训计划,开办培训班,使全公司特种作业人员有效持证率始终保持100%。
六、开展职业卫生工作,加强员工劳动保护
我处按国家要求定期申报公司作业场所职业危害因素,定期组织职工进行职业健康检查,对发现的问题立即协调相关单位予以解决,建立健全了职业健康监护档案。定期组织职业危害因素监测,并向职工公示;督促各单位加强职业卫生设施和作业场所的管理,保证危害因素浓度(强度)符合国家标准,保障职工健康。及时按标准为职工配发劳动防护用品,并指导职工正确使用,有力地保障了职工的健康安全。
七、完善应急救援预案体系,定期组织演练,增强应急响应能力
年,我处组织编制公司化学事故应急救援预案。经过不断完善,目前已建立了较完善的应急预案体系:包括公司综合应急预案、专项应急预案和现场处置方案,建立了分级响应机制,完善了应急响应流程,有利于提高公司应急响应能力。每年组织一次综合或专项演练,每半年组织各关键装置重点部位进行一次现场处置方案演练,不断提高公司应急响应能力和全员的应急处置技能。
八、按办理有关证照,保证公司合法经营
公司安排由我处负责办理的证照包括安全生产许可证、危险化学品登记证、易制毒化学品生产备案证、监控化学品生产特别许可证、工业品生产许可证等。我处根据相应考核细则,进行资料文件编写整理、组织生产现场整改,均如期按时完成了取证换证工作。
九、严格安全考核,提高安全绩效
变更安全管理制度范文第5篇
关键词:安全文化;电力信息;信息安全;人员岗位调动;存储介质;计算机互联网
中图分类号:F273 文献标识码:A 文章编号:1009-2374(2013)04-0152-03
伴随信息技术的发展,电力企业的信息化程度越来越高。网络与信息系统有效支撑了公司各项业务的开展,全面提高了电网安全、生产效率和服务质量,其基础性、全局性、全员性作用日益增强。信息安全作为信息化深入推进的重要保障,与电网安全生产密切相关,对公司生产、经营、管理工作有重要意义,对电网安全有着重大影响,面临的形势严峻。
培育全员安全文化,要坚持“安全第一,预防为主,综合治理”的方针,牢固树立安全发展、健康发展的理念。在信息安全管理中要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,坚决执行各项规章制度,不断提升人员信息安全和保密意识,全面保障电力企业信息安全。
1 影响信息安全的人为因素分析
1.1 员工岗位调动带来的信息安全风险
由于工作需要,经常发生人员岗位调动的情况,尤其是在“三集五大”体系建设过程中,员工岗位调动较多。一方面,岗位的调动必然带来相关信息系统权限的变更,但在实际操作中,往往是信息系统权限的变更远远滞后于岗位变动,给信息系统带来安全风险。另一方面,岗位交接过程如不严格把关,会产生企业生产、管理等信息丢失的风险。
1.2 未严格执行信息安全规章制度
企业员工信息安全意识淡薄、疏于防范,对已知的信息安全风险存在侥幸的心理,一些人员不遵循企业的信息安全规章制度,出现如计算机弱口令、无屏保或屏保时间过长、未关闭不必要的服务等现象,信息安全保密意识淡薄,对违规操作明知故犯。
1.3 员工抵触情绪产生的计算机“裸奔”隐患
企业要求必须安装指定的防病毒软件和桌面管控系统,因此会造成计算机运行速度变慢,使用性能下降,部分员工主观上不愿接受技术防范安全管理,造成部分安全产品客户端软件安装不全,甚至出现没有安装的现象,使得计算机出现“裸奔”现象,成为计算机病毒、木马等各种黑客软件攻击的对象。更为严重的是,这会给整个电力系统内网带来安全威胁。
1.4 内网计算机存在违规外联隐患
部分员工通过USB接口将手机接入内网计算机,给手机充电或将手机上的照片导入计算机,导致违规外联;还有极个别员工企图用内网计算机插入无线网卡或直接接入互联网下载资料、升级软件等,同样导致违规外联。目前还存在对外来人员和新进人员的宣传教育不足,造成这些人员使用内网计算机时构成违规外联的安全隐患。
1.5 安全移动存储介质使用中的安全隐患
部分员工在使用安全移动存储介质时,未按要求进行注册或未修改初始密码,在企业信息内外网间及因特网数据交换的过程中,未将涉及企业秘密的信息放在保密区。同时还存在将安全移动存储介质随意乱放,安全移动存储介质的维修工作由非专业技术人员负责,出现故障报废的存储介质未及时销毁等现象。
1.6 笔记本电脑使用中的安全隐患
部分员工由于工作需要在笔记本电脑上处理、存储工作信息,在用完后未及时删除重要信息,造成信息泄露,或笔记本电脑故障外送维修时,未考虑到是否存有或工作信息,忽略监督维修过程,从而构成了泄密隐患。
1.7 员工的无意失误
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强、用户口令选择不慎、用户将自己的帐号密码随意转借他人等都会给网络信息安全带来威胁。
2 培育全员安全文化的途径
2.1 加强机构变动及人员岗位调动后信息安全管理
严格做好机构变动、人员岗位调动后的信息安全管理工作,确保信息网络设备安全运行。一方面加强对制度的宣贯。机构变动后要及时组织全员学习相关信息网络安全管理制度,要求全员严格遵守信息安全相关规定。另一方面及时梳理更新用户。根据人员调动情况,对内网终端计算机用户进行排查,及时增加新用户,删除岗位调离的用户,在新计算机入网前,要按照计算机管理办法履行接入申请手续后方可接入信息内网,并按照计算机管理办法和计算机加固指南,对原有用户或原计算机先进行注销,后进行注册,确保信息安全管理规范、有序进行。
2.2 加强安全组织管理,提高全员信息安全意识
要切实提高对信息安全管理工作的认识,充分发挥安全组织机构的管理作用,进一步强化三级安全生产责任制度,安全生产工作做到逐级负责、落实到人,提高全员信息安全意识。首先,要成立信息安全领导小组,根据工作需要及岗位的变化,适时调整小组成员,定期召开领导小组会议,解决信息安全工作中遇到的问题。其次,要设立信息安全专职管理员,规定相应的岗位职责,明确信息安全工作要求,为信息安全管理提供制度保障。最后,要明确各级员工的信息安全职责,并由信息部门定期开展信息安全检查,促使其规范地使用计算机。
2.3 重视信息安全管理制度的完善与落实
企业管理制度是基于企业组织结构之下的,企业为求得利益最大化,在生产与经营实践活动中制定的强制性规范。信息安全管理制度是电力企业管理制度的重要组成部分,是实现企业安全目标的强制性措施,是员工从事安全生产的行为规范。重视企业信息安全文化建设就要重视信息安全管理制度的完善与落实。
2.4 定期开展信息安全检查,促进企业信息安全
定期开展信息安全检查是促进企业信息安全管理的有效途径之一。在信息安全管理中要加强日常检查和指导,并定期地开展各项综合检查和专项检查,使各项规章制度渗透到日常的工作中,从而强化规章制度的约束力。通过检查,及时发现信息安全隐患,积极采取有效措施,及时清除安全隐患,促使员工不断提高信息安全的意识,自觉有效地降低人为的信息安全风险,将可能出现的信息安全事件消灭在萌芽状态。
2.5 建立信息安全培训长效机制
信息安全管理应建立信息安全培训的长效机制,保证信息安全管理的动态推进和持续改进。每年要制定切合实际的信息安全培训计划,并把安全培训与技能培训结合起来,以安全培训为契机,提高员工队伍的整体安全文化意识。培训内容除有关安全知识和技能外,还应包括对严格遵守安全规范的理解以及个人安全职责的重要意义等。
2.6 加强宣传,营造“保障信息安全人人有责”的良好氛围
信息运维人员在日常运维工作中,要坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作水平。另外还可以利用公告、网站、协同办公平台、手机短信等多种方式加强宣传,有针对性地宣传上级有关信息安全的工作方针、政策;有选择性地公告一些安全技术、安全常识、事故案例等,供企业员工讨论学习,使员工真正认识到信息安全的重要性,努力营造“保障信息安全人人有责”的良好氛围,让全员为信息安全风险防范构筑一道坚实的职业道德防护屏障。
2.7 加强计算机实体安全管理
加强对计算机实体的管理,防止信息资料的泄露。加强密码与口令管理,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性。注重计算机病毒的检测与防治,及时安装操作系统和应用程序漏洞补丁程序,安装桌面管控、防病毒等必需的信息安全产品,坚决杜绝内网计算机以任何形式的违规外联。
3 结语
建立信息安全文化意味着每一个员工都是保证安全的重要执行者,要增强网络与信息系统的安全,知道相关的安全风险和防范措施,并承担责任和采取措施。不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全员意识中,将信息安全文化融入到员工的日常工作中,全面普及信息安全文化,只有这样才能为电力安全文化建设打下坚实的基础。
参考文献
[1] 刘燕辉,李南阳.全员安全文化是保障信息安全的有效手段[J].金融科技时代,2011,(10):72-74.
[2] 王淑英.加强安全文化建设 提升安全管理水平[J].企业研究,2011,(8):61-63.
