第1篇 信息安全等级保护管理办法
第一章 总则
第一条
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条
国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条
信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条
信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章 等级划分与保护
第六条
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
第八条
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
第三章 等级保护的实施与管理
第九条
信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
第十条
信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
第十一条
信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
第十二条
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(gb17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(gb/t20271-2006)、《信息安全技术 网络基础安全技术要求》(gb/t20270-2006)、《信息安全技术 操作系统安全技术要求》(gb/t20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(gb/t20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(ga/t671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
第十三条
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(gb/t20269-2006)、《信息安全技术 信息系统安全工程管理要求》(gb/t20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
第十六条
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
第十七条
信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
第十八条
受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
公安机关、国家指定的专门部门应当对下列事项进行检查:
(一) 信息系统安全需求是否发生变化,原定保护等级是否准确;
(二) 运营、使用单位安全管理制度、措施的落实情况;
(三) 运营、使用单位及其主管部门对信息系统安全状况的检查情况;
(四) 系统安全等级测评是否符合要求;
(五) 信息安全产品使用是否符合要求;
(六) 信息系统安全整改情况;
(七) 备案材料与运营、使用单位、信息系统的符合情况;
(八) 其他应当进行监督检查的事项。
第十九条
信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件:
(一) 信息系统备案事项变更情况;
(二) 安全组织、人员的变动情况;
(三) 信息安全管理制度、措施变更情况;
(四) 信息系统运行状况记录;
(五) 运营、使用单位及主管部门定期对信息系统安全状况的检查记录;
(六) 对信息系统开展等级测评的技术测评报告;
(七) 信息安全产品使用的变更情况;
(八) 信息安全事件应急预案,信息安全事件应急处置结果报告;
(九) 信息系统安全建设、整改结果报告。
第二十条
公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。
第二十一条
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
第二十二条
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:
(一) 在中华人民共和国境内注册成立(港澳台地区除外);
(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三) 从事相关检测评估工作两年以上,无违法记录;
(四) 工作人员仅限于中国公民;
(五) 法人及主要业务、技术人员无犯罪记录;
(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八) 对国家安全、社会秩序、公共利益不构成威胁。
第二十三条
从事信息系统安全等级测评的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;
(二)保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;
(三)对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
第四章 涉密信息系统的分级保护管理
第二十四条
涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
非涉密信息系统不得处理国家秘密信息。
第二十五条
涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。
涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准bmb17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。
保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。
第二十六条
涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。
第二十七条
涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。
涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。
第二十八条
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
第二十九条
涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准bmb22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。
涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。
第三十条
涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:
(一)系统设计、实施方案及审查论证意见;
(二)系统承建单位资质证明材料;
(三)系统建设和工程监理情况报告;
(四)系统安全保密检测评估报告;
(五)系统安全保密组织机构和管理制度情况;
(六)其他有关材料。
第三十一条
涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。
第三十二条
涉密信息系统建设使用单位应当依据国家保密标准bmb20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。
第三十三条
国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:
(一)指导、监督和检查分级保护工作的开展;
(二)指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;
(三)参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;
(四)依法对涉密信息系统集成资质单位进行监督管理;
(五)严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;
(六)加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;
(七)了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。
第五章 信息安全等级保护的密码管理
第三十四条
国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。
信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
第三十五条
信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
第三十六条
信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。
第三十七条
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三十八条
信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。
第三十九条
各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
第六章 法律责任
第四十条
第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一) 未按本办法规定备案、审批的;
(二) 未按本办法规定落实安全管理制度、措施的;
(三) 未按本办法规定开展系统安全状况检查的;
(四) 未按本办法规定开展系统安全技术测评的;
(五) 接到整改通知后,拒不整改的;
(六) 未按本办法规定选择使用信息安全产品和测评机构的;
(七) 未按本办法规定如实提供有关文件和证明材料的;
(八) 违反保密管理规定的;
(九) 违反密码管理规定的;
(十) 违反本办法其他规定的。
违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。
第四十一条
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第七章 附则
第四十二条
已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。
第四十三条
本办法所称“以上”包含本数(级)。
第四十四条
本办法自发布之日起施行,《信息安全等级保护管理办法(试行)》(公通字[2006]7号)同时废止。
第2篇 安全信息管理
“情况明,决心大,方法对”。这三条是管理工作最重要的原则。而这三条一条也离不开信息。只有靠信息的收集、传输和反馈以及对信息的分析才能作到情况明。只有靠信息的处理与分析,靠信息的辅助决策才能作到决心大。只有靠信息的控制才能作到方法对。
(一)安全信息
1. 信息
信息是对一切事物的概念及其运动状态的表达,它的表达形式有数字、文字、信号、图像等,这些形式是信息赖以表达、传递的载体,而这些形式所表述的内容才是真正的信息。
2. 安全信息
安全信息是企业信息的一种,其原始信息在企业的各项安全活动中不断地产生,经安全数据处理系统加工整理之后送入系统的安全数据库,成为安全系统用户查询、统计、打印报表所用的安全基础信息。基础信息是一种结构化的数据,它有两大用处:首先,供用户查询。例如安全技术资料查询、工伤统计分析及劳动防护用品管理报表等工作。其次,可为决策模型库提供必要的数据,经各类决策模型加工后成为企业安全管理的综合信息是企业安全管理工作中的高级信息,它综合反映企业安全活动的本质特性——好与坏、正常与反常。它可以成为决策者赖以作出战略性或战斗性决策的依据,并为诊断企业安全生产的环境和状态提供高级类型的数据。
应该强调指出的是,数字、文字、信号、图像等通称为数据,信息数据表达的内容,但更主要的它又是用户对数据的理解和解释,因此从数据获取信息的过程与用户本人的素质有极密切的关系。安全信息也是如此。所以值得一提的是,要获得正确的、有价值的安全信息,必须不断提高安全管理人员的素质。
(二)安全信息的分类
1. 按信息发生的地点分
可分为厂内和厂外两类。企业是一个相对独立的开系统,它必须经常与外部的社会环境发生密切联系,因此安全信息来源既有内部的,也有外部的。
外部的安全信息:政府、工会和上级部门有关安全生产的方针、政策、法令、规程、标准、工作布置、通报、通知等,社会上的思潮、动态、书籍报刊杂志中有关安全的文章资料,外单位的工作安排、经验、事故案例、事故隐患、未遂事故,安全技术发展方面的技术成果,产品、动向等等。
在企业内部,由于安全与生产相互依存,而生产经营中信息流与物流、人流形影相随,因此,时时处处存在着大量的安全信息。这些安全信息来自人、机(物)、环三方面及其交界处,种类繁多,数量庞杂,都与安全有关。例如,有工具、机械、设备的安全状况的信息;有物质安全的信息;有人机是否和谐配合的信息;有人与作业环境是否相协调的信息等等。在每一类信息中,都还有其具体内容。比如人及人际间的安全信息,对单个人来讲,有这个人的政治思想素质、安全意识、自保意识、安全技术状况、因人而异的生理和心理特点等中对人际来讲,有该群体的目标协同工作的态度和潜力、相互依赖相互作用(如互保意识)的状况等。第十五章“计算机辅助安全管理”中提到的管理信息的内容就是我们过去管理工作中常用的一些。随着信息管理的发展,管理信息的数量将越来越多,内容越来越明确、越细致。
2. 按信息发生的规则性分
可分为日常信息和突发信息。
突发信息按其重要度进行分级,又可分为a、b、c三级。
a级:指影响人身安全,影响整机性能,造成全厂或部门停产等事故信息。
b级:指影响部门工作,危险性小于a级的信息。
c级:指日常安全问题,可由部门内部处理、不必上报。
3.按信息的性质分
可分为正常信息和异常信息。
4.按信息的影响范围分
可分为全局的、局部的和基层的。
5.按信息的概括性分
可分为详细的、摘要的和综合的。
6.按信息的时效性分
可分为记载过去或预测未来。
安全信息管理系统中有信息源、信息中心、信息流、决策机构、执行机构等基本组成部门和事先规定的信息传递及反馈流程。
安全信息管理系统示于图3-2。
图3-2 安全信息管理系统图
(三)不同安全信息的含义及相互关系
1. 安全指令信息
国家和上级机关制定的有关安全的各项政策、法令、标准、计划以及企业制定的安全生产方针、目标、计划、技术标准、管理标准等,既是安全管理活动中的指令和原则,又是安全信息管理中进行比较、判别的标准。
2. 安全动态信息
安全动态信息是执行指令过程的情况反映。
3. 安全反馈信息
安全反馈信息是指执行安全指令过程中产生的偏差信息,也就是把执行指令结果和有关标准进行比较后认为异常的信息。反馈信息返回决策部门产生新的调节指令,达到纠正偏差的目的。由于它发生的时间、地点等常常难以预知,所以也称之为突发信息。
用安全指令信息来指挥。通过掌握安全动态信息来监督指令执行的情况;通过安全反馈信息来进行调节和控制、并以此来保证安全管理体系的正常运行。这就是三种不同功能安全信息的相互关系,如图3-1所示。
图3-1三种不同功能安全信息的关系
(四)利用安全信息加强安全管理
信息可分成收集、传递、加工处理、储存、使用和更新等环节。这些环节就是我们在实际工作中要着手和加强的。下列一些方法是我们工作中需要考虑和重视的。
1. 建立健全安全信息体系
各级领导和工作人员都应提高信息觉悟,有意识、主动地收集和接受安全信息,安全人员更应拿出全部智慧去积极收集、研究和处理安全信息。信息体系的建立往往和企业的组织形式有关,例如,有的(主要是小企业)是直线型组织形式,即厂长直接指挥车间主任,车间主任直接指挥班组长;有的(主要是部分中型企业)是职能型组织形式,即车间不仅接受厂长的直接指挥,而且接受职能科室的直接挥指;有的(大部分中、大型企业和小部分小型企业)是直线职能型组织形式,即车间按受厂长的直接指挥并接受科室的信息指导,科室负责协调监督;有的(极少数大企业)是矩降型组织形式,既有纵向职能部门,又有横向产品(或项目)部门的组织结构,它既保证纵向领导,又保证横向联系。无容何种组织形式,各企业应结合企业的实际情况,按照安全生产责任制,建立和健全纵向到底横向到边的以安全管理机构为核心和主干的信息体系和信息收集传递的制度,必要时,结合企业管理或单独进行某些机构和人员的调整。值得指出的是,由于安全系统是企业的一个子系统,该系统的变化也会引起整个企业系统的变化,例如,多年的实践表明,安全管理水平的提高有效地促进了企业整体管理水平的提高。
2. 结合具体的安全工作,加强安全信息的传输和反馈
在引入和采用安全科学管理各种体制和方法时,例如,在执行pdca循环过程中,应着力安全管理信息的收集、传输和反馈工作,并提高我们的安全信息管理水平,二者又会互相促进。图3-3是安全信息管理过程示意图。
图3-3安全信息管理过程示意图
3. 重视生产第一线的安全信息
事故主要发生在生产现场,事故的发生源存在于每一生产作业单元之中,必须重视来自生产现场的安全信息。要努力从车间、班组的安全活动中收集重要的安全情报和危险信息,要查阅并分析车间和班组的安全记录,要深入现场去获取信息,对发现的问题要及时予以解决,并收集反馈信息。
4. 要重视能量转移的信息
生产系统中的人、机器和物质材料都具有一定的能量。按照安全科学管理的观点,事故是能量的不正常转移成能量与人的接触。例如,势能会引起从脚手架、梯子、跳板、井筒等高处坠落下来,具有势能物体的崩落(如矿井的冒顶事故)可能击伤、压伤人体;电能系统如果不完善,可能使人遭受电击;皮带、齿轮、各种刀具、凸出的轴头等机械部件的动能会逆流于人体,过多的热量会引起火灾或爆炸,化学能会逆流于人体,影响企业的安全生产。为使能量按规定程序或轨道运行,就应当利用能量转移的信息对能量进行管理,或者阻止能量不正常转移和采用一些防护措施,如安全阀、防火门、安全帽、手套、双重绝缘工具等。
5. 加工处理安全信息
对信息的加工处理不应是简单地记录和堆砌,应当从安全观点出发作详细分析,去粗取精,去伪存真,从中归纳出对各管理层有决策意义的信息,指导安全生产。这是必须加强、总结和提高的薄弱环节之一。因此,处理中心的功能要强。
安全信息的研究给我们提供了美好的前景,但目前尚无完美的模式,要实现这个前景,需要我们安技人员勇于探索,需要我们付出艰辛的劳动。
第3篇 涉密计算机及信息系统安全和保密管理办法
第一条 为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条 本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条 为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条 公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:
(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条 涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:
(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
(三)不得安装、运行、使用与工作无关的软件。
(四)应在涉密计算机的显著位置进行标识,不得让其他无关人员使用涉密计算机。
(五)未安装隔离卡的涉密计算机单机,管理人员应拆除网卡,严禁涉密计算机上网;已安装隔离卡的涉密计算机应严格按照正确方法使用,严禁他人在外网上处理(即打开、查看、拷贝、传递涉密文件)和存储任何涉密信息;严禁他人在外网上使用涉密移动存储介质。
(六)定期做好涉密计算机的病毒查杀、防治和系统升级工作,及时进行数据备份,防止涉密信息的意外丢失。
第六条 涉密计算机信息系统的管理人员由系统管理员、安全保密管理员和密钥口令管理员组成,具体职责如下:
(一)系统管理员负责涉密计算机信息系统的登录权限分配、访问控制和日常维护及修理,保证系统和单机的正常运行。定期开展涉密计算机信息系统重要数据的备份工作,防止因系统的损坏或意外造成的数据丢失。
(二)安全保密管理员负责涉密计算机信息系统的病毒防治、安全审计等工作,并负责对系统的运行进行安全保密监视。
(三)密钥口令管理员负责定期更换并管理系统登录口令、开机密码及部分重要程序和文件的密钥,保证口令和密钥的安全。对集中产生的涉密计算机信息系统口令,应定期分发并更改,不得由用户自行产生。处理秘密级信息的系统,口令长度不得少于8个字符,口令更换周期不得超过一个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更改周期不得超过一周。口令必须加密存储,口令在网络中必须加密传输,口令的存放载体必须保证物理安全。
第七条 涉密计算机信息系统实行“同步建设、严格审批、注重防范、规范管理”的保密管理原则。
第八条 涉密计算机及信息系统所在的场所,必须采取必要的安全防护措施,安装防盗门窗和报警器,并指定专人进行日常管理,严禁无关人员进入该场所。
第九条 涉密计算机及信息系统不得直接或间接与国际互联网连接,必须实行严格的物理隔离,并采取相应的防电磁信息泄漏的保密措施。
第十条 涉密计算机按所存储和处理的涉密信息的最高密级进行标识;对涉密计算机信息系统的服务器,应按本系统所存储和处理的涉密信息的最高级别进行标识。
第十一条 涉密计算机中的涉密信息应有相应的密级标识,密级标识不能与正文分离。对图形、程序等首页无法标注的,应标注在文件名后。打印输出的涉密文件、资料,应按相应的密级文件进行管理。
第十二条 涉密计算机的维修或销毁一般应由公司人员在本公司内部进行,并应确保秘密信息在维修、销毁过程中不被泄露。公司不具备自行维修、销毁条件的,应报公司主管领导批准,委托保密部门认定的定点单位进行维修或销毁。销毁涉密存储介质,应采用物理或化学的方法彻底销毁。
第十三条 对于违反本办法的有关人员,应给予批评教育,责令其限期整改;造成泄密的,公司将根据有关保密法规进行查处,追究有关人员泄密责任。
第十四条 本办法由公司保密委员会负责解释。
第十五条 本办法自发布之日起执行。
第4篇 安全信息管理系统概述
一、管理信息系统的概念
所谓系统就是指由若干互相联系、互相影响、互相制约的各个部分为了一定目标而组合在一起所形成的一个整体。构成整体的各个组成部分,称为子系统。假若以一个经济组织的会计作为一个系统,而有关结算中心、会计报表、成本核算、资产台帐和货币资金等则是它的子系统。至于有关供销、生产、人事等方面的信息则属于会计系统以外的环境系统。会计信息系统见图10-2。
过去,国外大多数企业和我国一些先行单位,为了适应不同职能组织的需要,除了设立会计信息系统以外,还有生产技术、供销、人事、后勤等科室也都分别设立适合于它们各自需要的信息系统。这样一个企业就有若干信息管理系统,易于发生重复劳动,同一原始资料要分别输入若干个信息管理系统。如有关材料的采购、耗用、转移、完工、职工的基本工资、出勤记录等都要同时输入若干个信息系统。这样不仅出现重复劳动,易于发生差错,而且更改也不方便,造成相互不协调,成本也就比较高。
近年来在信息管理中提出综合性管理系统。就是将一个经济组织作为一个系统,而其生产、技术、会计、供销、后勤、人事等职能业务则是这个系统下的各个子系统。实施综合信息系统需要具有三个条件:
(1)分散的信息活动必须通过组织的集中统一安排;
(2)这些活动必须是整体的组成部分;
(3)这些活动必须由一个集中、独立的信息中心加以处理。
这样就能把企业看作一个整体,使一个数据多用,提高效率和更有效地使用信息,成本也可随之降低。
二、综合管理信息系统的建立
设计一个新的或改进一个现有的管理信息系统,是一项既复杂又繁重的工作。首先要用系统分析的方法,对系统(包括子系统)的本身范围及其周围环境的关系进行分析,提出若干设计方案,决定不同类型,不同管理层次的系统,进行技术和经济的论证,层层提高设计质量,消除不必要的重复劳动,然后加以评估比较,最后从中决定统一的综合信息管理标准,包括经济信息分类、编码和文件统一化工作。经过试验证明切实可行后,再应用到实际工作中去。其中要注意以下几方面:
1.明确信息的需求
即对输出的要求,要通过充分的调查研究,特别是管理中现有的信息种类,它们流转的来龙去脉,由哪里产生,由谁传递,传到何处,经过怎样处理,以什么形式输出,供谁使用,是否可以“一数多用”,是否有别的来源替代,是否要保存等等。所以在建立过程中,专业人员与使用人员之间要经常交换意见,使提供的各项信息都能满足使用者的要求。
2.信息的收集和处理
这项工作的目的就是要改善信息总的质量,一般包括五项内容:
(1)检核。要确定各项信息的可靠性的程度,包括来源的可靠性,数据的准确性和有效性等。
(2)整理。将输入的信息和数据加以提炼整理,以符合规定的要求。
(3)编制索引。按规定编制索引,以供日后储存和检索。
(4)传输。将正确的信息及时提供给各级主管人员。
(5)存储。要保存必需的数据资料和文件档案,准备日后再次使用。
3.信息的使用
其主要目的是向各级主管人员适时地提供各种有关的信息。因此它与信息质量有密切关系。信息的质量主要是指信息的准确性、及时性以及提供的形式。只有保证一定质量的管理信息系统,才能在管理中发挥作用。
图10-3为综合性管理信息系统的一例。
图中,该经济组织的各个子系统相互间有联系和交叉,又与使用者系统有联系。假若将一个工业部门或一个地区看作一个系统,则各个企业又成为其子系统,其范围就更为广泛了。
苏联在70年代已建成四级自动化综合管理系统。它由基础部份和功能部分组成。基础部分包括组织经济基础、信息库、技术基础和软系统等四个方面。功能部分由实现一系列课题的职能子系统组成。所谓四个结构层次是:国家级、中央部门和加盟共和国级、部门及共和国联合公司级、基层企业级。全国数据传递系统把各部门,各主管机关的主要计算中心、各共和国管理机关的中心与全国自动化系统的总计算中心联结起来。这就属于更高阶段的综合性管理系统了。
目前我国除西藏外,各省市计委,统计局计算中心都安装了ibm—4331或vs/80等电子计算机,正在逐步建立经济管理系统。
三、管理信息系统的基本工作内容
实现对管理信息系统的基本要求,是通过信息的周转过程实现的。信息的周转过程,包括信息资料的获取、加工、处理、传输、贮存等基本环节。这实际上也就是管理信息系统的基本工作内容。要保证管理系统的有效运行,就必须使每个环节都能灵活而有效的运转,并形成互相协调、密切结合的系统有机体。
1.信息的获取
信息收取是信息系统运行的第一步,也是重要的基础。信息的质量和信息系统其他环节的工作质量,在很大程度上取决于原始信息的真实性和完整性。
2.信息的加工
原始的信息数以亿万计,作为管理决策使用的信息量,受人们接收信息能力的限制,不可太多。因此必须把大量的信息分成恰当的层次,并且使最高管理层获得少而精的反映出最基本最重要的情况。信息的加工处理,就是用科学的方法,对大量的原始信息进行筛选、分类、排序、比较和计算,去伪存真,使之系统化、条理化,以便保管、传送和使用,节省人力、财力和时间,提高管理效能。信息的加工还包括信息分析,即通过对大量信息资料的研究,及时揭露矛盾,发现问题的苗头,对管理活动进行评价。
3.信息的传输
信息只有从信息源及时传送到使用者那里,才能起到应有作用。信息能否及时发出和到达,取决于信息传输的功能。信息的传输,要建立自己的传输通道系统,形成信息流和信息网。管理组织机构和组织体系决定系统内部基本的信息传输通道,但除此以外,信息系统还通过多条渠道,实现直接的和间接的、纵向的和横向的、纵横交错的多方面联系。可见,信息传输网是一个极为复杂和灵敏的系统。
4.信息的贮存
加工的信息,有的并非立即就用,有的虽然立即使用,但还要留作以后参考,所以产生了信息贮存和记忆的功能。信息贮存是信息在时间上的传输。通过信息贮存和积累,可以对客观管理活动进行动态的系统和全面的研究。
第5篇 信息科安全管理职责
一、负责本矿安全隐患信息的收集、分析、汇总、上报。
二、负责当班井下各作业地点的隐患排查信息的收集和上报工作。
三、对一般隐患信息要及时报告当班处置员,在处置员力量不足的情况下,协助处置安全隐患。
四、信息科发现隐患时,有权对井下局部作业地点停止作业,发现重大隐患时有权对全矿井停止作业,撤出人员并及时上报中心。
五、对主扇风机'三薄'记录不健全,附属设施不完善的,要及时上报中心。
六、对采掘工作面无风、微风作业的有权停止。
七、对掘进工作面不进行探放水的,有权停止作业,并进行严厉处罚,建议中心辞退。
八、对当班没有瓦斯员上班的工作面,有权停止当班作业。
九、对作业面瓦斯传感器、一氧化碳传感器不到位的要严厉处罚,对无传感器的要停止作业,撤出人员。
十、对局扇风机无专人管理,无挂牌管理,未实行'风电闭锁'的,有权停止掘进工作面作业。
十一、对洒水、防尘不到位的有权停止作业。
十二、对当班瓦斯员空检、漏检,不执行瓦斯巡回路线的瓦斯员要进行严格处罚。
十三、对当班'三违'人员进行制止、处罚、教育。
十四、参加班前、班后会,收集职工思想安全隐患信息。
十五、对酒后入井、精神状态不振的人员,有权停止当班作业。
十六、对穿化纤衣服,不佩戴自救器的工人,有权停止当班作业。
十七、对带有烟草、引火物品入坑的工人,要进行严厉处罚停工。
十八、对跟班矿长不入坑的,有权停止当班作业。
十九、对当班掘进工作面不探水的,有权停止当班作业。
二十、对带点检修、带点搬迁,有权停止作业,并进行处罚。
二十一、对违章排放瓦斯,有权停止作业并处罚。
二十二、对未经培训无证上岗人员,有权停止入井。
二十三、主要提升设备保护不全,禁止人员入井,对斜井、斜巷五'一坡三档'装置或装置不全,失效的,对不执行'行车不行人,行人不行车'规定的,要及时上报和处罚。
二十四、对人行车无煤安标志、防坠器和制动装置失灵的,有权停止作业并上报中心。
二十五、对不执行'一炮三检'和'三人联锁放炮'的,有权制止和处罚。
二十六、对非爆破工领取雷管,炸药雷管混运,工作面炸药雷管未分箱存放,加锁保管的,有权停工和处罚。
二十七、对炮眼无封泥、封泥不足或填充不实进行爆破的,有权停工和处罚。
二十八、对掘进工作面空顶作业,回采工作面端头支护不到位,有权停工处罚并上报中心。
二十九、对井下施工质量不达标准,有权停止作业并上报中心。
第6篇 信息系统密码安全管理办法
1.1制定目的
(1) 规范公司信息系统密码管理。
(2) 确保网络安全运行,保护信息系统、服务器不受侵害。
1.2适用范围
凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。
1.3权责单位
(1) 信息科负责本办法制定、修改、废止之起草工作。
(2) 总经理负责本办法、修改、废止之核准。
2 信息系统密码安全管理办法
(1) 服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。
(2) 如果用户密码忘记,需用户本人亲自申请恢复密码。
(3) 拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。
(4) 服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。
(5) 服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。 密码类型 密码长度 更换时间 服务器超级用户密码 大于10位 两个月更换一次 数据库超级用户密码 大于10位 设置好后不做更换 系统管理员密码 大于6位 一个月更换一次 ftp及防火墙等管理员密码 大于6位 一个月更换一次
(6) 机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。
2022-2-1
第7篇 基于b/s与c/s模式的铁路运输安全管理信息系统
随着我国铁路运输业的迅速发展,对铁路运输安全管理不断提出新的要求。解决安全管理问题
一是要不断提高员i的安全素质,提高安全防范意识及事故处理能力;更重要的是运用安全管理信息技术,通过建立安全管理信息系统来提高安全管理水平,降低事故的发生。笔者综合考虑c/s模式在信息管理、办公自动化等事务处理和b/s模式在信息浏览、查询和发布方面的优势,采用b/s和c/s模式相结合的混合模式开发了铁路运输安全管理信息系统。结合为某铁路运输企业开发的系统,论述了该系统的设计和实现。
1 系统研究现状和目标
进入20世纪90年代以来,安全管理在企业中越来越受到重视,在发达国家,各种现代化的安全管理方法广泛应用,由于其生产设备自动化程度很高,其安全管理大多包含在整个企业管理系统之内。而在国内的一些企业,安全管理多停留在宣传、教育、定期安全检查的水平上,而且多数是定性分析或事故后分析。这种管理手段落后、被动、反应慢,很难适应现代安全生产的要求,这种现象在铁路运输企业表现得尤为明显。因此,迫切需要建立适合当代现有生产条件的安全管理模式,采用数学方法和计算机技术,建立企业的安全管理信息系统,这就为定量分析创造有力条件。定量分析将对进一步认识安全生产的规律,预测预报事故,防止和避免伤亡事故的发生产生积极作用,所以建立安全管理信息系统,是解决铁路运输企业安全问题的有效途径。
铁路运输安全管理信息系统一方面对大量的历史数据进行分类管理,向用户提供可靠、及时的统计数据,使工作人员对以往的工作有总结性的认识;另一方面系统运用一定的数学方法对搜集到的数据进行分析处理,辅助安全部门前瞻性的分析安全形势,及时发现安全工作中存在的问题,提前进行预防控制。据此笔者研制了安全管理信息系统,实现定性分析和定量分析相结合,力求把安全管理从传统的事后追踪变为事前预防控制。
2 系统开发方案
2.1 系统体系结构
客户/服务器(c/s,client/server)结构是20世纪90年代开始流行的一种体系结构,在c/s结构下,应用系统被分成前台(客户机)和后台(服务器)两部分,应用处理由客户端完成,数据访问和事务处理由服务器承担。c/s结构其优点体现在:①可靠的数据完整性和安全性控制;②高效的联机事务处理性能;③很好的开放性和易扩充性;④高效的应用程序开发。
c/s结构的应用系统易于扩展,处理效率更高。但这种模式具有内在缺陷:客户端具有平台相关性;随着应用逻辑和程序界面占用越来越多的硬件资源,客户端变得越来越“胖”;客户端管理复杂,维护困难。为解决c/s模式的内在缺陷,出现了3层c/s模式结构,这种模式把传统c/s结构中客户端的应用逻辑分离开来,形成一个单一的应用服务器,从而大大降低客户机对硬件的要求,使系统更容易扩展。
随着intemet的快速发展,出现了基于web的browser/server模型(浏览器/服务器模型,简称b/s模型)。该模型是把c/s模型的服务器端进一步深化,分解成一个应用服务器(web服务器)和一个或多个数据库服务器,从而形成一个类似3层c/s模型。b/s结构优点主要体现在:
(1)用户界面更加友好,操作更加直观,更易满足用户的使用习惯。
(2)对用户跨平台支持,可跨平台使用数据库、超文本、多媒体等多种形式的信息。
(3)提高了系统的可靠性、整体性以及可扩展性。
(4)客户端只需配置操作系统和web浏览器,降低了对客户机的软硬件要求。
(5)更利于软件的开发、安装、升级,节省开发维护费用。
基于web的b/s模式特别适用于信息的浏览、查询与发布,适于领导辅助决策支持。而c/s体系结构适用于信息管理、办公自动化等事务处理的系统。根据系统的开发要求和系统目标,将这两种模式有机结合,安全管理工作涉及的部门、工种多,安全信息量大,要求处理速度快,基于此特点,为了节省工作量,维护数据的完整性与可靠性,保证系统运行的高效性,系统选择c/s和b/s混合模式的系统体系结构,既发挥传统c/s模式成熟的技术,避免建立3层c/s模式的高昂的代价,又能借intemet技术充分发挥b/s模式的优点。这种混合模式的体系结构如图1所示。
2.2 开发语言及数据库的选择
为保证系统具有良好的开放性和安全性,选用先进的visual basic 6.0和asp编程语言及interdev6和frontpage2000开发工具,缩短开发总周期,提高开发效率。其中visual ba—sic 6.0是一种面向对象的可视化的编程工具,由于其灵活方便和易于扩充的特点,因此,它越来越多地用作大型公司数据和客户机/b艮务器(c/s)应用程序的前端开发工具,与后端的sqlserver数据库相结合,可以提供一个高性能的客户机/服务器解决方案。asp即活动服务器页面(active server page),是一种用于www服务的服务器端脚本环境,它具有开发简单、功能强大等优点。利用它,可以很容易地把html标签和文本,脚本命令及activex组件混合在一起构成asp页,以此来生成动态网页,创建交互式的web站点,而不需要进行复杂的编程。visual interdev是创建动态web站点的集成开发环境,可以在其下结合各种脚本开发asp和html应用程序。web程序的骨架及各种控制、处理功能都是利用interdev来设计的,visual interdev是配合asp开发的主导工具,它是为intemet和intranet创建数据驱动型动态web应用程序的完整工具集。frontpage是web站点的创建、管理和页面修饰工具。利用它可以方便地创建漂亮的html页面,并对已生成的web应用程序进行页面上的修饰和编辑。
服务器端数据库选择mssqlserver7.0,该数据库具有如下性能:可伸缩结构,从单处理器到多处理器的硬件,用以满足未来业务的需要;高性能结构,利用windows nt可得到更大的传输量和更快的响应时间;方便系统管理,利用省时的图形化工具,降低了对系统管理员的技术要求,使系统便于维护;强化安全的事务处理能力,一旦系统发生故障,它能保护数据不丢失;网络集成环境,可使用通用的网络和协议。
客户端数据库选择桌面数据库access2000,access是微软公司于1994年发布的微机桌面数据库管理系统。作为一种mis开发工具,它具有界面友好、开发简单、接口灵活等特点,是典型的新一代数据管理和信息系统开发工具。access提供了强大的数据组织、用户管理、安全检查等功能。在一个工作组级别的网络环境中,使用access开发的多用户数据库管理系统具有传统的xbase数据库系统所无法实现的客户/服务器(c/s)结构和相应的数据库安全机制。
2.3 系统的设计原则
本系统的设计原则如下:
(1)实用性。系统采用友好的图形用户界面方式,实现全屏幕菜单操作,用户能简单、方便地采集基础数据,实现信息共享与交换。
(2)可靠性。系统在设计过程中,把可靠性作为系统设计成功与否的重要标志,在设计过程中考虑到安全管理人员对计算机知识的局限性,采用了较强的容错功能,对用户的非法操作均有限制和提示,数据出错时具有相应的提示信息及处理能力,并且每个处理环节都具有高度可靠性、保密性及安全性。
(3)开放性。利用web技术,使各局域网能进行分布数据处理,各子系统能在intemet上进行数据处理和信息查询。
(4)通用性。系统设计过程中,遵循企业安全管理中的一些通用的基本管理制度,在铁路运输企业中具有通用性。
(5)先进性。系统采用软件工程的理论进行开发;利用模糊数学、灰色系统理论和安全系统工程理论,建立客观反映事故系统特征的数学模型体系;采用数据库理论技术中的e—r模式分析实体间的关系并进行数据库结构设计;采用目前流行的可视化开发工具进行系统开发。
(6)可扩充性。一方面是硬件的扩充能力,可以方便地在网上增加设备或用户;另一方面是软件的扩充能力,在系统软件设计时,要特别考虑今后可能的功能扩充。运用新的软件设计思想,对该系统作适当的调整升级保证系统能够满足新业务、新功能的要求,而且对原来的程序没有影响或者影响很小,以及硬件或网络的改变或升级基本不影响应用软件。
3 系统结构及功能
3.1 系统事务流程
本系统事务流程如图2所示。
3.2 系统的功能结构
系统基本功能结构及主要功能模块组成如图3所示
3.2.1 系统维护模块
系统维护模块主要是对系统中需要用到的一些参数进行预先设置或重新配置以及对数据库中的数据进行维护,这些参数一般是相对固定的,但是用户可以根据实际的变动情况对其进行重新设置。系统维护模块包括系统参数设置、代码维护和数据维护3部分,其中参数设置包括系统常用参数设置和数据库参数设置,系统常用参数设置指的是对公司名称,站点ip等信息相关信息进行设置,数据库参数设置指的是对服务器名称、数据库类型、数据库名称等信息进行重新设置;代码维护模块包括单位名称代码维护、工种名称代码维护、类别代码维护、违章类别代码维护、违章内容维护以及事故类别代码维护,分别实现根据单位中部门名称、工种名称、类别、违章类别、违章内容及事故类别的变化对其进行修改的功能;数据维护包括数据备份、数据恢复和数据清理3部分,分别实现对数据库中数据的定期备份、数据库损坏后的恢复及定期删除数据库中部分数据的功能。
3.2.2 用户管理模块
用户管理模块主要是提供对系统使用者的名称、密码、权限以及所属群组等信息进行管理,确保企业信息的安全保密性,用户管理模块主要包括用户添加、用户删除、用户修改、密码修改4部分。系统会根据登录者的权限提供全部或部分功能,如果登录者是系统管理员身份,将提供全部的功能,包括用户的添加、删除,用户权限的设定或修改以及密码的修改等功能,如果登录者是一般用户身份,将只提供密码修改的功能。
3.2.3信息录入模块
信息录入模块是安全管理信息系统的基础,主要提供基础数据的录入、修改、删除、浏览等功能。信息录入模块由安全检查整改表信息录入、三违登记簿信息录入、安全学习培训信息录入、事故记录信息录入、事故报表信息录入、上岗人员信息录入和运量信息录入等7部分组成,信息录入后保存在服务器上的数据库中,以备查询、统计分析和生成报表时使用。
3.2.4信息查询模块
信息查询模块主要是提供对数据库中的相关数据按条件进行检索的功能,包括安全检查整改信息查询、三违登记信
息查询、安全学习培训信息查询、事故信息查询、安全学习培训学员情况查询、上岗人员信息查询、运量信息查询等7部分,每部分都提供组合查询的功能。
3.2.5 统计分析模块
统计分析模块根据信息录入模块中录入的基础数据信息,统计汇总出二次信息,以数据表格的形式显示统计的详细情况,并同时以图形的方式直观地显示出来,用于管理决策。统计分析模块包括历年事故趋势分析、历年事故中伤亡统计分析、直接经济损失统计分析、百万吨公里事故率统计分析、分单位事故统计分析、分工种事故统计分析、事故分类别统计分析、事故发生时间统计分析和责任者年龄统计分析等部分。
3.2.6 预测模块
预测模块主要是根据以往的基础数据,对相关指标进行预测,产生未来可能的结果或趋势信息,包括人体生物节律预测和事故预测。其中人体生物节律预测是用来根据人体生物节律曲线来预测每月员工可能发生的问题、需要对其进行提示,系统到达警示日期会自动进行提示;事故预测是根据设定的预测起始、终止年份内的历史数据,利用灰色预测模型产生预测年份的事故数等。
3.2.7 报表生成模块
报表生成模块主要是产生企业需要的各种标准报表,包括安全生产情况报表、事故月报表、事故年报表、安全管理综合指标月报表和安全管理综合指标年报表等。
4 系统运行环境
服务器端采用microsoft windows nt 4.0,客户端采用windows2000操作系统。所选的操作系统是多任务、多进程的32位操作平台,具有集中安全性设计,开放性强,可支持多种网络用户,支持多种网络传输协议,通过调制解调器拨号方式可实现远程访问服务等特点。
服务器端数据库管理系统采用mssqlserver7.0,它是一个高性能、多用户的关系型数据库管理系统(rdbms),它价格低廉,安全性好,效率高,并且可以搭配backoffice套件。客户端数据库采用access2000。
5 结 语
(1)本系统在某铁路运输企业投入使用后,取得了良好的使用效果,通过及时给决策部门提供准确的统计数据,提高了决策的及时性和准确性,大幅度提高了企业的铁路运输安全管理水平和管理效率,具有较好的应用前景。
(2)系统采用基于b/s和c/s混合模式的体系结构,既发挥了c/s模式成熟的技术特长,避免建立多层c/s模式的高昂代价,又能借intemet技术充分发挥b/s模式的优点,有效实现快速的信息交流和信息共享。
(3)系统集业务处理、事故预测和图形分析等功能于一体,为铁路运输的安全管理提供了全面信息、技术支持。
(4)系统采用的模块化设计为进一步开发提供了便利。该系统能逐步实现更多信息的计算机管理和信息管理决策支持系统,并能方便地并人其他计算机网络,实现信息共享。
摘自:《中国安全科学学报》2004.14卷.3期
第8篇 安全异常信息快速反应管理办法
第一章 总则
第一条 为深刻吸取长虹公司“3.21”煤与瓦斯突出事故教训,规范矿井“安全异常信息”的汇报和处置工作,形成快速反应、运行有序的“安全异常信息”汇报和处置工作机制,实现“安全异常信息”超前预警、超前处置,有效防范事故的发生,保障安全生产,特制定本办法。
第二条 本办法规定的应当汇报和处置的“安全异常信息”主要是指:矿井生产过程中发生的“安全异常信息”,包括机电运输专业、一通三防及防突专业、地测防治水专业、采煤专业、开掘专业等五类信息;外部供电、通讯、供水等方面威胁矿井安全生产的“安全异常信息”;威胁矿井安全生产的极端天气、地震等方面的“安全异常信息”。
第三条 提升理念。“安全异常信息”是事故预兆,是停产撤人的命令,“安全异常信息”不汇报,汇报不处置,或既不汇报又不处置就是事故,按照“四不放过”原则进行追查处理。“安全异常信息”的汇报要及时、准确和完整,处置要安全快速有效。
第四条 调度室及相关业务科室负责“安全异常信息”的收集、撤人、汇报、处置、建档、跟踪、销号七个环节的工作,在调度室建立“安全异常信息”闭合管理台账。调度室负责“安全异常信息”的收集、汇报、处置、建档等工作,业务保安科室负责“安全异常信息”的跟踪落实、整改销号等工作。矿井行政主要负责人是矿井“安全异常信息”汇报和处置工作的第一责任人,分管副职对业务范围内的“安全异常信息”的汇报和处置工作负责。
第五条 完善矿井“安全异常信息”处置技术、机构、队伍、资金、装备方面的保障工作和“安全异常信息”汇报和处置工作的管理和考核,建立“安全异常信息”闭合管理台账。矿井行政主要负责人是本单位“安全异常信息”汇报和处置工作管理和提供有关保障的第一责任人,分管副职对业务范围内的“安全异常信息”汇报及处置工作管理和提供有关保障负责。
第六条 调度室是“安全异常信息”汇报和处置的指挥中心,对所登记的“安全异常信息”要求做到实时调度。各业务保安科室是“安全异常信息”处置的技术指导部门。并负责“安全异常信息”闭合管理台账的建立、管理,跟踪处置,直至安全异常状况消除。
第二章 “安全异常信息”的汇报
第七条 “安全异常信息”要如实汇报,不得迟报、漏报或瞒报。
第八条 “安全异常信息”的汇报内容
(一)机电运输专业(详见附表1)
1.矿井及重要负荷单回路供电。
2.主、副井及乘人系统运行异常。
3.大型固定设备技术测定及探伤等有(存在)重大缺陷。
4.主要通风机故障单机运转。
5.矿井主排水系统故障不能担负正常涌水量。
6.危及安全的其它“安全异常信息”。
(二)一通三防及防突专业(详见附表2)
1.采掘工作面出现明显的煤与瓦斯突出及冲击地压预兆,包括中度以上喷孔、响煤炮或其它明显预兆。
2.钻探期间发现地质构造。
3.瓦斯高值或超限。
4.一氧化碳超标(放炮除外)。
5.监测监控系统异常,包括:(1)井上主要通风机或井下局部通风机监测显示停风;(2)风门开停传感器监测显示敞开;(3)矿井监控系统全部无记录或部分无记录;(4)监控系统相关设备未按规定检测、校验、维护保养导致数据传输不正常的。
6.危及安全的其它“安全异常信息”。
(三)地测防治水专业(详见附表3)
1.矿井涌水量达到预警水量(矿井排水系统联合试运的正常排水量)。
2.暴雨天气,可能发生洪水淹井。
3.探水钻孔阀门损毁,涌水难以控制。
4.采掘工作面有突水征兆。
5.危及安全的其它“安全异常信息”。
(四)采煤专业(详见附表4)
以下情况同时出现2处及以上的,必须上报:
1.工作面掉顶严重,冒落高度超过0.5m、连续长度超过5m。
2.工作面切顶严重,台阶下沉超过0.5m、连续长度超过5m。
3.采面煤壁严重片帮,深度超过1.5m、连续长度超过5m。
4.工作面支架连续5架严重钻底或挤架。
5.工作面两端头老塘侧局部悬顶面积大(面积大于2m×5m)。
6.危及安全的其它“安全异常信息”。
(五)开掘专业(详见附表5)
1.开掘工作面在一个生产班内顶板连续发出响声。
2.顶板离层明显,出现裂缝、顶板掉渣。
3.巷道压力增大片帮严重。
4.支架变形严重甚至断裂。
5.工作面出现地质构造。
6.危及安全的其它“安全异常信息”。
第三章 “安全异常信息”的处置
第九条 矿井“安全异常信息”的处置
(一)当矿井生产过程中发生本办法规定的“安全异常信息”时,现场管理人员(带班领导、跟班干部、班组长)、安检员、瓦检员等,必须第一时间发出停止作业、撤人的命令,指挥现场人员撤到安全地点,同时向矿调度室汇报。
(二)矿调度室值班人员接到生产现场或其它“安全异常信息”的汇报后,须在20分钟内用电话分别向矿井值班领导、分管领导及主要领导、分公司调度室、集团总调度室(电话:0375-2724146)、许平煤业生产技术处(调度)(电话:0375-3579000、3579331)、安监局禹州监察处汇报,同时须按照矿井值班领导的指示,立即通知受到安全威胁的人员撤离危险区域。之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表(详见附表)中,并通过集团oa办公系统发送许平煤业生产技术处(调度)。
(三)由矿井值班领导立即组织调度、安监、业务科室等有关人员赶赴现场收集“安全异常信息”第一手资料,矿井带班领导立即赶赴现场对“安全异常信息”的处置进行指导和指挥,矿井总工程师负责牵头完善相关处置措施,矿井分管副职牵头组织对“安全异常信息”进行处置,业务保安科室负责牵头建立跟踪工作机制,实时督导“安全异常信息”的处置,直至安全异常状况消除。
第四章 考核
第十条
(一)作业现场发现“安全异常信息”后,现场管理人员(带班领导、跟班干部、班组长)、现场安检员、瓦检员等未在第一时间向调度室汇报的,对上述人员罚款500元。
(二)调度室接到“安全异常信息”汇报后,应在20分钟内向矿值班领导、分管领导及主要领导、分公司调度室、集团总调度室、许平煤业生产技术处(调度)、安监局禹州监察处汇报,之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表中,并通过集团oa办公系统发送许平煤业生产技术处(调度),逾时不报的对调度当班值班人员罚款500元。
(三)矿井调度室及业务保安科室未建立“安全异常信息”闭合管理台账的或“安全异常信息”闭合管理台账未及时建档、整改销号的,未及时建档的,对调度室负责人罚款500元,未做到跟踪闭合管理的,对分管业务科室负责人罚款500元。
(四)“安全异常信息”瞒报的对作业现场安全管理人员罚款500元,汇报不处置,对调度室当班值班人员罚款500元,对调度室负责人罚款500元。
(五)“安全异常信息”处置期间因技术、机构、队伍、资金、装备保障不到位造成处置不及时或不能有效处置“安全异常信息”的,对相应单位进行责任追究。
(六)监测监控系统出现高值后监控上传中断,按瓦斯超限事故进行责任追究。
第五章 附则
第十一条 有关注释
中度喷孔:钻进过程中连续喷孔,停钻后持续1-2分钟,喷出颗粒直径3毫米,钻屑明显增多,抛出距离1-2米,工作面里探绝对值增加0.3%以内。
严重喷孔:停钻后连续喷孔超过2分钟,且带出大量钻屑;抛出距离大于2米或伴有煤炮声;工作面里探绝对值增加0.3%以上。(符合上述任一条件,即判断为严重喷孔)。
中度煤炮:声音较大,间歇性明显(时间间隔大于1分钟),有震感,有掉渣、扬尘现象。
严重煤炮:声音巨响、相邻区段多处地点均能听到;响声连续;震感明显;伴有大量扬尘。(符合上述任一条件,即判断为严重煤炮)。
有声预兆:煤层发出劈裂声、闷雷声、机枪声、响煤炮、以及气体穿过含水裂缝时的吱吱声等。声音由远到近,由小到大,有短暂的,有连续的,时间间隔长短不一致。煤壁发生震动和冲击,顶板来压,支架发出折裂声。
无声预兆:工作面顶板压力增大,煤壁被挤压,片帮掉渣,顶板下沿或底板鼓起;煤层层理紊乱、煤暗淡无光泽、煤质变软;瓦斯忽大忽小,煤壁发凉,打钻时有顶钻、卡钻、喷瓦斯等现象。
煤厚发生变化:增厚、变薄、尖灭、变软。
瓦斯高值:正常作业情况下瓦斯增幅50%以上即为瓦斯高值。
瓦斯超限:无论任何条件下瓦斯浓度达到1%即为瓦斯超限。
一氧化碳超标:除矿上建立台帐管理的一氧化碳区域和放炮引起的一氧化碳超标外,其它地点一氧化碳超标都必须立即汇报。
主要通风机停运:无论任何原因导致主要通风机停运都必须立即汇报。
第十二条 本办法自印发之日起执行。
附表:各专业“安全异常信息”汇报表
第9篇 信息技术设备物理环境安全管理办法
第一章 总则
第一条目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条依据:本管理办法根据《公司信息安全管理策略》制订。
第三条范围:本管理办法适用于公司。
第二章基本要求
第四条公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条公司的安全区域包括中心机房和敏感部门办公区域。
第七条安全区域的划分与管理参见《物理安全区域管理细则》。
第八条物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条本管理办法由科技信息部负责解释和修订。
第十九条本管理办法自发布之日起施行。
第10篇 信息部:职业健康安全管理职责
(1)负责组织对本单位的危险源、环境因素进行辨识、评价、更新和学习,并制定措施或管理方案加以控制。
(2)负责对本部门员工进行环境职业健康安全知识的教育和培训,不断提高本部门员工的环保和安全意识。
(3)确保公司信息管理系统安全稳定运行,为公司各单位/部门在环境职业健康安全管理方面提供所需的信息,确保信息安全和财产安全。
(4)负责公司信息管理系统相关硬件设备的管理,硬件设备废弃要按公司废物处理的相关规定进行。
(5)认真履行环境职业健康安全管理体系文件内规定的本部门的各项具体工作。
第11篇 安全风险信息平台工作管理办法
第一章 总则
第一条 为规范石家庄市轨道交通安全风险监控工作,规范地铁建设参建各方在安全风险监控管理上的工作责任、工作内容及工作流程,加强相关单位和部门在安全风险监控工作中的协同性,提升轨道交通建设安全风险管理的专业化和规范化水平,最大程度规避和减少轨道交通工程建设及周边环境的安全事故的发生,制定本办法。
第二条 本办法根据住建部《城市轨道交通工程质量安全检查指南(试行)》,公司《石家庄市轨道交通工程建设安全风险管理体系》文件的相关规定,结合我市轨道交通工程建设实际制定。
第三条 本办法适用于石家庄市轨道交通工程施工阶段的安全风险监控管理工作。
第四条 相关参建单位应用安全风险监控与信息平台情况考核,分日常管理考核与双月度考核,由安全质量部牵头负责考核。
第五条 安全风险监控工作考核坚持客观、公开、公平、公正的原则,自觉接受纪检监察部门和群众的监督。
第六条 除本办法外,轨道交通工程建设相关单位还应遵守国家和地方有关法律、法规、规范、标准。
第二章考核内容
第七条 投资承建单位
投资承建单位应成立信息化领导小组,总工程师任负责人,并设立专职信息员督促所辖施工标段落实安全风险信息化管理工作。
第八条 标段施工单位
(一)各施工标段项目部安全总监牵头成立风险信息化小组,项目部安全总监和安质部长每天必须登录安全风险监控信息平台,主要任务有:
1.每日17:00前,将自查台账和抽查台账检查的问题、施工监测数据上传平台;
2.巡视闭合阅处:通过安全风险监控信息平台对各单位提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、日常风险巡查推送的问题、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复。填写回复内容,并可上传相关附件。要求对所有的通报及整改通知的回复都以扫描件上传至相应内容的回复区域;
3.预警响应处置:及时处理平台发出的本标段预警,在预警处置中,要详细填写处置措施及现场处置照片、视频等。
(二)视频监控系统:提供现场信息化设备放置场地及视频会议室,配备网络设备和网络线路,保证各类信息能全面、及时、准确的上传平台(相关硬件参数见附件一):
1.按施工实际需要和轨道公司要求设置视频监控,施工单位负责采购本标段所需要的设备与硬件等,并负责进行安装、调试、移位、维护和管理工作,确保视频监控正常使用;
2.摄像头数量、位置要求:
车站明挖基坑至少设置2个摄像头,矿山法暗挖工程,要求每个掌子面设置1个摄像头,要清晰看到暗挖掌子面,并确保每掘进15米移动一次,盖挖车站参照矿山法施工要求设置;
附属结构明挖基坑、施工竖井至少安装1个前端监控设备;
施工竖井上各设置1个摄像头,重大风险源处根据评估情况设置;
安全文明施工管理:有出渣土行为的施工现场,渣土车辆进出的大门口在开工前必须安装摄像头,并接入安全风险监控信息系统。此项作为开工核查条件之一。
3.要保持视频监控 24小时正常运行,并确保监控视频的摄像角度和照明亮度,以满足视频监控的需要。不得随意挪动、故意遮挡、污损、用光照射摄像头,不得无故中断、关闭视频(特别是夜晚施工时)和人为破坏设备;
4.提供全天候的应急响应服务,须在监控中心发出平台故障通知后24小时内修复,保证平台正常运转。
(三)盾构监控
1.按照实现盾构实时数据监控要求配备电脑等设备,必要时施工单位需安排盾构厂家技术人员到现场配合数据解译;
2.每日上传出土量,同步注浆量;
(四)工程资料录入:工程开工前,施工单位要及时录入必要的工程资料,资料目录详见附件二。
第九条 第三方监测单位
(一)项目部项目负责人牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;
(二)监测数据上传:每日17:00前上传当天监测数据;
(三)及时查看并通过安全风险监控信息平台对建设单位(含监控中心)提出的问题和要求进行落实、整改回复;
(四)每日浏览本标段工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。对数据异常和存在安全隐患的工点,应根据现场实际情况加密监测点增加监测频率,并及时上传监测数据。
第十条 监理单位
(一)安全专监牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;
(二)每日将抽查台账检查问题和巡查报告上传安全风险监控信息平台。对有风险、监测数据异常以及重大安全隐患和危险征兆的工点,督促施工单位进行整改和回复,并及时向监控中心反馈;
(三)及时查看并安排相关人员通过信息平台对建设单位及风险监控中心提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复;
(四)督促施工单位整改安全风险监控信息平台上发布的各类检查通报,并做好复查工作。督促施工单位对安全风险监控信息平台上各项事件进行闭合管理;
(五)预警响应处置:每日登录平台浏览各自工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。工点评估为“有风险”或“预警”状态,按预警流程处理,将处理结果在信息平台回复。
第三章奖惩
第十一条 安全风险监控信息平台使用情况考核按单位性质分为标段施工单位、第三方监测单位、监理单位三个组,各组内不再按线路区分参建单位。安质部组织每两个月对各单位安全风险监控信息平台使用情况进行考核评分,各组分别排名,评分标准见附件三。投资承建单位信息平台使用情况纳入季度考核。
第十二条 通过视频监控和巡视发现施工现场视频不按规定设置、违规挪动、故意遮挡、污损、用光照射镜头、无故中断、关闭视频,以及视频监控平台被人为破坏等问题,且拒绝整改、未按时整改、整改不到位的,每个问题给予10000元的处罚。有渣土车辆进出的施工现场大门口没有安装摄像头并接入监控信息系统的,罚款50万元。
第十三条 对日常巡查推送的问题,拒绝整改、未按时整改、整改不到位、整改但未及时回复的,每个问题给予5000元的处罚。安质部对整改闭合情况进行抽查,发现弄虚作假的,每个问题给予20000元的处罚。
第十四条 对监测数据和巡视报告上传不及时的,每次处罚5000元。
第十五条 对履行《石家庄市轨道交通建设工程安全风险监控管理办法》工作职责不到位的,视情节轻重、整改态度、影响大小,每人次/问题给予5000元的处罚;对不配合或阻挠监控中心工作的单位,每次处罚10000元。
第十六条 对在同一个考核周期内相同、类似问题多次重复发生的,从第三次开始,实施双倍处罚。
第十七条 监控中心每双月月底汇总存在问题情况,安全质量部审核后,填写处罚单,并形成考核处罚通报上传信息平台(处罚单见附件四)。
第十八条 双月考核排名考核结果将通过公司文件形式下发通报,对工作不积极,效率差,不配合工作的单位将约谈该单位主要领导。
第十九条 对各组排名靠前的单位予以奖励,奖励总额为前两个月对被考核各单位处罚金额总和。标段施工单位组前1-5名分别奖励前两个月总处罚金额的20%、16%、12%、8%、8%,合计64%;第三方监测组第1名奖励前两个月总处罚金额的6%;监理单位组前1-3名分别奖励前两个月总处罚金额的12%、10%、8%,合计30%。所有奖励处罚款项一并纳入季度验工计价,在季度验工计价中扣除。
第四章 附则
第二十条 本办法由石家庄市轨道交通有
第12篇 it部信息和数据资产安全管理规定
第一章 总则
一、 目的:
依据《xx集团信息技术资源安全保护规定》和有关公司规定,为进一步加强xx集团计算机信息系统安全保密管理,并结合各系统、各子公司的实际情况,制定本制度。
二、 范围:
计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。
三、 原则:
涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保企业信息安全又有利于企业开展正常业务的方针。
涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。
涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。
第二章 系统管理人员的职责
一、 岗位设置:
用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由集团it部承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。
二、 岗位职责:
系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。
安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理。
密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。
三、 工作监管:
对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。
新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。
第三章 机房管理制度
一、 机房安全管理:
进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。
机房内不得使用无线通讯设备,禁止拍照和摄影。
机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。
二、 机房日常管理:
各类技术档案、资料由专人妥善保管并定期检查。
机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。
每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
三、 机房门禁管理:
出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经集团it部批准,并有专人陪同。
机房大门必须随时关闭上锁。机房钥匙由集团公司集团it部管理。
机房门禁卡(以下简称门禁卡)由xx集团it部管理。门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
门禁卡应妥善保管,不得遗失和互相借用。门禁卡遗失后,应立即上报门禁卡管理单位,同时写出书面说明。
第四章 系统管理员工作细则
第一节 系统主机维护管理办法
一、 工作职责:
系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。
根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
二、 日常维护及例行检查:
每月: 每月修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报基础架构管理负责人。
每周: 通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。
每天: 检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。每天记录系统主机运行维护日记,对系统主机运行情况进行总结。在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第二节 信息系统运行维护管理办法
一、 工作职责:
根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。管理员密码至少每月修改一次。
信息系统的开发和上线必须严格将开发环境和生产环境分开。不允许两个环境使用同一个服务器、或同一个操作系统、或同一个数据库实例。
对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
二、 日常维护及例行检查:
每月:对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报信息系统的技术负责人和业务负责人。
每周: 对信息系统系统数据、用户id文件、系统日志进行备份,并做详细记录(见表四),备份介质并存档。
每天: 检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。每天记录信息系统运行维护日志,定期对信息系统运行情况进行总结。
三、 问题处理:
在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
根据用户需求设置信息系统各功能模块访问权限,并提交信息系统的业务主管审批。
第三节 网络系统运行维护管理办法
一、 工作职责:
网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。
根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。
建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时及时对设备档案进行更新。
二、 日常维护及例行检查:
每月: 对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。
每周: 对网络系统设备(交换机、路由器)进行清洁。每周修改网络系统管理员密码。每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。
每天: 检查网络系统设备(交换机、路由器)是否正常运行。
三、 问题处理:
网络变更后进行网络系统配置资料备份。
当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。
第四节 终端电脑运行维护管理办法
一、 工作职责:
终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。
根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件等等。
建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。
二、 问题处理:
在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交集团it部处理。
第五节 网络病毒入侵防范管理办法
一、 工作职责:
网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。
根据网络系统安全设计要求安装、配置瑞星、金山、avast等网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。
所有xx集团(包括各子公司、分公司、分区)的服务器和个人电脑,禁止安装360安全卫士的全系列产品。
二、 日常维护及例行检查:
每周: 登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。
每日: 监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。
第五章 安全保密管理员工作细则
第一节 网络信息安全策略管理办法
一、 工作职责:
网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。
根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。
根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。
网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。
二、 日常维护及例行检查:
每周: 对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。
第二节 网络信息系统安全检查管理办法
一、 工作职责:
网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。
二、 日常维护及例行检查:
每月: 通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报集团it部。
每周: 登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。
每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。
每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。
每天: 根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报集团it部,并做详细记录(见表十三)。
第三节 涉密计算机安全管理办法
一、 工作职责:
涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
二、 日常维护及例行检查:
每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
三、 问题处理:
涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
新增涉密计算机联入涉密网络,需经集团it部审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第四节 安全审计管理办法
一、 工作职责:
网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。
根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。
二、 日常维护及例行检查:
每月:对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。
每周:备份设备安全审计系统审计信息,并做详细记录(见表二十)。
每日:查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。
第五章 密钥管理员工作细则
一、 工作职责:
身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。
负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。
负责为每台计算机安装主机登录系统。
负责主机登录系统、身份认证系统的系统维护。
根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。
二、 日常维护及例行检查:
每日:检查身份认证系统是否正常运行。
第六章 数据资产管理规定
一、 范围:
xx集团的内部各信息系统均为涉密计算机信息系统,所有信息系统内的数据资源均为xx集团的财产,任何人不得以任何方式私自复制、修改、保留。
二、 职责:
信息系统的运行维护由系统管理员和信息系统的业务单位指定的管理员共同负责,未经系统管理员和信息系统的业务主管领导同意,任何人不得在系统后台对信息系统进行任何操作。
系统管理员只对信息系统的技术平台拥有相应的管理权限,任何对信息系统数据的使用均需要信息系统的业务主管领导同意;未经许可系统管理员不得以任何方式向第三方透漏信息系统内的任何信息。
三、 所有权:
信息系统(集团财务系统、媒介系统等)的数据直接管理权归相应的业务单位所有(例如,媒介系统的业务所有人为媒介管理部。信息系统的技术维护工作由xx集团it部或相应的授权技术服务团队负责。
所有有权直接接触信息系统的生产环境的技术团队成员,均需签署保密协议。技术团队成员有责任和义务为相关系统的信息或代码保密。
第七章 计算机信息系统应急预案
一、 工作职责:
系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。
二、 系统应急场景:
(一) 遇到火灾应根据火情采取以下措施:
1. 如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。
2. 如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。
(二) 如遇机房突发性停电,应迅速通知用户,同时检查后备电源使用情况;如有需要,可以关闭设备电源;来电后,及时通知用户,并检测设备是否正常运行。
(三) 系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。
三、 问题处理:
遇紧急情况,值班员应立即通知集团it部和系统管理员,保持24小时通讯畅通,随时处理紧急事件。
线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。
第13篇 某大学网络及信息系统安全管理办法
z大学网络及信息系统安全管理办法
近年来,国内信息安全形势严峻,各类信息安全事件频发。为此,教育部办公厅发布了《关于加强网络安全检查的通知》(教技厅函[2014]51号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)和《教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知》(教技厅函[2015]45号)要求高校加强网络及信息系统安全管理;《z市教育委员会关于进一步加强和规范网络与信息安全管理的通知》(渝教科〔2014〕32号)进一步明确高校需加强网络、信息系统和网站安全管理;z市重要信息系统安全等级保护工作协调小组办公室发布的《z市重要信息系统安全等级保护工作协调小组办公室关于加强重点网站安全防范工作的紧急通知》(渝等保办〔2015〕9号)要求高校加强信息系统和网站安全,落实信息系统等级保护定级管理工作。
第一章 总则
第一条 为贯彻落实国家及教育主管部门相关文件精神,进一步加强我校网络及信息安全工作,特制定本办法。
第二条 本办法所指网络(以下简称校园网)包括z大学教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网络,不包括由电信运营商自主建设运营的住宅区网络。
第三条 本办法所指信息系统指由学校及各二级单位建设管理各类业务系统和网站。
第四条 涉密网络和涉密系统根据国家及学校的相关管理规定单独管理,不适用本管理办法。
第二章 管理机构及职责
第五条 为进一步加强网络及信息安全组织领导,学校将原“z大学计算机网络及信息安全领导小组”、“z大学数字化校园建设领导小组”整合调整为“z大学网络信息安全及信息化工作领导小组”(以下简称领导小组)。领导小组负责制定全校网络及信息安全工作的总体方针和安全策略,审定全校网络及信息安全管理制度,指导并监督网络及信息安全管理。领导小组办公室设在党委办公室。
第六条 网络信息安全及信息化工作领导小组办公室负责网络及信息安全总体事务,主要职责包括:
(一) 统筹协调全校网络及信息安全工作;
(二) 网络及信息安全总体规划;
(三) 制定网络及信息安全管理制度;
(四) 组织信息网络安全工作检查和考评;
(五) 网络及信息安全事件查处。
第七条 宣传部主要职责包括:
(一) 学校主页内容审核、发布及安全管理;
(二) 学校新闻网内容审核、发布及安全管理;
(三) 民主湖论坛内容审核、发布及安全管理;
(四) 全校舆情监控及内容管理。
第八条 保卫处主要职责包括:
(一) 全校信息安全监控管理;
(二) 网络及信息安全违法违纪事件的调查;
(三) 网络及信息安全事件处理中的对外联络与接洽。
第九条 信息化办公室负责网络及信息安全技术支撑,主要职责包括:
(一) 校园网出口安全基础设施的建设和管理;
(二) 学校数据中心安全基础设施建设和管理;
(三) 校园无线网络接入安全管理;
(四) 校园网安全监控管理;
(五) 定期实施校内服务器安全漏洞扫描及安全预警;
(六) 定期组织实施信息系统安全等级测评;
(七) 落实专职人员负责网络及信息安全管理工作;
(八) 组织信息网络安全培训和教育。
第十条 虎溪校区管委会具体负责虎溪校区网络及信息安全管理,主要职责包括:
(一) 虎溪校区校园网出口安全基础设施建设和管理;
(二) 虎溪校区校园网内容审计系统监测管理;
(三) 虎溪校区网络信息中心机房的网络及信息安全管理;
(四) 虎溪校区门户及各业务系统内容及系统安全管理。
第十一条 图书馆主要职责:
(一) 民主湖论坛的系统安全管理;
(二) 图书馆网络(有线部分)接入安全管理;
(三) 图书馆业务系统及网站的安全管理。
第十二条 学工部、研工部主要职责:
(一) 学工、研工业务系统及网站安全管理;
(二) “易班”系统接入安全管理;
(三) 协助进行舆情监控及内容管理。
第十三条 其它二级单位主要职责包括:
(一) 本单位局域网和校园网接入安全管理;
(二) 本单位联网计算机审核(有线部分);
(三) 本单位上网信息审核;
(四) 本单位业务系统及网站的安全管理。
第三章 校园网安全管理
第十四条 信息化办公室总体负责校园网安全管理工作,虎溪校区管委会具体负责虎溪校区校园网安全管理工作。
第十五条 校园网(有线部分)由信息化办公室负责在校园网出口处实施实名上网认证,各二级单位负责接入端安全管理;校园网(无线部分)由信息化办公室负责实施实名接入上网认证。
第十六条 信息化办公室负责学校数据中心网络安全设施建设和管理。
第十七条 接入校园网的各单位和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规,严格执行信息安全及保密相关制度。
第十八条 二级单位根据国家有关规定对上网信息进行审查,凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安、社会稳定的信息。
第十九条 在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动,不得在网络上散布计算机病毒,未经授权不得使用校园网。
第二十条 接入校园网的各二级单位需指定一名主管领导负责本单位的网络及信息安全工作,设立网络管理员具体负责相应的网络安全和信息安全技术工作。
第二十一条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告网络违法犯罪行为和网上有害信息情况。
第二十二条 与校园网相关的所有单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四章 信息系统安全管理
第二十三条 各二级单位是信息系统安全管理的责任主体,对本单位信息系统安全负责。
第二十四条 信息系统安全遵循“同步规划、同步建设、同步运行”的原则,信息系统的立项采购、测试验收、交付使用、升级改造必须符合国家对信息系统安全等级保护的相关要求。
第二十五条 二级单位负责制定信息系统安全管理策略,加强人员安全能力与安全意识培训,落实学校安全要求;确定信息系统数据安全要求,明确数据访问权限,制定数据备份机制,接入学校统一灾备体系。
第二十六条 二级单位负责信息系统的安全运行维护工作,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)基本技术要求规定,做好系统安全、角色权限、口令增强等系统管理工作,定期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工作;信息系统一旦出现信息安全事件,二级单位应及时查处整改,对多次出现安全事件的信息系统由信息化办公室暂停其网络连接及服务。
第五章 信息系统安全等级保护定级
第二十七条 根据“自主定级、自主保护”的原则,由学校“网络信息安全及信息化工作领导小组”确定我校信息系统安全等级保护定级方案。
第二十八条 学校现有信息系统的定级由“网络信息安全及信息化工作领导小组”根据教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)并结合我校实际情况确定,定级确定后按要求报公安机关审核备案并定期开展等级测评。
第二十九条 信息系统安全等级保护定级、变更由学校“网络信息安全及信息化工作领导小组”审定,各二级单位负责准备相关备案材料,信息化办公室负责组织等级测评、报公安机关审核备案。
第三十条 信息化办公室定期组织对重要信息系统进行安全检测。
第六章 安全事件查处
第三十一条 网络及信息安全事件(以下简称安全事件)包括有害程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾害性事件及其它危害网络及信息安全的事件。
第三十二条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告安全事件。
第三十三条 二级单位发现安全事件或接到安全事件报告后应在第一时间将相关情况报学校保卫处和信息化办公室。
第三十四条 学校保卫处负责安全事件的调查取证,信息化办公室负责技术支撑,二级单位负责配合举证。
第三十五条 发生安全事件后应首先留存相关证据,中断网络连接以减小安全事件扩散影响,在调查取证结束以前不执行数据删除、系统恢复等操作,避免影响调查取证。
第三十六条 二级单位应建立安全事件应急处理机制,制定应急预案,定期实施应急测试、演练和培训。
第三十七条 网络信息安全及信息化工作领导小组办公室负责对一般安全事件责任人和责任单位进行处理,对造成重大影响和重大损失的安全事件报请网络信息安全及信息化工作领导小组处理。
第七章 附则
第三十八条 本管理办法由学校授权网络信息安全及信息化工作领导小组办公室负责解释。
第三十九条 本管理办法自公布之日起执行。
z大学
第14篇 信息安全防护体系运行管理办法
第一章 总则
1.1目的
根据《x单位系统网络与信息安全总体方案》和《x单位系统网络与信息安全管理岗位及其职责》,为进一步规范x单位系统网络信息安全防护体系配置的安全产品的运行管理工作,提高x单位系统信息安全管理水平,保证安全产品的有效性,特制定本办法。
1.2 适用范围
《运行管理办法》适用于x单位总部、各省级局和地市级局对x单位系统网络信息安全防护体系统一部署的防火墙、入侵检测系统、防病毒系统和漏洞扫描系统、桌面安全防护系统、安全审计系统等安全产品的运行管理。
x单位总部、各省级局和地市级局对所配置的其它同类安全产品的运行管理参照本办法执行。
1.3管理职责
x单位总部负责总部网络中部署的安全产品的运行管理工作;并负责汇总各省级局上报的安全产品运行管理报告;分析安全风险和存在的安全隐患,形成报表,监督指导各省级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;负责汇总各地市级局上报的安全产品运行管理报告,形成本省范围内的安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析所辖区域内的安全风险和存在的安全隐患,监督指导下一级局解决发现的安全问题。
各省级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的10日前上报x单位总部;分析安全风险和存在的安全隐患,解决发现的安全问题。
各地市级局负责本单位网络中部署的安全产品的运行管理工作;形成安全产品运行管理报告,当月报告在下月的5日前上报各省级局;分析所属网络中的安全风险和存在的安全隐患,解决发现的安全问题。
第二章 安全管理员职责
各级x单位机关必须按照《x单位系统网络与信息安全管理岗位及其职责》的规定,设置安全管理员岗位和具体的执行角色,负责安全产品的运行管理,根据各单位的具体情况,安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,也可设置多个安全管理员岗位。
安全管理员在各x单位机关安全管理机构的领导下工作,负责管理x单位系统网络信息安全防护体系部署的安全产品,主要职责是:
(1)根据业务需求和网络安全威胁维护安全产品的安全策略,在必须修改策略时,经领导和上级主管部门批准后实施;
(2)负责安全产品的日常维护管理,认真记录维护日志;
(3)解决安全产品运行中出现的技术问题,及时排除故障;
(4)定期分析安全产品的系统日志和安全日志,检查设备工作状况,分析是否存在安全风险;
(5)发现重大安全问题或事件时,及时向领导报告,并按照应急预案进行应急处理;
(6)按照安全产品运行管理报告(见附件二)的内容要求,提交安全产品的运行管理报告。
第三章 安全产品的管理
3.1日常维护管理
(1)安全管理员应每天进行安全设备巡检;
(2)安全管理员必须对安全产品的策略进行备份保护,策略发生变更时,必须做好变更记录并进行备份更新;
(3)定期备份与维护安全产品的系统日志和安全日志;
(4)在总部发布安全产品升级通知后,及时进行产品升级;
(5)安全产品的运行维护活动记入安全产品的维护工作日志。
3.2故障管理
安全管理员应每天在日常维护日志中,记录安全产品的运行状况或使用情况。在产品出现故障时,应及时与厂商联系解决问题,并记录故障现象与处理结果。
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全产品故障统计月表》。
《安全产品故障统计月表》根据日常维护记录中安全产品的故障情况填写。
产品类型包括:防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、终端桌面安全防护系统和安全审计系统。
内容包括:
a. 故障总数
b. 主要故障描述
c. 处理结果
3.3变更管理
总部对网络与信息安全防护产品的配置位置和统配策略做了统一部署。为了保证安全防护体系的完整性和可控性,需要对网络信息安全防护体系中配置的安全产品进行变更管理。
(1)总部统一配置的安全产品配置位置变更时必须经总部批准;
(2)各级x单位单位负责本单位安全策略的制定,但总部统配安全策略的变更必须报总部批准。
(3)对批准实施的变更情况存档并记入本单位《运行管理报告》中的变更情况说明,包括:
l 变更的安全设备名称、型号
l 变更原因
l 变更后的设备配置拓扑
l 变更后的设备配置策略
3.4安全管理
3.4.1例行安全管理
安全管理员必须每天分析安全产品的系统日志和安全日志,在发现安全事件时,应及时报告。
以下各节描述对各类安全设备的例行安全管理活动。
3.4.1.1防火墙
(1)防火墙运行状态监测
安全管理员应每天监测上下行防火墙和横向防火墙运行状态。
监测的内容:
a.系统负载(cpu状态)
b.系统资源(内存状态)
c.防火墙端口状态
d.网络连接数
(2)防火墙安全事件分析
安全管理员应每天检查防火墙的安全日志,分析安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
e. 阻断ip地址及相关端口
(3)防火墙安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《防火墙安全事件统计月表》。
《防火墙安全事件统计月表》根据防火墙日志分析结果填写。
安全事件统计内容:
a.各种攻击类型数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
(4)防火墙阻断事件统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中《防火墙阻断事件报告统计表》。
《防火墙阻断事件报告统计表》根据安全审计系统中相应的防火墙日志分析结果填写。
阻断事件统计内容:
a. 阻断事件总数。
b. top 10阻断ip地址。
c.top 10 阻断端口。
3.4.1.2入侵检测系统
(1)安全事件分析
安全管理员应每天分析入侵检测系统记录的安全事件。
安全事件分析内容:
a. 攻击事件描述
b. 攻击时间
c. 攻击类型
d. 攻击源ip和受攻击主机ip
(2)入侵检测系统安全事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《入侵检测系统安全事件统计月表》。
《入侵检测系统安全事件统计月表》根据入侵检测日志分析结果填写。
安全事件统计内容:
a. top 10安全事件数量及百分比统计
b.top 10攻击源ip与受攻击主机ip统计
3.4.1.3 防病毒系统
(1)防病毒系统运行管理监测
安全管理员应进行防病毒系统运行管理监测。
监测内容:
a.防病毒软件升级信息
b.周病毒审计
c.周主机变化记录
d.周策略维护
(2)病毒事件周分析
安全管理员应每周监测病毒事件
监测内容:
a.病毒总量
b.多发病毒统计
c.多发病毒主机
(3)病毒事件月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《病毒事件报告月表》。
《病毒事件报告月表》根据防病毒系统日志分析结果填写。
安全事件统计内容:
a. 病毒总量
b. 多发病毒统计
c. 多发病毒主机
3.4.1.4漏洞扫描系统
(1)漏洞扫描系统管理监控
安全管理员要严格管理好漏洞扫描系统,未经领导批准,不得擅自使用。
在使用漏洞扫描系统前应填写《漏洞扫描系统使用申请》(见附件一),获得领导批准后方能使用。
申请内容:漏洞扫描系统的扫描地址范围。
安全管理员在日常维护日志中记录使用漏洞扫描系统的情况。
对发现的重要业务服务器的安全漏洞,必须在报告总部后,根据总部组织的专家咨询意见,获得领导批准后才能打补丁。
(2)漏洞管理月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《漏洞管理月报告》。
《漏洞管理报告》根据漏洞扫描系统扫描数据分析与处理结果填写。
漏洞管理内容:
a.主要应用系统的相关信息及漏洞分布情况
b.根据漏洞进行配置调整与补丁安装情况
3.4.1.5终端桌面安全防护系统
(1)安全事件分析
安全管理员应每天分析终端桌面安全防护系统的安全事件。
安全事件分析内容:
a. 高危险级别事件名称。
b. 高危险级别事件发生时间。
c. 高危险级别事件详细内容和发生原因。
d. 发生高危险级别事件的主机信息。
(2)终端桌面安全防护系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《桌面安全防护系统事件月报告》。
《桌面安全防护系统事件月报告》根据桌面安全防护系统的相应查询功能和安全审计系统中桌面安全防护系统的相关日志分析结果填写。
终端桌面安全防护系统管理内容:
a.资产信息统计
b. 安全事件总数,高危险级别事件数量,中危险级别事件数量。
c.top 10 高危险级别事件。
d.top 10 高危险级别ip地址.
3.4.1.6安全审计系统
(1)安全事件分析
安全管理员应每天分析安全审计系统收集和处理的安全事件日志信息。
安全事件分析内容:
a. windows主机产生的高危险级别事件信息。
b.windows主机产生的高危险级别事件产生的时间。
c.windows主机产生的高危险级别事件所属主机信息。
d. unix主机产生的高危险级别事件信息。
e.unix主机产生的高危险级别事件产生的时间。
f.unix主机产生的高危险级别事件所属主机信息。
g. 网络设备产生的高危险级别事件信息。
h.网络设备产生的高危险级别事件产生的时间。
i.网络设备产生的高危险级别事件所属主机信息。
(2)安全审计系统月统计
安全管理员应按附件二要求如实填写本单位《运行管理报告》中的《安全审计管理月报告》。共包括如下四个报告:《安全审计系统审计源及日志统计》、《windows主机事件报告统计》、《unix主机事件报告统计》、《网络设备事件报告统计》。
《安全审计管理月报告》根据安全审计系统收集的日志结果填写。
安全审计管理内容:
1、安全审计系统审计源及日志统计
a.日志源日志源数量统计
b.日志分级数量统计
2、windows主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3、unix主机事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
4、网络设备事件报告统计
a. 产生事件总数,高危险级别数量。
b. top 10高危险级别事件产生数量的ip地址
3.4.2应急安全管理
在发现安全系统出现《x单位系统重大网络与信息安全事件报告制度》中定义的重大安全事件时,按文件规定的流程进行处理和上报,如果与相应的安全产品关联,应同时记录相关情况。
第15篇 信息科技部-安全管理中心-安全架构岗工作职责与职位要求
职位描述:
1.负责对基础架构、重要业务进行安全评估,提供可落地的解决方案;
2.负责网络、系统及应用的检测与防护的安全研究工作;
3.指导并参与各类安全系统的研发工作,对现有安全系统进行优化和改进;
4.负责对重点项目进行安全评审,识别架构中的安全风险,提出改进建议;
5.负责对各类疑难安全问题、安全事件的分析及应急响应。
6.负责信息安全体系与架构落地推进。
职位要求:
1.计算机相关专业本科以上学历,五年以上安全工作经验;
2.具备扎实的安全理论基础,精通主流安全漏洞原理,熟悉业界安全攻防动态;
3.熟悉主流的安全技术与产品,如:ids、siem、waf、日志分析、db审计等;
4.具备互联网企业安全规划和安全系统的建设经验;
5.至少熟悉一种编程语言(如:java、python、php等),有一定的开发能力;
6.具备优秀的逻辑思维能力,善于解决问题和分析问题。
第16篇 煤矿安全管理信息系统的开发与应用
安全管理是人类改造客观世界推动社会经济发展过程中的一项重要工作,随着计算机数据化、信息化的发展,我们会对煤矿安全管理中的实际情况,开发一套较为实用的煤矿安全管理系统,对实现煤矿安全生产和高产高效起到了促进作用。
1系统特点及构成
1.1系统特点
煤矿安全信息管理系统具有以下特点:
(1) 对各种安全信息分类管理,交叉操作,突破以往单一数据处理。
(2) 实现了对干部的考核与评价,避免人为因素带来不公平等现象。
(3) 计算机代替人工建立报表、台帐等工作,极大节约人力、物力、提高工作质量及效率。
(4) 所有安全信息不再利用人工传阅,可以在线适时浏览。
(5) 可以发布各种宣传信息,实现信息传递的快捷、准确、方便。
1.2系统构成
根据煤矿实际情况把系统划分5个系统,即:
(1) 人员信息子系统。用于全面、准确掌握人员信息,主要功能有人员信息录入、查询、检索和信息修改等。
(2) 信息站子系统。主要包括职工签到、隐患登记、隐患处理、违章情况、“三违”登记、“三违”处理、干部评估、人身伤亡事故、安全检查安全评估日报等信息的录入、浏览、检索、修改等能。
(3) 安检部门子系统。主要用于煤矿安全检部门对安全质量进行检查,对发生的事故进行处罚与奖励等。
(4) 考核统计子系统。包括对干部的考核和有关情况报表。主要有:对干部的下井、质量控制、事故控制、安全行为、安全培训、业务学习的方面进行综和考评,并以得分的形式进行奖励或处罚;对干部的考核、安全检查、违章罚款、干部下井覆盖情况、事故情况等以报表的形式进行上报。
(5) 安全教育技能文献子系统。发布有关国家、集团公司和矿方煤矿安全教育的法律、制度、规程、规范供有关人员参考学习;并且可宣传各种最新技术和安全精神,提高所有工作人员的安全意识。系统构成结构框图如图1所示。
图1 安全管理是信息系统组成结构
2系统硬件构成
系统采用基于网络的传输方式。从矿级领导、科室干部到管理人员都可通过网络进行信息传输。因此,利用本系统结合煤矿的网络硬件资源条件,实现煤矿安全信息的录入、查询、修改、浏览和删除等系统的硬件组成如图2所示。
图2 系统硬件组成
3 系统软件的设计
由于安全信息数据量大,系统访问人数多,所以本系统采用c/s(客户机/服务器)的设计模式,以减少网络的数据传输量。服务器操作系统采用nt server4.0,客户端操作系统采用windiows98/2000,数据库平台选用sql server7.0,系统编程软件采用asp、vbscript javascript。系统软件设计流程图如图3所示。
图3 系统软件设计流程图
4系统应用
屯兰矿是西山煤电(集团)有限责任公司的一座新型现代化大型矿井,矿井设计生产能力为400万t/a,矿井1988年动工兴建,1996年建成并通过投产验收,1997年正式生产,截止2001年底已实现安全生产1500d,生产原煤623.6万t。
安全信息管理系统通过在本矿一年多的生产实际中的应用,使煤矿领导及安全管理人员及时了解掌握了全矿安全信息,准确、有效的对矿井各类安全信息进行一系列数据处理,并在矿区计算机网络中迅速提取不同时段的各类安全报表,大大提高了矿井的安全管理水平,减少矿井安全管理人员,基本实现了煤矿安全管理办公自动化,无论是在经济效益上还是在社会效益上都有了显著的提高。(薛占儒)
