第1篇 信息安全事件管理程序范本
1 目的
為建立一個適當的信息安全事件、薄弱點和故障報告、反應與處理機制,減少信息安全事件和故障所造成的損失,采取有效的糾正與預防措施,特制定本程序。
2 范圍
本程序適用于***業務信息安全事件的管理。
3 職責
3.1 信息安全管理流程負責人
確定信息安全目標和方針;
確定信息安全管理組織架構、角色和職責劃分;
負責信息安全小組之間的協調,內部和外部的溝通;
負責信息安全評審的相關事宜;
3.2 信息安全日常管理員
負責制定組織中的安全策略;
組織安全管理技術責任人進行風險評估;
組織安全管理技術責任人制定信息安全改進建議和控制措施;
編寫風險改進計劃;
3.3 信息安全管理技術責任人
負責信息安全日常監控;
信息安全風險評估;
確定信息安全控制措施;
響應并處理安全事件。
4 工作程序
4.1 信息安全事件定義與分類
信息安全事件是指信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接影響(后果)的。
造成下列影響(后果)之一的,均為一般信息安全事件。
a) ***秘密泄露;
b) 導致業務中斷兩小時以上;
c) 造成信息資產損失的火災;
d) 損失在一萬元人民幣(含)以上的故障/事件。
造成下列影響(后果)之一的,屬于重大信息安全事件。
a) 組織機密泄露;
b) 導致業務中斷十小時以上;
c) 造成機房設備毀滅的火災;
d) 損失在十萬元人民幣(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理負責人組織相關的運維技術人員根據***對信息安全的要求,確認代碼管理相關信息系統的安全需求;
對代碼管理相關信息系統進行信息安全風險評估,預測風險類型、風險發生的可能性、風險級別、潛在的業務影響,形成信息安全風險評估報告;
由信息安全日常管理員組織相關技術人員根據對根據風險評估的結果以及服務級別協議的安全需求,提出現階段的安全改進建議,并提交至信息安全管理負責人進行評估;若同意執行安全改進建議,則在變更管理的控制下實施安全建議;
信息安全日常管理員根據安全改進之后的信息系統安全現狀提出具體的安全控制措施,形成風險處置計劃;
根據風險處置計劃,實施信息安全控制措施,盡可能的降低信息和業務風險;
監視信息系統的活動并識別反常的活動和安全事件,并記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,并采取必要的糾正措施;
對發現的或已發生的信息安全事件,按照信息安全事件響應程序進行處理;
每年一次或在發生重大信息安全事件時進行信息安全評審,分析信息安全事件的顯現趨勢、信息安全管理的改進等信息,并形成風險改進計劃,持續改進信息系統安全。
4.3 信息安全事件事后處理措施
對于一般信息安全事件,在故障排除或采取必要措施后,相關信息安全管理職能部門會同事件責任部門,對事件的原因、類型、損失、責任進行鑒定,形成《信息安全事件報告》,報信息安全管理者代表批準;對于重大信息安全事件的處理意見還應上報信息安全管理委員會討論通過。
對于違反組織信息安全方針、程序安全規章所造成的信息安全事件責任者依據以下措施予以懲戒。
處罰方式:
一般安全事故,根據所造成的經濟損失,由***辦公室通過郵件發出正式嚴重警告。
一年內累計出現三次或三次以上的一般安全事故,報***領導批準后進行相應懲罰,并在***進行通報批評。
造成重大安全事故的,***有權將責任人調離原工作崗并給予相應懲罰。
一年內累計出現二次或二次以上的重大安全事故,***有權解除勞動合同并依法追究法律責任。
如果屬于故意行為導致信息安全事故,***有權解除勞動合同并依法追究法律責任。
對于信息安全事故責任人的處理結果由處理部門在***范圍內予以通報。
負有信息安全事故處罰的各職能部門在確定實施處罰后,***室與被處罰部門溝通,確認責任者及處罰方式并上報***領導。
信息安全管理職能部門要求事件責任部門制定糾正措施并實施,實施結果記錄在《信息安全事件報告》。
由信息安全管理職能部門對實施情況進行跟蹤驗證,驗證結果記入《信息安全事件報告》。
4.4 報告信息安全薄弱點與預防措施
***與信息安全管理有關的所有員工發現信息安全薄弱點或潛在威脅均應履行報告義務。
對以下行為應給予獎勵:
及時發現非責任區信息安全隱患,該隱患足以導致信息安全事故的;
及時發現非責任區信息安全重大隱患,該隱患足以導致信息安全重大事故的;
及時發現并制止系統操作問題以避免設備重大損失或人員死亡的;
及時制止或報告泄露商業機密的事件以避免***重大經濟損失或及時中止正在進行中的商業泄密行為的;
在信息安全事故中采取積極有效措施,降低損失的程度。
獎勵方式如下:
根據防止一般安全事故發生、一年內防止一般安全事故發生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業泄密行為、提出信息安全合理化建議等級別,報請***批準后,給予相應表揚或獎勵,并作為年底工作考核依據。
發現信息安全事故、薄弱點與故障的員工填寫《一般信息安全事件/薄弱點報告》,相關的代碼管理中心及信息安全實驗室進行調查后,確定是否采取預防措施,確認責任部門并實施。
5 相關文件
6 相關記錄
第2篇 數據中心信息安全管理及管控要求
隨著在世界范圍內,信息化水平的不斷發展,數據中心的信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(iso)也發布了iso17799、iso13335、iso15408等與信息安全相關的國際標準及技術報告。目前,在信息安全管理方面,英國標準iso27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標準,它是在bsi/disc的bdd/2信息安全管理委員會指導下制定完成。
iso27001標準于1993年由英國貿易工業部立項,于1995年英國首次出版bs 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。iso27000-1與iso27000-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月,iso27000-1:1999《信息安全管理實施細則》通過了國際標準化組織iso的認可,正式成為國際標準iso/iec17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,iso27000-2:2002草案經過廣泛的討論之后,終于發布成為正式標準,同時iso27000-2:1999被廢止。現在,iso27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對信息安全進行系統的管理,數據中心(idc)應逐步建立并完善標準化的信息安全管理體系。
一、 數據中心信息安全管理總體要求
1、信息安全管理架構與人員能力要求
1.1信息安全管理架構
idc在當前管理組織架構基礎上,建立信息安全管理委員會,涵蓋信息安全管理、應急響應、審計、技術實施等不同職責,并保證職責清晰與分離,并形成文件。
1.2人員能力
具備標準化 信息安全管理體系內部審核員、cisp(certified information security professional,國家注冊信息安全專家)等相關資質人員。5星級idc至少應具備一名合格的標準化信息安全管理內部審核員、一名標準化 主任審核員。4星級idc至少應至少具備一名合格的標準化信息安全管理內部審核員
2、信息安全管理體系文件要求,根據idc業務目標與當前實際情況,建立完善而分層次的idc信息安全管理體系及相應的文檔,包含但不限于如下方面:
2.1信息安全管理體系方針文件
包括idc信息安全管理體系的范圍,信息安全的目標框架、信息安全工作的總方向和原則,并考慮idc業務需求、國家法律法規的要求、客戶以及合同要求。
2.2風險評估
內容包括如下流程:識別idc業務范圍內的信息資產及其責任人;識別資產所面臨的威脅;識別可能被威脅利用的脆弱點;識別資產保密性、完整性和可用性的喪失對idc業務造成的影響;評估由主要威脅和脆弱點導致的idc業務安全破壞的現實可能性、對資產的影響和當前所實施的控制措施;對風險進行評級。
2.3風險處理
內容包括:與idc管理層確定接受風險的準則,確定可接受的風險級別等;建立可續的風險處理策略:采用適當的控制措施、接受風險、避免風險或轉移風險;控制目標和控制措施的選擇和實施,需滿足風險評估和風險處理過程中所識別的安全要求,并在滿足法律法規、客戶和合同要求的基礎上達到最佳成本效益。
2.4文件與記錄控制
明確文件制定、發布、批準、評審、更新的流程;確保文件的更改和現行修訂狀態的標識、版本控制、識別、訪問控制有完善的流程;并對文件資料的傳輸、貯存和最終銷毀明確做出規范。
記錄控制內容包括:保留信息安全管理體系運行過程執行的記錄和所有發生的與信息安全有關的重大安全事件的記錄;記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。
2.5內部審核
idc按照計劃的時間間隔進行內部isms審核,以確定idc的信息安全管理的控制目標、控制措施、過程和程序符標準化標準和相關法律法規的要求并得到有效地實施和保持。五星級idc應至少每年1次對信息安全管理進行內部審核。四星級idc應至少每年1次對信息安全管理進行內部審核。
2.6糾正與預防措施
idc建立流程,以消除與信息安全管理要求不符合的原因及潛在原因,以防止其發生,并形成文件的糾正措施與預防措施程序無
2.7控制措施有效性的測量
定義如何測量所選控制措施的有效性;規定如何使用這些測量措施,對控制措施的有效性進行測量(或評估)。
2.8管理評審
idc管理層按計劃的時間間隔評審內部信息安全管理體系,以確保其持續的適宜性、充分性和有效性,最終符合idc業務要求。
五星級idc管理層應至少每年1次對idc的信息安全管理體系進行評審四星級idc管理層應至少每年1次對idc的信息安全管理體系進行評審。
2.9適用性聲明
適用性聲明必須至少包括以下3項內容: idc所選擇的控制目標和控制措施,及其選擇的理由;當前idc實施的控制目標和控制措施;標準化附錄a中任何控制目標和控制措施的刪減,以及刪減的正當性理由。
2.10業務連續性
過業務影響分析,確定idc業務中哪些是關鍵的業務進程,分出緊急先后次序; 確定可以導致業務中斷的主要災難和安全失效、確定它們的影響程度和恢復時間; 進行業務影響分析,確定恢復業務所需要的資源和成本,決定對哪些項目制作業務連續性計劃(bcp)/災難恢復計劃(drp)。
2.11其它相關程序
另外,還應建立包括物理與環境安全、信息設備管理、新設施管理、業務連續性管理、災難恢復、人員管理、第三方和外包管理、信息資產管理、工作環境安全管理、介質處理與安全、系統開發與維護、法律符合性管理、文件及材料控制、安全事件處理等相關流程與制度。
二、信息安全管控要求
1、安全方針
信息安全方針文件與評審建立idc信息安全方針文件需得到管理層批準、發布并傳達給所有員工和外部相關方。
至少每年一次或當重大變化發生時進行信息安全方針評審。
2、信息安全組織
2.1 內部組織
2.1.1信息安全協調、職責與授權
信息安全管理委員會包含idc相關的不同部門的代表;所有的信息安全職責有明確成文的規定;對新信息處理設施,要有管理授權過程。
2.1.2保密協議
idc所有員工須簽署保密協議,保密內容涵蓋idc內部敏感信息;保密協議條款每年至少評審一次。
2.1.3權威部門與利益相關團體的聯系
與相關權威部門(包括,公安部門、消防部門和監管部門)建立溝通管道;與安全專家組、專業協會等相關團體進行溝通。
2.1.4獨立評審
參考“信息安全管理體系要求”第5和第8條關于管理評審、內部審核的要求,進行獨立的評審。
審核員不能審核評審自己的工作;評審結果交管理層審閱。
2.2 外方管理
2.2.1外部第三方的相關風險的識別
將外部第三方(設備維護商、服務商、顧問、外包方臨時人員、實習學生等)對idc信息處理設施或信息納入風險評估過程,考慮內容應包括:需要訪問的信息處理設施、訪問類型(物理、邏輯、網絡)、涉及信息的價值和敏感性,及對業務運行的關鍵程度、訪問控制等相關因素。
建立外部第三方信息安全管理相關管理制度與流程。
2.2.2客戶有關的安全問題
針對客戶信息資產的保護,根據合同以及相關法律、法規要求,進行恰當的保護。
2.2.3處理第三方協議中的安全問題
涉及訪問、處理、交流(或管理)idc及idc客戶的信息或信息處理設施的第三方協議,需涵蓋所有相關的安全要求。
3、信息資產管理
3.1 資產管理職責
3.1.1資產清單與責任人
idc對所有信息資產度進行識別,將所有重要資產都進行登記、建立清單文件并加以維護。
idc中所有信息和信息處理設施相關重要資產需指定責任人。
3.1.2資產使用
指定信息與信息處理設施使用相關規則,形成了文件并加以實施。
3.2 信息資產分類
3.2.1資產分類管理
根據信息資產對idc業務的價值、法律要求、敏感性和關鍵性進行分類,建立一個信息分類指南。
信息分類指南應涵蓋外來的信息資產,尤其是來自客戶的信息資產。
3.2.2信息的標記和處理
按照idc所采納的分類指南建立和實施一組合適的信息標記和處理程序。
4、人力資源安全
這里的人員包括idc雇員、承包方人員和第三方等相關人員。
4.1信息安全角色與職責
人員職責說明體現信息安全相關角色和要求。
4.2背景調查
人員任職前根據職責要求和崗位對信息安全的要求,采取必要的背景驗證。
4.3雇用的條款和條件
人員雇傭后,應簽署必要的合同,明確雇傭的條件和條款,并包含信息安全相關要求。
4.4信息安全意識、教育和培訓
入職新員工培訓應包含idc信息安全相關內容。
至少每年一次對人員進行信息安全意識培訓。
4.5安全違紀處理
針對安全違規的人員,建立正式的紀律處理程序。
4.6雇傭的終止與變更
idc應清晰規定和分配雇用終止或雇用變更的職責;雇傭協議終止于變更時,及時收回相關信息資產,并調整或撤銷相關訪問控制權限。
5、物理與環境安全
5.1 安全區域
5.1.1邊界安全與出入口控制
根據邊界內資產的安全要求和風險評估的結果對idc物理區域進行分區、分級管理,不同區域邊界與出入口需建立卡控制的入口或有人管理的接待臺。
入侵檢測與報警系統覆蓋所有門窗和出入口,并定期檢測入侵檢測系統的有效性。
機房大樓應有7×24小時的專業保安人員,出入大樓需登記或持有通行卡。
機房安全出口不少于兩個,且要保持暢通,不可放置雜物。
5星級idc:出入記錄至少保存6個月,視頻監控至少保存1個月。
4星級idc:出入記錄至少保存6個月,視頻監控至少保存1個月。
5.1.2 idc機房環境安全
記錄訪問者進入和離開idc的日期和時間,所有的訪問者要需要經過授權。
建立訪客控制程序,對服務商等外部人員實現有效管控。
所有員工、服務商人員和第三方人員以及所有訪問者進入idc要佩帶某種形式的可視標識,已實現明顯的區分。外部人員進入idc后,需全程監控。
5.1.3防范外部威脅和環境威脅
idc對火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞建立足夠的防范控制措施;危險或易燃材料應在遠離idc存放;備份設備和備份介質的存放地點應與idc超過10公里的距離。
機房內應嚴格執行消防安全規定,所有門窗、地板、窗簾、飾物、桌椅、柜子等材料、設施都應采用防火材料。
5.1.4公共訪問區和交接區
為了避免未授權訪問,訪問點(如交接區和未授權人員可以進入的其它地點)需進行適當的安全控制,設備貨物交接區要與信息處理設施隔開。
5.2 設備安全
5.2.1設備安全
設備盡量安置在可減少未授權訪問的適當地點;對于處理敏感數據的信息處理設施,盡量安置在可限制觀測的位置;對于需要特殊保護的設備,要進行適當隔離;對信息處理設施的運行有負面影響的環境條件(包括溫度和濕度),要進行實時進行監視。
5.2.2支持性設備安全
支持性設施(例如電、供水、排污、加熱/通風和空調等)應定期檢查并適當的測試以確保他們的功能,減少由于他們的故障或失效帶來的風險。
實現多路供電,以避免供電的單一故障點。
5.2.3線纜安全
應保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。
電源電纜要與通信電纜分開;各種線纜能通過標識加以區分,并對線纜的訪問加以必要的訪問控制。
線纜標簽必須采用防水標簽紙和標簽打印機進行正反面打印(或者打印兩張進行粘貼),標簽長度應保證至少能夠纏繞電纜一圈或一圈半,打印字符必須清晰可見,打印內容應簡潔明了,容易理解。標簽的標示必須清晰、簡潔、準確、統一,標簽打印應當前后和上下排對齊。
5.2.4設備維護
設備需按照供應商推薦的服務時間間隔和說明書,進行正確維護;設備維護由已授權人員執行,并保存維護記錄1年。
5.2.5組織場所外的設備安全
應對組織場所的設備采取安全措施,要考慮工作在組織場所以外的不同風險。
5.2.6設備的安全處置或再利用
包含儲存介質的設備的所有項目應進行檢查,以確保在銷毀之前,任何敏感信息和注冊軟件已被刪除或安全重寫。
5.2.7資產的移動
設備、信息或軟件在授權之前不應帶出組織場所,設置設備移動的時間限制,并在返還時執行符合性檢查;對設備做出移出記錄,當返回時,要做出送回記錄。
6、通信和操作管理
6.1 運行程序和職責
6.1.1運行操作程序文件化
運行操作程序文件化并加以保持,并方便相關使用人員的訪問。
6.1.2變更管理
對信息處理設施和系統的變更是否受控,并考慮:重大變更的標識和記錄;變更的策劃和測試;對這種變更的潛在影響的評估,包括安全影響;對建議變更的正式批準程序;向所有有關人員傳達變更細節;返回程序,包括從不成功變更和未預料事態中退出和恢復的程序與職責。
6.1.3職責分離
各類責任及職責范圍應加以分割,以降低未授權或無意識的修改或者不當使用組織資產的機會。
6.1.4開發設施、測試設施和運行設施的分離
開發、測試和運行設施應分離,以減少未授權訪問或改變運行系統的風險。
6.2 第三方服務交付管理
6.2.1服務交付
應確保第三方實施、運行和保持包含在第三方服務交付協議中的安全控制措施、服務定義和交付水準。
idc應確保第三方保持足夠的服務能力和可使用的計劃以確保商定的服務在大的服務故障或災難后繼續得以保持。
6.2.2第三方服務的監視和評審
應定期監視和評審由第三方提供的服務、報告和記錄,審核也應定期執行,并留下記錄。
6.2.3第三方服務的變更管理
應管理服務提供的變更,包括保持和改進現有的信息安全方針策略、程序和控制措施,要考慮業務系統和涉及過程的關鍵程度及風險的再評估
6.3系統規劃和驗收
6.3.1容量管理
idc各系統資源的使用應加以監視、調整,并做出對于未來容量要求的預測,以確保擁有所需的系統性能。
系統硬件系統環境的功能、性能和容量要滿足idc業務處理的和存貯設備的平均使用率宜控制在75%以內。
網絡設備的處理器和內存的平均使用率應控制在75%以內。
6.3.2系統驗收
建立對新信息系統、升級及新版本的驗收準則,并且在開發中和驗收前對系統進行適當的測試。
6.4防范惡意代碼和移動代碼
6.4.1對惡意代碼的控制措施
實施惡意代碼的監測、預防和恢復的控制措施,以及適當的提高用戶安全意識的程序
6.4.2對移動代碼的控制措施
當授權使用移動代碼時,其配置確保授權的移動代碼按照清晰定義的安全策略運行,應阻止執行未授權的移動代碼。
6.5 備份
6.5.1備份
應按照客戶的要求以及已設的備份策略,定期備份和測試信息和軟件。各個系統的備份安排應定期測試以確保他們滿足業務連續性計劃的要求。對于重要的系統,備份安排應包括在發生災難時恢復整個系統所必需的所有系統信息、應用和數據。
應確定最重要業務信息的保存周期以及對要永久保存的檔案拷貝的任何要求。
6.6 網絡安全管理
6.6.1網絡控制
為了防止使用網絡時發生的威脅和維護系統與應用程序的安全,網絡要充分受控;網絡的運行職責與計算機系統的運行職責實現分離;敏感信息在公用網絡上傳輸時,考慮足夠的加密和訪問控制措施。
6.6.2網絡服務的安全
網絡服務(包括接入服務、私有網絡服務、增值網絡和受控的網絡安全解決方案,例如防火墻和入侵檢測系統等)應根據安全需求,考慮如下安全控制措施:為網絡服務應用的安全技術,例如認證、加密和網絡連接控制;按照安全和網絡連接規則,網絡服務的安全連接需要的技術參數;若需要,網絡服務使用程序,以限制對網絡服務或應用的訪問。
6.7 介質管理
6.7 .1可移動介質的管理
建立適當的可移動介質的管理程序,規范可移動介質的管理。
可移動介質包括磁帶、磁盤、閃盤、可移動硬件驅動器、cd、dvd和打印的介質
6.7 .2介質的處置
不再需要的介質,應使用正式的程序可靠并安全地處置。保持審計蹤跡,保留敏感信息的處置記錄。
6.7 .3信息處理程序
建立信息的處理及存儲程序,以防止信息的未授權的泄漏或不當使用。
包含信息的介質在組織的物理邊界以外運送時,應防止未授權的訪問、不當使用或毀壞。
6.8 信息交換
6.8.1信息交換策略和程序
為了保護通過使用各種類型的通信設施進行信息交換,是否有正式的信息交換方針、程序和控制措施。
6.8.2外方信息交換協議
在組織和外方之間進行信息/軟件交換時,是否有交換協議。
6.8.3電子郵件、應用系統的信息交換與共享
建立適當的控制措施,保護電子郵件的安全;為了保護相互連接的業務信息系統的信息,開發與實施相關的方針和程序。
6.9 監控
6.9.1審計日志
審計日志需記錄用戶活動、異常事件和信息安全事件;為了幫助未來的調查和訪問控制監視,審計日志至少應保存1年。
6.9.2監視系統的使用
應建立必要的信息處理設施的監視使用程序,監視活動的結果應定期評審。
6.9.3日志信息的保護
記錄日志的設施和日志信息應加以保護,以防止篡改和未授權的訪問。
6.9.4管理員和操作員日志
系統管理員和系統操作員活動應記入日志。系統管理員與系統操作員無權更改或刪除日志。
6.9.5故障日志
與信息處理或通信系統的問題有關的用戶或系統程序所報告的故障要加以記錄、分析,并采取適當的措施。
6.9.6時鐘同步
一個安全域內的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。
5星級idc各計算機系統的時鐘與標準時間的誤差不超過10秒。
4星級idc各計算機系統的時鐘與標準時間的誤差不超過25秒。
7、訪問控制
7.1用戶訪問管理
應有正式的用戶注冊及注銷程序,來授權和撤銷對所有信息系統及服務的訪問。
應限制和控制特殊權限的分配及使用;應通過正式的管理過程控制口令的分配,確保口令安全;管理層應定期使用正式過程對用戶的訪問權進行復查。
7.2用戶職責
建立指導用戶選擇和使用口令的指南規定,使用戶在選擇及使用口令時,遵循良好的安全習慣。
用戶應確保無人值守的用戶設備有適當的保護,防止未授權的訪問。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略,idc并定期組織檢查效果。
7.3網絡訪問控制
建立訪問控制策略,確保用戶應僅能訪問已獲專門授權使用的服務。
應使用安全地鑒別方法以控制遠程用戶的訪問,例如口令+證書。
對于診斷和配置端口的物理和邏輯訪問應加以控制,防止未授權訪問。
根據安全要求,應在網絡中劃分安全域,以隔離信息服務、用戶及信息系統;對于共享的網絡,特別是越過組織邊界的網絡,用戶的聯網能力應按照訪問控制策略和業務應用要求加以限制,并建立適當的路由控制措施。
7.4操作系統訪問控制
建立一個操作系統安全登錄程序,防止未授權訪問;所有用戶應有唯一的、專供其個人使用的標識符(用戶id),應選擇一種適當的鑒別技術證實用戶所宣稱的身份。
可能超越系統和應用程序控制的管理工具的使用應加以限制并嚴格控制。
不活動會話應在一個設定的休止期后關閉;使用聯機時間的限制,為高風險應用程序提供額外的安全。
7.5應用和信息訪問控制
用戶和支持人員對信息和應用系統功能的訪問應依照已確定的訪問控制策略加以限制。
敏感系統應考慮系統隔離,使用專用的(或孤立的)計算機環境。
7.6移動計算和遠程工作
應有正式策略并且采用適當的安全措施,以防范使用移動計算和通信設施時所造成的風險。
通過網絡遠程訪問idc,需在通過授權的情況下對用戶進行認證并對通信內容進行加密。
8、信息系統獲取、開發和維護
8.1安全需求分析和說明
在新的信息系統或增強已有信息系統的業務需求陳述中,應規定對安全控制措施的要求。
8.2信息處理控制
輸入應用系統的數據應加以驗證,以確保數據是正確且恰當的。
驗證檢查應整合到應用中,以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。
通過控制措施,確保信息在處理過程中的完整性,并對處理結果進行驗證。
8.3密碼控制
應開發和實施使用密碼控制措施來保護信息的策略,并保證密鑰的安全使用。
8.4系統文件的安全
應有程序來控制在運行系統上安裝軟件;試數據應認真地加以選擇、保護和控制;應限制訪問程序源代碼。
8.5開發過程和支持過程中的安全
建立變更控制程序控制變更的實施;當操作系統發生變更后,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響。
idc應管理和監視外包軟件的開發。
8.6技術脆弱性管理
應及時得到現用信息系統技術脆弱性的信息,評價組織對這些脆弱性的暴露程度,并采取適當的措施來處理相關的風險。
9、信息安全事件管理
9.1報告信息安全事態和弱點
建立正式的idc信息安全事件報告程序,并形成文件。
建立適當的程序,保證信息安全事態應該盡可能快地通過適當的管理渠道進行報告,要求員工、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統或服務的安全弱點。
9.2職責和程序
應建立管理職責和架構,以確保能對信息安全事件做出快速、有效和有序的響應。
9.3對信息安全事件的總結和證據的收集
建立一套機制量化和監視信息安全事件的類型、數量和代價,并且當一個信息安全事件涉及到訴訟(民事的或刑事的),需要進一步對個人或組織進行起訴時,應收集、保留和呈遞證據,以使證據符合相關訴訟管轄權。
10、業務連續性管理
10.1業務連續性計劃
建立和維持一個用于整個組織的業務連續性計劃,通過使用預防和恢復控制措施,將對組織的影響減少到最低,并從信息資產的損失中恢復到可接受的程度。
10.2業務連續性和風險評估
通過恰當的程序,識別能引起idc業務過程中斷的事態(例如,設備故障、人為錯誤、盜竊、火災、自然災害和恐怖行為等),這種中斷發生的概率和影響,以及它們對信息安全所造成的后果。
業務資源與過程責任人參與業務連續性風險評估。
10.3制定和實施包括信息安全的連續性計劃
建立業務運行恢復計劃,以使關鍵業務過程在中斷或發生故障后,能在規定的水準與規定的時間范圍恢復運行
10.4測試、維護和再評估業務連續性計劃
業務連續性計劃應定期測試和更新,以確保其及時性和有效性。
定期測試及更新業務連續性計劃(bcp)/災難恢復計劃(drp),并對員工進行培訓;定期對idc的風險進行審核和管理評審,及時發現潛在的災難和安全失效。
5星級idc:至少每年一次測試及更新;bcp/drp,并對員工進行培訓; 至少每年一次對idc的風險進行審核和管理評審,及時發現潛在的災難和安全失效。
4星級idc:至少每年一次測試及更新;bcp/drp,并對員工進行培訓;至少每年一次對idc的風險進行審核和管理評審,及時發現潛在的災難和安全失效。
11、符合性
11.1可用法律、法規的識別
idc所有相關的法令、法規和合同要求,以及為滿足這些要求組織所采用的方法,應加以明確地定義、收集和跟蹤,并形成文件并保持更新。
11.2知識產權
應實施適當的程序,以確保在使用具有知識產權的材料和具有所有權的軟件產品時,符合法律、法規和合同的要求。
11.3保護組織的記錄
應防止重要的記錄遺失、毀壞和偽造,以滿足法令、法規、合同和業務的要求。
11.4技術符合性檢查
定期地對信息系統進行安全實施標準符合檢查,由具有勝任能力的已授權的人員執行,或在他們的監督下執行。
11.5數據保護和個人信息的隱私
應依照相關的法律、法規和合同條款的要求,確保數據保護和隱私。
第3篇 安全風險信息平臺工作管理辦法
第一章 總則
第一條 為規范石家莊市軌道交通安全風險監控工作,規范地鐵建設參建各方在安全風險監控管理上的工作責任、工作內容及工作流程,加強相關單位和部門在安全風險監控工作中的協同性,提升軌道交通建設安全風險管理的專業化和規范化水平,最大程度規避和減少軌道交通工程建設及周邊環境的安全事故的發生,制定本辦法。
第二條 本辦法根據住建部《城市軌道交通工程質量安全檢查指南(試行)》,公司《石家莊市軌道交通工程建設安全風險管理體系》文件的相關規定,結合我市軌道交通工程建設實際制定。
第三條 本辦法適用于石家莊市軌道交通工程施工階段的安全風險監控管理工作。
第四條 相關參建單位應用安全風險監控與信息平臺情況考核,分日常管理考核與雙月度考核,由安全質量部牽頭負責考核。
第五條 安全風險監控工作考核堅持客觀、公開、公平、公正的原則,自覺接受紀檢監察部門和群眾的監督。
第六條 除本辦法外,軌道交通工程建設相關單位還應遵守國家和地方有關法律、法規、規范、標準。
第二章考核內容
第七條 投資承建單位
投資承建單位應成立信息化領導小組,總工程師任負責人,并設立專職信息員督促所轄施工標段落實安全風險信息化管理工作。
第八條 標段施工單位
(一)各施工標段項目部安全總監牽頭成立風險信息化小組,項目部安全總監和安質部長每天必須登錄安全風險監控信息平臺,主要任務有:
1.每日17:00前,將自查臺賬和抽查臺賬檢查的問題、施工監測數據上傳平臺;
2.巡視閉合閱處:通過安全風險監控信息平臺對各單位提出的問題、要求和發布的通知、文件、通報(包含業主公告、各類巡檢通報、日常風險巡查推送的問題、軌道公司文件、預消警會議紀要、監控中心周報、預警處置等)進行落實、整改、回復。填寫回復內容,并可上傳相關附件。要求對所有的通報及整改通知的回復都以掃描件上傳至相應內容的回復區域;
3.預警響應處置:及時處理平臺發出的本標段預警,在預警處置中,要詳細填寫處置措施及現場處置照片、視頻等。
(二)視頻監控系統:提供現場信息化設備放置場地及視頻會議室,配備網絡設備和網絡線路,保證各類信息能全面、及時、準確的上傳平臺(相關硬件參數見附件一):
1.按施工實際需要和軌道公司要求設置視頻監控,施工單位負責采購本標段所需要的設備與硬件等,并負責進行安裝、調試、移位、維護和管理工作,確保視頻監控正常使用;
2.攝像頭數量、位置要求:
車站明挖基坑至少設置2個攝像頭,礦山法暗挖工程,要求每個掌子面設置1個攝像頭,要清晰看到暗挖掌子面,并確保每掘進15米移動一次,蓋挖車站參照礦山法施工要求設置;
附屬結構明挖基坑、施工豎井至少安裝1個前端監控設備;
施工豎井上各設置1個攝像頭,重大風險源處根據評估情況設置;
安全文明施工管理:有出渣土行為的施工現場,渣土車輛進出的大門口在開工前必須安裝攝像頭,并接入安全風險監控信息系統。此項作為開工核查條件之一。
3.要保持視頻監控 24小時正常運行,并確保監控視頻的攝像角度和照明亮度,以滿足視頻監控的需要。不得隨意挪動、故意遮擋、污損、用光照射攝像頭,不得無故中斷、關閉視頻(特別是夜晚施工時)和人為破壞設備;
4.提供全天候的應急響應服務,須在監控中心發出平臺故障通知后24小時內修復,保證平臺正常運轉。
(三)盾構監控
1.按照實現盾構實時數據監控要求配備電腦等設備,必要時施工單位需安排盾構廠家技術人員到現場配合數據解譯;
2.每日上傳出土量,同步注漿量;
(四)工程資料錄入:工程開工前,施工單位要及時錄入必要的工程資料,資料目錄詳見附件二。
第九條 第三方監測單位
(一)項目部項目負責人牽頭成立風險信息化小組,負責安全風險監控信息平臺日常管理工作,并配備專職信息員;
(二)監測數據上傳:每日17:00前上傳當天監測數據;
(三)及時查看并通過安全風險監控信息平臺對建設單位(含監控中心)提出的問題和要求進行落實、整改回復;
(四)每日瀏覽本標段工點風險情況,同時根據各自工點的安全評估狀態,及時做出回復和處理。對數據異常和存在安全隱患的工點,應根據現場實際情況加密監測點增加監測頻率,并及時上傳監測數據。
第十條 監理單位
(一)安全專監牽頭成立風險信息化小組,負責安全風險監控信息平臺日常管理工作,并配備專職信息員;
(二)每日將抽查臺賬檢查問題和巡查報告上傳安全風險監控信息平臺。對有風險、監測數據異常以及重大安全隱患和危險征兆的工點,督促施工單位進行整改和回復,并及時向監控中心反饋;
(三)及時查看并安排相關人員通過信息平臺對建設單位及風險監控中心提出的問題、要求和發布的通知、文件、通報(包含業主公告、各類巡檢通報、軌道公司文件、預消警會議紀要、監控中心周報、預警處置等)進行落實、整改、回復;
(四)督促施工單位整改安全風險監控信息平臺上發布的各類檢查通報,并做好復查工作。督促施工單位對安全風險監控信息平臺上各項事件進行閉合管理;
(五)預警響應處置:每日登錄平臺瀏覽各自工點風險情況,同時根據各自工點的安全評估狀態,及時做出回復和處理。工點評估為“有風險”或“預警”狀態,按預警流程處理,將處理結果在信息平臺回復。
第三章獎懲
第十一條 安全風險監控信息平臺使用情況考核按單位性質分為標段施工單位、第三方監測單位、監理單位三個組,各組內不再按線路區分參建單位。安質部組織每兩個月對各單位安全風險監控信息平臺使用情況進行考核評分,各組分別排名,評分標準見附件三。投資承建單位信息平臺使用情況納入季度考核。
第十二條 通過視頻監控和巡視發現施工現場視頻不按規定設置、違規挪動、故意遮擋、污損、用光照射鏡頭、無故中斷、關閉視頻,以及視頻監控平臺被人為破壞等問題,且拒絕整改、未按時整改、整改不到位的,每個問題給予10000元的處罰。有渣土車輛進出的施工現場大門口沒有安裝攝像頭并接入監控信息系統的,罰款50萬元。
第十三條 對日常巡查推送的問題,拒絕整改、未按時整改、整改不到位、整改但未及時回復的,每個問題給予5000元的處罰。安質部對整改閉合情況進行抽查,發現弄虛作假的,每個問題給予20000元的處罰。
第十四條 對監測數據和巡視報告上傳不及時的,每次處罰5000元。
第十五條 對履行《石家莊市軌道交通建設工程安全風險監控管理辦法》工作職責不到位的,視情節輕重、整改態度、影響大小,每人次/問題給予5000元的處罰;對不配合或阻撓監控中心工作的單位,每次處罰10000元。
第十六條 對在同一個考核周期內相同、類似問題多次重復發生的,從第三次開始,實施雙倍處罰。
第十七條 監控中心每雙月月底匯總存在問題情況,安全質量部審核后,填寫處罰單,并形成考核處罰通報上傳信息平臺(處罰單見附件四)。
第十八條 雙月考核排名考核結果將通過公司文件形式下發通報,對工作不積極,效率差,不配合工作的單位將約談該單位主要領導。
第十九條 對各組排名靠前的單位予以獎勵,獎勵總額為前兩個月對被考核各單位處罰金額總和。標段施工單位組前1-5名分別獎勵前兩個月總處罰金額的20%、16%、12%、8%、8%,合計64%;第三方監測組第1名獎勵前兩個月總處罰金額的6%;監理單位組前1-3名分別獎勵前兩個月總處罰金額的12%、10%、8%,合計30%。所有獎勵處罰款項一并納入季度驗工計價,在季度驗工計價中扣除。
第四章 附則
第二十條 本辦法由石家莊市軌道交通有
第4篇 運用信息技術提高煤炭企業安全管理水平
目前,我國煤炭企業存在的安全法規不完善,勞動者素質低,安全技措資金缺口大,安全管理的手段落后和安全管理信息體系不完善等問題,并從安全預警和災害應急處理等方面進一步分析了信息技術提升煤炭企業安全管理水平的可行性。
一、我國煤炭企業安全管理的現狀及存在問題
近幾年來,我國煤炭企業的安全管理工作有了明顯好轉,全國煤礦百萬噸死亡率有了明顯下降,其中國有重點煤礦下降最快。但由于安全管理和安全科技水平等相對落后,煤礦事故多、傷亡大、職業病嚴重的狀況仍未得到根本好轉,與其他主要產煤國家相比仍有很大差距。
1.勞動者素質較低
煤炭企業通風安全管理的核心是人的管理。目前,煤礦生產已經逐步發展到采掘機械化、生產集中化、生產環節互相依賴化、管理進入系統化、信息化的嶄新階段,對人的素質要求很高。然而,煤炭企業的工人素質與其他行業相比明顯較差。一是文化水平低,小學文化程度占大多數,不易掌握操作技術和安全規程,在實際操作過程中,有的冒險蠻干,嚴重違章;二是心理素質差,有的人對井下作業恐慌畏懼、情緒波動反常,有的人又麻痹松懈,存在消極勞動情緒,甚至個別人偷工減料埋下安全隱患。
2.安全技術資金缺口大
煤炭開采受地質條件的影響很大。過去由國家投入的大量設備如今已嚴重老化,維修量大。隨著礦井延深,礦壓不斷增加,巷道維修的任務也在不斷加重,礦井的提升和排水能力很難適應生產需要。
3.安全管理的手段落后
與西方發達產煤國相比,我國煤礦應用技術研究起步較晚。人力、財力不足,一些重大的安全技術問題,如沖擊地壓、煤與瓦斯突出、地熱、突水等災害控制仍不徹底。加之受傳統經營思想的影響和企業經濟實力的制約,我國煤礦生產裝備及安全監控設備還比較落后。井巷斷面設計、支護強度確定、支護材料選型較小。生產設備功率、礦井供風量等富余系數偏低,易發生事故。
4.安全信息管理體系不完善
安全信息是安全管理工作的主要依據,它包括事故及職業傷害的記錄、分析、統計;職業安全衛生設備的研究、設計、生產及檢驗技術;法律、規章、技術標準及其變化動態;教育、培訓、宣傳及社會活動,國內新技術動態、隱患評價及技術經濟分析、咨詢、決策系統等。在這一點上多數礦井仍處于起步和探索階段,信息傳遞周期長,沒有形成完整的體系,實際應用尚有較大欠缺。
二、信息技術可提升煤炭企業安全管理水平
以計算機和通訊技術為代表的信息技術的發展給各行各業的管理帶來了一場變革,計算機和通訊技術結合安全原理、系統分析方法將從本質上提升煤炭企業的安全管理水平,主要體現在以下幾點。
1.提升煤炭企業的安全預警能力??? 煤炭企業屬于傳統的資源開采型企業。煤礦通風安全對煤炭企業影響巨大,通風安全工作在煤礦生產中占有重要地位,其管理好壞直接關系到煤礦的安全生產和經濟效益。煤炭企業的通風安全管理是一項系統工程,涉及從煤炭開采、生產加工到煤炭產品銷售的全過程。從影響煤炭企業安全管理的因素劃分,通風安全管理包括通風管理、瓦斯管理、礦壓與頂板管理、煤塵管理、防治水管理、防滅火管理和其他有毒有害氣體管理等。
煤炭企業礦井通風與安全涉及的災害因素多,面對生產過程中出現的許多表面的、分散的事故隱患和問題,如瓦斯超限、煤塵積聚、引爆熱源、煤層自燃等等,如果單憑決策指揮人員的個體知識經驗去分析、處理和解決問題,已很難準確地確定事故隱患的嚴重程度。目前,運用安全系統工程原理和事故樹的邏輯推理方法,對作業場所、區域進行危險性分析,對重點不安全狀態、不安全隱患問題進行超前預測,建立各類事故的邏輯推理模型已研究的較為成熟,但由于缺乏工作面、安全生產設備運行數據的實時采集、傳輸、運算推理和預警控制的技術、設備和軟件系統,使得大多數煤炭企業目前的安全預警管理較為粗放,預警精度不高。因此,只要合理應用信息技術,將現代信息技術和安全預警原理和方法結合起來,通過對作業現場災害因素的進行實時監控和事故隱患邏輯推理,必將從根本上提升煤炭企業的安全預警能力,降低事故發生率。
第5篇 安全信息管理系統概述
一、管理信息系統的概念
所謂系統就是指由若干互相聯系、互相影響、互相制約的各個部分為了一定目標而組合在一起所形成的一個整體。構成整體的各個組成部分,稱為子系統。假若以一個經濟組織的會計作為一個系統,而有關結算中心、會計報表、成本核算、資產臺帳和貨幣資金等則是它的子系統。至于有關供銷、生產、人事等方面的信息則屬于會計系統以外的環境系統。會計信息系統見圖10-2。
過去,國外大多數企業和我國一些先行單位,為了適應不同職能組織的需要,除了設立會計信息系統以外,還有生產技術、供銷、人事、后勤等科室也都分別設立適合于它們各自需要的信息系統。這樣一個企業就有若干信息管理系統,易于發生重復勞動,同一原始資料要分別輸入若干個信息管理系統。如有關材料的采購、耗用、轉移、完工、職工的基本工資、出勤記錄等都要同時輸入若干個信息系統。這樣不僅出現重復勞動,易于發生差錯,而且更改也不方便,造成相互不協調,成本也就比較高。
近年來在信息管理中提出綜合性管理系統。就是將一個經濟組織作為一個系統,而其生產、技術、會計、供銷、后勤、人事等職能業務則是這個系統下的各個子系統。實施綜合信息系統需要具有三個條件:
(1)分散的信息活動必須通過組織的集中統一安排;
(2)這些活動必須是整體的組成部分;
(3)這些活動必須由一個集中、獨立的信息中心加以處理。
這樣就能把企業看作一個整體,使一個數據多用,提高效率和更有效地使用信息,成本也可隨之降低。
二、綜合管理信息系統的建立
設計一個新的或改進一個現有的管理信息系統,是一項既復雜又繁重的工作。首先要用系統分析的方法,對系統(包括子系統)的本身范圍及其周圍環境的關系進行分析,提出若干設計方案,決定不同類型,不同管理層次的系統,進行技術和經濟的論證,層層提高設計質量,消除不必要的重復勞動,然后加以評估比較,最后從中決定統一的綜合信息管理標準,包括經濟信息分類、編碼和文件統一化工作。經過試驗證明切實可行后,再應用到實際工作中去。其中要注意以下幾方面:
1.明確信息的需求
即對輸出的要求,要通過充分的調查研究,特別是管理中現有的信息種類,它們流轉的來龍去脈,由哪里產生,由誰傳遞,傳到何處,經過怎樣處理,以什么形式輸出,供誰使用,是否可以“一數多用”,是否有別的來源替代,是否要保存等等。所以在建立過程中,專業人員與使用人員之間要經常交換意見,使提供的各項信息都能滿足使用者的要求。
2.信息的收集和處理
這項工作的目的就是要改善信息總的質量,一般包括五項內容:
(1)檢核。要確定各項信息的可靠性的程度,包括來源的可靠性,數據的準確性和有效性等。
(2)整理。將輸入的信息和數據加以提煉整理,以符合規定的要求。
(3)編制索引。按規定編制索引,以供日后儲存和檢索。
(4)傳輸。將正確的信息及時提供給各級主管人員。
(5)存儲。要保存必需的數據資料和文件檔案,準備日后再次使用。
3.信息的使用
其主要目的是向各級主管人員適時地提供各種有關的信息。因此它與信息質量有密切關系。信息的質量主要是指信息的準確性、及時性以及提供的形式。只有保證一定質量的管理信息系統,才能在管理中發揮作用。
圖10-3為綜合性管理信息系統的一例。
圖中,該經濟組織的各個子系統相互間有聯系和交叉,又與使用者系統有聯系。假若將一個工業部門或一個地區看作一個系統,則各個企業又成為其子系統,其范圍就更為廣泛了。
蘇聯在70年代已建成四級自動化綜合管理系統。它由基礎部份和功能部分組成。基礎部分包括組織經濟基礎、信息庫、技術基礎和軟系統等四個方面。功能部分由實現一系列課題的職能子系統組成。所謂四個結構層次是:國家級、中央部門和加盟共和國級、部門及共和國聯合公司級、基層企業級。全國數據傳遞系統把各部門,各主管機關的主要計算中心、各共和國管理機關的中心與全國自動化系統的總計算中心聯結起來。這就屬于更高階段的綜合性管理系統了。
目前我國除西藏外,各省市計委,統計局計算中心都安裝了ibm—4331或vs/80等電子計算機,正在逐步建立經濟管理系統。
三、管理信息系統的基本工作內容
實現對管理信息系統的基本要求,是通過信息的周轉過程實現的。信息的周轉過程,包括信息資料的獲取、加工、處理、傳輸、貯存等基本環節。這實際上也就是管理信息系統的基本工作內容。要保證管理系統的有效運行,就必須使每個環節都能靈活而有效的運轉,并形成互相協調、密切結合的系統有機體。
1.信息的獲取
信息收取是信息系統運行的第一步,也是重要的基礎。信息的質量和信息系統其他環節的工作質量,在很大程度上取決于原始信息的真實性和完整性。
2.信息的加工
原始的信息數以億萬計,作為管理決策使用的信息量,受人們接收信息能力的限制,不可太多。因此必須把大量的信息分成恰當的層次,并且使最高管理層獲得少而精的反映出最基本最重要的情況。信息的加工處理,就是用科學的方法,對大量的原始信息進行篩選、分類、排序、比較和計算,去偽存真,使之系統化、條理化,以便保管、傳送和使用,節省人力、財力和時間,提高管理效能。信息的加工還包括信息分析,即通過對大量信息資料的研究,及時揭露矛盾,發現問題的苗頭,對管理活動進行評價。
3.信息的傳輸
信息只有從信息源及時傳送到使用者那里,才能起到應有作用。信息能否及時發出和到達,取決于信息傳輸的功能。信息的傳輸,要建立自己的傳輸通道系統,形成信息流和信息網。管理組織機構和組織體系決定系統內部基本的信息傳輸通道,但除此以外,信息系統還通過多條渠道,實現直接的和間接的、縱向的和橫向的、縱橫交錯的多方面聯系。可見,信息傳輸網是一個極為復雜和靈敏的系統。
4.信息的貯存
加工的信息,有的并非立即就用,有的雖然立即使用,但還要留作以后參考,所以產生了信息貯存和記憶的功能。信息貯存是信息在時間上的傳輸。通過信息貯存和積累,可以對客觀管理活動進行動態的系統和全面的研究。
第6篇 信息部:職業健康安全管理職責
(1)負責組織對本單位的危險源、環境因素進行辨識、評價、更新和學習,并制定措施或管理方案加以控制。
(2)負責對本部門員工進行環境職業健康安全知識的教育和培訓,不斷提高本部門員工的環保和安全意識。
(3)確保公司信息管理系統安全穩定運行,為公司各單位/部門在環境職業健康安全管理方面提供所需的信息,確保信息安全和財產安全。
(4)負責公司信息管理系統相關硬件設備的管理,硬件設備廢棄要按公司廢物處理的相關規定進行。
(5)認真履行環境職業健康安全管理體系文件內規定的本部門的各項具體工作。
第7篇 信息化在雙邊工程安全管理的應用
石油石化企業具有高溫高壓、易燃易爆、有毒有害、連續作業、鏈長面廣的行業特點,從歷年來國內外煉化企業發生的各類事故統計來看,“雙邊”工程施工作業環節中發生的事故占了很大的比例。因此,如何做好“雙邊”工程施工作業的安全管理已經成為企業安全管理工作的一個不可回避的課題。與國內眾多企業一樣,同樣存在安全職責不到位、落實不下去、管理效率低的象。“雙邊”工程管理方面仍存在漏洞,主要存在“雙邊”工程實施計劃率低、隨意性強;作業人員和監護人員對施工作業危害及風險不清楚;沒有真正對作業人員做到 “全員、全天候、全方位、全過程”的監控;管理層無法全面掌握現場“雙邊”工程施工等問題。企業面臨的突出問題以及石化行業的特點要求我們,加強“雙邊”工程全方位管理和監控,杜絕“雙邊”工程施工hse管理的漏洞,預防事故的發生。企業目前“雙邊”工程管理主要是通過生產區域操作室的看板進行管理,即主要對“雙邊”工程施工項目及進出生產區域的施工人員看板登記,沒有真正做到對“雙邊”工程全員、全天候、全方位、全過程的監控,“雙邊”工程管理方面仍存在漏洞。
在此前提下,利用計算機數據庫及網絡技術把“雙邊”工程作為管理平臺,自主開發“雙邊”工程管理模塊,形象說,就是把生產區域所有的“雙邊“施工項目進入到企業局域網上,讓企業內部任何一臺聯網電腦,上至企業經理、下到倒班操作工都能瀏覽網站,了解當前生產區域的施工項目、施工日期、施工內容、風險告知、
人員進出管理、項目完成情況等,使“雙邊”工程施工作業形成一個閉環管理。
1.信息化“雙邊”工程管理系統
首先構建廣州分公司hse信息平臺,如圖1,“雙邊”工程系統是hse信息平臺的一個子系統,可以共享hse信息平臺的部分基礎數據,其中人員基礎信息、單位基礎信息、生產裝置基礎信息、承包商基礎信息基礎數據可以共享hse信息平臺的基礎數據,專業分類基礎數據庫和節假日信息基礎數據需要建立。
(1) 人員基礎信息,包括姓名、單位、職務、職稱、用戶密碼、廠碼、權限、職務等,另外還可增加身份證號碼、工作電話、手機、電子郵箱、從屬部門、從屬科室、管轄哪些單位、管轄哪些裝置等。
(2) 單位基礎信息,按廠級、部門級、科室車間級逐項列出單位名稱,并區分管理部室、專業中心、作業部等單位屬性,主要信息包括:單位名稱、單位標準化代碼、單位屬性、單位職能描述等。
(3) 裝置基礎信息,包括裝置名稱、裝置標準化代碼、從屬單位、從屬區域、關鍵裝置級別、裝置描述等。
(4) 承包商基礎信息,一般分二級管理,即在廣州分公司注冊的一級承包商,以及從屬于一級承包商的二級承包商(專業隊伍),主要信息包括:承包商名稱、承包商代碼、承包商級別、營業執照編號、安全生產許可證號、執業資格、可施工范圍等。
(5) 專業分類基礎數據庫,工程類型分為:土建、搭架、防腐保溫、保運維修、電氣作業、儀表作業、其他等;項目類型分為:新改擴建項目、檢維修項目、技改技措項目、隱患治理、其他等。
(6)節假日信息,由于節假日施工必須要hse總監審核,所以,這個信息必須準確并可以管理。
1.2 設計“雙邊”工程管理系統
1.2.1系統主要設計思路
(1)讓公司全體員工了解現場施工情況,根據主管工作的實際情況,加強對現場施工作業的掌握監控。
(2)統籌“雙邊”工程施工,科學合理安排現場施工。避免各專業現場作業各自為政,無法全面掌握當天的所有施工,施工控制容易失控。
(3)危害識別及風險告知、防范措施落實。保證作業人員、監護人員掌握作業風險,現場落實風險控制措
施,保證作業安全進行。
(4)施工項目提前申請,各專業人員、操作人員提前做好施工準備工作。
(5)“雙邊”工程施工按計劃組織,提高實施率。
1.2.2 “雙邊”工程管理和業務流程
“雙邊”工程管理主要分項目申請、項目實施和項目完工確認消項三個方面。
(1)項目申請
確定作業任務后,“雙邊”工程項目負責人在項目實施前提前申請,錄入施工相關信息,如裝置、工程項目名稱、工程類型、項目類型、工程計劃施工日期、計劃施工人數、作業具體部位、作業內容、作業危害及風險告知、防范措施、施工單位、施工負責人等信息,經裝置主管審核后系統生成作業項目,沒有申請的項目嚴禁安排施工。
(2)項目實施
項目實施過程主要是“雙邊”工程施工人員進出登記及節假日施工hse總監審核。施工人員進入裝置施工前,必須到操作室進行登記,由當班班長完成施工登記后,方可允許進入現場施工。施工登記主要內容有:施工現場負責人、進入現場時間、聯絡方式、進入現場作業確認內容等。作業人員離開現場,必須先到操作室辦理離開確認登記,包括離開時間、離開人數和離開現場確認內容等。進入時間與離開時間系統默認為當前時間,以減少錄
入時間,提高效率。
為落實節假日領導帶班,確保節假日施工安全,節假日施工必須經hse總監審批同意后方可施工。當施工時間為節假日時,系統默認是不允許施工,施工項目單位hse總監必須進入到節假日“雙邊”工程審核,點擊“同意”鍵后,才能顯示當天的施工項目記錄,當班班長才能進行“雙邊”工程施工人員進出登記。
(3)項目完工確認消項
當施工項目完工后,項目負責人進入“雙邊”工程登記消項,否則,施工項目就一直掛在那里,顯示項目未完工。
圖2 “雙邊”工程流程圖
1.3 應用界面
應用界面的設計主要根據應用對象需求進行設計,“雙邊”工程管理軟件主要考慮為參與人員提供信息交換界面,主要包括雙邊工程信息添加、施工人員進出登記、雙邊工程續期、節假日雙邊工程審核、施工完畢后工程消項、查詢等。
2.實施效果
2.1 進一步規范了進入生產區域作業人員的管理將“雙邊”工程現場看板管理的功能進一步拓展,監控過程更全面。進出生產區域人員在“雙邊”工程系統形成動態管理,對進入生產區域作業的人員全過程監控,在生產區域出現突發事件/事故時能及時、準確的通知人員撤離現場。
2.2 降低了因“雙邊”工程施工導致事故/事件的發生頻度人員全過程管理,杜絕了外來人員違章進入現場作業;作業項目負責人組織風險評估后將危害及風險告知、防范措施在系統告知,降低施工作業的風險、嚴格控制節假日施工等。“雙邊”工程管理系統2023年9月正式啟用,截止2023年9月底,“雙邊”工程管理系統對16629起“雙邊”工程施工進行監控,在此期間因“雙邊”工程施工導致發生的事故、事件3起,2023年9月-2023年9月發生6起,同期相比降低3起,因“雙邊”工程施工導致事故、事件明顯降低,節假日的施工也得到有效控制,成為“雙邊”工程施工的有效管理工具。
2.3 提高安全管理的效率施工信息透明,企業內部任何一臺聯網電腦,上至企業經理、下到倒班操作工都能瀏覽網站,都能了解當前生產區域的施工項目、施工日期、施工內容、風險告知、人員進出管理等。
2.4 系統強大的統計分析功能為改善安全管理提供的依據和指引,提高了企業的安全管理效率通過統計分析,深入指導安全管理工作,表現在三個方面:一是統計分析分公司各單位一定階段“雙邊”施工數量;二是統計分析一定階段“雙邊”施工工程類型;三是統計分析一定階段“雙邊”施工工程項目類型。通過對系統數據的分析,發現“雙邊”工程作業的分布規律,為“雙邊”工程管理的決策提供參考信息。
第8篇 安全異常信息快速反應管理辦法
第一章? 總則
第一條? 為深刻吸取長虹公司“3.21”煤與瓦斯突出事故教訓,規范礦井“安全異常信息”的匯報和處置工作,形成快速反應、運行有序的“安全異常信息”匯報和處置工作機制,實現“安全異常信息”超前預警、超前處置,有效防范事故的發生,保障安全生產,特制定本辦法。
第二條 本辦法規定的應當匯報和處置的“安全異常信息”主要是指:礦井生產過程中發生的“安全異常信息”,包括機電運輸專業、一通三防及防突專業、地測防治水專業、采煤專業、開掘專業等五類信息;外部供電、通訊、供水等方面威脅礦井安全生產的“安全異常信息”;威脅礦井安全生產的極端天氣、地震等方面的“安全異常信息”。
第三條? 提升理念。“安全異常信息”是事故預兆,是停產撤人的命令,“安全異常信息”不匯報,匯報不處置,或既不匯報又不處置就是事故,按照“四不放過”原則進行追查處理。“安全異常信息”的匯報要及時、準確和完整,處置要安全快速有效。
第四條? 調度室及相關業務科室負責“安全異常信息”的收集、撤人、匯報、處置、建檔、跟蹤、銷號七個環節的工作,在調度室建立“安全異常信息”閉合管理臺賬。調度室負責“安全異常信息”的收集、匯報、處置、建檔等工作,業務保安科室負責“安全異常信息”的跟蹤落實、整改銷號等工作。礦井行政主要負責人是礦井“安全異常信息”匯報和處置工作的第一責任人,分管副職對業務范圍內的“安全異常信息”的匯報和處置工作負責。
第五條? 完善礦井“安全異常信息”處置技術、機構、隊伍、資金、裝備方面的保障工作和“安全異常信息”匯報和處置工作的管理和考核,建立“安全異常信息”閉合管理臺賬。礦井行政主要負責人是本單位“安全異常信息”匯報和處置工作管理和提供有關保障的第一責任人,分管副職對業務范圍內的“安全異常信息”匯報及處置工作管理和提供有關保障負責。
第六條? 調度室是“安全異常信息”匯報和處置的指揮中心,對所登記的“安全異常信息”要求做到實時調度。各業務保安科室是“安全異常信息”處置的技術指導部門。并負責“安全異常信息”閉合管理臺賬的建立、管理,跟蹤處置,直至安全異常狀況消除。
第二章? “安全異常信息”的匯報
第七條? “安全異常信息”要如實匯報,不得遲報、漏報或瞞報。
第八條? “安全異常信息”的匯報內容
(一)機電運輸專業(詳見附表1)
1.礦井及重要負荷單回路供電。
2.主、副井及乘人系統運行異常。
3.大型固定設備技術測定及探傷等有(存在)重大缺陷。
4.主要通風機故障單機運轉。
5.礦井主排水系統故障不能擔負正常涌水量。
6.危及安全的其它“安全異常信息”。
(二)一通三防及防突專業(詳見附表2)
1.采掘工作面出現明顯的煤與瓦斯突出及沖擊地壓預兆,包括中度以上噴孔、響煤炮或其它明顯預兆。
2.鉆探期間發現地質構造。
3.瓦斯高值或超限。
4.一氧化碳超標(放炮除外)。
5.監測監控系統異常,包括:(1)井上主要通風機或井下局部通風機監測顯示停風;(2)風門開停傳感器監測顯示敞開;(3)礦井監控系統全部無記錄或部分無記錄;(4)監控系統相關設備未按規定檢測、校驗、維護保養導致數據傳輸不正常的。
6.危及安全的其它“安全異常信息”。
(三)地測防治水專業(詳見附表3)
1.礦井涌水量達到預警水量(礦井排水系統聯合試運的正常排水量)。
2.暴雨天氣,可能發生洪水淹井。
3.探水鉆孔閥門損毀,涌水難以控制。
4.采掘工作面有突水征兆。
5.危及安全的其它“安全異常信息”。
(四)采煤專業(詳見附表4)
以下情況同時出現2處及以上的,必須上報:
1.工作面掉頂嚴重,冒落高度超過0.5m、連續長度超過5m。
2.工作面切頂嚴重,臺階下沉超過0.5m、連續長度超過5m。
3.采面煤壁嚴重片幫,深度超過1.5m、連續長度超過5m。
4.工作面支架連續5架嚴重鉆底或擠架。
5.工作面兩端頭老塘側局部懸頂面積大(面積大于2m×5m)。
6.危及安全的其它“安全異常信息”。
(五)開掘專業(詳見附表5)
1.開掘工作面在一個生產班內頂板連續發出響聲。
2.頂板離層明顯,出現裂縫、頂板掉渣。
3.巷道壓力增大片幫嚴重。
4.支架變形嚴重甚至斷裂。
5.工作面出現地質構造。
6.危及安全的其它“安全異常信息”。
第三章? “安全異常信息”的處置
第九條? 礦井“安全異常信息”的處置
(一)當礦井生產過程中發生本辦法規定的“安全異常信息”時,現場管理人員(帶班領導、跟班干部、班組長)、安檢員、瓦檢員等,必須第一時間發出停止作業、撤人的命令,指揮現場人員撤到安全地點,同時向礦調度室匯報。
(二)礦調度室值班人員接到生產現場或其它“安全異常信息”的匯報后,須在20分鐘內用電話分別向礦井值班領導、分管領導及主要領導、分公司調度室、集團總調度室(電話:0375-2724146)、許平煤業生產技術處(調度)(電話:0375-3579000、3579331)、安監局禹州監察處匯報,同時須按照礦井值班領導的指示,立即通知受到安全威脅的人員撤離危險區域。之后須在30分鐘內把“安全異常信息”填寫到相應的“安全異常信息”匯報表(詳見附表)中,并通過集團oa辦公系統發送許平煤業生產技術處(調度)。
(三)由礦井值班領導立即組織調度、安監、業務科室等有關人員趕赴現場收集“安全異常信息”第一手資料,礦井帶班領導立即趕赴現場對“安全異常信息”的處置進行指導和指揮,礦井總工程師負責牽頭完善相關處置措施,礦井分管副職牽頭組織對“安全異常信息”進行處置,業務保安科室負責牽頭建立跟蹤工作機制,實時督導“安全異常信息”的處置,直至安全異常狀況消除。
第四章? 考核
第十條
(一)作業現場發現“安全異常信息”后,現場管理人員(帶班領導、跟班干部、班組長)、現場安檢員、瓦檢員等未在第一時間向調度室匯報的,對上述人員罰款500元。
(二)調度室接到“安全異常信息”匯報后,應在20分鐘內向礦值班領導、分管領導及主要領導、分公司調度室、集團總調度室、許平煤業生產技術處(調度)、安監局禹州監察處匯報,之后須在30分鐘內把“安全異常信息”填寫到相應的“安全異常信息”匯報表中,并通過集團oa辦公系統發送許平煤業生產技術處(調度),逾時不報的對調度當班值班人員罰款500元。
(三)礦井調度室及業務保安科室未建立“安全異常信息”閉合管理臺賬的或“安全異常信息”閉合管理臺賬未及時建檔、整改銷號的,未及時建檔的,對調度室負責人罰款500元,未做到跟蹤閉合管理的,對分管業務科室負責人罰款500元。
(四)“安全異常信息”瞞報的對作業現場安全管理人員罰款500元,匯報不處置,對調度室當班值班人員罰款500元,對調度室負責人罰款500元。
(五)“安全異常信息”處置期間因技術、機構、隊伍、資金、裝備保障不到位造成處置不及時或不能有效處置“安全異常信息”的,對相應單位進行責任追究。
(六)監測監控系統出現高值后監控上傳中斷,按瓦斯超限事故進行責任追究。
第五章? 附則
第十一條? 有關注釋
中度噴孔:鉆進過程中連續噴孔,停鉆后持續1-2分鐘,噴出顆粒直徑3毫米,鉆屑明顯增多,拋出距離1-2米,工作面里探絕對值增加0.3%以內。
嚴重噴孔:停鉆后連續噴孔超過2分鐘,且帶出大量鉆屑;拋出距離大于2米或伴有煤炮聲;工作面里探絕對值增加0.3%以上。(符合上述任一條件,即判斷為嚴重噴孔)。
中度煤炮:聲音較大,間歇性明顯(時間間隔大于1分鐘),有震感,有掉渣、揚塵現象。
嚴重煤炮:聲音巨響、相鄰區段多處地點均能聽到;響聲連續;震感明顯;伴有大量揚塵。(符合上述任一條件,即判斷為嚴重煤炮)。
有聲預兆:煤層發出劈裂聲、悶雷聲、機槍聲、響煤炮、以及氣體穿過含水裂縫時的吱吱聲等。聲音由遠到近,由小到大,有短暫的,有連續的,時間間隔長短不一致。煤壁發生震動和沖擊,頂板來壓,支架發出折裂聲。
無聲預兆:工作面頂板壓力增大,煤壁被擠壓,片幫掉渣,頂板下沿或底板鼓起;煤層層理紊亂、煤暗淡無光澤、煤質變軟;瓦斯忽大忽小,煤壁發涼,打鉆時有頂鉆、卡鉆、噴瓦斯等現象。
煤厚發生變化:增厚、變薄、尖滅、變軟。
瓦斯高值:正常作業情況下瓦斯增幅50%以上即為瓦斯高值。
瓦斯超限:無論任何條件下瓦斯濃度達到1%即為瓦斯超限。
一氧化碳超標:除礦上建立臺帳管理的一氧化碳區域和放炮引起的一氧化碳超標外,其它地點一氧化碳超標都必須立即匯報。
主要通風機停運:無論任何原因導致主要通風機停運都必須立即匯報。
第十二條? 本辦法自印發之日起執行。
附表:各專業“安全異常信息”匯報表
第9篇 信息科安全管理職責范本
一、負責本礦安全隱患信息的收集、分析、匯總、上報。
二、負責當班井下各作業地點的隱患排查信息的收集和上報工作。
三、對一般隱患信息要及時報告當班處置員,在處置員力量不足的情況下,協助處置安全隱患。
四、信息科發現隱患時,有權對井下局部作業地點停止作業,發現重大隱患時有權對全礦井停止作業,撤出人員并及時上報中心。
五、對主扇風機'三薄'記錄不健全,附屬設施不完善的,要及時上報中心。
六、對采掘工作面無風、微風作業的有權停止。
七、對掘進工作面不進行探放水的,有權停止作業,并進行嚴厲處罰,建議中心辭退。
八、對當班沒有瓦斯員上班的工作面,有權停止當班作業。
九、對作業面瓦斯傳感器、一氧化碳傳感器不到位的要嚴厲處罰,對無傳感器的要停止作業,撤出人員。
十、對局扇風機無專人管理,無掛牌管理,未實行'風電閉鎖'的,有權停止掘進工作面作業。
十一、對灑水、防塵不到位的有權停止作業。
十二、對當班瓦斯員空檢、漏檢,不執行瓦斯巡回路線的瓦斯員要進行嚴格處罰。
十三、對當班'三違'人員進行制止、處罰、教育。
十四、參加班前、班后會,收集職工思想安全隱患信息。
十五、對酒后入井、精神狀態不振的人員,有權停止當班作業。
十六、對穿化纖衣服,不佩戴自救器的工人,有權停止當班作業。
十七、對帶有煙草、引火物品入坑的工人,要進行嚴厲處罰停工。
十八、對跟班礦長不入坑的,有權停止當班作業。
十九、對當班掘進工作面不探水的,有權停止當班作業。
二十、對帶點檢修、帶點搬遷,有權停止作業,并進行處罰。
二十一、對違章排放瓦斯,有權停止作業并處罰。
二十二、對未經培訓無證上崗人員,有權停止入井。
二十三、主要提升設備保護不全,禁止人員入井,對斜井、斜巷五'一坡三檔'裝置或裝置不全,失效的,對不執行'行車不行人,行人不行車'規定的,要及時上報和處罰。
二十四、對人行車無煤安標志、防墜器和制動裝置失靈的,有權停止作業并上報中心。
二十五、對不執行'一炮三檢'和'三人聯鎖放炮'的,有權制止和處罰。
二十六、對非爆破工領取雷管,炸藥雷管混運,工作面炸藥雷管未分箱存放,加鎖保管的,有權停工和處罰。
二十七、對炮眼無封泥、封泥不足或填充不實進行爆破的,有權停工和處罰。
二十八、對掘進工作面空頂作業,回采工作面端頭支護不到位,有權停工處罰并上報中心。
二十九、對井下施工質量不達標準,有權停止作業并上報中心。
第10篇 安全信息歸檔管理辦法
1主題內容與使用范圍
本辦法規定了安全信息管理體系、信息管理機構的職責、信息內容、處理程序、填報要求、歸檔及檢查與考核。
本辦法適用于我公司安全生產信息及檔案管理。
2引用文件
《安全生產管理通用表格》
3術語
安全信息:國家和上級有關安全生產管理要求中所涉及的各種數據、報表、原始資料、檔案和文件。
4安全信息管理體系
4.1經營部是我公司安全信息歸口管理單位,負責安全信息的收集、傳遞、處理、反饋、分析、匯總、貯存及歸檔工作。
4.2各基層單位安全員負責本單位安全信息的收集、傳遞、處理、反饋等工作。
5各級信息管理人員的職責
5.1公司安全第一負責人對本公司安全信息系統的正常運轉負責。
5.2主管安全副總經理負責組織協調公司安全信息管理工作,審批、下達公司安全信息調查、建檔、統計任務。
5.3各單位安全第一負責人負責組織協調本單位安全信息管理工作,保證所下達的信息工作的正常進行。
6安全信息內容
6.1qjl424中所規定的內容。
6.2國家和上級有關安全生產監察規程所要求的數據、資料。
6.3各級安全部門為貫徹國家和上級有關安全生產規定而提出的統計、建檔資料。
6.4上級有關安全生產的文件、法令及公司內各項安全規章制度。
6.5各單垃安全生產管理的信息包括:
a.重大安全事故和重大安全問題及需要上級或有關部門協調、緊急處理的安全問題。
b.工傷事故分析報告、安委會會議執行情況、安全檢查情況、隱患整改情況、技措計劃的實施情況、安全活動、安全教育培訓、安全組織機構變動情況。
c.單位年度安全工作計劃、目標、工作總結及其它有關情況。
d.與安全工作有關的原始記錄、檔案。
7安全信息傳遞與處理
7.1在生產管理過程中,公司內各單位發現安全問題需反饋到總公司的,由發出信息單位以文字形式上報經營部。
7.2經營部接受基層的信息后,按信息內容,及時進行調查核實,提出處理意見,明確責任單位、反饋時間要求等,立即反饋給責任單位執行。
7.3責任單位負責按信息內容及經營部處理意見組織處理,將處理情況填寫清楚,并按要求反饋給經營部。
7.4經營部負責信息存檔工作。
8安全信息填報要求
8.1提供的信息必須備有相應完整可靠的原始記錄,隨時為查詢服務。
8.2提供的信息必須符合規定的格式,便于統計和貯存。
8.3提供的信息必須在規定時間內傳遞完畢。
8.4提供的信息必須有填報人和單位領導審查簽字。
9安全信息資料歸擋要求
9.1經營部建立七種安全管理檔案和八種安全管理圖表,并歸檔。
9.2七種安全管理檔案:
9.2.1工傷事故檔案。
9.2.2安全教育檔案。
9.2.3安全獎懲檔案。
9.2.4安全技術措施項目檔案。
9.2.5特種設備檔案(主要指吊車、壓力容器、空壓機等)。
9.2.6隱患及整改記錄。
9.2.7違章記錄。
9.3八種圖表:
9.3.1安全機構網絡體系圖。
9.3.2危險點和塵毒點分布圖。
9.3.3公司內動力管線分布圖。
9.3.4配電系統及接地線布置圖;
9.3.5歷年工傷事故頻率圖。
9.3.6工傷事故年度統計圖。
9.3.7多發性事故及重大事故樹形圖。
9.3.8安全信息反饋圖。
10檢查與考核
10.1本制度的執行情況列為公司安全工作經濟承包任務考核內容,按年度進行檢查與考核。
10.2經營部按制度檢查與考核,綜合評比各職能部門、分公司的安全信息管理工作。
第11篇 網絡信息安全管理組織機構設置工作職責
1:總則
1.1為規范北京愛迪通聯科技有限公司(以下簡稱“公司”)信息安全管理工作,建立自上而下的信息安全工作管理體系,需建立健全相應的組織管理體系,以推動信息安全工作的開展。
2:范圍
本管理辦法適用于公司的信息安全組織機構和重要崗位的管理。
3:規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的應用文件,其隨后的所有的修改單或修訂版均不適用于本標準(不包括勘誤、通知單),然而,鼓勵根據本標準達成協議的各方研究是否可以使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標準
《信息安全技術 信息系統安全保障評估框架》(gb/t 20274.1-2006)
《信息安全技術 信息系統安全管理要求》(gb/t 20269-2006)
《信息安全技術 信息系統安全等級保護基本要求》(gb/t 22239-2008)
4:組織機構
4.1 公司成立信息安全領導小組,是信息安全的最高決策機構,下設辦公室,負責信息安全領導小組的日常事務。
4.2 信息安全領導小組負責研究重大事件,落實方針政策和制定總體策略等。職責主要包括:
根據國家和行業有關信息安全的策略、法律和法規,批準公司信息安全總體策略規劃、管理規范和技術標準;
確定公司信息安全各有關部門工作職責,知道、監督信息安全工作。
4.3 信息安全領導小組下設兩個工作組:信息安全工作組、應急處理工作組。組長均由公司負責人擔任。
4.4信息安全工作組的主要職責包括:
4.4.1 貫徹執行公司信息安全領導小組的決議,協調和規范公司信息安全工作;
4.4.2 根據信息安全領導小組的工作部署,對信息安全工作進行具體安排、落實;
4.4.3 組織對重大的信息安全工作制度和技術操作策略進行審查,擬定信息安全總體策略規劃,并監督執行;
4.4.4 負責協調、督促各職能部門和有關單位的信息安全工作,參與信息系統工程建設中的安全規劃,監督安全措施的執行;
4.4.5 組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風險的防范對策;
4.4.6 負責接收各單位的緊急信息安全事件報告,組織進行時間調查,分析原因、涉及范圍,并評估安全事件的嚴重程度,提出信息安全時間防范措施;
4.4.7 及時向信息安全工作領導小組和上級有關部門、單位報告信息安全時間。
4.4.8 跟蹤先進的信息安全技術,組織信息安全知識的培訓和宣傳工作。
4.5應急處理工作組的主要職責包括:
4.5.1 審定公司網絡與信息系統的安全應急策略及應急預案;
4.5.2 決定相應應急預案的啟動,負責現場指揮,并組織相關人員排除故障,恢復系統;
4.5.3 每年組織對信息安全應急策略和應急預案進行測試和演練。
4.6 公司應指定分管信息的領導負責本單位信息安全管理,并配備信息安全技術人員,有條件的應設置信息安全工作小組或辦公室,對公司信息安全領導小組和工作小組負責,落實本單位信息安全工作和應急處理工作。
5: 關鍵崗位
5.1 設置信息系統的關鍵崗位并加強管理,配備系統管理員、網絡管理員、應用開發管理員、安全審計員、安全保密管理員要求無人各自獨立。要害崗位人員必須嚴格遵守保密法規和有關信息安全的管理規定。
5.2 系統管理員主要職責有:
5.2.1負責系統的運行管理,實施系統安全運行細則;
5.2.2嚴格用戶權限管理,維護系統安全正常運行;
5.2.3認真記錄系統安全事項,及時向信息安全人員報告安全事件;
5.2.4對進行系統操作的其他人員予以安全監督。
5.3網絡管理員的主要職責有:
5.3.1負責網絡的運行管理,實施網絡安全策略和安全云心細則;
5.3.2安全配置網絡參數,嚴格控制網絡用戶訪問權限,維護網絡安全正常運行;
5.3.3監控網絡關鍵設備、網絡端口、網絡物理線路,防范黑客入侵,及時向信息安全人員報告安全事件;
5.3.4對操作網絡管理功能的其他人員進行安全監督。
5.4應用開發管理員主要職責有:
5.4.1負責在系統開發建設中,嚴格執行系統安全策略,保證系統安全功能的準確實現;
5.4.2系統投產運行前,完整移交系統相關的安全策略等資料;
5.4.3不得對系統設置“后門”;
5.4.4對系統核心技術保密等。
5.5安全審計員負責對設計系統安全的事件和各類操作人員的行為進行審計和監督,主要職能包括:
5.5.1按操作員證書號進行審計;
5.5.2按操作時間審計;
5.5.3按操作類型審計;
5.5.4事件類型進行審計;
5.5.5日志管理等。
5.6安全保密管理員負責日常安全保密管理活動,主要職責有:
5.6.1監視全網運行和安全告警信息
5.6.2網絡審計信息的常規分析
5.6.3安全設備的常規設置和維護
5.6.4執行應急中心指定的具體安全策略
5.6.5向應急管理機構和領導機構報告重大的網絡安全時間等。
6 附則
6.1本辦法由公司科技部負責解釋。
6.2本辦法自發布之日起實施。
第12篇 安全信息管理規定范文
1 總則:
1.1 為加強公司的安全監督管理,使安全信息管理工作制度化和規范化,保證安全信息的及時性、準確性和完整性,根據國家有關法律、法規、規程和南方電網公司《電業生產安全信息管理暫行規定》、云南電網公司《電業安全信息管理規定》,特制定本管理辦法。
1.2 本辦法所指的安全信息是指公司安全生產、交通和消防安全狀況,包括安全事件、事故、障礙等涉及事故定性報表內容以及工作動態方面的信息,還包括安全會議、活動要求的相關信息。
1.3 本辦法適用于本公司
1.4 安全信息應當本著分級報送、歸口管理、資源共享的原則,在收集、統計、報告過程中要切實做到實事求是,報告內容準確、完整,為公司持續改進安全生產管理工作提供科學依據,嚴禁漏報、虛報、瞞報。
1.5 本規定所涉及的事故(障礙)的定義、等級劃分、責任歸屬和事故調查的組織、程序等,嚴格按照南方電網公司頒發的《電力生產事故調查規程》的規定及其條文解釋執行。
1.6 公司安全管理部門是公司安全信息的歸口管理部門,負責審核、匯總、分析和公布各類安全信息,綜合分析和預測公司的安全形勢,編寫公司安全情況報告(通報、快報、簡報)。
1.7 公司各單位安全管理部門是所在單位的安全信息歸口管理部門,負責收集、匯總、分析各類安全信息,并經分管領導審核后上報。
1.8 公司各單位應結合實際情況配備兼職安全信息管理人員,并為安全信息管理人員收集、編輯、報送信息提供必要條件。
1.9 各單位應對安全信息管理制度進行細化,針對各單位的實際情況制定相關規定,逐步理順并優化信息收集、篩選、整理、編輯、報送等環節的關系,加強對信息工作管理。
2 安全信息報告、報送管理:
2.1 各職能部門的安全信息由各單位以書面、電子郵件、辦公自動化等形式上報公司安全管理部門。
2.2 各項目部安全信息由承擔施工任務的單位收集、匯總、整理后報送安全管理處,對于安全管理處直接要求項目部上報的信息,則由項目部直接報送安全管理部門。
2.3 安全生產突發事件(主要是指一些已危及或影響人身、設備安全的事件:如地震、洪水、泥石流等自然災害和其他不可預見的事件,以下簡稱“突發事件”)及安全生產事故(施工生產人身重傷及以上、重大及以上電網和設備事故、重大及以上交通事故、重大及以上火災事故、誤操作事故等)的報告,應在對事故情況有所了解的前提下立即報告。
2.4 快速報告:發生突發事件及安全生產事故時,事故單位在立即組織事故處理或施救的同時,應及時向公司有關領導和部門進行快速報告。
2.4.1發生嚴重的突發事件,導致人身傷亡、設備損壞或其他情況的,應立即向安全管理部門報告,有人員死亡的還應向當地公安部門報告。
2.4.2發生施工生產人身死亡事故、電網或設備事故、有人員傷亡的重大及以上交通事故、重大及以上火災事故,事故單位應立即向安全管理部門報告,涉及人員死亡的還應向當地公安部門報告。
2.4.3發生生產性人身重傷及以上人身傷亡事故、重大及以上電網或設備事故、重大及以上交通事故或火災事故,以及下列一般事故和事件后,應以最快的速度,最遲不得超過2小時,以電話、電傳或電子郵件方式向公司安全管理部門報告。
(1)其他可能造成重大不良社會影響的事故(事件);
(2)發生突發事件而對正常生產秩序造成影響的。
2.4.4快速報告應包括以下的基本信息:
(1)事故發生的時間、地點、單位;
(2)事故發生、擴大和應急救援處理過程的簡要情況、初步原因判斷;
(3)事故后果(傷亡情況、設備損壞、可能造成的電網事故或不良社會影響等)的初步估計。
2.4.5發生上述突發事件或事故的單位,應在24小時內向公司安全管理部門提交書面的報告。
2.5 安全信息定期報告:
2.5.1安全信息定期報告包括月度報告、年度報告及日常安全管理資料等。公司各單位須按要求將相關資料以書面、電子郵件及辦公自動化等形式上報公司安全管理部門。
2.5.2每月5日前,上報上月的事故報告和《施工生產安全月報表》(見附表一)、《交通與特種設備安全月報表》(見附表二)。上報內容要求:各基層單位匯總各在建項目(部門)的安全生產情況,包括:學習上級安全管理文件、開展安全檢查、進行安全教育培訓、考試、安全交底、應急演習、各施工工序的安全管理及當前存在的安全問題等方面的內容。
2.5.3 每年11月30日前,上報本年度安全監督管理工作總結和年度安全生產形勢分析報告,下一年度的工作思路和打算。
2.5.4 每年“五一”、“十一”、春節長假結束后,分別于收假前一天上午10點前上報節日安全生產情況及值班、車輛安排情況等。
2.5.5 公司組織的季度安全大檢查、安全專項檢查結束后,需要整改的單位,須按整改要求在整改期限內上報安全問題整改情況。
3 安全信息監督管理:
3.1公司建立安全生產舉報制度,設立郵件信箱和安全監督電話,多途徑收集、傳遞安全信息。
3.2 公司安全管理部門負責對各單位的安全信息報告情況進行年度考評。各單位不按要求或不按時上報的,安全管理部門將于年終進行考核評比,并做出獎懲。
3.3對于瞞報事故和弄虛作假行為,公司將嚴肅查處,并根據獎懲規定對有關責任者予以嚴肅處理。
4 附則:
4.1 安全管理部門要求上報的其他安全信息、匯報材料或征集稿件應于規定期限內上報,對逾期報送或不報的單位公司將進行統計考核,記入年度考核中。
4.2 本規定由公司安全管理部門負責解釋。
4.3 本規定自發布之日起實行。
5 相關文件:
5.1《中華人民共和國安全生產法》
5.2南方電網公司《電網建設安全健康與環境管理辦法實施細則》
5.3南方電網公司《電業生產安全信息管理暫行規定》
5.4云南電網公司《電業安全信息管理規定》
6 附表:
附表一:施工生產( )月安全報表
填報單位(公章):填報時間:年月日
施工生產安全管理和安全活動情況(包括合同工)及安全規程執行情況
若發生了安全事故、事件,按(四不放過)原則采取的安全措施
安全情況
存在問題
單位負責人:填報人:
附表二:交通與特種設備( )月安全報表
填報單位(公章):填報時間:年月日
交通安全管理和安全活動情況(包括合同工)及安全規程執行情況
施工車輛安全檢查情況(包括分包單位)
若發生了交通安全事故、事件,按(四不放過)原則采取的安全措施
安全情況
存在問題
單位負責人:填報人:
