第1篇 信息安全事件管理程序
1 目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于xxx业务信息安全事件的管理。
3 职责
3.1 信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2 信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3 信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4 工作程序
4.1 信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) xxx秘密泄露;
b) 导致业务中断两小时以上;
c) 造成信息资产损失的火灾;
d) 损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a) 组织机密泄露;
b) 导致业务中断十小时以上;
c) 造成机房设备毁灭的火灾;
d) 损失在十万元人民币(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据xxx对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3 信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由xxx办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报xxx领导批准后进行相应惩罚,并在xxx进行通报批评。
造成重大安全事故的,xxx有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,xxx有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,xxx有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在xxx范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,xxx室与被处罚部门沟通,确认责任者及处罚方式并上报xxx领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4 报告信息安全薄弱点与预防措施
xxx与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免xxx重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请xxx批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5 相关文件
6 相关记录
第2篇 信息技术设备物理环境安全管理办法
第一章 总则
第一条目的:为了适应公司物理与环境安全管理的需要,保障公司生产和办公系统的正常运行,特制定本管理办法。
第二条依据:本管理办法根据《公司信息安全管理策略》制订。
第三条范围:本管理办法适用于公司。
第二章基本要求
第四条公司员工应根据公司运营需要对资产进行保护。公司的资产保护要求通过完成以下目标来实现:
(一)确保所有资产的物理和环境保护能得到公司的有效控制。
(二)减少擅自访问或损坏或影响公司控制的资产的风险。
(三)防止公司控制的资产被人擅自删除或移动。
第五条安全控制措施包括以下各项:
(一)公司的场地(机房、办公室)的信息处理设施周围设置实际安全隔离措施,如门禁系统等。
(二)公司的大楼入口安全防范措施。
(三)防护设备避免发生火、水、极端温度/湿度、灰尘和电产生的危害。
(四)设备维护。
(五)清理资产。
第三章 安全区域
第六条公司的安全区域包括中心机房和敏感部门办公区域。
第七条安全区域的划分与管理参见《物理安全区域管理细则》。
第八条物理安全边界
所有进入公司安全区域的人员都需经过授权,公司员工之外的人员进入公司安全区域必须登记换取不同的授权卡或访客证才能进入(持有效证件,得到被访者允许)。
第九条安全区域出入控制措施
(一)物理控制措施
1、机房的门禁系统必须启用,任何人都必须刷卡后才可进入机房;
2、出入机房必须登记《机房出入登记表》,记录姓名、出入时间、事由等;
3、一段时间内不会频繁进入的机房应上锁,需要时由运维人员开启进入工作,并确保办公完成后锁好;
4、机房应安装闭路电视监控。在所有安全区域的工作均应接受监督或监控。
(二)合同方及第三方
1、要在主要出入口处填写《来访人员登记表》;
2、在显眼处佩戴公司发出的临时出入卡或访客证。
(三)公司工作人员的控制措施
1、公司工作人员都必须在显眼处佩带胸卡;
2、公司工作人员调离公司时,其实际进入权也同时相应取消;
(四)审查访问
科技信息部应定期(每三个月)审查访问公司中心机房的人员名单并将进出权过期或作废的人员从名单上划掉。
(五)外部和环境威胁的安全防护
1、机房建设应符合gb 9361中a类安全机房的要求;
2、危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品(例如文具等)不应存放于安全区域内;
3、恢复设备和备份介质的存放地点应与主场地有一段安全的距离,以避免影响主场地的灾难产生的破坏;
4、应提供适当的灭火设备,并应放在合适的地点。
第十条交接区安全
(一)公司应设立交接区,同时:
1、向公司发送货物必须预先通知货物资产所属部门的资产管理员和信息安全管理员;
2、送货公司名称和交货时间应当在接收货物之前由货物资产所属部门的资产管理员和信息安全管理员确认;
3、送货公司在进入安全区域之前要经过物理环境主管部门有关人员的鉴别确认;
4、货物资产所属部门的资产管理员和信息安全管理员应检验货物,以保证没有潜在的危害。
第四章 设备安全
第十一条设备安置与保护
(一)公司中应考虑以下控制措施:
1、设备应进行适当安置,以尽量减少不必要的对工作区域的访问;
2、应把处理敏感数据的信息处理设施放在适当的限制观测的位置,以减少在其使用期间信息被窥视的风险,还应保护储存设施以防止未授权访问;
3、要求专门保护的部件要予以隔离,以降低所要求的总体保护等级;
4、应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
5、应建立在信息处理设施附近进食、喝饮料和抽烟的指南;
6、对于可能对信息处理设施运行状态产生负面影响的环境条件(例如温度和湿度)要予以监视;
7、所有建筑物都应采用避雷保护,所有进入的电源和通信线路都应装配雷电保护过滤器;
8、对于工业环境中的设备,要考虑使用专门的保护方法,例如键盘保护膜;
9、应保护处理敏感信息的设备,以减少由于辐射而导致信息泄露的风险;极其重要设备应部署在不同位置。
第十二条支持性设施
(一)应有足够的支持性设施(例如电、供水、排污、加热/通风和空调)来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。
(二)对支持关键业务操作的设备,推荐使用支持有序关机或连续运行的不间断电源(ups)。电源应急计划要包括ups 故障时要采取的措施。如果电源故障延长,而处理要继续进行,则要考虑备份发电机。应提供足够的燃料供给,以确保在延长的时间内发电机可以进行工作。ups 设备和发电机要定期地检查,以确保它们拥有足够能力,并按照制造商的建议予以测试。另外,如果办公场所很大,则应考虑使用多来源电源或一个单独变电站。
(三)另外,应急电源开关应位于设备房间应急出口附近,以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。
(四)要有稳定足够的供水以支持空调、加湿设备和灭火系统(当使用时),供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。
(五)连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。
(六)实现连续供电的选项包括多路供电,以避免供电的单一故障点。
第十三条电缆安全
(一)敷设到公司内各个区域的电缆线的保护方式如下:
1、进入信息处理设施的电源和通信线路宜在地下,若可能,应提供足够的可替换的保护;
2、网络布缆要免受未授权窃听或损坏,例如,利用电缆管道或使路由避开公众区域;
3、为了防止干扰,电源电缆要与通信电缆分开;
4、使用清晰的可识别的电缆和设备记号,以使处理失误最小化,例如,错误网络电缆的意外配线;
5、使用文件化配线列表减少失误的可能性;
6、对于敏感的或关键的系统,更进一步的控制考虑应包括:
(1)在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子;
(2)使用可替换的路由选择和/或传输介质,以提供适当的安全措施;
(3)使用纤维光缆;
(4)使用电磁防辐射装置保护电缆;
(5)对于电缆连接的未授权装置要主动实施技术清除、物理检查;
(6)控制对配线盘和电缆室的访问;
第十四条设备维护
(一)应按照供应商推荐的服务时间间隔和规范对设备进行维护。
(二)由供货商维护的设备。各种维护活动要按照合同协议或设备购买时的维护计划进行。
(三)只有已授权的维护人员才可对设备进行修理和服务
(四)原则上应保存所有维护记录
(五)要保证所有可疑的或实际的故障以及所有预防和纠正维护的记录;
(六)设备资产的管理部门和行政服务公司应当向外包维护单位索取维护计划和记录。
(七)设备资产的管理部门和行政服务公司定期审核维护记录和计划。
(八)当对设备安排维护时,应实施适当的控制,要考虑维护是由内部人员执行还是由外部人员执行;当需要时,敏感信息需要从设备中删除或者维护人员应该是足够可靠的;
(九)应遵守由保险策略所施加的所有要求。
第十五条场外设备的安全
(一)离开办公场所的设备的保护应考虑下列措施:
1、离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携带,若可能宜伪装起来;
2、制造商的设备保护说明要始终加以遵守,例如,防止暴露于强电磁场内;
3、家庭工作的控制措施应根据风险评估确定,当适合时,要施加合适的控制措施,例如,可上锁的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信;
4、足够的安全保障掩蔽物宜到位,以保护离开办公场所的设备。安全风险在不同场所可能有显著不同,例如,损坏、盗窃和截取,要考虑确定最合适的控制措施。其它信息用于家庭工作或从正常工作地点运走的信息存储和处理设备包括所有形式的个人计算机、管理设备、移动电话、智能卡、纸张及其他形式的设备。
第十六条设备的安全处置与重新使用
(一)设备报废处置时,存有敏感信息的存储设备要从物理上加以销毁,或用安全方式对信息加以覆盖,而不能采用常用的标准删除功能来删除。
(二)所有带有诸如硬盘等储存媒介的设备在报废前都要对其检查,以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。存有敏感数据的已损坏的存储设备要对其进行风险评估,以决定是否对其销毁、修理或遗弃。
(三)为保证信息安全,必须在处理介质前擦除有关的敏感信息:
1、用碎纸机销毁所有的敏感纸质记录。废纸可在碎纸后立即处置掉。
2、公司内部不应积累过量纸质记录。所有的纸质记录都必须在处置前销毁。
3、磁带和磁盘必须在处置前实际销毁和核对。
4、数据存储光盘应在处置前实际销毁。
(四)凡敏感性介质的处置都必须填写《信息介质处置申请表》,经部门负责人同意后,方可进行处置。并记录在《信息介质处置记录表》,留待审计时备查。
第十七条设备的移动
(一)应考虑如下措施:
1、在未经事先授权的情况下,不应让设备、信息或软件离开办公场所;
2、明确识别有权允许资产移动,离开办公场所的雇员、承包方人员和第三方人员;
3、应设置设备移动的时间限制,并在返还时执行符合性检查;
4、若需要并合适,要对设备作出移出记录,当返回时,要作出送回记录。
(二)应执行检测未授权资产移动的抽查,以检测未授权的记录装置、武器等等,防止他们进入办公场所。这样的抽查应按照相关规章制度执行。应让每个人都知道将进行抽查,并且只能在法律法规要求的适当授权下执行检查。
第五章 附则
第十八条本管理办法由科技信息部负责解释和修订。
第十九条本管理办法自发布之日起施行。
第3篇 某大学网络及信息系统安全管理办法
z大学网络及信息系统安全管理办法
近年来,国内信息安全形势严峻,各类信息安全事件频发。为此,教育部办公厅发布了《关于加强网络安全检查的通知》(教技厅函[2014]51号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)和《教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知》(教技厅函[2015]45号)要求高校加强网络及信息系统安全管理;《z市教育委员会关于进一步加强和规范网络与信息安全管理的通知》(渝教科〔2014〕32号)进一步明确高校需加强网络、信息系统和网站安全管理;z市重要信息系统安全等级保护工作协调小组办公室发布的《z市重要信息系统安全等级保护工作协调小组办公室关于加强重点网站安全防范工作的紧急通知》(渝等保办〔2015〕9号)要求高校加强信息系统和网站安全,落实信息系统等级保护定级管理工作。
第一章 总则
第一条 为贯彻落实国家及教育主管部门相关文件精神,进一步加强我校网络及信息安全工作,特制定本办法。
第二条 本办法所指网络(以下简称校园网)包括z大学教学办公区、学生宿舍区和部分由学校建设管理的教师住宅区网络,不包括由电信运营商自主建设运营的住宅区网络。
第三条 本办法所指信息系统指由学校及各二级单位建设管理各类业务系统和网站。
第四条 涉密网络和涉密系统根据国家及学校的相关管理规定单独管理,不适用本管理办法。
第二章 管理机构及职责
第五条 为进一步加强网络及信息安全组织领导,学校将原“z大学计算机网络及信息安全领导小组”、“z大学数字化校园建设领导小组”整合调整为“z大学网络信息安全及信息化工作领导小组”(以下简称领导小组)。领导小组负责制定全校网络及信息安全工作的总体方针和安全策略,审定全校网络及信息安全管理制度,指导并监督网络及信息安全管理。领导小组办公室设在党委办公室。
第六条 网络信息安全及信息化工作领导小组办公室负责网络及信息安全总体事务,主要职责包括:
(一) 统筹协调全校网络及信息安全工作;
(二) 网络及信息安全总体规划;
(三) 制定网络及信息安全管理制度;
(四) 组织信息网络安全工作检查和考评;
(五) 网络及信息安全事件查处。
第七条 宣传部主要职责包括:
(一) 学校主页内容审核、发布及安全管理;
(二) 学校新闻网内容审核、发布及安全管理;
(三) 民主湖论坛内容审核、发布及安全管理;
(四) 全校舆情监控及内容管理。
第八条 保卫处主要职责包括:
(一) 全校信息安全监控管理;
(二) 网络及信息安全违法违纪事件的调查;
(三) 网络及信息安全事件处理中的对外联络与接洽。
第九条 信息化办公室负责网络及信息安全技术支撑,主要职责包括:
(一) 校园网出口安全基础设施的建设和管理;
(二) 学校数据中心安全基础设施建设和管理;
(三) 校园无线网络接入安全管理;
(四) 校园网安全监控管理;
(五) 定期实施校内服务器安全漏洞扫描及安全预警;
(六) 定期组织实施信息系统安全等级测评;
(七) 落实专职人员负责网络及信息安全管理工作;
(八) 组织信息网络安全培训和教育。
第十条 虎溪校区管委会具体负责虎溪校区网络及信息安全管理,主要职责包括:
(一) 虎溪校区校园网出口安全基础设施建设和管理;
(二) 虎溪校区校园网内容审计系统监测管理;
(三) 虎溪校区网络信息中心机房的网络及信息安全管理;
(四) 虎溪校区门户及各业务系统内容及系统安全管理。
第十一条 图书馆主要职责:
(一) 民主湖论坛的系统安全管理;
(二) 图书馆网络(有线部分)接入安全管理;
(三) 图书馆业务系统及网站的安全管理。
第十二条 学工部、研工部主要职责:
(一) 学工、研工业务系统及网站安全管理;
(二) “易班”系统接入安全管理;
(三) 协助进行舆情监控及内容管理。
第十三条 其它二级单位主要职责包括:
(一) 本单位局域网和校园网接入安全管理;
(二) 本单位联网计算机审核(有线部分);
(三) 本单位上网信息审核;
(四) 本单位业务系统及网站的安全管理。
第三章 校园网安全管理
第十四条 信息化办公室总体负责校园网安全管理工作,虎溪校区管委会具体负责虎溪校区校园网安全管理工作。
第十五条 校园网(有线部分)由信息化办公室负责在校园网出口处实施实名上网认证,各二级单位负责接入端安全管理;校园网(无线部分)由信息化办公室负责实施实名接入上网认证。
第十六条 信息化办公室负责学校数据中心网络安全设施建设和管理。
第十七条 接入校园网的各单位和用户必须严格遵守执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律法规,严格执行信息安全及保密相关制度。
第十八条 二级单位根据国家有关规定对上网信息进行审查,凡涉及国家秘密的信息严禁上网。使用校园网的相关单位和用户必须对所提供的信息负责。不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安、社会稳定的信息。
第十九条 在校园网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动,不得在网络上散布计算机病毒,未经授权不得使用校园网。
第二十条 接入校园网的各二级单位需指定一名主管领导负责本单位的网络及信息安全工作,设立网络管理员具体负责相应的网络安全和信息安全技术工作。
第二十一条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告网络违法犯罪行为和网上有害信息情况。
第二十二条 与校园网相关的所有单位和用户必须接受并配合国家有关部门依法进行的监督检查。
第四章 信息系统安全管理
第二十三条 各二级单位是信息系统安全管理的责任主体,对本单位信息系统安全负责。
第二十四条 信息系统安全遵循“同步规划、同步建设、同步运行”的原则,信息系统的立项采购、测试验收、交付使用、升级改造必须符合国家对信息系统安全等级保护的相关要求。
第二十五条 二级单位负责制定信息系统安全管理策略,加强人员安全能力与安全意识培训,落实学校安全要求;确定信息系统数据安全要求,明确数据访问权限,制定数据备份机制,接入学校统一灾备体系。
第二十六条 二级单位负责信息系统的安全运行维护工作,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008)基本技术要求规定,做好系统安全、角色权限、口令增强等系统管理工作,定期进行安全检查、漏洞修补、系统升级、数据备份等安全管理工作;信息系统一旦出现信息安全事件,二级单位应及时查处整改,对多次出现安全事件的信息系统由信息化办公室暂停其网络连接及服务。
第五章 信息系统安全等级保护定级
第二十七条 根据“自主定级、自主保护”的原则,由学校“网络信息安全及信息化工作领导小组”确定我校信息系统安全等级保护定级方案。
第二十八条 学校现有信息系统的定级由“网络信息安全及信息化工作领导小组”根据教育部办公厅《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)并结合我校实际情况确定,定级确定后按要求报公安机关审核备案并定期开展等级测评。
第二十九条 信息系统安全等级保护定级、变更由学校“网络信息安全及信息化工作领导小组”审定,各二级单位负责准备相关备案材料,信息化办公室负责组织等级测评、报公安机关审核备案。
第三十条 信息化办公室定期组织对重要信息系统进行安全检测。
第六章 安全事件查处
第三十一条 网络及信息安全事件(以下简称安全事件)包括有害程序、网络攻击、信息破坏、信息内容安全、信息设施故障、灾害性事件及其它危害网络及信息安全的事件。
第三十二条 校园网上所有单位和用户有义务向学校网络信息安全相关部门报告安全事件。
第三十三条 二级单位发现安全事件或接到安全事件报告后应在第一时间将相关情况报学校保卫处和信息化办公室。
第三十四条 学校保卫处负责安全事件的调查取证,信息化办公室负责技术支撑,二级单位负责配合举证。
第三十五条 发生安全事件后应首先留存相关证据,中断网络连接以减小安全事件扩散影响,在调查取证结束以前不执行数据删除、系统恢复等操作,避免影响调查取证。
第三十六条 二级单位应建立安全事件应急处理机制,制定应急预案,定期实施应急测试、演练和培训。
第三十七条 网络信息安全及信息化工作领导小组办公室负责对一般安全事件责任人和责任单位进行处理,对造成重大影响和重大损失的安全事件报请网络信息安全及信息化工作领导小组处理。
第七章 附则
第三十八条 本管理办法由学校授权网络信息安全及信息化工作领导小组办公室负责解释。
第三十九条 本管理办法自公布之日起执行。
z大学
第4篇 信息科技部-安全管理中心团队负责人工作职责与职位要求
职位描述:
工作职责:
1、根据总行审计部、风险管理部和信息科技部的战略目标,负责全行信息安全中心的整体规划和设计;
2、建立信息安全体系,将安全工作标准化、公开化。落实多层级的项目管理机制,确保安全体系落地执行;
3、负责研究、分析监管动态、行业信息安全技术发展趋势、同业信息安全动态,对行内信息安全管理水平的提升提出建设性意见;
4、通过对安全工作与安全项目信息汇总、分析,为决策层提供可行性建议和支持;
5、协助开展安全管理工作,对安全工作进行评定,发现存在的风险,督促落实安全问题的解决工作;
6、负责团队的组建和培养,带领团队完成项目任务。
职位要求:
1、计算机相关专业本科以上学历,6年以上安全工作经验;
2、具备扎实的安全理论基础,了解各类安全技术原理,精通业内主流安全趋势,熟悉业界安全攻防动态;
3、具备扎实的信息安全管理理论知识,能把握到监管、合规风向,从而完善信息安全治理方向。
4、具备银行业/互联网企业安全规划和安全系统的建设经验;
5、具备优秀的逻辑思维能力,善于分析问题和解决问题。
6、具备团队管理经验,有相同岗位任职者优先。
第5篇 学校信息安全管理保密条例
学校校园网已投人正常使用,学校相关重要信息已联接到校园网上,为了加强这些系统的安全性,特制定《学校校园信息管理安全保密条例》以下简称本条例。
1、本条例适用对象为:各科、室、教研组信息员、系统管理员、校园网用户。
2、本条例适用范围为学校校园网所覆盖的范围。
3、系统管理人员安全保密职责:
(1)、严格做好本系统超级用户和普通用户口令的安全保密工作,不得随意泄露口令及有关内容。
(2)、根据学校机构和工作职能将用户划分为低级权限用户和高级权限用户。低级权限用户只能授予检索相关数据的权限,不能修改或删除任何数据;高级权限用户,可以进行相关数据的录入和修改工作。
(3)由系统管理人员设置登录站点限制,使得各信息员只能在指定网络站点上进行操作。
(4)系统管理员与操作人员进行协商,限制高级权限用户的登录时间,不允许非办公时间进行操作。如有特殊情况,应事先与系统管理人员联系后再上机进行操作。
(5)强制要求高级权限用户定期修改登录口令。
(6)设置登录口令输错次数限制,当有人试图猜测口令非法进入系统时,该用户将被封闭一段时间后再解除登录限制。
(7)定期备份关键数据。
4、编程人员开发软件注意事项:
(1)程序和数据库文件在不影响运行的情况下设为只读属性。
(2)将程序和数据分开,数据统一存到数据目录。
(3)设置中间过渡数据库,尽量避免对数据库的直接操作。
(4)将程序编译成执行文件,并将源文件旋转在安全目录中。
(5)管理系统中用到的批处理命令全部转换成可执行文件,增加安全的保密性。
5、应用人员安全保密职责:
(1)信息员的帐号和密码不得告知无关人员或由学生代为录入数据,泄密造成的后果自负并追究本人的责任。
(2)如平时经常更换口令,更换的口令最好不具有规律性,输人口令时注意安全保密性。
(3)只能对与本职责有关的子系统进行操作,不得进人其他子系统。
6。时时刻刻做好三防工作。严禁在校园网中心机房进行吸烟、打闹等有可能破坏设备的行为。网管中心每天必须有人值班,及时处理校园网用户疑难问题,以保证网络畅通。
7、未经允许,非工作人员严禁在网管中心机房出人。网管中心硬件软件财产必须定期登记、查收。
8.本条例监督部门为学校现代信息技术教育中心,有关人员应积极与中心工作人员配合,做好校园信息管理系统的安全保密工作。
第6篇 信息化在双边工程安全管理的应用
石油石化企业具有高温高压、易燃易爆、有毒有害、连续作业、链长面广的行业特点,从历年来国内外炼化企业发生的各类事故统计来看,“双边”工程施工作业环节中发生的事故占了很大的比例。因此,如何做好“双边”工程施工作业的安全管理已经成为企业安全管理工作的一个不可回避的课题。与国内众多企业一样,同样存在安全职责不到位、落实不下去、管理效率低的象。“双边”工程管理方面仍存在漏洞,主要存在“双边”工程实施计划率低、随意性强;作业人员和监护人员对施工作业危害及风险不清楚;没有真正对作业人员做到 “全员、全天候、全方位、全过程”的监控;管理层无法全面掌握现场“双边”工程施工等问题。企业面临的突出问题以及石化行业的特点要求我们,加强“双边”工程全方位管理和监控,杜绝“双边”工程施工hse管理的漏洞,预防事故的发生。企业目前“双边”工程管理主要是通过生产区域操作室的看板进行管理,即主要对“双边”工程施工项目及进出生产区域的施工人员看板登记,没有真正做到对“双边”工程全员、全天候、全方位、全过程的监控,“双边”工程管理方面仍存在漏洞。
在此前提下,利用计算机数据库及网络技术把“双边”工程作为管理平台,自主开发“双边”工程管理模块,形象说,就是把生产区域所有的“双边“施工项目进入到企业局域网上,让企业内部任何一台联网电脑,上至企业经理、下到倒班操作工都能浏览网站,了解当前生产区域的施工项目、施工日期、施工内容、风险告知、
人员进出管理、项目完成情况等,使“双边”工程施工作业形成一个闭环管理。
1.信息化“双边”工程管理系统
首先构建广州分公司hse信息平台,如图1,“双边”工程系统是hse信息平台的一个子系统,可以共享hse信息平台的部分基础数据,其中人员基础信息、单位基础信息、生产装置基础信息、承包商基础信息基础数据可以共享hse信息平台的基础数据,专业分类基础数据库和节假日信息基础数据需要建立。
(1) 人员基础信息,包括姓名、单位、职务、职称、用户密码、厂码、权限、职务等,另外还可增加身份证号码、工作电话、手机、电子邮箱、从属部门、从属科室、管辖哪些单位、管辖哪些装置等。
(2) 单位基础信息,按厂级、部门级、科室车间级逐项列出单位名称,并区分管理部室、专业中心、作业部等单位属性,主要信息包括:单位名称、单位标准化代码、单位属性、单位职能描述等。
(3) 装置基础信息,包括装置名称、装置标准化代码、从属单位、从属区域、关键装置级别、装置描述等。
(4) 承包商基础信息,一般分二级管理,即在广州分公司注册的一级承包商,以及从属于一级承包商的二级承包商(专业队伍),主要信息包括:承包商名称、承包商代码、承包商级别、营业执照编号、安全生产许可证号、执业资格、可施工范围等。
(5) 专业分类基础数据库,工程类型分为:土建、搭架、防腐保温、保运维修、电气作业、仪表作业、其他等;项目类型分为:新改扩建项目、检维修项目、技改技措项目、隐患治理、其他等。
(6)节假日信息,由于节假日施工必须要hse总监审核,所以,这个信息必须准确并可以管理。
1.2 设计“双边”工程管理系统
1.2.1系统主要设计思路
(1)让公司全体员工了解现场施工情况,根据主管工作的实际情况,加强对现场施工作业的掌握监控。
(2)统筹“双边”工程施工,科学合理安排现场施工。避免各专业现场作业各自为政,无法全面掌握当天的所有施工,施工控制容易失控。
(3)危害识别及风险告知、防范措施落实。保证作业人员、监护人员掌握作业风险,现场落实风险控制措
施,保证作业安全进行。
(4)施工项目提前申请,各专业人员、操作人员提前做好施工准备工作。
(5)“双边”工程施工按计划组织,提高实施率。
1.2.2 “双边”工程管理和业务流程
“双边”工程管理主要分项目申请、项目实施和项目完工确认消项三个方面。
(1)项目申请
确定作业任务后,“双边”工程项目负责人在项目实施前提前申请,录入施工相关信息,如装置、工程项目名称、工程类型、项目类型、工程计划施工日期、计划施工人数、作业具体部位、作业内容、作业危害及风险告知、防范措施、施工单位、施工负责人等信息,经装置主管审核后系统生成作业项目,没有申请的项目严禁安排施工。
(2)项目实施
项目实施过程主要是“双边”工程施工人员进出登记及节假日施工hse总监审核。施工人员进入装置施工前,必须到操作室进行登记,由当班班长完成施工登记后,方可允许进入现场施工。施工登记主要内容有:施工现场负责人、进入现场时间、联络方式、进入现场作业确认内容等。作业人员离开现场,必须先到操作室办理离开确认登记,包括离开时间、离开人数和离开现场确认内容等。进入时间与离开时间系统默认为当前时间,以减少录
入时间,提高效率。
为落实节假日领导带班,确保节假日施工安全,节假日施工必须经hse总监审批同意后方可施工。当施工时间为节假日时,系统默认是不允许施工,施工项目单位hse总监必须进入到节假日“双边”工程审核,点击“同意”键后,才能显示当天的施工项目记录,当班班长才能进行“双边”工程施工人员进出登记。
(3)项目完工确认消项
当施工项目完工后,项目负责人进入“双边”工程登记消项,否则,施工项目就一直挂在那里,显示项目未完工。
图2 “双边”工程流程图
1.3 应用界面
应用界面的设计主要根据应用对象需求进行设计,“双边”工程管理软件主要考虑为参与人员提供信息交换界面,主要包括双边工程信息添加、施工人员进出登记、双边工程续期、节假日双边工程审核、施工完毕后工程消项、查询等。
2.实施效果
2.1 进一步规范了进入生产区域作业人员的管理将“双边”工程现场看板管理的功能进一步拓展,监控过程更全面。进出生产区域人员在“双边”工程系统形成动态管理,对进入生产区域作业的人员全过程监控,在生产区域出现突发事件/事故时能及时、准确的通知人员撤离现场。
2.2 降低了因“双边”工程施工导致事故/事件的发生频度人员全过程管理,杜绝了外来人员违章进入现场作业;作业项目负责人组织风险评估后将危害及风险告知、防范措施在系统告知,降低施工作业的风险、严格控制节假日施工等。“双边”工程管理系统2023年9月正式启用,截止2023年9月底,“双边”工程管理系统对16629起“双边”工程施工进行监控,在此期间因“双边”工程施工导致发生的事故、事件3起,2023年9月-2023年9月发生6起,同期相比降低3起,因“双边”工程施工导致事故、事件明显降低,节假日的施工也得到有效控制,成为“双边”工程施工的有效管理工具。
2.3 提高安全管理的效率施工信息透明,企业内部任何一台联网电脑,上至企业经理、下到倒班操作工都能浏览网站,都能了解当前生产区域的施工项目、施工日期、施工内容、风险告知、人员进出管理等。
2.4 系统强大的统计分析功能为改善安全管理提供的依据和指引,提高了企业的安全管理效率通过统计分析,深入指导安全管理工作,表现在三个方面:一是统计分析分公司各单位一定阶段“双边”施工数量;二是统计分析一定阶段“双边”施工工程类型;三是统计分析一定阶段“双边”施工工程项目类型。通过对系统数据的分析,发现“双边”工程作业的分布规律,为“双边”工程管理的决策提供参考信息。
第7篇 工程项目安全管理现状与信息化应对
建设工程的项目管理涉及质量、成本、进度、采购、风险、人力资源、沟通、安全等多个方面,其中安全管理是项目管理中不容忽视的一环,安全管理又包括工作流程安全,资源信息安全,施工现场安全等多个方面内容,结合研究现状与施工中安全问题的突出点,本文主要讨论建筑工程的施工安全问题。
建筑工程安全工作关系到建筑施工人员的生命财产安全与建筑企业的稳定发展,是搞好工程项目施工生产等一系列工作的基本保障。建筑业属于事故多发行业之一,我国每年建筑施工的死亡人数仅次于矿产行业,建筑施工造成的伤亡事故却一直居高不下,建筑施工安全极为严峻,故对待施工安全不可掉以轻心。施工安全问题已经引起重视,但未能有很好的解决措施,目前的安全管理浮于表面,治标不治本,本文结合现状及应对分析,讨论工程项目安全管理的新模式。
1 工程项目安全管理现状
1.1 安全管理现状简述
目前,大多数建筑业企业的项目安全管理是通过配备专职安全管理人员来实施的,安全管理人员与施工管理人员属不同的岗位,它们之间的本质联系被认为的隔断开来,施工进度安排、工序穿插、人员调配、物(设备)的状态管理等与安全由直接关系的要素,因为安全与施工管理岗位的不同而人为的割裂,对施工管理人员的考核与安全指标、安全职责挂钩较少,甚至不挂钩。安全管理人员由于管理职位与其它人员的等同或较低,造成了安全管理指令不畅通,安全管理措施落实不及时。安全管理资源严重浪费,没有得到有效利用。如项目总工、专业工程师或施工员、设备管理员等,他们都具有安全管理的知识和能力,同时,也都具有安全管理的职责和义务,但在目前的项目安全管理模式下,这些安全管理资源没有得到有效整合和充分利用。因此,目前的项目安全管理模式还需要提高与完善。
1.2 安全事故的原因分析
根据安全系统论的观点,发生安全事故的原因可以概括为三点:
1.2.1 人的不安全行为与安全事故人的不安全
整个劳动过程是依靠人的骨骼肌肉的运动和人的感觉、知觉、思维、意识,最后表现为人的外在行为过程。由于存在着身体缺陷、错误行为和违纪违章等缺陷,可能发生人的不安全行为而导致事故,有资料表明,约90%的事故是由人的不安全行为所造成,所以在安全管理中,一定要把人的不安全行为作为关键因素来抓,在采取对策措施时,必须针对人的生理和心理特点消除不安全因素的影响;
1.2.2 物的不安全状态与安全事故物的不安全
包括设备装置的缺陷、作业场所的缺陷,物质和环境的危险源等。人的生理、心理状态不能适应物质、环境条件,或物质、环境条件不能满足劳动者生理、心理需要时,就可能导致安全伤害事故;
1.2.3 不科学的管理手段
此外,不科学的管理手段不但不能够减小施工安全事故的发生,还会因为安全管理本身的漏洞,成为事故发生的触发因素,有时甚至是直接的因素,因此管理对人、物和环境都会产生作用和影响。既然安全管理的目的是保证良好的施工环境,保证人和物的安全状态,所以需要通过建立科学、合理的安全管理模式,并通过安全管理模式的正常运行来达到目的。
1.3 常规施工安全管理方法
安全管理是为施工项目实现安全生产开展的管理活动。施工现场的安全管理,重点是进行人的不安全行为与物的不安全状态的控制,落实安全管理决策与目标。以消除一切事故,避免事故伤害,减少事故损失为管理目的。控制是对某种具体的因素的约束与限制。是管理范围内的重要部分。安全管理措施是安全管理的常规方法与手段,重点是对生产各因素状态的约束与控制。
1.3.1 实施安全责任管理
施工项目需承担安全管理、实现安全生产的责任。包括建立、完善以项目经理为首的安全生产领导组织,有组织、有领导的开展安全管理活动。承担组织、领导安全生产的责任。建立各级人员安全生产责任制度,明确各级人员的安全责任,一切管理、操作人员均需与施工项目签定安全协议。抓制度落实、抓责任落实,定期检查安全责任落实情况,及时报偿。以及坚持施工项目负责施工生产中物的状态审验与认可,承担物的状态漏验、失控的管理责任等。
1.3.2 安全教育与训练
进行安全教育与训练,能增强人的安全生产意识,提高安全生产知识,有效的防止人的不安全行为,减少人失误。安全教育、训练是进行人的行为控制的重要方法和手段。因此,进行安全教育、训练要适时、宜人,内容合理、方式多样,形成制度。组织安全教育、训练做到严肃、严格、严密、严谨,讲求实效。
1.3.3 安全检查
安全检查是发现不安全行为和不安全状态的重要途径。是消除事故隐患,落实整改措施,防止事故伤害,改善劳动条件的重要方法。安全检查的形式有普遍检查,专业检查和季节性检查。
1.3.4 作业标准化
在操作者产生的不安全行为中,由于不知正确的操作方法,为了干的快些而省略了必要的操作步骤,坚持自己的操作习惯等原因所占比例很大。按科学的作业标准规范人的行为,有利于控制人的不安全行为,减少人失误。
1.3.5 生产技术与安全技术的统一
生产技术工作是通过完善生产工艺过程、完备生产设备、规范工艺操作,发挥技术的作用,保证生产顺利进行的。包含了安全技术在保证生产顺利进行的全部职能和作用。两者的实施目标虽各有侧重,但工作目的完全统一在保证生产顺利进行、实现效益这一共同的基点上。生产技术、安全技术统一,体现了安全生产责任制的落实、具体的落实'管生产同时管安全'的管理原则。
1.3.6 正确对待事故的调查与处理
事故是违背人们意愿,且又不希望发生的事件。一旦发生事故,不能以违背人们意愿为理由,予以否定。关键在于对事故的发生要有正确认识,并用严肃、认真、科学、积极的态度,处理好已发生的事故,尽量减少损失。采取有效措施,避免同类事故重复发生。工程项目安全存在问题
2 安全管理中存在的问题
建筑施工的不安全因素较多,稍有不慎,就可能发生事故。几年来,全国各地发生的施工工伤事故和特大伤亡事故的统计数字可以看出,建筑施工的安全势态仍然非常严峻。目前我国在安全管理的成效甚微,存在不少问题需要解决,可细分为安全管理与安全技术两个方面的问题。
2.1 安全管理工作中存在的主要问题
2.1.1 建筑施工企业对安全生产的认识不够深刻
建筑施工企业未能将安全管理工作放在首位,没有充分认识到安全生产的重要性,认为抓安全是质安部门和政府职能部门的事情,把安全检查当例行公事,安全意识淡薄。国家有关建筑的安全法规未能贯彻落实到施工现场,安全施工监管薄弱。
2.1.2 安全生产体系和建筑施工安全生产责任制不健全
建筑安全生产体系形同虚设,安全生产机构名存实亡,因此安全工作无从展开。安全生产责任制未能认真落实管理层,职能部门、工程技术人员、岗位操作人员在作业过程中层层负责的制度,未能明确责任划分,将每个岗位的责任、权利和利益进行合理分配,形成一个严密的管理体系,没有实施目标管理,对施工中各个环节进行安全检查,总结和评比并制定出相应的考核奖惩制度,没有把治理安全隐患,监控危险源,预防和控制各类事故的发生作为考核安全责任制是否落实的主要内容。
第8篇 信息安全管理规范和操作指南
1. 总则
(1)为了保证公司信息网络系统的安全,根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司信息网络系统建设的实际情况,特制定本规定。
(2)本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
(3)本规定适用于公司接入到公司网络系统的单机和局域网系统。
信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。
2. 物理安全
(1)物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。
网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
(2)对重要网络设备配备专用电源或电源保护设备,保证其正常运行。
3. 计算机的物理安全管理
(1)计算机指所有连接到公司信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备;
(2)使用人员应爱护计算机及与之相关的网络连接设备(包括网卡、网线、集线器、路由器等),按规定操作,不得对其实施人为损坏;
(3)计算机使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行为发生;
(4)网络中的终端计算机在使用完毕后应及时关闭计算机和电源;
(5)客户机使用人员不得利用计算机进行违法活动。
4. 紧急情况
(1).火灾发生:切断电源,迅速报警,根据火情,选择正确的灭火方式灭火;
(2)水灾发生:切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施;
(3)地震发生:切断电源,避免引发短路和火灾;
5. 网络系统安全管理
(1)网络系统安全的内涵包括四个方面:
1)机密性:确保信息不暴露给未授权的实体或进程;
2)完整性:未经授权的人不能修改数据,只有得到允许的人才能修改数据,并且能够分辨出被篡改的数据。
3)可用性:得到授权的实体在合法的范围内可以随时随地访问数据,网络的攻击者不能阻碍网络资源的合法使用。
4)可控性:可以控制授权范围内的信息流向和行为方式。可审查性:一旦出现安全问题,网络系统可以提供调查的依据和手段。接入internet公共信息网的重要信息网络系统须安装防火墙或其他安全设备。入网的安全设备必须具有国家保密局、公安部、中国国家信息安全测评认证中心的技术鉴定、销售许可和产品评测等资质,并符合国家的相关规定。
6. 网络安全检测。
(1)为使网络长期保持较高的安全水平,网络管理员应当用网络安全检测工具对网络系统进行安全性分析,及时发现并修正存在的安全漏洞。网络管理员在系统检测完成后,应编写检测报告,需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。
网络反病毒。病毒的危害性巨大,对系统和信息的破坏程度具有不可测性,计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。
7. 信息系统安全管理
(1)信息安全是指通过各种计算机、网络和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。
1)信息处理和传输系统的安全
系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。
2)信息内容的安全
侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。
3)信息传播安全
要加强对信息的审查,防止和控制非法、有害的信息通过我司的信息网络系统传播,避免对国家利益、公共利益以及个人利益造成损害。
涉及商业机密文件必须采用rms权限管理服务进行文件保护,以免外泄。
8. 信息系统的内部管理
(1)各部门向网络系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载;
(2)根据情况,采取网络病毒监测、查毒、杀毒等技术措施,提高网络的整体抗病毒能力;部门负责的重要信息必须作好备份;
(3)网站和栏目信息的负责部门必须对所发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等做出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时报告综合部;
(4)涉及商业秘密的信息的存储、传输等应指定专人负责,并严格按照国家有关保密的法律、法规执行;
(5)涉及商业机密的项目招标、投标标注等信息,未经所属单位安全主管负责人的批准不得在网络上发布和明码传输;
(6)个人计算机中的涉密文件不可设置为共享,个人电子邮件的收发要实行病毒查杀。
(7)信息加密
1).涉及商业秘密的信息,其电子文档资料须加密存储;
2).涉及公司和部门利益的敏感信息的电子文档资料应当加密存储;
3).涉及社会安定的敏感信息的电子文档资料应当加密存储;
4).涉及公司秘密、与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。
(8)公司内任何组织和个人不得从事以下活动:
1).利用信息网络系统制作、传播、复制有害信息;
2).入侵他人计算机;
3).未经允许使用他人在信息网络系统中未公开的信息;
4).未经授权对信息网络系统中存储、处理或传输的信息(包括系统文件和应用程序)进行增加、修改、复制和删除等;
5).未经授权查阅他人邮件;
6).盗用他人名义发送电子邮件;
7).故意干扰网络的畅通运行;
8).从事其他危害信息网络系统安全的活动。
9. 密码管理
(1).具有密码功能的计算机、网络设备等系统处理公司秘密信息,必须使用密码对用户的身份进行验证和确认。对于重要网络系统,各部门要有一个负责人,负责日常的密码管理工作。
(2).负责人负责给新增加的员工分配初始密码;指导员工正确使用密码;检查员工使用密码情况;帮助员工开启被锁定的密码,对非法操作及时查明原因;解决密码使用过程中出现的问题;协助员工保护公司秘密不受侵害;定期向主管领导汇报密码使用情况和需要解决的问题。
(3).定期更换密码。密码的最长使用时间不能超过三个月,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短密码的使用时间。当密码使用期满时,应更换新的密码。
(4)负责人必须有能力更改密码。当密码使用期满、被其他人知悉或认为密码不安全或失效时,最终员工可使用公司邮箱给系统管理员提交密码重置申请,非公司邮箱提交的申请不予进行处理。
(5).系统管理员重置密码后,最终员工首次登陆必须要进行修改密码,不得使用前三次使用过的密码。
(6).对密码数据库的访问和存取必须加以控制,以防止密码被非法修改或泄露。
(7).当系统提供的访问和存取控制机制不够完善时或机制虽然完善,但可能出现系统转储等情况时,应对存储的密码加密。
密码的等级应当符合以下要求:
1).初始密码应当由系统管理员集中产生供用户使用,并有密码更换记录,不得由员工产生;
2).密码的复杂性要求密码长度不得小于8个字符,要包含大写、小写、特殊字符、阿拉伯数字中的任意三种,密码更换周期不得长于三个月;
3).密码必须加密存储,并且保证密码存放载体的物理安全;
员工应记住自己的密码,不应把它记载在不保密的媒介物上,严禁张贴密码。
恶意软件管理
4).公司所有联网计算机必须安装防病毒软件,安装后不得自行关闭和卸载,对擅自卸载或不按规定使用防病毒软件的人员,如造成损失,应承担相应的责任;
5).由于特殊原因不能安装防病毒客户端软件的电脑,须记录相关原因。
技术部负责对所有客户端的杀毒软件进行管理和监控,全体人员必须服从和配合。在正常运行过程中,不得随意关闭或退出。若因特殊情况需临时暂停客户端运行者,应经技术部同意方可执行;
6).如发现病毒,相关使用人应立即上报,及时联系技术部人员对感染机器进行有效的隔离,清除病毒的后检查其最近使用过的软盘、光盘和移动存储设备,以免漏杀,未清除病毒的计算机不得入网;
7).对因病毒引起的计算机信息系统瘫痪,程序和数据严重破坏等重大事故应及时采取隔离措施,并及时公司技术部报告;
8).不得向他人提供含有计算机病毒的文件、软件、媒体。禁止在计算机上装载与工作无关的软件,特别是游戏软件、盗版软件等;
9).禁止从internet网络随意上下载程序、数据,以及外来程序和文档。如确实需要,应当先进行病毒检测后使用。在网上发布的文件文档,发件人应主动用查病毒软件检查并确认安全后方可发出,收件人发现病毒,应立即杀毒,并通知发件人;
10).不得打开可疑的或陌生人发送来的邮件及附件,必要时直接删除;对认定为清除不了含有病毒的文件,技术部有权直接删除,以防病毒扩散、蔓延。
外来的软盘、光盘和移动存储设备等应先进行杀毒检查后使用。当在光盘、u盘、移动存设备上发现病毒后应立即报告技术部,并及时加以标识,不得在其他计算机上再使用,避免病毒的传播;
11).除打印机可以共享外,服务器与工作站的硬盘尽量不设置为共享,文件目录一般不进行网络共享。特殊情况需进行目录共享的必须设定密码,一旦使用完毕后必须立即关闭共享,或加强对该机器的病毒检查;
12).对购置、维修、借入的计算机及其他网络存储设备,应当及时进行病毒检测;
13).对于关键部门的关键数据要经常进行备份,且异地存放,以备数据破坏后恢复。
第9篇 搞好安全信息管理提高安全管理水平
安全信息管理是电力企业安全管理的重要组成部分, 是指导安全生产和做出安全决策的重要依据,搞好企业内部安全信息管理对提高企业安全管理水平,预防、控制事故的发生,有着极其重要的作用。
1 安全信息的分类
安全信息包括安全情报、资料、台帐、指令以及发生在生产现场的事故、障碍、异常、未遂、差错的具体行为等,它应反映出企业整个生产过程的基本安全情况,企业内部安全信息的获得可来自企业内部和外部,一般以企业内部的安全信息为主,采取内外结合的原则。
全信息分类的目的是为了便于具体认识与运用安全信息去指导安全生产,提高安全管理水平,从而有效地预防和控制事故的发生。安全信息分类主要是根据安全信息的产生和作用来进行的,安全信息大体可分为3类:
(1) 安全指令信息。是指上级领导及管理部门发出的各种安全工作的指令、要求、事故通报、安全生产简报、兄弟单位安全管理经验以及事故教训等信息。
(2) 安全动态信息。是指生产过程中的安全运行情况、安全规章制度的制定和落实情况;易燃易爆等危险品及现场设施防护完善状况;生产中出现的异常现象;现场作业工人的情绪以及工器具、设备的异常状态等多方面的安全动态信息。
(3) 安全反馈信息。是指能将在执行安全指令过程中发生的人的不安全行为、物的不安全状态以及环境的不安全因素等信息及时反馈到安全监督人员和相应决策部门,通过闭环控制、偏差管理,及时作出新的决策,制定新的防范措施。
2 安全信息管理
安全信息管理要采用现代科学管理的理论和方法,应体现“及时、准确、适用”3个特性:
(1)及时性——收集、传递、反馈、运用、处理安全信息要及时,错过收集和使用的时间,安全信息就失去应有的作用。如:对于在装设三相短路接地线时,没有用验电器在停电设备上验明确无电压,就直接在停电设备上装设接地线的违规行为,如果在生产中能及时发现并纠正,就能有效地控制、预防事故的发生,否则,就可能导致事故。
(2)准确性——收集到的安全信息要真实、准确、完整,实事求是,不弄虚作假,否则就会影响安全信息的使用效果,甚至可能做出不符合实际的决策,贻误了安全管理工作。如:在电气倒闸操作过程中,没有使用操作票,原因是领导允许无票操作。在收集此信息时,如果只收集到无票进行电气倒闸操作的违章作业行为,而没有收集到领导违章指挥的事实,就不能使决策部门提出全面的整改措施,其结果是只解决了无票操作的违章作业问题,而没有解决领导的违章指挥问题。
(3)适用性——安全信息的使用价值因人们的需求和使用的时间、方式、对象、地点不同而不同。只有适用的安全信息,才能促进安全管理工作,才能充分发挥安全信息的作用。如:在学习兄弟单位安全管理经验时,不结合本企业的安全生产实际情况,生搬硬套,就不可能充分发挥安全信息的作用。
一个企业安全工作的好坏,在一定程度上取决于企业对安全信息的收集、处理和利用的状况。企业的安全信息管理应该通过收集 、分析、管理、处理、传递等环节形成一个自上而下、自下而上的高效、流通的闭环反馈系统。只有这样,才能够使领导全面准确地掌握安全信息,作出符合实际的决策,然后,再下达给基层,指导生产一线的安全管理。
3 安全信息管理的基本环节
(1)建立安全信息管理制度 。从制度上保证安全信息在企业中的流通,把安全信息管理工作纳入议事日程中,在讨论研究安全工作时,应讨论研究安全信息的应用管理工作,解决安全工作中存在的问题,保证安全信息所具有的作用在安全管理中得到充分发挥。
(2)建立安全信息管理网。 通过安全信息管理网及时传达有关安全生产的法规和方针政策,了解兄弟单位及本企业的安全生产动态,并将重要的安全信息及时、准确地传送到信息管理网,实现资源共享,提高工作效率。
(3)落实安全信息管理责任制 。安全信息要分级管理,分工明确,责任到人,提高安全信息的利用率,保证安全信息正常运转,保证安全信息管理得力、有效。
(4)加强班组安全信息收集。班组是企业最小的基层单位,又是安全信息的重要来源。加强班组信息管理是搞好信息收集和反馈的重要环节。
(5)加强信息档案工作。安全信息建档资料是企业宝贵的财富,它可以帮助人们了解企业安全生产的状况,及时作出正确决策,掌握安全生产主动权,对提高安全管理水平,预防、控制事故的发生有着重要的作用。
(俞福成)
第10篇 安全信息管理规定
1 总则:
1.1 为加强公司的安全监督管理,使安全信息管理工作制度化和规范化,保证安全信息的及时性、准确性和完整性,根据国家有关法律、法规、规程和南方电网公司《电业生产安全信息管理暂行规定》、云南电网公司《电业安全信息管理规定》,特制定本管理办法。
1.2 本办法所指的安全信息是指公司安全生产、交通和消防安全状况,包括安全事件、事故、障碍等涉及事故定性报表内容以及工作动态方面的信息,还包括安全会议、活动要求的相关信息。
1.3 本办法适用于本公司
1.4 安全信息应当本着分级报送、归口管理、资源共享的原则,在收集、统计、报告过程中要切实做到实事求是,报告内容准确、完整,为公司持续改进安全生产管理工作提供科学依据,严禁漏报、虚报、瞒报。
1.5 本规定所涉及的事故(障碍)的定义、等级划分、责任归属和事故调查的组织、程序等,严格按照南方电网公司颁发的《电力生产事故调查规程》的规定及其条文解释执行。
1.6 公司安全管理部门是公司安全信息的归口管理部门,负责审核、汇总、分析和公布各类安全信息,综合分析和预测公司的安全形势,编写公司安全情况报告(通报、快报、简报)。
1.7 公司各单位安全管理部门是所在单位的安全信息归口管理部门,负责收集、汇总、分析各类安全信息,并经分管领导审核后上报。
1.8 公司各单位应结合实际情况配备兼职安全信息管理人员,并为安全信息管理人员收集、编辑、报送信息提供必要条件。
1.9 各单位应对安全信息管理制度进行细化,针对各单位的实际情况制定相关规定,逐步理顺并优化信息收集、筛选、整理、编辑、报送等环节的关系,加强对信息工作管理。
2 安全信息报告、报送管理:
2.1 各职能部门的安全信息由各单位以书面、电子邮件、办公自动化等形式上报公司安全管理部门。
2.2 各项目部安全信息由承担施工任务的单位收集、汇总、整理后报送安全管理处,对于安全管理处直接要求项目部上报的信息,则由项目部直接报送安全管理部门。
2.3 安全生产突发事件(主要是指一些已危及或影响人身、设备安全的事件:如地震、洪水、泥石流等自然灾害和其他不可预见的事件,以下简称“突发事件”)及安全生产事故(施工生产人身重伤及以上、重大及以上电网和设备事故、重大及以上交通事故、重大及以上火灾事故、误操作事故等)的报告,应在对事故情况有所了解的前提下立即报告。
2.4 快速报告:发生突发事件及安全生产事故时,事故单位在立即组织事故处理或施救的同时,应及时向公司有关领导和部门进行快速报告。
2.4.1发生严重的突发事件,导致人身伤亡、设备损坏或其他情况的,应立即向安全管理部门报告,有人员死亡的还应向当地公安部门报告。
第11篇 中学计算机信息安全管理职责
邺建中学计算机信息安全管理的职责
1、进行计算机信息安全使用与管理的宣传和教育
安全管理办公室要经常向各处、室、年级组和学科组及全体上网用户提供有关学习资料,以促进用户提高计算机安全意识,增强执行安全规章制度的自觉性。
2、制定并落实安全管理规章制度
安全管理办公室要根据互联网不断发展变化的实际情况,不断充实、完善安全管理制度。各处、室、年级组和学科组要明确一名责任人具体负责本部门的制度落实及安全管理工作。
3、进行计算机信息安全检查
各处、室、年级组和学科组及电脑室管理人员要经常组织对计算机使用、管理方面的安全检查, 及时发现问题,采取有效措施,堵塞隐患漏洞。领导小组及办公室成员对校园内计算机进行不定期检查。
第12篇 烟草系统信息网络安全管理办法
第一章 总 则
第一条 为了保护全市烟草信息网络系统的安全,促进计算机网络的应用和发展,保证局域网正常运行,制定本办法。
第二条 本办法所称的局域网络系统,是指由市县局(公司)投资购买、信息中心负责维护和管理的局域网设备、配套的网络线缆设施及网络服务器所构成的硬件、软件集成系统。
第三条 局域网设备管理维护工作由信息中心负责,未经同意,任何单位和个人不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人不得利用联网计算机从事危害局域网及局域网服务器的活动,不得危害或侵入未授权的服务器。
第二章 安全管理组织
第五条 局域网安全领导小组由分管领导和办公室信息中心、监察处等部门负责人组成。
信息中心在安全领导小组指导下负责具体的网络安全运行管理工作。
信息中心配备网络安全专管员,实行持证上岗,负责对本单位工作人员的安全教育,网络安全管理,对各项安全制度的执行情况进行监督。
第六条 各县局(公司)、部门指定1名网络安全专管员,负责对本单位(部门)的计算机网络安全工作。
第三章 安全保护
第七条 未经授权,任何单位或个人不得以任何方式登陆进入局域网、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施;不得采用各种手段切断单位、部门或他人网络的连接。
第八条 各单位从事施工、建设,不得危害计算机网络系统的安全。
无特殊情况必须保证网络设备24小时正常运行,不得以任何理由 有关设备或电源。
第九条 各单位、各部门应当建立健全网络安全管理制度和备案制度,真实详尽记录各联网计算机的使用者和使用时间,并保留半年以上。
第十条 对外提供服务的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。
第十一条 内网与外网出口处必须安装防火墙,确保网络不受攻击。
电子邮件服务器应具有email病毒过滤和关键字过滤功能。
第十二条 各单位必须做好数据备份工作,并建立应急预案。
业务、专卖数据必须每天备份一次。
当服务器发生故障时,应立即启动应急预案,尽快恢复数据,确保经营管理活动的正常开展。
第十三条 任何连入局域网络的计算机均须安装防病毒软件和防火墙。
信息中心应及时将有碍局域网络安全的计算机断开连接后通报其所在部门进行处理。
第十四条 凡未通过信息中心自行与isp联网的计算机不得接入局域网。
第十五条 各单位、各部门不得泄露使用的网络设备及服务器的登录用户名及密码。
第十六条 任何单位和个人不得以不真实身份使用网络资源,不得窃取他人帐号、口令使用网络资源。
各单位必须对局域网内计算机实行ip地址与网卡mac地址绑定,任何人不得擅自改动ip地址设置。
未经允许,任何单位或个人不得擅自接纳网络用户。
第十七条 任何单位和个人不得利用单位分配的个人电子邮箱上公网注册信息,不得访问恶意网站和不健康网站,不要随意打开陌生邮件。
第十八条 任何单位或个人不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,不得使用任何非法手段获取他人信息。
第十九条 局域网设备、连接线路及服务器等发生破坏案件后,信息中心必须及时向市局网络安全领导小组报告。
第四章 信息管理
第二十条 网络用户必须遵守《计算机信息网络国际互联网安全保管办法》。
第二十一条 局域网及子网的系统软件、应用软件及信息数据要实施保密措施。
信息资源保密等级可分为:(1)可向internet公开的;(2)可向广域网公开的;(3)可向局域网公开的;
(4)在本单位公开的。
第二十二条 局域网中对外发布信息的内容必须经本单位网络安全领导小组审核备案,通过专用帐号进行发布。
帐号由专人保管使用,不得随意公布转借。
第二十三条 未经网络安全领导小组允许,任何单位或个人不得在主页上开设交互式栏目,不得设立游戏站点或纯娱乐性站点,一经发现,即从网上隔离,并追究有关人员的责任。
第二十四条 开设的电子公告栏(bbs)必须建立信息审核员、站长和栏目主持人组成的三级管理、分级负责制;建立栏目主持人资格审定制度、用户登记制度、日志备份制度。
bbs开放期间必须有专人管理,采取有效的身份识别、安全防护和有害信息过滤保存技术,并具有安全审计功能。
第二十五条 未经网络安全领导小组允许,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。
第二十六条 局域网内的所有用户有义务向网络安全管理人员或有关部门报告违法犯罪行为和有害的、不健康的信息,并协助有关部门进行调查。
网络安全小组应不定期检查局域网信息发布的内容,督促信息中心和各部门对有害信息进行清除。
第二十七条 局域网接入单位和用户必须遵守知识产权的有关法律法规。
第二十八条 严禁在局域网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件
检查、杀毒。
第五章 违规处罚
第二十九条 违反本条例规定,有下列行为之一者,由信息中心向所在单位(部门)或个人用户提出警告,停止其网络使用。
1. 查阅、复制或传播下列信息:煽动抗拒、破坏宪法和国家法律、行政法规实施的;煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度的;
捏造或者歪曲事实,散布谣言扰乱社会秩序的;
公然侮辱他人或者捏造事实诽谤他人的;
宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等;损害单位形象和利益的;其他违反宪法和法律、行政法规的。
2. 破坏、盗用计算机网络中的信息资源和危害计算机网络安全的活动的。
3. 盗用他人帐号或ip地址的。
4. 私自转借、转让用户帐号的。
5. 故意制作、传播计算机病毒等破坏性程序的。
6. 不按有关规定擅自接纳网络用户的。
7. 上网信息审查不严, 造成严重后果的。
8. 使用任何工具破坏网络正常运行或窃取他人信息的。
上述违规造成损失的,依照有关法律、法规及行业管理规定进行处理,情节严重者移交公安机关处理。
第六章 其他
第三十条 本办法由市局信息中心负责解释。
第三十一条 本办法自200 1日起实行。
