第1篇 信息安全事件管理程序范本
1 目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于***业务信息安全事件的管理。
3 职责
3.1 信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2 信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3 信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4 工作程序
4.1 信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) ***秘密泄露;
b) 导致业务中断两小时以上;
c) 造成信息资产损失的火灾;
d) 损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a) 组织机密泄露;
b) 导致业务中断十小时以上;
c) 造成机房设备毁灭的火灾;
d) 损失在十万元人民币(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据***对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3 信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。
造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4 报告信息安全薄弱点与预防措施
***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免***重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5 相关文件
6 相关记录
第2篇 数据中心信息安全管理及管控要求
随着在世界范围内,信息化水平的不断发展,数据中心的信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(iso)也发布了iso17799、iso13335、iso15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准iso27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在bsi/disc的bdd/2信息安全管理委员会指导下制定完成。
iso27001标准于1993年由英国贸易工业部立项,于1995年英国首次出版bs 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。iso27000-1与iso27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,iso27000-1:1999《信息安全管理实施细则》通过了国际标准化组织iso的认可,正式成为国际标准iso/iec17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,iso27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时iso27000-2:1999被废止。现在,iso27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对信息安全进行系统的管理,数据中心(idc)应逐步建立并完善标准化的信息安全管理体系。
一、 数据中心信息安全管理总体要求
1、信息安全管理架构与人员能力要求
1.1信息安全管理架构
idc在当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。
1.2人员能力
具备标准化 信息安全管理体系内部审核员、cisp(certified information security professional,国家注册信息安全专家)等相关资质人员。5星级idc至少应具备一名合格的标准化信息安全管理内部审核员、一名标准化 主任审核员。4星级idc至少应至少具备一名合格的标准化信息安全管理内部审核员
2、信息安全管理体系文件要求,根据idc业务目标与当前实际情况,建立完善而分层次的idc信息安全管理体系及相应的文档,包含但不限于如下方面:
2.1信息安全管理体系方针文件
包括idc信息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑idc业务需求、国家法律法规的要求、客户以及合同要求。
2.2风险评估
内容包括如下流程:识别idc业务范围内的信息资产及其责任人;识别资产所面临的威胁;识别可能被威胁利用的脆弱点;识别资产保密性、完整性和可用性的丧失对idc业务造成的影响;评估由主要威胁和脆弱点导致的idc业务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施;对风险进行评级。
2.3风险处理
内容包括:与idc管理层确定接受风险的准则,确定可接受的风险级别等;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险;控制目标和控制措施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。
2.4文件与记录控制
明确文件制定、发布、批准、评审、更新的流程;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程;并对文件资料的传输、贮存和最终销毁明确做出规范。
记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
2.5内部审核
idc按照计划的时间间隔进行内部isms审核,以确定idc的信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级idc应至少每年1次对信息安全管理进行内部审核。四星级idc应至少每年1次对信息安全管理进行内部审核。
2.6纠正与预防措施
idc建立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无
2.7控制措施有效性的测量
定义如何测量所选控制措施的有效性;规定如何使用这些测量措施,对控制措施的有效性进行测量(或评估)。
2.8管理评审
idc管理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合idc业务要求。
五星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审四星级idc管理层应至少每年1次对idc的信息安全管理体系进行评审。
2.9适用性声明
适用性声明必须至少包括以下3项内容: idc所选择的控制目标和控制措施,及其选择的理由;当前idc实施的控制目标和控制措施;标准化附录a中任何控制目标和控制措施的删减,以及删减的正当性理由。
2.10业务连续性
过业务影响分析,确定idc业务中哪些是关键的业务进程,分出紧急先后次序; 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间; 进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划(bcp)/灾难恢复计划(drp)。
2.11其它相关程序
另外,还应建立包括物理与环境安全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。
二、信息安全管控要求
1、安全方针
信息安全方针文件与评审建立idc信息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。
至少每年一次或当重大变化发生时进行信息安全方针评审。
2、信息安全组织
2.1 内部组织
2.1.1信息安全协调、职责与授权
信息安全管理委员会包含idc相关的不同部门的代表;所有的信息安全职责有明确成文的规定;对新信息处理设施,要有管理授权过程。
2.1.2保密协议
idc所有员工须签署保密协议,保密内容涵盖idc内部敏感信息;保密协议条款每年至少评审一次。
2.1.3权威部门与利益相关团体的联系
与相关权威部门(包括,公安部门、消防部门和监管部门)建立沟通管道;与安全专家组、专业协会等相关团体进行沟通。
2.1.4独立评审
参考“信息安全管理体系要求”第5和第8条关于管理评审、内部审核的要求,进行独立的评审。
审核员不能审核评审自己的工作;评审结果交管理层审阅。
2.2 外方管理
2.2.1外部第三方的相关风险的识别
将外部第三方(设备维护商、服务商、顾问、外包方临时人员、实习学生等)对idc信息处理设施或信息纳入风险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型(物理、逻辑、网络)、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。
建立外部第三方信息安全管理相关管理制度与流程。
2.2.2客户有关的安全问题
针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。
2.2.3处理第三方协议中的安全问题
涉及访问、处理、交流(或管理)idc及idc客户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。
3、信息资产管理
3.1 资产管理职责
3.1.1资产清单与责任人
idc对所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。
idc中所有信息和信息处理设施相关重要资产需指定责任人。
3.1.2资产使用
指定信息与信息处理设施使用相关规则,形成了文件并加以实施。
3.2 信息资产分类
3.2.1资产分类管理
根据信息资产对idc业务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。
信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。
3.2.2信息的标记和处理
按照idc所采纳的分类指南建立和实施一组合适的信息标记和处理程序。
4、人力资源安全
这里的人员包括idc雇员、承包方人员和第三方等相关人员。
4.1信息安全角色与职责
人员职责说明体现信息安全相关角色和要求。
4.2背景调查
人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。
4.3雇用的条款和条件
人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全相关要求。
4.4信息安全意识、教育和培训
入职新员工培训应包含idc信息安全相关内容。
至少每年一次对人员进行信息安全意识培训。
4.5安全违纪处理
针对安全违规的人员,建立正式的纪律处理程序。
4.6雇佣的终止与变更
idc应清晰规定和分配雇用终止或雇用变更的职责;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。
5、物理与环境安全
5.1 安全区域
5.1.1边界安全与出入口控制
根据边界内资产的安全要求和风险评估的结果对idc物理区域进行分区、分级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。
入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。
机房大楼应有7×24小时的专业保安人员,出入大楼需登记或持有通行卡。
机房安全出口不少于两个,且要保持畅通,不可放置杂物。
5星级idc:出入记录至少保存6个月,视频监控至少保存1个月。
4星级idc:出入记录至少保存6个月,视频监控至少保存1个月。
5.1.2 idc机房环境安全
记录访问者进入和离开idc的日期和时间,所有的访问者要需要经过授权。
建立访客控制程序,对服务商等外部人员实现有效管控。
所有员工、服务商人员和第三方人员以及所有访问者进入idc要佩带某种形式的可视标识,已实现明显的区分。外部人员进入idc后,需全程监控。
5.1.3防范外部威胁和环境威胁
idc对火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施;危险或易燃材料应在远离idc存放;备份设备和备份介质的存放地点应与idc超过10公里的距离。
机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。
5.1.4公共访问区和交接区
为了避免未授权访问,访问点(如交接区和未授权人员可以进入的其它地点)需进行适当的安全控制,设备货物交接区要与信息处理设施隔开。
5.2 设备安全
5.2.1设备安全
设备尽量安置在可减少未授权访问的适当地点;对于处理敏感数据的信息处理设施,尽量安置在可限制观测的位置;对于需要特殊保护的设备,要进行适当隔离;对信息处理设施的运行有负面影响的环境条件(包括温度和湿度),要进行实时进行监视。
5.2.2支持性设备安全
支持性设施(例如电、供水、排污、加热/通风和空调等)应定期检查并适当的测试以确保他们的功能,减少由于他们的故障或失效带来的风险。
实现多路供电,以避免供电的单一故障点。
5.2.3线缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
电源电缆要与通信电缆分开;各种线缆能通过标识加以区分,并对线缆的访问加以必要的访问控制。
线缆标签必须采用防水标签纸和标签打印机进行正反面打印(或者打印两张进行粘贴),标签长度应保证至少能够缠绕电缆一圈或一圈半,打印字符必须清晰可见,打印内容应简洁明了,容易理解。标签的标示必须清晰、简洁、准确、统一,标签打印应当前后和上下排对齐。
5.2.4设备维护
设备需按照供应商推荐的服务时间间隔和说明书,进行正确维护;设备维护由已授权人员执行,并保存维护记录1年。
5.2.5组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险。
5.2.6设备的安全处置或再利用
包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。
5.2.7资产的移动
设备、信息或软件在授权之前不应带出组织场所,设置设备移动的时间限制,并在返还时执行符合性检查;对设备做出移出记录,当返回时,要做出送回记录。
6、通信和操作管理
6.1 运行程序和职责
6.1.1运行操作程序文件化
运行操作程序文件化并加以保持,并方便相关使用人员的访问。
6.1.2变更管理
对信息处理设施和系统的变更是否受控,并考虑:重大变更的标识和记录;变更的策划和测试;对这种变更的潜在影响的评估,包括安全影响;对建议变更的正式批准程序;向所有有关人员传达变更细节;返回程序,包括从不成功变更和未预料事态中退出和恢复的程序与职责。
6.1.3职责分离
各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。
6.1.4开发设施、测试设施和运行设施的分离
开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
6.2 第三方服务交付管理
6.2.1服务交付
应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、服务定义和交付水准。
idc应确保第三方保持足够的服务能力和可使用的计划以确保商定的服务在大的服务故障或灾难后继续得以保持。
6.2.2第三方服务的监视和评审
应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行,并留下记录。
6.2.3第三方服务的变更管理
应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估
6.3系统规划和验收
6.3.1容量管理
idc各系统资源的使用应加以监视、调整,并做出对于未来容量要求的预测,以确保拥有所需的系统性能。
系统硬件系统环境的功能、性能和容量要满足idc业务处理的和存贮设备的平均使用率宜控制在75%以内。
网络设备的处理器和内存的平均使用率应控制在75%以内。
6.3.2系统验收
建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。
6.4防范恶意代码和移动代码
6.4.1对恶意代码的控制措施
实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序
6.4.2对移动代码的控制措施
当授权使用移动代码时,其配置确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。
6.5 备份
6.5.1备份
应按照客户的要求以及已设的备份策略,定期备份和测试信息和软件。各个系统的备份安排应定期测试以确保他们满足业务连续性计划的要求。对于重要的系统,备份安排应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据。
应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。
6.6 网络安全管理
6.6.1网络控制
为了防止使用网络时发生的威胁和维护系统与应用程序的安全,网络要充分受控;网络的运行职责与计算机系统的运行职责实现分离;敏感信息在公用网络上传输时,考虑足够的加密和访问控制措施。
6.6.2网络服务的安全
网络服务(包括接入服务、私有网络服务、增值网络和受控的网络安全解决方案,例如防火墙和入侵检测系统等)应根据安全需求,考虑如下安全控制措施:为网络服务应用的安全技术,例如认证、加密和网络连接控制;按照安全和网络连接规则,网络服务的安全连接需要的技术参数;若需要,网络服务使用程序,以限制对网络服务或应用的访问。
6.7 介质管理
6.7 .1可移动介质的管理
建立适当的可移动介质的管理程序,规范可移动介质的管理。
可移动介质包括磁带、磁盘、闪盘、可移动硬件驱动器、cd、dvd和打印的介质
6.7 .2介质的处置
不再需要的介质,应使用正式的程序可靠并安全地处置。保持审计踪迹,保留敏感信息的处置记录。
6.7 .3信息处理程序
建立信息的处理及存储程序,以防止信息的未授权的泄漏或不当使用。
包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。
6.8 信息交换
6.8.1信息交换策略和程序
为了保护通过使用各种类型的通信设施进行信息交换,是否有正式的信息交换方针、程序和控制措施。
6.8.2外方信息交换协议
在组织和外方之间进行信息/软件交换时,是否有交换协议。
6.8.3电子邮件、应用系统的信息交换与共享
建立适当的控制措施,保护电子邮件的安全;为了保护相互连接的业务信息系统的信息,开发与实施相关的方针和程序。
6.9 监控
6.9.1审计日志
审计日志需记录用户活动、异常事件和信息安全事件;为了帮助未来的调查和访问控制监视,审计日志至少应保存1年。
6.9.2监视系统的使用
应建立必要的信息处理设施的监视使用程序,监视活动的结果应定期评审。
6.9.3日志信息的保护
记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。
6.9.4管理员和操作员日志
系统管理员和系统操作员活动应记入日志。系统管理员与系统操作员无权更改或删除日志。
6.9.5故障日志
与信息处理或通信系统的问题有关的用户或系统程序所报告的故障要加以记录、分析,并采取适当的措施。
6.9.6时钟同步
一个安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。
5星级idc各计算机系统的时钟与标准时间的误差不超过10秒。
4星级idc各计算机系统的时钟与标准时间的误差不超过25秒。
7、访问控制
7.1用户访问管理
应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。
应限制和控制特殊权限的分配及使用;应通过正式的管理过程控制口令的分配,确保口令安全;管理层应定期使用正式过程对用户的访问权进行复查。
7.2用户职责
建立指导用户选择和使用口令的指南规定,使用户在选择及使用口令时,遵循良好的安全习惯。
用户应确保无人值守的用户设备有适当的保护,防止未授权的访问。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略,idc并定期组织检查效果。
7.3网络访问控制
建立访问控制策略,确保用户应仅能访问已获专门授权使用的服务。
应使用安全地鉴别方法以控制远程用户的访问,例如口令+证书。
对于诊断和配置端口的物理和逻辑访问应加以控制,防止未授权访问。
根据安全要求,应在网络中划分安全域,以隔离信息服务、用户及信息系统;对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制,并建立适当的路由控制措施。
7.4操作系统访问控制
建立一个操作系统安全登录程序,防止未授权访问;所有用户应有唯一的、专供其个人使用的标识符(用户id),应选择一种适当的鉴别技术证实用户所宣称的身份。
可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。
不活动会话应在一个设定的休止期后关闭;使用联机时间的限制,为高风险应用程序提供额外的安全。
7.5应用和信息访问控制
用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。
敏感系统应考虑系统隔离,使用专用的(或孤立的)计算机环境。
7.6移动计算和远程工作
应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。
通过网络远程访问idc,需在通过授权的情况下对用户进行认证并对通信内容进行加密。
8、信息系统获取、开发和维护
8.1安全需求分析和说明
在新的信息系统或增强已有信息系统的业务需求陈述中,应规定对安全控制措施的要求。
8.2信息处理控制
输入应用系统的数据应加以验证,以确保数据是正确且恰当的。
验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。
通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。
8.3密码控制
应开发和实施使用密码控制措施来保护信息的策略,并保证密钥的安全使用。
8.4系统文件的安全
应有程序来控制在运行系统上安装软件;试数据应认真地加以选择、保护和控制;应限制访问程序源代码。
8.5开发过程和支持过程中的安全
建立变更控制程序控制变更的实施;当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
idc应管理和监视外包软件的开发。
8.6技术脆弱性管理
应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。
9、信息安全事件管理
9.1报告信息安全事态和弱点
建立正式的idc信息安全事件报告程序,并形成文件。
建立适当的程序,保证信息安全事态应该尽可能快地通过适当的管理渠道进行报告,要求员工、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。
9.2职责和程序
应建立管理职责和架构,以确保能对信息安全事件做出快速、有效和有序的响应。
9.3对信息安全事件的总结和证据的收集
建立一套机制量化和监视信息安全事件的类型、数量和代价,并且当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。
10、业务连续性管理
10.1业务连续性计划
建立和维持一个用于整个组织的业务连续性计划,通过使用预防和恢复控制措施,将对组织的影响减少到最低,并从信息资产的损失中恢复到可接受的程度。
10.2业务连续性和风险评估
通过恰当的程序,识别能引起idc业务过程中断的事态(例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖行为等),这种中断发生的概率和影响,以及它们对信息安全所造成的后果。
业务资源与过程责任人参与业务连续性风险评估。
10.3制定和实施包括信息安全的连续性计划
建立业务运行恢复计划,以使关键业务过程在中断或发生故障后,能在规定的水准与规定的时间范围恢复运行
10.4测试、维护和再评估业务连续性计划
业务连续性计划应定期测试和更新,以确保其及时性和有效性。
定期测试及更新业务连续性计划(bcp)/灾难恢复计划(drp),并对员工进行培训;定期对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
5星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训; 至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
4星级idc:至少每年一次测试及更新;bcp/drp,并对员工进行培训;至少每年一次对idc的风险进行审核和管理评审,及时发现潜在的灾难和安全失效。
11、符合性
11.1可用法律、法规的识别
idc所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、收集和跟踪,并形成文件并保持更新。
11.2知识产权
应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。
11.3保护组织的记录
应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。
11.4技术符合性检查
定期地对信息系统进行安全实施标准符合检查,由具有胜任能力的已授权的人员执行,或在他们的监督下执行。
11.5数据保护和个人信息的隐私
应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。
第3篇 安全风险信息平台工作管理办法
第一章 总则
第一条 为规范石家庄市轨道交通安全风险监控工作,规范地铁建设参建各方在安全风险监控管理上的工作责任、工作内容及工作流程,加强相关单位和部门在安全风险监控工作中的协同性,提升轨道交通建设安全风险管理的专业化和规范化水平,最大程度规避和减少轨道交通工程建设及周边环境的安全事故的发生,制定本办法。
第二条 本办法根据住建部《城市轨道交通工程质量安全检查指南(试行)》,公司《石家庄市轨道交通工程建设安全风险管理体系》文件的相关规定,结合我市轨道交通工程建设实际制定。
第三条 本办法适用于石家庄市轨道交通工程施工阶段的安全风险监控管理工作。
第四条 相关参建单位应用安全风险监控与信息平台情况考核,分日常管理考核与双月度考核,由安全质量部牵头负责考核。
第五条 安全风险监控工作考核坚持客观、公开、公平、公正的原则,自觉接受纪检监察部门和群众的监督。
第六条 除本办法外,轨道交通工程建设相关单位还应遵守国家和地方有关法律、法规、规范、标准。
第二章考核内容
第七条 投资承建单位
投资承建单位应成立信息化领导小组,总工程师任负责人,并设立专职信息员督促所辖施工标段落实安全风险信息化管理工作。
第八条 标段施工单位
(一)各施工标段项目部安全总监牵头成立风险信息化小组,项目部安全总监和安质部长每天必须登录安全风险监控信息平台,主要任务有:
1.每日17:00前,将自查台账和抽查台账检查的问题、施工监测数据上传平台;
2.巡视闭合阅处:通过安全风险监控信息平台对各单位提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、日常风险巡查推送的问题、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复。填写回复内容,并可上传相关附件。要求对所有的通报及整改通知的回复都以扫描件上传至相应内容的回复区域;
3.预警响应处置:及时处理平台发出的本标段预警,在预警处置中,要详细填写处置措施及现场处置照片、视频等。
(二)视频监控系统:提供现场信息化设备放置场地及视频会议室,配备网络设备和网络线路,保证各类信息能全面、及时、准确的上传平台(相关硬件参数见附件一):
1.按施工实际需要和轨道公司要求设置视频监控,施工单位负责采购本标段所需要的设备与硬件等,并负责进行安装、调试、移位、维护和管理工作,确保视频监控正常使用;
2.摄像头数量、位置要求:
车站明挖基坑至少设置2个摄像头,矿山法暗挖工程,要求每个掌子面设置1个摄像头,要清晰看到暗挖掌子面,并确保每掘进15米移动一次,盖挖车站参照矿山法施工要求设置;
附属结构明挖基坑、施工竖井至少安装1个前端监控设备;
施工竖井上各设置1个摄像头,重大风险源处根据评估情况设置;
安全文明施工管理:有出渣土行为的施工现场,渣土车辆进出的大门口在开工前必须安装摄像头,并接入安全风险监控信息系统。此项作为开工核查条件之一。
3.要保持视频监控 24小时正常运行,并确保监控视频的摄像角度和照明亮度,以满足视频监控的需要。不得随意挪动、故意遮挡、污损、用光照射摄像头,不得无故中断、关闭视频(特别是夜晚施工时)和人为破坏设备;
4.提供全天候的应急响应服务,须在监控中心发出平台故障通知后24小时内修复,保证平台正常运转。
(三)盾构监控
1.按照实现盾构实时数据监控要求配备电脑等设备,必要时施工单位需安排盾构厂家技术人员到现场配合数据解译;
2.每日上传出土量,同步注浆量;
(四)工程资料录入:工程开工前,施工单位要及时录入必要的工程资料,资料目录详见附件二。
第九条 第三方监测单位
(一)项目部项目负责人牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;
(二)监测数据上传:每日17:00前上传当天监测数据;
(三)及时查看并通过安全风险监控信息平台对建设单位(含监控中心)提出的问题和要求进行落实、整改回复;
(四)每日浏览本标段工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。对数据异常和存在安全隐患的工点,应根据现场实际情况加密监测点增加监测频率,并及时上传监测数据。
第十条 监理单位
(一)安全专监牵头成立风险信息化小组,负责安全风险监控信息平台日常管理工作,并配备专职信息员;
(二)每日将抽查台账检查问题和巡查报告上传安全风险监控信息平台。对有风险、监测数据异常以及重大安全隐患和危险征兆的工点,督促施工单位进行整改和回复,并及时向监控中心反馈;
(三)及时查看并安排相关人员通过信息平台对建设单位及风险监控中心提出的问题、要求和发布的通知、文件、通报(包含业主公告、各类巡检通报、轨道公司文件、预消警会议纪要、监控中心周报、预警处置等)进行落实、整改、回复;
(四)督促施工单位整改安全风险监控信息平台上发布的各类检查通报,并做好复查工作。督促施工单位对安全风险监控信息平台上各项事件进行闭合管理;
(五)预警响应处置:每日登录平台浏览各自工点风险情况,同时根据各自工点的安全评估状态,及时做出回复和处理。工点评估为“有风险”或“预警”状态,按预警流程处理,将处理结果在信息平台回复。
第三章奖惩
第十一条 安全风险监控信息平台使用情况考核按单位性质分为标段施工单位、第三方监测单位、监理单位三个组,各组内不再按线路区分参建单位。安质部组织每两个月对各单位安全风险监控信息平台使用情况进行考核评分,各组分别排名,评分标准见附件三。投资承建单位信息平台使用情况纳入季度考核。
第十二条 通过视频监控和巡视发现施工现场视频不按规定设置、违规挪动、故意遮挡、污损、用光照射镜头、无故中断、关闭视频,以及视频监控平台被人为破坏等问题,且拒绝整改、未按时整改、整改不到位的,每个问题给予10000元的处罚。有渣土车辆进出的施工现场大门口没有安装摄像头并接入监控信息系统的,罚款50万元。
第十三条 对日常巡查推送的问题,拒绝整改、未按时整改、整改不到位、整改但未及时回复的,每个问题给予5000元的处罚。安质部对整改闭合情况进行抽查,发现弄虚作假的,每个问题给予20000元的处罚。
第十四条 对监测数据和巡视报告上传不及时的,每次处罚5000元。
第十五条 对履行《石家庄市轨道交通建设工程安全风险监控管理办法》工作职责不到位的,视情节轻重、整改态度、影响大小,每人次/问题给予5000元的处罚;对不配合或阻挠监控中心工作的单位,每次处罚10000元。
第十六条 对在同一个考核周期内相同、类似问题多次重复发生的,从第三次开始,实施双倍处罚。
第十七条 监控中心每双月月底汇总存在问题情况,安全质量部审核后,填写处罚单,并形成考核处罚通报上传信息平台(处罚单见附件四)。
第十八条 双月考核排名考核结果将通过公司文件形式下发通报,对工作不积极,效率差,不配合工作的单位将约谈该单位主要领导。
第十九条 对各组排名靠前的单位予以奖励,奖励总额为前两个月对被考核各单位处罚金额总和。标段施工单位组前1-5名分别奖励前两个月总处罚金额的20%、16%、12%、8%、8%,合计64%;第三方监测组第1名奖励前两个月总处罚金额的6%;监理单位组前1-3名分别奖励前两个月总处罚金额的12%、10%、8%,合计30%。所有奖励处罚款项一并纳入季度验工计价,在季度验工计价中扣除。
第四章 附则
第二十条 本办法由石家庄市轨道交通有
第4篇 运用信息技术提高煤炭企业安全管理水平
目前,我国煤炭企业存在的安全法规不完善,劳动者素质低,安全技措资金缺口大,安全管理的手段落后和安全管理信息体系不完善等问题,并从安全预警和灾害应急处理等方面进一步分析了信息技术提升煤炭企业安全管理水平的可行性。
一、我国煤炭企业安全管理的现状及存在问题
近几年来,我国煤炭企业的安全管理工作有了明显好转,全国煤矿百万吨死亡率有了明显下降,其中国有重点煤矿下降最快。但由于安全管理和安全科技水平等相对落后,煤矿事故多、伤亡大、职业病严重的状况仍未得到根本好转,与其他主要产煤国家相比仍有很大差距。
1.劳动者素质较低
煤炭企业通风安全管理的核心是人的管理。目前,煤矿生产已经逐步发展到采掘机械化、生产集中化、生产环节互相依赖化、管理进入系统化、信息化的崭新阶段,对人的素质要求很高。然而,煤炭企业的工人素质与其他行业相比明显较差。一是文化水平低,小学文化程度占大多数,不易掌握操作技术和安全规程,在实际操作过程中,有的冒险蛮干,严重违章;二是心理素质差,有的人对井下作业恐慌畏惧、情绪波动反常,有的人又麻痹松懈,存在消极劳动情绪,甚至个别人偷工减料埋下安全隐患。
2.安全技术资金缺口大
煤炭开采受地质条件的影响很大。过去由国家投入的大量设备如今已严重老化,维修量大。随着矿井延深,矿压不断增加,巷道维修的任务也在不断加重,矿井的提升和排水能力很难适应生产需要。
3.安全管理的手段落后
与西方发达产煤国相比,我国煤矿应用技术研究起步较晚。人力、财力不足,一些重大的安全技术问题,如冲击地压、煤与瓦斯突出、地热、突水等灾害控制仍不彻底。加之受传统经营思想的影响和企业经济实力的制约,我国煤矿生产装备及安全监控设备还比较落后。井巷断面设计、支护强度确定、支护材料选型较小。生产设备功率、矿井供风量等富余系数偏低,易发生事故。
4.安全信息管理体系不完善
安全信息是安全管理工作的主要依据,它包括事故及职业伤害的记录、分析、统计;职业安全卫生设备的研究、设计、生产及检验技术;法律、规章、技术标准及其变化动态;教育、培训、宣传及社会活动,国内新技术动态、隐患评价及技术经济分析、咨询、决策系统等。在这一点上多数矿井仍处于起步和探索阶段,信息传递周期长,没有形成完整的体系,实际应用尚有较大欠缺。
二、信息技术可提升煤炭企业安全管理水平
以计算机和通讯技术为代表的信息技术的发展给各行各业的管理带来了一场变革,计算机和通讯技术结合安全原理、系统分析方法将从本质上提升煤炭企业的安全管理水平,主要体现在以下几点。
1.提升煤炭企业的安全预警能力 煤炭企业属于传统的资源开采型企业。煤矿通风安全对煤炭企业影响巨大,通风安全工作在煤矿生产中占有重要地位,其管理好坏直接关系到煤矿的安全生产和经济效益。煤炭企业的通风安全管理是一项系统工程,涉及从煤炭开采、生产加工到煤炭产品销售的全过程。从影响煤炭企业安全管理的因素划分,通风安全管理包括通风管理、瓦斯管理、矿压与顶板管理、煤尘管理、防治水管理、防灭火管理和其他有毒有害气体管理等。
煤炭企业矿井通风与安全涉及的灾害因素多,面对生产过程中出现的许多表面的、分散的事故隐患和问题,如瓦斯超限、煤尘积聚、引爆热源、煤层自燃等等,如果单凭决策指挥人员的个体知识经验去分析、处理和解决问题,已很难准确地确定事故隐患的严重程度。目前,运用安全系统工程原理和事故树的逻辑推理方法,对作业场所、区域进行危险性分析,对重点不安全状态、不安全隐患问题进行超前预测,建立各类事故的逻辑推理模型已研究的较为成熟,但由于缺乏工作面、安全生产设备运行数据的实时采集、传输、运算推理和预警控制的技术、设备和软件系统,使得大多数煤炭企业目前的安全预警管理较为粗放,预警精度不高。因此,只要合理应用信息技术,将现代信息技术和安全预警原理和方法结合起来,通过对作业现场灾害因素的进行实时监控和事故隐患逻辑推理,必将从根本上提升煤炭企业的安全预警能力,降低事故发生率。
第5篇 安全信息管理系统概述
一、管理信息系统的概念
所谓系统就是指由若干互相联系、互相影响、互相制约的各个部分为了一定目标而组合在一起所形成的一个整体。构成整体的各个组成部分,称为子系统。假若以一个经济组织的会计作为一个系统,而有关结算中心、会计报表、成本核算、资产台帐和货币资金等则是它的子系统。至于有关供销、生产、人事等方面的信息则属于会计系统以外的环境系统。会计信息系统见图10-2。
过去,国外大多数企业和我国一些先行单位,为了适应不同职能组织的需要,除了设立会计信息系统以外,还有生产技术、供销、人事、后勤等科室也都分别设立适合于它们各自需要的信息系统。这样一个企业就有若干信息管理系统,易于发生重复劳动,同一原始资料要分别输入若干个信息管理系统。如有关材料的采购、耗用、转移、完工、职工的基本工资、出勤记录等都要同时输入若干个信息系统。这样不仅出现重复劳动,易于发生差错,而且更改也不方便,造成相互不协调,成本也就比较高。
近年来在信息管理中提出综合性管理系统。就是将一个经济组织作为一个系统,而其生产、技术、会计、供销、后勤、人事等职能业务则是这个系统下的各个子系统。实施综合信息系统需要具有三个条件:
(1)分散的信息活动必须通过组织的集中统一安排;
(2)这些活动必须是整体的组成部分;
(3)这些活动必须由一个集中、独立的信息中心加以处理。
这样就能把企业看作一个整体,使一个数据多用,提高效率和更有效地使用信息,成本也可随之降低。
二、综合管理信息系统的建立
设计一个新的或改进一个现有的管理信息系统,是一项既复杂又繁重的工作。首先要用系统分析的方法,对系统(包括子系统)的本身范围及其周围环境的关系进行分析,提出若干设计方案,决定不同类型,不同管理层次的系统,进行技术和经济的论证,层层提高设计质量,消除不必要的重复劳动,然后加以评估比较,最后从中决定统一的综合信息管理标准,包括经济信息分类、编码和文件统一化工作。经过试验证明切实可行后,再应用到实际工作中去。其中要注意以下几方面:
1.明确信息的需求
即对输出的要求,要通过充分的调查研究,特别是管理中现有的信息种类,它们流转的来龙去脉,由哪里产生,由谁传递,传到何处,经过怎样处理,以什么形式输出,供谁使用,是否可以“一数多用”,是否有别的来源替代,是否要保存等等。所以在建立过程中,专业人员与使用人员之间要经常交换意见,使提供的各项信息都能满足使用者的要求。
2.信息的收集和处理
这项工作的目的就是要改善信息总的质量,一般包括五项内容:
(1)检核。要确定各项信息的可靠性的程度,包括来源的可靠性,数据的准确性和有效性等。
(2)整理。将输入的信息和数据加以提炼整理,以符合规定的要求。
(3)编制索引。按规定编制索引,以供日后储存和检索。
(4)传输。将正确的信息及时提供给各级主管人员。
(5)存储。要保存必需的数据资料和文件档案,准备日后再次使用。
3.信息的使用
其主要目的是向各级主管人员适时地提供各种有关的信息。因此它与信息质量有密切关系。信息的质量主要是指信息的准确性、及时性以及提供的形式。只有保证一定质量的管理信息系统,才能在管理中发挥作用。
图10-3为综合性管理信息系统的一例。
图中,该经济组织的各个子系统相互间有联系和交叉,又与使用者系统有联系。假若将一个工业部门或一个地区看作一个系统,则各个企业又成为其子系统,其范围就更为广泛了。
苏联在70年代已建成四级自动化综合管理系统。它由基础部份和功能部分组成。基础部分包括组织经济基础、信息库、技术基础和软系统等四个方面。功能部分由实现一系列课题的职能子系统组成。所谓四个结构层次是:国家级、中央部门和加盟共和国级、部门及共和国联合公司级、基层企业级。全国数据传递系统把各部门,各主管机关的主要计算中心、各共和国管理机关的中心与全国自动化系统的总计算中心联结起来。这就属于更高阶段的综合性管理系统了。
目前我国除西藏外,各省市计委,统计局计算中心都安装了ibm—4331或vs/80等电子计算机,正在逐步建立经济管理系统。
三、管理信息系统的基本工作内容
实现对管理信息系统的基本要求,是通过信息的周转过程实现的。信息的周转过程,包括信息资料的获取、加工、处理、传输、贮存等基本环节。这实际上也就是管理信息系统的基本工作内容。要保证管理系统的有效运行,就必须使每个环节都能灵活而有效的运转,并形成互相协调、密切结合的系统有机体。
1.信息的获取
信息收取是信息系统运行的第一步,也是重要的基础。信息的质量和信息系统其他环节的工作质量,在很大程度上取决于原始信息的真实性和完整性。
2.信息的加工
原始的信息数以亿万计,作为管理决策使用的信息量,受人们接收信息能力的限制,不可太多。因此必须把大量的信息分成恰当的层次,并且使最高管理层获得少而精的反映出最基本最重要的情况。信息的加工处理,就是用科学的方法,对大量的原始信息进行筛选、分类、排序、比较和计算,去伪存真,使之系统化、条理化,以便保管、传送和使用,节省人力、财力和时间,提高管理效能。信息的加工还包括信息分析,即通过对大量信息资料的研究,及时揭露矛盾,发现问题的苗头,对管理活动进行评价。
3.信息的传输
信息只有从信息源及时传送到使用者那里,才能起到应有作用。信息能否及时发出和到达,取决于信息传输的功能。信息的传输,要建立自己的传输通道系统,形成信息流和信息网。管理组织机构和组织体系决定系统内部基本的信息传输通道,但除此以外,信息系统还通过多条渠道,实现直接的和间接的、纵向的和横向的、纵横交错的多方面联系。可见,信息传输网是一个极为复杂和灵敏的系统。
4.信息的贮存
加工的信息,有的并非立即就用,有的虽然立即使用,但还要留作以后参考,所以产生了信息贮存和记忆的功能。信息贮存是信息在时间上的传输。通过信息贮存和积累,可以对客观管理活动进行动态的系统和全面的研究。
第6篇 信息部:职业健康安全管理职责
(1)负责组织对本单位的危险源、环境因素进行辨识、评价、更新和学习,并制定措施或管理方案加以控制。
(2)负责对本部门员工进行环境职业健康安全知识的教育和培训,不断提高本部门员工的环保和安全意识。
(3)确保公司信息管理系统安全稳定运行,为公司各单位/部门在环境职业健康安全管理方面提供所需的信息,确保信息安全和财产安全。
(4)负责公司信息管理系统相关硬件设备的管理,硬件设备废弃要按公司废物处理的相关规定进行。
(5)认真履行环境职业健康安全管理体系文件内规定的本部门的各项具体工作。
第7篇 信息化在双边工程安全管理的应用
石油石化企业具有高温高压、易燃易爆、有毒有害、连续作业、链长面广的行业特点,从历年来国内外炼化企业发生的各类事故统计来看,“双边”工程施工作业环节中发生的事故占了很大的比例。因此,如何做好“双边”工程施工作业的安全管理已经成为企业安全管理工作的一个不可回避的课题。与国内众多企业一样,同样存在安全职责不到位、落实不下去、管理效率低的象。“双边”工程管理方面仍存在漏洞,主要存在“双边”工程实施计划率低、随意性强;作业人员和监护人员对施工作业危害及风险不清楚;没有真正对作业人员做到 “全员、全天候、全方位、全过程”的监控;管理层无法全面掌握现场“双边”工程施工等问题。企业面临的突出问题以及石化行业的特点要求我们,加强“双边”工程全方位管理和监控,杜绝“双边”工程施工hse管理的漏洞,预防事故的发生。企业目前“双边”工程管理主要是通过生产区域操作室的看板进行管理,即主要对“双边”工程施工项目及进出生产区域的施工人员看板登记,没有真正做到对“双边”工程全员、全天候、全方位、全过程的监控,“双边”工程管理方面仍存在漏洞。
在此前提下,利用计算机数据库及网络技术把“双边”工程作为管理平台,自主开发“双边”工程管理模块,形象说,就是把生产区域所有的“双边“施工项目进入到企业局域网上,让企业内部任何一台联网电脑,上至企业经理、下到倒班操作工都能浏览网站,了解当前生产区域的施工项目、施工日期、施工内容、风险告知、
人员进出管理、项目完成情况等,使“双边”工程施工作业形成一个闭环管理。
1.信息化“双边”工程管理系统
首先构建广州分公司hse信息平台,如图1,“双边”工程系统是hse信息平台的一个子系统,可以共享hse信息平台的部分基础数据,其中人员基础信息、单位基础信息、生产装置基础信息、承包商基础信息基础数据可以共享hse信息平台的基础数据,专业分类基础数据库和节假日信息基础数据需要建立。
(1) 人员基础信息,包括姓名、单位、职务、职称、用户密码、厂码、权限、职务等,另外还可增加身份证号码、工作电话、手机、电子邮箱、从属部门、从属科室、管辖哪些单位、管辖哪些装置等。
(2) 单位基础信息,按厂级、部门级、科室车间级逐项列出单位名称,并区分管理部室、专业中心、作业部等单位属性,主要信息包括:单位名称、单位标准化代码、单位属性、单位职能描述等。
(3) 装置基础信息,包括装置名称、装置标准化代码、从属单位、从属区域、关键装置级别、装置描述等。
(4) 承包商基础信息,一般分二级管理,即在广州分公司注册的一级承包商,以及从属于一级承包商的二级承包商(专业队伍),主要信息包括:承包商名称、承包商代码、承包商级别、营业执照编号、安全生产许可证号、执业资格、可施工范围等。
(5) 专业分类基础数据库,工程类型分为:土建、搭架、防腐保温、保运维修、电气作业、仪表作业、其他等;项目类型分为:新改扩建项目、检维修项目、技改技措项目、隐患治理、其他等。
(6)节假日信息,由于节假日施工必须要hse总监审核,所以,这个信息必须准确并可以管理。
1.2 设计“双边”工程管理系统
1.2.1系统主要设计思路
(1)让公司全体员工了解现场施工情况,根据主管工作的实际情况,加强对现场施工作业的掌握监控。
(2)统筹“双边”工程施工,科学合理安排现场施工。避免各专业现场作业各自为政,无法全面掌握当天的所有施工,施工控制容易失控。
(3)危害识别及风险告知、防范措施落实。保证作业人员、监护人员掌握作业风险,现场落实风险控制措
施,保证作业安全进行。
(4)施工项目提前申请,各专业人员、操作人员提前做好施工准备工作。
(5)“双边”工程施工按计划组织,提高实施率。
1.2.2 “双边”工程管理和业务流程
“双边”工程管理主要分项目申请、项目实施和项目完工确认消项三个方面。
(1)项目申请
确定作业任务后,“双边”工程项目负责人在项目实施前提前申请,录入施工相关信息,如装置、工程项目名称、工程类型、项目类型、工程计划施工日期、计划施工人数、作业具体部位、作业内容、作业危害及风险告知、防范措施、施工单位、施工负责人等信息,经装置主管审核后系统生成作业项目,没有申请的项目严禁安排施工。
(2)项目实施
项目实施过程主要是“双边”工程施工人员进出登记及节假日施工hse总监审核。施工人员进入装置施工前,必须到操作室进行登记,由当班班长完成施工登记后,方可允许进入现场施工。施工登记主要内容有:施工现场负责人、进入现场时间、联络方式、进入现场作业确认内容等。作业人员离开现场,必须先到操作室办理离开确认登记,包括离开时间、离开人数和离开现场确认内容等。进入时间与离开时间系统默认为当前时间,以减少录
入时间,提高效率。
为落实节假日领导带班,确保节假日施工安全,节假日施工必须经hse总监审批同意后方可施工。当施工时间为节假日时,系统默认是不允许施工,施工项目单位hse总监必须进入到节假日“双边”工程审核,点击“同意”键后,才能显示当天的施工项目记录,当班班长才能进行“双边”工程施工人员进出登记。
(3)项目完工确认消项
当施工项目完工后,项目负责人进入“双边”工程登记消项,否则,施工项目就一直挂在那里,显示项目未完工。
图2 “双边”工程流程图
1.3 应用界面
应用界面的设计主要根据应用对象需求进行设计,“双边”工程管理软件主要考虑为参与人员提供信息交换界面,主要包括双边工程信息添加、施工人员进出登记、双边工程续期、节假日双边工程审核、施工完毕后工程消项、查询等。
2.实施效果
2.1 进一步规范了进入生产区域作业人员的管理将“双边”工程现场看板管理的功能进一步拓展,监控过程更全面。进出生产区域人员在“双边”工程系统形成动态管理,对进入生产区域作业的人员全过程监控,在生产区域出现突发事件/事故时能及时、准确的通知人员撤离现场。
2.2 降低了因“双边”工程施工导致事故/事件的发生频度人员全过程管理,杜绝了外来人员违章进入现场作业;作业项目负责人组织风险评估后将危害及风险告知、防范措施在系统告知,降低施工作业的风险、严格控制节假日施工等。“双边”工程管理系统2023年9月正式启用,截止2023年9月底,“双边”工程管理系统对16629起“双边”工程施工进行监控,在此期间因“双边”工程施工导致发生的事故、事件3起,2023年9月-2023年9月发生6起,同期相比降低3起,因“双边”工程施工导致事故、事件明显降低,节假日的施工也得到有效控制,成为“双边”工程施工的有效管理工具。
2.3 提高安全管理的效率施工信息透明,企业内部任何一台联网电脑,上至企业经理、下到倒班操作工都能浏览网站,都能了解当前生产区域的施工项目、施工日期、施工内容、风险告知、人员进出管理等。
2.4 系统强大的统计分析功能为改善安全管理提供的依据和指引,提高了企业的安全管理效率通过统计分析,深入指导安全管理工作,表现在三个方面:一是统计分析分公司各单位一定阶段“双边”施工数量;二是统计分析一定阶段“双边”施工工程类型;三是统计分析一定阶段“双边”施工工程项目类型。通过对系统数据的分析,发现“双边”工程作业的分布规律,为“双边”工程管理的决策提供参考信息。
第8篇 安全异常信息快速反应管理办法
第一章 总则
第一条 为深刻吸取长虹公司“3.21”煤与瓦斯突出事故教训,规范矿井“安全异常信息”的汇报和处置工作,形成快速反应、运行有序的“安全异常信息”汇报和处置工作机制,实现“安全异常信息”超前预警、超前处置,有效防范事故的发生,保障安全生产,特制定本办法。
第二条 本办法规定的应当汇报和处置的“安全异常信息”主要是指:矿井生产过程中发生的“安全异常信息”,包括机电运输专业、一通三防及防突专业、地测防治水专业、采煤专业、开掘专业等五类信息;外部供电、通讯、供水等方面威胁矿井安全生产的“安全异常信息”;威胁矿井安全生产的极端天气、地震等方面的“安全异常信息”。
第三条 提升理念。“安全异常信息”是事故预兆,是停产撤人的命令,“安全异常信息”不汇报,汇报不处置,或既不汇报又不处置就是事故,按照“四不放过”原则进行追查处理。“安全异常信息”的汇报要及时、准确和完整,处置要安全快速有效。
第四条 调度室及相关业务科室负责“安全异常信息”的收集、撤人、汇报、处置、建档、跟踪、销号七个环节的工作,在调度室建立“安全异常信息”闭合管理台账。调度室负责“安全异常信息”的收集、汇报、处置、建档等工作,业务保安科室负责“安全异常信息”的跟踪落实、整改销号等工作。矿井行政主要负责人是矿井“安全异常信息”汇报和处置工作的第一责任人,分管副职对业务范围内的“安全异常信息”的汇报和处置工作负责。
第五条 完善矿井“安全异常信息”处置技术、机构、队伍、资金、装备方面的保障工作和“安全异常信息”汇报和处置工作的管理和考核,建立“安全异常信息”闭合管理台账。矿井行政主要负责人是本单位“安全异常信息”汇报和处置工作管理和提供有关保障的第一责任人,分管副职对业务范围内的“安全异常信息”汇报及处置工作管理和提供有关保障负责。
第六条 调度室是“安全异常信息”汇报和处置的指挥中心,对所登记的“安全异常信息”要求做到实时调度。各业务保安科室是“安全异常信息”处置的技术指导部门。并负责“安全异常信息”闭合管理台账的建立、管理,跟踪处置,直至安全异常状况消除。
第二章 “安全异常信息”的汇报
第七条 “安全异常信息”要如实汇报,不得迟报、漏报或瞒报。
第八条 “安全异常信息”的汇报内容
(一)机电运输专业(详见附表1)
1.矿井及重要负荷单回路供电。
2.主、副井及乘人系统运行异常。
3.大型固定设备技术测定及探伤等有(存在)重大缺陷。
4.主要通风机故障单机运转。
5.矿井主排水系统故障不能担负正常涌水量。
6.危及安全的其它“安全异常信息”。
(二)一通三防及防突专业(详见附表2)
1.采掘工作面出现明显的煤与瓦斯突出及冲击地压预兆,包括中度以上喷孔、响煤炮或其它明显预兆。
2.钻探期间发现地质构造。
3.瓦斯高值或超限。
4.一氧化碳超标(放炮除外)。
5.监测监控系统异常,包括:(1)井上主要通风机或井下局部通风机监测显示停风;(2)风门开停传感器监测显示敞开;(3)矿井监控系统全部无记录或部分无记录;(4)监控系统相关设备未按规定检测、校验、维护保养导致数据传输不正常的。
6.危及安全的其它“安全异常信息”。
(三)地测防治水专业(详见附表3)
1.矿井涌水量达到预警水量(矿井排水系统联合试运的正常排水量)。
2.暴雨天气,可能发生洪水淹井。
3.探水钻孔阀门损毁,涌水难以控制。
4.采掘工作面有突水征兆。
5.危及安全的其它“安全异常信息”。
(四)采煤专业(详见附表4)
以下情况同时出现2处及以上的,必须上报:
1.工作面掉顶严重,冒落高度超过0.5m、连续长度超过5m。
2.工作面切顶严重,台阶下沉超过0.5m、连续长度超过5m。
3.采面煤壁严重片帮,深度超过1.5m、连续长度超过5m。
4.工作面支架连续5架严重钻底或挤架。
5.工作面两端头老塘侧局部悬顶面积大(面积大于2m×5m)。
6.危及安全的其它“安全异常信息”。
(五)开掘专业(详见附表5)
1.开掘工作面在一个生产班内顶板连续发出响声。
2.顶板离层明显,出现裂缝、顶板掉渣。
3.巷道压力增大片帮严重。
4.支架变形严重甚至断裂。
5.工作面出现地质构造。
6.危及安全的其它“安全异常信息”。
第三章 “安全异常信息”的处置
第九条 矿井“安全异常信息”的处置
(一)当矿井生产过程中发生本办法规定的“安全异常信息”时,现场管理人员(带班领导、跟班干部、班组长)、安检员、瓦检员等,必须第一时间发出停止作业、撤人的命令,指挥现场人员撤到安全地点,同时向矿调度室汇报。
(二)矿调度室值班人员接到生产现场或其它“安全异常信息”的汇报后,须在20分钟内用电话分别向矿井值班领导、分管领导及主要领导、分公司调度室、集团总调度室(电话:0375-2724146)、许平煤业生产技术处(调度)(电话:0375-3579000、3579331)、安监局禹州监察处汇报,同时须按照矿井值班领导的指示,立即通知受到安全威胁的人员撤离危险区域。之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表(详见附表)中,并通过集团oa办公系统发送许平煤业生产技术处(调度)。
(三)由矿井值班领导立即组织调度、安监、业务科室等有关人员赶赴现场收集“安全异常信息”第一手资料,矿井带班领导立即赶赴现场对“安全异常信息”的处置进行指导和指挥,矿井总工程师负责牵头完善相关处置措施,矿井分管副职牵头组织对“安全异常信息”进行处置,业务保安科室负责牵头建立跟踪工作机制,实时督导“安全异常信息”的处置,直至安全异常状况消除。
第四章 考核
第十条
(一)作业现场发现“安全异常信息”后,现场管理人员(带班领导、跟班干部、班组长)、现场安检员、瓦检员等未在第一时间向调度室汇报的,对上述人员罚款500元。
(二)调度室接到“安全异常信息”汇报后,应在20分钟内向矿值班领导、分管领导及主要领导、分公司调度室、集团总调度室、许平煤业生产技术处(调度)、安监局禹州监察处汇报,之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表中,并通过集团oa办公系统发送许平煤业生产技术处(调度),逾时不报的对调度当班值班人员罚款500元。
(三)矿井调度室及业务保安科室未建立“安全异常信息”闭合管理台账的或“安全异常信息”闭合管理台账未及时建档、整改销号的,未及时建档的,对调度室负责人罚款500元,未做到跟踪闭合管理的,对分管业务科室负责人罚款500元。
(四)“安全异常信息”瞒报的对作业现场安全管理人员罚款500元,汇报不处置,对调度室当班值班人员罚款500元,对调度室负责人罚款500元。
(五)“安全异常信息”处置期间因技术、机构、队伍、资金、装备保障不到位造成处置不及时或不能有效处置“安全异常信息”的,对相应单位进行责任追究。
(六)监测监控系统出现高值后监控上传中断,按瓦斯超限事故进行责任追究。
第五章 附则
第十一条 有关注释
中度喷孔:钻进过程中连续喷孔,停钻后持续1-2分钟,喷出颗粒直径3毫米,钻屑明显增多,抛出距离1-2米,工作面里探绝对值增加0.3%以内。
严重喷孔:停钻后连续喷孔超过2分钟,且带出大量钻屑;抛出距离大于2米或伴有煤炮声;工作面里探绝对值增加0.3%以上。(符合上述任一条件,即判断为严重喷孔)。
中度煤炮:声音较大,间歇性明显(时间间隔大于1分钟),有震感,有掉渣、扬尘现象。
严重煤炮:声音巨响、相邻区段多处地点均能听到;响声连续;震感明显;伴有大量扬尘。(符合上述任一条件,即判断为严重煤炮)。
有声预兆:煤层发出劈裂声、闷雷声、机枪声、响煤炮、以及气体穿过含水裂缝时的吱吱声等。声音由远到近,由小到大,有短暂的,有连续的,时间间隔长短不一致。煤壁发生震动和冲击,顶板来压,支架发出折裂声。
无声预兆:工作面顶板压力增大,煤壁被挤压,片帮掉渣,顶板下沿或底板鼓起;煤层层理紊乱、煤暗淡无光泽、煤质变软;瓦斯忽大忽小,煤壁发凉,打钻时有顶钻、卡钻、喷瓦斯等现象。
煤厚发生变化:增厚、变薄、尖灭、变软。
瓦斯高值:正常作业情况下瓦斯增幅50%以上即为瓦斯高值。
瓦斯超限:无论任何条件下瓦斯浓度达到1%即为瓦斯超限。
一氧化碳超标:除矿上建立台帐管理的一氧化碳区域和放炮引起的一氧化碳超标外,其它地点一氧化碳超标都必须立即汇报。
主要通风机停运:无论任何原因导致主要通风机停运都必须立即汇报。
第十二条 本办法自印发之日起执行。
附表:各专业“安全异常信息”汇报表
第9篇 信息科安全管理职责范本
一、负责本矿安全隐患信息的收集、分析、汇总、上报。
二、负责当班井下各作业地点的隐患排查信息的收集和上报工作。
三、对一般隐患信息要及时报告当班处置员,在处置员力量不足的情况下,协助处置安全隐患。
四、信息科发现隐患时,有权对井下局部作业地点停止作业,发现重大隐患时有权对全矿井停止作业,撤出人员并及时上报中心。
五、对主扇风机'三薄'记录不健全,附属设施不完善的,要及时上报中心。
六、对采掘工作面无风、微风作业的有权停止。
七、对掘进工作面不进行探放水的,有权停止作业,并进行严厉处罚,建议中心辞退。
八、对当班没有瓦斯员上班的工作面,有权停止当班作业。
九、对作业面瓦斯传感器、一氧化碳传感器不到位的要严厉处罚,对无传感器的要停止作业,撤出人员。
十、对局扇风机无专人管理,无挂牌管理,未实行'风电闭锁'的,有权停止掘进工作面作业。
十一、对洒水、防尘不到位的有权停止作业。
十二、对当班瓦斯员空检、漏检,不执行瓦斯巡回路线的瓦斯员要进行严格处罚。
十三、对当班'三违'人员进行制止、处罚、教育。
十四、参加班前、班后会,收集职工思想安全隐患信息。
十五、对酒后入井、精神状态不振的人员,有权停止当班作业。
十六、对穿化纤衣服,不佩戴自救器的工人,有权停止当班作业。
十七、对带有烟草、引火物品入坑的工人,要进行严厉处罚停工。
十八、对跟班矿长不入坑的,有权停止当班作业。
十九、对当班掘进工作面不探水的,有权停止当班作业。
二十、对带点检修、带点搬迁,有权停止作业,并进行处罚。
二十一、对违章排放瓦斯,有权停止作业并处罚。
二十二、对未经培训无证上岗人员,有权停止入井。
二十三、主要提升设备保护不全,禁止人员入井,对斜井、斜巷五'一坡三档'装置或装置不全,失效的,对不执行'行车不行人,行人不行车'规定的,要及时上报和处罚。
二十四、对人行车无煤安标志、防坠器和制动装置失灵的,有权停止作业并上报中心。
二十五、对不执行'一炮三检'和'三人联锁放炮'的,有权制止和处罚。
二十六、对非爆破工领取雷管,炸药雷管混运,工作面炸药雷管未分箱存放,加锁保管的,有权停工和处罚。
二十七、对炮眼无封泥、封泥不足或填充不实进行爆破的,有权停工和处罚。
二十八、对掘进工作面空顶作业,回采工作面端头支护不到位,有权停工处罚并上报中心。
二十九、对井下施工质量不达标准,有权停止作业并上报中心。
第10篇 安全信息归档管理办法
1主题内容与使用范围
本办法规定了安全信息管理体系、信息管理机构的职责、信息内容、处理程序、填报要求、归档及检查与考核。
本办法适用于我公司安全生产信息及档案管理。
2引用文件
《安全生产管理通用表格》
3术语
安全信息:国家和上级有关安全生产管理要求中所涉及的各种数据、报表、原始资料、档案和文件。
4安全信息管理体系
4.1经营部是我公司安全信息归口管理单位,负责安全信息的收集、传递、处理、反馈、分析、汇总、贮存及归档工作。
4.2各基层单位安全员负责本单位安全信息的收集、传递、处理、反馈等工作。
5各级信息管理人员的职责
5.1公司安全第一负责人对本公司安全信息系统的正常运转负责。
5.2主管安全副总经理负责组织协调公司安全信息管理工作,审批、下达公司安全信息调查、建档、统计任务。
5.3各单位安全第一负责人负责组织协调本单位安全信息管理工作,保证所下达的信息工作的正常进行。
6安全信息内容
6.1qjl424中所规定的内容。
6.2国家和上级有关安全生产监察规程所要求的数据、资料。
6.3各级安全部门为贯彻国家和上级有关安全生产规定而提出的统计、建档资料。
6.4上级有关安全生产的文件、法令及公司内各项安全规章制度。
6.5各单垃安全生产管理的信息包括:
a.重大安全事故和重大安全问题及需要上级或有关部门协调、紧急处理的安全问题。
b.工伤事故分析报告、安委会会议执行情况、安全检查情况、隐患整改情况、技措计划的实施情况、安全活动、安全教育培训、安全组织机构变动情况。
c.单位年度安全工作计划、目标、工作总结及其它有关情况。
d.与安全工作有关的原始记录、档案。
7安全信息传递与处理
7.1在生产管理过程中,公司内各单位发现安全问题需反馈到总公司的,由发出信息单位以文字形式上报经营部。
7.2经营部接受基层的信息后,按信息内容,及时进行调查核实,提出处理意见,明确责任单位、反馈时间要求等,立即反馈给责任单位执行。
7.3责任单位负责按信息内容及经营部处理意见组织处理,将处理情况填写清楚,并按要求反馈给经营部。
7.4经营部负责信息存档工作。
8安全信息填报要求
8.1提供的信息必须备有相应完整可靠的原始记录,随时为查询服务。
8.2提供的信息必须符合规定的格式,便于统计和贮存。
8.3提供的信息必须在规定时间内传递完毕。
8.4提供的信息必须有填报人和单位领导审查签字。
9安全信息资料归挡要求
9.1经营部建立七种安全管理档案和八种安全管理图表,并归档。
9.2七种安全管理档案:
9.2.1工伤事故档案。
9.2.2安全教育档案。
9.2.3安全奖惩档案。
9.2.4安全技术措施项目档案。
9.2.5特种设备档案(主要指吊车、压力容器、空压机等)。
9.2.6隐患及整改记录。
9.2.7违章记录。
9.3八种图表:
9.3.1安全机构网络体系图。
9.3.2危险点和尘毒点分布图。
9.3.3公司内动力管线分布图。
9.3.4配电系统及接地线布置图;
9.3.5历年工伤事故频率图。
9.3.6工伤事故年度统计图。
9.3.7多发性事故及重大事故树形图。
9.3.8安全信息反馈图。
10检查与考核
10.1本制度的执行情况列为公司安全工作经济承包任务考核内容,按年度进行检查与考核。
10.2经营部按制度检查与考核,综合评比各职能部门、分公司的安全信息管理工作。
第11篇 网络信息安全管理组织机构设置工作职责
1:总则
1.1为规范北京爱迪通联科技有限公司(以下简称“公司”)信息安全管理工作,建立自上而下的信息安全工作管理体系,需建立健全相应的组织管理体系,以推动信息安全工作的开展。
2:范围
本管理办法适用于公司的信息安全组织机构和重要岗位的管理。
3:规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件,其随后的所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准
《信息安全技术 信息系统安全保障评估框架》(gb/t 20274.1-2006)
《信息安全技术 信息系统安全管理要求》(gb/t 20269-2006)
《信息安全技术 信息系统安全等级保护基本要求》(gb/t 22239-2008)
4:组织机构
4.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
4.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:
根据国家和行业有关信息安全的策略、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,知道、监督信息安全工作。
4.3 信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。
4.4信息安全工作组的主要职责包括:
4.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
4.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
4.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行;
4.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
4.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
4.4.6 负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施;
4.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时间。
4.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
4.5应急处理工作组的主要职责包括:
4.5.1 审定公司网络与信息系统的安全应急策略及应急预案;
4.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
4.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。
4.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
5: 关键岗位
5.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员要求无人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全的管理规定。
5.2 系统管理员主要职责有:
5.2.1负责系统的运行管理,实施系统安全运行细则;
5.2.2严格用户权限管理,维护系统安全正常运行;
5.2.3认真记录系统安全事项,及时向信息安全人员报告安全事件;
5.2.4对进行系统操作的其他人员予以安全监督。
5.3网络管理员的主要职责有:
5.3.1负责网络的运行管理,实施网络安全策略和安全云心细则;
5.3.2安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
5.3.3监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
5.3.4对操作网络管理功能的其他人员进行安全监督。
5.4应用开发管理员主要职责有:
5.4.1负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
5.4.2系统投产运行前,完整移交系统相关的安全策略等资料;
5.4.3不得对系统设置“后门”;
5.4.4对系统核心技术保密等。
5.5安全审计员负责对设计系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括:
5.5.1按操作员证书号进行审计;
5.5.2按操作时间审计;
5.5.3按操作类型审计;
5.5.4事件类型进行审计;
5.5.5日志管理等。
5.6安全保密管理员负责日常安全保密管理活动,主要职责有:
5.6.1监视全网运行和安全告警信息
5.6.2网络审计信息的常规分析
5.6.3安全设备的常规设置和维护
5.6.4执行应急中心指定的具体安全策略
5.6.5向应急管理机构和领导机构报告重大的网络安全时间等。
6 附则
6.1本办法由公司科技部负责解释。
6.2本办法自发布之日起实施。
第12篇 安全信息管理规定范文
1 总则:
1.1 为加强公司的安全监督管理,使安全信息管理工作制度化和规范化,保证安全信息的及时性、准确性和完整性,根据国家有关法律、法规、规程和南方电网公司《电业生产安全信息管理暂行规定》、云南电网公司《电业安全信息管理规定》,特制定本管理办法。
1.2 本办法所指的安全信息是指公司安全生产、交通和消防安全状况,包括安全事件、事故、障碍等涉及事故定性报表内容以及工作动态方面的信息,还包括安全会议、活动要求的相关信息。
1.3 本办法适用于本公司
1.4 安全信息应当本着分级报送、归口管理、资源共享的原则,在收集、统计、报告过程中要切实做到实事求是,报告内容准确、完整,为公司持续改进安全生产管理工作提供科学依据,严禁漏报、虚报、瞒报。
1.5 本规定所涉及的事故(障碍)的定义、等级划分、责任归属和事故调查的组织、程序等,严格按照南方电网公司颁发的《电力生产事故调查规程》的规定及其条文解释执行。
1.6 公司安全管理部门是公司安全信息的归口管理部门,负责审核、汇总、分析和公布各类安全信息,综合分析和预测公司的安全形势,编写公司安全情况报告(通报、快报、简报)。
1.7 公司各单位安全管理部门是所在单位的安全信息归口管理部门,负责收集、汇总、分析各类安全信息,并经分管领导审核后上报。
1.8 公司各单位应结合实际情况配备兼职安全信息管理人员,并为安全信息管理人员收集、编辑、报送信息提供必要条件。
1.9 各单位应对安全信息管理制度进行细化,针对各单位的实际情况制定相关规定,逐步理顺并优化信息收集、筛选、整理、编辑、报送等环节的关系,加强对信息工作管理。
2 安全信息报告、报送管理:
2.1 各职能部门的安全信息由各单位以书面、电子邮件、办公自动化等形式上报公司安全管理部门。
2.2 各项目部安全信息由承担施工任务的单位收集、汇总、整理后报送安全管理处,对于安全管理处直接要求项目部上报的信息,则由项目部直接报送安全管理部门。
2.3 安全生产突发事件(主要是指一些已危及或影响人身、设备安全的事件:如地震、洪水、泥石流等自然灾害和其他不可预见的事件,以下简称“突发事件”)及安全生产事故(施工生产人身重伤及以上、重大及以上电网和设备事故、重大及以上交通事故、重大及以上火灾事故、误操作事故等)的报告,应在对事故情况有所了解的前提下立即报告。
2.4 快速报告:发生突发事件及安全生产事故时,事故单位在立即组织事故处理或施救的同时,应及时向公司有关领导和部门进行快速报告。
2.4.1发生严重的突发事件,导致人身伤亡、设备损坏或其他情况的,应立即向安全管理部门报告,有人员死亡的还应向当地公安部门报告。
2.4.2发生施工生产人身死亡事故、电网或设备事故、有人员伤亡的重大及以上交通事故、重大及以上火灾事故,事故单位应立即向安全管理部门报告,涉及人员死亡的还应向当地公安部门报告。
2.4.3发生生产性人身重伤及以上人身伤亡事故、重大及以上电网或设备事故、重大及以上交通事故或火灾事故,以及下列一般事故和事件后,应以最快的速度,最迟不得超过2小时,以电话、电传或电子邮件方式向公司安全管理部门报告。
(1)其他可能造成重大不良社会影响的事故(事件);
(2)发生突发事件而对正常生产秩序造成影响的。
2.4.4快速报告应包括以下的基本信息:
(1)事故发生的时间、地点、单位;
(2)事故发生、扩大和应急救援处理过程的简要情况、初步原因判断;
(3)事故后果(伤亡情况、设备损坏、可能造成的电网事故或不良社会影响等)的初步估计。
2.4.5发生上述突发事件或事故的单位,应在24小时内向公司安全管理部门提交书面的报告。
2.5 安全信息定期报告:
2.5.1安全信息定期报告包括月度报告、年度报告及日常安全管理资料等。公司各单位须按要求将相关资料以书面、电子邮件及办公自动化等形式上报公司安全管理部门。
2.5.2每月5日前,上报上月的事故报告和《施工生产安全月报表》(见附表一)、《交通与特种设备安全月报表》(见附表二)。上报内容要求:各基层单位汇总各在建项目(部门)的安全生产情况,包括:学习上级安全管理文件、开展安全检查、进行安全教育培训、考试、安全交底、应急演习、各施工工序的安全管理及当前存在的安全问题等方面的内容。
2.5.3 每年11月30日前,上报本年度安全监督管理工作总结和年度安全生产形势分析报告,下一年度的工作思路和打算。
2.5.4 每年“五一”、“十一”、春节长假结束后,分别于收假前一天上午10点前上报节日安全生产情况及值班、车辆安排情况等。
2.5.5 公司组织的季度安全大检查、安全专项检查结束后,需要整改的单位,须按整改要求在整改期限内上报安全问题整改情况。
3 安全信息监督管理:
3.1公司建立安全生产举报制度,设立邮件信箱和安全监督电话,多途径收集、传递安全信息。
3.2 公司安全管理部门负责对各单位的安全信息报告情况进行年度考评。各单位不按要求或不按时上报的,安全管理部门将于年终进行考核评比,并做出奖惩。
3.3对于瞒报事故和弄虚作假行为,公司将严肃查处,并根据奖惩规定对有关责任者予以严肃处理。
4 附则:
4.1 安全管理部门要求上报的其他安全信息、汇报材料或征集稿件应于规定期限内上报,对逾期报送或不报的单位公司将进行统计考核,记入年度考核中。
4.2 本规定由公司安全管理部门负责解释。
4.3 本规定自发布之日起实行。
5 相关文件:
5.1《中华人民共和国安全生产法》
5.2南方电网公司《电网建设安全健康与环境管理办法实施细则》
5.3南方电网公司《电业生产安全信息管理暂行规定》
5.4云南电网公司《电业安全信息管理规定》
6 附表:
附表一:施工生产( )月安全报表
填报单位(公章):填报时间:年月日
施工生产安全管理和安全活动情况(包括合同工)及安全规程执行情况
若发生了安全事故、事件,按(四不放过)原则采取的安全措施
安全情况
存在问题
单位负责人:填报人:
附表二:交通与特种设备( )月安全报表
填报单位(公章):填报时间:年月日
交通安全管理和安全活动情况(包括合同工)及安全规程执行情况
施工车辆安全检查情况(包括分包单位)
若发生了交通安全事故、事件,按(四不放过)原则采取的安全措施
安全情况
存在问题
单位负责人:填报人: