安全信息管理办法（十二篇）

发布时间：2024-11-20 查看人数：51

安全信息管理办法

第1篇安全信息管理办法

第一章：总则

第一条：为进一步落实《中华人民共和国安全生产法》和部“规范管理、强基达标”总要求，建立完善安全管理和监督机制，推动安全生产步入法制化、制度化的管理轨道，更好地发挥安全信息指导运输生产、提高超前预防和预控能力、确保运输安全的作用，根据劳函【2005】227号文件关于印发《安全信息管理办法》的要求，特制定本细则。

第二条：本细则规定的安全信息，系指凡是在生产过程中发生的各类行车事故、人身事故、管理问题、设备隐患、职工违章违纪及其它影响水电、安全的信息。

第三条：安全信息管理必须遵循的原则

1、真实性原则。凡反馈的安全信息，必须做到件件真实、来源可靠、实事求是、具有可追踪性，杜绝虚假信息、失效信息、重复信息和非安全信息、保证安全信息的真实性。

2、准确性原则。各类安全信息的数据统计和综合分析，必须做到全面、客观、准确、避免错、漏信息的发生。

3、时效性原则。安全信息的反馈要及时、快捷、严格按照规定时限提报，对反映的安全生产问题做到事事有着落、件件有回音、有整改。不得人为拖延，影响信息畅通。

4、数质兼优原则。安全信息的反馈要克服只重数量、不顾质量问题，做到数质兼优。

5、分层管理的原则。安全室负责统计、掌握和分析全段b类及以上安全信息，车间要统计、掌握和分析c类及以上安全信息。

6、奖罚并举原则。将安全信息管理工作作为对各级干部安全逐级负责制考核的一项重要内容，在干部逐级负责制考核中兑现奖罚。

第二章：日常管理

第四条：安全信息建立段、车间二级管理网络

1、段成立安全信息管理中心，设在安全室，全面负责安全信息的收集、反馈、分析、处理、应用、考核工作。

2、维修所、各车间成立信息管理站，信息管理站设专人负责。负责将作业现场发生的信息、班组自控中发生的a、b、c、d类信息收集、汇总、分析情况反馈到段安全信息管理中心。

第五条：各类事故、事件信息要按照相关文件的具体规定进行提报。反馈的事故、事件信息，必须真实反映概况、性质、损失、原因、责任、处理、教训和防范措施。

第六条：安全信息管理中心、站的主要职责

1、段安全信息管理中心的主要职责是：

(1)对段行车、劳动安全信息进行收集、登记、统计和综合分析、调查处理。

(2)按规定时间向安全信息管理中心反馈上级发现的安全信息处理结果。

(3)对管内各车间、科室安全信息管理工作进行检查和考核评比。

(4)每月23日上网通报管内各类安全信息，并跟踪检查，随时通报上级检查发现的各类安全信息。

(5)根据文件精神及时对段安全信息管理细则进行修订完善。

2、段业务科室安全信息管理职责：

负责对本系统所发生的安全信息进行收集、登记、反馈并跟踪处理，凡是影响行车的安全信息，技术室会同安全室必须亲临现场进行调查、处理。

3、维修所和各车间安全信息管理站的职责是：

(1)负责对本所、车间安全信息的收集、登记、统计和综合分析、调查处理。

(2)按规定时间向段安全信息管理中心及时反馈安全信息。

(3)按时间对上级检查反馈的信息进行调查、分析、处理、上报。

(4)做到充分利用信息解决现实安全生产中存在的安全问题。

第七条：安全信息等级及分类

执行道部《路行车事故处理规则》和《b 类及以上安全信息分类标准》，具体明细见附件4。

1、信息等级

行车事故信息。(2)事故苗子信息。(3)a类信息。(4)b 类信息。(5)c 类信息。(6)d类信息。

2、信息分类

(1)安全管理信息，主要是干部安全管理失职等行为产生的信息。

(2)职工“两违”信息，主要是职工违章违纪方面的信息。

(3)设备信息，主要是各种行车设备、安全监控检测设备信息。

(4)其它有关行车、人身安全方面的情况反馈。

第八条：安全信息量化规定见附表1

第九条：安全信息的提报时限和要求。

1、行车事故信息由安全室牵头，技术室具体负责整理，系统主管段长审核后上报。

2、事故苗子由安全室或段调度在2小时内上报到路安全信息管理中心或值班监察。

3、各级领导干部、各车间信息应在每日15时前将两日内(48小时)检查发现的a、b类信息报段安全室(须立即处理的，应当即通知车间)，安全室负责在每日16时前将段有效信息上报到安全信息管理中心。

4、对路领导批示的信息，系统主管段长要指定相关科室、部门组织调查、处理，并将情况及时上报安全监察室和相关业务处。

第三章：综合分析、利用、跟踪处理

第十条：综合分析

1、各车间每月22日前将月份安全分析报告上报到段安全室(安全分析报告格式见附件3)，半年、年度安全工作总结通过段办公网传到安全室“安全预测”栏内。

2、安全室每月25日前将全段月度安全分析报告提报安全监察室，并按规定上报半年和全年安全工作总结。

3、段安全信息纳入日交班、周大交班、月安全分析会和安全委员会中进行专题分析，各车间也要比照执行。

4、安全信息管理中心除每周、月、季、半年、年对全段发生的b类以上考核信息进行全面统计外，还要对全段a类信息及事故、事故苗子信息定期进行分析。

第十一条：信息利用、跟踪处理

1、充分利用安全信息的预测功能、评价功能、导向功能，把信息作为安全决策的重要依据，运用信息正确指导运输安全工作。

2、必须按照“四不放过”的原则做到对安全信息反映的倾向性问题不弄清责任不放过，不分析管理原因不放过，不吸取教训不放过、不制定整改措施不放过。

3、段每月对各科室、车间上报安全信息情况进行考核，对排尾单位在段月度安全分析会上进行专题解剖，查找问题、制定对策、督促整改。

4、车间对上级发现的及自查信息进行分析，找出问题点，制定整改方案。

第四章：安全信息的考核

第十二条：基本原则

每月对各级干部和车间信息管理工作进行一次全面考核，总结经验，查找问题，进行整改，以便于进一步完善对安全信息的管理。

主要对信息数量、信息质量、信息利用、信息处理、信息分析、信息管理等方面进行综合评价。

第十三条：信息考核

段每月由安全室、劳人室负责对各级干部反馈信息及维修所、车间安全信息管理情况进行抽查或跟踪检查，对各类安全信息进行核实，重点进行信息打假活动，并严格按下列考核标准进行考核。

一、发生下列情况之一的，车间干部当月安全逐级负责制失格。

1、发生责任b类及以上事故；

2、发生责任职工轻伤及以上事故；

3、发生责任火灾、爆炸事故

4、上级检查发现的严重“两违”；

5、谎报事故概况，隐瞒事故；

6、上报虚假信息。

二、上级检查发现的信息

1、“两违”类信息

(1)职工严重“两违”的，按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定，直接责任者实行待岗3-6月。

(2)a类信息：考核车间干部当月逐级负责制10分；

考核责任者当月生产奖金全部，联挂工长40元。

(3)b类信息：考核车间干部当月逐级负责制5分。

考核责任者当月生产奖金50元，联挂工长20元。

2、管理类信息

(1)a类信息：考核车间干部当月逐级负责制5分。

考核责任者当月生产奖金20元，联挂工长10元。

(2)b类信息：考核车间干部当月逐级负责制2分。

考核责任者当月生产奖金10元，联挂工长5元。

3、设备类信息

(1)a类信息：责任的考核车间干部当月逐级负责制3分，非责任的考核2分。

考核责任者当月生产奖金20元，联挂工长10元。

(2)b类信息：责任的考核车间干部当月逐级负责制2分，非责任的考核1分。

考核责任者当月生产奖金10元，联挂工长5元。

三、段检查发现的信息

1、违章类信息

(1)职工严重“两违”的，按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定，直接责任者实行待岗3-6月。

(2)a类信息：考核车间干部当月逐级负责制1分；

考核责任者当月生产奖金20元，联挂工长10元。

(3)b类信息：考核车间干部当月逐级负责制0.5分。

考核责任者当月生产奖金10元，联挂工长5元

2、管理类信息

(1)a类信息：考核车间干部当月逐级负责制1分；

考核责任者当月生产奖金20元，联挂工长10元。

(2)b类信息：考核车间干部当月逐级负责制0.5分。

考核责任者当月生产奖金10元，联挂工长5元。

3、设备类信息

(1)a类信息：考核车间干部当月逐级负责制1分；

考核责任者当月生产奖金20元、联挂工长10元。

(2) b类信息：考核车间干部当月逐级负责制0.5分；

考核责任者当月生产奖金10元、联挂工长5元。

4、c、d类信息：检查人员就地反馈给车间，车间组织工长对责任者进行帮助教育，采取措施，杜绝重复发生。

四、车间检查发现的信息

1、违章类信息

(1)职工严重“两违”的，按照水电安联【2005】7号《发生责任行车事故及职工严重“两违”处罚办法》第三章中规定，直接责任者实行待岗3-6月。

(2)a类信息：考核责任者当月生产奖金20元，联挂工长10元。

(3)b类信息：考核责任者当月生产奖金10元，联挂工长5元。

2、管理类信息

(1)a类信息：考核工长10元。

(2)b类信息：考核工长5元。

3、设备类信息

(1)a类信息：考核责任者当月生产奖金20元，联挂工长10元。

(2)b类信息：考核责任者当月生产奖金10元，联挂工长5元。

4、c、d类信息：考核责任者当月生产奖金5元

五、没有完成月份信息定量的科室、车间，按照《生产奖二次分配考核办法》中的信息考核规定进行考核。

第五章：附则

第十五条：本细则自2005年6月10日起执行，水电安联[2004] 4号文件同时废止。

第十六条：本细则由段安全室负责解释。

第2篇 it部信息数据资产安全管理规定

第一章总则

一、目的:

依据《**集团信息技术资源安全保护规定》和有关公司规定,为进一步加强**集团计算机信息系统安全保密管理,并结合各系统、各子公司的实际情况,制定本制度。

二、范围:

计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。

三、原则:

涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保企业信息安全又有利于企业开展正常业务的方针。

涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。

涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。

第二章系统管理人员的职责

一、岗位设置:

用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由集团it部承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。

二、岗位职责:

系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理; 应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。

安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理。

密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。

三、工作监管:

对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。

新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。

保密单位负责定期组织系统管理人员进行保密法规知识的宣传教育和培训工作。

第三章机房管理制度

一、机房安全管理:

进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。严禁在机房内吸烟。严禁在机房内堆放与工作无关的杂物。

机房内不得使用无线通讯设备,禁止拍照和摄影。

机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。加强防火安全知识教育,做到会使用消防器材。加强电源管理,严禁乱接电线和违章用电。发现火险隐患,及时报告,并采取安全措施。

二、机房日常管理:

各类技术档案、资料由专人妥善保管并定期检查。

机房应保持整洁有序,地面清洁。设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。机房的门窗不得随意打开。

每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。

三、机房门禁管理:

出入机房要有登记记录。非机房工作人员不得进入机房。外来人员进机房参观需经集团it部批准,并有专人陪同。

机房大门必须随时关闭上锁。机房钥匙由集团公司集团it部管理。

机房门禁卡(以下简称门禁卡)由**集团it部管理。门禁卡的发放范围是:系统管理员、安全保密管理员和密钥管理员。对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。

门禁卡应妥善保管,不得遗失和互相借用。门禁卡遗失后,应立即上报门禁卡管理单位,同时写出书面说明。

第四章系统管理员工作细则

第一节系统主机维护管理办法

一、工作职责:

系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行操作。

根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。

建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。

二、日常维护及例行检查:

每月: 每月修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报基础架构管理负责人。

每周: 通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。每周下载安装最新版的系统补丁,对系统主机进行升级,做详细记录(见表四)。

每天: 检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。每天记录系统主机运行维护日记,对系统主机运行情况进行总结。在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。

第二节信息系统运行维护管理办法

一、工作职责:

根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。管理员密码至少每月修改一次。

信息系统的开发和上线必须严格将开发环境和生产环境分开。不允许两个环境使用同一个服务器、或同一个操作系统、或同一个数据库实例。

对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。

二、日常维护及例行检查:

每月:对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报信息系统的技术负责人和业务负责人。

每周: 对信息系统系统数据、用户id文件、系统日志进行备份,并做详细记录(见表四),备份介质并存档。

每天: 检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。每天记录信息系统运行维护日志,定期对信息系统运行情况进行总结。

三、问题处理:

在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。

当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。

根据用户需求设置信息系统各功能模块访问权限,并提交信息系统的业务主管审批。

第三节网络系统运行维护管理办法

一、工作职责:

网络系统运行维护由系统管理员专人负责,未经允许任何人不得对网络系统进行操作。

根据网络系统设计方案和实施细则安装、调试、配置网络系统,包括交换机配置、路由器配置,建立管理员账号,设置管理员密码,并关闭所有远程管理端口。

建立系统设备档案(见表二),包括交换机、路由器的品牌、型号、序列号、购买日期、硬件配置信息,详细记录综合布线系统信息配置表,交换机系统配置,路由器系统配置,网络拓扑机构图,vlan划分表,并在系统配置发生变更时及时对设备档案进行更新。

二、日常维护及例行检查:

每月: 对网络系统运行维护情况进行总结,并作出网络系统运行维护月报。

每周: 对网络系统设备(交换机、路由器)进行清洁。每周修改网络系统管理员密码。每周检测网络系统性能,包括数据传输的稳定性、可靠性、传输速率。

每天: 检查网络系统设备(交换机、路由器)是否正常运行。

三、问题处理:

网络变更后进行网络系统配置资料备份。

当网络系统发生故障时,应及时通知用户,并在最短的时间内解决问题,保证网络系统尽快正常运行,并对系统故障情况作详细记录(见表六)。

第四节终端电脑运行维护管理办法

一、工作职责:

终端电脑的维护由系统管理员负责,未经允许任何人不得对终端电脑进行维护操作。

根据用户应用需求和安全要求安装、调试电脑主机,安装操作系统、应用软件、杀毒软件等等。

建立系统设备档案(见表二)、包括电脑的品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,在电脑主机软硬件信息发生变更时对设备档案进行及时更新。

二、问题处理:

在电脑主机发生故障时应及时进行处理,备份用户文件,用最短的时间解决故障,保证电脑主机尽快能够正常运行,并对电脑主机故障情况做详细记录(见表六),涉及存储介质损坏,直接送交集团it部处理。

第五节网络病毒入侵防范管理办法

一、工作职责:

网络病毒入侵防护系统由系统管理员专人负责,任何人未经允许不得进行此项操作。

根据网络系统安全设计要求安装、配置瑞星、金山、avast等网络病毒防护系统,包括服务器端系统配置和客户机端系统配置,开启客户端防病毒系统的实时监控。

所有**集团(包括各子公司、分公司、分区)的服务器和个人电脑,禁止安装360安全卫士的全系列产品。

二、日常维护及例行检查:

每周: 登陆防病毒公司网站,下载最新的升级文件,对系统进行升级,并作详细记录(见表九)。每周对网络系统进行全面的病毒查杀,对病毒查杀结果做系统分析,并做详细记录(见表十)。

每日: 监测防病毒系统的系统日志,检测是否有病毒入侵、安全隐患等,对所发现的问题进行及时处理,并做详细记录(见表八)。每日浏览国家计算机病毒应急处理中心网站,了解最新病毒信息发布情况,及时向用户发布病毒预警和预防措施。

第五章安全保密管理员工作细则

第一节网络信息安全策略管理办法

一、工作职责:

网络安全策略管理由安全保密管理员专职负责,未经允许任何人不得进行此项操作。

根据网络信息系统的安全设计要求及主机审计系统数据的分析结果,制定、配置、修改、删除主机审计系统的各项管理策略,并做记录(见表十一)。

根据网络信息系统的安全设计要求制定、配置、修改、删除网络安全评估分析系统的各项管理策略,并做记录(见表十一)。

根据网络信息系统的安全设计要求制定、配置、修改、删除入侵检测系统的各项管理策略,并做记录(见表十一)。

根据网络信息系统的安全设计要求制定、配置、修改、删除、内网主机安全监控与审计系统的各项管理策略,并做记录(见表十一)。

网络信息安全技术防护系统(主机审计系统、漏洞扫描系统、防病毒系统、内网主机安全监控与审计系统)由网络安全保密管理员统一负责安装和卸载。

二、日常维护及例行检查:

每周: 对网络信息系统安全管理策略进行数据备份,并作详细记录(见表十二)。

第二节网络信息系统安全检查管理办法

一、工作职责:

网络信息系统安全检查由安全保密管理员专职负责执行,未经允许任何人不得进行此项操作。

二、日常维护及例行检查:

每月: 通过漏洞扫描系统对网络系统终端进行安全评估分析,并对扫描结果进行分析,及时对终端系统漏洞及安全隐患进行处理,作详细记录(见表十五),并将安全评估分析报告上报集团it部。

每周: 登陆入侵检测系统产品网站,下载最新升级文件包,对系统进行更新,并做详细记录(见表十四)。

每周登录全评估产品网站,下载最新升级文件包,对系统进行更新,并作详细记录(见表十六)。

每周备份入侵检测系统和漏洞扫描系统的审计信息,并作详细记录(见表十七)。

每天: 根据入侵检测系统的系统策略检测、审计系统日志,检查是否有网络攻击、异常操作、不正常数据流量等,对异常情况做及时处理,遇有重大安全问题上报集团it部,并做详细记录(见表十三)。

第三节涉密计算机安全管理办法

一、工作职责:

涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。

根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。

二、日常维护及例行检查:

每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。

三、问题处理:

涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。

新增涉密计算机联入涉密网络,需经集团it部审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。

第四节安全审计管理办法

一、工作职责:

网络信息安全审计系统由安全保密管理员负责,未经允许任何人不得进行此项操作。

根据网络系统主机安全设计要求安装、配置、管理主机安全审计系统,制定审计规则,包括系统运行状态、用户登录信息,网络文件共享操作等。

二、日常维护及例行检查:

每月:对主机安全审计系统记录信息进行分析总结,并向保密部门提交分析报告。

每周:备份设备安全审计系统审计信息,并做详细记录(见表二十)。

每日:查看安全审计系统信息,对审计结果进行分析整理,及时处理所发生的设备安全问题,并做详细记录(见表十九)。

第五章密钥管理员工作细则

一、工作职责:

身份认证系统由密钥管理员专人负责,未经允许任何人不得进行此项操作。

负责向用户单位派发安全钥匙,用户需填写审批表,并提交保密部门审批(见表二十一)。

负责为每台计算机安装主机登录系统。

负责主机登录系统、身份认证系统的系统维护。

根据用户需求,见保密部门审批单要求,制作、修改、注销证书(见表七)。

二、日常维护及例行检查:

每日:检查身份认证系统是否正常运行。

第六章数据资产管理规定

一、范围:

**集团的内部各信息系统均为涉密计算机信息系统,所有信息系统内的数据资源均为**集团的财产,任何人不得以任何方式私自复制、修改、保留。

二、职责:

信息系统的运行维护由系统管理员和信息系统的业务单位指定的管理员共同负责,未经系统管理员和信息系统的业务主管领导同意,任何人不得在系统后台对信息系统进行任何操作。

系统管理员只对信息系统的技术平台拥有相应的管理权限,任何对信息系统数据的使用均需要信息系统的业务主管领导同意;未经许可系统管理员不得以任何方式向第三方透漏信息系统内的任何信息。

三、所有权:

信息系统(集团财务系统、媒介系统等)的数据直接管理权归相应的业务单位所有(例如,媒介系统的业务所有人为媒介管理部。信息系统的技术维护工作由**集团it部或相应的授权技术服务团队负责。

所有有权直接接触信息系统的生产环境的技术团队成员,均需签署保密协议。技术团队成员有责任和义务为相关系统的信息或代码保密。

第七章计算机信息系统应急预案

一、工作职责:

系统管理人员参与制定各种意外事件处置预案,并具体执行,包括火灾、停电、设备故障等,每年进行预案演练。

二、系统应急场景:

(一) 遇到火灾应根据火情采取以下措施:

1. 如火情较轻时,应立即切断机房总电源,并迅速用消防器材,力争把火扑灭、控制在初期阶段,同时上报集团保卫部门。

2. 如火情严重应迅速拨打报警电话“119”,同时通知集团保卫部门,听从消防工作人员的现场指挥,协助处理有关事项。

(二) 如遇机房突发性停电,应迅速通知用户,同时检查后备电源使用情况;如有需要,可以关闭设备电源;来电后,及时通知用户,并检测设备是否正常运行。

(三) 系统出现灾难性故障时,系统管理员应立刻通知部门主管,制定详细的系统恢复方案。

三、问题处理:

遇紧急情况,值班员应立即通知集团it部和系统管理员,保持24小时通讯畅通,随时处理紧急事件。

线路故障应立即拨打线路故障电话“112”,同时上报部门主管,协助电信部门查找故障原因,尽快使线路恢复正常。

第3篇搞好安全信息管理提高安全管理水平

安全信息管理是电力企业安全管理的重要组成部分，是指导安全生产和做出安全决策的重要依据，搞好企业内部安全信息管理对提高企业安全管理水平，预防、控制事故的发生，有着极其重要的作用。

1 安全信息的分类

安全信息包括安全情报、资料、台帐、指令以及发生在生产现场的事故、障碍、异常、未遂、差错的具体行为等，它应反映出企业整个生产过程的基本安全情况，企业内部安全信息的获得可来自企业内部和外部，一般以企业内部的安全信息为主，采取内外结合的原则。

全信息分类的目的是为了便于具体认识与运用安全信息去指导安全生产，提高安全管理水平，从而有效地预防和控制事故的发生。安全信息分类主要是根据安全信息的产生和作用来进行的，安全信息大体可分为3类：

（1）安全指令信息。是指上级领导及管理部门发出的各种安全工作的指令、要求、事故通报、安全生产简报、兄弟单位安全管理经验以及事故教训等信息。

（2）安全动态信息。是指生产过程中的安全运行情况、安全规章制度的制定和落实情况；易燃易爆等危险品及现场设施防护完善状况；生产中出现的异常现象；现场作业工人的情绪以及工器具、设备的异常状态等多方面的安全动态信息。

（3）安全反馈信息。是指能将在执行安全指令过程中发生的人的不安全行为、物的不安全状态以及环境的不安全因素等信息及时反馈到安全监督人员和相应决策部门，通过闭环控制、偏差管理，及时作出新的决策，制定新的防范措施。

2 安全信息管理

安全信息管理要采用现代科学管理的理论和方法，应体现“及时、准确、适用”3个特性：

（1）及时性——收集、传递、反馈、运用、处理安全信息要及时，错过收集和使用的时间，安全信息就失去应有的作用。如：对于在装设三相短路接地线时，没有用验电器在停电设备上验明确无电压，就直接在停电设备上装设接地线的违规行为，如果在生产中能及时发现并纠正，就能有效地控制、预防事故的发生，否则，就可能导致事故。

（2）准确性——收集到的安全信息要真实、准确、完整，实事求是，不弄虚作假，否则就会影响安全信息的使用效果，甚至可能做出不符合实际的决策，贻误了安全管理工作。如：在电气倒闸操作过程中，没有使用操作票，原因是领导允许无票操作。在收集此信息时，如果只收集到无票进行电气倒闸操作的违章作业行为，而没有收集到领导违章指挥的事实，就不能使决策部门提出全面的整改措施，其结果是只解决了无票操作的违章作业问题，而没有解决领导的违章指挥问题。

（3）适用性——安全信息的使用价值因人们的需求和使用的时间、方式、对象、地点不同而不同。只有适用的安全信息，才能促进安全管理工作，才能充分发挥安全信息的作用。如：在学习兄弟单位安全管理经验时，不结合本企业的安全生产实际情况，生搬硬套，就不可能充分发挥安全信息的作用。

一个企业安全工作的好坏，在一定程度上取决于企业对安全信息的收集、处理和利用的状况。企业的安全信息管理应该通过收集、分析、管理、处理、传递等环节形成一个自上而下、自下而上的高效、流通的闭环反馈系统。只有这样，才能够使领导全面准确地掌握安全信息，作出符合实际的决策，然后，再下达给基层，指导生产一线的安全管理。

3 安全信息管理的基本环节

（1）建立安全信息管理制度。从制度上保证安全信息在企业中的流通，把安全信息管理工作纳入议事日程中，在讨论研究安全工作时，应讨论研究安全信息的应用管理工作，解决安全工作中存在的问题，保证安全信息所具有的作用在安全管理中得到充分发挥。

（2）建立安全信息管理网。通过安全信息管理网及时传达有关安全生产的法规和方针政策，了解兄弟单位及本企业的安全生产动态，并将重要的安全信息及时、准确地传送到信息管理网，实现资源共享，提高工作效率。

（3）落实安全信息管理责任制。安全信息要分级管理，分工明确，责任到人，提高安全信息的利用率，保证安全信息正常运转，保证安全信息管理得力、有效。

（4）加强班组安全信息收集。班组是企业最小的基层单位，又是安全信息的重要来源。加强班组信息管理是搞好信息收集和反馈的重要环节。

（5）加强信息档案工作。安全信息建档资料是企业宝贵的财富，它可以帮助人们了解企业安全生产的状况，及时作出正确决策，掌握安全生产主动权，对提高安全管理水平，预防、控制事故的发生有着重要的作用。

(俞福成)

第4篇集团信息系统安全管理细则

第一条目的

为了保护集团计算机信息系统安全,规范信息系统管理,合理利用系统资源,推进集团信息化建设,促进计算机的应用和发展,保障集团信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为集团运营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合集团实际情况,制定本细则。

第二条术语与定义

(一) 信息系统安全管理范围:业务软件系统信息安全、硬件网络信息安全。

(二) 系统管理员:是集团信息化管理系统建设的主要执行者,负责系统的设备保障、运行监测、及时维护、数据备份以及信息系统规划、计划、方案的起草工作;同时,负责集团信息化管理系统和各工作站系统软件、应用软件的安装、调试和维护工作;

第三条适用范围

本细则适用于集团信息系统安全管理。

第四条系统服务器和网络设备管理方法:

(一) 服务器和各网络设备的放置详见《机房管理细则》第五条的第三项;

(二) 非集团指定系统管理员,未经批准不得对服务器和各网络设备进行硬件维护、软件安装卸载等操作;

(三) 保证服务器和各网络设备24小时不间断正常工作,不得在服务器专用电路上加载其它用电设备;

(四) 非工作需要,内网服务器严禁直接接入因特网,并安装好杀毒软件,做好病毒防范,杜绝病毒感染。

第五条业务软件系统信息安全:

(一) 帐户申请:对符合开通帐户的申请人,根据权责对软件所负责管理的职能归属部门进行申请,经该主责部门同意后,转信息管理部系统管理员处备案;

(二) 帐户删除:对于离职人员,在办理工作交接时。由离职人员的主管通过办公平台向业务软件主责部门提交删除离职人员相关业务软件帐户的申请。经该主责部门同意后,转信息管理部系统管理员处备案;

(三) 操作人员应该严格保密帐户信息,如因故意或过失造成信息泄漏的,将根据《员工奖惩管理细则》追究其相关责任;

(四) 系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,适时更换、更新用户帐号或密码。

第六条网络信息安全:

(一) 系统管理员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生;

(二) 网络系统所有设备的配置、安装、调试必须由系统管理员负责,其它人员不得随意拆卸和移动;

(三) 所有上网操作人员必须严格遵守计算机及其它相关设备的操作规程,禁止其它人员进行与系统操作无关的工作;

(四) 在管理员还没有有效解决网络安全(未安装防火墙、杀毒软件)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过u盘等存贮介质拷贝文件到内网终端。

第七条资料备份工作方法:

(一) 数据备份关系到整个集团信息化管理系统的正常运转,影响到集团正常的运营秩序,必须严格执行;

(二) 数据库服务器每周日做一次数据备份;

(三) 备份的数据存储于专门的硬盘内,备份必需以覆盖的形式存储,确保数据不会遗漏;

(四) 所有重要数据、信息化管理系统源程序要刻录成光盘存盘;

(五) 若遇重大程序更新、修改,必须在程序更新、修改前要做好数据的备份工作;

(六) 上传到集团网站上提供给查询的数据必须每日定时更新,确保查询数据的准确性;

(七) 系统管理员若遇重大程序更新、修改,必须填写工作日志;

(八) 非共享的文件不能设置成网络共享,提供共享使用的文档必须设置相应权限,由于没有安全设置相应权限而造成本单位数据丢失的情况,后果自负。

第八条管理员有权制止一切违反安全管理的行为。

第九条本细则的解释权属于运营管理中心信息管理部。

第十条本细则由运营管理中心信息管理部进行起草与修订,由总裁办公会审核,执行总裁批准后发布。

第十一条本细则自发布之日起生效,集团原有相关规定、通知、办法等同时废止。

第5篇市发改委计算机信息网络安全管理规定

为加强我委计算机信息网络安全管理，确保信息网络安全、高效、正常运行，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和柳保(2010)9号《关于在全市开展保密计算机违规联接互联网监管工作的通知》和有关规定，制定本规定。

第一条全委干部职工必须严格遵守国家保密法和计算机网络信息安全管理法规及本规定。

第二条任何单位和个人不得利用本委计算机信息网络从事危害国家安全、泄露国家秘密等非法活动，不得利用本委计算机信息网络制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息。

第三条涉密计算机信息系统的研制、安装和使用，必须符合保密要求，并采取有效的措施，配置合格的保密专用设备，防泄密、防窃密。

第四条涉密计算机信息系统必须与互联网实行物理隔离，严禁用处理国家秘密信息的计算机(包括便携式计算机)上互联网。

第五条装有国家秘密信息的便携式计算机原则上只能在委机关内使用，确因工作需要携带外出，必须将涉密信息全部转出便携式存储设备存放在机关。

第六条上互联网的计算机必须与处理涉密信息的计算机严格区分，专机专用，不得既用于上互联网又用于处理国家秘密信息。

第七条计算机网络插头和接口，必须标明字样，严格区分，按规范安装，其他人员不得擅自删除或更改与网络系统有关的设置，严防由于误操作造成泄密。

第八条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。使用计算机起草、存储、处理、传递涉密文件、材料，必须在涉密计算机上进行。

第九条建立上网信息保密审查制度，坚持“谁上网谁负责'的原则，信息上网必须经过严格审查和批准，确保国家秘密不上网，上网信息不涉密。

第十条各科室，应当造册登记，切实加强软盘、磁带、光盘、移动硬盘等信息媒体管理。存储有国家秘密信息的信息媒体，按所存储信息的最高密级标明密级，并按相应密级文件的保密规定进行管理，不得降低密级使用。不再使用的信息媒体应及时销毁。

第十一条报废、维修存储过国家秘密信息的计算机和信息媒体，须交委办公室按保密规定统一处理，保证所存储的国家秘密信息不被泄露。

第十二条做好计算机信息系统数据备份。根据需要与存贮环境，重要信息要定期(半年至二年)进行循环复制三份分处存放，并注意防止因静电、电磁干扰等原因导致信息丢失。

第十三条做好计算机日常维护工作，严格查毒杀毒，发现病毒及时清除，确保信息系统安全运行。

第十四条妥善保管和使用计算机ca认证系统密钥，保守计算机信息系统用户口令秘密。密钥被盗或遗失，应及时作废，重新分配。

第十五条文印室计算机管理。文印室的计算机由打字员负责管理，任何人不得擅自使用文印室的计算机，如需用扫描仪应自带u盘在外网计算机上操作直接将文件存入自带盘中，严禁扫描、传输有密级的文件。严禁外单位人员进入文印室。

第十六条本委计算机信息网络安全工作由委信息安全领导小组负责。委主要负责人担任领导小组组长，成员由各科室负责人组成。领导小组职责是：

(一)根据国家有关计算机信息网络安全的法规和政策，审定本委计算机信息网络安全工作计划和管理制度;

(二)指导和检查本委计算机信息网络安全工作;

(三)定期对计算机信息系统的系统安全保密管理人员进行上岗前保密培训，严格审查和考核。

(四)研究、解决本委计算机信息网络安全重大问题。

第十七条委信息安全领导小组下设办公室，由委办公室和相关人员组成，在领导小组领导下，负责本委计算机信息网络安全管理的日常工作。

第十八条各科室负责人是本科室计算机信息网络安全工作的第一责任人，对本科室信息安全工作负责。

第十九条各科室切实加强对本科室的保密知识教育，提高工作人员信息安全保密意识，自觉遵守保密纪律和有关保密规定，发现有违反规定的行为，立即纠正，发现国家秘密泄露或可能泄露情况时，应当立即报告委信息安全领导小组。

第二十条违反本规定造成泄密的，将按有关法律和规定，追究当事人和责任人的责任，依法依纪进行处理。

第二十一条本规定自发布之日起执行。

转发.分享

第6篇 zx校卫生、安全管理突发事件信息员职责

中心校卫生、安全管理突发事件信息员职责

1.负责学校卫生、安全管理中突发事件的信息工作,包括突发事件信息的收集、整理与核实和向上级有关部门报告、反馈相关信息。

2.学校发生的卫生、安全突发事件,要按规定在第一时间内上报,必要时应连续报道事态的进展、处置、原因等重要情况。

3.对领导参与解决处理突发事件的讲话、意见,要及时整理上报。

4.负责对卫生、安全管理突发事件的发生、及时处理整个过程资料的收集。

第7篇信息科技部-安全管理中心-安全架构岗工作职责与职位要求

职位描述：

1.负责对基础架构、重要业务进行安全评估，提供可落地的解决方案；

2.负责网络、系统及应用的检测与防护的安全研究工作；

3.指导并参与各类安全系统的研发工作，对现有安全系统进行优化和改进；

4.负责对重点项目进行安全评审，识别架构中的安全风险，提出改进建议；

5.负责对各类疑难安全问题、安全事件的分析及应急响应。

6.负责信息安全体系与架构落地推进。

职位要求：

1.计算机相关专业本科以上学历，五年以上安全工作经验；

2.具备扎实的安全理论基础，精通主流安全漏洞原理，熟悉业界安全攻防动态；

3.熟悉主流的安全技术与产品，如：ids、siem、waf、日志分析、db审计等；

4.具备互联网企业安全规划和安全系统的建设经验；

5.至少熟悉一种编程语言（如：java、python、php等），有一定的开发能力；

6.具备优秀的逻辑思维能力，善于解决问题和分析问题。

第8篇工业企业安全信息及归档管理办法

工业公司安全信息及归档管理办法

1、主题内容与使用范围

本办法规定了安全信息管理体系、信息管理机构的职责、信息内容、处理程序、填报要求、归档及检查与考核。

本办法适用于我公司安全生产信息及档案管理。

2、引用文件

qjl424《安全生产管理通用表格》

3、术语

安全信息:国家和上级有关安全生产管理要求中所涉及的各种数据、报表、原始资料、档案和文件。

4、安全信息管理体系

4.1经营部是我公司安全信息归口管理单位,负责安全信息的收集、传递、处理、反馈、分析、汇总、贮存及归档工作。

4.2各基层单位安全员负责本单位安全信息的收集、传递、处理、反馈等工作。

5、各级信息管理人员的职责

5.1公司安全第一负责人对本公司安全信息系统的正常运转负责。

5.2主管安全副总经理负责组织协调公司安全信息管理工作,审批、下达公司安全信息调查、建档、统计任务。

5.3各单位安全第一负责人负责组织协调本单位安全信息管理工作,保证所下达的信息工作的正常进行。

6、安全信息内容

6.1 qjl424中所规定的内容。

6.2国家和上级有关安全生产监察规程所要求的数据、资料。

6.3各级安全部门为贯彻国家和上级有关安全生产规定而提出的统计、建档资料。

6.4上级有关安全生产的文件、法令及公司内各项安全规章制度。

6.5各单垃安全生产管理的信息包括:

a.重大安全事故和重大安全问题及需要上级或有关部门协调、紧急处理的安全问题。

b.工伤事故分析报告、安委会会议执行情况、安全检查情况、隐患整改情况、技措计划的实施情况、安全活动、安全教育培训、安全组织机构变动情况。

c.单位年度安全工作计划、目标、工作总结及其它有关情况。

d.与安全工作有关的原始记录、档案。

7、安全信息传递与处理

7.1在生产管理过程中,公司内各单位发现安全问题需反馈到总公司的,由发出信息单位以文字形式上报经营部。

7.2经营部接受基层的信息后,按信息内容,及时进行调查核实,提出处理意见,明确责任单位、反馈时间要求等,立即反馈给责任单位执行。

7.3责任单位负责按信息内容及经营部处理意见组织处理,将处理情况填写清楚,并按要求反馈给经营部。

7.4经营部负责信息存档工作。

8、安全信息填报要求

8.1提供的信息必须备有相应完整可靠的原始记录,随时为查询服务。

8.2提供的信息必须符合规定的格式,便于统计和贮存,通用表格如下:

8.2.1安全生产管理通用表格隐患类表格见qjl424.3―88

8.2.2安全生产管理通用表格技措类表格见qjl424.4―88

8.2.3安全生产管理通用表格奖惩类表格见qjl424.5―88

8.2.4安全生产管理通用表格管理类表格见qjl424.6―88

8.2.5安全生产管理通用表格有害作业类表格见qjl424.7―88

8.3提供的信息必须在规定时间内传递完毕。

8.4提供的信息必须有填报人和单位领导审查签字。

9、安全信息资料归挡要求

9.1经营部建立七种安全管理档案和八种安全管理图表,并归档。

9.2七种安全管理档案:

9.2.1工伤事故档案。

9.2.2安全教育档案。

9.2.3安全奖惩档案。

9.2.4安全技术措施项目档案。

9.2.5特种设备档案(主要指吊车、压力容器、空压机等)。

9.2.6隐患及整改记录。

9.2.7违章记录。

9.3八种图表:

9.3.1安全机构网络体系图。

9.3.2危险点和尘毒点分布图。

9.3.3公司内动力管线分布图。

9.3.4配电系统及接地线布置图;

9.3.5历年工伤事故频率图。

9.3.6工伤事故年度统计图。

9.3.7多发性事故及重大事故树形图。

9.3.8安全信息反馈图。

10、检查与考核

10.1本制度的执行情况列为公司安全工作经济承包任务考核内容,按年度进行检查与考核。

10.2经营部按制度检查与考核,综合评比各职能部门、分公司的安全信息管理工作。

劳保用品标准

第9篇火力发电厂安全性评价管理信息系统的设计

1. 引言

现代社会中，电力工业的安全生产对国民经济和人民生活有着举足轻重的影响，做好安全生产工作始终是发电企业的永恒主题。然而，由于我国电力工业的特点及人员、设备、管理以及环境等诸多方面的原因，目前在发电企业中普遍存在着许多不安全的因素，因此，为了提高反事故工作的可预见性和安全投资效益，达到对可能发生事故的超前控制、将各种事故消灭在隐患之中，用一种科学的方法分析、预测电力生产设备系统中可能发生的事故及其概率的高低，具有重要的意义。

安全性评价是一项目前国际上比较流行的一种对安全工作系统化、规范化、可操作性强的管理模式，它是对一个系统（大到一个企业，小到一个车间、一个班组、一项工程设计、一个工艺流程、一个装置或设备等）的安全性进行识别，并给出定性或定量的评价的工作，使用这种方法可以预见到系统客观上存在但尚未引发事故的各种危险因素，并对系统的安全性作出大致的评价。因此，搞好安全性评价对提高发电企业的安全生产工作水平，降低安全事故的发生率具有重要的意义。

现代社会是一个科学技术飞速发展的时代，特别是计算机科学的兴起，使我们的社会生活发生了巨大的变化，计算机以快速、高效的性能，改变了我们工作和生活的方方面面，把我们从繁重复杂的工作中解放出来，将安全性评价工作与计算机结合起来，将会给我们的安全性评价工作带来质的飞跃。

2. 系统目标

通过对用户需求和安全性评价管理业务的调查和分析,研究管理实施所需要的功能,系统应达到以下目标.

2.1 面向多用户

安全性评价是以各部门、各班组为基本单位进行的以群众性自查为主的工作,其管理和应用是面向多部门、多用户、同步性协作式方向发展，安全性评价的数据库结构复杂，数据量较大，同一数据用户比较多，如：在进行安全性评价登记的时候，全厂任何人都可以进行评价登记，因此建立具有数据共享机制的系统体系结构具有重要的意义。

2.2 业务功能完善

根据<<火力发电厂安全性评价>;>;（中国华北电力集团公司安全监察部编著）一书中的规定，在安全性评价管理软件的业务流程中需要系统具有能够填写该书中附录1-----附录5中的内容，并且应具有条件查询、结果分析、评价项目维护与注销、用户系统权限维护、填写记录自动生成、评价结果自动生成、报表输出等功能。

2.3 软件具有很强的适应性、可以满足不同电厂的需要

对于不同的电厂或电力企业，本系统应能适应其安全性评价工作的要求。

3.系统设计

3.1 client/server数据库运行模式

client/server体系结构是新型的计算机网络构造方法。在

client/server结构下，应用系统被分为前端（客户机部分）和后端（服务器部分）两个部分，client/server模式是指一个复杂的计算机应用任务被合理的分解为多个子任务，由服务器和客户机分别承担。合理有效的利用了客户机和服务器的资源：大大减少网络通信的负担，改善了系统运行的总体性能。客户机和服务器之间体现为服务请求/服务响应关系，即用数据库服务器完成数据处理的功能，而客户机完成应用事务的组织和人机界面的实现。

在client/server体系结构中，客户机的功能主要有管理用户接口、从用户接受数据、处理应用逻辑、产生数据库请求，向服务器发送数据请求、从服务器接受结果和格式化结果；服务器的功能是从客户机接受数据库请求、处理数据库请求、格式化结果并传送给客户机、执行完整性检查、提供并行访问控制、执行恢复、优化查寻和更新处理。

在面向多用户的系统环境中，数据库系统运行模式对数据的共享、并发性和一致性起着决定性作用，对系统的性能起着关键作用，而client/server体系结构在这方面有着明显的优势。所以，安全性评价管理信息系统采用client/server数据库运行模式。

3.2 数据库及开发工具

本系统采用powerdesigner来建立数据库模型，powerdesigner是sybase 公司的case工具集，使用它可以方便的对信息系统进行分析与设计，这个工具集包含了四个模块，覆盖了软件开发生命周期的各个阶段。采用powerdesigner可以方便的画出数据流图、实体关系图，得到系统完整的逻辑模型，并且利用它自身提供的接口可以实现由实体关系图向物理模型的自动转换，使设计人员可以在物理模型的基础上进行数据库的后台设计。如下所示的是利用powerdesigner为本系统建立的部分实体关系图，可以看出，通过使用 powerdesigner，可以形象的描述出本系统中需要处理的信息。图一

除了使用powerdesigner进行数据建模以外，系统采用powerbuilder7.0作为主要开发工具，powerbuilder7.0是一个面向对象的client/server开发工具，开发出的代码具有很强的可重用性，它提供了众多的描绘器用于创建和管理不同的对象，提供了丰富的对象、控件和函数，开发效率高，成本低，对数据库的应用开发有着特殊的支持，具有强大的数据库操作功能，用在开发客户应用程序时，这个程序首先建立一个与数据库的通信通道，然后将用户的需求以某种方式传送给数据库服务器，在应用程序接收到数据库服务器返回的数据后，它分析返回的数据并呈现给用户。而数据库服务器是一个存取数据和管理数据的软件，它针对客户的请求为客户提供数据服务，这些服务包括数据插入、修改和查询等。系统可选用oracle、sysbase、informix、sqlserver等目前流行的各种关系数据库，在蒲山发电运营中心安全性评价管理实例中我们采用oracle8i作为后台数据库服务器系统，oracle8i是一个功能极其强大和灵活的关系型数据库系统，适应于client/server数据库体系结构。

3.3 网络结构设计

数据库

服务器安全性评价管理信息系统是在局域网基础上建立的client/server体系结构，图二是以蒲山发电运营中心的局域网为例的网络示意图：

中心交换机

边缘交换机

光纤

客户端

客户端图二

主干网采用100m光纤进行连接，各部门、班组和控制室等通过hub（集线器）与主干网相连，网络协议采用tcp/ip协议。

4．系统开发

4.1 面向对象的开发方法

面向对象的程序设计在当今的应用程序开发中具有重要的地位，它相对于传统的开发方法而言，提高了程序开发的质量和速度，是一种建立在现实世界基础上的新的软件开发思维，代表了一种全新的程序设计思路和观察、表述、处理问题的方法，它力求符合人们日常自然的思维习惯，降低，分解问题的难度和复杂性，提高整个求解过程的可控制性、可监测性和可维护性，从而达到以较小的代价和较高的效率获得较满意效果的目的，在开发过程中，它强调的是系统开发的关键是来自对前端概念的理解而不是对后端方法的实现。只有当应用领域的固有的概念被识别、理解并构造清楚了，才能有效地设计系统的数据结构以及实现的功能。powerbuilder7.0是一个面向对象的开发工具，利用它可以开发出面向对象的windows应用程序，powerbuilder7.0在系统中具有封装性、继承性和多态性的特征。利用面向对象的方法可实现系统和人机交互界面的设计，数据管理的设计。powerbuilder7.0采用面向对象的方法开发应用程序的用户界面，充分利用windows的窗口资源，从而不仅使用户界面更加美观、简洁、易操作，而且提高了窗口的可重复利用性。

4.2 功能实现

根据对安全性评价需求的调查和对整个评价业务的研究，以及对整个安全评价管理信息系统操作流程的分析，系统应具有以下功能，如图三所示：

系统功能

查询功能

维护功能

填写与审核

辅助分析

自动生成

输出功能

图三

其中维护及填写与审核应能实现如图四、图五所示的功能：

系统维护

系统权限维护

系统数据维护

检查项目

评价结果项目

评价项目

操作权限

人员项目对应关系

图四

发现安全问题

填写安全评价发现问题及整改措施

利用历次的记录生成

上报

进行审核

审查合格

不合格，退回重新填写

记录可以进行自动生成

可以查看评价标准

利用填写的发现问题及整改措施生成查评扣分记录

直接填写

终结，打印最终结果

利用查评扣分记录自动生成或手动填写

填写查评扣分记录

可以查看评价标准填写评价结果明细总分自动生成

利用查评扣分记录自动生成或手动填写

填写安全评价总表

图五

4.2.1 维护功能

维护功能是安全性评价管理信息系统的一个特色，利用它可以维护所有在填写、查询等功能中用到的数据，这样就保证了整个系统在使用时候的可适应性以及灵活性。维护分为对系统数据的维护和对系统权限的维护。利用系统权限的维护，可以控制用户在整个系统中的访问权限，从而保证整个系统的安全性，利用系统数据的维护，可以对在整个系统中使用到的一些基本数据（比如：安全评价项目的维护）进行维护操作，包括填加、删除、注销等功能。如图六、图七所示：其中图六表示的是系统权限的维护，图七表示的是对系统数据的维护。

图六图七

4.2.2填写与审核功能

填写与审核在整个安全性评价系统中占有重要的地位，用户利用这个功能进行评价结果的填写与审核，最终生成最后的评价结果。在填写的时候，每个项目任何人都可以对其安全性进行评价，在评价的时候可以实时利用局域网的连接在数据库中查询别人已经填写过历次有关该项目的记录，对于某条或几条记录如果认为可以使用或在上面进行修改的话，可以利用生成按钮将这些记录直接生成过来。而在审核的时候，只能有特定的几个被赋予审核权限的人才可以进行操作。通过审核，生成最终的评价结果。在审核和评价的时候，为了对项目填写和审核的方便，把握评价的尺度，当点击某项目的时候，可以在这些窗口中随时查看到该项目评价的标准。如图八所示：该图表示的是填写时的情况

图八

4.2.3 查询功能

查询是安全性评价管理信息系统的一项重要的功能，也是作用最为显著的功能，根据用户的需求，它包括简单数据的查询和对评价结果综合分析的查询，按照查询手段的不同，它包括按照时间查询和包括时间查询在内的条件查询，各类查询还可以交叉进行，这是目前在安全性评价系统中作用发挥的最突出的部分，通过查询，用户可以对整个安全评价过程进行了解。如可以对整个安全评价最终结果进行查询，如图九所示：

图九

4.2.4 辅助分析功能

系统的辅助分析功能主要是对评价的最终结果进行分析，包括本次评分情况分析以及历次得分情况分析等，通过这个功能，可以使用户对全厂的整个安全情况有一个总体的认识，可以把握全厂的安全性情况走势。如图十所示：图十

4.2.5 数据的自动生成功能

由于安全性评价是一项群众性的安全自查活动，因此，为了服务于多用户的使用，提高进行评价登记时的效率，减轻登记人员的工作量，设计了数据的自动生成功能，利用这项功能，用户可以将历次评价中自己或别人所填写的内容生成到自己的填写表格中去。见4.2.3填写与审核中图。

4.2.6 输出功能

输出功能也是系统的一项重要功能，利用它，系统可以进行在安全评价中各种报表的输出，根据用户不同的要求，系统具有不同的输出形式，用户只需简单的操作，就可得到需要的输出结果。图十一所示的是附录四在打印时的情况：图十一

5．结束语

安全性评价是一门正在新兴的软科学，它使我们的安全管理工作从传统的经验管理走向了科学管理，使定量评价成为我们今后进行安全工作的一项重要的方法和手段，将计算机科学与其结合在一起，将使我们的安全性评价管理工作迈上一个台阶，大大提高我们的现代化安全管理水平。

第10篇 iso27000信息安全管理体系审核员工作职责与职位要求

职位描述：

工作职责：