第1篇 信息安全奖惩管理办法
1.目的
明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。
2.适用范围
本规范适用于深圳市**公司 (后续简称为公司)。
3.定义
序号
角色
职责
001
信息安全事件
指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效;或以前未知的与安全相关的情况;其中一、二级信息安全事件称为重大信息安全事件。
002
信息安全活动
为培养员工信息安全意识,提高公司整体安全水平而举办的活动,形式包括但不限于:考试、培训、宣传和自查。
4.职责与权限
序号
角色
职责
001
员工
遵守公司信息安全管理制度,积极配合、参与信息安全活动。
002
各部门信息安全接口人
协助公司信息安全管理制度、产品的宣传与培训工作;负责对部门信息安全问题进行汇总与反馈。
003
部门主管
是部门信息安全的直接责任人,负责监督和管理本部门员工的信息安全行为,并对潜在的信息安全风险进行预警,预防信息安全事件。
004
部门经理
作为部门信息安全的间接责任人,熟悉公司信息安全战略,并积极推动信息安全策略的落地执行。
005
部门副总
对所负责部门的信息安全事件负相应的管理责任。
006
it部信息安全组
对信息安全事件进行跟踪处理,并确定事件责任人。
007
董事会秘书
审核信息安全事件处理报告。
008
总经理
最终审批信息安全事件处罚申请。
009
人力资源部
依据公司财务制度对已审批的信息安全奖励/处罚报告执行经济奖励或者处罚措施。
010
法务部
配合it部信息安全组进行信息安全事件处理,对违反法律法规的信息安全责任人依法追究法律责任。
5.内容
5.1奖励、违规行为处罚原则
5.1.1及时激励原则
对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。
5.1.2举报保密原则
对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。
5.1.3违规行为处罚原则
5.1.3.1法律追究原则
公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。
5.1.3.2违规分级原则
根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。
5.1.3.3主动从宽原则
产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
5.1.3.4过度防卫处罚原则
对阻碍信息合理流动与共享的人员要给予处罚。
5.1.3.5及时处理原则
对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。
5.2 奖励等级与责任部门
5.2.1奖励等级与措施
奖励事迹
奖励等级
奖励措施
举报或者制止泄密、窃密或者其他严重损害公司利益事件的集体或者个人
一级
根据具体情况给予8000元集体奖励或者5000元个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
制止他人违规行为或者即时反映可能造成泄密、窃密或者其他重大安全隐患的个人,以及在信息安全方面做出表率或者突出贡献的集体
二级
根据具体情况集体奖5000元或者3000个人奖励;通报表扬(遵循“举报保密原则“淡化事迹并隐藏人员信息)。
在信息安全管理中做出贡献,反映信息安全隐患或者过度防卫被核实、提出信息安全合理化建议并被采纳的个人,以及在信息安全方面做出贡献的集体
三级
根据具体情况给予3000元集体奖励或者1000元个人奖励。
5.2.2奖励责任部门
1)对于满足信息安全奖励标准的集体或者个人,it部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;
2) 各部门信息安全接口人可自行组织对本部门优秀信息安全集体或者个人进行奖励。
5.3 违规等级与责任部门
5.3.1 违规等级与措施
违规事件
违规等级
处罚措施
盗窃、故意泄露公司保密信息的,或故意违反信息安全管理规定,性质严重造成重大影响或者风险
一级
1. 直接开除,永不录用;
2. 如违反法律法规由公司法务部移送公安机关处理;如给公司造成相关损失,须赔偿公司损失。
3. 全公司范围内通报处罚决定。
故意违反信息安全规定,性质严重;或者造成较大影响或较大风险
二级
1. 如给公司造成相关损失,须赔偿公司损失;
2. 担任公司管理岗位的人员,进行降职或者降薪处理;非公司管理岗位的人员,进行降薪处理;
3. 全公司范围内通报处罚决定。
过失违反信息安全管理规定,造成一定影响或者风险的;或者故意违反信息安全管理规定,但性质不严重且没有造成严重影响或风险
三级
1. 记入关键事件考评结果减10分或罚款500元;
2. 12个月内2次三级违规升级为1次二级违规。
3.部门内部通报处罚决定。
过失违反信息安全管理规定,性质较轻,且造成轻微影响或者风险
四级
1.记入关键事件考评结果减5分或罚款300元;
2.12个月内2次四级违规升级为1次三级违规;
3.部门内部通报处罚决定。
说明:
1) 信息安全管理规定包括公司各部门正式发布的信息安全管理制度;
2) 上表中“违规事件“的描述是定性的描述,是违规事件定级的参考原则。常见违规行为所适用违规等级具体参考附件1:《常见违规行为及其适用处罚等级举例》,其他违规行为所使用等级可参考举例进行认定。
5.3.2 责任判定
1)发生一、二级重大信息安全事件违规时,违规者直接上级和部门经理承担直接和间接责任,部门副总须承担连带管理责任,并按照《常见违规行为及其适用处罚等级举例v1.0》适用条款进行处罚;
2)对于三、四级信息安全违规,根据以下条件判断责任人直接上级是否连带处罚:
员工无意违规,且责任人领导未进行审批授权的,不进行连带处罚;
员工无意违规,但责任人领导进行包庇的,在事实确认的基础上,进行连带处罚;
若所管理部门一个月内发生2次(含)以上故意违规或者4次(含)以上无意违规事件,对直接上级进行连带处罚。
5.3.3 处罚责任部门
处罚等级
处罚责任人
批准
申诉
一级
总经理
/
人力资源部
二级
总经理
/
人力资源部
三级
部门分管副总
it部信息安全组
人力资源部
四级
部门分管副总
it部信息安全组
人力资源部
说明:
1)对于各类违规行为处罚应当慎重,应建立在客观事实的基础上给出处罚意见。根据违规行为性质、造成的损失和影响的大小,it部信息安全组有权要求对当事人加重或者减轻处罚;
2)发现可疑事件的组织作为事件调查和处理的责任部门。为了加快一级违规行为的处理进度,沟通时限和批准期限都是2天;
3)在违规事件处理过程中,it部信息安全组协助与监督处罚责任人完成处罚执行工作。处罚责任人或其授权人员要做好与违规员工的沟通工作。对违规处罚过程中出现的拖延、推诿行为,it部信息安全组可以行使否决权。
5.4.维护与解释
1)本规定发布之日起生效;
2)本规定由it部信息安全组至少每两年审视一次,根据审核结果修订标准并颁布执行;
3)本规定解释权归it部信息安全组。
6.相关文件
附件1:《常见违规行为及其适用处罚等级举例》
7.记录表格
无
第2篇 学校信息安全管理保密条例
学校校园网已投人正常使用,学校相关重要信息已联接到校园网上,为了加强这些系统的安全性,特制定《学校校园信息管理安全保密条例》以下简称本条例。
1、本条例适用对象为:各科、室、教研组信息员、系统管理员、校园网用户。
2、本条例适用范围为学校校园网所覆盖的范围。
3、系统管理人员安全保密职责:
(1)、严格做好本系统超级用户和普通用户口令的安全保密工作,不得随意泄露口令及有关内容。
(2)、根据学校机构和工作职能将用户划分为低级权限用户和高级权限用户。低级权限用户只能授予检索相关数据的权限,不能修改或删除任何数据;高级权限用户,可以进行相关数据的录入和修改工作。
(3)由系统管理人员设置登录站点限制,使得各信息员只能在指定网络站点上进行操作。
(4)系统管理员与操作人员进行协商,限制高级权限用户的登录时间,不允许非办公时间进行操作。如有特殊情况,应事先与系统管理人员联系后再上机进行操作。
(5)强制要求高级权限用户定期修改登录口令。
(6)设置登录口令输错次数限制,当有人试图猜测口令非法进入系统时,该用户将被封闭一段时间后再解除登录限制。
(7)定期备份关键数据。
4、编程人员开发软件注意事项:
(1)程序和数据库文件在不影响运行的情况下设为只读属性。
(2)将程序和数据分开,数据统一存到数据目录。
(3)设置中间过渡数据库,尽量避免对数据库的直接操作。
(4)将程序编译成执行文件,并将源文件旋转在安全目录中。
(5)管理系统中用到的批处理命令全部转换成可执行文件,增加安全的保密性。
5、应用人员安全保密职责:
(1)信息员的帐号和密码不得告知无关人员或由学生代为录入数据,泄密造成的后果自负并追究本人的责任。
(2)如平时经常更换口令,更换的口令最好不具有规律性,输人口令时注意安全保密性。
(3)只能对与本职责有关的子系统进行操作,不得进人其他子系统。
6。时时刻刻做好三防工作。严禁在校园网中心机房进行吸烟、打闹等有可能破坏设备的行为。网管中心每天必须有人值班,及时处理校园网用户疑难问题,以保证网络畅通。
7、未经允许,非工作人员严禁在网管中心机房出人。网管中心硬件软件财产必须定期登记、查收。
8.本条例监督部门为学校现代信息技术教育中心,有关人员应积极与中心工作人员配合,做好校园信息管理系统的安全保密工作。
第3篇 高校信息化安全管理方案范本
在高校信息化应用日益深化的今天,信息和资源的整合日益密切,如何保障信息系统的持续稳定运行,确保信息安全是亟待解决的关键问题。从调研显示,目前我国高校网络系统存在许多安全问题,如:非授权访问、破坏数据完整性、干扰系统正常运行和利用网络传播病毒等,产生这些安全问题的原因在于:没有建立完善的网络系统安全体系;没有建立相应的安全组织、管理、技术机构;没有建立完备的网络系统安全措施。
本文从高校信息系统的需求出发,遵从风险管理的理念,在信息化战略规划的基础上,借鉴国际最佳实践经验,研究并实施高校信息化安全管理体系,为高校信息安全管理工作提供借鉴和参考。
规划信息化安全管理体系
分层次建立安全管理制度和手段
信息化安全管理体系规划是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容,建立安全管理的组织管理机制,从管理和技术两个角度,分层次规划各环节的安全管理制度和技术防范手段,形成完整、可行的信息化安全管理体系。我们将高校信息化安全管理规划过程归纳为以下8个步骤:
1. 建立安全管理组织:安全管理组织的成员由机构的战略影响者组成,包括来自行政、it、业务、安全、保卫、风险和规划部门的人员。
2. 识别保护对象:识别学校目前的关注点、面临的风险及威胁,分析它们存在的原因,将分析结果纳入安全管理体系的规划中重点考虑。
3. 评估现有措施:了解学校目前的安全管理措施并评估它们的效力。
4. 考虑长期需要:安全整体规划应考虑长期的需要,具有一定的前瞻性,如长期的制度适应性、设备老化、安全人员的发展需要等。
5. 纳入学校的建设规划:了解学校新建项目,如办公楼、教学楼、停车场等项目,是否会影响现有的物理安全规划,如有影响,将安全规划纳入学校建设规划中通盘考虑。
6. 建立安全工作机制:形成文件化的制度体系和工作条例,明确各岗位的责任、应提供的服务和交付物,这些将有助于确保工作的落实和运作效率。
7. 应对新老技术的混合:新技术的规划应考虑对老技术的冲击,新老技术的融合运用将是一个挑战。
8. 关键设施重点布局:关键设施指校园中那些需要连续、可靠运行而又相互关联的复杂设施集合,这些设施的安全尤为重要,风险也最为突出。
体系框架的内容
上述的规划步骤从组织、管理和技术三方面较全面地考虑高校信息化安全管理的具体问题,有助于形成完整有效的信息化安全管理体系。图1是高校信息化安全管理体系整体框架,其中包括安全组织体系、安全管理体系和安全技术体系。
图1 高校信息化安全管理体系
1. 安全组织体系
它是确保信息安全工作贯彻和落实的基石,基本框架应包含决策、管理、运营和应用4个层次。决策层负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等;管理层负责信息化安全管理体系的实施、安全管理工作机制的研究制订、安全管理制度的贯彻和执行、日常安全管理的组织协调等;运营层具体负责机房、网络和服务器、数据库、信息系统的安全管理和维护;应用层即普通用户,职责包括严格按照系统操作手册正确使用信息系统,不得进行可能危害信息系统安全的操作,不得发布恶意信息等。
2. 安全管理体系
它是整个安全管理体系有效运作和持续改进的保障,应在实践中逐步实现规章制度的文件化、工作机制的程序化和监控手段的系统化,基本框架具体包括安全制度的建立、建设与运营工作条例的建立、应急响应机制的建立、审计与评审机制的建立、安全教育与培训。
3. 安全技术体系
该体系有力保障信息资源和应用系统免受外部攻击,基本框架由网络层安全技术、系统层安全技术和应用层安全技术构成。网络层安全技术包括防火墙、病毒防范、入侵检测、vpn等;系统层安全技术包括数据备份与恢复、数据库安全审计、应用系统监控、身份认证等;应用层安全技术包括权限管理、信息加密、桌面系统等。
信息化安全管理体系整改
上海财经大学经过多年的信息化建设,包括教学、学生、办公自动化、招生、人事、财务、公共数据平台、校园一卡通等一大批信息系统得到应用。随着应用的深化,系统中积累大量的业务数据和工作成果,这些信息对学校目前的管理乃至今后的发展都至关重要,因此,信息的安全问题也成为信息化工作的焦点。2023年起,在认真分析学校信息安全管理和技术两方面的问题和原因的基础上,学校从组织、管理、技术三方面入手进行一系列的整改,截至目前,已形成较为完善的组织体系、管理体系和技术体系。
完善信息安全管理的组织结构
2023年,学校对信息安全管理的组织结构进行重新梳理,形成包含决策、管理、维护和应用4 个层次在内的较为完善的网络信息系统安全管理组织机构,工作职责更加明确。上海财经大学网络信息系统安全管理组织机构如图2。
图2 财经大学网络信息系统安全管理组织机构
1. 决策层:在信息化领导小组的职能中明确信息系统的安全管理职能,由信息化领导小组统一规划、部署和统筹资源。
2. 管理层:组建安全工作小组作为信息化安全工作的执行机构,工作小组由信息化相关部门领导及专业技术人员和部分管理人员组成。
3. 运营层:完善系统运营各岗位人员的工作职责,包括机房管理员、网络及服务器管理员、数据库管理员和信息系统管理员。
4. 应用层:进一步明确应用层各院系、部门及用户的安全责任,与各院系、部门签订安全责任书,同时明确各院系、部门信息员的日常信息安全工作职责,使其成为信息安全工作的基础支持队伍。
形成文件化的信息安全整体策略
早在2008年,学校就着手组织制定《上海财经大学信息系统安全管理办法》、《上海财经大学信息系统建设管理办法》和《上海财经大学信息系统运行维护管理办法》,从场地与设施安全管理、设备安全管理、系统安全管理、信息安全管理、建设安全管理、运行维护安全管理和技术文档安全管理7 个方面详细制定安全管理规定,并明确系统建设和系统运维过程中相关人员的工作流程和操作规范,为全校的信息系统安全管理提供依据。
2023年至2023年,针对信息安全问题突发性强的特点,为建立健全应急工作机制,提高信息系统安全突发事件的组织指挥和应急处置能力,最大限度地减轻突发事件造成的损失,学校完成《上海财经大学信息系统安全应急预案》的制定,并在it部门建立起突发事件应急响应工作机制。与此同时,为加强日常防控来减少突发事件的发生,学校it部门制定《运行维护工作条例》对硬件维护、操作系统维护、数据库维护和应用系统维护的各个环节的工作流程和操作规程进行更加详细的规定,并在工作中增加安全监控、安全检测、安全策略优化、安全审计等环节加强对信息系统的安全防护。
2023年初,为明确和建立学校的信息安全策略,为各部门制定操作规范和开展安全工作提供指导,学校制定《上海财经大学网络信息系统安全管理整体方案》,从信息安全组织体系、管理体系和技术体系3个层次,详细描述管理策略以及技术手段。该方案的出台极大地推动it部门管理制度的完善和技术改进,同时也促进各院系、部门内部安全管理的强化和人员安全意识的提高。
强化安全管理
信息安全是一项长期的工作,必须将其纳入信息系统的日常管理中常抓不懈,防患于未然。信息系统质量的内涵,除了系统功能和性能满足业务要求外,与信息系统安全有关的系统安全性、可靠性、可用性也是系统质量控制的范畴。主要采取的管理措施如下:
1.增加建设过程中的评审环节
在项目设计、开发阶段成果接近完成时,由项目组会同相关业务部门共同组织技术评审,包括对系统安全性的审查。评审以项目前期形成的方案、文档及学校的相关标准和规范为依据,对该阶段形成的方案、技术文档及系统进行审查、确认等工作,并形成评审结论。
2.进行内部测试和第三方测试
在项目验收前,除了由项目内部和业务部门参与的集成测试外,聘请专业的第三方测试机构进行测试。
3.安全检测与审计双管齐下,全方位监控安全事件
对应用系统和服务器进行每三个月一次的定期安全检测,有效消除潜在的安全隐患;定期进行应用系统的安全审计、数据库的安全审计、服务器的安全审计、配置管理的安全审计等,避免越权操作及数据泄漏事件的发生。
4.建立突发事件应急响应机制
基于《上海财经大学信息安全应急预案》,建立突发事件的应急响应机制,落实信息系统的服务级别管理,实行应急预案演练制度,建立预案库,在突发事件发生后形成处置报告,分析原因,改进工作。
5.加强安全意识宣传与教育
我们可以面向全校师生员工组织一系列的信息安全宣传和教育活动,包括组织面向学生和教师的信息安全知识竞赛活动,开展信息安全意识培训等,提高人员的安全防范意识,发挥人在信息安全对策中的主体作用。
加强技术防范,构筑安全堡垒
系统的日常建设与运行管理中,我们通过构建自动化防控系统来加强系统的安全防范,为应用系统和用户构筑起坚实的安全堡垒,具体措施包括:
1.搭建版本控制系统,确保开发中源代码的安全
在程序开发的过程中,需要多人同时参加和协作,通过搭建版本控制系统,记录系统建设过程中相关文档和源代码的变更过程,防止代码意外丢失、被覆盖等情况的出现。
2.构建三套独立环境,保证正式环境安全
将系统开发环境、系统测试环境和正式系统进行分离,确保开发阶段和测试阶段的工作不影响正式系统的使用。
3.建立备份与恢复机制,保护系统建设成果
建立本地及异地数据备份及恢复规范及方案,研发数据统一管理与备份的相关程序,对系统建设过程中的成果进行及时备份,防止因为误操作或机器故障导致数据丢失,切实保证数据的安全。
4.防火墙与入侵监测,构筑网络屏障
在internet和校园网之间以及校园网和信息系统服务器之间架设两层防火墙,防止校内外用户对服务器的攻击;部署网络分析系统,实时监控网络流量、网络攻击和病毒传播,为网络安全事件的定位和取证提供支持;禁止从公网访问关键信息系统,用户需要通过vpn加密链路才能实现从校外访问关键信息系统。
5.漏洞扫描与日志分析,促进应用安全的不断提升
在应用系统层,我们采用系统日志分析平台对应用进行日志分析,捕捉和定位异常事件;定期对应用服务执行漏洞扫描,对出现的sql注入、跨站脚本攻击、网页非法篡改、强制访问等系统安全风险及时进行分析和整改。
6.主动式监控及时追踪问题
自主完成服务器软硬件运行状态监控系统的开发,实现对服务器运行状态及各信息系统状态进行主动监听和预警;建立统一日志服务器,对所有系统的日志进行集中管理和备份,确保问题发生时通过日志进行定位和追踪。
所谓“三分技术,七分管理”,信息化安全管理问题需要从管理和技术两方面考虑和解决,依靠有效的组织保障、规范的管理流程、安全可靠的系统工具及技术的支撑,才能达到“以较小的代价利用有限资源控制安全风险”的目标,更好地保证信息化建设和应用的成果。
第4篇 药品安全信息化管理暂行规定
推进药品经营企业信息化建设,运用信息化手段实现药品安全监管是贯彻落实科学监管理念的重要举措,也是药品经营企业提高管理水平和工作效率的重要途径。为进一步提升药品经营企业质量管理水平,促进信息技术在药品流通领域的应用,实施实时监控,根据国家食品药品监督管理局等上级部门规定,结合本县实际,现就全县药品经营企业实行信息化管理作如下规定,请遵照执行。
一、药品经营企业计算机管理系统建设
全县所有药品经营企业均应配置专用计算机,实现药品购销存信息化管理,保证药品质量可控可追溯。计算机设施和管理系统应符合以下要求:
1、具有独立的计算机管理信息系统,能覆盖企业内药品的购进、储存、销售以及经营和质量控制的全过程,保证药品购、销、存数量保持一致;能全面记录企业经营管理及实施《药品经营质量管理规范》方面的信息;符合《药品经营质量管理规范》对药品经营各环节的要求。
2、应配备能通过计算机自动开具载明药品名称、生产厂商、批号、数量、价格等内容的销售凭证设备,药店在销售药品时均应向购药者出具销售凭证。同时,应在店堂醒目处告示消费者有权索取药品销售凭证,使广大群众知道药品销售凭证开具有效凭证的规定,保障群众用药安全。
3、保证计算机系统的安全性。
(1)计算机系统自身安全,主要包括利用防毒、防火等软、硬件设备保障系统本身不易受破坏和干扰,保证其正常运行;同时,定期做好备份。
(2)计算机系统使用安全,主要包括系统操作人员权限的设定、分配应符合要求,能按照法律法规和岗位职责进行权限的分配,不会出现非本岗位的操作功能。
4、计算机系统数据信息能随时接受药品监管部门检查、查询、复制。
二、药品经营企业在线远程监管系统建设
1、应在营业场所内指定一台固定电话,报药品监管部门备案,确保通讯畅通,并保证在岗人员能随时接听来电。
2、以企业身份申请注册qq帐号,加入药品监管部门统一指定的qq群(群号202038542),由企业负责人负责管理,可委托药店从业人员操作,确保不因从业人员变动而影响正常登录使用;qq设置为自动登陆,在营业期间保持处于正常在线状态,指定专人负责接收发qq群内发布的各项通知、公告等信息。
3、配备网络视频设施,确保药品监管部门在巡查药师是否在岗等情况时能正常启用。
4、所有购进品种应及时上传至浙江省药品信用信息系统,并保证品种信息完整、准确、真实,为药品监管部门实行购进品种在线监管提供条件。
5、具备能与药品监管部门开展实时监控的数据接口,为药品监管部门对购销品种和温湿度在线监管提供条件。
三、其它规定事项
1、药品经营企业驻店药师需要请假或调整在岗排班表的,应提前以电子文档格式报送至药品监管部门指定的电子邮箱。
2、药品经营企业在实施药品安全信息化体系建设的表现情况与将企业信用等级评定挂钩。对于本规定的各事项履行不到位,尤其是药品购销存记录不及时输入电脑台帐、经营品种不及时上传至省局信用系统、不同步开具销售凭证的,将加大日常监督检查深度和频次,强化监督抽样的力度,降低信用等级,构成违法的,依法予以从重处理,并予以实名通报。
第5篇 绿谷集团计算机信息系统安全管理规定
第一章 总则
第一条 为了保护绿谷集团网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和网络用户的使用权益,制定本安全管理规定。
第二条 本管理规定所称的网络系统,是指由绿谷集团投资购买、由网络与信息中心负责维护和管理的网络节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为网络应用及服务的硬件、软件的集成系统。
第三条 绿谷网络系统的安全运行和系统设备管理维护工作由信息设计部负责。任何单位和个人,未经网络负责单位同意、不得擅自安装、拆卸或改变网络设备。
第四条 任何单位和个人、不得利用联网计算机从事危害绿谷网站及本地局域网服务器、工作站的活动,不得危害或侵入未授权的服务器、工作站。
第五条 任何单位和个人不得利用公司内部网和国际联网危害公司安全、泄露公司秘密,不得侵犯公司的利益,不得从事违法犯罪活动。
第二章安全保护运行
一、操作管理
第六条 除网络负责单位,其它单位或个人不得以任何方式对计算机信息网络功能及计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
第七条未经保管人允许,任何人不得擅自使用她人电脑;
第八条 任何单位和个人不得利用内部网国际联网制作、复制、查阅和传播下列信息:
1、捏造或者歪曲事实,散布谣言,扰乱公司秩序的;
2、宣扬淫秽、色情的;
3、公然侮辱她人或者捏造事实诽谤她人的;
4、损害公司形象的;
第九条 任何单位和个人不得将涉及公司秘密的计算机信息系统,直接或间接地与国际互联网或其它公共信息网络相联接;
第十条 任何单位和个人不得将公司秘密的信息,在国际联网的计算机信息系统中存储、处理、传递;
第十一条 任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播公司秘密信息;
第十二条 未经允许,任何单位和个人不得私自将计算机接入局域网;
第十三条 有密码功能的计算机要求设置密码;人员离开计算机后,要求退出系统并关机,或设计屏幕保护密码;
二、软件管理
第十四条 公司上网计算机操作软件必须由专人负责同一安装,任何单位和个人不得擅自安装其它软件;
第十五条 严禁在公司网络及计算机上使用来历不明、引发病毒传染的软件;
第十六条 严禁在公司网络及计算机上使用盗版软件;
三、文件管理
第十七条 重要文件必须及时备份;
第十八条 尽量减少文件共享,共享文件必须设置密码;
四、病毒管理
第十九条 每台计算机必须安装杀毒软件及防火墙;
第二十条 每台计算机必须定时查毒和升级杀毒软件,发现病毒立即上报信息设计部;
第二十一条 严禁故意制作、传播计算机病毒等破坏性程序;
第二十二条 严禁使用未经杀毒的软盘;
第二十三条 严禁未经杀毒拷贝文件,或将文件发送到其它客户机上;
第二十四条 严禁接受和发送未经杀毒的电子邮件;
第二十五条 新系统安装前必须进行病毒检测;
五、硬件管理
第二十五条 任何单位和个人不得以任何借口盗窃、破坏网络设施;
第二十六条 公司内从事施工、建设,不得危害计算机网络系统的安全;
第二十七条 除计算机维护人员,任何单位和个人不得随意拆卸所使用的计算机或相关设备;
第二十八条 计算机房间钥匙不得随意转借她人使用,做到人走锁门;
第二十九条 装有计算机房间内的电线必须按规定铺设,不得私拉乱接;
六、监督管理
第三十条 每台计算机由使用人负责日常维护及安全管理;
第三十一条 网络各类服务器中开设的帐户和口令为个人用户所拥有,信息设计部对用户口令保密,任何单位和个人不得随意提供这些信息。
第三十二条 各单位和用户,应当接受并配合信息设计部实施的监督检查,并根据信息设计部的要求,删除计算机及网上不符合规定的内容;
第三十三条 各部门和用户,发现违反规定情况时,应当立即向信息设计部报告;
第三十四条 负责部门必须定期检查安全情况,对网络上有害信息及时控制并删除,不得传播;
第三十五条 人员离岗离职必须到信息设计部登记,做好软硬件及帐号、密码交接工作;
第三章 违规责任与处罚
第三十六条 违反上述规定造成公司秘密泄漏、数据丢失、硬件损坏、病毒感染、对公司或她人造成不良影响者以及使用盗版软件者,根据具体情况追究当事人及其直接领导责任;
第四章 其她
第三十七条 本管理制度自公布之日起实行。
第6篇 工业企业安全信息及归档管理办法
工业公司安全信息及归档管理办法
1、主题内容与使用范围
本办法规定了安全信息管理体系、信息管理机构的职责、信息内容、处理程序、填报要求、归档及检查与考核。
本办法适用于我公司安全生产信息及档案管理。
2、引用文件
qjl424《安全生产管理通用表格》
3、术语
安全信息:国家和上级有关安全生产管理要求中所涉及的各种数据、报表、原始资料、档案和文件。
4、安全信息管理体系
4.1经营部是我公司安全信息归口管理单位,负责安全信息的收集、传递、处理、反馈、分析、汇总、贮存及归档工作。
4.2各基层单位安全员负责本单位安全信息的收集、传递、处理、反馈等工作。
5、各级信息管理人员的职责
5.1公司安全第一负责人对本公司安全信息系统的正常运转负责。
5.2主管安全副总经理负责组织协调公司安全信息管理工作,审批、下达公司安全信息调查、建档、统计任务。
5.3各单位安全第一负责人负责组织协调本单位安全信息管理工作,保证所下达的信息工作的正常进行。
6、安全信息内容
6.1 qjl424中所规定的内容。
6.2国家和上级有关安全生产监察规程所要求的数据、资料。
6.3各级安全部门为贯彻国家和上级有关安全生产规定而提出的统计、建档资料。
6.4上级有关安全生产的文件、法令及公司内各项安全规章制度。
6.5各单垃安全生产管理的信息包括:
a.重大安全事故和重大安全问题及需要上级或有关部门协调、紧急处理的安全问题。
b.工伤事故分析报告、安委会会议执行情况、安全检查情况、隐患整改情况、技措计划的实施情况、安全活动、安全教育培训、安全组织机构变动情况。
c.单位年度安全工作计划、目标、工作总结及其它有关情况。
d.与安全工作有关的原始记录、档案。
7、安全信息传递与处理
7.1在生产管理过程中,公司内各单位发现安全问题需反馈到总公司的,由发出信息单位以文字形式上报经营部。
7.2经营部接受基层的信息后,按信息内容,及时进行调查核实,提出处理意见,明确责任单位、反馈时间要求等,立即反馈给责任单位执行。
7.3责任单位负责按信息内容及经营部处理意见组织处理,将处理情况填写清楚,并按要求反馈给经营部。
7.4经营部负责信息存档工作。
8、安全信息填报要求
8.1提供的信息必须备有相应完整可靠的原始记录,随时为查询服务。
8.2提供的信息必须符合规定的格式,便于统计和贮存,通用表格如下:
8.2.1安全生产管理通用表格隐患类表格 见qjl424.3―88
8.2.2安全生产管理通用表格技措类表格 见qjl424.4―88
8.2.3安全生产管理通用表格奖惩类表格 见qjl424.5―88
8.2.4安全生产管理通用表格管理类表格 见qjl424.6―88
8.2.5安全生产管理通用表格有害作业类表格 见qjl424.7―88
8.3提供的信息必须在规定时间内传递完毕。
8.4提供的信息必须有填报人和单位领导审查签字。
9、安全信息资料归挡要求
9.1经营部建立七种安全管理档案和八种安全管理图表,并归档。
9.2七种安全管理档案:
9.2.1工伤事故档案。
9.2.2安全教育档案。
9.2.3安全奖惩档案。
9.2.4安全技术措施项目档案。
9.2.5特种设备档案(主要指吊车、压力容器、空压机等)。
9.2.6隐患及整改记录。
9.2.7违章记录。
9.3八种图表:
9.3.1安全机构网络体系图。
9.3.2危险点和尘毒点分布图。
9.3.3公司内动力管线分布图。
9.3.4配电系统及接地线布置图;
9.3.5历年工伤事故频率图。
9.3.6工伤事故年度统计图。
9.3.7多发性事故及重大事故树形图。
9.3.8安全信息反馈图。
10、检查与考核
10.1本制度的执行情况列为公司安全工作经济承包任务考核内容,按年度进行检查与考核。
10.2经营部按制度检查与考核,综合评比各职能部门、分公司的安全信息管理工作。
劳保用品标准
第7篇 谈输电网安全性评价信息管理工作
云南电网公司自1997年开始推行水电厂、火电厂和供电企业的安全性评价工作以来,积累了很多行之有效的工作方法。为了适应电网发展和云电外送对电网安全的需求,云南电网公司在2003年初开始进行输电网安全性评价的前期宣传、调研工作,并着手进行了输电网安全性评价信息管理系统的开发工作。
1 输电网安全性评价信息管理系统建设的必要性
(1) 安全性评价信息管理系统能实现现代化电网管理对输电网安全性评价的快捷性、准确性、实时性提出的更高要求。
(2) 输电网安全性评价是过程管理,这一过程管理要求循序渐进,评价、分析、评估、整改各阶段工作要形成严格闭环,每一轮评价都要建立在上一轮评价反馈信息的基础上。同时,输电网安全性评价又是动态的,包括评价内容要不断完善和更新,评价标准要不断修订,评价过程要不断推进,评价质量要不断提高等。采用信息管理系统才能适应输电网评价动态与发展的要求。
(3) 采用信息管理系统有利于提高输电网安全性评价的制度化、规范化管理,也是输电网安全性评价日常工作管理的需要,能达到实现输电网安全性评价长效管理的目的。
(4) 输电网安全性评价信息管理系统是实现输电网安全性评价企业自主管理的途径。通过信息系统能快速地实现自我找缺陷、自我找隐患、自我找问题,能主动、便捷、准确地获得电网安全性的信息,能及时采取加强电网安全的有力措施,以实现基于风险管理的长效过程管理。
(5) 输电网安全性评价信息管理系统可克服手工对评价信息进行记录、整理、上报所存在的弊端,如难以保证信息的及时性和准确性、不能充分利用评价信息、无法全面对其进行分析等。
2 输电网安全性评价信息管理系统的建设目标
输电网安全性评价信息管理系统的建设目标是,通过先进信息技术,改进效率较低的安全性评价手段,实现输电网安全性评价高效、准确、可靠的目的。将输电网安全性评价理论、执行流程与先进的计算机网络技术有机地结合起来,通过系统的开发,协助企业高效地完成层层自查、评价、整改、复查、统计、分析、上报、审核等工作,形成电网企业自我约束、自我发展的安全生产机制,使电网安全基础不断得到巩固,从而产生良好的安全经济效益。
3 输电网安全性评价信息管理系统应实现的功能
(1) 通过网络上报数据和远程报表传递,克服传统工作方式下跨部门协同工作带来的效率低下的缺点。采用系统进行报表处理,节省人力物力,保证评价信息的及时性和准确性。
(2) 提供通用的web数据库查询功能,使各电力企业可以快速地查询与输电网安全性评价工作相关的数据和标准,提高评价工作效率。
(3) 通过任务状态跟踪,为安监部门提供对基层单位任务进展状况查询的工具,保证评价项目的顺利进行。
(4) 对评价所形成的典型问题及整改建议采用专家知识库方式进行管理。
(5) 实现对评价发现问题的状态记录,确保发现问题能够得到及时处理。
(6) 实现输电网安全性评价数据在网络上随时可查,使得企业领导对企业的安全状态心中有数,并具体掌握本企业以及企业内部各方面、各系统安全基础的强弱程度。
4 安全性评价信息管理系统的实现方案
系统的开发采用目前较为流行、易于实现的browser/server架构方式实现。突出系统基于网络的异地协同工作模式,系统—模块化编码,易于将来的扩展以及兼容其它安全性评价系统。同时,结合移动设备(掌上电脑)的使用,实现掌上电脑与后台服务器的通信,达到现场查评数据电子保存、自动提交的目的。
4.1 系统主要功能模块设置
系统主要功能模块设置见图1。
4.2 评价任务管理模块
输电网安全性评价工作一般由企业自查、资料汇总分析、专家组查评、总结和布置整改4个任务组成。
评价任务管理模块功能即实现查评任务建立,任务相关描述信息(查评方式、要求、范围、时间等)的录入和保存,以及承担任务人员的分配。
4.3 评价内容管理模块
系统评价内容的设计将采用模块化,即实现对评价内容模板的新增、修改、删除功能,使评价内容成为动态可更新的标准信息,以适应相关评价标准的变化,使系统在尽可能长的时间范围内具有良好的实用性。
引入知识库管理功能,该项功能将已经过专家组查评并给出整改意见的典型问题入库,作为系统运行经验数据保存,以后查评中再次发现相同问题时,系统根据知识库信息提供标准问题描述以及专家整改意见,供参考。可避免重复性的工作,提高查评工作效率,并可进一步对典型问题出现频率进行分析,找出问题的内在联系,为分析提供有效的辅助工具。
4.4 评价项目评分模块
该模块提供安全性评价工作评分的功能,可以采用在线和移动2种方式进行。
在线评分:用户可以通过任何1台联网计算机的浏览器登录系统,将预先查评的结果录入系统。系统将其详细评分数据和结果保存,并将其任务提交给上级汇总分析。
移动评分:用户可以预先将需要的数据从服务器下载到掌上电脑中,携带至现场,通过移动评分程序完成现场查评工作。该程序可以在现场为工作人员提供相关查评标准的查询和历史查评数据的查阅功能,同时将现场查评结果保存。将其与桌面计算机连接后可以自动将查评结果传回到数据库服务器。
4.5 任务状态跟踪模块
安全性评价工作中安监部门需要时刻掌握评价项目协作部门的工作进展情况,以保证评价项目的顺利完成。该模块将对安监部门提供针对供电企业查评工作情况的查询功能,在系统中准确反映该企业查评工作已经完成了多少,发现了多少问题,使得评价项目协作部门的查评进度实时在系统中得到反映。
4.6 评价报表打印模块
该模块提供查评工作中所产生的报告的自动生成功能,用户在查评数据录入完成后可使用该功能自动生成报表。
4.7 评价人员管理模块
该模块实现与实际工作中一致的人员组织管理,实现网络下达任务、网络跟踪任务的人员配置。人员组织形式具体分为集团公司职能部门(地区供电局)、所队(分局)、基层班组3个层次。
5 输电网安全性评价信息管理系统的运用效果
2004年,云南电网公司在开展输电网安全性评价工作中运用了根据本企业查评流程开发的信息管理系统,数据的录入、上报和评价、整改任务的下达、监督都通过系统进行,使得工作效率和质量得到大大提高,在当年圆满完成了查评工作,按时完成了年度工作计划。目前,各单位的整改工作已结合年度计划在进行当中,其进展情况在系统中得到直观的监督。同时,为供电单位和电网规划、建设、改造工作提供了翔实的依据,为云南电网安全稳定水平的提高提供了决策的依据。
6 输电网安全性评价信息管理系统功能扩展设想
在开发输电网安全性评价管理系统的时候,由于采用了模块化设计,将来可继续集成安全性评价的其他系统,如供电企业安全性评价、调度机构安全性评价、并网发电厂并网运行安全性评价等平台的开发,从而最终完善整个安全性评价系统。
第8篇 搞好安全信息管理提高企业安全管理水平
安全信息管理是电力企业安全管理的重要组成部分,是指导安全生产和做出安全决策的重要依据,搞好企业内部安全信息管理对提高企业安全管理水平,预防、控制事故的发生,有着极其重要的作用。
1. 安全信息的分类
安全信息包括安全情报、资料、台帐、指令以及发生在生产现场的事故、障碍、异常、未遂、差错的具体行为等,它应反映出企业整个生产过程的基本安全情况,企业内部安全信息的获得可来自企业内部和外部,一般以企业内部的安全信息为主,采取内外结合的原则。
安全信息分类的目的是为了便于具体认识与运用安全信息去指导安全生产,提高安全管理水平,从而有效地预防和控制事故的发生。安全信息分类主要是根据安全信息的产生和作用来进行的,安全信息大体可分为3类:
(1) 安全指令信息。是指上级领导及管理部门下发的各种安全工作的文件、指令、要求、事故通报、安全生产简报、其他单位安全管理经验以及事故教训等信息。
(2) 安全动态信息。是指生产过程中的安全运行情况、安全规章制度的制定和落实情况;易燃易爆等危险品及现场设施防护完善状况;生产中出现的异常现象;现场作业工人的情绪以及工器具、设备的异常状态等多方面的安全动态信息。
(3) 安全反馈信息。是指能将在执行安全指令过程中发生的人的不安全行为、物的不安全状态以及环境的不安全因素等信息及时反馈到安全监督人员和相应决策部门,通过闭环控制、偏差管理,及时作出新的决策,制定新的防范措施。
2. 安全信息管理
安全信息管理要采用现代科学管理的理论和方法,应体现“及时、准确、适用”3个特性:
(1) 及时性——收集、传递、反馈、运用、处理安全信息要及时,错过收集和使用的时间,安全信息就失去应有的作用。如:对于在装设三相短路接地线时,没有用验电器在停电设备上验明确无电压,就直接在停电设备上装设接地线的违规行为,如果在生产中能及时发现并纠正,就能有效地控制、预防事故的发生,否则,就可能导致事故。
(2) 准确性——收集到的安全信息要真实、准确、完整,实事求是,不弄虚作假,否则就会影响安全信息的使用效果,甚至可能做出不符合实际的决策,贻误了安全管理工作。如:在电气倒闸操作过程中,没有使用操作票,原因是领导允许无票操作。在收集此信息时,如果只收集到无票进行电气倒闸操作的违章作业行为,而没有收集到领导违章指挥的事实,就不能使决策部门提出全面的整改措施,其结果是只解决了无票操作的违章作业问题,而没有解决领导的违章指挥问题。
(3) 适用性——安全信息的使用价值因人们的需求和使用的时间、方式、对象、地点不同而不同。只有适用的安全信息,才能促进安全管理工作,才能充分发挥安全信息的作用。如:在学习兄弟单位安全管理经验时,不结合本企业的安全生产实际情况,生搬硬套,就不可能充分发挥安全信息的作用。
一个企业安全工作的好坏,在一定程度上取决于企业对安全信息的收集、处理和利用的状况。企业的安全信息管理应该通过收集、分析、管理、处理、传递等环节形成一个自上而下、自下而上的高效、流通的闭环反馈系统。只有这样,才能够使领导全面准确地掌握安全信息,作出符合实际的决策,然后,再下达给基层,指导生产一线的安全管理。
3. 安全信息管理的基本环节
(1) 建立安全信息管理制度。从制度上保证安全信息在企业中的流通,把安全信息管理工作纳入议事日程中,在讨论研究安全工作时,应讨论研究安全信息的应用管理工作,解决安全工作中存在的问题,保证安全信息所具有的作用在安全管理中得到充分发挥。
(2) 建立安全信息管理网。通过安全信息管理网及时传达有关安全生产的法规和方针政策,了解兄弟单位及本企业的安全生产动态,并将重要的安全信息及时、准确地传送到信息管理网,实现资源共享,提高工作效率。
(3) 落实安全信息管理责任制。安全信息要分级管理,分工明确,责任到人,提高安全信息的利用率,保证安全信息正常运转,保证安全信息管理得力、有效。
(4) 加强班组安全信息收集。班组是企业最小的基层单位,又是安全信息的重要来源。加强班组信息管理是搞好信息收集和反馈的重要环节。
(5) 加强信息档案工作。安全信息建档资料是企业宝贵的财富,它可以帮助人们了解企业安全生产的状况,及时作出正确决策,掌握安全生产主动权,对提高安全管理水平,预防、控制事故的发生有着重要的作用。
第9篇 信息系统密码安全管理办法
1.1制定目的
(1) 规范公司信息系统密码管理。
(2) 确保网络安全运行,保护信息系统、服务器不受侵害。
1.2适用范围
凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。
1.3权责单位
(1) 信息科负责本办法制定、修改、废止之起草工作。
(2) 总经理负责本办法、修改、废止之核准。
2 信息系统密码安全管理办法
(1) 服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。
(2) 如果用户密码忘记,需用户本人亲自申请恢复密码。
(3) 拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。
(4) 服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。
(5) 服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。 密码类型 密码长度 更换时间 服务器超级用户密码 大于10位 两个月更换一次 数据库超级用户密码 大于10位 设置好后不做更换 系统管理员密码 大于6位 一个月更换一次 ftp及防火墙等管理员密码 大于6位 一个月更换一次
(6) 机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。
2022-2-1
第10篇 煤矿安全信息闭环管理系统体系办法
林场煤矿安全信息运行闭环管理是全矿安全隐患管理的关键,其运行质量如何直接影响着矿井安全隐患管理水平得高低。为进一步规范和完善我矿的安全信息运行管理系统,夯实我矿安全管理基础,提高我矿安全管理水平,保证我矿安全生产长治久安,特制定本管理制度。
一、 运行程序:
安全信息运行必须遵守以下五个程序,即:检查→填卡→筛选处理和通知→整改反馈→复查
二、 具体要求:
(一)、检查:
1、矿属各级安全管理、检查人员到现场后,要对现场的安全隐患进行全面的检查、识别、评价。
2、对发现的“三违”要立即制止并按有关规定处罚。
3、对查出的、可对现场施工人员直接构成威胁的安全隐患:
(1)、能现场处理的,必须立即采取措施组织现场人员处理解决。
(2)、不能现场处理而又不能保证现场施工安全的,必须立即责令其停止作业并汇报调度室,由调度员及时汇报矿分管领导采取措施组织处理。在隐患没有得到解决之前,不准进入作业。
(3)、不能现场解决,暂时又不会对现场人员造成伤害的,要提出整改意见并作好准确记录,由现场负责人签字,上井后按要求到矿安全信息中心填写信息卡,限期解决。
(4)、对现场检查不认真,该查出的隐患没查出,该制止的“三违”不制止,一经发现,将给予20至50元罚款。若在其检查过的路线内24小时内发生事故,经分析认定检查人员有责任的,将给予严肃处理。
(二)填卡:凡进行安全检查的矿属各级干部和各类安全监察人员,必须到矿调度室即安全信息中心平台,按照要求填写记录簿。填写时要详细填写:
1、检查人的单位、姓名、同行人、年、月、日、班次、详细经过路线。
2、所查隐患的单位、地点或工程名称、隐患的具体内容、整改意见、是否整改、接受指令人的姓名等,内容不得少于两条。
3、大检查和陪同上级领导的检查同行人员可填写同一张卡上,正常检查一律要求一人一卡。填写要符合有关质量标准化要求。对填卡不认真,经信息中心平台信息员筛选不合格的填卡人将给予每条10元罚款、通知重新填卡并通报批评。
(三)筛选处理和通知:
安全信息中心平台信息员对安全信息卡要进行认真筛选处理:
1、 检查鉴定信息卡是否合格并做好标记,对填写不认真、字迹潦草、内容不清楚的不合格卡进行处罚并通知其本人重填。
2、 对筛选出的安全隐患要登记做好台帐,同时一式三份填写隐患整改通知单,于当班将通知单通知到责任单位值班人员,并按照贯彻要求让被通知单位的人员在通知单第一联上签字。
3、对确需矿领导平衡处理的,另行填写安监人员意见书,报矿分管领导,由矿领导在意见书上签署意见后,将意见书下达到有关责任单位整改。
4、筛选出的不危机现场安全的问题,用电话通知有关单位的人员加强注意和改正,并在卡上记录通知人、接收人及时间。
(四)整改和反馈:
1、责任单位值班人员接到隐患整改通知后,除由兼职信息员将隐患登记做好台帐外,要根据整改意见采取措施,安排人员负责处理。对重要隐患,要立即交单位负责人根据整改意见,制定专门措施,安排专人负责处理。
2、在解决过程中要严格按章作业,保证人员安全。
3、整改单位在接到整改通知单的第二天,要在现场隐患反馈单上认真填写:接到整改指令人、整改人、整改时间、填表人、由单位负责人签字后,及时传递反馈到安全信息中心。
4、反馈单的填写要符合所有体系贯标的要求。
5、对不能在限期内整改完的,要在反馈单上详细说明原因,必要时应有业务科室及分管矿领导签字认可。
6、对电话通知的问题应详细记录接整改指令人、整改人、整改时间和结果。
7、对不按要求整改、签字、将给予50元的罚款。
(五)复查
由安全科组织安全小分队或小班安检员进行复查并记录。对经复查,发现有签字已整改而现场未整改的弄虚作假现象,对整改负责人和单位负责人分别给予每条罚款100元,对单位每条加罚100元,并通报批评、责令立即整改,重新下达隐患整改通知单,纳入新的信息运行系统。
同时,对电话通知,信息反馈已整改的问题,要实行抽查制度,具体每天由信息主任筛选确定安排复查。
三、 统计、通报、处罚:
信息主任(1)每天对信息员执行制度的质量情况进行检查,重点检查是否有该通知而未通知,该下卡而未下卡的情况,一经发现应视其情节给予批评教育、罚款20--50元,督促指导信息员做好信息运行工作。
(2)每周对信息运行情况进行统计,形成统计报表。由安全科在周一安全办公会上通报各单位隐患整改情况;对未按要求整改的责任单位和责任人给予通报批评、处罚和考核扣分。
四、信息沟通、反馈及争议处理:
为及时发现和纠正信息的失实和不足,有效解决安全生产过程中存在的各类问题,消除事故隐患,消除误解和争议,消除错罚和误法给安全工作带来的负面影响,安全科将罚款通知、意见反馈及争议处理过程作修改补充后规定如下:
1、 安全科信息中心三班信息员每班将罚款的事由和罚款金额,用电话通知道有关单位,并作好记录。
2、信息中心每日下达一份各类问题及书面通知单,由信息员按早、中、夜三班顺序将一个圆班的各类问题和罚款金额,分单位填写在书面通知单上。由区队信息员每日上午9:00前将通知单领回本单位。区队信息员在领取通知单时,要在通知单领取登记簿上签字。
3、单位值班人员和主要领导在接到书面通知单后,对存有异议的罚款,应首先通过安全信息中心查询检查人员,在全面调查和了解的基础上,应及时办好书面说明,检查当事人及单位主要领导签字后由单位信息员在当天下午17:00前,报到安全科信息中心。由安全矿长安排有关科室和有关人员进行调查分析、再次核实,由安全矿长根据调查结果研究相应的处理意见。
4、有关单位接到电话通知后,值班人员要做好记录,并安排信息员到信息中心及时领回通知,对有争议的罚款问题,要及时调查并以书面的形式报安全科。否则,因自身原因未能及时将问题反映到安全科,造成无法调查的,后果由单位自己承担。
5、各单位主要领导要高度重视此项工作,对偏听当事人一面之词,不作全面详细了解或明知当事人有错,不做思想工作,而把矛盾上交,放任当事人胡搅蛮缠,扰乱正常工作的,对当事人加倍处罚并升级考核处理,同时对其单位党政领导给予通报批评和罚款。
五、评价与提高
安全科严格安全信息运行闭合管理系统进行检查评价,不断总结、学习、创新、完善和提高,使安全信息闭合管理系统保持严密、科学、适用。
职工业余安全学习培训考试制度
为认真贯彻执行《安全生产法》,加强对我矿职工安全生产教育和培训,提高职工安全生产意识,保证职工具备必要的安全生产知识,熟悉相应的安全生产规章制度和安全操作规程,真正掌握安全操作技能和预防事故的实际能力,逐步向“本质安全型”员工转变,从而最大限度地防止和减少生产安全事故的发生,保障职工群众生命和财产安全,促进矿井经济正常发展。特制定本制度,具体如下:
矿成立业余安全学习培训考试领导小组:
组长:李建国
副组长:沈远东、陈万峰、朱学金、赵书东、王永涛、司继江、孙立民
成员:各科室、工区负责人及各分管负责人
领导小组下设办公室,办公室设在安全科,孙立民任办公室主任,具体负责制定林场煤矿安全学习培训计划及业务考核工作。
一、 学习培训人员范围:
全矿各科室、区队的各级管理人员和职工。
二、 学习内容:
《煤矿安全规程》、各单位对应的《煤矿作业规程》、各工种对应的《煤矿操作规程》、《安全生产法》、《林场煤矿岗位安全生产责任制》、安全管理制度、隐患识别的方法、事故案例等。
三、 学习组织的形式:
1、 各单位根据矿的需要,结合本单位实际,制定出本单位每月、每周的详细安全学习计划,于每月5号前书面报到安全科。
2、 利用班前班后会、周五安全活动等时间组织业余培训,由单位主要管理人员主持,技术人员讲课。采取每日一题的形式每周不少于5题,5天学习,1天复习,1天考试。对部分综合安全素质差的职工,单位应安排人员进行重点指导、帮助,单位应做好备课教案,职工要认真做好学习记录,以备检查。
四、 考试形式:
(一)、单位自考:各单位在学习培训的基础上,每周组织自考,考试应以书面为主,对个别确实不会书写的也可采用口头考试形式,但必须记录真实。单位要保存好试卷和考试成绩备查。
(二)、矿抽查、考试:
1、每周由安全科牵头,有关部门参加,根据规定进行抽查各单位制度执行情况。
2、每月矿安全科根据各单位报送的学习计划内容,组织对有关单位进行抽查考试,重点对班组长、安全不放心人员(素质差、技能低、违章人员)等进行考试,对考试不合格的,一律不得安排上岗作业,由安全科书面通知其单位组织待岗培训,直至合格方可返岗工作。
3、对各单位、各部门的管理人员采用不定期书面或口头抽查考试的方法。
4、对各科室、区队单位职工的考试:
(1)、井下区队单位采用每月组织集中书面考试和井上下现场动态口头抽查相结合的方式。
(2)、地面单位根据各工种分类情况,由安全科具体组织书面抽查或现场口头抽查的方式。
五、考核奖罚办法:
根据工作性质结合专业特点,将井上下单位分成若干类后分别比较考核奖罚,具体为:
1、 每季度将各区队单位职工的考试成绩分别实行奖罚制度,奖罚资金平均三级落实三大员。每月公布考核兑现结果。
2、 对单位管理人员的考试成绩,以平均分为标准,超奖少罚,每分10元。
全矿各单位,各部门要根据矿上的统一安排和部署,结合本单位的实际情况,制定出详细严密的年度业余安全学习培训计划,充分利用班前班后会、周五安全活动等时间,组织本单位的职工系统学习、培训考试,真正达到提高本单位职工的安全生产意识,养成遵章作业、按章操作的严谨作风,掌握安全操作技能和预防事故实际能力的目的,为提高我矿全员的综合安全素质打下坚实的基础。
第11篇 信息安全事件管理程序范本
1 目的
为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于***业务信息安全事件的管理。
3 职责
3.1 信息安全管理流程负责人
确定信息安全目标和方针;
确定信息安全管理组织架构、角色和职责划分;
负责信息安全小组之间的协调,内部和外部的沟通;
负责信息安全评审的相关事宜;
3.2 信息安全日常管理员
负责制定组织中的安全策略;
组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施;
编写风险改进计划;
3.3 信息安全管理技术责任人
负责信息安全日常监控;
信息安全风险评估;
确定信息安全控制措施;
响应并处理安全事件。
4 工作程序
4.1 信息安全事件定义与分类
信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。
造成下列影响(后果)之一的,均为一般信息安全事件。
a) ***秘密泄露;
b) 导致业务中断两小时以上;
c) 造成信息资产损失的火灾;
d) 损失在一万元人民币(含)以上的故障/事件。
造成下列影响(后果)之一的,属于重大信息安全事件。
a) 组织机密泄露;
b) 导致业务中断十小时以上;
c) 造成机房设备毁灭的火灾;
d) 损失在十万元人民币(含)以上的故障/事件。
4.2 信息安全事件管理流程
由信息安全管理负责人组织相关的运维技术人员根据***对信息安全的要求,确认代码管理相关信息系统的安全需求;
对代码管理相关信息系统进行信息安全风险评估,预测风险类型、风险发生的可能性、风险级别、潜在的业务影响,形成信息安全风险评估报告;
由信息安全日常管理员组织相关技术人员根据对根据风险评估的结果以及服务级别协议的安全需求,提出现阶段的安全改进建议,并提交至信息安全管理负责人进行评估;若同意执行安全改进建议,则在变更管理的控制下实施安全建议;
信息安全日常管理员根据安全改进之后的信息系统安全现状提出具体的安全控制措施,形成风险处置计划;
根据风险处置计划,实施信息安全控制措施,尽可能的降低信息和业务风险;
监视信息系统的活动并识别反常的活动和安全事件,并记录下来,做初步的响应和处理;评估安全漏洞和不符合安全要求的任何情况,并采取必要的纠正措施;
对发现的或已发生的信息安全事件,按照信息安全事件响应程序进行处理;
每年一次或在发生重大信息安全事件时进行信息安全评审,分析信息安全事件的显现趋势、信息安全管理的改进等信息,并形成风险改进计划,持续改进信息系统安全。
4.3 信息安全事件事后处理措施
对于一般信息安全事件,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件报告》,报信息安全管理者代表批准;对于重大信息安全事件的处理意见还应上报信息安全管理委员会讨论通过。
对于违反组织信息安全方针、程序安全规章所造成的信息安全事件责任者依据以下措施予以惩戒。
处罚方式:
一般安全事故,根据所造成的经济损失,由***办公室通过邮件发出正式严重警告。
一年内累计出现三次或三次以上的一般安全事故,报***领导批准后进行相应惩罚,并在***进行通报批评。
造成重大安全事故的,***有权将责任人调离原工作岗并给予相应惩罚。
一年内累计出现二次或二次以上的重大安全事故,***有权解除劳动合同并依法追究法律责任。
如果属于故意行为导致信息安全事故,***有权解除劳动合同并依法追究法律责任。
对于信息安全事故责任人的处理结果由处理部门在***范围内予以通报。
负有信息安全事故处罚的各职能部门在确定实施处罚后,***室与被处罚部门沟通,确认责任者及处罚方式并上报***领导。
信息安全管理职能部门要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件报告》。
由信息安全管理职能部门对实施情况进行跟踪验证,验证结果记入《信息安全事件报告》。
4.4 报告信息安全薄弱点与预防措施
***与信息安全管理有关的所有员工发现信息安全薄弱点或潜在威胁均应履行报告义务。
对以下行为应给予奖励:
及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
及时发现并制止系统操作问题以避免设备重大损失或人员死亡的;
及时制止或报告泄露商业机密的事件以避免***重大经济损失或及时中止正在进行中的商业泄密行为的;
在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式如下:
根据防止一般安全事故发生、一年内防止一般安全事故发生三次或三次以上、防止造成重大安全事故、及时中止正在进行中的商业泄密行为、提出信息安全合理化建议等级别,报请***批准后,给予相应表扬或奖励,并作为年底工作考核依据。
发现信息安全事故、薄弱点与故障的员工填写《一般信息安全事件/薄弱点报告》,相关的代码管理中心及信息安全实验室进行调查后,确定是否采取预防措施,确认责任部门并实施。
5 相关文件
6 相关记录
第12篇 信息化安全管理
信息化安全管理包括机房管理和服务器管理两部分。机房、服务器的日常维护、操作都应有专门的信息管理人员负责,未经信息部门许可其他人员不得对随意进出机房、操作服务器。机房管理人员负责机房的日常检修、事故排查;
服务器管理员负责服务器的安装调试、例行维护、日常检查等工作。
炎炎夏日,尤其注意机房内线路排查,做好防火工作,服务器数据备份和系统备份。
一、机房安全管理
1.1 机房严格执行门禁制度,未经信息部门允许,任何人不得擅自进入;
1.2 机房内禁止堆放杂物,保证设备和办公桌面清洁、卫生、整齐;
1.3 机房内禁止存放易燃易爆品;设备设施周围及上方不得堆放物品,特别是液体物品;
1.4 机房内电气设备、供电线路必须由专职电工按规范安装;
1.5 机房内禁止乱拉临时电源线;
1.6 机房内的各类保险丝必须使用符合规定的保险丝,严禁使用铜、铁、铝线代替;
1.7 长期使用的电器设备应对其发热情况进行检查,避免发生火灾;
1.8 严格明火管理。明火作业必须有相关部门批准、核发“动火证”后方可施做;
1.9 规范配备灭火器材,定期进行消防报警设施试验,严禁使用其他物品将烟感包裹,禁止吸烟;
1.10 禁止携带食品进入机房,并定期灭鼠;
1.11 机房内温度和湿度严格控制在:温度:18-25℃,相对湿度:60%—80%;
1.12 机房值班人员要坚守岗位,早进入、晚离开时要检查设备情况,上班时密切监视网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗位。下班时,要做好交接班记录,要对所有计算机的电源进行细致的检查,该关的要切断电源,离开时察看灯、门、窗、锁是否关闭好。双休日、节假日,要有专人值班,检查网络运行情况,如发现问题应及时解决,并做好记录处理,解决不了的要及时报告;
1.13 不得随意合闸拉闸,不得同意不得擅自对程控交换机、核心交换机、路由器、服务器等设备设施进行停、断电;
1.14 员工负责设备设施性能测试,及时排除故障,下班前必须做全面检查,不留安全隐患;
1.15 机房内所有设备设施维护工作必须在计划内完成;计划外操作必须得到同意;
1.16 不得利用职务之便拨打与工作无关的外线电话;
1.17 未经批准,不得擅自关闭、重启各系统服务器、接口机;
1.18 未经批准,不得随意开关外线;
1.19 如遇紧急情况和突发事件必须在第一时间内通知主管人员;
二、服务器安全管理
1.1 物理环境要求
1.1.1 服务器须放置在机房或具备服务器运行相关条件的空间内。
1.1.2 系统管理员应在每季度末对服务器进行一次硬件检测和除尘工作,并填写《服务器硬件检测记录单》(附录a)。
1.2 软件环境要求
1.2.1 无特殊情况,服务器要关闭网络文件与打印服务、qos、终端服务、授权服务、site server ils服务、消息队列服务(msmq)、远程存储、证书服务等其他暂时不用的服务。
1.2.2 服务器操作系统需设置安全策略,策略设定后要进行有效性检查,确保有效执行。
1.2.3 服务器应禁用匿名/默认账户或严格限制访问权限。
1.2.4 为了保证该服务器的运行效能和安全,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括office等。
1.2.5 服务器上至少要设置两个以上(含两个)的逻辑卷。
1.2.6 服务器严禁安装游戏、聊天工具等与系统运行无关的程序及文件。
1.3 服务器开关机
1.3.1 各单位系统管理员负责服务器的开关机操作,操作完成后填写《服务器开关机记录表》(附录b)。
1.3.2 除安装调试或者例行维护外,服务器不得频繁开关机。服务器维护应安排在非工作时间段进行。
1.3.3 服务器在出现严重故障非重起不能解决时,系统管理员应及时通知服务器用户,在用户保存完正在操作的数据后方可中断数据库连接并进行重起操作。
1.4 日志管理
1.4.1 系统管理员应在每周末检查服务器的“事务日志”,发现有“严重错误”的,必须立即检查并排除故障,服务器所有日志在得到“事务已经满”提示的情况下,必须立即备份到制定目录下,事务日志备份完毕应立即清空。
1.4.2 服务器日志至少保留半年,只允许授权用户访问,且不能进行修改。
1.5 磁盘检查
1.5.1 系统管理员应在每周末检查服务器的磁盘情况,如果发现磁盘的使用容量超过70%以上时,应及时删除不必要的文件腾出磁盘空间,必要时申购新的磁盘。
1.5.2 服务器外出维修时系统管理员必须删除磁盘数据。
1.5.3 系统管理员在每月末对服务器进行磁盘碎片整理工作。
1.6 病毒和补丁管理
1.6.1 为保障服务器性能,工作时间段内一般不进行查杀病毒和安装补丁的操作。
1.6.2 每日22:00设置服务器自行查杀病毒。
1.6.3 服务器杀毒软件的病毒库应设置为自动更新。
1.6.4 在得知有重大病毒流行时应立即确认病毒库是否为最新且是否有效防护,如果病毒库不能有效防护应下载相关专杀工具或进行相关技术处理。
1.6.5 系统管理员应在每月末登陆操作系统厂商网站查看是否有最新的更新通知,在得知有最新的安全漏洞时,应下载经测试后在非工作时间段内安装补丁。对于重大的安全漏洞应第一时间进行更新。
1.7 故障管理
1.7.1 服务器的故障包括:软件故障,硬件故障,入侵与攻击,其他不可预料的未知故障等。应建立服务器故障记录,当出现服务器故障,系统管理员对故障现象及解决过程进行详细记录,填写《服务器故障处理记录单》(附录c)
1.7.2 当服务器出现硬件故障时,系统管理员应立即通知服务器厂商,并督促和配合厂商工作人员尽快维修或更换相关配件。
1.7.3 对于不能尽快处理的故障,系统管理员应立即通过电话通知上级主管领导,并保护好故障现场。
1.8 相关记录文档
1.8.1 《服务器硬件检测记录单》 保存期3年
1.8.2 《服务器开关记录表》 保存期3年
1.8.3 《服务器故障处理记录单》 保存期3年