第1篇 安全信息管理规定
1 总则:
1.1 为加强公司的安全监督管理,使安全信息管理工作制度化和规范化,保证安全信息的及时性、准确性和完整性,根据国家有关法律、法规、规程和南方电网公司《电业生产安全信息管理暂行规定》、云南电网公司《电业安全信息管理规定》,特制定本管理办法。
1.2 本办法所指的安全信息是指公司安全生产、交通和消防安全状况,包括安全事件、事故、障碍等涉及事故定性报表内容以及工作动态方面的信息,还包括安全会议、活动要求的相关信息。
1.3 本办法适用于本公司
1.4 安全信息应当本着分级报送、归口管理、资源共享的原则,在收集、统计、报告过程中要切实做到实事求是,报告内容准确、完整,为公司持续改进安全生产管理工作提供科学依据,严禁漏报、虚报、瞒报。
1.5 本规定所涉及的事故(障碍)的定义、等级划分、责任归属和事故调查的组织、程序等,严格按照南方电网公司颁发的《电力生产事故调查规程》的规定及其条文解释执行。
1.6 公司安全管理部门是公司安全信息的归口管理部门,负责审核、汇总、分析和公布各类安全信息,综合分析和预测公司的安全形势,编写公司安全情况报告(通报、快报、简报)。
1.7 公司各单位安全管理部门是所在单位的安全信息归口管理部门,负责收集、汇总、分析各类安全信息,并经分管领导审核后上报。
1.8 公司各单位应结合实际情况配备兼职安全信息管理人员,并为安全信息管理人员收集、编辑、报送信息提供必要条件。
1.9 各单位应对安全信息管理制度进行细化,针对各单位的实际情况制定相关规定,逐步理顺并优化信息收集、筛选、整理、编辑、报送等环节的关系,加强对信息工作管理。
2 安全信息报告、报送管理:
2.1 各职能部门的安全信息由各单位以书面、电子邮件、办公自动化等形式上报公司安全管理部门。
2.2 各项目部安全信息由承担施工任务的单位收集、汇总、整理后报送安全管理处,对于安全管理处直接要求项目部上报的信息,则由项目部直接报送安全管理部门。
2.3 安全生产突发事件(主要是指一些已危及或影响人身、设备安全的事件:如地震、洪水、泥石流等自然灾害和其他不可预见的事件,以下简称“突发事件”)及安全生产事故(施工生产人身重伤及以上、重大及以上电网和设备事故、重大及以上交通事故、重大及以上火灾事故、误操作事故等)的报告,应在对事故情况有所了解的前提下立即报告。
2.4 快速报告:发生突发事件及安全生产事故时,事故单位在立即组织事故处理或施救的同时,应及时向公司有关领导和部门进行快速报告。
2.4.1发生严重的突发事件,导致人身伤亡、设备损坏或其他情况的,应立即向安全管理部门报告,有人员死亡的还应向当地公安部门报告。
第2篇 信息技术有限公司人员信息安全管理规定
____信息技术有限公司
人员信息安全管理规定
第一章总则
第一条本规定旨在加强____信息技术有限公司的人员信息安全管理,要求公司员工知晓和理解公司信息安全管理相关规
定,承担并切实履行本岗位相应的信息安全职责。
本规定
中还明确了员工入职、转岗、离职各环节的信息安全具体
管理要求,确保公司人员信息安全策略目标的实现。
第二条本规定适用于____信息技术有限公司员工信息安全管理相关的活动。
第二章内外部人员管理
第三条本规定中所指“人员”不仅包括____信息技术有限公司人力资源管理部门编制内的正式员工,也包括借调、轮岗、派
遣的内部人员,其工作内容和性质与人力资源管理部门编
制内正式员工一致,包括研发人员、咨询人员、运维支持
人员、技术支持人员等。
所有人员的信息安全管理应严格
遵照本规定执行,并根据本规定的各项要求进行管理和考
核。
第四条为____信息技术有限公司提供服务的外部服务提供商及合作方的人员视为“第三方人员”,其人员信息安全管理的具
体要求见《____信息技术有限公司第三方信息安全管理规
定》。
2 / 5第三章人员招聘入职管理
第五条各部门应遵循____信息技术有限公司信息安全管理策略,按照安全管理各项制度的要求,根据本部门已规划和上报
的岗位设置情况,明确各岗位信息安全职责具体要求。
第六条对于重要岗位或敏感岗位需要进行人员的背景调查时,人力资源管理部门可以采用电话、电子邮件、纸质材料、公
函或其它方式,调查记录应妥善保存。
背景调查通常包含
以下内容:
(一)学历和工作经历
(二)犯罪记录
(三)竞业禁止
第七条在新员工的劳动合同中应明确规定员工需承担的包括保密要求在内的信息安全责任;也可根据实际情况签订单独
的保密协议。
第四章人员在职与转岗管理
第八条员工在职期间,必须遵守公司信息安全相关管理规定,履行合同、保密协议所规定的信息安全职责,发现信息安全
事件及时报告,并配合公司相关部门和人员进行事件的处
理。
第九条为保证员工能够充分履行信息安全职责,各部门应积极开展提高员工信息安全意识与技能的各项培训,并对培训效
果进行回顾。
3. / 5第十条各部门应对重要岗位或敏感岗位采取岗位轮换措施,也可采取强制休假等管理措施。
此外,重要岗位应设置a/b
角以实现人员备份和互相监督。
第十一条员工办理调动手续过程中,相关部门应及时处理该员工在各信息系统内的个人账号(包括帐号和权限的调整、变
更等),风险控制与信息安全部对帐号和权限处理情况进
行审核与检查。
第十二条对员工在职期间违反公司信息安全管理制度的行为,各部门应进行处理。
第五章人员离职安全管理
第十三条员工离职时,人员所在部门应依照该员工签署的保密协议,审核其脱密期,并明确告知其在离职后的信息安全保
密责任。
第十四条员工离职时应列出信息资产交接清单,及时交还公司相关信息资产和物品,并由归还资产的接收部门进行审核和
确认。
第十五条员工办理离职手续过程中,相关部门应及时处理该员工在各信息系统内的个人账号(包括帐号禁用、删除等),
信息技术中心对帐号和权限处理情况进行抽查。
审查内容
通常包括:
(一)公司资产(办公电脑等)已交回。
(二)e_mail邮箱功能已删除或禁用。
4 / 5
第3篇 zx校卫生、安全管理突发事件信息员职责
中心校卫生、安全管理突发事件信息员职责
1.负责学校卫生、安全管理中突发事件的信息工作,包括突发事件信息的收集、整理与核实和向上级有关部门报告、反馈相关信息。
2.学校发生的卫生、安全突发事件,要按规定在第一时间内上报,必要时应连续报道事态的进展、处置、原因等重要情况。
3.对领导参与解决处理突发事件的讲话、意见,要及时整理上报。
4.负责对卫生、安全管理突发事件的发生、及时处理整个过程资料的收集。
第4篇 谈输电网安全性评价信息管理工作
云南电网公司自1997年开始推行水电厂、火电厂和供电企业的安全性评价工作以来,积累了很多行之有效的工作方法。为了适应电网发展和云电外送对电网安全的需求,云南电网公司在2003年初开始进行输电网安全性评价的前期宣传、调研工作,并着手进行了输电网安全性评价信息管理系统的开发工作。
1 输电网安全性评价信息管理系统建设的必要性
(1) 安全性评价信息管理系统能实现现代化电网管理对输电网安全性评价的快捷性、准确性、实时性提出的更高要求。
(2) 输电网安全性评价是过程管理,这一过程管理要求循序渐进,评价、分析、评估、整改各阶段工作要形成严格闭环,每一轮评价都要建立在上一轮评价反馈信息的基础上。同时,输电网安全性评价又是动态的,包括评价内容要不断完善和更新,评价标准要不断修订,评价过程要不断推进,评价质量要不断提高等。采用信息管理系统才能适应输电网评价动态与发展的要求。
(3) 采用信息管理系统有利于提高输电网安全性评价的制度化、规范化管理,也是输电网安全性评价日常工作管理的需要,能达到实现输电网安全性评价长效管理的目的。
(4) 输电网安全性评价信息管理系统是实现输电网安全性评价企业自主管理的途径。通过信息系统能快速地实现自我找缺陷、自我找隐患、自我找问题,能主动、便捷、准确地获得电网安全性的信息,能及时采取加强电网安全的有力措施,以实现基于风险管理的长效过程管理。
(5) 输电网安全性评价信息管理系统可克服手工对评价信息进行记录、整理、上报所存在的弊端,如难以保证信息的及时性和准确性、不能充分利用评价信息、无法全面对其进行分析等。
2 输电网安全性评价信息管理系统的建设目标
输电网安全性评价信息管理系统的建设目标是,通过先进信息技术,改进效率较低的安全性评价手段,实现输电网安全性评价高效、准确、可靠的目的。将输电网安全性评价理论、执行流程与先进的计算机网络技术有机地结合起来,通过系统的开发,协助企业高效地完成层层自查、评价、整改、复查、统计、分析、上报、审核等工作,形成电网企业自我约束、自我发展的安全生产机制,使电网安全基础不断得到巩固,从而产生良好的安全经济效益。
3 输电网安全性评价信息管理系统应实现的功能
(1) 通过网络上报数据和远程报表传递,克服传统工作方式下跨部门协同工作带来的效率低下的缺点。采用系统进行报表处理,节省人力物力,保证评价信息的及时性和准确性。
(2) 提供通用的web数据库查询功能,使各电力企业可以快速地查询与输电网安全性评价工作相关的数据和标准,提高评价工作效率。
(3) 通过任务状态跟踪,为安监部门提供对基层单位任务进展状况查询的工具,保证评价项目的顺利进行。
(4) 对评价所形成的典型问题及整改建议采用专家知识库方式进行管理。
(5) 实现对评价发现问题的状态记录,确保发现问题能够得到及时处理。
(6) 实现输电网安全性评价数据在网络上随时可查,使得企业领导对企业的安全状态心中有数,并具体掌握本企业以及企业内部各方面、各系统安全基础的强弱程度。
4 安全性评价信息管理系统的实现方案
系统的开发采用目前较为流行、易于实现的browser/server架构方式实现。突出系统基于网络的异地协同工作模式,系统—模块化编码,易于将来的扩展以及兼容其它安全性评价系统。同时,结合移动设备(掌上电脑)的使用,实现掌上电脑与后台服务器的通信,达到现场查评数据电子保存、自动提交的目的。
4.1 系统主要功能模块设置
系统主要功能模块设置见图1。
4.2 评价任务管理模块
输电网安全性评价工作一般由企业自查、资料汇总分析、专家组查评、总结和布置整改4个任务组成。
评价任务管理模块功能即实现查评任务建立,任务相关描述信息(查评方式、要求、范围、时间等)的录入和保存,以及承担任务人员的分配。
4.3 评价内容管理模块
系统评价内容的设计将采用模块化,即实现对评价内容模板的新增、修改、删除功能,使评价内容成为动态可更新的标准信息,以适应相关评价标准的变化,使系统在尽可能长的时间范围内具有良好的实用性。
引入知识库管理功能,该项功能将已经过专家组查评并给出整改意见的典型问题入库,作为系统运行经验数据保存,以后查评中再次发现相同问题时,系统根据知识库信息提供标准问题描述以及专家整改意见,供参考。可避免重复性的工作,提高查评工作效率,并可进一步对典型问题出现频率进行分析,找出问题的内在联系,为分析提供有效的辅助工具。
4.4 评价项目评分模块
该模块提供安全性评价工作评分的功能,可以采用在线和移动2种方式进行。
在线评分:用户可以通过任何1台联网计算机的浏览器登录系统,将预先查评的结果录入系统。系统将其详细评分数据和结果保存,并将其任务提交给上级汇总分析。
移动评分:用户可以预先将需要的数据从服务器下载到掌上电脑中,携带至现场,通过移动评分程序完成现场查评工作。该程序可以在现场为工作人员提供相关查评标准的查询和历史查评数据的查阅功能,同时将现场查评结果保存。将其与桌面计算机连接后可以自动将查评结果传回到数据库服务器。
4.5 任务状态跟踪模块
安全性评价工作中安监部门需要时刻掌握评价项目协作部门的工作进展情况,以保证评价项目的顺利完成。该模块将对安监部门提供针对供电企业查评工作情况的查询功能,在系统中准确反映该企业查评工作已经完成了多少,发现了多少问题,使得评价项目协作部门的查评进度实时在系统中得到反映。
4.6 评价报表打印模块
该模块提供查评工作中所产生的报告的自动生成功能,用户在查评数据录入完成后可使用该功能自动生成报表。
4.7 评价人员管理模块
该模块实现与实际工作中一致的人员组织管理,实现网络下达任务、网络跟踪任务的人员配置。人员组织形式具体分为集团公司职能部门(地区供电局)、所队(分局)、基层班组3个层次。
5 输电网安全性评价信息管理系统的运用效果
2004年,云南电网公司在开展输电网安全性评价工作中运用了根据本企业查评流程开发的信息管理系统,数据的录入、上报和评价、整改任务的下达、监督都通过系统进行,使得工作效率和质量得到大大提高,在当年圆满完成了查评工作,按时完成了年度工作计划。目前,各单位的整改工作已结合年度计划在进行当中,其进展情况在系统中得到直观的监督。同时,为供电单位和电网规划、建设、改造工作提供了翔实的依据,为云南电网安全稳定水平的提高提供了决策的依据。
6 输电网安全性评价信息管理系统功能扩展设想
在开发输电网安全性评价管理系统的时候,由于采用了模块化设计,将来可继续集成安全性评价的其他系统,如供电企业安全性评价、调度机构安全性评价、并网发电厂并网运行安全性评价等平台的开发,从而最终完善整个安全性评价系统。
第5篇 信息化管理员安全职责
1、 负责对全区油井生产动态数据实时监测及管理进行跟踪,对异常数据的及时发现及通报负主要责任。
2、 负责推广应用信息化新技术、自动化建设等工作。对信息化建设的进度及维护进度负责。
3、 负责生产管理中的技术管理,生产动态分析及异常处理,负责建立建全油井各项数据基础管理台帐,负责对异常生产指标及时提出措施及可行性意见。
4、 负责组织职工技术及信息化培训工作。
5、 负责全区的信息安全和信息保密工作。
第6篇 信息系统安全管理规定
系统安全管理规定
文档号CSLJC_COM_STD_ISMS_1202_P_V0.1密级
ISO27001信息安全管理体系文件
ISMS-MP-A.12-01活动
签名
日期
创建
2011-8-24审核
批准II
文档变更历史
作者(或修订人)版本号
日期
修改内容与原因
V0.12011-8-24新建
评审记录
评审方式
版本号
日期
评审意见
文档状态:草稿
目录
1概述11.1目的11.2定义11.3范围11.4原则12角色与职责13安全要求23.1系统安全规划要求23.2系统运行与维护安全要求23.3操作系统安全配置策略53.3.1Windows系统安全配置管理策略53.3.2UNI*系统安全管理策略84附录10概述
1.1目的
为了加强公司各类计算机系统的安全运维管理,特制定本规定。
1.2定义
本程序引用ISO/IEC
17799:2005标准中的术语。
1.3范围
本文档适用于公司建立的信息安全管理体系。
1.4原则
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
角色与职责
表2-1系统安全管理规定的角色和职责
序号
角色
职责
信息安全管理委员会
负责对系统安全管理进行指导和检查
系统运维部
负责生产环境系统的维护工作
系统支援及维护部
负责系统安全管理的落地和实施工作
员工遵守公司系统安全管理规定
安全要求
3.1系统安全规划要求
1、系统在投入使用前需要做好前期的规划和设计,除了要满足公司目前业务需要外还要考虑该业务系统将来的应用需求,使系统具有一定的扩充能力。
2、系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
3、新规划使用系统应考虑和原来系统的兼容性问题。
4、在新系统安装之前应有详细的实施计划,并严格按照计划来实施。
5、在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并在《系统测试记录》做详细记录,最终形成测试报告。
6、在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置,应及时对系统软件、文件和重要数据进行备份。
3.2系统运行与维护安全要求
1、各个系统设备应进行资产登记。
2、系统的帐号、口令应符合《帐号与密码安全管理规定》,并定期对帐号口令实施安全评估。
3、严格限制操作系统管理员权限帐号和普通账号的数量和使用范围。对于系统管理员的帐号要详细登记备案,编制《管理员权限账号记录》,每季度对该记录进行审核,更新帐号记录。
4、操作系统帐号的申请与变更参考《帐号与密码安全管理规定》3.5节“账号权限控制流程”。
5、严格禁止非本系统管理、维护人员直接进入主机设备进行操作,若在特殊情况下(如系统维修、升级等)需要外部人员(主要是指厂家技术工程师、非本系统技术工程师、安全管理员等)进入主机设备进行操作时,必须由维护人员员亲自登录,并对操作全过程进行记录备案。
6、应尽可能减少主机设备的远程管理方式。
7、严禁随意安装、卸载系统组件和驱动程序,如确实需要,应及时评测可能由此带来的影响;如果需要安装补丁程序,参考《病毒与补丁安全管理规定》进行安装。
8、禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,优先考虑建立FTP站点,紧急情况下可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务。
9、应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。
10、应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
11、应对日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做出明确的规定;对于重要主机系统,应建立集中的日志管理服务器,实现对重要主机系统日志的统一管理,以利于对主机系统日志的审查分析;应保证各设备的系统日志处于运行状态,并定期对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向相关人员报告,日志审核要求详见《安全审计管理规定》。
12、应及时监视、收集主机设备操作系统生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的官方站点,并对更新软件或补丁进行评测,在获得部门领导的批准下,对实际环境实施软件更新或者补丁安装;必须订阅CERT
(计算机紧急响应小组)公告或其他专业安全机构提供的安全漏洞信息的相关资源,应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞;及时评测对漏洞采取的对策,在获得部门领导的批准下,对实际环境实施评测过的对策,并将整个过程记录备案;软件更新或者补丁安装应尽量安排在非业务繁忙时段进行,操作必须由两人以上完成,由一人监督,一人操作,并在升级(或修补)前后做好数据和软件的备份工作,同时将整个过程记录备案;软件更新或者补丁安装后应重新对系统进行安全设置,并进行系统的安全检查。
13、应定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于每月一次,并在《月度网络安全扫描记录》中详细记录评估扫描结果。重大安全漏洞发布后,应在3个工作日内进行;为了防止网络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时间做出规定,应一般安排在非业务繁忙时段;当发现主机设备上存在病毒、异常开放的服务或者开放的服务存在安全漏洞时应及时上报信息安全工作组,并采取相应措施。
14、应至少每周1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的CPU利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
15、当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。
系统突然不明原因的性能下降。
系统不明原因的重新启动。
系统崩溃,不能正常启动。
系统中出现异常的系统账号
系统账号口令突然失控。
系统账号权限发生不明变化。
系统出现来源不明的文件。
系统中文件出现不明原因的改动。
系统时钟出现不明原因的改变。
系统日志中出现非正常时间系统登录,或有不明IP地址的系统登录。
发现系统不明原因的在扫描网络上其它主机。
16、应及时报告任何已知的或可疑的信息安全问题、违规行为或紧急安全事件,并在采取适当措施的同时,应向信息安全工作组报告细节;应定期提交安全事件和相关问题的管理报告,以备管理层检查。
17、应根据“知所必需”原则严格限制泄漏安全违规行为、安全事件或安全漏洞。如果必须向任何公司外部方(包括任何合法的权威机构)泄漏这类受限信息,应先咨询公司相关法律部门。
18、系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。
19、应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。
3.3操作系统安全配置策略
3.13.23.33.3.1Windows系统安全配置管理策略在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
1、物理安全策略
应设置BIOS口令以增加物理安全。
应禁止远程用户使用光驱和软驱。
2、补丁管理策略
应启动Windows自动更新功能,及时安装Windows补丁(SP、hotfi*)。
对于不能访问Internet的Windows系统,应采用手工打补丁的方式。
3、帐户与口令策略所有帐户均应设置口令。
应将系统管理员账号administrator重命名。
应禁止Guest账号。
应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
应设置“账户锁定时间”,“账户锁定阈值”,“复位账户锁定计数器”来防止远程密码猜测攻击。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
4、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应通过修改注册表项,调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
5、文件系统策略
所有分区均应使用NTFS。
尽量使用磁盘配额管理、文件加密(EFS)等功能。
应卸载OS/2和POSI*操作环境子系统。
应将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
应关闭NTFS生成
8.3文件名格式。
应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
6、日志策略
应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
7、安全性增强策略
对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
在登录系统时应显示告警信息,防止用户对远程终端服务口令进行自动化的脚本猜测,并删除关机按钮。
应删除Windows主机上所有默认的网络共享。
应关闭对Windows主机的匿名连接。
对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
应限制Pcanywhere等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用Pcanywhere加密方式进行管理。
应安装防病毒软件,并及时更新软件版本和病毒库。
尽量安装防火墙。
3.3.2UNI*系统安全管理策略
1、补丁管理策略
应及时安装系统最新补丁。
应及时升级服务至最新版本。
2、帐户与口令策略
所有帐户均应设置口令。
去除不需要的帐户、修改默认帐号的shell变量。
除root外,不应存在其他uid=0的帐户。
应设置超时自动注销登陆,减少安全隐患。
应限制可以su为root的组。
应禁止root远程登陆。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
3、网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应启用inetd进站连接日志记录,增强审计功能。
应调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应调整TCP/IP参数,禁止IP源路由。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
应调整内核参数打开“TCP随机序列号”功能。
4、文件系统策略
尽量使系统root用户初始创建权限(umask)为077。
尽量使用磁盘配额管理功能。
去除适当文件的set-uid和set-gid位。
应限制/etc目录的可写权限。
增强对关键文件的执行权限控制。
为不同的挂载点指派不同的属性。
5、日志策略
应对ssh、su登陆日志进行记录。
除日志服务器外,应禁止syslogd网络监听514端口。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
6、安全性增强策略
应保证bashshell保存少量的(或不保存)命令。
应禁止GUI登陆。
应隐藏系统提示信息。
尽量安装第三方安全增强软件。
附录
附录一:相关文件
《信息安全管理体系手册》
《系统测试记录》
《操作系统管理员权限帐号记录》
《操作系统普通权限账号记录》
《操作系统账号开通申请》
《月度网络安全扫描记录》
第7篇 iso27000信息安全管理体系审核员工作职责与职位要求
职位描述:
工作职责:
1.执行公司安排的审核任务,及时向相关人员反馈审核工作中出现的各种问题,并积极配合解决问题;
2.在审核工作中坚持审核原则,遵守审核员的行为规范和公司的各项规定,注意自己的言行,维护公司利益和形象;
3.及时完成审核资料的准备、与客户在审核前的沟通、督促客户整改不符合项、根据认证决定工作人员的意见修改和完善审核资料等工作;
4.及时完成公司安排的技术文件的编制工作;
5.积极参加公司安排的现场见证工作;
6.在审核中了解客户需求并向相关部门反馈;
7.积极参加公司安排的有关培训工作;
8.提供与审核相关的工作及公司其他各项工作的建议;
9.主动学习,持续提高自身的专业素质和审核技能,为受审核方提供有价值的意见和建议,不断提升审核工作质量。
职位要求:
1.本科及以上学历;
2.具备信息安全、密码学、计算机科学与技术、计算机应用、电子信息科学与技术、电子信息技术应用、人工智能、计算数学与应用数学、自动化、通信、电气等相关的专业学历;
3.已获得信息安全领域专业注册资格;
4.至少2年与信息安全有关的管理、技术研究与开发服务、测评、教学、标准制定等工作;
5.国家管理体系审核员注册准则中规定的各级别审核员应具备的知识、技能和个人素质;
6.尊重和维护公司的形象、声誉和利益;
7.自我激励,自我完善,具有良好的沟通能力及较强的团队协作精神;
8.能满足经常性出差需要。
第8篇 中学网络信息安全管理规定
山天中学网络信息安全管理规定
为了加强校园网的管理,规范校园网的使用行为,保障校园网的信息安全,特制定本管理规定。
1.我校校园网用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中国教育和科研计算机网暂行管理办法》及国家有关法律法规,严格执行安全保密制度,并对所提供的信息负责
2.用户必须严格遵守我校校园网管理的有关规定和制度。
3.校园网上的信息和资源属于该信息和资源的所有者。用户只有在取得了该信息和资源的所有者的允许后,才能使用该信息和资源,网络上软件的使用应遵守知识产权的有关法律法规。
4.用户必须接受并配合国家有关部门依法进行的监督检查,并有义务向学校主管部门报告违法犯罪行为和有害信息。
5.用户不得利用校园网从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化及损害学校形象和学校利益的信息。
6.在校园网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备的活动,这些活动主要包括在网络发布不真实的信息、散布计算机病毒、进入未经授权使用的计算机、以不真实身份使用网络资源等等。
7.校园网的用户不允许发展授权范围以外的任何用户,也不能与其它校内外单位和用户私自联网。
8.对违反本规定的登录者,学校将追究责任,情节严重者将追究法律责任。
山天中学
第9篇 论信息化技术在煤矿安全管理中的应用
煤矿安全信息技术是集采集、分析、预控、管控、应急等全方位、一体化的系统工程。尤其应注重预防和应急处理,转被动为主动,充分的将信息管理与安全生产管理紧密融合,有效地管理控制煤矿安全工作,保障矿井财产和矿工生命安全。
我国目前的煤矿安全状况与部分发达国家有较大的距离,技术装备水平普遍不足,急待增强煤矿安全生产的技术支撑保障能力。大力建设煤矿安全生产的管理信息系统就是其中一个重要部分。煤炭企业的信息化有两个大模块构成:一是安全生产信息化;二是管理信息化。
近年来我国煤矿发生多起矿难,矿工安全急需得到切实有效的保障,这也是建设和谐社会的内在要求。与此相对的发达国家安全生产事故却并不多见,究其原因,除严格的法律、监管制度约束以外,信息技术、自动化设备的大量应用是其实现安全生产的重要因素。从信息化出发,加强安全技术能力,也是我国煤矿实现安全的必经之路。我国把“煤矿自动化安全生产监测监控和管理系统与标准体系研究”列为重大专项,已经组织研究开发及产业化,以推动我国煤矿行业信息技术的应用,为煤矿安全做好技术支撑。
1、我国煤矿行业当前特点
我国煤矿地质构造比较复杂,自然灾害严重。煤矿事故主要还是由四大类构成:瓦斯事故、顶板事故、水害事故和运输事故、据统计,仅国有重点煤矿中就有45%的矿井高瓦斯或煤与瓦斯突出,自然发火危险矿井占52%,煤尘有爆炸危险的矿井占88%,水文地质条件复杂或极复杂类型煤矿占30%。具有煤尘爆炸危险矿井占91%。总体来看,目前我国煤矿行业信息化水平还比较低,信息技术和安全投入都还不能满足实际需求。
2、煤矿安全管理信息技术建设目标和原则
作为未来新型“数字煤矿”的一个子系统,安全管理信息系统是煤矿持续发展的基础,与矿井地质、生产、物流等子系统类似,其主要内容是安全信息的采集、传输、处理、应用与集成。实时、准确、全面的安全信息管理和响应是煤矿安全管理的核心。利用通信、计算机、自动化等多项技术的紧密融合,有效地管理控制煤矿安全工作,保障矿井的安全有效建设;同时,系统设计要本着先进性、投资保护、开放性、可扩充性、可维护性的原则,根据目前业务实际,并充分考虑今后业务发展需要,针对企业实际情况具体实施。
3、煤矿安全管理信息技术的主要构成
目前,各软件和系统集成商开发的系统千差万别,但从信息设施的种类来划分,可以分为检测、监控、通讯、信息管理四大部分。从市场主流来看,功能模块大同小异,整个系统可分为以下几个模块:
1)安全信息收集。安全信息收集主要是由人在安全检查过程中对收集到的安全信息录入到计算机中。本模块主要包括安全信息录入、对安全隐患的处理意见、领导审批意见、对安全隐患处理落实情况和安全信息的综合查询等功能。
2)交接班管理。交接班信息管理模块用于安检人员处理交接班过程中的问题记录与移交。记录本班生产过程中发生的问题/隐患、“三违”人员、挂停止作业牌、伤亡事故、非伤亡事故及相关人员的信息,当班次交接时,浏览上班次发现未解决的问题和还没有检查到的检查控制点信息并确认,为本班次的跟班安检人员下井检查提供指导,以明确责任,为系统跟踪安全监控人员工作是否到位提供依据。
第10篇 信息科安全管理职责
一、负责本矿安全隐患信息的收集、分析、汇总、上报。
二、负责当班井下各作业地点的隐患排查信息的收集和上报工作。
三、对一般隐患信息要及时报告当班处置员,在处置员力量不足的情况下,协助处置安全隐患。
四、信息科发现隐患时,有权对井下局部作业地点停止作业,发现重大隐患时有权对全矿井停止作业,撤出人员并及时上报中心。
五、对主扇风机'三薄'记录不健全,附属设施不完善的,要及时上报中心。
六、对采掘工作面无风、微风作业的有权停止。
七、对掘进工作面不进行探放水的,有权停止作业,并进行严厉处罚,建议中心辞退。
八、对当班没有瓦斯员上班的工作面,有权停止当班作业。
九、对作业面瓦斯传感器、一氧化碳传感器不到位的要严厉处罚,对无传感器的要停止作业,撤出人员。
十、对局扇风机无专人管理,无挂牌管理,未实行'风电闭锁'的,有权停止掘进工作面作业。
十一、对洒水、防尘不到位的有权停止作业。
十二、对当班瓦斯员空检、漏检,不执行瓦斯巡回路线的瓦斯员要进行严格处罚。
十三、对当班'三违'人员进行制止、处罚、教育。
十四、参加班前、班后会,收集职工思想安全隐患信息。
十五、对酒后入井、精神状态不振的人员,有权停止当班作业。
十六、对穿化纤衣服,不佩戴自救器的工人,有权停止当班作业。
十七、对带有烟草、引火物品入坑的工人,要进行严厉处罚停工。
十八、对跟班矿长不入坑的,有权停止当班作业。
十九、对当班掘进工作面不探水的,有权停止当班作业。
二十、对带点检修、带点搬迁,有权停止作业,并进行处罚。
二十一、对违章排放瓦斯,有权停止作业并处罚。
二十二、对未经培训无证上岗人员,有权停止入井。
二十三、主要提升设备保护不全,禁止人员入井,对斜井、斜巷五'一坡三档'装置或装置不全,失效的,对不执行'行车不行人,行人不行车'规定的,要及时上报和处罚。
二十四、对人行车无煤安标志、防坠器和制动装置失灵的,有权停止作业并上报中心。
二十五、对不执行'一炮三检'和'三人联锁放炮'的,有权制止和处罚。
二十六、对非爆破工领取雷管,炸药雷管混运,工作面炸药雷管未分箱存放,加锁保管的,有权停工和处罚。
二十七、对炮眼无封泥、封泥不足或填充不实进行爆破的,有权停工和处罚。
二十八、对掘进工作面空顶作业,回采工作面端头支护不到位,有权停工处罚并上报中心。
二十九、对井下施工质量不达标准,有权停止作业并上报中心。
第11篇 安全异常信息快速反应管理办法
第一章 总则
第一条 为深刻吸取长虹公司“3.21”煤与瓦斯突出事故教训,规范矿井“安全异常信息”的汇报和处置工作,形成快速反应、运行有序的“安全异常信息”汇报和处置工作机制,实现“安全异常信息”超前预警、超前处置,有效防范事故的发生,保障安全生产,特制定本办法。
第二条 本办法规定的应当汇报和处置的“安全异常信息”主要是指:矿井生产过程中发生的“安全异常信息”,包括机电运输专业、一通三防及防突专业、地测防治水专业、采煤专业、开掘专业等五类信息;外部供电、通讯、供水等方面威胁矿井安全生产的“安全异常信息”;威胁矿井安全生产的极端天气、地震等方面的“安全异常信息”。
第三条 提升理念。“安全异常信息”是事故预兆,是停产撤人的命令,“安全异常信息”不汇报,汇报不处置,或既不汇报又不处置就是事故,按照“四不放过”原则进行追查处理。“安全异常信息”的汇报要及时、准确和完整,处置要安全快速有效。
第四条 调度室及相关业务科室负责“安全异常信息”的收集、撤人、汇报、处置、建档、跟踪、销号七个环节的工作,在调度室建立“安全异常信息”闭合管理台账。调度室负责“安全异常信息”的收集、汇报、处置、建档等工作,业务保安科室负责“安全异常信息”的跟踪落实、整改销号等工作。矿井行政主要负责人是矿井“安全异常信息”汇报和处置工作的第一责任人,分管副职对业务范围内的“安全异常信息”的汇报和处置工作负责。
第五条 完善矿井“安全异常信息”处置技术、机构、队伍、资金、装备方面的保障工作和“安全异常信息”汇报和处置工作的管理和考核,建立“安全异常信息”闭合管理台账。矿井行政主要负责人是本单位“安全异常信息”汇报和处置工作管理和提供有关保障的第一责任人,分管副职对业务范围内的“安全异常信息”汇报及处置工作管理和提供有关保障负责。
第六条 调度室是“安全异常信息”汇报和处置的指挥中心,对所登记的“安全异常信息”要求做到实时调度。各业务保安科室是“安全异常信息”处置的技术指导部门。并负责“安全异常信息”闭合管理台账的建立、管理,跟踪处置,直至安全异常状况消除。
第二章 “安全异常信息”的汇报
第七条 “安全异常信息”要如实汇报,不得迟报、漏报或瞒报。
第八条 “安全异常信息”的汇报内容
(一)机电运输专业(详见附表1)
1.矿井及重要负荷单回路供电。
2.主、副井及乘人系统运行异常。
3.大型固定设备技术测定及探伤等有(存在)重大缺陷。
4.主要通风机故障单机运转。
5.矿井主排水系统故障不能担负正常涌水量。
6.危及安全的其它“安全异常信息”。
(二)一通三防及防突专业(详见附表2)
1.采掘工作面出现明显的煤与瓦斯突出及冲击地压预兆,包括中度以上喷孔、响煤炮或其它明显预兆。
2.钻探期间发现地质构造。
3.瓦斯高值或超限。
4.一氧化碳超标(放炮除外)。
5.监测监控系统异常,包括:(1)井上主要通风机或井下局部通风机监测显示停风;(2)风门开停传感器监测显示敞开;(3)矿井监控系统全部无记录或部分无记录;(4)监控系统相关设备未按规定检测、校验、维护保养导致数据传输不正常的。
6.危及安全的其它“安全异常信息”。
(三)地测防治水专业(详见附表3)
1.矿井涌水量达到预警水量(矿井排水系统联合试运的正常排水量)。
2.暴雨天气,可能发生洪水淹井。
3.探水钻孔阀门损毁,涌水难以控制。
4.采掘工作面有突水征兆。
5.危及安全的其它“安全异常信息”。
(四)采煤专业(详见附表4)
以下情况同时出现2处及以上的,必须上报:
1.工作面掉顶严重,冒落高度超过0.5m、连续长度超过5m。
2.工作面切顶严重,台阶下沉超过0.5m、连续长度超过5m。
3.采面煤壁严重片帮,深度超过1.5m、连续长度超过5m。
4.工作面支架连续5架严重钻底或挤架。
5.工作面两端头老塘侧局部悬顶面积大(面积大于2m×5m)。
6.危及安全的其它“安全异常信息”。
(五)开掘专业(详见附表5)
1.开掘工作面在一个生产班内顶板连续发出响声。
2.顶板离层明显,出现裂缝、顶板掉渣。
3.巷道压力增大片帮严重。
4.支架变形严重甚至断裂。
5.工作面出现地质构造。
6.危及安全的其它“安全异常信息”。
第三章 “安全异常信息”的处置
第九条 矿井“安全异常信息”的处置
(一)当矿井生产过程中发生本办法规定的“安全异常信息”时,现场管理人员(带班领导、跟班干部、班组长)、安检员、瓦检员等,必须第一时间发出停止作业、撤人的命令,指挥现场人员撤到安全地点,同时向矿调度室汇报。
(二)矿调度室值班人员接到生产现场或其它“安全异常信息”的汇报后,须在20分钟内用电话分别向矿井值班领导、分管领导及主要领导、分公司调度室、集团总调度室(电话:0375-2724146)、许平煤业生产技术处(调度)(电话:0375-3579000、3579331)、安监局禹州监察处汇报,同时须按照矿井值班领导的指示,立即通知受到安全威胁的人员撤离危险区域。之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表(详见附表)中,并通过集团oa办公系统发送许平煤业生产技术处(调度)。
(三)由矿井值班领导立即组织调度、安监、业务科室等有关人员赶赴现场收集“安全异常信息”第一手资料,矿井带班领导立即赶赴现场对“安全异常信息”的处置进行指导和指挥,矿井总工程师负责牵头完善相关处置措施,矿井分管副职牵头组织对“安全异常信息”进行处置,业务保安科室负责牵头建立跟踪工作机制,实时督导“安全异常信息”的处置,直至安全异常状况消除。
第四章 考核
第十条
(一)作业现场发现“安全异常信息”后,现场管理人员(带班领导、跟班干部、班组长)、现场安检员、瓦检员等未在第一时间向调度室汇报的,对上述人员罚款500元。
(二)调度室接到“安全异常信息”汇报后,应在20分钟内向矿值班领导、分管领导及主要领导、分公司调度室、集团总调度室、许平煤业生产技术处(调度)、安监局禹州监察处汇报,之后须在30分钟内把“安全异常信息”填写到相应的“安全异常信息”汇报表中,并通过集团oa办公系统发送许平煤业生产技术处(调度),逾时不报的对调度当班值班人员罚款500元。
(三)矿井调度室及业务保安科室未建立“安全异常信息”闭合管理台账的或“安全异常信息”闭合管理台账未及时建档、整改销号的,未及时建档的,对调度室负责人罚款500元,未做到跟踪闭合管理的,对分管业务科室负责人罚款500元。
(四)“安全异常信息”瞒报的对作业现场安全管理人员罚款500元,汇报不处置,对调度室当班值班人员罚款500元,对调度室负责人罚款500元。
(五)“安全异常信息”处置期间因技术、机构、队伍、资金、装备保障不到位造成处置不及时或不能有效处置“安全异常信息”的,对相应单位进行责任追究。
(六)监测监控系统出现高值后监控上传中断,按瓦斯超限事故进行责任追究。
第五章 附则
第十一条 有关注释
中度喷孔:钻进过程中连续喷孔,停钻后持续1-2分钟,喷出颗粒直径3毫米,钻屑明显增多,抛出距离1-2米,工作面里探绝对值增加0.3%以内。
严重喷孔:停钻后连续喷孔超过2分钟,且带出大量钻屑;抛出距离大于2米或伴有煤炮声;工作面里探绝对值增加0.3%以上。(符合上述任一条件,即判断为严重喷孔)。
中度煤炮:声音较大,间歇性明显(时间间隔大于1分钟),有震感,有掉渣、扬尘现象。
严重煤炮:声音巨响、相邻区段多处地点均能听到;响声连续;震感明显;伴有大量扬尘。(符合上述任一条件,即判断为严重煤炮)。
有声预兆:煤层发出劈裂声、闷雷声、机枪声、响煤炮、以及气体穿过含水裂缝时的吱吱声等。声音由远到近,由小到大,有短暂的,有连续的,时间间隔长短不一致。煤壁发生震动和冲击,顶板来压,支架发出折裂声。
无声预兆:工作面顶板压力增大,煤壁被挤压,片帮掉渣,顶板下沿或底板鼓起;煤层层理紊乱、煤暗淡无光泽、煤质变软;瓦斯忽大忽小,煤壁发凉,打钻时有顶钻、卡钻、喷瓦斯等现象。
煤厚发生变化:增厚、变薄、尖灭、变软。
瓦斯高值:正常作业情况下瓦斯增幅50%以上即为瓦斯高值。
瓦斯超限:无论任何条件下瓦斯浓度达到1%即为瓦斯超限。
一氧化碳超标:除矿上建立台帐管理的一氧化碳区域和放炮引起的一氧化碳超标外,其它地点一氧化碳超标都必须立即汇报。
主要通风机停运:无论任何原因导致主要通风机停运都必须立即汇报。
第十二条 本办法自印发之日起执行。
附表:各专业“安全异常信息”汇报表
第12篇 煤矿安全信息管理存在的问题及其解决措施
1概述
煤矿安全信息管理系统包括信息收集系统、信息处理系统、安全决策系统及信息反馈系统。随着科学技术的迅猛发展,计算机在生产领域得到了广泛应用。人们利用计算机对信息的快速处理能力及高容量存储能力,建立了安全信息管理系统,通过系统的高效运作,及时收集安全信息,并进行科学的分析处理和传递,给企煤矿的业领导和安全管理人员的正确决策提供了保障,有力促进了煤矿企业的安全管理。
2煤矿安全信息管理中存在的问题
2.1信息收集方式简单、方法单一目前,煤矿的安全信息收集工作主要由信息站进行。信息站在收集时只简单地偏重于管理人员下井填写的安全隐患,这些隐患基本带有普遍性和通用性。比如,某处的阻车器不灵,某个工作面的支架有点倾斜,某根巷道的轨道不合要求等。当然这些隐患的处理能够杜绝一些事故的发生。但是,安全信息管理的目的就是要从根本上防止事故的发生。笔者认为,安全事故的发生,必然有事先预兆,而事先预兆即安全隐患未发现,就是信息收集工作中方式简单和方法单一所致。
2.2安全信息不反馈在调研的过程中,发现《安全隐患整改通知单》中“隐患整改情况”一栏经常是空白的。即使是整改了,但没填通知单就可能没向信息站反馈信息。同样,信息站没有接到隐患整改的反馈消息,又懒得去查,导致了信息的丢失,安全事故就会在这一疏忽之间发生。
2.3信息源局限于生产现场,信息管理职能分散现在,部分煤矿成立了安全信息站,专门从事安全信息的收集与处理。其收集的信息主要是井下的安全隐患,即将领导、信息员、专业科室以及其它业务保安部门下井所填写的安全隐患单收集起来,进行一般处理,供领导参考和决策之用。因而,其信息源主要局限于井下生产现场的隐患。在安全信息管理中,信息应该是多方面的,还应包括国家的法律、法规和标准;部委指令、标准和文件;上级部门的指令和文件;国内外有关单位的信息交流;各种文献、手册、数据和资料等。井下现场的安全隐患只能提供给领导参考,而各种安全政策、规定的综合加工和处理,能够在安全决策、编制安全计划、进行安全生产时为领导提供更多的帮助。目前安全政策、安全规定的信息管理在各矿是都有的,但主要由一些文书部门和安监部门的内勤进行管理,它所产生的作用只具有一般信息储存的作用。
2.4安全信息处理和决策一刀切大部分单位在安全信息的处理方式比较混乱,基本上就是进行简单的处理,再送安监部门决策,而不管隐患其难易程度、时间缓急。在进行决策时,认为“反正这是一个安全隐患,必须处理,就送发隐患单位进行处理就够了”,而未想到其它的因素。
2.5安全信息站无实权部分单位认为安全信息站只能收集信息、处理信息,而没有其它的权利。如果这样,基层连队就不能认真执行安全信息站发出的决策和命令,企业就不能很好地处理安全与生产、安全与效益的关系,就可能造成安全事故。
2.6现代化管理程度较低安全信息管理应该是人与机的结合,但效益不好的煤矿不可能配计算机,所以导致了信息站在安全信息管理中不能充分发挥作用,人工处理、钢笔抄写等比较原始的工作方式效率较低,能给安全管理带来的效益较差。