信息安全獎懲管理辦法（十二篇）

第1篇 信息安全獎懲管理辦法

1.目的

明確信息安全獎勵與違規(guī)行為處罰的操作原則,強化執(zhí)行,促進員工信息安全意識提升。

2.適用范圍

本規(guī)范適用于深圳市**公司 (后續(xù)簡稱為公司)。

3.定義

序號

角色

職責

001

信息安全事件

指識別出的發(fā)生的系統(tǒng)、服務或網(wǎng)絡事件表明可能違反信息安全策略或防護措施失效;或以前未知的與安全相關的情況;其中一、二級信息安全事件稱為重大信息安全事件。

002

信息安全活動

為培養(yǎng)員工信息安全意識,提高公司整體安全水平而舉辦的活動,形式包括但不限于:考試、培訓、宣傳和自查。

4.職責與權限

序號

角色

職責

001

員工

遵守公司信息安全管理制度,積極配合、參與信息安全活動。

002

各部門信息安全接口人

協(xié)助公司信息安全管理制度、產(chǎn)品的宣傳與培訓工作;負責對部門信息安全問題進行匯總與反饋。

003

部門主管

是部門信息安全的直接責任人,負責監(jiān)督和管理本部門員工的信息安全行為,并對潛在的信息安全風險進行預警,預防信息安全事件。

004

部門經(jīng)理

作為部門信息安全的間接責任人,熟悉公司信息安全戰(zhàn)略,并積極推動信息安全策略的落地執(zhí)行。

005

部門副總

對所負責部門的信息安全事件負相應的管理責任。

006

it部信息安全組

對信息安全事件進行跟蹤處理,并確定事件責任人。

007

董事會秘書

審核信息安全事件處理報告。

008

總經(jīng)理

最終審批信息安全事件處罰申請。

009

人力資源部

依據(jù)公司財務制度對已審批的信息安全獎勵/處罰報告執(zhí)行經(jīng)濟獎勵或者處罰措施。

010

法務部

配合it部信息安全組進行信息安全事件處理,對違反法律法規(guī)的信息安全責任人依法追究法律責任。

5.內(nèi)容

5.1獎勵、違規(guī)行為處罰原則

5.1.1及時激勵原則

對長期妥善保護公司信息資產(chǎn),有效避免信息資產(chǎn)的遺失、濫用、盜用等,或?qū)τ诖龠M信息安全合理共享表現(xiàn)突出的個人或者集體,將及時獎勵。

5.1.2舉報保密原則

對于舉報信息安全違規(guī)行為的人員,將對其進行獎勵并嚴格保護其個人資料不公開。

5.1.3違規(guī)行為處罰原則

5.1.3.1法律追究原則

公司所有保密信息均為公司合法資產(chǎn),受國家法律法規(guī)保護。任何損害公司保密信息的行為,公司均有權追究行為人法律責任。

5.1.3.2違規(guī)分級原則

根據(jù)違規(guī)行為的性質(zhì)、造成的損失和影響的嚴重程度、違規(guī)人員是否有意對違規(guī)行為分級。涉及關鍵信息資產(chǎn)的,違規(guī)等級要升級;一次違反多條信息安全規(guī)定的人員按最高違規(guī)等級從重處罰;對多次違反信息安全規(guī)定的人員再次違規(guī)時要從重處罰。

5.1.3.3主動從寬原則

產(chǎn)生違規(guī)行為后主動報告,積極采取補救措施以減少影響和損失的人員,可減輕處罰;對問題隱瞞不報或者不及時上報而導致違規(guī)影響擴大的人員,加重處罰。

5.1.3.4過度防衛(wèi)處罰原則

對阻礙信息合理流動與共享的人員要給予處罰。

5.1.3.5及時處理原則

對重大信息安全違規(guī)事件,要及時處理。任何拖延、推諉不處理的責任人,要給予問責。

5.2 獎勵等級與責任部門

5.2.1獎勵等級與措施

獎勵事跡

獎勵等級

獎勵措施

舉報或者制止泄密、竊密或者其他嚴重損害公司利益事件的集體或者個人

一級

根據(jù)具體情況給予8000元集體獎勵或者5000元個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

制止他人違規(guī)行為或者即時反映可能造成泄密、竊密或者其他重大安全隱患的個人,以及在信息安全方面做出表率或者突出貢獻的集體

二級

根據(jù)具體情況集體獎5000元或者3000個人獎勵;通報表揚(遵循“舉報保密原則“淡化事跡并隱藏人員信息)。

在信息安全管理中做出貢獻,反映信息安全隱患或者過度防衛(wèi)被核實、提出信息安全合理化建議并被采納的個人,以及在信息安全方面做出貢獻的集體

三級

根據(jù)具體情況給予3000元集體獎勵或者1000元個人獎勵。

5.2.2獎勵責任部門

1)對于滿足信息安全獎勵標準的集體或者個人,it部信息安全組可根據(jù)具體事跡定期進行申報,審批通過后由人力資源部根據(jù)公司財務制度進行發(fā)放獎金;

2) 各部門信息安全接口人可自行組織對本部門優(yōu)秀信息安全集體或者個人進行獎勵。

5.3 違規(guī)等級與責任部門

5.3.1 違規(guī)等級與措施

違規(guī)事件

違規(guī)等級

處罰措施

盜竊、故意泄露公司保密信息的,或故意違反信息安全管理規(guī)定,性質(zhì)嚴重造成重大影響或者風險

一級

1. 直接開除,永不錄用;

2. 如違反法律法規(guī)由公司法務部移送公安機關處理;如給公司造成相關損失,須賠償公司損失。

3. 全公司范圍內(nèi)通報處罰決定。

故意違反信息安全規(guī)定,性質(zhì)嚴重;或者造成較大影響或較大風險

二級

1. 如給公司造成相關損失,須賠償公司損失;

2. 擔任公司管理崗位的人員,進行降職或者降薪處理;非公司管理崗位的人員,進行降薪處理;

3. 全公司范圍內(nèi)通報處罰決定。

過失違反信息安全管理規(guī)定,造成一定影響或者風險的;或者故意違反信息安全管理規(guī)定,但性質(zhì)不嚴重且沒有造成嚴重影響或風險

三級

1. 記入關鍵事件考評結(jié)果減10分或罰款500元;

2. 12個月內(nèi)2次三級違規(guī)升級為1次二級違規(guī)。

3.部門內(nèi)部通報處罰決定。

過失違反信息安全管理規(guī)定,性質(zhì)較輕,且造成輕微影響或者風險

四級

1.記入關鍵事件考評結(jié)果減5分或罰款300元;

2.12個月內(nèi)2次四級違規(guī)升級為1次三級違規(guī);

3.部門內(nèi)部通報處罰決定。

說明:

1) 信息安全管理規(guī)定包括公司各部門正式發(fā)布的信息安全管理制度;

2) 上表中“違規(guī)事件“的描述是定性的描述,是違規(guī)事件定級的參考原則。常見違規(guī)行為所適用違規(guī)等級具體參考附件1:《常見違規(guī)行為及其適用處罰等級舉例》,其他違規(guī)行為所使用等級可參考舉例進行認定。

5.3.2 責任判定

1)發(fā)生一、二級重大信息安全事件違規(guī)時,違規(guī)者直接上級和部門經(jīng)理承擔直接和間接責任,部門副總須承擔連帶管理責任,并按照《常見違規(guī)行為及其適用處罰等級舉例v1.0》適用條款進行處罰;

2)對于三、四級信息安全違規(guī),根據(jù)以下條件判斷責任人直接上級是否連帶處罰:

員工無意違規(guī),且責任人領導未進行審批授權的,不進行連帶處罰;

員工無意違規(guī),但責任人領導進行包庇的,在事實確認的基礎上,進行連帶處罰;

若所管理部門一個月內(nèi)發(fā)生2次(含)以上故意違規(guī)或者4次(含)以上無意違規(guī)事件,對直接上級進行連帶處罰。

5.3.3 處罰責任部門

處罰等級

處罰責任人

批準

申訴

一級

總經(jīng)理

/

人力資源部

二級

總經(jīng)理

/

人力資源部

三級

部門分管副總

it部信息安全組

人力資源部

四級

部門分管副總

it部信息安全組

人力資源部

說明:

1)對于各類違規(guī)行為處罰應當慎重,應建立在客觀事實的基礎上給出處罰意見。根據(jù)違規(guī)行為性質(zhì)、造成的損失和影響的大小,it部信息安全組有權要求對當事人加重或者減輕處罰;

2)發(fā)現(xiàn)可疑事件的組織作為事件調(diào)查和處理的責任部門。為了加快一級違規(guī)行為的處理進度,溝通時限和批準期限都是2天;

3)在違規(guī)事件處理過程中,it部信息安全組協(xié)助與監(jiān)督處罰責任人完成處罰執(zhí)行工作。處罰責任人或其授權人員要做好與違規(guī)員工的溝通工作。對違規(guī)處罰過程中出現(xiàn)的拖延、推諉行為,it部信息安全組可以行使否決權。

5.4.維護與解釋

1)本規(guī)定發(fā)布之日起生效;

2)本規(guī)定由it部信息安全組至少每兩年審視一次,根據(jù)審核結(jié)果修訂標準并頒布執(zhí)行;

3)本規(guī)定解釋權歸it部信息安全組。

6.相關文件

附件1:《常見違規(guī)行為及其適用處罰等級舉例》

7.記錄表格

無

第2篇 學校信息安全管理保密條例

學校校園網(wǎng)已投人正常使用，學校相關重要信息已聯(lián)接到校園網(wǎng)上，為了加強這些系統(tǒng)的安全性，特制定《學校校園信息管理安全保密條例》以下簡稱本條例。

1、本條例適用對象為：各科、室、教研組信息員、系統(tǒng)管理員、校園網(wǎng)用戶。

2、本條例適用范圍為學校校園網(wǎng)所覆蓋的范圍。

3、系統(tǒng)管理人員安全保密職責：

(1)、嚴格做好本系統(tǒng)超級用戶和普通用戶口令的安全保密工作，不得隨意泄露口令及有關內(nèi)容。

(2)、根據(jù)學校機構和工作職能將用戶劃分為低級權限用戶和高級權限用戶。低級權限用戶只能授予檢索相關數(shù)據(jù)的權限，不能修改或刪除任何數(shù)據(jù);高級權限用戶，可以進行相關數(shù)據(jù)的錄入和修改工作。

(3)由系統(tǒng)管理人員設置登錄站點限制，使得各信息員只能在指定網(wǎng)絡站點上進行操作。

(4)系統(tǒng)管理員與操作人員進行協(xié)商，限制高級權限用戶的登錄時間，不允許非辦公時間進行操作。如有特殊情況，應事先與系統(tǒng)管理人員聯(lián)系后再上機進行操作。

(5)強制要求高級權限用戶定期修改登錄口令。

(6)設置登錄口令輸錯次數(shù)限制，當有人試圖猜測口令非法進入系統(tǒng)時，該用戶將被封閉一段時間后再解除登錄限制。

(7)定期備份關鍵數(shù)據(jù)。

4、編程人員開發(fā)軟件注意事項：

(1)程序和數(shù)據(jù)庫文件在不影響運行的情況下設為只讀屬性。

(2)將程序和數(shù)據(jù)分開，數(shù)據(jù)統(tǒng)一存到數(shù)據(jù)目錄。

(3)設置中間過渡數(shù)據(jù)庫，盡量避免對數(shù)據(jù)庫的直接操作。

(4)將程序編譯成執(zhí)行文件，并將源文件旋轉(zhuǎn)在安全目錄中。

(5)管理系統(tǒng)中用到的批處理命令全部轉(zhuǎn)換成可執(zhí)行文件，增加安全的保密性。

5、應用人員安全保密職責：

(1)信息員的帳號和密碼不得告知無關人員或由學生代為錄入數(shù)據(jù)，泄密造成的后果自負并追究本人的責任。

(2)如平時經(jīng)常更換口令，更換的口令最好不具有規(guī)律性，輸人口令時注意安全保密性。

(3)只能對與本職責有關的子系統(tǒng)進行操作，不得進人其他子系統(tǒng)。

6。時時刻刻做好三防工作。嚴禁在校園網(wǎng)中心機房進行吸煙、打鬧等有可能破壞設備的行為。網(wǎng)管中心每天必須有人值班，及時處理校園網(wǎng)用戶疑難問題，以保證網(wǎng)絡暢通。

7、未經(jīng)允許，非工作人員嚴禁在網(wǎng)管中心機房出人。網(wǎng)管中心硬件軟件財產(chǎn)必須定期登記、查收。

8.本條例監(jiān)督部門為學?，F(xiàn)代信息技術教育中心，有關人員應積極與中心工作人員配合，做好校園信息管理系統(tǒng)的安全保密工作。

第3篇 高校信息化安全管理方案范本

在高校信息化應用日益深化的今天,信息和資源的整合日益密切,如何保障信息系統(tǒng)的持續(xù)穩(wěn)定運行,確保信息安全是亟待解決的關鍵問題。從調(diào)研顯示,目前我國高校網(wǎng)絡系統(tǒng)存在許多安全問題,如:非授權訪問、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行和利用網(wǎng)絡傳播病毒等,產(chǎn)生這些安全問題的原因在于:沒有建立完善的網(wǎng)絡系統(tǒng)安全體系;沒有建立相應的安全組織、管理、技術機構;沒有建立完備的網(wǎng)絡系統(tǒng)安全措施。

本文從高校信息系統(tǒng)的需求出發(fā),遵從風險管理的理念,在信息化戰(zhàn)略規(guī)劃的基礎上,借鑒國際最佳實踐經(jīng)驗,研究并實施高校信息化安全管理體系,為高校信息安全管理工作提供借鑒和參考。

規(guī)劃信息化安全管理體系

分層次建立安全管理制度和手段

信息化安全管理體系規(guī)劃是高校安全體系建立的第一步,目的是識別安全問題,明確安全管理的范圍和內(nèi)容,建立安全管理的組織管理機制,從管理和技術兩個角度,分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術防范手段,形成完整、可行的信息化安全管理體系。我們將高校信息化安全管理規(guī)劃過程歸納為以下8個步驟:

1. 建立安全管理組織:安全管理組織的成員由機構的戰(zhàn)略影響者組成,包括來自行政、it、業(yè)務、安全、保衛(wèi)、風險和規(guī)劃部門的人員。

2. 識別保護對象:識別學校目前的關注點、面臨的風險及威脅,分析它們存在的原因,將分析結(jié)果納入安全管理體系的規(guī)劃中重點考慮。

3. 評估現(xiàn)有措施:了解學校目前的安全管理措施并評估它們的效力。

4. 考慮長期需要:安全整體規(guī)劃應考慮長期的需要,具有一定的前瞻性,如長期的制度適應性、設備老化、安全人員的發(fā)展需要等。

5. 納入學校的建設規(guī)劃:了解學校新建項目,如辦公樓、教學樓、停車場等項目,是否會影響現(xiàn)有的物理安全規(guī)劃,如有影響,將安全規(guī)劃納入學校建設規(guī)劃中通盤考慮。

6. 建立安全工作機制:形成文件化的制度體系和工作條例,明確各崗位的責任、應提供的服務和交付物,這些將有助于確保工作的落實和運作效率。

7. 應對新老技術的混合:新技術的規(guī)劃應考慮對老技術的沖擊,新老技術的融合運用將是一個挑戰(zhàn)。

8. 關鍵設施重點布局:關鍵設施指校園中那些需要連續(xù)、可靠運行而又相互關聯(lián)的復雜設施集合,這些設施的安全尤為重要,風險也最為突出。

體系框架的內(nèi)容

上述的規(guī)劃步驟從組織、管理和技術三方面較全面地考慮高校信息化安全管理的具體問題,有助于形成完整有效的信息化安全管理體系。圖1是高校信息化安全管理體系整體框架,其中包括安全組織體系、安全管理體系和安全技術體系。

圖1 高校信息化安全管理體系

1. 安全組織體系

它是確保信息安全工作貫徹和落實的基石,基本框架應包含決策、管理、運營和應用4個層次。決策層負責信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項的決策等;管理層負責信息化安全管理體系的實施、安全管理工作機制的研究制訂、安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等;運營層具體負責機房、網(wǎng)絡和服務器、數(shù)據(jù)庫、信息系統(tǒng)的安全管理和維護;應用層即普通用戶,職責包括嚴格按照系統(tǒng)操作手冊正確使用信息系統(tǒng),不得進行可能危害信息系統(tǒng)安全的操作,不得發(fā)布惡意信息等。

2. 安全管理體系

它是整個安全管理體系有效運作和持續(xù)改進的保障,應在實踐中逐步實現(xiàn)規(guī)章制度的文件化、工作機制的程序化和監(jiān)控手段的系統(tǒng)化,基本框架具體包括安全制度的建立、建設與運營工作條例的建立、應急響應機制的建立、審計與評審機制的建立、安全教育與培訓。

3. 安全技術體系

該體系有力保障信息資源和應用系統(tǒng)免受外部攻擊,基本框架由網(wǎng)絡層安全技術、系統(tǒng)層安全技術和應用層安全技術構成。網(wǎng)絡層安全技術包括防火墻、病毒防范、入侵檢測、vpn等;系統(tǒng)層安全技術包括數(shù)據(jù)備份與恢復、數(shù)據(jù)庫安全審計、應用系統(tǒng)監(jiān)控、身份認證等;應用層安全技術包括權限管理、信息加密、桌面系統(tǒng)等。

信息化安全管理體系整改

上海財經(jīng)大學經(jīng)過多年的信息化建設,包括教學、學生、辦公自動化、招生、人事、財務、公共數(shù)據(jù)平臺、校園一卡通等一大批信息系統(tǒng)得到應用。隨著應用的深化,系統(tǒng)中積累大量的業(yè)務數(shù)據(jù)和工作成果,這些信息對學校目前的管理乃至今后的發(fā)展都至關重要,因此,信息的安全問題也成為信息化工作的焦點。2023年起,在認真分析學校信息安全管理和技術兩方面的問題和原因的基礎上,學校從組織、管理、技術三方面入手進行一系列的整改,截至目前,已形成較為完善的組織體系、管理體系和技術體系。

完善信息安全管理的組織結(jié)構

2023年,學校對信息安全管理的組織結(jié)構進行重新梳理,形成包含決策、管理、維護和應用4 個層次在內(nèi)的較為完善的網(wǎng)絡信息系統(tǒng)安全管理組織機構,工作職責更加明確。上海財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理組織機構如圖2。

圖2 財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理組織機構

1. 決策層:在信息化領導小組的職能中明確信息系統(tǒng)的安全管理職能,由信息化領導小組統(tǒng)一規(guī)劃、部署和統(tǒng)籌資源。

2. 管理層:組建安全工作小組作為信息化安全工作的執(zhí)行機構,工作小組由信息化相關部門領導及專業(yè)技術人員和部分管理人員組成。

3. 運營層:完善系統(tǒng)運營各崗位人員的工作職責,包括機房管理員、網(wǎng)絡及服務器管理員、數(shù)據(jù)庫管理員和信息系統(tǒng)管理員。

4. 應用層:進一步明確應用層各院系、部門及用戶的安全責任,與各院系、部門簽訂安全責任書,同時明確各院系、部門信息員的日常信息安全工作職責,使其成為信息安全工作的基礎支持隊伍。

形成文件化的信息安全整體策略

早在2008年,學校就著手組織制定《上海財經(jīng)大學信息系統(tǒng)安全管理辦法》、《上海財經(jīng)大學信息系統(tǒng)建設管理辦法》和《上海財經(jīng)大學信息系統(tǒng)運行維護管理辦法》,從場地與設施安全管理、設備安全管理、系統(tǒng)安全管理、信息安全管理、建設安全管理、運行維護安全管理和技術文檔安全管理7 個方面詳細制定安全管理規(guī)定,并明確系統(tǒng)建設和系統(tǒng)運維過程中相關人員的工作流程和操作規(guī)范,為全校的信息系統(tǒng)安全管理提供依據(jù)。

2023年至2023年,針對信息安全問題突發(fā)性強的特點,為建立健全應急工作機制,提高信息系統(tǒng)安全突發(fā)事件的組織指揮和應急處置能力,最大限度地減輕突發(fā)事件造成的損失,學校完成《上海財經(jīng)大學信息系統(tǒng)安全應急預案》的制定,并在it部門建立起突發(fā)事件應急響應工作機制。與此同時,為加強日常防控來減少突發(fā)事件的發(fā)生,學校it部門制定《運行維護工作條例》對硬件維護、操作系統(tǒng)維護、數(shù)據(jù)庫維護和應用系統(tǒng)維護的各個環(huán)節(jié)的工作流程和操作規(guī)程進行更加詳細的規(guī)定,并在工作中增加安全監(jiān)控、安全檢測、安全策略優(yōu)化、安全審計等環(huán)節(jié)加強對信息系統(tǒng)的安全防護。

2023年初,為明確和建立學校的信息安全策略,為各部門制定操作規(guī)范和開展安全工作提供指導,學校制定《上海財經(jīng)大學網(wǎng)絡信息系統(tǒng)安全管理整體方案》,從信息安全組織體系、管理體系和技術體系3個層次,詳細描述管理策略以及技術手段。該方案的出臺極大地推動it部門管理制度的完善和技術改進,同時也促進各院系、部門內(nèi)部安全管理的強化和人員安全意識的提高。

強化安全管理

信息安全是一項長期的工作,必須將其納入信息系統(tǒng)的日常管理中常抓不懈,防患于未然。信息系統(tǒng)質(zhì)量的內(nèi)涵,除了系統(tǒng)功能和性能滿足業(yè)務要求外,與信息系統(tǒng)安全有關的系統(tǒng)安全性、可靠性、可用性也是系統(tǒng)質(zhì)量控制的范疇。主要采取的管理措施如下:

1.增加建設過程中的評審環(huán)節(jié)

在項目設計、開發(fā)階段成果接近完成時,由項目組會同相關業(yè)務部門共同組織技術評審,包括對系統(tǒng)安全性的審查。評審以項目前期形成的方案、文檔及學校的相關標準和規(guī)范為依據(jù),對該階段形成的方案、技術文檔及系統(tǒng)進行審查、確認等工作,并形成評審結(jié)論。

2.進行內(nèi)部測試和第三方測試

在項目驗收前,除了由項目內(nèi)部和業(yè)務部門參與的集成測試外,聘請專業(yè)的第三方測試機構進行測試。

3.安全檢測與審計雙管齊下,全方位監(jiān)控安全事件

對應用系統(tǒng)和服務器進行每三個月一次的定期安全檢測,有效消除潛在的安全隱患;定期進行應用系統(tǒng)的安全審計、數(shù)據(jù)庫的安全審計、服務器的安全審計、配置管理的安全審計等,避免越權操作及數(shù)據(jù)泄漏事件的發(fā)生。

4.建立突發(fā)事件應急響應機制

基于《上海財經(jīng)大學信息安全應急預案》,建立突發(fā)事件的應急響應機制,落實信息系統(tǒng)的服務級別管理,實行應急預案演練制度,建立預案庫,在突發(fā)事件發(fā)生后形成處置報告,分析原因,改進工作。

5.加強安全意識宣傳與教育

我們可以面向全校師生員工組織一系列的信息安全宣傳和教育活動,包括組織面向?qū)W生和教師的信息安全知識競賽活動,開展信息安全意識培訓等,提高人員的安全防范意識,發(fā)揮人在信息安全對策中的主體作用。

加強技術防范,構筑安全堡壘

系統(tǒng)的日常建設與運行管理中,我們通過構建自動化防控系統(tǒng)來加強系統(tǒng)的安全防范,為應用系統(tǒng)和用戶構筑起堅實的安全堡壘,具體措施包括:

1.搭建版本控制系統(tǒng),確保開發(fā)中源代碼的安全

在程序開發(fā)的過程中,需要多人同時參加和協(xié)作,通過搭建版本控制系統(tǒng),記錄系統(tǒng)建設過程中相關文檔和源代碼的變更過程,防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

2.構建三套獨立環(huán)境,保證正式環(huán)境安全

將系統(tǒng)開發(fā)環(huán)境、系統(tǒng)測試環(huán)境和正式系統(tǒng)進行分離,確保開發(fā)階段和測試階段的工作不影響正式系統(tǒng)的使用。

3.建立備份與恢復機制,保護系統(tǒng)建設成果

建立本地及異地數(shù)據(jù)備份及恢復規(guī)范及方案,研發(fā)數(shù)據(jù)統(tǒng)一管理與備份的相關程序,對系統(tǒng)建設過程中的成果進行及時備份,防止因為誤操作或機器故障導致數(shù)據(jù)丟失,切實保證數(shù)據(jù)的安全。

4.防火墻與入侵監(jiān)測,構筑網(wǎng)絡屏障

在internet和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務器之間架設兩層防火墻,防止校內(nèi)外用戶對服務器的攻擊;部署網(wǎng)絡分析系統(tǒng),實時監(jiān)控網(wǎng)絡流量、網(wǎng)絡攻擊和病毒傳播,為網(wǎng)絡安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關鍵信息系統(tǒng),用戶需要通過vpn加密鏈路才能實現(xiàn)從校外訪問關鍵信息系統(tǒng)。

5.漏洞掃描與日志分析,促進應用安全的不斷提升

在應用系統(tǒng)層,我們采用系統(tǒng)日志分析平臺對應用進行日志分析,捕捉和定位異常事件;定期對應用服務執(zhí)行漏洞掃描,對出現(xiàn)的sql注入、跨站腳本攻擊、網(wǎng)頁非法篡改、強制訪問等系統(tǒng)安全風險及時進行分析和整改。

6.主動式監(jiān)控及時追蹤問題

自主完成服務器軟硬件運行狀態(tài)監(jiān)控系統(tǒng)的開發(fā),實現(xiàn)對服務器運行狀態(tài)及各信息系統(tǒng)狀態(tài)進行主動監(jiān)聽和預警;建立統(tǒng)一日志服務器,對所有系統(tǒng)的日志進行集中管理和備份,確保問題發(fā)生時通過日志進行定位和追蹤。

所謂“三分技術,七分管理”,信息化安全管理問題需要從管理和技術兩方面考慮和解決,依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術的支撐,才能達到“以較小的代價利用有限資源控制安全風險”的目標,更好地保證信息化建設和應用的成果。

第4篇 藥品安全信息化管理暫行規(guī)定

推進藥品經(jīng)營企業(yè)信息化建設，運用信息化手段實現(xiàn)藥品安全監(jiān)管是貫徹落實科學監(jiān)管理念的重要舉措，也是藥品經(jīng)營企業(yè)提高管理水平和工作效率的重要途徑。為進一步提升藥品經(jīng)營企業(yè)質(zhì)量管理水平，促進信息技術在藥品流通領域的應用，實施實時監(jiān)控，根據(jù)國家食品藥品監(jiān)督管理局等上級部門規(guī)定，結(jié)合本縣實際，現(xiàn)就全縣藥品經(jīng)營企業(yè)實行信息化管理作如下規(guī)定，請遵照執(zhí)行。

一、藥品經(jīng)營企業(yè)計算機管理系統(tǒng)建設

全縣所有藥品經(jīng)營企業(yè)均應配置專用計算機，實現(xiàn)藥品購銷存信息化管理，保證藥品質(zhì)量可控可追溯。計算機設施和管理系統(tǒng)應符合以下要求：

1、具有獨立的計算機管理信息系統(tǒng)，能覆蓋企業(yè)內(nèi)藥品的購進、儲存、銷售以及經(jīng)營和質(zhì)量控制的全過程，保證藥品購、銷、存數(shù)量保持一致；能全面記錄企業(yè)經(jīng)營管理及實施《藥品經(jīng)營質(zhì)量管理規(guī)范》方面的信息；符合《藥品經(jīng)營質(zhì)量管理規(guī)范》對藥品經(jīng)營各環(huán)節(jié)的要求。

2、應配備能通過計算機自動開具載明藥品名稱、生產(chǎn)廠商、批號、數(shù)量、價格等內(nèi)容的銷售憑證設備，藥店在銷售藥品時均應向購藥者出具銷售憑證。同時，應在店堂醒目處告示消費者有權索取藥品銷售憑證，使廣大群眾知道藥品銷售憑證開具有效憑證的規(guī)定，保障群眾用藥安全。

3、保證計算機系統(tǒng)的安全性。

（1）計算機系統(tǒng)自身安全，主要包括利用防毒、防火等軟、硬件設備保障系統(tǒng)本身不易受破壞和干擾，保證其正常運行；同時，定期做好備份。

（2）計算機系統(tǒng)使用安全，主要包括系統(tǒng)操作人員權限的設定、分配應符合要求，能按照法律法規(guī)和崗位職責進行權限的分配，不會出現(xiàn)非本崗位的操作功能。

4、計算機系統(tǒng)數(shù)據(jù)信息能隨時接受藥品監(jiān)管部門檢查、查詢、復制。

二、藥品經(jīng)營企業(yè)在線遠程監(jiān)管系統(tǒng)建設

1、應在營業(yè)場所內(nèi)指定一臺固定電話，報藥品監(jiān)管部門備案，確保通訊暢通，并保證在崗人員能隨時接聽來電。

2、以企業(yè)身份申請注冊qq帳號，加入藥品監(jiān)管部門統(tǒng)一指定的qq群（群號202038542），由企業(yè)負責人負責管理，可委托藥店從業(yè)人員操作，確保不因從業(yè)人員變動而影響正常登錄使用；qq設置為自動登陸，在營業(yè)期間保持處于正常在線狀態(tài)，指定專人負責接收發(fā)qq群內(nèi)發(fā)布的各項通知、公告等信息。

3、配備網(wǎng)絡視頻設施，確保藥品監(jiān)管部門在巡查藥師是否在崗等情況時能正常啟用。

4、所有購進品種應及時上傳至浙江省藥品信用信息系統(tǒng)，并保證品種信息完整、準確、真實，為藥品監(jiān)管部門實行購進品種在線監(jiān)管提供條件。

5、具備能與藥品監(jiān)管部門開展實時監(jiān)控的數(shù)據(jù)接口，為藥品監(jiān)管部門對購銷品種和溫濕度在線監(jiān)管提供條件。

三、其它規(guī)定事項

1、藥品經(jīng)營企業(yè)駐店藥師需要請假或調(diào)整在崗排班表的，應提前以電子文檔格式報送至藥品監(jiān)管部門指定的電子郵箱。

2、藥品經(jīng)營企業(yè)在實施藥品安全信息化體系建設的表現(xiàn)情況與將企業(yè)信用等級評定掛鉤。對于本規(guī)定的各事項履行不到位，尤其是藥品購銷存記錄不及時輸入電腦臺帳、經(jīng)營品種不及時上傳至省局信用系統(tǒng)、不同步開具銷售憑證的，將加大日常監(jiān)督檢查深度和頻次，強化監(jiān)督抽樣的力度，降低信用等級，構成違法的，依法予以從重處理，并予以實名通報。

第5篇 綠谷集團計算機信息系統(tǒng)安全管理規(guī)定

第一章 總則

第一條 為了保護綠谷集團網(wǎng)絡系統(tǒng)的安全、促進計算機網(wǎng)絡的應用和發(fā)展、保證網(wǎng)絡的正常運行和網(wǎng)絡用戶的使用權益，制定本安全管理規(guī)定。

第二條 本管理規(guī)定所稱的網(wǎng)絡系統(tǒng)，是指由綠谷集團投資購買、由網(wǎng)絡與信息中心負責維護和管理的網(wǎng)絡節(jié)點設備、配套的網(wǎng)絡線纜設施及網(wǎng)絡服務器、工作站所構成的、為網(wǎng)絡應用及服務的硬件、軟件的集成系統(tǒng)。

第三條 綠谷網(wǎng)絡系統(tǒng)的安全運行和系統(tǒng)設備管理維護工作由信息設計部負責。任何單位和個人，未經(jīng)網(wǎng)絡負責單位同意、不得擅自安裝、拆卸或改變網(wǎng)絡設備。

第四條 任何單位和個人、不得利用聯(lián)網(wǎng)計算機從事危害綠谷網(wǎng)站及本地局域網(wǎng)服務器、工作站的活動，不得危害或侵入未授權的服務器、工作站。

第五條 任何單位和個人不得利用公司內(nèi)部網(wǎng)和國際聯(lián)網(wǎng)危害公司安全、泄露公司秘密，不得侵犯公司的利益，不得從事違法犯罪活動。

第二章安全保護運行

一、操作管理

第六條 除網(wǎng)絡負責單位，其它單位或個人不得以任何方式對計算機信息網(wǎng)絡功能及計算機信息網(wǎng)絡中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改或者增加;

第七條未經(jīng)保管人允許，任何人不得擅自使用她人電腦;

第八條 任何單位和個人不得利用內(nèi)部網(wǎng)國際聯(lián)網(wǎng)制作、復制、查閱和傳播下列信息：

1、捏造或者歪曲事實，散布謠言，擾亂公司秩序的;

2、宣揚淫穢、色情的;

3、公然侮辱她人或者捏造事實誹謗她人的;

4、損害公司形象的;

第九條 任何單位和個人不得將涉及公司秘密的計算機信息系統(tǒng)，直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接;

第十條 任何單位和個人不得將公司秘密的信息，在國際聯(lián)網(wǎng)的計算機信息系統(tǒng)中存儲、處理、傳遞;

第十一條 任何單位和個人不得在電子公告系統(tǒng)、聊天室、網(wǎng)絡新聞組上發(fā)布、談論和傳播公司秘密信息;

第十二條 未經(jīng)允許，任何單位和個人不得私自將計算機接入局域網(wǎng);

第十三條 有密碼功能的計算機要求設置密碼;人員離開計算機后，要求退出系統(tǒng)并關機，或設計屏幕保護密碼;

二、軟件管理

第十四條 公司上網(wǎng)計算機操作軟件必須由專人負責同一安裝，任何單位和個人不得擅自安裝其它軟件;

第十五條 嚴禁在公司網(wǎng)絡及計算機上使用來歷不明、引發(fā)病毒傳染的軟件;

第十六條 嚴禁在公司網(wǎng)絡及計算機上使用盜版軟件;

三、文件管理

第十七條 重要文件必須及時備份;

第十八條 盡量減少文件共享，共享文件必須設置密碼;

四、病毒管理

第十九條 每臺計算機必須安裝殺毒軟件及防火墻;

第二十條 每臺計算機必須定時查毒和升級殺毒軟件，發(fā)現(xiàn)病毒立即上報信息設計部;

第二十一條 嚴禁故意制作、傳播計算機病毒等破壞性程序;

第二十二條 嚴禁使用未經(jīng)殺毒的軟盤;

第二十三條 嚴禁未經(jīng)殺毒拷貝文件，或?qū)⑽募l(fā)送到其它客戶機上;

第二十四條 嚴禁接受和發(fā)送未經(jīng)殺毒的電子郵件;

第二十五條 新系統(tǒng)安裝前必須進行病毒檢測;

五、硬件管理

第二十五條 任何單位和個人不得以任何借口盜竊、破壞網(wǎng)絡設施;

第二十六條 公司內(nèi)從事施工、建設，不得危害計算機網(wǎng)絡系統(tǒng)的安全;

第二十七條 除計算機維護人員，任何單位和個人不得隨意拆卸所使用的計算機或相關設備;

第二十八條 計算機房間鑰匙不得隨意轉(zhuǎn)借她人使用，做到人走鎖門;

第二十九條 裝有計算機房間內(nèi)的電線必須按規(guī)定鋪設，不得私拉亂接;

六、監(jiān)督管理

第三十條 每臺計算機由使用人負責日常維護及安全管理;

第三十一條 網(wǎng)絡各類服務器中開設的帳戶和口令為個人用戶所擁有，信息設計部對用戶口令保密，任何單位和個人不得隨意提供這些信息。

第三十二條 各單位和用戶，應當接受并配合信息設計部實施的監(jiān)督檢查，并根據(jù)信息設計部的要求，刪除計算機及網(wǎng)上不符合規(guī)定的內(nèi)容;

第三十三條 各部門和用戶，發(fā)現(xiàn)違反規(guī)定情況時，應當立即向信息設計部報告;

第三十四條 負責部門必須定期檢查安全情況，對網(wǎng)絡上有害信息及時控制并刪除，不得傳播;

第三十五條 人員離崗離職必須到信息設計部登記，做好軟硬件及帳號、密碼交接工作;

第三章 違規(guī)責任與處罰

第三十六條 違反上述規(guī)定造成公司秘密泄漏、數(shù)據(jù)丟失、硬件損壞、病毒感染、對公司或她人造成不良影響者以及使用盜版軟件者，根據(jù)具體情況追究當事人及其直接領導責任;

第四章 其她

第三十七條 本管理制度自公布之日起實行。

第6篇 工業(yè)企業(yè)安全信息及歸檔管理辦法

工業(yè)公司安全信息及歸檔管理辦法

1、主題內(nèi)容與使用范圍

本辦法規(guī)定了安全信息管理體系、信息管理機構的職責、信息內(nèi)容、處理程序、填報要求、歸檔及檢查與考核。

本辦法適用于我公司安全生產(chǎn)信息及檔案管理。

2、引用文件

qjl424《安全生產(chǎn)管理通用表格》

3、術語

安全信息:國家和上級有關安全生產(chǎn)管理要求中所涉及的各種數(shù)據(jù)、報表、原始資料、檔案和文件。

4、安全信息管理體系

4.1經(jīng)營部是我公司安全信息歸口管理單位,負責安全信息的收集、傳遞、處理、反饋、分析、匯總、貯存及歸檔工作。

4.2各基層單位安全員負責本單位安全信息的收集、傳遞、處理、反饋等工作。

5、各級信息管理人員的職責

5.1公司安全第一負責人對本公司安全信息系統(tǒng)的正常運轉(zhuǎn)負責。

5.2主管安全副總經(jīng)理負責組織協(xié)調(diào)公司安全信息管理工作,審批、下達公司安全信息調(diào)查、建檔、統(tǒng)計任務。

5.3各單位安全第一負責人負責組織協(xié)調(diào)本單位安全信息管理工作,保證所下達的信息工作的正常進行。

6、安全信息內(nèi)容

6.1 qjl424中所規(guī)定的內(nèi)容。

6.2國家和上級有關安全生產(chǎn)監(jiān)察規(guī)程所要求的數(shù)據(jù)、資料。

6.3各級安全部門為貫徹國家和上級有關安全生產(chǎn)規(guī)定而提出的統(tǒng)計、建檔資料。

6.4上級有關安全生產(chǎn)的文件、法令及公司內(nèi)各項安全規(guī)章制度。

6.5各單垃安全生產(chǎn)管理的信息包括:

a.重大安全事故和重大安全問題及需要上級或有關部門協(xié)調(diào)、緊急處理的安全問題。

b.工傷事故分析報告、安委會會議執(zhí)行情況、安全檢查情況、隱患整改情況、技措計劃的實施情況、安全活動、安全教育培訓、安全組織機構變動情況。

c.單位年度安全工作計劃、目標、工作總結(jié)及其它有關情況。

d.與安全工作有關的原始記錄、檔案。

7、安全信息傳遞與處理

7.1在生產(chǎn)管理過程中,公司內(nèi)各單位發(fā)現(xiàn)安全問題需反饋到總公司的,由發(fā)出信息單位以文字形式上報經(jīng)營部。

7.2經(jīng)營部接受基層的信息后,按信息內(nèi)容,及時進行調(diào)查核實,提出處理意見,明確責任單位、反饋時間要求等,立即反饋給責任單位執(zhí)行。

7.3責任單位負責按信息內(nèi)容及經(jīng)營部處理意見組織處理,將處理情況填寫清楚,并按要求反饋給經(jīng)營部。

7.4經(jīng)營部負責信息存檔工作。

8、安全信息填報要求

8.1提供的信息必須備有相應完整可靠的原始記錄,隨時為查詢服務。

8.2提供的信息必須符合規(guī)定的格式,便于統(tǒng)計和貯存,通用表格如下:

8.2.1安全生產(chǎn)管理通用表格隱患類表格 見qjl424.3―88

8.2.2安全生產(chǎn)管理通用表格技措類表格 見qjl424.4―88

8.2.3安全生產(chǎn)管理通用表格獎懲類表格 見qjl424.5―88

8.2.4安全生產(chǎn)管理通用表格管理類表格 見qjl424.6―88

8.2.5安全生產(chǎn)管理通用表格有害作業(yè)類表格 見qjl424.7―88

8.3提供的信息必須在規(guī)定時間內(nèi)傳遞完畢。

8.4提供的信息必須有填報人和單位領導審查簽字。

9、安全信息資料歸擋要求

9.1經(jīng)營部建立七種安全管理檔案和八種安全管理圖表,并歸檔。

9.2七種安全管理檔案:

9.2.1工傷事故檔案。

9.2.2安全教育檔案。

9.2.3安全獎懲檔案。

9.2.4安全技術措施項目檔案。

9.2.5特種設備檔案(主要指吊車、壓力容器、空壓機等)。

9.2.6隱患及整改記錄。

9.2.7違章記錄。

9.3八種圖表:

9.3.1安全機構網(wǎng)絡體系圖。

9.3.2危險點和塵毒點分布圖。

9.3.3公司內(nèi)動力管線分布圖。

9.3.4配電系統(tǒng)及接地線布置圖;

9.3.5歷年工傷事故頻率圖。

9.3.6工傷事故年度統(tǒng)計圖。

9.3.7多發(fā)性事故及重大事故樹形圖。

9.3.8安全信息反饋圖。

10、檢查與考核

10.1本制度的執(zhí)行情況列為公司安全工作經(jīng)濟承包任務考核內(nèi)容,按年度進行檢查與考核。

10.2經(jīng)營部按制度檢查與考核,綜合評比各職能部門、分公司的安全信息管理工作。

勞保用品標準

第7篇 談輸電網(wǎng)安全性評價信息管理工作

云南電網(wǎng)公司自1997年開始推行水電廠、火電廠和供電企業(yè)的安全性評價工作以來，積累了很多行之有效的工作方法。為了適應電網(wǎng)發(fā)展和云電外送對電網(wǎng)安全的需求，云南電網(wǎng)公司在2003年初開始進行輸電網(wǎng)安全性評價的前期宣傳、調(diào)研工作，并著手進行了輸電網(wǎng)安全性評價信息管理系統(tǒng)的開發(fā)工作。

1 輸電網(wǎng)安全性評價信息管理系統(tǒng)建設的必要性

(1) 安全性評價信息管理系統(tǒng)能實現(xiàn)現(xiàn)代化電網(wǎng)管理對輸電網(wǎng)安全性評價的快捷性、準確性、實時性提出的更高要求。

(2) 輸電網(wǎng)安全性評價是過程管理，這一過程管理要求循序漸進，評價、分析、評估、整改各階段工作要形成嚴格閉環(huán)，每一輪評價都要建立在上一輪評價反饋信息的基礎上。同時，輸電網(wǎng)安全性評價又是動態(tài)的，包括評價內(nèi)容要不斷完善和更新，評價標準要不斷修訂，評價過程要不斷推進，評價質(zhì)量要不斷提高等。采用信息管理系統(tǒng)才能適應輸電網(wǎng)評價動態(tài)與發(fā)展的要求。

(3) 采用信息管理系統(tǒng)有利于提高輸電網(wǎng)安全性評價的制度化、規(guī)范化管理，也是輸電網(wǎng)安全性評價日常工作管理的需要，能達到實現(xiàn)輸電網(wǎng)安全性評價長效管理的目的。

(4) 輸電網(wǎng)安全性評價信息管理系統(tǒng)是實現(xiàn)輸電網(wǎng)安全性評價企業(yè)自主管理的途徑。通過信息系統(tǒng)能快速地實現(xiàn)自我找缺陷、自我找隱患、自我找問題，能主動、便捷、準確地獲得電網(wǎng)安全性的信息，能及時采取加強電網(wǎng)安全的有力措施，以實現(xiàn)基于風險管理的長效過程管理。

(5) 輸電網(wǎng)安全性評價信息管理系統(tǒng)可克服手工對評價信息進行記錄、整理、上報所存在的弊端，如難以保證信息的及時性和準確性、不能充分利用評價信息、無法全面對其進行分析等。

2 輸電網(wǎng)安全性評價信息管理系統(tǒng)的建設目標

輸電網(wǎng)安全性評價信息管理系統(tǒng)的建設目標是，通過先進信息技術，改進效率較低的安全性評價手段，實現(xiàn)輸電網(wǎng)安全性評價高效、準確、可靠的目的。將輸電網(wǎng)安全性評價理論、執(zhí)行流程與先進的計算機網(wǎng)絡技術有機地結(jié)合起來，通過系統(tǒng)的開發(fā)，協(xié)助企業(yè)高效地完成層層自查、評價、整改、復查、統(tǒng)計、分析、上報、審核等工作，形成電網(wǎng)企業(yè)自我約束、自我發(fā)展的安全生產(chǎn)機制，使電網(wǎng)安全基礎不斷得到鞏固，從而產(chǎn)生良好的安全經(jīng)濟效益。

3 輸電網(wǎng)安全性評價信息管理系統(tǒng)應實現(xiàn)的功能

(1) 通過網(wǎng)絡上報數(shù)據(jù)和遠程報表傳遞，克服傳統(tǒng)工作方式下跨部門協(xié)同工作帶來的效率低下的缺點。采用系統(tǒng)進行報表處理，節(jié)省人力物力，保證評價信息的及時性和準確性。

(2) 提供通用的web數(shù)據(jù)庫查詢功能，使各電力企業(yè)可以快速地查詢與輸電網(wǎng)安全性評價工作相關的數(shù)據(jù)和標準，提高評價工作效率。

(3) 通過任務狀態(tài)跟蹤，為安監(jiān)部門提供對基層單位任務進展狀況查詢的工具，保證評價項目的順利進行。

(4) 對評價所形成的典型問題及整改建議采用專家知識庫方式進行管理。

(5) 實現(xiàn)對評價發(fā)現(xiàn)問題的狀態(tài)記錄，確保發(fā)現(xiàn)問題能夠得到及時處理。

(6) 實現(xiàn)輸電網(wǎng)安全性評價數(shù)據(jù)在網(wǎng)絡上隨時可查，使得企業(yè)領導對企業(yè)的安全狀態(tài)心中有數(shù)，并具體掌握本企業(yè)以及企業(yè)內(nèi)部各方面、各系統(tǒng)安全基礎的強弱程度。

4 安全性評價信息管理系統(tǒng)的實現(xiàn)方案

系統(tǒng)的開發(fā)采用目前較為流行、易于實現(xiàn)的browser/server架構方式實現(xiàn)。突出系統(tǒng)基于網(wǎng)絡的異地協(xié)同工作模式，系統(tǒng)—模塊化編碼，易于將來的擴展以及兼容其它安全性評價系統(tǒng)。同時，結(jié)合移動設備(掌上電腦)的使用，實現(xiàn)掌上電腦與后臺服務器的通信，達到現(xiàn)場查評數(shù)據(jù)電子保存、自動提交的目的。

4.1 系統(tǒng)主要功能模塊設置

系統(tǒng)主要功能模塊設置見圖1。

4.2 評價任務管理模塊

輸電網(wǎng)安全性評價工作一般由企業(yè)自查、資料匯總分析、專家組查評、總結(jié)和布置整改4個任務組成。

評價任務管理模塊功能即實現(xiàn)查評任務建立，任務相關描述信息(查評方式、要求、范圍、時間等)的錄入和保存，以及承擔任務人員的分配。

4.3 評價內(nèi)容管理模塊

系統(tǒng)評價內(nèi)容的設計將采用模塊化，即實現(xiàn)對評價內(nèi)容模板的新增、修改、刪除功能，使評價內(nèi)容成為動態(tài)可更新的標準信息，以適應相關評價標準的變化，使系統(tǒng)在盡可能長的時間范圍內(nèi)具有良好的實用性。

引入知識庫管理功能，該項功能將已經(jīng)過專家組查評并給出整改意見的典型問題入庫，作為系統(tǒng)運行經(jīng)驗數(shù)據(jù)保存，以后查評中再次發(fā)現(xiàn)相同問題時，系統(tǒng)根據(jù)知識庫信息提供標準問題描述以及專家整改意見，供參考?？杀苊庵貜托缘墓ぷ?，提高查評工作效率，并可進一步對典型問題出現(xiàn)頻率進行分析，找出問題的內(nèi)在聯(lián)系，為分析提供有效的輔助工具。

4.4 評價項目評分模塊

該模塊提供安全性評價工作評分的功能，可以采用在線和移動2種方式進行。

在線評分：用戶可以通過任何1臺聯(lián)網(wǎng)計算機的瀏覽器登錄系統(tǒng)，將預先查評的結(jié)果錄入系統(tǒng)。系統(tǒng)將其詳細評分數(shù)據(jù)和結(jié)果保存，并將其任務提交給上級匯總分析。

移動評分：用戶可以預先將需要的數(shù)據(jù)從服務器下載到掌上電腦中，攜帶至現(xiàn)場，通過移動評分程序完成現(xiàn)場查評工作。該程序可以在現(xiàn)場為工作人員提供相關查評標準的查詢和歷史查評數(shù)據(jù)的查閱功能，同時將現(xiàn)場查評結(jié)果保存。將其與桌面計算機連接后可以自動將查評結(jié)果傳回到數(shù)據(jù)庫服務器。

4.5 任務狀態(tài)跟蹤模塊

安全性評價工作中安監(jiān)部門需要時刻掌握評價項目協(xié)作部門的工作進展情況，以保證評價項目的順利完成。該模塊將對安監(jiān)部門提供針對供電企業(yè)查評工作情況的查詢功能，在系統(tǒng)中準確反映該企業(yè)查評工作已經(jīng)完成了多少，發(fā)現(xiàn)了多少問題，使得評價項目協(xié)作部門的查評進度實時在系統(tǒng)中得到反映。

4.6 評價報表打印模塊

該模塊提供查評工作中所產(chǎn)生的報告的自動生成功能，用戶在查評數(shù)據(jù)錄入完成后可使用該功能自動生成報表。

4.7 評價人員管理模塊

該模塊實現(xiàn)與實際工作中一致的人員組織管理，實現(xiàn)網(wǎng)絡下達任務、網(wǎng)絡跟蹤任務的人員配置。人員組織形式具體分為集團公司職能部門(地區(qū)供電局)、所隊(分局)、基層班組3個層次。

5 輸電網(wǎng)安全性評價信息管理系統(tǒng)的運用效果

2004年，云南電網(wǎng)公司在開展輸電網(wǎng)安全性評價工作中運用了根據(jù)本企業(yè)查評流程開發(fā)的信息管理系統(tǒng)，數(shù)據(jù)的錄入、上報和評價、整改任務的下達、監(jiān)督都通過系統(tǒng)進行，使得工作效率和質(zhì)量得到大大提高，在當年圓滿完成了查評工作，按時完成了年度工作計劃。目前，各單位的整改工作已結(jié)合年度計劃在進行當中，其進展情況在系統(tǒng)中得到直觀的監(jiān)督。同時，為供電單位和電網(wǎng)規(guī)劃、建設、改造工作提供了翔實的依據(jù)，為云南電網(wǎng)安全穩(wěn)定水平的提高提供了決策的依據(jù)。

6 輸電網(wǎng)安全性評價信息管理系統(tǒng)功能擴展設想

在開發(fā)輸電網(wǎng)安全性評價管理系統(tǒng)的時候，由于采用了模塊化設計，將來可繼續(xù)集成安全性評價的其他系統(tǒng)，如供電企業(yè)安全性評價、調(diào)度機構安全性評價、并網(wǎng)發(fā)電廠并網(wǎng)運行安全性評價等平臺的開發(fā)，從而最終完善整個安全性評價系統(tǒng)。

第8篇 搞好安全信息管理提高企業(yè)安全管理水平

安全信息管理是電力企業(yè)安全管理的重要組成部分，是指導安全生產(chǎn)和做出安全決策的重要依據(jù)，搞好企業(yè)內(nèi)部安全信息管理對提高企業(yè)安全管理水平，預防、控制事故的發(fā)生，有著極其重要的作用。

1. 安全信息的分類

安全信息包括安全情報、資料、臺帳、指令以及發(fā)生在生產(chǎn)現(xiàn)場的事故、障礙、異常、未遂、差錯的具體行為等，它應反映出企業(yè)整個生產(chǎn)過程的基本安全情況，企業(yè)內(nèi)部安全信息的獲得可來自企業(yè)內(nèi)部和外部，一般以企業(yè)內(nèi)部的安全信息為主，采取內(nèi)外結(jié)合的原則。

安全信息分類的目的是為了便于具體認識與運用安全信息去指導安全生產(chǎn)，提高安全管理水平，從而有效地預防和控制事故的發(fā)生。安全信息分類主要是根據(jù)安全信息的產(chǎn)生和作用來進行的，安全信息大體可分為3類：

(1) 安全指令信息。是指上級領導及管理部門下發(fā)的各種安全工作的文件、指令、要求、事故通報、安全生產(chǎn)簡報、其他單位安全管理經(jīng)驗以及事故教訓等信息。

(2) 安全動態(tài)信息。是指生產(chǎn)過程中的安全運行情況、安全規(guī)章制度的制定和落實情況；易燃易爆等危險品及現(xiàn)場設施防護完善狀況；生產(chǎn)中出現(xiàn)的異?，F(xiàn)象；現(xiàn)場作業(yè)工人的情緒以及工器具、設備的異常狀態(tài)等多方面的安全動態(tài)信息。

(3) 安全反饋信息。是指能將在執(zhí)行安全指令過程中發(fā)生的人的不安全行為、物的不安全狀態(tài)以及環(huán)境的不安全因素等信息及時反饋到安全監(jiān)督人員和相應決策部門，通過閉環(huán)控制、偏差管理，及時作出新的決策，制定新的防范措施。

2. 安全信息管理

安全信息管理要采用現(xiàn)代科學管理的理論和方法，應體現(xiàn)“及時、準確、適用”3個特性：

(1) 及時性——收集、傳遞、反饋、運用、處理安全信息要及時，錯過收集和使用的時間，安全信息就失去應有的作用。如：對于在裝設三相短路接地線時，沒有用驗電器在停電設備上驗明確無電壓，就直接在停電設備上裝設接地線的違規(guī)行為，如果在生產(chǎn)中能及時發(fā)現(xiàn)并糾正，就能有效地控制、預防事故的發(fā)生，否則，就可能導致事故。

(2) 準確性——收集到的安全信息要真實、準確、完整，實事求是，不弄虛作假，否則就會影響安全信息的使用效果，甚至可能做出不符合實際的決策，貽誤了安全管理工作。如：在電氣倒閘操作過程中，沒有使用操作票，原因是領導允許無票操作。在收集此信息時，如果只收集到無票進行電氣倒閘操作的違章作業(yè)行為，而沒有收集到領導違章指揮的事實，就不能使決策部門提出全面的整改措施，其結(jié)果是只解決了無票操作的違章作業(yè)問題，而沒有解決領導的違章指揮問題。

(3) 適用性——安全信息的使用價值因人們的需求和使用的時間、方式、對象、地點不同而不同。只有適用的安全信息，才能促進安全管理工作，才能充分發(fā)揮安全信息的作用。如：在學習兄弟單位安全管理經(jīng)驗時，不結(jié)合本企業(yè)的安全生產(chǎn)實際情況，生搬硬套，就不可能充分發(fā)揮安全信息的作用。

一個企業(yè)安全工作的好壞，在一定程度上取決于企業(yè)對安全信息的收集、處理和利用的狀況。企業(yè)的安全信息管理應該通過收集、分析、管理、處理、傳遞等環(huán)節(jié)形成一個自上而下、自下而上的高效、流通的閉環(huán)反饋系統(tǒng)。只有這樣，才能夠使領導全面準確地掌握安全信息，作出符合實際的決策，然后，再下達給基層，指導生產(chǎn)一線的安全管理。

3. 安全信息管理的基本環(huán)節(jié)

(1) 建立安全信息管理制度。從制度上保證安全信息在企業(yè)中的流通，把安全信息管理工作納入議事日程中，在討論研究安全工作時，應討論研究安全信息的應用管理工作，解決安全工作中存在的問題，保證安全信息所具有的作用在安全管理中得到充分發(fā)揮。

(2) 建立安全信息管理網(wǎng)。通過安全信息管理網(wǎng)及時傳達有關安全生產(chǎn)的法規(guī)和方針政策，了解兄弟單位及本企業(yè)的安全生產(chǎn)動態(tài)，并將重要的安全信息及時、準確地傳送到信息管理網(wǎng)，實現(xiàn)資源共享，提高工作效率。

(3) 落實安全信息管理責任制。安全信息要分級管理，分工明確，責任到人，提高安全信息的利用率，保證安全信息正常運轉(zhuǎn)，保證安全信息管理得力、有效。

(4) 加強班組安全信息收集。班組是企業(yè)最小的基層單位，又是安全信息的重要來源。加強班組信息管理是搞好信息收集和反饋的重要環(huán)節(jié)。

(5) 加強信息檔案工作。安全信息建檔資料是企業(yè)寶貴的財富，它可以幫助人們了解企業(yè)安全生產(chǎn)的狀況，及時作出正確決策，掌握安全生產(chǎn)主動權，對提高安全管理水平，預防、控制事故的發(fā)生有著重要的作用。

第9篇 信息系統(tǒng)密碼安全管理辦法

1.1制定目的

(1) 規(guī)范公司信息系統(tǒng)密碼管理。

(2) 確保網(wǎng)絡安全運行,保護信息系統(tǒng)、服務器不受侵害。

1.2適用范圍

凡隸屬本公司信息系統(tǒng)用戶,悉依照本辦法所規(guī)范之體制管理。

1.3權責單位

(1) 信息科負責本辦法制定、修改、廢止之起草工作。

(2) 總經(jīng)理負責本辦法、修改、廢止之核準。

2 信息系統(tǒng)密碼安全管理辦法

(1) 服務器、應用系統(tǒng)賬號和密碼要專人專管不得轉(zhuǎn)借他人使用。為了避免賬號被盜,密碼不定期更換,建議密碼長度不少于6位,建議數(shù)字與密碼組合使用。

(2) 如果用戶密碼忘記,需用戶本人親自申請恢復密碼。

(3) 擁有新賬戶的員工,需盡快修改初始密碼,防止賬號被盜用。

(4) 服務器和服務器數(shù)據(jù)庫超級用戶必須設置密碼,系統(tǒng)管理員嚴格保管數(shù)據(jù)庫和服務器的登錄密碼。

(5) 服務器和數(shù)據(jù)庫的超級用戶密碼設置位數(shù)必須大于10位。除數(shù)據(jù)庫的超級用戶密碼和服務器密碼不定期更換,其他密碼由信息中心工程師定期更換,操作時間為每月1號,并在信息總監(jiān)處以電子形式留有備份,提交備份時間為每月1號。 密碼類型 密碼長度 更換時間 服務器超級用戶密碼 大于10位 兩個月更換一次 數(shù)據(jù)庫超級用戶密碼 大于10位 設置好后不做更換 系統(tǒng)管理員密碼 大于6位 一個月更換一次 ftp及防火墻等管理員密碼 大于6位 一個月更換一次

(6) 機房工作人員應嚴格執(zhí)行密碼管理規(guī)定,對操作密碼定期更改,任何密碼不得外泄,如有因密碼外泄而造成各種損失的,由當事人負全部責任。

2022-2-1

第10篇 煤礦安全信息閉環(huán)管理系統(tǒng)體系辦法

林場煤礦安全信息運行閉環(huán)管理是全礦安全隱患管理的關鍵,其運行質(zhì)量如何直接影響著礦井安全隱患管理水平得高低。為進一步規(guī)范和完善我礦的安全信息運行管理系統(tǒng),夯實我礦安全管理基礎,提高我礦安全管理水平,保證我礦安全生產(chǎn)長治久安,特制定本管理制度。

一、 運行程序:

安全信息運行必須遵守以下五個程序,即:檢查→填卡→篩選處理和通知→整改反饋→復查

二、 具體要求:

(一)、檢查:

1、礦屬各級安全管理、檢查人員到現(xiàn)場后,要對現(xiàn)場的安全隱患進行全面的檢查、識別、評價。

2、對發(fā)現(xiàn)的“三違”要立即制止并按有關規(guī)定處罰。

3、對查出的、可對現(xiàn)場施工人員直接構成威脅的安全隱患:

(1)、能現(xiàn)場處理的,必須立即采取措施組織現(xiàn)場人員處理解決。

(2)、不能現(xiàn)場處理而又不能保證現(xiàn)場施工安全的,必須立即責令其停止作業(yè)并匯報調(diào)度室,由調(diào)度員及時匯報礦分管領導采取措施組織處理。在隱患沒有得到解決之前,不準進入作業(yè)。

(3)、不能現(xiàn)場解決,暫時又不會對現(xiàn)場人員造成傷害的,要提出整改意見并作好準確記錄,由現(xiàn)場負責人簽字,上井后按要求到礦安全信息中心填寫信息卡,限期解決。

(4)、對現(xiàn)場檢查不認真,該查出的隱患沒查出,該制止的“三違”不制止,一經(jīng)發(fā)現(xiàn),將給予20至50元罰款。若在其檢查過的路線內(nèi)24小時內(nèi)發(fā)生事故,經(jīng)分析認定檢查人員有責任的,將給予嚴肅處理。

(二)填卡:凡進行安全檢查的礦屬各級干部和各類安全監(jiān)察人員,必須到礦調(diào)度室即安全信息中心平臺,按照要求填寫記錄簿。填寫時要詳細填寫:

1、檢查人的單位、姓名、同行人、年、月、日、班次、詳細經(jīng)過路線。

2、所查隱患的單位、地點或工程名稱、隱患的具體內(nèi)容、整改意見、是否整改、接受指令人的姓名等,內(nèi)容不得少于兩條。

3、大檢查和陪同上級領導的檢查同行人員可填寫同一張卡上,正常檢查一律要求一人一卡。填寫要符合有關質(zhì)量標準化要求。對填卡不認真,經(jīng)信息中心平臺信息員篩選不合格的填卡人將給予每條10元罰款、通知重新填卡并通報批評。

(三)篩選處理和通知:

安全信息中心平臺信息員對安全信息卡要進行認真篩選處理:

1、 檢查鑒定信息卡是否合格并做好標記,對填寫不認真、字跡潦草、內(nèi)容不清楚的不合格卡進行處罰并通知其本人重填。

2、 對篩選出的安全隱患要登記做好臺帳,同時一式三份填寫隱患整改通知單,于當班將通知單通知到責任單位值班人員,并按照貫徹要求讓被通知單位的人員在通知單第一聯(lián)上簽字。

3、對確需礦領導平衡處理的,另行填寫安監(jiān)人員意見書,報礦分管領導,由礦領導在意見書上簽署意見后,將意見書下達到有關責任單位整改。

4、篩選出的不危機現(xiàn)場安全的問題,用電話通知有關單位的人員加強注意和改正,并在卡上記錄通知人、接收人及時間。

(四)整改和反饋:

1、責任單位值班人員接到隱患整改通知后,除由兼職信息員將隱患登記做好臺帳外,要根據(jù)整改意見采取措施,安排人員負責處理。對重要隱患,要立即交單位負責人根據(jù)整改意見,制定專門措施,安排專人負責處理。

2、在解決過程中要嚴格按章作業(yè),保證人員安全。

3、整改單位在接到整改通知單的第二天,要在現(xiàn)場隱患反饋單上認真填寫:接到整改指令人、整改人、整改時間、填表人、由單位負責人簽字后,及時傳遞反饋到安全信息中心。

4、反饋單的填寫要符合所有體系貫標的要求。

5、對不能在限期內(nèi)整改完的,要在反饋單上詳細說明原因,必要時應有業(yè)務科室及分管礦領導簽字認可。

6、對電話通知的問題應詳細記錄接整改指令人、整改人、整改時間和結(jié)果。

7、對不按要求整改、簽字、將給予50元的罰款。

(五)復查

由安全科組織安全小分隊或小班安檢員進行復查并記錄。對經(jīng)復查,發(fā)現(xiàn)有簽字已整改而現(xiàn)場未整改的弄虛作假現(xiàn)象,對整改負責人和單位負責人分別給予每條罰款100元,對單位每條加罰100元,并通報批評、責令立即整改,重新下達隱患整改通知單,納入新的信息運行系統(tǒng)。

同時,對電話通知,信息反饋已整改的問題,要實行抽查制度,具體每天由信息主任篩選確定安排復查。

三、 統(tǒng)計、通報、處罰:

信息主任(1)每天對信息員執(zhí)行制度的質(zhì)量情況進行檢查,重點檢查是否有該通知而未通知,該下卡而未下卡的情況,一經(jīng)發(fā)現(xiàn)應視其情節(jié)給予批評教育、罰款20--50元,督促指導信息員做好信息運行工作。

(2)每周對信息運行情況進行統(tǒng)計,形成統(tǒng)計報表。由安全科在周一安全辦公會上通報各單位隱患整改情況;對未按要求整改的責任單位和責任人給予通報批評、處罰和考核扣分。

四、信息溝通、反饋及爭議處理:

為及時發(fā)現(xiàn)和糾正信息的失實和不足,有效解決安全生產(chǎn)過程中存在的各類問題,消除事故隱患,消除誤解和爭議,消除錯罰和誤法給安全工作帶來的負面影響,安全科將罰款通知、意見反饋及爭議處理過程作修改補充后規(guī)定如下:

1、 安全科信息中心三班信息員每班將罰款的事由和罰款金額,用電話通知道有關單位,并作好記錄。

2、信息中心每日下達一份各類問題及書面通知單,由信息員按早、中、夜三班順序?qū)⒁粋€圓班的各類問題和罰款金額,分單位填寫在書面通知單上。由區(qū)隊信息員每日上午9:00前將通知單領回本單位。區(qū)隊信息員在領取通知單時,要在通知單領取登記簿上簽字。

3、單位值班人員和主要領導在接到書面通知單后,對存有異議的罰款,應首先通過安全信息中心查詢檢查人員,在全面調(diào)查和了解的基礎上,應及時辦好書面說明,檢查當事人及單位主要領導簽字后由單位信息員在當天下午17:00前,報到安全科信息中心。由安全礦長安排有關科室和有關人員進行調(diào)查分析、再次核實,由安全礦長根據(jù)調(diào)查結(jié)果研究相應的處理意見。

4、有關單位接到電話通知后,值班人員要做好記錄,并安排信息員到信息中心及時領回通知,對有爭議的罰款問題,要及時調(diào)查并以書面的形式報安全科。否則,因自身原因未能及時將問題反映到安全科,造成無法調(diào)查的,后果由單位自己承擔。

5、各單位主要領導要高度重視此項工作,對偏聽當事人一面之詞,不作全面詳細了解或明知當事人有錯,不做思想工作,而把矛盾上交,放任當事人胡攪蠻纏,擾亂正常工作的,對當事人加倍處罰并升級考核處理,同時對其單位黨政領導給予通報批評和罰款。

五、評價與提高

安全科嚴格安全信息運行閉合管理系統(tǒng)進行檢查評價,不斷總結(jié)、學習、創(chuàng)新、完善和提高,使安全信息閉合管理系統(tǒng)保持嚴密、科學、適用。

職工業(yè)余安全學習培訓考試制度

為認真貫徹執(zhí)行《安全生產(chǎn)法》,加強對我礦職工安全生產(chǎn)教育和培訓,提高職工安全生產(chǎn)意識,保證職工具備必要的安全生產(chǎn)知識,熟悉相應的安全生產(chǎn)規(guī)章制度和安全操作規(guī)程,真正掌握安全操作技能和預防事故的實際能力,逐步向“本質(zhì)安全型”員工轉(zhuǎn)變,從而最大限度地防止和減少生產(chǎn)安全事故的發(fā)生,保障職工群眾生命和財產(chǎn)安全,促進礦井經(jīng)濟正常發(fā)展。特制定本制度,具體如下:

礦成立業(yè)余安全學習培訓考試領導小組:

組長:李建國

副組長:沈遠東、陳萬峰、朱學金、趙書東、王永濤、司繼江、孫立民

成員:各科室、工區(qū)負責人及各分管負責人

領導小組下設辦公室,辦公室設在安全科,孫立民任辦公室主任,具體負責制定林場煤礦安全學習培訓計劃及業(yè)務考核工作。

一、 學習培訓人員范圍:

全礦各科室、區(qū)隊的各級管理人員和職工。

二、 學習內(nèi)容:

《煤礦安全規(guī)程》、各單位對應的《煤礦作業(yè)規(guī)程》、各工種對應的《煤礦操作規(guī)程》、《安全生產(chǎn)法》、《林場煤礦崗位安全生產(chǎn)責任制》、安全管理制度、隱患識別的方法、事故案例等。

三、 學習組織的形式:

1、 各單位根據(jù)礦的需要,結(jié)合本單位實際,制定出本單位每月、每周的詳細安全學習計劃,于每月5號前書面報到安全科。

2、 利用班前班后會、周五安全活動等時間組織業(yè)余培訓,由單位主要管理人員主持,技術人員講課。采取每日一題的形式每周不少于5題,5天學習,1天復習,1天考試。對部分綜合安全素質(zhì)差的職工,單位應安排人員進行重點指導、幫助,單位應做好備課教案,職工要認真做好學習記錄,以備檢查。

四、 考試形式:

(一)、單位自考:各單位在學習培訓的基礎上,每周組織自考,考試應以書面為主,對個別確實不會書寫的也可采用口頭考試形式,但必須記錄真實。單位要保存好試卷和考試成績備查。

(二)、礦抽查、考試:

1、每周由安全科牽頭,有關部門參加,根據(jù)規(guī)定進行抽查各單位制度執(zhí)行情況。

2、每月礦安全科根據(jù)各單位報送的學習計劃內(nèi)容,組織對有關單位進行抽查考試,重點對班組長、安全不放心人員(素質(zhì)差、技能低、違章人員)等進行考試,對考試不合格的,一律不得安排上崗作業(yè),由安全科書面通知其單位組織待崗培訓,直至合格方可返崗工作。

3、對各單位、各部門的管理人員采用不定期書面或口頭抽查考試的方法。

4、對各科室、區(qū)隊單位職工的考試:

(1)、井下區(qū)隊單位采用每月組織集中書面考試和井上下現(xiàn)場動態(tài)口頭抽查相結(jié)合的方式。

(2)、地面單位根據(jù)各工種分類情況,由安全科具體組織書面抽查或現(xiàn)場口頭抽查的方式。

五、考核獎罰辦法:

根據(jù)工作性質(zhì)結(jié)合專業(yè)特點,將井上下單位分成若干類后分別比較考核獎罰,具體為:

1、 每季度將各區(qū)隊單位職工的考試成績分別實行獎罰制度,獎罰資金平均三級落實三大員。每月公布考核兌現(xiàn)結(jié)果。

2、 對單位管理人員的考試成績,以平均分為標準,超獎少罰,每分10元。

全礦各單位,各部門要根據(jù)礦上的統(tǒng)一安排和部署,結(jié)合本單位的實際情況,制定出詳細嚴密的年度業(yè)余安全學習培訓計劃,充分利用班前班后會、周五安全活動等時間,組織本單位的職工系統(tǒng)學習、培訓考試,真正達到提高本單位職工的安全生產(chǎn)意識,養(yǎng)成遵章作業(yè)、按章操作的嚴謹作風,掌握安全操作技能和預防事故實際能力的目的,為提高我礦全員的綜合安全素質(zhì)打下堅實的基礎。

第11篇 信息安全事件管理程序范本

1 目的

為建立一個適當?shù)男畔踩录⒈∪觞c和故障報告、反應與處理機制,減少信息安全事件和故障所造成的損失,采取有效的糾正與預防措施,特制定本程序。

2 范圍

本程序適用于***業(yè)務信息安全事件的管理。

3 職責

3.1 信息安全管理流程負責人

確定信息安全目標和方針;

確定信息安全管理組織架構、角色和職責劃分;

負責信息安全小組之間的協(xié)調(diào),內(nèi)部和外部的溝通;

負責信息安全評審的相關事宜;

3.2 信息安全日常管理員

負責制定組織中的安全策略;

組織安全管理技術責任人進行風險評估;

組織安全管理技術責任人制定信息安全改進建議和控制措施;

編寫風險改進計劃;

3.3 信息安全管理技術責任人

負責信息安全日常監(jiān)控;

信息安全風險評估;

確定信息安全控制措施;

響應并處理安全事件。

4 工作程序

4.1 信息安全事件定義與分類

信息安全事件是指信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接影響(后果)的。

造成下列影響(后果)之一的,均為一般信息安全事件。

a) ***秘密泄露;

b) 導致業(yè)務中斷兩小時以上;

c) 造成信息資產(chǎn)損失的火災;

d) 損失在一萬元人民幣(含)以上的故障/事件。

造成下列影響(后果)之一的,屬于重大信息安全事件。

a) 組織機密泄露;

b) 導致業(yè)務中斷十小時以上;

c) 造成機房設備毀滅的火災;

d) 損失在十萬元人民幣(含)以上的故障/事件。

4.2 信息安全事件管理流程

由信息安全管理負責人組織相關的運維技術人員根據(jù)***對信息安全的要求,確認代碼管理相關信息系統(tǒng)的安全需求;

對代碼管理相關信息系統(tǒng)進行信息安全風險評估,預測風險類型、風險發(fā)生的可能性、風險級別、潛在的業(yè)務影響,形成信息安全風險評估報告;

由信息安全日常管理員組織相關技術人員根據(jù)對根據(jù)風險評估的結(jié)果以及服務級別協(xié)議的安全需求,提出現(xiàn)階段的安全改進建議,并提交至信息安全管理負責人進行評估;若同意執(zhí)行安全改進建議,則在變更管理的控制下實施安全建議;

信息安全日常管理員根據(jù)安全改進之后的信息系統(tǒng)安全現(xiàn)狀提出具體的安全控制措施,形成風險處置計劃;

根據(jù)風險處置計劃,實施信息安全控制措施,盡可能的降低信息和業(yè)務風險;

監(jiān)視信息系統(tǒng)的活動并識別反常的活動和安全事件,并記錄下來,做初步的響應和處理;評估安全漏洞和不符合安全要求的任何情況,并采取必要的糾正措施;

對發(fā)現(xiàn)的或已發(fā)生的信息安全事件,按照信息安全事件響應程序進行處理;

每年一次或在發(fā)生重大信息安全事件時進行信息安全評審,分析信息安全事件的顯現(xiàn)趨勢、信息安全管理的改進等信息,并形成風險改進計劃,持續(xù)改進信息系統(tǒng)安全。

4.3 信息安全事件事后處理措施

對于一般信息安全事件,在故障排除或采取必要措施后,相關信息安全管理職能部門會同事件責任部門,對事件的原因、類型、損失、責任進行鑒定,形成《信息安全事件報告》,報信息安全管理者代表批準;對于重大信息安全事件的處理意見還應上報信息安全管理委員會討論通過。

對于違反組織信息安全方針、程序安全規(guī)章所造成的信息安全事件責任者依據(jù)以下措施予以懲戒。

處罰方式:

一般安全事故,根據(jù)所造成的經(jīng)濟損失,由***辦公室通過郵件發(fā)出正式嚴重警告。

一年內(nèi)累計出現(xiàn)三次或三次以上的一般安全事故,報***領導批準后進行相應懲罰,并在***進行通報批評。

造成重大安全事故的,***有權將責任人調(diào)離原工作崗并給予相應懲罰。

一年內(nèi)累計出現(xiàn)二次或二次以上的重大安全事故,***有權解除勞動合同并依法追究法律責任。

如果屬于故意行為導致信息安全事故,***有權解除勞動合同并依法追究法律責任。

對于信息安全事故責任人的處理結(jié)果由處理部門在***范圍內(nèi)予以通報。

負有信息安全事故處罰的各職能部門在確定實施處罰后,***室與被處罰部門溝通,確認責任者及處罰方式并上報***領導。

信息安全管理職能部門要求事件責任部門制定糾正措施并實施,實施結(jié)果記錄在《信息安全事件報告》。

由信息安全管理職能部門對實施情況進行跟蹤驗證,驗證結(jié)果記入《信息安全事件報告》。

4.4 報告信息安全薄弱點與預防措施

***與信息安全管理有關的所有員工發(fā)現(xiàn)信息安全薄弱點或潛在威脅均應履行報告義務。

對以下行為應給予獎勵:

及時發(fā)現(xiàn)非責任區(qū)信息安全隱患,該隱患足以導致信息安全事故的;

及時發(fā)現(xiàn)非責任區(qū)信息安全重大隱患,該隱患足以導致信息安全重大事故的;

及時發(fā)現(xiàn)并制止系統(tǒng)操作問題以避免設備重大損失或人員死亡的;

及時制止或報告泄露商業(yè)機密的事件以避免***重大經(jīng)濟損失或及時中止正在進行中的商業(yè)泄密行為的;

在信息安全事故中采取積極有效措施,降低損失的程度。

獎勵方式如下:

根據(jù)防止一般安全事故發(fā)生、一年內(nèi)防止一般安全事故發(fā)生三次或三次以上、防止造成重大安全事故、及時中止正在進行中的商業(yè)泄密行為、提出信息安全合理化建議等級別,報請***批準后,給予相應表揚或獎勵,并作為年底工作考核依據(jù)。

發(fā)現(xiàn)信息安全事故、薄弱點與故障的員工填寫《一般信息安全事件/薄弱點報告》,相關的代碼管理中心及信息安全實驗室進行調(diào)查后,確定是否采取預防措施,確認責任部門并實施。

5 相關文件

6 相關記錄

第12篇 信息化安全管理

信息化安全管理包括機房管理和服務器管理兩部分。機房、服務器的日常維護、操作都應有專門的信息管理人員負責，未經(jīng)信息部門許可其他人員不得對隨意進出機房、操作服務器。機房管理人員負責機房的日常檢修、事故排查；

服務器管理員負責服務器的安裝調(diào)試、例行維護、日常檢查等工作。

炎炎夏日，尤其注意機房內(nèi)線路排查，做好防火工作，服務器數(shù)據(jù)備份和系統(tǒng)備份。

一、機房安全管理

1.1 機房嚴格執(zhí)行門禁制度，未經(jīng)信息部門允許，任何人不得擅自進入；

1.2 機房內(nèi)禁止堆放雜物，保證設備和辦公桌面清潔、衛(wèi)生、整齊；

1.3 機房內(nèi)禁止存放易燃易爆品；設備設施周圍及上方不得堆放物品，特別是液體物品；

1.4 機房內(nèi)電氣設備、供電線路必須由專職電工按規(guī)范安裝；

1.5 機房內(nèi)禁止亂拉臨時電源線；

1.6 機房內(nèi)的各類保險絲必須使用符合規(guī)定的保險絲，嚴禁使用銅、鐵、鋁線代替；

1.7 長期使用的電器設備應對其發(fā)熱情況進行檢查，避免發(fā)生火災；

1.8 嚴格明火管理。明火作業(yè)必須有相關部門批準、核發(fā)“動火證”后方可施做；

1.9 規(guī)范配備滅火器材，定期進行消防報警設施試驗，嚴禁使用其他物品將煙感包裹，禁止吸煙；

1.10 禁止攜帶食品進入機房，并定期滅鼠；

1.11 機房內(nèi)溫度和濕度嚴格控制在：溫度：18-25℃，相對濕度：60%—80%；

1.12 機房值班人員要堅守崗位，早進入、晚離開時要檢查設備情況，上班時密切監(jiān)視網(wǎng)絡的工作情況，防止黑客襲擊，做好每天的數(shù)據(jù)備份，不得無故脫離崗位。下班時，要做好交接班記錄，要對所有計算機的電源進行細致的檢查，該關的要切斷電源，離開時察看燈、門、窗、鎖是否關閉好。雙休日、節(jié)假日，要有專人值班，檢查網(wǎng)絡運行情況，如發(fā)現(xiàn)問題應及時解決，并做好記錄處理，解決不了的要及時報告；

1.13 不得隨意合閘拉閘，不得同意不得擅自對程控交換機、核心交換機、路由器、服務器等設備設施進行停、斷電；

1.14 員工負責設備設施性能測試，及時排除故障，下班前必須做全面檢查，不留安全隱患；

1.15 機房內(nèi)所有設備設施維護工作必須在計劃內(nèi)完成；計劃外操作必須得到同意；

1.16 不得利用職務之便撥打與工作無關的外線電話；

1.17 未經(jīng)批準，不得擅自關閉、重啟各系統(tǒng)服務器、接口機；

1.18 未經(jīng)批準，不得隨意開關外線；

1.19 如遇緊急情況和突發(fā)事件必須在第一時間內(nèi)通知主管人員；

二、服務器安全管理

1.1? 物理環(huán)境要求

1.1.1? 服務器須放置在機房或具備服務器運行相關條件的空間內(nèi)。

1.1.2? 系統(tǒng)管理員應在每季度末對服務器進行一次硬件檢測和除塵工作，并填寫《服務器硬件檢測記錄單》（附錄a）。

1.2? 軟件環(huán)境要求

1.2.1? 無特殊情況，服務器要關閉網(wǎng)絡文件與打印服務、qos、終端服務、授權服務、site server ils服務、消息隊列服務（msmq）、遠程存儲、證書服務等其他暫時不用的服務。

1.2.2? 服務器操作系統(tǒng)需設置安全策略，策略設定后要進行有效性檢查，確保有效執(zhí)行。

1.2.3? 服務器應禁用匿名/默認賬戶或嚴格限制訪問權限。

1.2.4? 為了保證該服務器的運行效能和安全，除了安裝解壓縮、殺毒軟件等必要的應用軟件外，一般不安裝其他非必要的軟件，包括office等。

1.2.5? 服務器上至少要設置兩個以上（含兩個）的邏輯卷。

1.2.6? 服務器嚴禁安裝游戲、聊天工具等與系統(tǒng)運行無關的程序及文件。

1.3? 服務器開關機

1.3.1? 各單位系統(tǒng)管理員負責服務器的開關機操作，操作完成后填寫《服務器開關機記錄表》（附錄b）。

1.3.2? 除安裝調(diào)試或者例行維護外，服務器不得頻繁開關機。服務器維護應安排在非工作時間段進行。

1.3.3? 服務器在出現(xiàn)嚴重故障非重起不能解決時，系統(tǒng)管理員應及時通知服務器用戶，在用戶保存完正在操作的數(shù)據(jù)后方可中斷數(shù)據(jù)庫連接并進行重起操作。

1.4? 日志管理

1.4.1? 系統(tǒng)管理員應在每周末檢查服務器的“事務日志”，發(fā)現(xiàn)有“嚴重錯誤”的，必須立即檢查并排除故障,服務器所有日志在得到“事務已經(jīng)滿”提示的情況下，必須立即備份到制定目錄下，事務日志備份完畢應立即清空。

1.4.2? 服務器日志至少保留半年，只允許授權用戶訪問，且不能進行修改。

1.5? 磁盤檢查

1.5.1? 系統(tǒng)管理員應在每周末檢查服務器的磁盤情況，如果發(fā)現(xiàn)磁盤的使用容量超過70%以上時，應及時刪除不必要的文件騰出磁盤空間，必要時申購新的磁盤。

1.5.2? 服務器外出維修時系統(tǒng)管理員必須刪除磁盤數(shù)據(jù)。

1.5.3? 系統(tǒng)管理員在每月末對服務器進行磁盤碎片整理工作。

1.6? 病毒和補丁管理

1.6.1? 為保障服務器性能，工作時間段內(nèi)一般不進行查殺病毒和安裝補丁的操作。

1.6.2? 每日22：00設置服務器自行查殺病毒。

1.6.3? 服務器殺毒軟件的病毒庫應設置為自動更新。

1.6.4? 在得知有重大病毒流行時應立即確認病毒庫是否為最新且是否有效防護，如果病毒庫不能有效防護應下載相關專殺工具或進行相關技術處理。

1.6.5? 系統(tǒng)管理員應在每月末登陸操作系統(tǒng)廠商網(wǎng)站查看是否有最新的更新通知，在得知有最新的安全漏洞時，應下載經(jīng)測試后在非工作時間段內(nèi)安裝補丁。對于重大的安全漏洞應第一時間進行更新。

1.7? 故障管理

1.7.1? 服務器的故障包括：軟件故障，硬件故障，入侵與攻擊，其他不可預料的未知故障等。應建立服務器故障記錄，當出現(xiàn)服務器故障，系統(tǒng)管理員對故障現(xiàn)象及解決過程進行詳細記錄，填寫《服務器故障處理記錄單》（附錄c）

1.7.2? 當服務器出現(xiàn)硬件故障時，系統(tǒng)管理員應立即通知服務器廠商，并督促和配合廠商工作人員盡快維修或更換相關配件。

1.7.3? 對于不能盡快處理的故障，系統(tǒng)管理員應立即通過電話通知上級主管領導，并保護好故障現(xiàn)場。

1.8? 相關記錄文檔

1.8.1? 《服務器硬件檢測記錄單》????????????????????? 保存期3年

1.8.2? 《服務器開關記錄表》???????????????????????????? 保存期3年

1.8.3? 《服務器故障處理記錄單》???????????????????????? 保存期3年