安全管理人员信息管理制度(精选14篇)
1.安全管理人员信息管理制度 篇一
信息安全管理制度
第一章 总
则
第一条 为了保护XXX公司计算机网络系统的安全、促进计算机信息系统的应用和发展、保证网络和信息系统的正常运行,特制定本安全管理制度。
第二条 本管理制度所称的计算机网络系统,是指由XXX公司投资购买、建设的计算机网络主、辅节点设备、配套的网络线缆设施及服务器、工作站所构成的软件、硬件的集成环境。
第三条 本管理制度所称计算机信息系统:由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第四条本办法适用于XXX公司。
第二章 组织机构和职责
第五条在信息安全工作管理中,安全管理员的职责包括:
(一)负责公司整个计算机、网络设备、安全设备安全管理 的日常工作。
(二)开展公司范围内安全知识的培训和宣传工作。
(三)监控公司安全总体状况,提出安全分析报告。
(四)了解行业动态,为改进和完善安全管理工作,提出安全防范建议。
(五)及时向上级领导、相关负责人报告计算机安全事件。
(六)安全人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。
(七)安全人员应定期参加下列计算机安全知识和技能的培训:计算机安全法律法规及行业规章制度的培训;计算机安全基本知识的培训;计算机安全专门技能的培训等。
第六条
在信息安全工作管理中,系统管理员的职责包括:
(一)负责系统的运行管理,实施系统安全运行细则。
(二)严格用户权限管理,维护系统安全正常运行。
/ 12
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件。
(四)对进行系统操作的其他人员予以安全监督。
(五)负责系统维护,及时解除系统故障,确保系统正常运行。
(六)不得安装与系统无关的其他计算机程序。
(七)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第七条
在信息安全工作管理中,网络管理员的职责包括:
(一)负责网络的运行管理,实施网络安全策略和安全运行细则(详见网络系统的管理规范)。
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行。
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件。
(四)对操作网络管理功能的其他人员进行安全监督。
第三章
机房安全管理
第八条
机房安全建设和改造方案应通过上级保卫部门的安全审批。
第九条
机房安全建设应通过上级保卫部门组织的安全验收。
第十条
机房应按重要性进行分级管理,分级标准按有关规定执行。
第十一条
机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。严禁与机房业务无关的人员进入机房。
第十二条
计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第十三条
机房建设应当符合下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房(含屏蔽机房)应当埋设专用接地线,不得和其它接地线相连。
(三)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(四)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关110联网。
(五)机房应设专用的供电系统,配备必要的UPS和发电机。
第十四条
机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。
/ 12
第十五条
监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第十六条
机房严禁无关人员进出,门禁系统的钥匙应严格发放,对于岗位变动的人员,及时收回原来门禁系统的钥匙。
第十七条
加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续,并由专人陪同。参观主机房,须经有关领导批准方可,参观时必须有机房管理员陪同。
第十八条
严禁将易燃易爆和强磁物品及其它与机房工作无关的物品带入机房。
第十九条
机房内保持肃静,严禁在机房内游艺或进行非业务活动。进入机房的工作人员,都必须严格遵守机房的安全、防火制度,严禁烟火。不准在机房内吸烟。
第二十条
机房内所有设备、仪器、仪表等物品要妥善保管,向外移(带)设备及物品,需有主管领导的批示或经系统管理员批准,方可拿出机房。
第二十一条
发生机房重大事故或案件,机房主管部门应立即向有关单位报告,并保护现场。
第四章
设备维修保养管理
第二十二条
只有得到授权的维护人员才能够对设备进行维修和保养。
第二十三条
注意设备的保养和用电的安全,定期对设备进行检查,及时消除隐患。
第二十四条
计算机信息网络系统的设备原则上由本单位的技术人员进行检修。不能检修的,尽可能请维修人员上门维修。
第二十五条
计算机信息网络系统的设备必须外出修理的,应当经领导批准,并清理设备内部存贮的涉密信息(如硬盘格式化等),方可外出进行修理。
第二十六条
计算机设备的采购需满足国家以及行业的相关安全保密规定。
第五章
网络安全管理
第二十七条
网络建设方案应通过上级计算机安全主管部门的安全审批。
第二十八条
网络投入使用前应通过计算机安全主管部门组织的安全测试和验收。
第二十九条
在网络的出口出应该配备有相应的安全设备。
第三十条
网络建设中涉及网络安全的资料,应备案建档,统一管理。相关的密码和帐号应由专人管理。
第三十一条
网络建设应符合下列基本安全要求:
(一)网络规划应有完整的安全策略。
(二)能够保证网络传输信道的安全,信息在传输过程中不会被非法获取。
/ 12
(三)应具有防止非法用户进入网络系统盗用信息和进行恶意破坏的技术手段。
(四)应具备必要的网络监测、跟踪和审计的功能。
(五)应根据需要对网络采取必要的技术隔离措施。
(六)能有效防止计算机病毒对网络系统的侵扰和破坏。
(七)应具有应付突发情况的应急措施。
(八)对于建设竣工文档应由专人管理,并且以光盘介质和纸质两种方式进行存档。
第三十二条
网络通信应符合下列基本安全要求:
(一)各部门之间进行VLAN划分。
(二)对重要服务器区、重要科室部门,实现严格的网络访问控制。
(三)对联网的计算机及其网络设备和通讯设备的安装、使用,应建立健全安全保护管理制度,落实安全保护措施,以防“黑客”侵入和用户非法越权操作。
(四)存有重要数据的计算机,不得擅自与国际互联网联网。
(五)内部有权限上网的用户不能将内部资料通过网络进行外传。
(六)网络管理员在内部网络与外网直接的防火墙或路由器上设置安全访问策略,严格限制内外网之间的访问。
(七)接入国际互联网的计算机要有专人进行管理,对上网内容须进行必要的检查。
(八)任何用户不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯和危害公司的利益,不得从事违法犯罪活动。
第三十三条
访问互联网应符合下列基本安全要求:
(一)涉密系统不得与境外机构、外国驻华机构、国际计算机网络及国内公众计算机信息系统联网。
(二)不得浏览“色情”或传播非法内容(如法轮功,发动言论等)的网站。
(三)不得在网上传播非法内容。
(四)禁止下载非法的或有危害的软件。
(五)没有安装防病毒软件的计算机不得访问互联网。
第三十四条
重要网络设备应放置在中心机房内,由网络管理员负责管理。其他人员不得对网络设备进行任何操作。
第三十五条
网管设备属专管设备,必须严格控制其管理员密码。
第三十六条
重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。
第三十七条
改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人员等要素的书面记录。
/ 12
第三十八条
与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第三十九条
网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告计算机安全人员。
第四十条
有权限的单位在使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。
第四十一条
网络扫描、监测结果和网络运行日志等重要信息应备份存储。
第四十二条
联网计算机应定期进行查、杀病毒操作,发现计算机病毒,应按照规定及时处理。
第四十三条
严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。
第四十四条
机房内交换机上的未被使用的空闲端口应设置为不启用状态。
第六章
人事安全管理
第四十五条
人员管理应符合下列基本安全要求:
(一)各部门遴选涉密系统的工作人员,应当按机要人员的标准,先审查后录用;并对其进行经常的保密教育,要求严格遵守国家工作人员保密守则。对不适宜在涉密系统工作的人员应及时调整。
(二)建立安全培训制度,进行计算机安全法律教育、职业道德教育和计算机安全技术教育。对关键岗位的人员进行定期考核。定期组织对新进公司的职员进行安全管理培训。
(三)对关键岗位人员的进行安全制度和常识的定期考核、各部门人员职责的明确。
(四)网络管理员、安全管理员、普通操作员岗位分离。
(五)需要上外部互联网用户必须与信息中心办理上网申请,严格执行安全保密制度。
(六)内部用户对网络上有害信息应该及时控制并删除,不得传播。
(七)对安全事故、案件等应该及时上报安全管理办公室,并作日志记录。
(八)网络管理员应定期检测网络运行情况,安全管理员必须定期检查系统安全情况。
(九)有关信息安全条例及时上安排上网、并转发给用户学习。
(十)发现异常用户登录,应及时处理并上报安全管理办公室备案。
第四十六条
多人负责原则:
(一)每一项与安全有关的活动,都必须有两人或多人在场。一为互相监督,二为一旦出现擅自离职,可以保证系统的正常运行。而且应该签署工作情况记录,5 / 12
以证明安全工作已得到保障。
(二)以下各项是与安全有关的活动:
① 访问控制使用证件的发放与回收。
② 信息处理系统使用的媒介发放与回收。
③ 处理保密信息。
④ 硬件和软件的维护。
⑤ 系统软件的设计、实现和修改。
⑥ 重要程序和数据的删除和销毁等。
第四十七条
任期有限原则: 一般地讲,任何人最好不要长期担任与安全有关的职务,为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。工作人员在调离本岗位后,应对其所涉及到的权限及口令等进行重新设定。
第四十八条
职责分离原则:
(一)在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。
(二)出于对安全的考虑,下面每组内的两项信息处理工作应当分开: ① 计算机操作与计算机编程。② 机密资料的接收和传送。
③ 安全管理员和网络管理员。
④ 应用程序和系统程序的编制。⑤ 访问证件的管理与其它工作。
⑥ 计算机操作与信息处理系统使用媒介的保管等。
第四十九条
人员调离时安全管理应符合下列基本安全要求:
(一)根据人员安全保密管理,对工作调动和离职人员要及时调整相应的授权。
(二)在宣布人员调离的同时,应马上收回调离人员的各项权限,包括取消帐号,收回相关房门钥匙,更换其原来管理的系统的访问口令,并向被调离人员申明其保密义务。
(三)涉及科研、开发及其他重要业务的技术人员调离时,应确认对业务不会造成危害后方可调离。
(四)人员的录用调入必须经人事组织技术部门的考核和接受相应的安全教育。
第七章
系统及应用安全管理
第五十条
系统运行的基本要求:
(一)对于各个信息系统的使用应建立相应安全操作规程与规章制度。
(二)指定专人负责启动、关闭重要计算机系统和相关设备。
/ 12
(三)指定专人对系统运行状况进行监视,及时发现问题并报告上级。
(四)记录内部网络拓扑情况,记录各计算机系统的IP地址、网卡地址、系统配置,以在发生安全问题时,及时找到相关系统。
(五)各个信息系统的运行场所应满足相应的安全等级要求。
(六)各个信息系统应配备必要的计算机病毒防范工具。
(七)重要的信息系统应配备必要的备份设备和设施。
第五十一条
系统数据安全管理的要求:
(一)计算机信息系统应定期进行数据备份,并检查备份介质的有效性。
(二)应对备份介质(磁带、磁盘、光盘、纸介质等)统一编号,并标明备份日期、密级及保密期限。
(三)应对备份介质妥善保管,特别重要的应异地存放,并定期进行检查,确保数据的完整性、可用性。
(四)应建立备份介质的销毁审批登记制度,并采取相应的安全销毁措施。
(五)未采取保密措施的涉密系统(含个人计算机),不得用于采集、处理、存贮、传输和检索涉及公司秘密的信息(以下简称涉密信息)。
(六)重要信息系统使用的计算机设备更换或报废时,应彻底清除相关业务信息,并拆除所有相关的涉密选配件,由使用部门登记封存。
第五十二条
服务器安全管理要求:
(一)系统中各服务器为应用系统、安全系统专用,不得用于其他用途。
(二)未经许可,服务器中不得安装与系统无关的软件。
(三)系统中各主要服务器不准开设文件共享服务,若需进行文件的传输与拷贝,可开通FTP服务。
(四)网络管理员应建立完整的计算机运行日志,操作记录及其它与安全有关的资料。
第五十三条
个人计算机安全管理要求:
(一)未采取保密措施的个人计算机(含便携机,下同),不得作为临时终端检索涉密系统的信息,不得与涉密系统联网。
(二)个人计算机存贮涉密信息应当采取保密措施,并标明密级,按密级文件进行管理,不得在公共场所存放。
(三)个人计算机不得安装和使用会影响网络性能的工具软件,如网络扫描器、黑客攻击工具等。
(四)个人计算机不得安装与工作无关的软件,如游戏、聊天、炒股软件等。
第五十四条
数据库安全管理要求:
(一)数据库的各个用户的默认密码应该被重新设置为新的密码,且密码由数字
/ 12
和字母共同组成,密码长度不小于8位。
(二)严格设置和限制数据库用户的访问权限,容许用户只访问被批准的数据,以及限制不同用户有不同的访问模式。
(三)开启数据库日志功能,数据库管理员定期查看日志,查找异常情况,并将数据库日志进行备份。
(四)若网络系统中采用了数据库审计系统,数据库审计系统的管理员应经常注意数据库审计系统的报警情况,以及时作出安全响应措施。
(五)数据库管理员应了解数据库安全漏洞情况及相应的解决方法,如及时为数据库升级或打好相应的补丁。
(六)对重要数据库定期进行备份。
第五十五条
系统运行平台的安全管理要求:
(七)系统管理员应合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(八)系统管理员应屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(九)涉密系统的操作系统应当建立用户身份验证、访问权限控制等保密防御机制和审计机制。
(十)重要的涉密系统,应当建立具有实时报警功能的监控系统。
(十一)传输重要信息,应当采用数字签名技术。
(十二)涉密系统各类数据库应当建立用户身份鉴别、访问权限控制和数据库审计等保密措施,重要的数据应当加密存放。
(十三)系统管理员应及时安装正式发布的系统补丁,修补系统存在的安全漏洞。并负责应用软件和数据库系统的升级和打补丁。
(十四)系统管理员应启用系统提供的审计功能,监测系统运行日志,掌握系统运行状况。
(十五)系统管理员不得泄露操作系统、数据库的系统管理员帐号、密码。
(十六)联网设备的IP地址及网络参数,必须按照网络管理规范及其业务应用范围进行设置,不得随意修改。
(十七)安全管理员使用扫描工具或请外部专用人员定期对内部网络系统进行安全扫描。
(十八)对于已经发现的操作系统和应用软件漏洞和解决方法,安全管理员应及时告知系统管理员及内部职员,并及时进行解决。
第八章
数据安全管理
第五十六条
本制度所指的信息数据,包括存储在计算机硬盘、磁道机、磁盘阵
/ 12
列、光盘塔等电子信息数据,还包括以纸为信息载体的记录内部网络情况及信息系统等资源的文档。
第五十七条
公司各个部门必须建立完善的业务数据管理制度,对业务数据实施严格的安全保密管理。各个业务部数据信息应保存一年以上。
第五十八条
数据备份应符合下列基本安全要求:
(一)使用数据备份软件对需要长期保存的重要数据进行快速有效的数据备份工作。
(二)各部门重要数据的备份一般保证有多份(最少两份),并异地存放,保证系统发生故障时能够快速恢复。存放备份数据的介质必须具有明确的标识,并明确落实异地备份数据的管理职责。
(三)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
(四)建议第一次备份时作一次系统数据的全备份,以后每天作一次增量备份,每周作一次全备份。
(五)数据备份过程中,应确保备份数据源和备份目的介质之间数据传输安全。
(六)数据备份的存储介质应设有严格的访问策略限制。
(七)备份数据应仅用于明确规定的目的,未经批准不得它用。
(八)无正当理由和有关批准手续,不得查阅备份数据。经正式批件查阅数据时必须登记,并由查阅人签字。
(九)保密数据不得以明码形式存储和传输。
(十)根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。
(十一)注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
(十二)任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
第五十九条
涉密介质应符合下列基本安全要求:
(一)涉密系统存贮涉密信息的介质(含磁盘、磁带和光盘,以下简称涉密介质),应当由专人负责保管,涉密介质应当与非密介质分开保管。
(二)涉密介质应当按密级文件进行管理,标明密级并造册登记,收发、传递和使用应当有审批手续和传递记录。
(三)涉密介质应当有防拷贝措施,拷贝涉密信息要经领导审批,拷贝的涉密介质按原涉密介质进行管理。
(四)涉密介质不得降低密级使用和记录非密信息,无保存价值的涉密介质应当报领导批准后销毁,并作好销毁记录。
/ 12
(五)涉密介质不得到境外修理。
第六十条
数据管理应符合下列基本安全要求:
(一)公司内部信息数据及网络应用情况要实施保密措施。信息数据资源保密等级可分为:
(1)可向Internet公开的;(2)可向内部公开的;
(3)可向特定服务器区公开的;(4)可向有关部门或个人公开的;(5)仅限于本部门内使用的;(6)仅限于个人使用的。
(二)公司内各部门计算机数据管理实行负责人责任制,各部门指定专人负责本部门计算机数据管理工作。保障本部门计算机数据的安全运行,对本部门的计算机数据及时进行分类登记、备份,随时检测、清除计算机病毒,使用病毒防护工具恢复被病毒感染的数据。
(三)计算机数据中涉及国家和商业秘密的信息应采取技术加密、保密措施,并编制操作密码,任何人不准泄露操作密码。操作密码要定期更改。如发现失、泄密现象应及时向有关部门报告。
(四)传递应予保密的数据,应通过符合保密要求的邮件等方式进行。
(五)在数据采集、传递、加工和发布中违反报名规定,给国家和社会造成危害的,对直接责任人要给予行政处分,情节严重的,要追究刑事责任。
(六)记录有公司内部网络拓扑情况、网络地址、系统配置等的电子文档,应由网络管理员妥善保管,加密存储。相关的纸介质文档,也应妥善保管在安全处,未经上级批准不得借阅或复印。
(七)数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,由信息部门技术人员进行现场技术支持。数据恢复后,必须进行验证,确保数据恢复的完整性和可用性。
(八)数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
(九)需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
(十)计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备
/ 12
存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
(十一)管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
第九章 病毒防治管理
第六十一条
网络中所有联网的服务器和客户端均应安装病毒防护系统软件,若病毒防护软件带有集中管理功能,则对网络用户实现病毒防护软件的统一设置,不容许用户私自卸载防病毒软件,不容许用户禁止实时病毒扫描功能。
第六十二条
安全管理员负责更新防病毒软件。
第六十三条
定期进行病毒扫描,发现病毒立即处理;设置病毒防护软件自动扫描为每周至少一次。
第六十四条
外面进来的信息介质必须经过病毒扫描、病毒清除后才能使用。
第六十五条
计算机使用人员在使用软盘时,应先对软盘进行病毒扫描。
第六十六条
计算机使用者在离开前应锁定计算机或退出系统。
第六十七条
任何人未经计算机所属使用人的同意,不得使用他人的计算机。
第六十八条
安全管理员负责公司内部计算机病毒的检测和清理工作。
第六十九条
安全管理负责人对防病毒措施的落实情况进行监督。
第七十条
安全管理员定期将防病毒软件的统计日志和公司内病毒发作情况向安全管理领导小组汇报。
第十章
帐号密码与权限管理
第七十一条
由网络管理员负责创建用户和删除用户,用户的密码口令修改由用户自己完成,未经用户同意,网络管理员无权修改用户的密码。
第七十二条
密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和管理员密码,用户密码是登陆系统时所设的密码,管理员密码是进入各应用系统的管理员密码。
第七十三条
编制密码应当选择有大小写英文字母与数字混合用的可拼读但无意义的字母组合,字长不得少于6个字符,机密系统口令长度不得少于10位。不得选择常用、易猜或有特殊意义的名字或单词,如:名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串。
第七十四条
密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
第七十五条
口令字(表)必须注意保密,不得记载或张贴在外。
第七十六条
用户注意对自己帐号和密码保密,帐号不得转借、转让他人使用,11 / 12
不得将帐号和密码告诉外部人员。
第七十七条
用户密码在失密后立即报告,及时更换新密码。
第七十八条
操作人员应有互不相同的用户名,用户对自己使用的帐号负责,不得与他人共享同一帐号,系统应定期提醒用户更改帐号密码。
第七十九条
对各用户权限统筹安排,各岗位操作权限要严格按岗位职责设置,应定期检查操作人员的权限。
第八十条
重要岗位的登录过程应增加必要的限制措施。
第八十一条
对于内部网络内使用的公用帐号和密码(如FTP服务器的登录帐号和密码)应定期更换,同时也不得将此帐号信息泄漏于外部人员。
第八十二条
在职人员离职时,应及时删除该用户的帐号。
第八十三条
创建用户、删除用户、修改密码等设计用户安全性的操作应该有详细的日志记录,并由安全管理员负责查看。
第八十四条
服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理。
第八十五条
有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除并进行登记。
第十一章
附
则
第八十六条
本办法由XXX信息部负责解释。
第八十七条
本办法经XXX信息化工作领导小组审议通过后生效,自发布之日起实施。
/ 12
2.安全管理人员信息管理制度 篇二
近年, 大唐陕县风力发电有限责任公司全面推进三门峡区域风电项目开发建设, 规划了渑池上渠、陕县元宝山风电场等一大批风电项目, 在工程建设阶段, 上渠、元宝山项目被列入市、县重点项目, 2014年12月渑池上渠风电场 (4.8万千瓦) 、陕县元宝山风电场 (4.2万千瓦) 实现投产发电, 两项目建设仅用7个月工期就实现了投产发电, 结合现代化信息管理手段, 安全高效的完成了施工建设, 但仍存在隐患跟踪困难, 快速巡查记录隐患难度大;参建单位安全意识及安全管理水平不高、监管不到位, 给安全生产埋下了重大隐患, 监督管理工作任务日益繁重, 传统管理方式显然无法适应社会发展对安全管理提出的严格要求, 因此, 将安全管理与信息化相结合, 打破原有安全管理模式, 有效控制伤亡事故发生, 提高安全管理水平[1]。
1 建设内容
由于风电工程管理涉及到各个单位, 工作性质不同, 管理功能不一样, 权限和责任也不同, 因此风电工程安全管理系统根据实际需求设定三级不同用户, 包括建设单位级、监理单位级以及施工单位级。系统覆盖所有安全管理相关业务, 实现安全信息的互联互通、隐患治理信息的及时提醒, 更加便捷、迅速的掌握安全生产整体情况[2]。安全管理信息系统包括安全生产标准化基本规范的全部要素, 如安全生产目标、机构与人员、安全生产投入、法律法规及安全管理制度、安全教育培训、设备设施、隐患排查和治理、危险源管理、应急管理、事故调查和处理、绩效考核等, 系统整体建设内容如图1所示。
1.1 安全生产目标
对工程年度安全工作规划、目标的制定、目标完成统计分析等进行管理, 实现年度安全工作规划附件上传;根据公司安全生产整体情况, 用户可在线编制本年度安全生产目标。
1.2 机构与人员
主要管理人员信息和安全管理组织机构等, 可在线查看、编辑单位的安全管理组织机构图以及工程单位、监理单位、施工单位的详细信息, 各级用户可在线对安全管理人员的情况进行自动统计, 统计信息包括项目经理和安全经理的姓名、性别、学历、职称、资格证书等;对人员资质证件进行到期预警, 使项目安全管理人员的工作开展更加便捷。
1.3 安全生产投入
安全投入的管理以工程为管理对象, 以签订到完结 (年度) 为管理周期, 遵循先预算后使用的管理思路, 预算填报完成后方可进行安全投入管理台账的编制, 明确项目安全投入的分配, 确保安全投入有效使用。
1.4 法律法规及安全管理制度
对国家、地方、行业等安全相关法律法规标准及公司安全管理规章制度进行梳理整合, 分类录入上传到信息平台, 供各级安全管理人员查阅、下载等, 形成法律法规标准及安全管理制度的数据库, 实现安全资源的共享, 形成了公司文件的统一发布平台。
1.5 安全教育培训
系统搭建了安全教育培训资料库, 实现监控工程安全教育培训情况。员工培训记录在同一平台, 一人一档, 历次培训记录一直保留。实现培训记录随时导入、导出功能, 避免了人工输入大量的数据, 减轻了安全管理人员的工作任务量。
1.6 设备设施
系统对设备入场、特种设备进行管理, 实现自动生成设备管理台账, 掌控特种设备设施的数量、设备状态信息及设备使用周期、检验周期等是否符合规定, 对即将到期检验的特种设备进行预警提醒。
1.7 隐患排查和治理
系统内置隐患排查标准, 形成安全检查记录、登记安全隐患, 生成整改通知单, 并跟踪隐患整改落实;隐患到期未整改系统将自动提醒, 避免隐患治理不到位;同时根据不同的隐患类型生成各类统计图。
1.8 危险源管理
系统对危险源的辨识评价、重大危险源管理台账进行管理。对存在的危险源进行辨识评价, 形成危险源清单, 并逐步形成危险源数据库;对存在的不同级别的重大危险源进行登记建档, 实现对重大危险源存在位置、控制措施、管理方案、应急预案等基本情况的管理。
1.9 应急救援管理
系统对应急管理体系与机构、应急预案、应急演练、应急知识及案例等进行管理, 实现预案编写、修改、审核的流程化管理、预案评审修订记录和预案备案的记录管理, 形成公司内部的应急预案模板库;同时可实时查看应急演练的报告, 从而掌握各单位的应急演练情况。
1.10 事故报告、调查和处理
系统对事故、事故调查处理进行管理, 用户可在线查看单位的事故调查处理报告, 并跟踪事故调查处理的进度, 提醒按时上报事故调查处理报告;对年度事故数量、事故等级、事故类型、经济损失等事故信息进行在线统计。
1.11 绩效考核
系统内置安全生产绩效考核标准, 对部分考核标准自动统计成绩, 并进行考核成绩自动排名, 激励相关部门及人员做好安全生产工作。
2 应用效果
目前, 系统已在大唐陕县风力发电有限责任公司风电工程项目中使用, 结合风电工程的实际情况, 系统的应用分阶段进行开展, 前后共经历了一年时间, 投入了大量的时间、人力、物力及财力, 安全生产管理系统在运行中不断地得到优化升级, 更加符合风电工程建设的安全管理工作特色。自投入运行以来, 安全生产管理系统总体应用情况良好, 通过系统可全面掌握工程项目的安全状况, 同时可通过相关数据的分析图表, 及时做出决策判断, 各项功能模块能够顺利运行, 各项安全管理工作得到优化、规范。
1) 系统存储丰富的安全培训资料及题库, 安全管理人员随机生成考试试卷, 可打印下载试卷, 也可在线考试, 系统自动统计培训成绩, 公司安全管理人员通过系统查看单位安全培训人数、次数、及格率, 特种作业人员持证情况等安全信息, 减轻安全管理人员的工作量, 使其有更多的时间进行现场的安全管理。
2) 系统对安全生产状况在线预警, 提醒安全管理人员及时处理, 如特种设备到期预提醒, 隐患整改时期预提醒, 如系统使用前隐患整改率为73%, 系统使用后隐患整改率达到95%。通过系统在线进行安全状况的汇报与跟踪, 大大提高了工作效率。
3) 系统对重要安全数据进行统计分析, 如事故、隐患数据等, 减少工作人员处理数据的工作量, 辅助支持安全生产决策。
4) 通过安全管理信息化手段, 优化安全运行流程, 实现“高效的安全”, 保障企业在同等安全标准的条件下, 减少事故发生, 实现安全投入和损耗最小化, 在有限的安全经济投入条件下, 实现安全效益最大化。
3 结束语
大唐陕县风力发电有限责任公司利用安全管理信息化手段, 加快了项目建设单位、监理单位、施工单位等之间安全信息传递和处理速度, 使风电工程的建设信息能够完整的保存, 得到合理的利用。同时也规范了建设单位、监理单位、施工单位之间的安全管理行为, 使项目的安全施工得以保障, 同时也为建设单位、监理单位、施工单位之间搭建信息平台, 用于安全管理经验的交流分享, 为共同构建一个安全、文明、规范的施工环境而努力。
参考文献
[1]吴穹.安全管理学[M].北京:煤炭工业出版社, 2002.
3.网络信息管理及其安全 篇三
关键字:网络信息;访问控制;安全管理
中图分类号:TN915.07文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Network Information Management&Security
(Tianjin T&B Garden,Environment and Sanitation Development Co.,Ltd.,Tianjin300308,China)
Abstract:The rapid development of computer network technology,information management for the network has put forward higher requirements.Information from the current dependence on the network can be seen,information society development has become an irreversible trend,therefore,to ensure the security of network information with complete network information management,naturally the information age has become an important field of study,and the whole community had a profound impact.
Keyword:Network information;Access control;Safety management
一、前言
近几十年来计算机行业的迅速崛起,也给人们的生活带来了天翻地覆的变化,信息共享程度的提高,一方面依赖于计算机技术的支持,另一方面也取决于网络技术的配合。因此,网络的开放性程度越高,对网络信息管理的要求也越来越高,不仅关系到网络信息服务系统的运行状况,也与国家与整个社会的信息安全和经济发展密切相关。只有采取适当的信息处理手段,对信息服务于信息内容安全加以适度的维护,才能够保障整个信息网络的正常运营和信息终端的正常使用,从而推动整个信息化发展进程。
二、网络信息管理内容的分类
网络信息管理涵盖了包括IP地址和域名在内的基础运行信息,同时也涉及到网络服务器的配置情况与信息服务、访问状态以及负载均衡等多方面与服务器相关的信息范畴。此外,网络信息资源使用的权限划分是根据用户信息的分类来实现的,因此,对于用户的基本信息记录,包括姓名、所属机构、职位、职责权限和邮件地址确认等方面也是网络信息管理与安全保护的重点。对于网络信息提供者的信息来源管理,是保障信息内容的根本,从信息的发布、信息过滤,甚至是信息检索和导航等,都要依据相应的管理程序来进行,从而保证信息源的稳定与有效,一方面要提高信息资源的防篡改能力,另一方面也要防止信息的泄露和不良信息的侵入。
三、网络信息管理中的安全问题
目前,网络信息管理和使用过程中最为棘手的就是信息安全问题。因此,网络信息资源的有效与网络信息服务的正常运行等诸多与网络安全相关的问题,也格外的凸现出来,成为提高网络信息管理水平的突破口。也许我们并不能够做到真正意义上的清除所有网络完全隐患,但我们可以通过安全管理来实现最大限度上的遏制,降低网络风险的发生几率,提高网络信息系统抵御不良攻击的能力。
保证网络系统的安全就是要维护系统的保密性、完整性、可用性、可控性与可审查性。保密性与完整性是我们最为熟知的两种网络安全目标,前者主要用于对非授权用户侵入网络系统的拦截和数据传输过程中防止被截获的能力,是对授权用户访问的私密性保护;而后者,则是防止数据在传输和使用过程中被未授权的用户篡改或删除,从而造成信息资源的缺失。可用性、可控性与可审查性分别是针对用户需求、信息传播和安全隐患而言的,可用性保证了用户需求的满足;可控性提高了信息传播与内容上的掌控能力;可审查性为安全隐患的产生提供了可查询依据。以上就是网络安全的五项主要目标,是构成整个计算机信息网络的核心内容。
四、网络信息管理安全策略研究
针对目前计算机网络信息管理中所暴露的安全问题,应当适当的采取一些防范措施,降低网络风险的发生几率,从而保障计算机网络系统的安全运营。
(一)访问控制策略
从访问权限的控制做起,严格规范网络资源的使用和改动权限,保证网络资源的合法利用。从初级的网络的进入访问权限控制,到较高级别的网络服务器安全控制等都要制定严格的权限审核制度,从而控制授权用户的信息可操作性。
(二)信息加密策略
为了实现网络信息的保密处理,需要在信息的传输过程中采取加密处理,防止信息被窃取或破坏,甚至是非法侵入系统的用户对信息的肆意篡改。
(三)数据备份策略
数据的备份是信息管理的重要手段,通过分离存储设备来提高数据系统与主机系统之间的相对独立关系,从而起到对数据的保护作用,以备不时之需,特别是数据的备份可以将系统故障时的损失降低到最低程度,防止数据丢失。
五、网络信息管理安全体系的建立
网络信息管理安全体系构建要以完善的制度为基础,以安全策略为核心,从网络管理的基础环节做起,提高网络使用者的安全防范意识和自我信息保护意识,加强网络技术的培训,提高网络管理人员的整体技术水平,从管控的角度来掌握信息系统全局的运营情况。此外,作为信息化发展的有效保障,网络信息的安全管理还要以强大的计算机技术发展水平为依托,安全管理与网络风险从来都是相伴而生的,因此,安全管理既是有针对性的风险反击,也是广泛的防范过程。
六、结语
网络信息管理和安全始终是一系列问题与矛盾的解决过程,涉及技术、管理、立法与使用的诸多方面。如何正视网络信息管理的重要性,如何定位网络信息安全的约束标准,成为了计算机网络发展的综合性话题,也是社会信息化进程的重要推动力。
参考文献:
[1]黄贤英.大型企业计算机网络安全实施方案[J].计算机安全,2009:12-13
[2]王居野.对互联网安全管理的一點思考[J].江淮论坛,2009:23-24
4.信息安全管理制度 篇四
(2)如在网上发现反动、黄色的宣传品和出版物,要保护好现场,及时向有关部门汇报,依据有关规定处理。如发现泄露国家机密的情况,要及时报网络管理员措施,同时向校领导报告。对违反规定造成后果的,依据有关规定进行处理,并追究部门领导的责任。
(3)未经批准,任何人不得开设BBS,一经发现立即依法取缔。
(4)涉密信息不得在与国际网络联网的计算机系统中存储、处理和传输。
(5)对校园网内开设的合法论坛网络管理员要实时监控,发现问题及时处理。坚决取缔未经批准开设的非法论坛。
(6)加强个人主页管理,对于在个人主页中张贴、传播有害信息的责任人要依法处理,并删除个人主页。
(7)校内各机房要严格管理制度,落实责任人。引导学生开展健康、文明的网上活动,杜绝将电子阅览室和计算机房变相为娱乐场所。
(8)对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法予以关闭和清除;对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。
5.网络信息安全管理制度 篇五
1、建立健全上网用户日志保存制度。我们将为连入校园网的部门和用户建立详细的日志保存服务,保存期达半年之久。如若超出了日志的保存时间,网络会自动覆盖超出的存量。
2、建立论坛信息安全巡查制度。中心会设立专门的网络管理员对论坛中的信息进行经常性的安全巡杳。校园网上的单位和用户必须对所提供的信息负责。不得利用计算机网络从事危害国家安全、煽动民族分裂、破坏民族团结以及泄露国家机密等犯罪活动;不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
3、在校园网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备以及私自更改网络配置等活动;不允许在网络上散布计算机病毒、使用网络进入未经授权使用的计算机和不以真实身份使用网络资源;不得利用网络侵犯他人的正当权益。
4、网络中心和各入网部门定期对相应的网络用户进行有关的信息安全和网络安全教育并对上网信息进行审查。凡涉及国家机密的信息严禁上网。
5、校园网上所有用户有义务向网络管理员和有关部门报告违反本管理制度的行为。
6、校园网的有关工作人员和用户必须接受并配合国家有关部门进行的监督检查。
7、建立案件报告和案件调查协助配合制度。对于违反本制度的入网部门和用户,网络中心将拟案件报,并协助配合党办、校办、宣传部和保卫处等上级单位进行调查。依照情节轻重对其采取如下处罚措施:警告、停止网络连接直至诉诸法律。
景德镇高等专科学校网络中心
6.信息系统安全管理制度 篇六
为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。
一、互联网使用管理互联网使用管理互联网使用管理互联网使用管理
1、禁止利用公司计算机信息网络系统制作、复制、查阅和传播危害国家安全、泄露公司秘密、非法网站及与工作无关的网页等信息。行政部门建立网管监控渠道对员工上网信息进行监督。一经发现,视情节严重给予警告、通报批评、扣发工资500-1000元/次、辞退等处罚。
2、未经允许,禁止进入公司计算机信息网络或者使用计算机信息网络资源、对公司计算机信息网络功能进行删除、修改或者增加的、对公司计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加、故意制作、传播计算机病毒等破坏性程序的等其它危害公司计算机信息系统和计算机网络安全的。一经发现,视情节严重给予警告、通报批评、扣发工资1000-2000元/次、辞退等处罚。
3、公司网络采取分组开通域名方式,防止木马蠕虫病毒造成计算机运行速度降低、网络堵塞、帐号密码安全系数降低。
二、网站信息管理
1、公司网站发布、转载信息依据国家有关规定执行,不包含违反国家各项法律法规的内容。
2、公司网站内容定期进行备份,由网管员保管,并对相应操作系统和应用系统进行安全保护。
3、公司网管加强对上网设备及相关信息的安全检查,对网站系统的安全进行实时监控。
4、严格执行公司保密规定,凡涉及公司秘密内容的科研资料及文件、内部办公信息或暂不宜公开的事项不得上网;
5、所有上网稿件须经分管领导审批后,由企划部门统一上传。
三、软件管理软件管理软件管理软件管理
1、公司软件产品的采购、软件的使用分配及版权控制等由行政部门信息系统管理员统一进行,任何部门和员工不得擅自采购。
2、公司提供的全部软件仅限于员工完成公司的工作使用。未经许可,不得将公司购买或开发的软件擅自提供给第三人。
3、操作系统由公司统一提供。禁止安装使用其它来源的操作系统,特别是未经授权的非法拷贝。擅自使用造成的一切后果由使用人自行承担,对于造成损失的,将视情节及危害程度严重给予警告、通报批评、扣发工资100-200元/次等处罚。
4、一般应用软件统一在公司文件服务器上提供常用软件安装目录,不提供安装光盘(操作系统除外)。安装非公司提供的软件导致系统损害,信息丢失的,将视情节及危害程度严重给予警告、通报批评、扣发工资100-300元/次、辞退等处罚。
5、公司小范围使用的专业版权软件,使用人需在自行备份并由信息系统管理员验证后才可进行安装。
6、禁止安装使用非工作用软件。其它工作所需的应用软件,可由使用部门申请,再由行政部门统一发布。
四、计算机病毒管理
1、集团计算机病毒管理由集团信息办负责进行规划、实施和监控。
2、员工应树立预防计算机病毒的意识和熟知预防计算机病毒的措施,及时更新系统漏洞和使用杀毒软件。具体内容包括:(1)及时更新微软补丁,每周至少更新一次。当屏幕右下角有自动更新的图标时,要及时安装。(2)有些特殊的软件(如SQL SERVER等),及时到相应网站打补丁。(3)及时安装杀毒软件和升级杀毒软件病毒特征库。严禁因杀毒软件影响性能,而把杀毒软件卸载。每周至少更新一次,确保杀毒软件为最新版本。(4)严禁
打开来历不明的邮件。能判断为病毒邮件的,立即删除;不能判断的联系信息系统管理员解决。当计算机感染病毒后,请及时断开网线,使用杀毒软件查杀和查看操作系统和应用软件的补丁是否及时更新;严重者请及时联系信息办信息系统管理员解决。(5)当有新病毒通过某些软件(如:QQ,MSN)传播时,请立即关闭相应软件或拔掉网线。查杀问题解决后,方可继续使用。
3、凡未按以上预防计算机病毒步骤执行而造成机器感染病毒并传播者,第一次给予警告、第二次给予通报批评,第三次及以上将给予通报批评并扣发工资50-100元/次。
五、网络资源管理
1、集团网络资源和服务器由集团信息办信息系统管理员统一进行规划、管理和监督。
2、服务器及个人用机的管理:(1)部门级及以上服务器必须指定专人负责管理,并在行政部门备案,未经授权,非管理员不得对其进行操作。(2)部门级及以上的服务器管理员有责任对其负责的服务器进行例行检查,包括:服务器的CPU、内存、硬盘等资源利用情况;服务器上运行的服务使用情况;服务器上运行的OS及时升级;服务器上运行的杀毒软件的及时更新;(3)服务器管理员要做好服务器的备份工作,至少每季度有一份完整异地(异机)备份,重要数据及时备份。信息系统管理员有责任监督、协调其备份工作。(4)个人和部门未经行政部门批准不得私自设立服务器。(5)服务器管理员每月定期对服务器做一次全面检查,并填写服务器检查日志。(6)服务器管理员每季度需修改服务器密码一次。当服务器管理员有变更时,管理员密码需及时更改。(7)员工应避免随意共享工作相关资料,若需共享,应指定合理权限,并在完成后及时取消;严禁未经信息系统管理部门批准,擅自共享给局域网内所有用户。(8)员工应自行维护电脑的正常使用,并按照网管的要求进行设置及及时进行补丁更新,不得擅自退出域、去除域管理员权限、修改主机名、修改ip等。
3、IP地址的管理:(1)IP地址由行政部门统一规划管理。未经许可,不得擅自更改任何设备的IP地址。(2)公司申请的公网IP任何人不得私用。(3)工作需要公网IP,需申请信息部批准后,方可使用。(4)公司公网IP使用无工作需要时,立即停止使用,并通知行政部门收回。(5)FTP等特殊服务器的使用须经行政部门批准,且不得擅自更改使用用途。
六、机房管理
1、人员管理:相关维护人员凭门禁卡或密码进出机房,其它人员不得擅入。如确需进入机房的其它工作人员,应向相关部门提出申请,并做相应的登记备案后,在相关人员的陪同下入内。信息系统管理员有权在场监控及记录入内者的工作情况。
2、机房设备管理:参照公司固定资产管理制度进行管理。非电源性电子设备(如路由器,服务器等)必须接不间断电源,保证数据在突然断电时不致丢失;机房温度应保持在22±2℃。工作时间,非工作时间公司保安应定时巡视机房,确保机房环境、供电及温度正常;如出现机房温度超过30摄氏度警戒线、停电等异常情况,应与管理员联络,立刻采取必要措施保障机房设备的安全。
3、信息管理:任何人员(包括管理员)在机房信息设备上进行更改操作,都需记录备案。未经管理员许可在机房内擅自进行操作者,可视情节给予通报批评、扣发工资200-500元;情节严重的,可予以辞退。
4、施工管理:公司机房建设应符合机房建设的有关标准和规定;在公司机房内施工,须由信息安全部经理批准,并有网络管理员或授权的公司保安监督施工现场。
七、电子设备使用管理
1、电子设备的新增购买申请先采用调配方式,若无法调配同等配置的,才予购买。使用管理参照公司固定资产管理制度。
2、计算机及其辅助设备一经领用,使用人员需严格按照设备使用说明书和管理员制定的相关使用规定操作。对丢失、擅自转让、人为毁损造成无法修复等损失,可视情节给予警告、通报批评、按价赔偿。(1)台式计算机:非经信息管理员工同意不得擅自打开机箱。(2)笔记本电脑设备:a、不同品牌型号的零配件不可互换使用。b、用于移动办公,绝对不允许作为服务器共享操作。c、应保持出厂预装的正版操作系统,保留硬盘中的隐藏分区。如确因工作需要重新安装其它操作系统(如WIN2000等),需由系统管理员进行。不允许私自重新分区格式化,将原出厂隐藏区格式化删除。
3、非经许可,不得将个人台式电脑及相关设备带入公司,特殊情况,需办理相关登记手续。
4、员工不得随意增减配件,不得在未经管理员许可的情况下对硬盘做低级格式化。未经行政部门批准,严禁将台式电脑及其它电子设备带出公司。私自调配电子设备(含配件),可视情节给予警告、通报批评、扣发工资200-500元/次。
八、信息系统管理员
1、管理权限和责任(1)负责公司各信息系统的信息安全、日常维护、系统管理等。(2)严格遵守公司制定的相关信息安全管理制度,履行工作职责。(3)制定各信息系统的管理维护标准,包含用户及权限建立与变更标准及流程、定期检查制度、违约处罚条款等,送交信息安全主管部门审核备案,并严格执行。(4)信息系统管理员必须签订《关键职位员工之保密承诺书》。
2、职责规范(1)推动员工树立信息系统安全防范意识,完善公司信息安全保障机制,逐步建立以预防、发现、响应、恢复为基础的信息安全管理机制。(2)遵守职业道德,严守保密制度,不以任何形式携带走所接触的、了解的、获知的、掌握的、使用的集团任何资料;不向任何单位和个人泄露、透露或披露在工作期间所接触到、了解到、知悉的、被告知的集团商业秘密(包括技术秘密和经营秘密);未经公司书面同意,不擅自使用已接触到、了解到、知悉或被告之的商业秘密;不利用已知的公司资源(如公司信息系统缺陷、口令等),做违反国家法规、窃取公司商业秘密、攻击公司服务器等行为。(3)端正服务态度,对员工的需求积极快速响应,并提供迅速、周到的技术服务支持。
九、附则:
1、本制度解释权归集团信息办。
7.网络信息安全管理浅析 篇七
在我们国家, 政府部门对信息系统的安全性也非常的重视, 在国家技术监督局和其他主管部门的指导下, 我们国家与国际标准接轨的, 关于信息安全与网络安全方面的技术标准和产品标准已经陆续出台, 并早在1997年就建立了全国信息技术、安全技术委员会。网络安全问题除了引起了政府机关、国家安全部门、金融机构等的重视, 一般的企事业单位甚至个人也都日益关注这些网络安全问题。
一、网络安全威胁的起因
为什么会存在这么多的网络安全, 网络安全威胁的起因包括:
1. 技术上存在缺陷。
互联网使用的通讯协议是TCP/IP, TCP/IP在最初的设计时, 主要考虑的是如何实现网络连接, 并没有充分考虑到网络的安全问题, 而TCP/IP协议是完全公开的, 这就导致入侵者可以利用TCP/IP协议的漏洞对网络进行攻击。另外计算机使用的操作系统, 比如说目前仍普遍使用的微软windows操作系统在设计上也存在安全漏洞, 用户经常需要更新、下载它的安全补丁, 以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足, 网络通讯设备包括路由器、交换机存在安全的缺陷等等, 这些技术上的缺陷都容易被入侵者利用, 从而构成安全威胁。
2. 思想上不重视。
由于企业的负责人、网络管理员思想上不重视或者疏忽, 没有正视黑客入侵所造成的严重后果, 没有投入必要的人力、物力和财力来加强网络的安全性, 没有采取有效的安全策略和安全机制, 缺乏先进的网络安全技术、工具、手段和产品等等, 这也导致了网络的安全防范能力差。
二、网络安全问题可能导致的后果
在现代网络信息社会环境下, 由于存在各种各样的安全威胁, 比如病毒、误操作、设备故障和黑客攻击等, 从而可能会造成重要数据文件的丢失。安全问题具体的后果包括:
1.企业的资料被有意篡改、网站的页面被丑化或者修改。比如说, 在被攻击的网站首页上贴上谣言、黄色图片或反动言论, 从而造成法律上和政治上的严重后果。
2.破坏计算机的硬件系统, 比如说磁盘系统, 从而造成文件永久丢失。
3.使得商业机密或技术成果泄露或者被散播。
4.安全问题还可能使得服务被迫停止, 并给客户层带来服务质量低劣的印象, 使得企业形象被破坏, 从而造成恶劣影响和难以挽回的损失。
三、网络攻击的主要方式
互联网技术在飞速发展的同时, 黑客技术也在飞速发展, 网络世界的安全性不断地在受到挑战。对于黑客来说, 要进入普通人的电脑非常容易。只果你要上网, 就免不了遇到病毒和黑客。那么黑客们有哪些常用攻击手段呢?
1. 口令攻击。
口令攻击就是通过窃取口令的方式进行破坏的活动, 口令攻击是比较常用的一种攻击方式。在现实生活中, 由于用户名和密码被盗造成损失的例子有很多, 一旦用户名和密码被盗, 入侵者还可以冒用此用户的名义对系统进行进一步的破坏和攻击, 从而给用户本身或者整个系统造成非常大的损失。
就目前的黑客技术来说, 用户名和密码的盗取对黑客不再是有难度的事情, 黑客盗取口令的方法有很多。比如说, 有的黑客通过FTP、TFTP和Telnet等工具, 可以搜集用户账户资料、获得口令文件, 然后对口令文件进行解密来获得口令。或者如果用户的口令设置缺乏安全性, 可能被轻易地被“字典攻击”猜到用户的口令。“字典攻击”就是通过编写一个应用程序, 根据一定的规律, 由应用程序自动反复地去尝试口令, 强行破解用户口令。“字典攻击”要求黑客要有足够的耐心和时间, 但对那些口令安全系数极低的用户, 只要短短的几分钟, 甚至数十秒就可以被破解。
2. 软件攻击。
软件攻击有时又叫漏洞攻击, 许多系统包括计算机系统、网络系统都有这样那样的安全漏洞 (B u g) 和后门 (backdoor) 。特别是计算机系统, 在安装好操作系统后, 出现漏洞和缺陷的可能性是最大的, 这些漏洞需要厂商发布补丁 (patch) 程序来进行修补。各个硬件厂商和软件厂商, 包括微软在内, 都在不断地发布自己的补丁, 这要求用户及时的去下载这些补丁, 进行系统更新操作。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁, 入侵者就可以很容易利用这些公开的漏洞, 侵入系统, 从而对整个网络带来灾难性的后果。
软件攻击除了利用系统的漏洞外, 还可以利用一些后门程序。后门, 就是秘密入口。比如说, 在程序开发阶段, 程序员可能会设置一些后门, 以便于测试、修改和增强模块功能。正常情况下, 程序开放完成后需要去掉各个模块的后门, 不过有时由于疏忽或者其他原因, 比如说如保留后门便于日后访问、测试或维护, 后门没有去掉, 一些别有用心的人就会利用专门的扫描工具发现并利用这些后门, 然后进入系统并发动攻击。
3. 窃听攻击。
网络窃听是最直接的获取数据的手段, 如果在共享的网络通道上, 用没有加密的明文传输敏感数据, 这些信息很可能被窃听和监视。窃听者可以采用如Sniffer等网络协议分析工具, 非常容易地在信息传输过程中获取所有信息的内容, 这些信息包括账号、密码等重要信息。一旦, 入侵者监听到用户传输的口令, 就可以利用口令入侵到系统中。比如说, 政府部门内部的普通工作人员, 如果通过内部网络窃听手段, 获取了领导的账号和密码, 从而可以利用这些密码, 查阅只能由领导查阅的秘密文件等。这类方法有一定的局限性, 但危害性较大, 监听者往往能够获得其所在网段的所有用户账号和口令, 对内部网络安全威胁巨大, 因为内网数据往往是密级非常高的, 如果被非法窃听而导致信息泄露, 将对国家造成非常大的损失。
4. 欺诈攻击。
欺诈攻击是利用假冒方式骗取连接和信息资源、损害企业的声誉和利益的方式。比如说, 黑客在被攻击主机上启动一个可执行程序, 该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息后, 黑客程序会将用户输入的信息传送到攻击者主机, 然后关闭界面给出提示错误, 要求用户重新登录。此后, 才会出现真正的登录界面, 这就是欺诈攻击的一种方式。
再比如说, 黑客可以制作自己的网页, 一旦用户点击了假冒链接地址, 进入到这个网页后, 如果用户此时输入银行账号、密码、验证码后, 该假冒网页会提示验证码错误, 随后再转向正常的网页, 这样, 黑客就巧妙地从中获取了用户的机密信息。
5. 病毒攻击。
计算机病毒实际上是一段可执行程序, 为什么称之为病毒, 主要是因为它和现实世界的病毒一样具有传染性、潜伏性和破坏性。在越来越依赖网络的今天, 由于病毒导致的系统破坏将带来巨大的损失。
计算机病毒对计算机的影响是灾难性的。从20世纪80年代起, 计算机使用者就开始和计算机病毒斗争, 特别是随着近年互联网的发展、网络应用的普及、人们对计算机的依赖程度的不断提高, 这一切为病毒的传播提供了方便的渠道, 同时也使计算机病毒的种类迅速增加, 扩散速度大大加快, 受感染的范围越来越广, 病毒的破坏性也越来越严重。以前病毒的传播方式主要是单机之间通过软盘介质传染, 而现在病毒可以更迅速地通过网络共享文件、电子邮件及互联网在全世界范围内传播。
6. 拒绝服务攻击。
拒绝服务 (denial-of-service) 攻击, 简称Do S攻击, 是通过向攻击目标施加超强力的服务要求, 要求被攻击目标提供超出它能力范围的服务, 从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。简单的说拒绝服务攻击就是想办法将被攻击的计算机资源或网络带宽资源耗尽, 导致网络或系统不胜负荷以至于瘫痪, 而停止提供正常的服务。
Do S攻击由于可以通过使用一些公开的软件和工具进行攻击, 因而它的发动较为简单, “拒绝服务”的攻击方式是:用户发送许多要求确认的信息到服务器, 使服务器里充斥着这种大量要求回复的无用信息, 所有的信息都有需回复的虚假地址, 而当服务器试图回传时, 却无法找到用户。服务器于是暂时等候, 然后再切断连接。服务器切断连接时, 黑客再度传送新一批需要确认的信息, 这个过程周而复始, 最终导致服务器资源耗尽而瘫痪。
四、网络安全的主要防范措施
网络安全防范的目的是保护以网络为代表的系统资源不受攻击影响、同时要发现可疑的行为、对可能影响安全的事件作出反应。网络系统安全的最终目标是要保证数据和信息的安全性, 也就是说, 网络自身的安全是为数据和信息安全服务的。网络安全不单是单点的安全, 而是整个系统的安全, 需要专业的安全产品与网络产品紧密配合才能达到。网络安全的防范措施包括:
1. 安装防火墙。
最常用的网络安全技术就是采用防火墙, 防火墙所处的位置和功能很象是建筑上所说的防火墙, 防火墙是安装在计算机网络上, 防止内部的网络系统被人恶意破坏的一个网络安全产品。防火墙通常是防范外部入侵的第一道防线, 使用了防火墙后, 可以有效地挡住外来的攻击, 对进出的数据进行监视。
2. 防止内部破坏。
有了防火墙可以防范外部的攻击, 这还不能完全有效地保障内网的安全, 因为很多不安全因素来自内部非授权人员对涉密信息的非法访问和恶意窃取, 因此在网络内部, 也必须要有强有力的身份鉴别、访问控制、权限管理以及涉密文件的保密存储和传输等措施, 才能有效地保障内部涉密信息的安全性。
3. 口令保护。
口令攻击是常见的一种网络攻击方式, 黑客可以通过破解用户口令入侵用户系统, 因此必须非常注意对口令的保护, 特别是在设置口令时不能简单了事, 密码设置不要容易被别人猜出, 重要的密码最好定期更换等等。
除了在设定口令时要注意口令安全, 还有一种动态口令方式来保护口令的安全, 动态口令认证是针对, 静态口令身份认证机制的安全弱点, 提出的一种新的身份认证机制。在这种机制下, 认证客户端和认证服务器都基于用户密钥和当前时间, 通过特定的密码算法, 生成该用户的当前登录口令, 用于身份认证。由于当前登录口令是和当前时间相关的, 而且登录口令只是一次有效, 用户在登录时口令是随时变化的, 因此很好地解决了口令的泄露问题, 保证了用户的身份真实性和不可抵赖性。
4. 数据加密。
在互联网出现后, 特别是随着电子商务应用的普及, 企业的许多数据要经过互联网传输, 传输过程中间极有可能出现数据被窃取和被篡改的危险, 因此跨越互联网传输的数据都必须经过加密, 保证数据不被窃取。除了跨越互联网传输的数据需要加密外, 以往发生的数据泄露事件中, 内部数据泄露也比较多, 因此网络内部的数据也应该采用一定的加密措施。
加密技术的主要目标是确保数据的机密性、真实性、完整性, 通过加密措施, 使非法窃听者即使截获部分信息也无法理解这些信息, 另外通过校验技术, 可以使数据被篡改后还有机制去恢复被篡改的内容。
总之, 网络安全防范是一个动态的概念, 不可能做到一劳永逸, 重要的是要建立一个网络安全防范体系。网络安全是一个广泛而复杂的课题, 各种类型的企业对网络安全有不同的需求, 必须进行具体的分析才能制定出适合企业自身要求的、总体网络安全解决方案。
摘要:在互联网络飞速发展的今天, 由于技术上的缺陷以及思想上不购重视等原因, 在现代网络信息社会环境下, 存在着各种各样的安全威胁。这些威胁可能会造成重要数据文件的丢失, 甚至给政府、银行证券以及企业的网络信息系统带来了极大的损失和危害。网络攻击的主要方式包括口令攻击、软件攻击、窃听攻击、欺诈攻击、病毒攻击以及拒绝服务攻击等, 而网络安全的防范措施则包括安装防火墙、防止内部破坏、口令保护和数据加密等多种方式。网络安全防范是一个动态的概念, 重要的是要建立一个网络安全防范体系。
关键词:网络安全,信息安全,网络攻击,安全防范
参考文献
[1]马翔:网络安全的策略和解决方案研究.中国科技信息, 2007 (22)
[2]黄梯云:管理信息系统, 北京:高等教育出版社, 2005.3
8.电子档案信息安全管理研究 篇八
关键词:电子档案;信息安全;保障措施
1.问题的提出
当前,很多单位缺乏对电子档案信息安全管理的知识和技术,难以保证电子档案的安全、可靠的状态。因此,电子档案迫切需要解决信息安全的问题。电子档案源自电子文件,它是在计算机中产生的文字、图形、声音、影像等多种信息,将其进行数字化集合,使其具有归档保存、备查、凭证作用。各单位应保障电子档案原始性、真实性、可靠性,构建完善的信息安全保障体系[1]。
2.电子档案信息管理存在的安全问题
2.1 物理安全问题
电子档案的存放环境影响着电子档案信息管理存在的安全。例如:存在环境的温度、湿度、以及防盗、防毁、防磁能力。要保证电子档案的计算机系统不受自然灾害和人为破坏。电子档案的信息安全首先要解决物理安全,通常可以采取对传导发射的防护和对辐射的防护两种措施,来保证电子档案的物理安全。
2.2 软件安全问题
电子档案信息安全需要软件安全,才能使电子档案正常运行流转。电子档案的运行软件应满足技术要求,能够实现严格的权限控制,保障合法用户可以对电子档案进行创建、归档、利用,避免非法用户的访问和非法拷贝的问题。
2.3 数据安全问题
电子档案信息安全最重要的就是数据安全,这样才能保证电子档案信息的完整、有效,避免被修改、泄露等。为此,应对电子数据进行备份,确保数据的安全。通过在线备份管理的方式,并根据实际情况采取近线存储与离线存储结合的方式进行数据备份。而电子档案在变化的软硬件环境中,会出现电子文件不能被识别读取的安全隐患,这就需要对软硬件环境进行备份,或者对备份的数据进行“数据转换”操作。对电子档案进行备份介质的选择上,可以选择光盘、磁带、闪存盘和缩微胶片[2]。电子档案的备份可以按时间段、项目等进行分类备份。与此同时,还应根据档案数据的安全管理级别设置权限的安全管理,以对应不同类型的访问用户。
2.4 网络安全问题
电子档案的计算机网络及其节点可能受到威胁和网络的脆弱性的安全问题。因此,有必要保证计算机网络的安全,这样才能为用户的异地使用电子档案信息保障网络的畅通安全,实现有效地利用电子档案信息。网络安全问题的解决一般采取物理隔离、应用防火墙以及身份认证等安全技术,而防火墙技术成为最佳的同外网隔离与访问控制的措施。
3.电子档案信息安全管理的保障措施
3.1 增强安全意识
电子档案的使用单位和操作人员应创新服务形式,提高安全意识。各单位应积极进行电子档案的资源共享,建立电子档案的共享联盟,通过计算机网络技术,为各类用户提供安全、优质的信息服务,包括网上档案信息查阅,咨询服务。单位应对电子档案管理者进行培训,提高档案信息服务的质量和效率;增强他们的安全意识、保密意识,以及工作责任心。
3.2 基础设施和应用系统建设
各单位应加强电子档案的基础设施和应用系统建设,为社会用户的电子档案使用创造广阔的交流渠道和途径。这些基础设施应是智能化、综合性的电子档案馆,能够对盗窃、水灾、火灾实现控制的安防系统;电子档案信息管理平台优化电子档案信息管理系统。推行电子档案的管理标准,各单位还应推行电子档案的管理标准,完善电子档案操作的规范体系,使电子档案管理实现权责分明、集中管理、定期检测、定期维护、以及技术风险评估制度[3]。
3.3 技术的不断升级
电子档案信息安全管理技术应不断进行升级,目前最通行的几种升级手段包括[4]:第一, 签署技术。电子档案的签署能够保证该份文件的原创性。电子档案的签署技术一般包括证书式数字签名和手写式数字签名。第二,加密技术。这样可以确保电子档案内容的非公开性。这种技术采用的是双密钥码进行加密,防止第三者解密原文件。第三,身份验证。通过对用户进行身份验证,可将非法用户拒之系统之外。第四,防火墙。它是一种访问控制技术, 控制进、出两个方向的通信,使被保护网络的信息和结构不受侵犯。第五,防写措施。用户只能从计算机上读取信息,不能追加或擦除信息,保持电子档案的原始性和真实性。通过以上措施,可以加强计算机网络的安全性,防止病毒和黑客的攻击,确保电子档案信息不被非法访问,以及篡改、和毁坏,从而有效保障电子档案信息的安全。
3.4 营造良好的电子档案存放环境
首先,要保证电子档案载体的物理安全。通常情况下,电子档案存储在磁、光介质上, 这样就必须创造一个适合于磁、光介质保存的温湿度环境。电子档案存放环境要求温度在14 ~24摄氏度之间。这样的温度可以防止电子档案的介质变脆,避免老化。电子档案的环境湿度应在40%~60%之间。这样的湿度可以防止磁带、磁盘的膨胀与变形,避免变脆易碎。电子档案存放的载体应直立排放,避光、防尘、防变形, 同时要远离强磁场和有害气体。其次,确保电子档案内容具有严谨的逻辑。电子档案采用最新技术与方法,尽量保持内容格式编排上的一致。电子档案所依赖的技术及数据结构和相关定义参数进行保存, 并可以采用先进技术加以转换。再次,要保证电子档案的原始性。电子档案以原始形成的格式进行还原显示。要求保存电子档案的相关支持软件和整个应用系统进行妥善保管,这样就能够使电子档案按原始的面目进行显示;或者保存原始档案的电子图像;或者保存电子档案的打印输出件或制成缩微品。保存的电子档案应容易理解。保存电子档案的内容应尽量避免被人不完全理解。因此,为了使电子档案便于理解,在保存电子档案时,应保存与档案内容相关的信息,例如: 元数据、物理结构与逻辑结构的关系,电子档案名称、存储位置;与电子档案内容相关的背景信息等。最后,单位应对电子档案载体定期进行有效的检测与维护。电子档案载体受到环境的不良影响,应定期检测保存的电子档案载体,及时处理存在的问题,保证电子档案的安全性。在对电子档案定期检测,应考虑时间和成本的问题,应采用随机抽样的检测方式,保证样品数量高于10%,检测的过程应注意电子档案载体的外观, 查看其是否有损坏或变形,有无霉斑等;在对其进行逻辑检测, 应使用专业检测软件进行读写校验,在遇到出错的载体,应及时进行修正。要保证检测的操作规范,不能出现人为损坏。
3.5 构建电子档案安全体系
各单位应构建电子档案安全体系,促进电子档案的高效和安全使用,安全体系提供的保障包括系统安全性和信息安全性。这些防范措施可以防止非法用户的侵入,保证用户的权限操作,促进电子档案长期稳定的状态。构建电子档案安全体系应从以下几方面着手:
第一,应确保网络传输安全。这能够保证电子文件在网络上传输的安全性,确保用户在线阅读电子文件的安全。
第二,加强电子档案的信息存储安全。采用电子文件的加解密、电子文件的防篡改技术保证电子文件的原始真实性。
第三,加强操作系统的安全性。单位建立服务器操作系统的安全维护、升级、服务器系统打补丁的工作。
第四,建立安全检测系统,包括安装杀毒软件、防火墙、升级。
第五,加强应用系统安全建设。其内容应包括安全登陆、资源访问安全,确保电子档案应用系统的安全。
第六,加强电子档案系统安全审计。单位应建立电子档案系统的安全审计功能,建立电子档案使用和操作的审计日志,并定期进行审计,及时发现系统安全隐患。单位构建电子档案安全体系,不但应用先进的技术保护措施,而且还应执行科学规范的管理制度,确保电子档案的安全。
参考文献
[1] 杨安莲.论电子文件信息安全保障体系的构建[J]. 上海档案, 2010, 7
[2] 王秀华,霍东方.电子档案信息安全管理和技术措施[J]. 河北大学学报(哲学社会科学版), 2002, 2
[3] 胡雪飞.电子档案信息安全管理初探[J]. 机电兵船档案, 2010,4
9.医院信息安全管理制度 篇九
一、信息系统安全包括:软件安全和硬件网络安全两部分。
二、网络信息办公室人员必须采取有效的方法和技术,防止信息系统数据的丢失、破坏和失密;硬件破坏及失效等灾难性故障。
三、对HIS系统用户的访问模块、访问权限由院长提出后,由网络信息办公室人员给予配置,以后变更必须报批后才能更改,网络信息办公室做好变更日志存档。
四、系统管理人员应熟悉并严格监督数据库使用权限、用户密码使用情况,定期更换用户口令或密码。网络管理员、系统管理员、操作员调离岗位后一小时内由网络信息办公室人员监督检查更换新的密码。
五、网络信息办公室人员要主动对网络系统实行监控、查询,及时对故障进行有效隔离、排除和恢复工作,以防灾难性网络风暴发生。
六、网络系统所有设备的配置、安装、调试必须由网络信息办公室人负责,其他人员不得随意拆卸和移动。
七、上网操作人员必须严格遵守计算机及其他相关设备的操作规程,禁止其他人员进行与系统操作无关的工作。
八、严禁自行安装软件,特别是游戏软件,禁止在工作用电脑上打游戏。
九、所有进入网络的光盘、U 盘等其他存贮介质,必须经过网络信息办公室负责人同意并查毒,未经查毒的存贮介质绝对禁止上网使用,对造成“病毒”蔓延的有关人员,将对照《计算机信息系统处罚条例》进行相应的经济和行政处罚。
十、在医院还没有有效解决网络安全(未安装防火墙、高端杀毒软件、入侵检测系统和堡垒主机)的情况下,内外网独立运行,所有终端内外网不能混接,严禁外网用户通过U 盘等存贮介质拷贝文件到内网终端。
十一、内网用户所有文件传递,不得利用光盘和U 盘等存贮介质进行拷贝。
十二、保持计算机硬件网络设备清洁卫生,做好防尘、防水、防静电、防磁、防辐射、防鼠等安全工作。
十三、网络信息办公室人员有权监督和制止一切违反安全管理的行为。
信息系统故障应急预案
一、对网络故障的判断
当网络系统终端发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时,要立即向网络信息办公室汇报,网络信息办公室工作人员对科室提出的上述问题必须重视,经核实后给予科室反馈信息。网络信息办公室负责人应召集有关人员及时进行讨论,如果故障原因明确,可以立刻恢复工作的,应立即恢复工作;如故障原因不明确、情况严重不能在短期内排除的,应立即报告院领导,在网络不能运转的情况下由机关协调全院工作以保障医疗工作的正常运转。网络故障分为三类:
一类故障:服务器不能工作;光纤损坏;主服务器数据丢失;备份盘损坏;服务器工作不稳定;局部网络不通;数据被人删改;重点终端故障;规律性的整体、局部软、硬件故障。
二类故障:单一终端软、硬件故障;单一患者信息丢失;偶然性的数据处理错误;某些科室违反工作流程要求。
三类故障:各终端由于不熟练或使用不当造成的错误。针对上述故障分类等级,处理方案如下:
一类故障———由网络信息办公室主任上报院领导,并组织协调恢复工作。二类故障———由网络管理员汇总问题,并集中解决。三类故障———由网络管理员单独解决,并详细登记情况。
二、网络整体故障的首要工作
(一)当网络管理员一旦确定为网络整体故障,首先是立即向院领导汇报。马上组织恢复工作,并充分考虑到特殊情况如节假日、病员量大、人员外出及医院的重大活动对故障恢复带来的时间影响。
(二)当发现网络整体故障时,根据故障恢复时间的程度将转入手工工作的时限明确如下:
1小时内不能恢复———原则上将医师工作站、护士工作站、药房、急诊检查、入院、手术室、医技检查转入手工操作(具体实行时间及步骤由网络信息办公室通知)。
三、具体协调工作
(一)所有手工工作的统一时间须由网络信息办公室通知,相关单位严格按照通知时间协调工作,在未接到新的指示前不准私自操作计算机。
(二)门诊挂号工作协调
1、门诊挂号协调工作由门诊部护士长负责协调请示,如手工挂号的转入、转出时间等;
2、当网络系统中断时,改为手工挂号;
3、网络恢复后,及时将中断期间的患者信息输入到计算机;
4、在以后的工作中如发现某位患者的信息系统内没有记载,应详细询问患者以前是否是在网络故障时就诊过。
(三)门诊收费系统工作协调
1、由收款处科主任负责总体协调,并与网络信息办公室保持联系,及时反馈沟通最新消息;
2、当网络系统运行中断超过10分钟时,应通知收款处转入手工收款工作; 3、门诊收款负责同志应建立手工发票使用登记本,对发票使用情况做详细登记;
4、当系统恢复正常时,由收款处负责同志负责对网络运行稳定性进行监测,如不稳定,及时向网络信息办公室反映情况。
5、在接到使用计算机的指令并重新启动运行后,门诊收款负责人应组织收款员逐步转入到机器操作。
(四)住院费用核算系统工作协调 1、由住院处科主任总体负责协调工作;
2、当系统停止运行超过2天时,对普通出院患者,推迟出院结算时间;对急出院的患者应根据病历和临床科室护士工作站记录,进行手工核算出院。3、在网络停止运行期间,出院患者急需结算时,应由该科护士工作站追查是否还有正在进行的检查,向结算室提供详细费用情况后,方可送交核算。
(五)临床工作系统协调
1、临床科工作由医务部、护理部共同协调;
2、网络故障期间临床科室详细记录患者的所有费用执行情况;
3、科室详细填写每个患者的药品请领单(包括姓名、ID 号、费别、药品名称及用量),一式两份,一份用于科室补录医嘱,另一份送西药房;
4、出院带药由经管医师负责掌握经费情况,如出现费用超支情况由该医师负责;
5、根据医务部通知恢复运行时间,按要求补录医嘱。
6、如患者急需出院,应向核算室提供详细费用情况,对正在进行的检查应予以说明。
(六)医技检查工作协调
1、在网络停运期间应详细留取、整理检查申请单底联; 2、网络恢复后根据检查单底联登记,通过手工记价补录患者费用;
3、对出院快或有出院倾向的患者各科在申请单上注明,检查科室应及时通知科室或出院处沟通费用情况。
(七)药房工作协调
1、中心摆药应严格按照网络信息办公室规定的时间及要求进行计算机操作; 2、网络故障时,根据临床科室提供的药品请领单发药;
3、网络恢复时对临床科室补录的摆药医嘱进行发药补充确认,同时与发药时药品请领单内容详细核对,如发现内容不符,必须详细追查; 4、数据补录工作结束后应查看系统内库存与实际库存相符情况。
各信息点接到重新运行通知时,需重新启动计算机,整体网络故障的工程恢复工作,由网络信息办公室严格按照服务器数据管理要求进行恢复工作。
四、网络修复后的数据处理
(一)由各科组织核校患者费用情况;
(二)药房校查库存;
(三)临床科室补录患者医嘱。
10.网络信息安全管理制度 篇十
第一章总则
第一条为规范本院计算机及办公网络管理,确保网络安全、稳定、高效运行,保障院正常办公秩序,根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息网络国际互联网安全保护管理办法》和《互联网信息管理规定》,结合本院实际,制定本规定。
第二条本规定适用于本院全体干警和聘用人员。
第三条本规定所称办公网络包括法院内部局域网(简称内网)和Internet网(简称外网)。
第四条我院办公网络包括网络硬件设备、软件设备、各种网络信息及其它相关设备。硬件设备包括:网络所连接的服务器、交换机、光纤收发器、终端电脑、网络打印机、网络模块以及未连入网络的电脑、打印机、电脑桌、网络模块等设备;软件设备包括:各设备上安装的操作系统、办公专用软件、文字编辑软件以及办公室安装的其它软件;网络信息包括:组织人事、司法统计、财务工资等系统中录入的各种信息。
第五条院保密工作领导小组系本院计算机网络建设、管理的领导和监督组织,下设办公室,负责规划、管理、协调办公网络工作,负责办公网络设备和办公网络信息的管理、维护等工作。
第二章设备安全管理
第六条网络管理员应对机房采取防火、防盗、防潮、防停电等安全措施,确保机房的服务器及其他网络设备的不间断运行。网络管理人员应当定期巡查网络线路、交换设备,发现问题应当及时处理,确保传输线路、交换设备及路由设备的安全运行。
第七条除系统管理员以外的人员不准擅自进入计算机中心机房,外来人员因参观、业务交流确需进入机房,必须经主管部门领导同意,并登记办理相关手续后可以进入。
第八条每位干警应当做到上班时打开计算机,下班时关闭计算机,不准频繁地开关计算机,开、关机应规范操作,避免损坏硬件。
第九条已经安插计算机设备的电源,不准再安插电加热器、电风扇、热水器、取暖烤火器等强功率的电器设备。每位干警不得擅自打开计算机机箱,不得自行更换机箱内的插件,不得自行改变计算机系统的资源配置和参数设置。上班时间不得用计算机玩游戏,不得打印和存入与工作无关的信息,不得在网上进行非工作性质的操作和交流。
第十条计算机的日常维护由使用者负责,日常维护包括:计算机外部清洁、运行杀毒软件及其他计算机安全管理软件、计算机设备的电源管理。计算机的故障处理由办公室安排系统管理员负责,为防止涉密信息的泄漏和其他不必要的损失,严禁不经办公室批准将出现故障的计算机交由其他单位和个人处理。
第十一条计算机及其他网络设备的报废处理由办公室负责,在报废处理时应做好涉密信息的销毁工作。严禁将淘汰或报
废的计算机及其他网络设备随意放置或出售。
第三章信息安全管理
第十二条每位干警应当严格遵守《中华人民共和国保守国家秘密法》等保密法律、法规和规章制度,履行保密义务。
第十三条每位干警应对专用工作站的系统软件密码及局域网软件应严格保密,防止密码被他人盗用。
第十四条处理涉密文件的并不得与外网或其它公共信息网连接。
第十五条每位干警应当定期对所使用的计算机进行病毒清理和安全检测,杜绝各类病毒的传播与破坏,并停止带病毒的计算机运行。
第十六条每位干警不得从事下列危害网络安全的行为:
(一)未经批准将内网数据(包括文件、资料及相关信息)提供给内网用户以外的单位和个人;
(二)在网上进行危害国家安全、泄露秘密的各种活动;
(三)违规记录、存储、复制国家秘密信息和留存国家秘密载体;
(四)制作、复制、传播或浏览各种内容不健康的信息;
(五)在网上发布不真实信息、散布计算机病毒;
(六)存储、使用、传播黑客程序和技术;
(七)使用来历不明的光盘、移动磁盘等电子公文介质;
(八)在计算机上安装和运行大型单机或网络游戏;
(九)破坏计算机及办公网络的正常运行;
(十)窃取保密信息。
第四章设备维修管理
第十七条计算机在正常工作中发生故障时,应及时告知院办公室,由院办公室安排专业人员进行故障排除。
第十八条需更换或者更新计算机配件的,应向院办公室提出申请。由院办公室按照规定报批后统一安排购买和更换。院内不再使用的计算机及配件需交回办公室统一处理。
第五章考核奖惩
第十九条各庭、处、室、队和个人运用计算机网络情况纳入岗位目标考核,由院保密工作领导小组负责,考核结果作为年底评先评优的重要依据。各庭、处、室、队领导有责任督促、检查本庭、处、室、队使用计算机网络的规范情况,院保密工作领导小组组织人员进行不定期检查。
第二十条禁止超越授权使用计算机网络,禁止让非法院工作人员上机操作,违者一经查实,给予通报批评;经教育仍不改正的,或造成系统混乱、损害的,给予纪律处分。
第二十一条违反国家、上级法院及本院有关计算机安全管理规定,造成失密、泄密的,依照有关规定处理。
第二十二条因各种原因造成计算机病毒侵入、系统崩溃的,应对不良后果负责;使法院整个网络受到病毒侵入、系统崩溃的,由监察部门给予肇事者纪律处分,并取消其及所在部门当年的评先评优资格,对其所在部门领导和部门进行通报批评。
第二十三条对于在信息输入、信息使用和信息管理中表现突出的庭、处、室、队和个人,给予表扬和奖励。
第二十四条对于未按照规定格式或要求及时输入计算机信息的庭、处、室、队和个人,给予相应的处罚;对于违反信息管理规定,妨碍计算机信息系统正常运行的,按照有关规定给予纪律处分。
第六章附则
第二十五条院保密工作领导小组、纪检监察部门、办公室负责对各部门计算机网络管理进行监督指导。
11.电力企业网络信息安全管理探究 篇十一
【关键词】电力企业;网络信息;安全管理
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0144-02
随着网络和计算机技术的不断发展,人们越来越离不开网络,网络不但给用户带来便利,还带来了信息安全问题。本文分析了电力企业网络信息安全管理存在的问题,并提出了相应的完善措施。
一、电力企业网络信息安全管理存在的问题
(一)电脑病毒的威胁
对所有的电脑用户来说,不得不面临的主要问题就是电脑病毒的威胁,电力企业也是如此,计算机病毒会从各种渠道传播到计算机中,使电力企业的网络系统出现问题。电脑病毒不但会影响计算机的运算速度,还会破坏计算机的硬件和软件,并且电脑病毒的感染速度极快,只要计算机连接一个含有电脑病毒的移动存储设备,就可以使计算机感染电脑病毒,并且企业网络环境的变化也会导致计算机感染病毒。
(二)信息的安全问题
在网络信息的存储和传递中,不可避免都会出现相应的网络安全问题。在电力企业存储信息的时候,通过介入外部的互联网,会导致企业内部一些商业机密被网络黑客盗取,从而给企业带来相应的损失。在信息的传输过程中,也会造成企业内部信息被非法截取,使得商业机密泄露,除此之外,一些黑客人员还会运用非法手段来篡改企业的信息,使得企业的数据出现错误,造成信息混乱,给企业员工的工作带来巨大的影响。因此,如果不有效的解决电力企业的信息安全问题,就会给企业带来严重的损失和破坏,严重的甚至会危机国家和社会的财产安全。
(三)管理人员素质风险
现今,许多企业存在重技术、轻管理的情况,没有完善的安全管理制度,并且管理人员普遍信息安全意识不强,这也就在一定程度上提高了网络风险,并且企业网络管理员配备不当也是造成企业信息安全问题的主要原因。除此之外,对于电力企业来说,来自内部的风险是非常主要的安全风险,特别是网络管理人员,不经意间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
(四)设备本身与系统软件存在漏洞
由于电力企业的信息化发展较为缓慢,所以这就很可能造成电力企业很多设备和软件存在安全漏洞,给电力企业带来许多不良的安全问题。电力企业信息网络的操作系统、数据库存在安全漏洞,并且信息存储的介质受到损坏,就会造成大量的信息泄露或者丢失。除此之外,由于计算机设备工作时产生的辐射电磁波也会使电力企业网络信息存在安全问题,一些电力企业没有按照相关的要求及时的升级和修复防范软件,这就给网络信息安全带来一定的威胁。
二、完善电力企业网络信息安全管理的措施
(一)提高企业内全体员工的安全意识
目前,造成电力企业网络信息存在安全问题的其中一个主要问题就是用户的安全意识淡薄,对网络信息的安全不够重视,并且缺乏相应的防范措施。这些问题主要是因为电力企业网络信息管理不完善,缺乏相应的安全管理责任制,因此,必须提高用户的安全意识,使他们自觉的修补计算机的操作系统和安全漏洞,并且及时的升级防毒软件和防火墙,掌握安全评估的基本方法,对安全操作和维护技术的合理运用,使电力企业的网络信息处于安全的环境当中,只有这样才可以做好电力企业网络信息安全管理,减少网络的威胁。
(二)进行网络安全风险评估
电力企业想要从根本上解决网络安全问题,除了要从技术上面考虑以外,还应该做好网络安全风险评估工作。网络的安全离不开各种安全技术的实施,现在市面上有各种安全技术产品,想要选择合适的安全技术产品,首先应该进行可行性的分析,对电力企业存在的网络信息风险进行分析,并且对收益与付出进行比较,了解安全技术产品在电力企业中使用的效率,看下哪一个产品更加适合电力企业降低网络信息安全的需求。对电力企业来说,弄清楚网络信息存在的风险,并且评估这种风险带来的威胁和影响,只有这样才可以制定相应的安全管理策略,从而有效的提高电力企业网络信息的安全。
(三)完善网络防病毒体系
由于计算机病毒会广泛的传播,并且对网络用户的数据具有严重的破坏力,随着网络技术的不断发展,计算机病毒给网络用户带来的损失也越来越大,严重影响了电力企业网络系统的运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。
(四)建立企业网络信息安全文化
作为电力企业网络管理人员,应该建立企业网络信息安全文化,重点掌握企业信息安全的整体策略和目标,安全体系的建立和网络信息安全管理制度的制订。负责信息安全运行和维护的技术人员,应该对信息安全管理有一个充分的了解,并且掌握安全评估的基本方法,能够合理的运用安全操作和维护技术,提高安全管理人员的综合素质,使他们具备承担安全职责的能力,只有这样才可以降低电力企业网络信息安全风险,使电力企业免遭黑客和病毒的入侵,确保网络信息的安全。
(五)开展电力企业内部的全员信息安全教育和培训活动
在电力企业发展中,信息安全不但是整个信息网络部门的事情,还是企业内所有员工的职责,因此,为了提高电力企业网络信息安全管理的力度,就应该对企业内所有的员工进行信息安全教育,并开展相应的培训活动,以此来有效的避免由于失误造成企业内部出现安全风险。电力企业应该做好宣传工作,提高企业内所有员工对网络信息安全的认识,向每一位员工普及网络安全操作流程,使他们掌握基本的安全管理策略。除此之外,主管部门和各级管理人员,应该清楚掌握信息安全体系的构成情况,建立相应的管理责任制,每个部门每个员工都应该从自己做起,完善自己所用计算机的病毒软件和防火墙,防止网络病毒有机可乘。
三、结束语
综上所述,想要提高电力企业网络信息安全管理,首先应该提高企业内全体员工的安全意识,建立企业网络信息安全文化,并且完善网络防病毒体系和进行网络安全风险评估,开展电力企业内部的全员信息安全教育和培训活动,只有这样才可以确保电力企业的网络信息安全,避免網络安全风险的产生。
参考文献
[1]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].华东电力,2010,(05)
[2]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,(s2)
[3]汪洁,易予江.电力企业信息网络安全分析与对策[J].电力信息化,2008,(10)
[4]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊),2010,(05)
12.论档案信息安全管理 篇十二
一、提高档案安全防范和自我保护意识
首先, 通过制定一系列的方案来保护档案, 增强管理人员的安全防范和保护意识, 防止出现一些本不应该发生事件。每一个立档部门和组织单位, 必须加强对自己内部人员科学技术普查和应对突发事件的培训, 当做一个长期有用的工作来预防档案管理灾害的发生, 这也是档案信息安全管理的一个最重要的任务之一。其次, 思想上要明白会有意外的发生, 行动上要充分做好随时处理突发事件的准备工作, 对自己或他人的档案信息要有良好的安全和保密责任心, 档案管理工作体制要完善, 档案信息安全管理要加强, 从而有效地提高档案安全防范和自我保护意识。在平时多开展一些演习活动, 让工作人员在演练中学习如何处理紧急突发的不可预测性灾害, 如何在突发事件的同时把档案的损失降低到最小。最后, 制定有效的制度来管理档案的开放, 在媒介和各种公开的场合中合理的把握档案对外开放的相关内容、没有失去效力的档案复印件和部分档案信息被记载下来的内容。只有用正确的方式权衡档案保密和档案开放之间的关系, 才能确保安全管理和充分利用档案信息。
二、创建和改进档案信息的保护机制
一份完整的档案信息是很宝贵的, 因为档案信息的流程复杂、积累时间长, 短时间内很难重新获取, 甚至不可能从新获取, 所以档案信息不能失去, 也不能被毁掉。很多机构和单位在遇到危机的时候, 很有可能这些档案信息会让危难解除。因而, 把档案信息保护好是档案管理人员义不容辞责任, 也是我们对档案管理的终极目标。
(一) 纸质档案信息保护
对纸质档案信息来讲, 很渺小的一个外界环境因素都会影响到档案信息安全。主要的外界因素包括:温度、空气湿度、灰尘、光线、磁场、有害气体和机械震动等会直接或间接的影响到纸质档案信息的保存。对纸质档案信息采取特殊的方法和措施, 万一被烧毁了, 原件没有了, 但还可以用备份的复印件, 这些备份的复印件可以存放在当地也可以存放在异地。存放在当地就是版复印件存放在当地办公所在的地方, 并且要放在特殊的容器里面, 最好是具备良好的防火和防盗能力的器具里。存放在异地就是办复制的档案信息存放在不是办公地点的其他地方, 就算发生突发性灾害, 在两个地点同时发生的概率很小, 几乎可忽略不计, 不至于造成一无所有彻底的损失。
(二) 电子档案信息保护
对于电子档案信息来说, 电子备份是保护电子档案信息最有效惯用, 这也是电子档案与纸质档案的最本质区别。如果遇到了突发事件, 就能及时便捷的从数据库储存的数据中找回原有信息。
信息化时代发展速度迅猛, 档案信息也在慢慢地从原有的纸质档案向电子档案不断发展。电子档案机制成型以后应该做到按时收集、积累、和归档, 有效地预防档案信息变更和损失。具体应该做到以下七点:
1.归档的时候一定要认真仔细检查电子档案信息, 确保电子档案信息的内容和相关说明与其纸质或者是其他文件格式的完全相同;保证电子档案内容的完整、可靠和真实。
2.归档时要确保电子档案的载体没有被感染病毒, 而且能够准确的读出载体中的档案信息。
3.使用光盘存储归档的电子档案, 让之处于只读的属性, 达到保护所有归档的电子档案的效果。
4.定期检查电子档案信息是否安全和有效, 发现存在损伤的电子档案信息, 及时采取相应的补救措施, 从备份里重新拷贝一份或者是通过有效的修复使档案信息完整。
5.真实有效的跟踪记录每一个电子档案, 记录该页面的来由、管理和浏览状况。这样能获得最原始的电子档案信息, 对电子档案信息真实性提供有力保障。
6.储存档案信息安全的意识和网络安全意识一定要强, 设置密钥和身份认证, 防止他人恶意窃取档案信息;有力的监控档案信息管理系统, 避免管理上的失职;网络要设立防火墙, 有效地防止黑客和病毒;采用内部局域网形式, 隔离外界网络;定期备份档案数据库的信息, 确保档案信息保密, 运行的系统安全可靠。
7.要把电子档案的充分利用和有效保护二者有机的结合, 遵守电子档案的管理制度, 在技术上和管理策略两方面确保档案信息的安全性。
三、结语
综上所述, 一方面要让档案信息管理人员具备一定的档案信息安全防范和自我保护能力, 另一方面要让档案信息管理部门建立和完善安全管理体系。在档案信息安全的同时, 也不能放松警惕, 要时刻预防档案信息的安全漏洞;在档案信息存在安全隐患时, 应该及时处理问题, 要把泄露所带来的损害降到最低。只有这样, 才能让安全管理真正的落实到档案信息中去。
摘要:随着社会的发展, 档案已经成为我们工作生活中不可或缺的一部分, 如何确保档案信息的安全成为了档案管理的首要任务, 安全管理是档案管理中重要环节。本文, 阐述了如何提高档案安全防范和自我保护意识, 提出了创建和改进档案信息的保护机制。
关键词:档案信息,安全管理,保护
参考文献
[1]王媛媛.浅谈档案管理的安全保护工作[J].科技信息 (学术研究) , 2008, (07) .
[4]杨萍.电子文件安全保护的六点要求[J].北京档案, 2006, (06) .
[5]张寒凝.谈电子文件信息的安全防护策略[J].江淮论坛, 2007, (04) .
13.安全信息管理及报送制度 篇十三
第一章 总则
第一条 为了加强和规范我公司各部室安全生产信息报送、统计、分析工作,提高不安全事件应对能力,总结事故经验教训,研究事故规律,制定预防措施,提高安全生产管理水平,依据《中华人民共和国安全生产法》、《中华人民共和国电力法》等法律法规,制定本制度。
第二条 本制度所称的安全生产信息是指安全生产各种工作的定期汇报以及生产经营活动中发生的造成后果的不安全事件。第三条 安全生产信息报送实行分类、分级、逐级报送的原则,任何部门和个人应准确、真实、及时、完整的报送安全生产信息,不得迟报、谎报和瞒报各类安全生产信息,不得阻挠安全生产信息的报送。
第四条 各部室建立安全生产信息报告联络体系。各部门负责人为报告安全生产信息报送的责任人,24小时联系电话、邮箱等信息报生产部及主管领导备案。
各部室安全生产信息责任人信息变更后,应及时将新的责任人信息报生产部及主管领导。第五条 本制度适用于电厂各部门。第二章 组织体系与职责 第六条 组织体系
员工、班组、各部室负责人、领导构成安全生产信息报送组织体
系,施行逐级汇报或越级汇报。第七条 生产部职责
(一)生产部是安全生产信息报送管理工作的归口部门;
(二)负责重大、特大、较大、一般性安全生产事故(人身事故、设备事故、电力安全事故、自然灾害事件、造成社会影响的安全生产事件)的信息报送工作;、负责人身轻伤、机组非计划停运、机组设备异常以及未造成后果的各类安全生产信息的收集、汇总和存档工作。
(三)负责本单位安全生产隐患排查,对半年和等安全生产信息进行汇总,及时上报。
(四)监督有关部门、班组、员工安全生产信息报送工作。第八条 其他部室职责
(一)负责本部室突发安全事件信息的上报工作。
(二)负责本部室安全生产信息的上报工作。第九条 班组的职责
(一)负责本班组突发安全事件信息的上报工作。
(二)负责本班组安全生产信息的上报工作。第十条 员工职责
发生或发现不安全事件时,应立即向本班组、部门负责人汇报,必要时可越级汇报。第三章 安全生产信息报送 第一节 信息即时报告 第十一条 安全信息报送内容
(一)发生的时间、地点。
(二)发生现场真实情况。
(三)现场采取的紧急处理措施。
(四)事后的调查处理报告。
第十二条 发生重大、特大、较大人身伤亡事故应逐级或越级汇报厂长,厂长立即上报上级领导并及时续补书面报告。第十三条 发生人身轻伤、机组非计划停运、机组设备异常以及未造成后果的各类安全生产信息,应按以下要求报告:
(一)现场负责人应在事件发生后立即向有关领导和相关部门报告现场情况;
(二)事件发生后及时向主管领导及相关部门提交书面报告。
第十四条 发生环保事件、突发环境事件等异常事件,应按以下要求报告:
(一)现场负责人应在事件发生后立即向有关领导和相关单位报告现场情况;
(二)事件发生后及时向主管领导及相关部门提交书面报告。
第十五条 事故发生部门应当将事故调查、抢险、以及处理进展的实际情况,逐级汇报。
第十八条 发生不安全事件,现场负责人应按照逐级汇报的原则进行汇报。情况危机时,也可越级汇报。
第二节 信息定期报送
一、每月部门上报对个人的安全生产目标责任考核情况。
二、每月安监员检查各部门安全生产情况汇总后上报安全生产委员会。
三、各部门将本部门全年电力安全生产情况、电力事故或事件存在的问题和风险以及整改措施等进行总结分析,并报送
主管领导及相关部门。
四、生产部将本单位每年电力事故或事件情况进行统计汇总,并进行报送。
第二十三条 按照节假日、重大活动和安全检查有关通知的要求,向生产部及时、准确报送相关材料。第四章 检查与考核
第二十六条 生产部对本制度的执行情况进行监督和检查。第二十七条 安全生产委员会根据《黑泉水库水力发电厂考核奖惩办法》对部门和个人进行考核。第二十九条
14.安全生产信息管理制度 篇十四
第一章
总
则
第一条
为加强安全生产信息管理、科学、准确、及时收集、传递安全生产信息,及时掌握安全生产动态,促进安全生产,结合本项目实际情况,制定本制度。
第二条
本制度规定了安全生产信息管理的职能,内容与要求,收集与处理原则。
第二章
安全生产信息管理职能
第四条 安全生产信息是指在劳动生产中与安全有关的信息集合。它的收集、传递、统计、处理等工作必须坚持实事求是,尊重科学的原则。
第五条 安全质设备部负责指导、组织、协调公司各种安全生产信息管理的整理、上报、归档等工作。
第六条
安全设备部信息管理职能:
1、建立信息反馈图,培训信息人员,并指导其工作。
2、负责安全信息的收集、处理、传递、反馈及建档。
3、负责将重大安全问题的信息及时向公司领导和上级部门报告。
第三章
安全生产信息的内容及收集
第七条
安全生产信息包括:
1、上级有关安全生产的政策、法规、法令、标准、文件、通报等信息; 2、因工伤亡信息; 3、事故隐患及整改信息;
4、风险点安全动态信息; 5、安全培训、宣传教育信息; 6、安全评价信息; 7、职业危害危害信息; 8、安全卫生技术措施计划实施信息; 9、劳动保护用品、清凉饮料等发放、使用信息; 10、安全生产新技术、管理新办法信息; 11、其他企业安全生产经验及事故教训信息; 12、其他安全生产及企业卫生方面的信息等。
第八条
安全生产信息收集、传递方法:
1、运用现代科学管理方法收集事故预测、预控信息; 2、根据事故发生频率、设备完好率、尘毒危害治理率的信息,制定项目部安全工作目标; 3、根据生产现场信息,收集人的不安全行为和物的不安全状况,及时加以整改; 4、根据作业环境的设施危险因素、尘毒的危害信息,编制安全技术措施; 5、根据上级有关部门的文件、政策、法规、法令、标准等信息指导本单位的安全工作。
6、通过安全检查,了解、掌握安全工作管理动态,促使事故隐患及时整改。
7、利用安全档案信息,制定安全标准、规章制度及修订安全技术操作规
程。
8、通过各级领导指示、安全会议、安全记录等信息,反映各级人员对安全工作的重视程度。
9、通过各种安全生产会议、文件和公司内部网络,向各基层单位传递安全信息。
第四章
安全信息的处理与反馈
第九条 安全生产信息的加工处理 1、要注意信息的时效性,信息传递与反馈要迅速及时,有时要限时完成(如工伤事故等)。重大安全信息,必须按规定时间向上级有关部门报告。
2、信息内容要简明扼要,突出重点。
3、安全信息应分类处理,有处理结果的信息应归档存储。
4、处理原则:本单位能处理的不能推给上级部门,紧急安全信息要求从收集到处理完成不能超过两日;一般信息一周内必须完成。
5、报送的信息,必须填写在规范的表格上,经本单位领导签字并加盖公章后,报送上级安全管理部门,情况特殊的,可直接向上级反映信息。
6、定期或不定期召开信息工作会议,总结和发布信息。
第十条 信息反馈:
1、信息反馈实行封闭原则,由安全设备部实行监督。
2、收集的安全信息应准确及时地报送安全设备部。
3、安全设备部收到基层的信息后,应及时进行分析处理,将其处理结果回复原部门。
4、安全设备部收集到上级部门决策信息后,应迅速向基层部门传递、实
【安全管理人员信息管理制度】推荐阅读:
网络信息安全管理制度08-29
信息安全文件管理制度11-30
技术信息安全管理08-19
网站信息安全保密管理制度11-14
信息安全奖惩管理规定06-10
房屋安全管理信息系统06-10
信息系统安全管理办法07-01
企业信息安全管理条例10-30
(新)信息安全管理协议12-17
信息安全管理体系习题12-17