安全生产责任制ppt(精选10篇)
1.安全生产责任制ppt 篇一
1、迷路走失。为了可以使学生更加的贴近自然、还原质朴,很多的学校喜欢选择郊区和农村甚至山区作为郊游的目的地。特别是春天,为了感受生机活力,更是将野外踏青旅行作为首选。这些场所就会很容易产生环境复杂,对于基本生活在“三点一线”的生活读书模式下的学生来讲,而且还会很容易发生走失迷路情况;同时青少年对于事物的认知不如成人深刻,加上对未知事物存在好奇心,喜欢前往未知的地方,结果迷路走失。
2、溺水。从季节气候上来讲,春季雨水十分的多,地表湖泊江河水量充足。特别是春季,融化的冰雪之水常会引起池塘和沼泽还有溪流和江河泛滥。而从时下旅游的热点来看,有山有水的地方是外出郊游的首选,这对“不识水害”的学生的人身安全构成了潜在的威胁。
3、交通事故。随着社会经济和交通的快速的发展,社会面汽车数量急剧增多,公路马路车流量逐年增大,这对学生郊游是很大的威胁。特别是春季,温度上升和白天变长这些自然因素容易引起交通事故的增多。尤其在日落前后的黄昏时分,可见度不是很高,司机的深层感知能力因低光度而变弱,容易发生交通事故,学生在郊游的过程中受到交通事故侵害的可能性大。
4、犬等家畜追咬。春季是季节交替时节,犬类等家畜性情暴躁,攻击性也是较大的。在校学生一般都是未成年,通常喜欢和家犬玩耍,尤其是城市学生,平时较少接触家畜,户外活动中遇见家畜,出于新奇可能会和家畜戏耍,容易引发家畜伤人。
2.安全生产责任制ppt 篇二
扬子石化面向全公司, 发布2012年版《扬子石化安全生产责任制》。该责任制涵盖了上至公司最高层党政领导、下至生产一线、机关办事员所有人员的岗位责任制度。本版制度包括十四章, 759页, 每个员工都能在制度汇编里找到对应自己的安全职责。
扬子石化近年来坚持“一切事故都是可以避免的”安全生产理念, 把事故预防放在安全生产工作首位, 其中重要手段就是制定并不断更新安全生产岗位责任制, 努力做到制度全覆盖;在此基础上, 强化制度执行, 通过理论、技能培训, 使员工懂安全、会安全、能安全, 做到不伤害自己, 也不被别人伤害, 并根据每个员工的工作需要, 配备能满足岗位需要的劳动防护用品。7月1日, 公司组建的专职安全督查队正式上岗, 主要工作职责就是检查各作业人员安全制度执行情况, 及时督促、整改违反安全制度规定的行为, 停止影响安全的现场作业, 强化制度执行的严肃性, 切实实践“安全高于一切, 生命最为宝贵”的安全理念。
3.安全生产责任制ppt 篇三
一、安全为天的责任铭刻在领导的心上,放在部门的肩上,落实在责任主体的身上
重点是加快构建安全生产三级责任体系。一是落实地方政府和各级领导的责任。新一届省安全生产委员会成立以后,每季度召开会议,部署工作,研究解决安全生产工作中的重大问题。狠抓责任制的落实,各级政府都将安全生产纳入经济社会发展总体规划,层层签订安全生产责任状,并纳入干部政绩考核内容。二是落实各有关部门的责任。调整充实了省安全委员会,成员单位由原来的31个增加到41个。进一步落实了监管职责,避免安全监管出现真空。三是落实企业的安全生产主体责任。将责任链接延伸到生产一线,落实到生产的每一个环节,落实到区队、每个班组、每个人,不留死角。
二、把安全生产的政策措施筑牢在落实上,筑牢在建立长效监管机制上
主要是强化三个方面:
一是着力夯实安全生产的基础。根据国务院《决定》和有关文件精神,省级政府下发了《关于进一步加强安全生产工作的决定》等7个政策性文件,初步完成了省安全生产“十一五”规划编制工作。加强机构和队伍建设,将省安全监管局设为省政府直属机构,重点抓了市县乡三级安全监管机构建设,全省17个市和80%的县区设立了安监局,一些重点乡设立了安全监管机构或配备了专职安监员。
二是严把市场准入关,坚决从源头上遏制安全事故发生。对矿山、建筑施工单位和危险物品的生产、经营、储运、使用单位及其他重大危险设备、场所,进行逐项审核,严格执行安全审批、年检和市场准入制度。严厉打击取缔无证、证照不全等非法生产经营行为。对新建、改建、扩建矿井的各项安全设施坚持“三同时”原则。全年共关闭非法和不具备安全生产条件的各类生产企业和经营场所723家,停产整顿1636家。
三是千方百计加大资金投入,努力提高防范安全事故的能力和水平。省政府决定每年拿出1000万元,专项用于安全事故隐患整治,2004年落实隐患整治技改贴息项目39个,省财政贴息1500万元,带动银行贷款3.83亿元,地方配套资金5058万元。规定省属国有及国有控股煤矿企业按照销售额4%的标准,其他煤矿按核定生产能力每吨原煤3万元的标准,提取安全技术措施专项资金,专项用于安全隐患整改等方面。
三、把工作重点前移到“预防为主”上,把隐患的发现与整治作为监管的重中之重,防患于未然
一是加快生产安全应急救援体系建设,制定全省突发公共事件总体应急预案和19个专项预案,并开展实战演练。二是深化安全生产专项整治,着重抓高危行业、重点企业、关键部位和重要时段,持续不断地开展安全生产大检查。对查出的隐患逐一登记造册,分类处理,落实隐患整改责任单位、责任人和措施。建立省、市、县重大危险源监管台账与档案,限期整改,跟踪督办。三是突出对小煤矿非法开采、越层越界开采、死灰复燃、D类矿井的重点整治,全年整改销案重大隐患32条,对不具备安全生产条件的7对小煤矿依法进行关闭。
四、把“四不放过”落实在真抓实干上,强化安全责任追究力度
省政府领导带队督办查处。对严重忽视安全生产的企业及其负责人和业主,依法加大行政执法和经济处罚力度,违犯法律的依法追究法律责任,对一次发生3人以上生产安全责任事故的矿长就地免职;对工作不力或由于失职渎职行为引发生产安全事故的单位和个人,严格依照国家和省有关规定追究责任,凡发现县(市)有2处、乡镇有1处非法矿山或危险化学品、烟花爆竹等生产场所,对县、乡政府主要负责人追究行政责任,给予行政处分。对事故隐瞒不报、谎报的行为,予以严厉查处;对危险源监控和安全隐患整治不力的行为,责令立即整改,并予以处罚;对事故处理结果进行跟踪督查,确保对事故责任人的处理和整改措施落实到位。2004年,全省安全监管机构共查处责任事故222起,处理处级干部20人,科级干部154人,其他人员398人。
五、把安全知识普及到全体劳动者心上,提高全民安全素质
4.生产例会PPT材料制作说明 篇四
一、工程形象进度与工期
1.主要描述分部分项工程的实际高程、历程和完成工程量(适当附分部工程总体照片或视频)
2.年度计划工期情况,目前实际工期比原计划工期提前还是推后了,如推后,项目的采取的措施是什么
3.下月进度计划和工程安排。
二、完成产值及成本控制情况
1.年度计划产值多少?目前累计完成,上月完成(注意与生产报表一致性)。给业主结算情况,报表上报情况。
2.成本控制情况。
三、劳务结算情况
劳务队伍几家,与劳务队伍合同签订情况(几家签订几家未签订)。劳务结算执行情况。
四、工程技术、质量情况
1.所施工的分部工程技术方案是否编写,质量控制要点是什么? 2.施工现场主要工序、外观照片展示。
3.检验试验工作开展的情况(主要工序的设计值是多少,实际检测值是多少,是否符合规程、规范的要求)。
五、施工安全环境管理
1.当月开展安全环境活动、安全环境教育情况(附相关照片)。2.当月安全环境检查及安全环境隐患整改情况
3.当月施工的工程哪些部位制定了安全防护方案,安全防护方案的实施和验证结果(附相关照片说明)。
4.当月施工的工程哪些部位制定了环境防护方案,环境防护方案的实施和验证结果(附相关照片说明)。
六、当月存在的问题
5.初中安全主题班会课件ppt教案 篇五
班会上,班主任老师首先组织学生学习《中小学生食品安全知识》,从购买食品应注意哪些问题、到日常生活中应养成哪些饮食卫生习惯、饮用牛奶应注意哪些事项、个人怎样预防食物中毒,拒绝到不规范的小餐桌就餐等六方面深入浅出地为同学介绍了生活中的食品安全知识。
通过视频资料,使学生了解新闻报道中的食品安全问题,了解添加剂的有关知识。结合地沟油事件、瘦肉精事件等让学生明白食品安全问题就存在我们身边。带领同学一起认识十大垃圾食品——油炸食品、罐头类食品、腌制食品、加工的肉类食品、肥肉和动物内脏类食物、奶油制品、方便面、烧烤类食品、冷冻甜点、果脯话梅和蜜饯类食物。
6.生产部月度工作总结PPT 篇六
在繁忙的工作中不知不觉又迎来了新的一个月,回顾上一个月的工作历程,作为生产人员工作取得了一定的成绩,基本上完成了公司的既定目标,但也存在不少的问题,为了更好的完成生产方案计划,产量质量工作、实现双赢,多方结成真正意义上的战略关系,特对阶段性的生产人员工作进行总结。
针对2012年2月份的生产工作,从四个方面进行总结:
一、生产部的成员组成:
生产部人员比较混杂,工作上虽然充满干劲、有激情和一定的亲和力,但在经验上存在不足,尤其在处理突发事件和一些新问题上存在着较大的欠缺。通过前期的 项目运作,生产人员从生产能力和对项目生产管理制度的理解都有了很大的提高,今后会通过对生产人员的培训和内部的人员的调整来解决存在的一些问题。
由于我对车间管理人员的运作思路上存在磨合沟通,导致生产部的资源配置未能充分到位,通过前段工作紧锣密鼓的开展和我不断的沟通和交流,这一问题已得到了解决。
二、生产部工作协调和责权明确
由于协调不畅,生产部的很多工作都存在着拖沓、扯皮的现象,这一方面作为生产部的领导,我有很大的责任。
协调不畅或沟通不畅都会存在工作方向上大小不一致,久而久之双方会在思路和工作目标上产生很大的分歧,颇有些积重难返的感觉,好在知道了问题的严重性,我们正在积极着手这方面的工作,力求目标一致、简洁高效。
但在生产部工作的责、权方面仍存在着不明确 的问题,我认为生产部的工作要有一定的权限,只履行生产程序,问题无论大小都要请示,势必会造成效率低,对一些问题的把控上也会对生产带来负面影响,这样生产部工作就会很被动,建立一种责权明确、工作程序清晰的制度,是我们下一步工作的重中之重。
三、关于会议 会议是一项很重要的工作环节和内容,但是无论我们公司总部的会议还是与生产部的会议效果都不是很理想,这与我们公司在会议内容和会议的形式以及参加人员的安排上不明确是有关系的。现在我们想通过 专题会议、领导层会议和大会议等不同的组织形式,有针对 性的解决这一问题,另外可以不在会上提议的问题,我会积极与班组在下面沟通好,这样会更有利 于问题的解决。
四、生产部的管理 前一阶段由于工作集中、紧迫,生产部在管理上也是就事论事,太多靠大家的自觉性来完成的,没有过多的靠规定制度来进行管理,这潜伏了很大的危机,有些人在思想上和行动上都存在了问题。以后我们会通过加强内部管理、完善管理制度和思想上多交流,了解真实想法来避免不利于双方合作和运作的事情发生。
写的不周全的请各位加以补充,2012年2月27日篇二:生产车间10月份工作总结 10月份工作总结及11月份的工作计划
回顾11年10月份一个月的工作,因我是10号才入司的新员工;入司后在12号召开一次基层管理人员的会议,将其工作重点及相关的工作目标给各管理员以明确;为确保车间以围绕安全生产、保质保量完成生产任务打下了基础,本月主要做了以下几方面的工作:
1、先明确大家的工作职责,希大家把能力发挥到最大化!(开会时已公布)
2、合理调整劳动组合确保完成生产任务
在生产工作中根据生产部的生产计划安排,为了确保生产计划的顺利完成,特别要充分调动生产机修和员工的积极性,在各个部门和生产部的积极支持下,并合理调整劳动力、有效利用工作时间。通过车间主管和各班组长的积极配合努力,本月车间完成了公司及生产科下达的生产任务,及各项生产质量技术指标;保证了销售的供货需求(其成品入库数为:3731.0万;而出货数仅有2815.0万)。
3、严把质量关
每个人对产品的质量有高度的认识。本着对消费者负责和对公司利益负责的精神,严格按生产工艺要求严格把好质量关,不管是主管和班组长对自己所负责部门及工序,配合检验员层层把关,有效的杜绝不合格的产品流入下道工序,保证了产品质量,降低了生产成本,提高了产品的市场竞争力;但仍有总公司的三张投诉单,我们也针对性地进行了相应的分析改善和相关的措施出台。(车间在生产过程中各部门和班组对自己的产品负有主人翁的责任感)
4、安全生产
严格按操作规程进行操作。车间向员工进行安全教育、培训、答卷,使员工清楚的认识到安全工作的重要性,提高员工的安全工作防范意识。同时车间加大了自检自查和处罚力度,有效的避免了各类事故的发生。
5、学习、提高
在车间领导,班长在部门主管领导的带领下,发扬团结协作的精神,加强理论和技术方面的学习,提高自身的政治素质和管理水平带领全车间各班组员工,不断学习提高,重视产品质量,配合各部门保证安全生产不折不扣地完成公司下达的生产任务和各项指标。(根据10月份的培训计划有步骤地去进行)
6、通过人员精减来降低制造成本 先从品质部进行改制:品质部由原来的14人,精简到现在的11人。人员重新做了次分配!也能达到品质保证的效果。(目前只有10人,因1人请长假)
★★★11月份的工作计划 11月份到了,在已开始新的一个月工作时,我们首先展望国内外的电子市场,在大的不景气的环境影响下,所以行业都处在经济萧条中;为了能够顺利度过此难关,车间将本着
1、根据总厂近几个月的用量和本司库存的情况,进行有计划的生产,尽可能只做够安全库存量即可;
2、在有计划生产的同时把人员的能力要发挥到最大化,那么员工上班的时间上,分工上,都要适度重新大调整(用人的准则是少而精);
3、继续带领员工加强自身的思想和业务学习,将继续调动生产技术骨干和各工序,班组人员的积极性,配合各部门保质保量的完成公司、生产科下达的生产任务和各项指标。
4、加强质量管理严把质量关,杜绝各类人为性不良品质事故的发生。积极
配合、完善生产现场条件达到品质目标要求,高标准的完成11月份的各项工作任务:
一、先把制程中的不良品全部进行重工处理,经质检确认ok后才可正常流传。(再
生料人员安排一个人进行处理)
二、设备要进行有计划的全面性大保养,先从需暂停生产的机台上进行,然后再 每台机进行(多的人员跟相关机修一起进行),最后部门主管要进行确认,从而提高设备的完好率,更好地为生产服务。
三、人员要精减,好的员工公司想办法也要保住,不合格的员工尽可能剔除。(保 正不影响产线的正常运转,更要做到人人有事做,事事有人做)
四、公司为能顺利地通过12月份的外审工作,必须先做好11月份的内审工作; 员工要进行大力的培训,从而提高其操作技能及自检能力;然后进行考核!(其奖金将根据其相关考核去综合评定)
五、继续做好现场文明生产工作,抓住细节,着眼死角,努力使本公司现场文
明生产再上一个台阶;为安全生产方面,节能降耗方面做出应有的贡献。
六、集思广益,群策群力,努力为开拓新市场而工作,不断发现身边的一些亮 点,努力做好对外宣传工作,树立一个良好的外部形象。
七、努力完成公司下达的临时性的任务。
总结人:陈永红 2011-10-31篇三:生产部4月份工作总结报告 生产部4月份工作总结报告
一、工作概述:根据审计室要求完成生产车间相关核算工作;根据人员工资情况对劳动工时定额进行核定;月生产完成产品的分类统计及产值核算;对车间设备、物品状况统计、损耗核算;登记车间固定资产明细账及低值易耗品台账,并与相关部门核对;按时编制车间成本预算和产品成本计算单。
二、本月工作内容:核算电器工序定额和收集整理车间成本核算所要的基础数据
三、本月存在的问题:
1、工时定额与计件单价的矛盾:计时工资大于计件工资(经过2个月的核算都存在如此问题)
2、成本核算项目公司安排上的问题:工作关系和工作职责没有明确,其他部门不知道这个部门是做什么的。
3、组织机构的稳定性存在问题:组织机构人员和岗位的调整没有及时的通知相关工作责任人或工作关系人。
4、人员的工作岗位关系存在跨级任命和跨级汇报的问题。
5、工作目标和项目时间、优先顺序没有告知,直接责任人不清楚。
四、本月工作心得:
现在面临的问题:各生产部门不知道我是干什么的,不知道需要提供什么支持,也不知道这种工作的重要性,更不知道公司这个部门的存在,在我下发《关于成本核算中相关统计工作的通知》给各生产部负责人和统计人员:(内容如下:为了便于公司审计和生产成本核算的要求,特对各
部门的生产报表作如下要求:
1、各生产部门或工序的生产报表至少要体现如下内容,产量,以能了解生产进度;工时,以能了解实际工时的耗用;效率,以能运用绩效管理,提高工效;成本方面必须的基础资料,以能准确核算成本。
2、个人日报表由车间负责人指定人员或车间统计员进行录入,并按工序、设备、产品种类、消耗进行统计。a、日报:工序产量,工序工时,工序消耗(原料消耗,低值易耗品)。b、旬报:设备产量,设备使用工时(在通电状态的时间),有效利用工时(在生产作业状态下的作业时间)。c、月报产品类别产量,产品类别工时,原料消耗,工序低值易耗品,设备、模具维修费用的统计,工资核算报表,异常工时的统计按计划异常、物料异常、设备异常、制程品质异常、设计工艺异常、水电异常、其它异常等七个方面进行统计。
3、本《通知》通知事项和统计报表从2009年日起开始实施收集,并作为部门绩效考核的基本条件和审核的依据。)在此过程中,有个别部门说,你就干点实事或让我们干点实事好不好,(我也不知道什么是实事)。有的部门没有统计员(我叫他们先收集交到我这里来,我抽时间给他们统计)当我发完通知后在办公室了解到又成立了生产部(向办公室人员了解),实际上就减少了我们直接与生产部门的直接联系,所有的统计都应该由生产部提供,而最后我又知道车间统计人员归我调度,但配置还是属于车间部门(姚总经理单独告知)。而车间和部门以及统计员也不知道有这种工作关系。任何一个部门或部门人员和职权的变动,上级和人力资源部都应该有告知相应工作部门或工作关系的义
务,以利工作关系的建立和工作关系的畅通,而不是局限几个人知道,也给这个项目的建立和完成设置了无形的障碍。设置一个部门和项目组都应该有一个职权而不是仅仅的一个工作内容,工作内容也不是一个人能完成的(说是部门工作内容,而部门仅仅只有一个人),什么事情或责任都落在一个人的身上,直接上级有几个,工作目标有几个,工作关系有几个等等,直接上级是否告知这个项目该如何开展,优先顺序是什么,时间段呢?我感触最深还是以始为终,多从自己身上找原因这个观点,养成主动沟通的习惯是我必须要改变的,然而我还在人际关系这一点上,我认为在公司人际关系主要还是工作关系,实际上我们在工作上的关系还是都没有处理好——就是工作职责和工作关系。所有业务处理必须程序化、制度化,任用人员必须经过慎重挑选和训练,任用品德不良人员则容易发生舞弊,任用业务不熟练人员则容易发生错误。培训的全员参与是目前解决基础责权范围最好的措施。
五、本月建议:明确划分权责,建立岗位责任制,实行购、产、销、账、钱、物分管的原则;所有实物财产要有专人负责保管、保养、维修以提高使用效率,保证财物安全;所有业务处理必须程序化、制度化,任用人员必须经过慎重挑选和训练,任用品德不良人员则容易发生舞弊,任用业务不熟练人员则容易发生错误。在成本统计方面首先要解决的是一线员工对异常情况的认识和报表的填制工作,一线员工认为异常情况消耗的工时填制就意味着他们得到的工资就会降低,这样造成生产工时和工资有冲突,我想用车间主管和统计人员实行考核,对异常情况要求必须从生产计划异常、物料异常、设备异常、制程品质异常、设计工艺异常、水电异常、六、2009年06月份工作计划
(一)建立健全异常情况统计制度(第一周内)
1、要求各部门必须对异常工时进行分类记录和统计(必须按生产计划异常、物料异常、设备异常、制程品质异常、设计工艺异常、水电异常、其它异常等七个方面进行人员和工时的统计)
(二)审核和建立设备和原材料台账和易耗品台账(第二周内审核)
1、要求各部门必须对动力消耗和易耗品消耗以及原材料消耗进行台账登记,月底进行相应的统计。
(三)加强盘点管理(召开盘点审计会议)
1、各部门盘点数字相当不准确,漏盘、错盘较为严重,其次是型号问题。
2、盘点报表的格式问题
3、盘点制度的建立(保障盘点数据的正确性和及时性)
(四)逐渐建立和完善各种产品的生产用料明细表
1、先建立常规产品的用料明细。
(五)逐步建立本部门相关文件(工作稳定状态下)
(六)其他辅助工作
1、协助工装统计模具维修工时或材料消耗
(七)重要工作事项
1、完善异常情况的统计和制度建立篇四:2月份生产部工作总结
二月份生产部工作总结
一、生产情况
1、加工量
本月公司共加工原油4.6556万吨,原计划加工原油3.6万吨,完成月度计划的129.32%。与去年同期8.5154万吨相比下降了45.33%,下降的原因是今年二月份由于引江河船船闸检修,原油无法运输至公司码头,故装臵于2月12日-26日停车检修。由于加工时间短,故本月加工量与去年同期相比大幅下降。
本月公司能耗为25.21kg标油/吨原油,与去年同期21.91kg标油/吨原油相比上升了15.06%。主要原因是今年二月份装臵提前大修所致.本月装臵与公司能耗与上月相比, 均有所上升,主要原因是今年二月装臵大修所致.3、产品质量
沥青装臵本月馏出口合格率为%,累计%,工艺指标执行率%,累计%。
4、其他工作
1、按期组织好大修调度会,并做好记录,同时按要求做好大
修期间吊车工作量的统计工作。
2、做好大修期间的组织协调工作,做好装臵的开停车工作。
3、及时跟踪装臵停车期间污油的回收工作,本月共回收污油70吨。
4、根据2008及2009资源配臵的实际情况,完成了2009沥青装臵、污水处理车间、生产部、储运车间的目标责任书的编制。
5、协助营销部及储运车间开展月度盘库数据的核查。
二、下月工作打算
1、抓好安全生产管理,做好装臵大修后的生产管理工作,3月份沥青装臵加工原油9万吨。
2、组织一次大修后的装臵收率、能物耗的标定。
3、做好2009装臵工艺卡片、分析频次、作业指导书、操作规程等技术性文件的修订和发放。
4、编制公司科技成果转化项目实施方案。
5、做好自备车的辅修跟踪工作。
6、抓好原油调罐工作,合理安排调罐周期;
7、根据销售需要,及时做好营销部门的协调工作,抓好产销平衡。
8、根据中海油气利用公司的要求,做好erp基础数据收集工作。
9、根据中海油气公司的要求,做好迎接2009年节能减排监督监测和能源审计的工作。
生 产 部 2009年3月2日
10、继续抓好统计管理工作,协助做好盘库工作。篇五:生产部一季度工作总结 2015年一季度工作总结
在过去的一个季度中,通过公司领导的正确决策、兄弟部门的通力合作、车间员工的共同努力,我车间的各项工作进展顺利,取得了较好的成绩。现在一季度已经过去,为了更好地开展今年的工作,我们必须总结一季度工作的经验和教训,及时修正工作中的缺点和错误,现对车间2015年一季度的工作总结如下:
1、生产统计分析
2015年一季度,液体制剂车间共完成针剂27批次计136万支;口服 各个品规收率与15年收率对比分析:
1、甲磺酸怕珠沙星注射液整体收率较14年有一定提升,主要由于灯检合格品率上升1.5%。2、10ml:0.3g收率下降的主药原因是因为150101批灌封超时限,药液颜色超标,导致当批收率仅为79%,如抛开该批次,一季度该规格平均收率为92.3%。
3、在口服液瓶盖由铝塑组合盖改为全铝盖后,设备扎盖情况有较大改善,同时加上对设备装量控制部件的维修,整体装量的均一性有所提升,故口服液收率有较大提升。
4、虽然一季度整体收率较15年有一定提升,但同样也存在较多问题需要我们总结和反反思:口服液设备运行状况不佳,平均每批次设备维修时间在4小时左右,加上振荡筛下盖过慢及玻瓶走带不同步等问题,灌封每批次安排6人(每班)才能维持正常生产,比正常情况多安排2人,所以整个生产的能耗和人耗都较高。对此,公司已安排3月底对设备进行大修,预计下个季度开始,生产成本会有所降低。此外,针剂更换规格件后对设备试运行调试不够,大部分人员经验不足,导致短时间内无法保证设备达到最佳状态,往往需要生产两个批次进行磨合,对此车间在清场安排上也增加规格件更换后对设备的调试时间,将清场时间由半天调整至1天。
2、产品质量与安全生产 2015年我们着重抓好基础管理工作,强调生产现场的井然有序,强调生产过程的熟练和快捷。并以此养成良好的习惯,逐步让习惯成为自然。我们在生产过程中层层把关,加强各工艺控制点的自检和互检,加强管理人员的巡查和检查力度,把质量隐患的萌芽杜绝在每一个工序。
安全生产管理应当常抓不懈,本季度未发生安全生产事故,但工作中仍有较多违规操作现象,因此在2015年的基础管理工作中,我们把安全生产工作当成基础工作来抓,安全警钟时时敲。
3、员工培训 2015年一季度我车间辞职人员多达5人,员工流动快,加大了车间的管理难度,不利于产品的质量控制,不利于生产技术熟练积累,进而影响生产效能。特别对于以流水线生产为特点的我车间来说,影响更大。针对这一难题,我车间突击加强新进员工进行岗位培训,在公司管理文件、岗位操作规程、员工应知应会上进行针对性的培训。培训和考核收到了显著的效果,员工综合素质和专业技能的提高效果显著。使其尽早胜任岗位,填补人员流失后的空缺。
4、降本增效
我车间今年继续秉承从降低成本中求效益这一理念,做好员工的成本意识,告诉她们,成本就在我们手中。在日常生产过程中,注意每一度电、每一滴水、每一吨汽的使用。此外对于低耗,建账管理,控制低耗成本。
5、不足之处
纵观2015年一季度的工作,我们车间在车间管理和工作上仍存在许多不足:
(1)在基础管理工作的开展上,虽然取得了进步,但管理的空间和力度还做得不够到位,在与员工的思想沟通频次和沟通技巧上还有待于加强和提高。
(2)在团队建设和和谐生产上,我们的团队协作能力、工作责任心 以及团队共同进步方面均有待于提高。
(3)对生产异常情况分析不够充分和彻底,导致一些工艺问题持续出现未得到持续改进。2015年工作计划
车间2015年接下来工作目标和计划如下:
一、通过狠抓基础管理和降本增效工作,提升管理水平
“降本增效”贯串于我们生产经营的全过程中,生产活动中的降本增效能给公司带来可观的经济效益。
1、继续优化生产工艺,解决生产过程中的常见问题,进一步稳定、提高产品收得率,争取全年的整体收率比一季度再提升2%。
2、加强设备维护和保养,减少设备维修成本和降低设备故障率,确保设备的正常运行,减少机物料消耗费用。
3、做好每个季度的费用预算,加强考核机制,严格把控水电汽的使用,做到合理使用。
4、继续通过“一人多岗”的方式控制用工成本,做到合理有效地人员配置调度。
5、加强与质量管理部、物资供应部的沟通协调,积极主动地应对原辅包材所出现的问题,减少因这一方面出现的不必要成本浪费。
二、保质、保量完成生产任务,为完成公司的目标和任务作出贡献 2015年根据公司经营目标任务,车间将合理安排人员,优化人员组合,科学调度,及时完成公司下达的各项生产任务,保证车间生产品种的市场供应;
三、继续加强岗位培训,实行岗位技能轮训。
1、针对公司及车间的人员状况,结合新版gmp的有关要求,积极参加公司组织的各项培训活动,继续加强车间人员的药学基础知识、卫生和微生物学基础知识培训,加强岗位基础知识培训,提高人员的基本素质。根据生产的需要,继续进行“一人多岗、一岗多人”的培训,关键岗位进行多人的轮岗培训,做好岗位人才的培训和储备。
2、岗位轮训
关键岗位的人员储备实行一人多岗、岗位轮训的方法,除在岗人员外,每个岗位(工序或机台)人员储备不少于1人;
7.安全生产责任制ppt 篇七
一、安全生产责任的内涵及安全生产责任制度的定义
安全生产责任的内涵是安全法律责任, 指从事生产的有责主体必须承担的相应安全法律责任。《安全生产法》中用6条对生产经营单位主要负责人的安全生产职责进行了明确规定, 第一条便是建立健全本单位安全生产责任制, 毋庸置疑, 这一条之所以在第一是因为安全生产责任制是首要、关键和核心的。
安全生产责任制度, 是指由企业主要负责人应负的安全生产责任, 企业其他各级管理人员、技术人员和各职能部门应负的安全生产责任, 企业各岗位操作人员应负的本岗位安全生产责任所构成的企业全员安全生产制度, 是企业安全生产规章制度中的核心内容, 其他管理制度的制定与执行都应以此责任制度为基础。在企业安全生产责任制度中, 企业的主要负责人应对本单位的安全生产工作全面负责;其他各级管理人员、职能部门、技术人员和各岗位操作人员, 应当根据各自的工作任务、岗位特点, 确定其在安全生产方面应做的工作和应负的责任, 并与奖惩制度挂钩。只有从企业主要负责人到各岗位操作人员人人都有明确的安全生产责任, 人人都按照自己的职责做好安全生产工作, 企业的安全生产工作才能真正落到实处, 安全生产才能得到保障。
然而, 在实际执行过程中, 业主、设计单位、监理单位、施工单位和其他服务性单位的安全生产责任体系的建立却缺少科学性和合理性, 需要进一步完善。
二、工程安全生产责任体系建设中存在的问题
1. 对安全生产责任的认识存在误区。
在工程实际中, 各单位主要依据内部各部门履行的主要功能划分部门职责。人们通常以顾名思义的方式判断该部门的主要职责, 认为安全工作就是安全部门的事情;施工单位接收到安全隐患文件、整改通知书时, 便交给安全部门全部负责, 认为安全隐患应该由安全部门负责整改;对于现场存在的安全隐患问题, 监理单位认为安全隐患都是施工单位的责任, 忽略了自身应该承担的监管责任。这些对安全生产责任的认识误区, 导致参建单位安全生产责任不明确、不健全、不落实, 管理混乱。
2. 末端安全生产责任缺失。
安全生产责任末端即岗位安全职责, 人们常常强调要逐级落实安全生产责任, 但往往是层级越多, 执行力削弱越多, 在执行过程中, 责任的不明晰是导致执行力削弱的关键因素。因为在没有明确应该承担什么责任的前提下, 人的责任意识强弱将直接影响执行效果, 如果责任体系对每一级监管人员和保障体系人员的责任进行了明确, 那么将大大减少人员责任意识强弱对执行力的影响。在责任明晰的管理体系中, 每个人应当承担的责任和会涉及的责任风险, 非常清楚, 这才是安全责任管理的根本所在。
3. 安全生产责任交叉漏洞。
各参建单位内部存在着综合监管部门与专业监管部门的法定职责、职责界限和相互关系不明确的问题, 在工作中产生了职责交叉、互相扯皮的矛盾, 影响了安全生产监督管理工作的整体性、协调性, 出现了安全生产监督管理工作的脱节和漏洞。
三、建立安全生产责任体系和责任追究机制
1. 安全生产责任体系建立的基本原则。
参照当前国家安全生产管理体制“综合监管与行业监管相结合”的模式, 健全安全监管体系和保障体系责任。《安全生产法》第19条明确规定, 矿山、建筑施工单位和危险物品的生产、经营、储存单位, 应当设置安全生产管理机构或配备专职安全生产管理人员。因此, 在明晰的责任体系中, 建设工程各参建单位不仅必须设置专职安全生产管理机构, 明确专门安全生产管理机构的综合监管职能, 而且各参建单位对其他安全生产保障部门要建立明晰的安全生产职责, 在安全生产管理中发挥技术、资金、物资等的保障作用。安全生产责任要按照单位、部门、岗位从上至下, 必须涵盖每个人, 每个岗位。职责就是在合理分工的基础上确定每个人的职位, 明确规定各职位应当担负的任务, 一定要落实到每个人。安全生产责任内容必须具体, 界限必须清楚, 必须在分工的基础上, 明文规定每个人的职责。在实际工作中, 应按照工作职位与实体成果联系的密切程度, 划分出直接责任与间接责任, 实时责任和事后责任。安全生产责任中应该包括横向联系的内容, 在规定某个岗位安全职责的同时, 必须规定该岗位同其他部门、个人协同配合的要求。只有这样, 才能提高组织整体的功效, 也是落实“一岗双责”的关键。
2. 参建各方安全生产责任体系框架。
(1) 单位层级。工程涉及的参建方主要有建设单位, 勘察、设计单位, 工程监理单位, 施工单位和出租单位等其他服务性单位, 应根据《建设工程安全生产管理条例》确定建设主体各方严格的安全生产责任, 构建安全生产责任体系第一层级框架, 解决单位与单位之间在安全责任上的相互关系, 约束生产经营活动。
(2) 部门层级。独立开来看, 建设各方作为生产经营单位, 都要按照《安全生产法》的规定在其内部建立安全生产责任制度, 按照分工对各个职能部门分解安全生产责任。值得注意的是, 在安全监督责任和安全保障责任上, 要做到责任明晰, 落实“一岗双责”。
(3) 岗位层级。岗位职责是对部门责任的进一步补充, 是安全生产责任对生产活动中人的具体约束, 是指将安全生产责任从主要负责人全面负责, 分解到各个岗位, 包括各副职、部门、班组直到每一位作业人员, 真正做到人人负责。在安全监督体系中, 安全副经理、部门负责人、专职安全管理人员和兼职安全管理人员逐级承担相应的安全监管责任;在安全保障体系中, 总工、总经理等关键岗位管理人员必须逐级承担安全保障责任。
3. 建立安全生产责任追究机制。
根据《安全生产法》和《建设工程安全生产管理条例》的规定, 在建立明晰的安全生产责任体系前提下, 安全生产责任必须建立责任追究考核机制, 因为只有通过对不履行安全责任行为的不断追究, 安全责任的强制性才能体现, 安全责任意识才能得到加强, 安全责任才能在人的意识中得到强化, 才能真正规范生产经营单位的安全生产活动。所有安全隐患产生的根源在于, 安全责任链中某一个层级存在薄弱环节或者整个责任链中某个岗位存在失职和履行职责不到位。所以, 要对安全责任链中的薄弱环节进行追究, 对负有直接责任、主要责任和领导责任的相关人员进行处罚。对相关责任单位和责任人的追究, 必须具体体现在经济、行政、法律手段上, 安全生产法的相关规定无一不是体现了依法从重处罚的原则, 这是当前客观需要, 也只有这样才能真正治理安全责任混乱现状。责任追究通过对隐患产生的原因进行分析, 找出对应于这些原因的人及其与事件的关系, 对相关责任单位及个人进行严格处罚, 通过不断的问责和处罚措施, 弥补安全管理中的薄弱环节。
2007年, 国务院颁布实施了《生产安全事故报告和调查处理条例》, 落实生产安全事故责任追究制度。规定安全生产责任追究对象具体包括:未遂事故或无伤害事故, 伤害轻微但发生频繁的事故, 管理缺陷引发单位事故和重大安全隐患。
8.安全生产重在责任落实 篇八
新修订的安全生产法把以人为本和安全发展由之前的政策性要求上升为法律硬性规定,成为全国人民的共同意志,完成了从政策性指引到法律强制规定的转变,是科学发展观在实践社会安全生产领域的体现。每一起安全生产事故的背后,都有一个企图在安全生产上偷工减料来节约成本的短视企业。对这种短视企业来说,不出事儿就算安全,存在侥幸心理,不愿意忠实履行法律规定的义务,为短期的利益忽视了对企业安全生产的投入,完全没有意识到时刻将人的保障放在第一位,将企业安全放在第一位,实际上就是对企业经济利益的长远保障,安全生产本身就是保护企业资产的无形卫士。树立以人为本、安全发展的理念是对每个生产经营单位的根本要求,其核心在人,安全生产的关键在人,只有用法律法规去规范人的行为,不断提高人的安全意识,让企业自上而下都绷紧这根红线,人人树立红线意识,提升安全素质,才能防患于未然,真正实现企业安全生产,落实安全生产责任。
健全企业安全生产管理制度,是落实安全生产责任的保证。新安全生产法对企业安全生产管理提出更高的要求,体现在:(一)明确企业主体责任,规定生产经营单位应当建立相应的机制,加强安全生产工作,主要包括:1.保证安全生产资金投入,具备安全生产条件的相关规定;2.建立安全生产责任制,配备安全生产管理人员的相关规定;3.进行安全生产教育和培训的相关规定;4.建设项目的安全设施“三同时”的相关规定;5.设置安全警示标志和配备安全设备的相关规定;6.危险物品、重大危险源以及排查治理事故隐患的相关规定;7.依法参加工伤保险和安全生产责任险的规定;8.建立本单位事故应急救援体系和应急救援预案的相关规定。(二)明确生产经营单位的主要负责人以及安全生产管理机构和安全生产管理人员的职责。主要包括:1.安全生产工作职责的相关规定;2.安全生产权利保障的相关规定;3.安全生产知识和管理能力的要求及注册安全工程师的相关规定;4.安全检查及处理的相关规定。以上涉及若干项法条的修改,各生产经营单位要结合本单位实际尽快建立健全配套的制度,加大对安全培训、安全设施、安全工程、安全器材、隐患排查治理的投入,加强安全生产管理专业队伍建设和提高生产过程中的安全物资保障能力。
对于企业负责人来说,首先,要带头学习,懂管理和行业技术。学习管理主要为减少或消除管理上缺陷及人的不安全行为,要去深入基层班组,了解人员的不安全行為。学习行业技术主要是减少或消除物的不安全状态,业务水平精通。其次,给予安全管理人员更多权利。安全管理机构以及安全生产人员肩负职责不轻,对于企业安全员来说,隐患排查,如实上报,认真敬业的提出方案解决问题是根本职责所在,给予安全管理人员更多的权利是实现这一职责的重要保障,让企业安全管理人员敢于和企业负责人说实情。企业内部从上级到下级,只有逐级负责认真管控,才能齐心协力共建安全生产,形成我的安全我负责,他人安全我有责,企业安全我尽责的良好基调。
激活各级监管机制,是落实安全生产责任的保障。落实安全生产责任不单要靠企业内部责任机制的完善,也需要外部监管机制的协同治理。新安全生产法增加乡、镇人民政府以及街道办事处、开发区管理机构等地方人民政府的派出机关应当按照职责,加强对本行政区域内生产经营单位安全生产状况的监督检查,协助上级人民政府有关部门依法履行安全生产监督管理职责。乡镇街道是安全生产工作的重要基础,明确其法律职责,更容易立足本区域,深入企业,实地了解情况,落实生产责任。政府负责统筹和落实各项安全生产工作的行政领导力量,加强对安全生产工作的领导,支持、督促各有关部门依法履行安全生产监督管理职责,建立健全安全生产工作协调机制,及时协调、解决安全生产监督管理中存在的重大问题。国家安全生产监督管理部门实施综合监督管理,有关部门在各自职责范围内对有关行业、领域的安全生产工作实施监督管理,各级安全生产监督管理部门和其他负有安全生产监督管理职责的部门作为执法部门,依法开展安全生产行政执法工作,对生产经营单位执行法律、法规、国家标准或者行业标准的情况进行监督检查,确保部门和行业安全运行。
新修订的安全生产法,力争构建更加全面活络的安全监管机制。每一部法律的制定和颁布都是人民集思广益的结果,每一项制度的出台都是人民智慧的结晶。法律必须得到良好的执行,才能达到其最大的目的,保护公民的各项权益。保证执行的突出的手段是强化监督,包括企业内部监督、政府及其部门的监督、专门机关的监督、社会群众的监督。监督制度不仅是墙上挂挂,嘴上说说,企业要做到安全生产信息公开,内部自查自纠。安全生产监管部门加强执法能力建设,政府设立安全生产工作目标责任制,舆论监督引导社会公众参与普遍。只有活化各渠道监督,规范监督体系,才能保证法律的执行。
法律的修订是与时俱进的,是顺应当前科学发展的。十八届四中全会提出坚持法治国家、法治政府、法治社会一体建设,实现科学立法,严格执法、公正司法、全民守法、促进国家治理体系和治理能力现代化。安全生产在国家经济建设、政治建设、文化建设、社会建设和生态文明建设中有重要地位,依法安全生产,落实生产责任是安全生产工作的必然要求。
9.安全生产责任制ppt 篇九
孟大虎:
1,对儿童的损害降低长期竞争力,2,对劳动力的损害加大二元差距 王静:
一 消费者损失巨大 二 政府成本剧增:
1,政府信任度下降,施政成本增加 2,政府财政支出增加
风险社会研究
现代化有风险,解决风险社会框架下的食品安全问题的本质在于社会结构的深层变革和政府角色的转变。说到底需要权力的转移。
公共性
1,什么是公共性
2,公共性与食品安全有何关系。
1,所谓公共性, 就最简单的理解而言, 指的是一件社会事务牵涉到大范围的公众利益。
2,在传统格局下食品安全已经无法得到保障,甚至在制度健全的美国也一直是如此。
美国食品安全令人遗憾的局面, 长期以来我们依靠科学的手段去解决食品安全的问题, 然而由于食品企业利益与政治体系的微妙关系使得安全食品供给的诉求仍然遥不可及, 在以股东利益和利润最大化的组织那里, 公众健康永远不是一个首要的议题
解决:克服食品安全危机有赖于政府、市场、社会三者形成一种积极沟通的新公共性格局。新公共性则主张通过给社会赋权扭转公共性格局的失衡局面
传统职业伦理研究
中国传统社会有四民:士、农、工、商。
他们不仅具有文化知识和社会规范知识,而且具有儒家的价值理念。对于儒家伦理与商业道德的关系,在明清之前,可以看作是受到儒家文化的影响;而在明清之际,当大批士人弃儒从商之后,也就出现厂自觉地将儒家的价值信念来重新塑造商人形象的情形。明代商人已有“贾道”的概念,表明他们对于商业有新的看法,即在赚钱之外,还有价值意义的依托。也就是说,经商既是出于世俗利益的动机,同时也是一种价值精神的追求。商业道德已经从儒家伦理中独立出来。
社会心理研究
社会发展中的社会心理调节---张华金周积泉: 1.他们认为研究社会发展,应当研究人的社会心理,尤其需要研究人的社会心理调节,因为它是影响社会发展的一个不可忽视的重要因素。
2.在《传统社会心理和市场经济的矛盾与冲突》中,王建优认为:
10.安全生产责任制ppt 篇十
信息网络安全与计算机信息系统 信息网络面临的威胁及其脆弱性 信息网络安全保护 信息网络安全监察
网络职业道德与社会责任
一、信息网络安全与计算机信息系统
(一)计算机信息系统(信息网络)
概念:由计算机及其相关配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。
(二)信息网络安全
信息网络安全是一门涉及计算机科学、网络技术、应用数学、信息论等多种学科的综合性学科,其实质就是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。
信息网络安全的目标
保护网络信息的保密性、完整性、可用性、不可抵赖性。
网络安全指的是保护网络信息系统,使其没有危险,不受威胁,不出事故。
1.可用性
可用性指信息或者信息系统可被合法用户访问,并按其要求运行的特性。如图所示,“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。
人们通常采用一些技术措施或网络安全设备来实现这些目标。例如: 使用防火墙,把攻击者阻挡在网络外部,让他们“进不来”。
即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关键信息和资源。 2.机密性
机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信
息被加工。 如图所示,“进不来”和“看不懂”都实现了信息系统的机密性。 人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就“进不来”,这就保证了信息系统的机密性。
即使攻击者破解了口令,而进入系统,加密机制也会使得他们“看不懂”关键信息。
例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。 3.完整性
完整性指防止数据未经授权或意外改动,包括数据插入、删除和修改等。为了确保数据的完整性,系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。
如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。 4.不可抵赖性
不可抵赖性也叫不可否认性,即防止个人否认先前已执行的动作,其目标是确保数据的接收方能够确信发送方的身份。例如,接受者不能否认收到消息,发送者也不能否认发送过消息。
如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无处遁形。
二、信息网络面临的威胁及脆弱性
(一)网络系统的脆弱性
(二)网络系统面临的威胁
(三)产生威胁的原因
操作系统的脆弱性
计算机系统本身的脆弱性 电磁泄漏
数据的可访问性
通信系统和通信协议的脆弱性 数据库系统的脆弱性
存储介质的脆弱
1、操作系统的脆弱性
NOS体系结构本身就是不安全的--操作系统程序的动态连接性。操作系统可以创建进程,这些进程可在远程节点上创建与激活,被创建的进程可以继续创建进程。
NOS为维护方便而预留的无口令入口也是黑客的通道。
2、计算机系统本身的脆弱性
硬件和软件故障:硬盘故障、电源故障、芯片主板故障、操作系统和应用软件故障。
存在超级用户,如果入侵者得到了超级用户口令,整个系统将完全受控于入侵者。
3、电磁泄漏
计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射,从而造成有用信息甚至机密信息泄漏。
4、数据的可访问性
进入系统的用户可方便地拷贝系统数据而不留任何痕迹;网络用户在一定的条件下,可以访问系统中的所有数据,并可将其拷贝、删除或破坏掉。
5、通信系统与通信协议的脆弱性
通信系统的弱点:网络系统的通信线路面对各种威胁就显得非常脆弱,TCP/IP及FTP、E-mail、,搭建与广大网民沟通的桥梁。
开通网上报警处置中心,24小时接受群众报警,延伸执法范围。 在我市各大网站设立“虚拟警察”,24小时网上巡逻,处置网上造谣诽谤、淫秽色情、赌博等违法犯罪活动
开设互联网上网服务营业场所的年审、变更管理专区,推进网吧行业的规范管理。
自主开发互联网综合管理系统,以备案促管理,完善基础数据,为全面工作打好基础。
五、网络职业道德与社会责任 网络职业道德
是指在计算机及网络行业及其应用领域所形成的社会意识形态和伦理关系下,调整人与人之间、人与知识产权之间、人与计算机之间以及人与社会之间关系的行为规范总和。
《公民道德建设实施纲要》
计算机互联网作为开放式信息传播和交流工具,是思想道德建设的新阵地。
要加大网上正面宣传和管理工作的力度,鼓励发布进步、健康、有益的信息,防止反动、迷信、淫秽、庸俗等不良内容通过网络传播。 要引导网络机构和广大网民增强网络道德意识,共同建设网络文明。 在所有公民中倡导
网络责任和计算机职业道德要求每一个公民自觉遵守国家的法律法
规。
一方面,不利用计算机做任何有悖于道德和法律的事情;
另一方面,还应监督他人,对发现的不良行为要及时报告,积极制止。全民共同动员,保障公共信息网络安全、稳定、有序地运行。
公共信息网络安全监察工作 计算机网络安全员培训
公共信息网络安全监察工作
公共信息网络安全监察是国家赋予公安机关的一项重要职能,是公安机关在信息网络领域承担的一项重要的安全保卫任务。 打击日益猖獗的计算机犯罪的重要手段。
公共信息网络安全监察部门是以网络技术为主要手段,集情报信息、侦察控制、打击犯罪、防范管理于一体的实战部门,是公安机关的一个全新警种。
公共信息网络安全监察工作的意义
公共信息网络安全监察工作的意义
从1995年开始,我国将网络与信息安全作为中国信息化发展战略的重要组成部分; 在十六届四中全会上通过的《关于加强党的执政能力的决议》中,信息安全与政治、经济、文化安全并列为四大主题之一,将之提到了前所未有的高度。
公共信息网络安全监察工作的意义
信息网络安全监察是国家法律法规赋予公安机关的一项重要职能; 1995年颁布的《中华人民共和国警察法》规定了公安机关人民警察按照职能分工依法履行的各项职责中,详细阐明了计算机信息系统的安全、管理、监督、保护工作的各项内容。 公共信息网络安全监察工作发展历史
1.第一阶段:启动阶段(1980年一1985年) 1980年底,公安部对我国进口的计算机进行技术安全检查,在检查中陆续发现了一些重要的安全问题。
后经国务院批准,全国各部门计算机安全检查工作由公安部承担,从此开始了中国信息安全工作。
这个时期主要是学习计算机安全知识,邀请外国计算机安全专家对公安系统专业人员进行培训,并通过公安部对中央各部委进行计算机安全启蒙教育。
公共信息网络安全监察工作发展历史
公安部在1983年成立了公安部计算机管理和监察局(1994年至1998年更名为公安部计算机管理监察司),专门负责计算机安全方面的工作。 公安部计算机管理和监察局对各大部委和驻外使馆信息系统的硬件辐射问题进行安全检查,并对计算机场地安全、机房施工建设等方面的工作进行管理;
组织专门力量对全国重点计算机系统进行近百次安全检查,几十次计算机安全讲座,编译了我国第一套计算机安全资料, 到1985年底,各部委保卫部门的领导基本上都接受了计算机安全教育,初步具有计算机安全意识,开始制定计算机的安全标准。 公共信息网络安全监察工作发展历史
2.第二阶段:防治计算机病毒阶段(1986年——1994年) 1986年组建中国计算机安全专业委员会;
1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》;
1986年,著名的巴基斯坦病毒的出现标志着计算机病毒开始正式在国际范围内产生影响。我国在这个时期对病毒的防范成为这一时期的一个重要特点。
公共信息网络安全监察工作发展历史 1988年12月,我国大陆第一个计算机病毒案在国家统计局从香港引进的设备中发生。 1990年,“广州一号”开始了国内病毒的先河。
1988年12月21日,公安部印发了“全国公安计算机安全监察工作会议纪要”,要求各省、自治区、直辖市公安厅、局迅速建立一支公安计算机安全监察管理的专业队伍。
公共信息网络安全监察工作发展历史 3.第三阶段:有法可依阶段(1994年起) 1994年2月18日《中华人民共和国计算机信息系统安全保护条例》颁布。《条例》规定,公安部主管全国计算机信息系统安全保护工作,安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
条例的意义及深远影响
影响公安系统内部,促进了各级计算机安全监察机构的建立和完善,壮大了计算机安全队伍;
明确了公安部门在计算机安全工作中的主管责任,促进各部门协调配合。
公共信息网络安全监察工作发展历史
1994年我国的四大互联网络:中国科学技术网、中国公用计算机互联网、中国教育和科研计算机网、中国金桥信息网先后在中国建立,标着着我国进入到了一个崭新的网络时代。
随着网络时代的到来,我国的信息安全工作进入了以网络安全为主的全新阶段。
我国在《中华人民共和国刑法》中增设了有关计算机犯罪的条款,便于打击和防范此类犯罪。
公共信息网络安全监察工作发展历史
4.第四阶段:公共信息网络安全阶段(1996年起) 1998年9月,原计算机管理监察司更名为公共信息网络安全监察局。 主要职责为:指导并组织实施公共信息网络和国际互联网的安全保护工作;掌握信息网络违法犯罪动态,提供犯罪案件证据;研究拟定信息安全政策和技术规范;指导并组织实施信息网络安全监察工作。
公共信息网络安全监察工作发展历史
1998年6月,国家信息安全评测中心成立。
1999年6月,国家计算机网络与信息安全管理中心成立,从政策、法律制定、技术组织方面对国家信息安全进行全面的统筹。
2000年后,随着机构改革和公共信息网络安全工作任务的扩大,各省、市公安机关开始相继将原有的公共信息网络监察处更名为网络警察总队或支队,进一步明确了网络警察工作职能。 公共信息网络安全监察工作主要职能 公共信息网络安全监察工作的主要职能
监督和管理计算机信息系统的安全保护工作; 保护计算机信息网络国际联网的公共安全;
维护从事国际联网业务的单位和个人的合法权益和公众利益;
负责计算机信息网络国际联网的互联单位、接入单位和用户的备案; 监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度;
检查网络安全管理及技术措施的落实情况,负责对“网吧”等国际
互联网上网服务营业场所的安全审核和安全管理工作。 公共信息网络安全监察工作主要职能
负责对公共信息网络的安全状况进行检查、安全评估; 监督计算机信息系统安全等级保护制度的落实;
依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行监督管理;
负责对计算机安全专用产品销售许可证的监督检查工作;
管理对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作。
公共信息网络安全监察工作主要职能
监督、检查和指导计算机信息系统使用单位安全组织和安全员的安全保护工作;
组织开展计算机信息系统安全的宣传、教育、培训;
依法查处非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、数据和应用程序、传播计算机破坏性程序和其他利用计算机信息网络的违法犯罪案件。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察总体目标
初步建立与社会主义市场经济相适应的信息网络安全保护和监督体制,形成健康、规范的管理秩序,建成以《计算机信息系统安全保护条例》为主体,以各项安全管理办法和地方性法规为基础的国家计算机信息网络安全监察的法律体系,实现对信息网络安全保护工作的依法管理和依法监督,严厉打击各种危害信息网络的违法犯罪;
建立在公安机关指导下的,以应用和管理部门为主体的,信息网络安全防护体系,使国家重点信息网络的整体防护能力明显提高,促进我国信息产业的健康发展。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察根本目标:
保障重要领域计算机信息系统的安全运行和信息的安全,建立并维护国家对计算机信息系统安全管理的秩序,维护社会政治稳定,保障经济建设,促进国家信息化建设的健康发展。 公共信息网络安全监察工作目标和工作方针 具体目标是:
(1)确保公共信息网络和互联网的运行安全和网上信息的安全,提高
公安机关在高科技领域的行政管理和打击犯罪的能力,为维护政治稳定和保障经济建设服务。
(2)重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全。保障党政、金融、财税、电信、能源、交通运输、社会保障、科研等单位或部门信息系统的安全及信息资源的安全。
公共信息网络安全监察工作目标和工作方针
(3)建立一个安全、可靠、适合我国国情的国家重要领域信息系统安全保护的法律法规、技术规范、安全管理等保障体系,全面提高国家重要信息系统的整体安全防护能力。
(4)建立和维护国家对计算机信息系统安全管理的秩序,依法维护国家、集体和个人的财产不受损失,合法权益不受侵犯,促进我国信息化建设事业的顺利发展。
公共信息网络安全监察工作目标和工作方针 公共信息网络安全监察工作的方针是: 依法管理,加强监督; 预防为主,确保重点; 及时查处,保障安全。
“依法管理”是根据国家法律法规,对我国信息网络进行安全监察工作,打击各种危害信息网络的违法犯罪活动。
“加强监督”是在保障信息网络安全的工作中,公安机关要坚持贯彻谁主管谁负责的原则,加强对信息网络使用及管理单位的安全管理,对其安全管理工作进行监督、监察和指导。
公共信息网络安全监察工作目标和工作方针
“预防为主”是信息网络安全监察工作的根本指导思想,要贯穿整个安全监察工作的始终;
“确保重点”是确保关系到国家事务、经济建设、国防建设、尖端科学技术等领域的部门和单位的计算机信息系统的安全;
“及时查处”是要依法对危害计算机信息系统安全的事故和违法犯罪活动及时进行查处,它与预防为主相辅相成,是做好安全监察工作不可缺少的重要手段;
“保障安全”是安全监察工作的出发点和落脚点,是安全监察工作的根本目标。
公共信息网络安全监察工作基本原则
(1)服从和服务于党和国家的路线、方针、政策以及公安中心工作;
(2)专门机关监督管理与社会力量相结合; (3)严格依法管理与科学文明管理相结合; (4)教育与处罚相结合;
(5)公安机关与相关部门分工负责,密切配合; (6)“谁主管,谁负责”;
(7)确保重点与兼顾一般相结合; (8)专项工作与基础工作相结合。 公共信息网络安全监察工作主要任务
(1)协调、监督、检查、指导本地区党政机关和金融等重要部门公共信息网络和互联网的安全保护管理工作;
(2)监督计算机信息系统的使用单位和国际联网的互联单位、接入单位及有关用户建立健全安全管理制度的落实情况,检查网络安全管理及技术措施的落实情况;
(3)监督、检查和指导计算机信息系统使用部门安全组织和安全员的工作;
(4)监督、检查、指导要害部门计算机信息系统安全等级保护制度的落实情况;
公共信息网络安全监察工作主要任务
(5)依据国家有关计算机机房的标准和规定,对计算机机房的建设和计算机机房附近的施工进行监督管理;
(6)对计算机信息系统安全专用产品销售许可证进行监督检查;
(7)对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作进行管理;
(8)查处违反计算机信息网络国际联网国际出、入口信道、互联网络、接入网络管理规定的行为;
公共信息网络安全监察工作主要任务
(9)掌握计算机信息网络国际联网的互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按国家有关规定逐级上报;
(10)发现任何单位和个人利用国际联网制作、复制、查阅和传播有害信息的地址、目录或服务器时,应通知有关单位关闭或删除; 公共信息网络安全监察工作主要任务
(11)负责接受有关单位和用户计算机信息系统中发生的案件报告,查处公共信息网络安全事故和非法侵入国家重要计算机信息系统、破坏计算机信息系统功能、破坏计算机信息系统数据和应用程序、传播计算机
破坏性程序等违法犯罪案件,配合有关部门查处利用计算机实施的金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等违法犯罪案件;
(12)承担研究公共信息网络违法犯罪的发展动态、特点和规律,提出防范和打击公共信息网络违法犯罪的对策; 公共信息网络安全监察工作主要任务
(13)研究计算机违法犯罪案件的取证、破译、解密等侦察技术,并负责对计算机违法犯罪案件中的电子数据证据进行取证和技术鉴定; (14)对计算机信息网络和计算机系统辐射、泄露等安全状况进行检查、安全评估;
(15)对有关公共信息网络安全的法律、法规的执法情况实施监督; (16)组织开展计算机信息系统安全的宣传、教育、培训。 公共信息网络安全监察工作的保障措施
(1)加强公共信息网络安全监察部门的机构和队伍建设 (2)完善公共信息网络安全监察工作的法律体系
(3)建立并完善公共信息网络安全监察工作的标准体系 (4)建立公共信息网络安全监察的相关技术手段
公共信息网络安全监察工作 计算机网络安全员培训
信息网络安全监督检查工作
根据《人民警察法》和《中华人民共和国计算机信息系统安全保护条例》的规定,公安机关对计算机信息系统安全保护工作行使监督、检查、指导职权。因此,联网单位必须配合公安机关做好对本单位的信息网络安全监督检查工作。 信息网络安全监督检查工作 监督检查的内容主要包括:
(1)是否能按要求将用户备案数据及变更情况报当地公安机关; (2)是否在主要信息服务系统的显著位置安排安全教育的内容; (3)是否有安全管理制度; (4)用户入网时,网络服务提供者是否与入网用户签订安全管理协议;
信息网络安全监督检查工作 (5)是否建立了安全管理组织;
(6)是否设立专职安全员、职责是否明确;
(7)是否对本单位员工进行安全培训;
(8)论坛、博客、BBS等交互式栏目是否有专人管理; (9)对委托发布信息的单位或用户是否有详细的登记; (10)是否建立了网上信息发布审核制度; 信息网络安全监督检查工作
(11)是否有对网上信息的日常检查制度; (12)是否有安全事故、案件的报告制度; (13)发现黑客入侵或有害信息是否及时上报; (14)是否有对有害信息的控制、删除措施; (15)是否有专职网络管理人员;
(16)是否建立了公用帐号使用登记制度。 信息网络安全监督检查工作 安全技术措施应包括:
(1)重要网络和信息系统是否有备份及处理突发事故的应急措施; (2)是否有对BBS用户的身份识别功能; (3)是否建立了正规的网管系统; (4)系统是否有用户上网日志记录; (5)系统能不能提供主叫电话号码; (6)系统是否具有安全审计功能。 日常安全管理工作
1.从事信息服务的联网单位
从事信息服务的单位(ISP、ICP)根据《互联网信息服务管理办法》申请经营许可或履行备案手续后,应按照《信息网络国际联网安全保护管理办法》的有关规定,做好日常信息网络安全管理工作。特别是要建立信息发布的登记、审核和日志信息的管理制度。对发现有《互联网信息服务管理办法》中第十五条禁止传输的信息内容,应立即停止传输,并按照《信息网络国际联网安全保护管理办法》的有关规定及时报告当地公安机关。
日常安全管理工作
2.从事互联网电子公告的联网单位
从事互联网电子公告服务的联网单位依据《互联网电子公告服务管理规定》申请经营许可或履行备案手续后,除了要做好互联网信息服务单位一般性的管理工作外,还应依照《信息网络国际联网安全保护管理办法》的规定,识别并记录登记用户的真实身份,并在公安机关的监督下,建立由信息审核员(开办单位)、站长(BBS)、栏目主持人(各类栏目)
组成的三级管理机制,切实加强对电子公告信息的日常安全管理。 日常安全管理工作
3.使用公用帐号的联网单位
使用公用帐号的联网单位除了按照《信息网络国际联网安全保护管理办法》的要求建立各种安全管理制度外,还必须建立公用帐号使用登记制度,掌握使用公用帐号的人员情况。 日常安全管理工作 4.网吧
网吧经营者应按照公安部、信息产业部等联合发出的《关于规范“网吧”经营行为加强安全管理的通知》精神,保证: (1)场地安全可靠、设施齐全;
(2)有专职技术人员和安全管理人员; (3)建立相应的安全保护管理制度; (4)符合国家相关的法律法规规定;
同时要在所在地公安机关办理申请许可,经管理部门核发营业执照后方可营业。
公共信息网络监察部门公开职能
信息网络安全监察管理
涉网案件报案程序 信息网络安全监察管理
以我市的公共信息网络安全监察工作职能为例,作一简单介绍: (1)对重要领域的计算机网络遭受病毒侵害、黑客攻击以及意外灾害等重大安全事故和发生计算机犯罪,实行紧急救援和紧急出警。市内30分钟内到达现场。(2)“网吧”等互联网上网服务营业场所的安全审核在7个工作日完成。(3)计算机机房设计方案的安全审核在15个工作日完成。(4)国际互联网备案按规定时限办理。
(5)信息网络安全检查时,民警应先出示警官证。 涉网案件报案程序 1.涉网案件报案范围
(1)擅自侵入他人或组织的计算机系统;故意制作、传播计算机病毒等破坏性程序;擅自中断计算机网络或者通信服务。
(2)利用互联网发表有害信息,颠覆国家政权;破坏国家统一;破坏
民族团结;组织邪教,破坏国家法律和行政法规的实施,通过互联网窃取、泄露国家机密。
(3)利用互联网传播淫秽色情等有害信息;
涉网案件报案程序
(4)利用互联网侮辱、诽谤他人;侵犯公民通信自由;
(5)利用互联网进行盗窃、诈骗、敲诈勒索等违法犯罪活动;
(6)计算机网络遭到黑客非法入侵或攻击破坏;计算机网络病毒传播造成的系统瘫痪等;
(7)利用互联网上网服务营业场所制作有害信息等。 涉网案件报案程序
2.报案的方式与时间限定
发生计算机违法犯罪案件的单位应在24小时之内向所在地公安机关计算机安全监察部门报告。
报案方式有电话报警、网上报警、当面报警三种。
案件受理采取属地原则,报案人一般应到当地公安机关信息网络安全监察部门报案。
电话报警的同时应准备相应的书面报警材料递交至受理机关。 计算机信息系统从业安全备案
备案范围:
市区内从事计算机设备或媒体生产、销售、出租、维修行业的单位或个人,从事计算机信息系统安全专用产品生产、销售、安装的单位或个人,从事计算机信息系统安全检测、从事工程造价50万以上计算机信息系统安全施工的单位或个人。 申请备案指南
《计算机信息网络国际联网安全保护管理办法》第十二条规定,各互联网接入服务、信息服务单位以及使用固定IP地址接入国际联网的单位和个人用户须在市公安局进行备案。
对于不办理备案手续的单位和个人,公安机关将按照《中华人民共和国计算机信息系统安全保护条例》第二十三条之规定予以处罚。 申请备案指南
(1)互联单位、接入单位、互联网专线用户及经营公众多媒体网络的单位,在开通之日起的30日内,登录郑州网络警察网站办理备案登记手续;
(2)拨号用户的单位和个人用户,在办理入网手续的同时填报《备案登记表》,由各互联网接入单位将《备案登记表》反馈给市公安局信息
网络安全监察支队;
(3)本市各互联网接入单位,于每季度首月的5日前将上季度的用户变更情况,报市公安局信息网络安全监察支队; 申请备案指南
(4)需提交的手续:
①从事国际互联网业务的单位负责人的身份证复印件、联系人的身份证复印件;
②安全管理员的身份证复印件;
③从事国际互联网业务的个人需持本人身份证复印件 ④从事国际互联网业务的单位出具单位介绍信; ⑤电信部门出具的上网登记材料, ⑥对于ISP、ICP的单位还应出具上级单位允许联网的批准手续。 ⑦其他按要求需要提交的材料。 申请办理网吧安全审核手续指南
1.应具备的条件
(1)有与开展营业活动相适应的营业场所,营业场所距中小学学校大门直线距离不少于200米,营业场地安全可靠,安全设施齐全; (2)有与营业规模相适应的专业技术人员和专业技术支持; (3)有健全完善的网络信息安全管理制度;
(4)有相应的网络安全技术措施; (5)有专职的网络信息安全管理人员;
(6)经营管理、安全管理人员经过公安部门组织的安全培训; (7)符合法律、行政法规的其他规定。 申请办理网吧安全审核手续指南
2.申办安全审核手续时,应向公安机关提交以下材料 (1)经营人员的合法身份证明;
(2)工商部门核发的企业名称预先核准通知书复印件; (3)营业场所简介、证明材料及安全设施配备情况; (4)公安消防部门的《消防安全检查意见书》;
(5)安全组织负责人、专职或兼职的安全管理人员及其个人身份信息、资历证明、联系方式和公安部门的安全培训合格证;
(6)网络信息安全管理制度,包括网吧安全员职责,网吧技术人员职责;网络安全技术保护措施,防病毒及有害数据传播的安全产品的材料; (7)其他按要求需要提交的材料。 3.申报程序
(1)符合审核条件的网吧(包括申请网吧年审和变更)业主,登录郑州网络警察网站,进入网吧综合管理系统,按要求填写申请。
(2)公安机关收到申请后,按照相关要求,联网核查网吧的安全审计专用产品,现场检查网吧60天日志留存和实名登记上网等各项安全措施的落实情况。
(3)对各项要求达标的网吧,审核通过,发放《安全合格证》。 公共信息网络安全监察工作
贯彻“严格执法、热情服务”的原则,统一思想、更新观念; 从“认识、职责、目标、保障” 入手,深刻认识当前网上斗争面临的复杂形势,全力加强互联网依法公开管理;
着力抓好“三个专项”工作,严厉打击网络违法犯罪,加强对网络淫秽色情和网络赌博的打击力度,做到“三个有效两个提升”; 扎实有效履行网安部门职责,为构建和谐“虚拟社会”,维护国家安全和社会稳定,作出新的更大的贡献。
网络安全管理简介
信息网络安全管理的发展历程 信息网络安全管理的体系结构 信息网络安全管理的体系标准 信息网络安全管理的组织体系 信息网络安全管理的策略体系 信息网络安全管理制度
信息网络安全管理体系包括
管理组织机构、管理制度
管理技术三个方面,要通过组建完整的信息网络安全管理组织机构,设置安全管理人员,制定严格的安全管理制度,利用先进的安全管理技术对整个信息网络进行管理。信息网络管理贯穿于信息网络系统整个生命周期的各个阶
段,既包含了行政手段,也包括了技术手段。网络安全管理简介
信息网络安全管理的主要内容:由主要领导负责的逐级安全保护管理责任制,配备专职或兼职的安全员,各级职责划分明确,并有效开展工作;明确运行和使用部门的岗位责任制,建立安全管理规章制度,在职工群众中普及安全知识,对重点岗位职工进行专门培训和考核,采取必要的安全技术措施;对安全保护工作有档案记录和应急计划,定期进行安全检测、风险分析和安全隐患整改;实行信息安全等级保护制度。
信息网络安全管理完成的任务是保护信息网络和信息资源安全,目标是保证信息资产的机密性、可用性、完整性、可控性和不可否认性,特定的对象当然是信息和信息网络。信息安全管理的原则、方法,所进行的计划、组织、指挥、协调和控制则分为两个层次:一个是国家层面上;另一个是单位自身。国家的管理是依赖于立法并通过行政执法机关进行监管来实现。而单位自身的管理则应该通过安全管理组织,制定信息安全策略,建立信息安全管理制度和机制来实现。也就是说应该建立一个信息安全管理体系(ISMS)来实现单位的信息安全管理
信息安全管理坚持“谁主管谁负责,谁运行谁负责”的原则。信息安全管理组织的主要职责是制定工作人员守则、安全操作规范和管理制度,经主管领导批准后监督执行;组织进行信息网络建设和运行安全检测检查,掌握详细的安全资料,研究制定安全对策和措施;负责信息网络的日常安全管理工作,定期总结安全工作,并接受公安机关公共信息网络安全监察部门的工作指导。
网络安全管理的发展历程
从现代通讯工具—电报发明以来,信息安全的重点是确保信息的保密性,包括商业秘密、军事秘密及个人隐私。信息安全的控制方法比较简单,例如采用安全信使传递秘密口信与信件,通过人员的保密意识与物理安全控制的方式来达到信息安全的目的。
自二十世纪四十年代人类发明了计算机以来,尤其是二十世纪八十年代末信息时代的到来,网络技术与现代通信技术得到了飞速的发展,信息技术被广泛地应用于各行各业,信息安全扩展为对信息的保密性、完整性、可用性和可控性的全面保持。
网络安全管理的发展历程
在我国,由于信息网络安全行业起步较晚、力量分散、人才匮乏、资金投入不足等原因,在信息安全技术和管理方面还相对落后于一些发达国家。但信息安全管理一直没有被忽视,早在1994年中华人民共和国国务院就发布了《中华人民共和国计算机信息系统安全保护条例》,这是我国一切计算机信息系统安全管理的基石,也是制定其他有关信息安全管理的法规、条例、办法等最根本的依据。随后各级政府、部门也相继颁布了一系列的有关信息系统安全管理的法规文件,如《公安部关于加强计算机网络国际联网信息安全管理的通知》、《计算机网络国际联网安全保护管理办法》等。
信息安全管理最初并没有受到人们的重视,认为只要有先进的安全技术就可以实现系统的信息安全,但后来通过一系列的调查研究发现,信息安全问题有70%到80%是由系统本身和系统内部管理问题引起的,人们逐渐开始重视信息安全管理问题。这就是人们常说的从“七分技术,三分管理”到“三分技术,七分管理”的转变。
为确保信息的安全,信息安全技术被广泛采用,如加密技术、防病毒技术、访问控制技术、入侵检测技术等。各种与信息安全有关的信息处理设施与软件产品的质量和安全性,也得到了人们的普通重视。同时,与信息安全有关的法律法规、安全技术标准也应运而生,如NIST的800系列安全原理和标准、IPSec网络安全协议标准、CC(Common Criteria)信息技术安全评价标准等。
从二十世纪九十年代中后期开始步入了标准化和系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,这堪称是信息安全管理历史上的一个里程碑。该标准在2000年12月被ISO(国际标准化组织)认可为国际通用标准,并命名为ISO/IEC 17799-信息安全管理体系国际标准。现在该标准已引起许多国家和地区的重视,在一些国家已经被推广和应用。另外,许多其他的发达国家也都建立了自己的信息安全管理标准和管理方法体系,如美国总审计局的一系列信息安全管理指导书、德国的信息技术安全基础保护手册等。
目前,我国的信息网络安全管理主要依靠传统的管理方式与技术手段来实现,但传统的管理模式缺乏现代的系统管理思想,而技术手段又有一定的局限性。保护信息安全,国际公认的、最有效的方式是采用系统的方法(管理十技术)保护信息安全,即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与控制方式进行控制,制
定商务持续性计划、建立并实施信息安全管理体系。这种系统的信息安全管理方法已经成为国际性标准—BS 7799(ISO/IEC l7799)。
信息网络安全管理的体系结构-分析
信息安全管理体系(ISMS)(Information Security Management System)是单位在整体或特定的范围内建立信息安全方针和目标,以及完成这些目标所用的方法,它是直接管理的结果,表示方针、原则、目标、方法、过程、核查表等要素的集合。
一个单位的信息安全管理体系的建立,首先应该建立自己的管理组织,这一点在BS 7799标准中有明确的提出,我们国家的公共行业标准GA 39l也明确地提出了单位应该建立信息安全领导小组这样的管理组织。
在信息安全管理组织的领导下,制定信息安全策略,建立信息安全管理制度,以一套可操作的保障机制来保证这些策略和制度的落实。
同时,建立信息网络管理系统又是一项复杂而具有挑战性的任务,它具有涉及范围广泛、牵扯人员众多、安全需求各异、技术进步迅速等
特点。因此,首先要对其各构成要素有一个清晰的认识,这主要包括:
1、策略安全
策略安全是整个网络安全管理的指导性文件,目的是为单位提供网络安全管理的方针与政策支持。制定清晰、完整的安全策略文档体系,由专门负责人定期审核,并在紧急情况下(如重大安全事件的发生、系统新漏洞的出现以及组织机构或技术机构的改变等)进行突审。
2.单位安全
是指创建、支持、维护和管理信息网络安全基础设施的一套管理机构,主要包括管理信息安全论坛、任命信息系统安全主管、信息安全协调、信息安全责任分配、信息处理设备的授权程序、信息安全专家意见、单位之间的合作、信息安全内审、第三方访问安全等事项。
3.资产分类和控制安全
指依取信息网络安全基础设施,保护单位资产安全性的能力,主要包括有资产的使用说明和资产的分类明细清单,并特别声明信息资产的分类方法、标注及处理过程等,保证所有重要的信息资产应有专人负责,并制定相应的维护和控制责任。
4.人员安全
这是信息网络安全管理的根本。保障信息系统的安全性,既要靠先进的技术,又要有完善的管理,但其核心都是人,实际上,大部分安全和保密问题是由人为差错造成的。因此,在信息安全管理中人的因素应该是最重要的。
5.物理与环境安全
作为信息网络的主要载体,计算机网络系统从自身到其环境都要求有相应的安全防护措施。例如,建立物理安全地带、控制物理安全出入口、设备的安全放置与维护、以及办公场所的安全操作规程等。
6.通讯与操作安全
主要是建立一系列的安全操作规程,如文档操作程序、安全事件管理程序、系统备份与恢复程序、日志管理、电子邮件安全措施等,以确保信息处理设备运行正确、安全,把系统失效的风险降到最低,从而保护软件及信息的完整性。
7.访问控制安全
这是信息网络安全管理的重点,目的是控制信息的访问,防止非法
用户和非法计算机访问信息系统,以保证授权用户的完整权利。措施有:制定访问控制策略、用户注册登记、口令使用与管理、用户认证、网络隔离、检测并记录非法活动、安全审计、密钥管理等。
8.系统开发与维护安全
运用一系列的安全技术与管理措施,如系统配置、消息认证、数字签名、密钥管理、数据输入输出控制以及系统的升级、更新等,确保信息系统的架构、业务以及应用系统的安全,保证IT项目及支持服务的安全进行,维护应用系统软件及信息的安全。
9.业务持续性
是指通过预防及恢复措施,把业务因灾难或安全失效的停顿降到可接受的程度,并制定实施应急计划,来保证业务进程能够在规定时间内恢复。计划应建立在单一框架基础上,以保证一致性,并进行测试、维护及修改,最终使其变成所有管理过程中不可分割的一部分。
10.遵循性
即是否遵守法律。其目的是避免触犯任何刑事及民事法律,以及其他法定、条例、合同的义务和安全需求。信息系统的设计、操作、使用及管理受安全需求约束,同时要加强系统审计的考虑和证据的收集,以备发生问题时采取合法的处理方式。
从根本上来说,信息安全管理要实现的就是,在系统和环境进行物质、能量和信息交换的进程中,利用一切可以利用的安全防护措施,达到保护系统内部重要信息和其他重要资产的安全性(保密性、完整性、可用性和可控性),以防止和最小化安全事件(风险)所造成的破坏,确保业务的持续性和损失最小化。
信息网络安全管理的体系结构-原理
建立、实施和维护信息安全管理体系,就是实施单位需遵循某一风险评估来鉴定、选择最适宜的控制对象,并对自己的需求采取适当的控制。
建立信息安全管理体系具体操作如下:
1.定义信息安全策略
描述的是信息安全在单位内的重要性,提出管理信息安全的方法,为信息安全管理提供方向和支持。需要根据实际情况,分别制定不同的信息安全策略。例如,规模较小的单位可能只有一个信息安全策略,并适用于所有部门、员工;而规模大的集团单位则需要制定一个信息安全策略文件,分别适用于不同的子公司或各分支机构。信息安全策略应该简单明了、通俗易懂,并形成书面文件,发给单位内的所有成员。同时要对所有相关员工进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有员工的脑海,并落实到实际工作中。
2.定义信息安全策略的范围
确定信息安全策略的范围,即明确在哪些领域重点进行信息安全管理。单位需要根据自己的实际情况,在整个单位范围内、或者在个别部门或领域架构信息安全管理体系(ISMS)。因此,在本阶段,应将单位划分成不同的信息安全控制领域,以易于单位对有不同需求的领域进行适当的信息安全管理。信息安全管理体系可以覆盖单位的全部或者部分,无论是全部还是部分,单位都必须明确界定体系的范围,如果体系仅涵盖单位的一部分就变得更重要了。
3.进行信息安全风险评估
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与单位对信息资产风险的保护需求相一致,应该和单位既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。
风险评估主要依赖于信息和网络的性质、使用信息的目的、所采用的网络环境等因素。单位在进行信息资产风险评估时,需要将直接后果和潜在后果一并予以考虑。
4.信息安全风险管理
根据风险评估的结果进行相应的风险管理,主要包括以下几种措施:
降低风险:在考虑转嫁风险前首先考虑采取措施降低风险。避免风险:有些风险很容易避免,例如通过采用不同的技术、更改操作流程、采用简单的技术整改措施等。
转嫁风险;当风险不能被降低或避免、且被第三方接受时,适用于低概率、一旦发生产生重大影响的风险。
接受风险:用于那些在采取了降低风险和避免风险措施后,依旧存在且必须接受的风险。
5.确定管制目标和选择管制措施
管制目标的确定和管制措施的选择:原则是费用不超过风险所造成的损失。由于信息安全是一个动态的网络工程,单位应实时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况.使单位的信息资产得到有效、经济、合理的保护。
6.准备信息安全适用性声明
信息安全适用性声明记录了单位相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性声明的准备,一方面是为了向单位内的员工声明对信息安全风险的态度,在更大程度上则是为了向外界表明单位的态度和作为,以表明单位已经全面、积极地审视了组织的信息网络安全,并将所有必要管制的风险控制在能够被接受的范围内。
实施信息安全管理体系需要切实可行的计划,以及管理高层的支持。对于制定的信息安全管理体系文件,应当获得最高管理层的批准。管理风险的建议应该获得批准,开始实施和运作信息安全管理体系也需要获得最高管理者的授权。
在形式上,可以通过设计风险控制计划,来完成对风险评估的目标与控制措施的选择和确定。
风险控制计划是针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是安全风险和控制措施的接口性文档。风险控制计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容:所选择的处理方法;已经到位的控制;建议采取的额外措施;建议控制的实施时间框架。
信息网络安全管理的体系结构-描述
根据信息系统安全的总体要求,信息安全体系应从安全组织体系、安全管理体系以及安全技术体系三个方面进行体系架构,如下图所示。
(1)安全组织体系主要涉及信息网络系统安全的组织机构,包括决策单位、日常管理机构和执行检查层次等,是针对管理体制建立起来的从上到下、主管部门与相关部门有机结合的组织体系,是系统内部信息系统安全的组织保证。
(2)安全管理体系是信息系统安全管理工作的基础,主要包括安全管理制度和安全政策法规两个方面,是单位信息系统安全制度的保障体系。
(3)安全技术体系是指充分运用高新技术,采用安全防范技术措施和技术安全机制,建立起来的现代化技术防范体系,主要包括通信网络安全、系统安全、应用安全、安全技术管理和系统可靠性设计等,是信息系统安全技术的保障体系。
信息网络安全管理的体系标准
信息安全管理的重要性,引起了各个国家的重视,许多国家和国际性的标准化单位都出台了相关的安全管理标准。比较著名的有英国的BS7799(后被国际标准化组织采用为IS0 17799)、ISO 13335等。
ISO和IEC是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过各技术委员会参与相关标准的制定。
BS 7799目前已经成为世界上应用最广泛与典型的信息安全管理标准。1993年由英国贸易工业部立项,1995年英国首次出版了BS 7799—1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定信息网络在大多数情况所需控制范围的参考基准,并且适用于大、中、小单位。
美国信息安全管理标准体系
2002年,美国通过了一部联邦信息安全管理法案,根据它,美国国家标准和技术委员会负责为美国政府和商业机构提供信息安全管理相关的标准规范。因此,NIST的一系列FIPS标淮和NIST特别出版物800系列(NIST SP 800系列)已成为指导美国信息安全管理建设的主要标准和参考资料。
在N13T的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南。目前,NIST SP 800系列已经出版了近90本和信息安全相关的正式文件,形成了从计划制定、风险管理、安全意识培训和教育以及安全控制措施等一整套信息安全管理体系。
信息安全管理并不是一个孤立的学科,它和信息网络审计、信息网络内控体系、信息技术服务体系密切相关。在建设信息安全管理网络时,应该将信息安全管理同审计、内控和服务相结合,以避免不必要的资源重复投资。
从更广义的范围来看,信息安全是信息技术的一部分,信息安全管理的一个更深刻的目的是:建设和完善信息技术治理体系。从这个意义来看,信息安全管理人员不应只关注信息安全管理本身,还应该进一步将信息安全管理放在一个更大的范畴—信息技术治理和组织机构治理的领域来考虑。
信息网络安全管理的组织体系
信息网络安全的管理工作,首先是要建立信息安全管理组织,这个管理组织应该有权威性,并且应该是活跃的。《计算机信息网络安全等级保护管理要求》中规定,信息网络使用单位应该建立信息安全管理组织。在第四章第五条中要求 “单位的最高主管对本单位计算机信息网络安全负有主要责任,应根据使用的计算机信息网络的保护等级和计算机信息网络规模设立安全管理职责体系,明确安全管理人员的职责,保证安全管理人员有效行使计算机信息网络安全管理的权利 ”。
安全管理组织体系是一个单位信息安全保障体系建设的最关键要素。
在BS 7799中也提出:管理机构内的信息安全。应建立一个机构管理架构,在全机构内推行及管理信息的安全。应由管理层牵头、组织管理论坛来讨论及批准信息安全策略、指派安全角色及协调全机构安全的实施。如有需要,应在机构内建立一个信息安全资源库。应与外界的安全专家保持联系,留意业内标准及评估方法、最新的行业动态,以及发生安全事件时提供适当的联系方法。应从多方面考虑信息安全,例如:调动部门经理、用户、管理员、应用网络设计者、审计安全员和风险管理专家共同制定策略。
一、信息网络安全管理组织及其职能
信息网络安全管理组织的名称、大小、性质和定位取决于单位的性质、文化、定位。《计算机信息网络安全等级保护管理要求》中给出了一个单位内部的信息安全管理的组织体系结构。由最高层的管理组织、部门级的管理组织、网络级的管理组织和应用级的管理组织构成。
目前许多单位是在内部建设了一个统一的物理意义上的信息网络,而各部门的应用是架构在这个统一的物理网络上的,而不是部门自建,当然部门自建网络的也有许多。对于统一的信息网络来说,部门的管理是应用级的,而不是网络级的。
信息网络安全管理的组织体系 1.信息安全领导小组的组成:
(1)信息安全管理组织,信息安全策略、标准和指导的主要提供者;(2)计算机或数据安全组织,开发和维持计算机及网络安全性的技术人员的组织;
(3)信息安全协调员,单位内部在信息安全组织管理层以下的全职或兼职管理员和顾问;
(4)网络和平台的管理员及经理,商业单位的当地计算机和通信服务提供者;
(5)信息和应用程序的拥有者、提供者、监护人及用户;(6)发布或披露内容的提供者,信息内容审核人员;(7)外聘的安全顾问。
2.信息网络使用单位安全管理组织建立的原则
(1)按从上至下的垂直管理原则,上一级信息网络安全管理组织指导下一级信息网络安全管理组织的工作。
(2)下一级信息网络的安全管理组织接受并执行上一级信息网络安全管理组织的安全策略。
(3)各级信息网络的安全管理组织,不隶属于同级信息网络管理和业务机构,不隶属于技术部门或运行部门,并常设办公机构负责信息安全日常事务。
(4)各级信息网络安全管理组织由网络管理、网络分析、软件硬件、安全保卫、网络稽核、人事、通信等有关方面的人员组成。
3.信息网络使用单位的安全管理机构职能
(1)各级信息网络安全管理机构负责与信息安全有关的:规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。根据国家信息网络安全的有关法律、法规、制度、规范,结合本单位的
安全需求建立各处信息网络的安全策略、安全目标和实施细则,并负责贯彻实施。
(2)负责与各级国家信息安全主管机关、技术保卫机构建立日常的工作关系。
(3)组织、协调、指导计算机信息网络的安全开发工作。(4)建立本网络完整的网络安全保护规程、制度。
(5)确定信息安全各岗位人员的职责和权限,建立岗位责任制。信息网络安全管理的组织体系
(6)审议并通过安全规划、安全报告、与信息安全相关的安全宣传。
(7)执行信息安全报告制度,定期向当地公安信息安全监察部门报告本单位信息安全保护管理情况,及时报告重大安全事件;遇到违法犯罪案件,应保护案发现场,协助公安机关调查、取证。对已经证实的重大安全违规、违纪事件,应及时进行处置。
(8)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然,将可能的攻击拒之门外。
(9)负责向所属单位或机构的领导层汇报工作,积极争取领导层对信息安全的完全支持。领导层对信息安全的支持是成功的安全网络中最重要的因素。
4.信息网络安全负责人的职责
(1)全面负责本单位的信息网络的安全工作。
(2)安全负责人应指定专人负责建立、修改和管理网络授权表及网络授权口令。
(3)负责审阅违章报告、控制台报告、网络日志、网络报警记录、网络活动统计警卫报告以及其他与安全相关的材料。
(4)负责单位制定安全教育、培训计划,负责协调和管理下级安全管理人员,网络管理和操作人员的定期和不定期的安全教育和培训。
(5)负责管理监督、检查分析网络运行日志及网络安全监督文档,定期对网络做出安全评价,对违反网络安全规定的行为进行处罚。
信息网络安全管理的组织体系
(6)负责制定、管理和定期分发网络及用户的身份识别号码、密钥和口令。
(7)根据国家和上级机关有关信息内容的管理要求,审查对外发布的信息内容,防止泄密事件和其他事件的发生。
(8)负责采取切实可行的措施,防止网络操作人员对网络信息和数
据篡改、泄露和破坏,防止未经许可的越权使用网络资源和旁路网络安全设备的控制。
(9)负责监督、管理外部人员,建立相应的批准手续。
(10)采取切实可行的措施,防止信息网络设备受到损害、更换和盗用。
(11)负责与互联网接入有关的安全工作。5.网络安全管理人员的主要职责
(1)负责应承担的日常安全工作包括:风险评估的相关工作、安全方案相关工作、提出安全策略要求。在网络方面则应该做到:
①对网络资源和应用定义相应的安全级别。②限制隐蔽通道活动的机制。③定义网络访问控制的机制.④为所有用户定义安全级别。⑤应熟悉应用环境下的安全策略和安全习惯。⑥网络安全管理员不负责审计工作。
(2)发生违法犯罪案件,立即向上级部门和公安部门报告。保护案发现场,协助公安机关调查、取证。
(3)对已证实的重大的安全违规、违纪事件及泄密事件,应及时报告并在权限范围内进行处理。
(4)安全审计跟踪分析和安全检查,及时发现安全隐患和犯罪嫌疑,防患于未然。
(5)负责定期向所属单位或机构的领导层(或管理层)汇报安全工作。
6.审计员的职责(1)设置审计参数。
(2)修改和删除审计网络产生的原始信息(审计信息)。(3)控制审计归档。
(4)发生安全事件时的审计。
(5)发生安全事件时向高层汇报审计情况。
审计员与网络安全管理员之间形成了一个检查平衡。审计安全管理员设置和实施安全策略,审计员控制审计信息表明安全策略已被实施且没有被歪曲。
7.安全操作员的职责
安全操作员可以完成所有操作员的职责,如:启动和停止网络;完成移动存储介质的一致性检查;格式化新的介质;设置终端参数;允许/不允许登录(包括:不能更改口令、用户的安全级别和其他与安全相关的登录参数)、产生原始的审计数据。除此之外安全操作员的职责还有:
(1)例行备份与恢复。
(2)安装和拆卸可安装的介质。(3)监督本单位的网站运行情况。8.网络管理员的职责(1)管理网络软件。(2)设置BU 文件,允许使用UUCP、UUTO等进行通信。
(3)设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择管理文件。
(4)启动和停止远程文件、网络文件,通过远程文件和网络文件来共享和使用资源。
9.信息内容审核员的职责
由于互联网的发展,许多单位都建立了自己的信息发布平台。但是.对于信息的发布应该有严格的审核制度,应设审核员,对信息内容的审核要求是:
(1)审核发布的信息内容是否符合国家的法律、法规和政策要求。(2)是否泄露国家、单位的秘密信息,个人的隐私信息。
(3)是否产生对社会及单位的负面影响,是否会造成对个人的伤害。
二、信息安全专家的意见和单位间的合作
很多机构都需要信息安全专家的意见,最好内部有这样经验丰富的安全专家。如果没有,建议确定一位员工负责协调机构内部的安全事件。机构也应该找外部的专家,为自己没有经验的安全事件提供意见。
信息安全顾问应负责提供信息安全方面的意见,他们对安全威胁的评估及对控制的意见会确定机构信息安全的有效性。为了发挥最大效益,顾问可以直接与整个机构的管理层接触。
在发生安全事件时,应在第一时间由信息安全顾问提供专业的意见,并在管理层的控制下正常执行调查。
信息网络安全管理的策略体系
信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略,再确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很广,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”几个原则,总体安全策略为其他安全策略的制定提供总的依据。
一、网络和网络安全策略 1.用户身份鉴别
安全策略应确定如何识别用户,对用户的鉴别强度与相应权限相匹配。
2.访问控制
主访问控制或强制访问控制或混合使用。3.审计
制定审计策略,明确网络应该对哪些操作进行审计。
4.网络连接
针对每一种接到单位网络的连接形式,安全策略应说明连接的规则以及保护机制。
5.恶意代码
安全策略应确定搜索恶意代码(如病毒、木马、逻辑炸弹等)的安全程序的存放位置。
6.加密
确定单位的可接受的加密算法,并且这些算法必须符合国家相关规定。井对密钥进行符合规定的管理。
二、网络安全策略原则 1.计算机所有权
策略中应该明确地说明计算机属于本单位、并且提供给员工在单位内用于工作相一致的用途。应该禁止使用非单位的计算机用于单位的业务活动。
2.信息所有权
应规定所有存储的并于单位内用的计算机信息属于单位所有。某些员工可能使用单位的计算机存储个人信息,如果策略没有特殊说明,则个人信息可分开存在私人目录下并且非公开。
3.计算机使用许可
大部分单位期望员工使用单位提供的计算机,只用于和工作有关的应用,但这不是一个很好的假定。因此在策略中要明确说明,例如,单位的计算机只允许用于工作目的,如果单位在非工作时间允许员工使用计算机用于非工作目的,也要在策略中写清楚。
4.没有隐私要求
计算机用户策略应该规定,在单位的计算机存储、传输的信息没有隐私。
三、互联网使用策略
对于单位登录互联网,除了要考虑防范来自互联网上的威胁外,还要考虑单位内部人员对互联网上其他连接的侵害,或利用互联网进行的其他违法犯罪。
1.邮件策略
电子邮件正越来越多地用于单位的业务处理,电子邮件是使单位的敏感信息毫无价值的另一种方法,有些单位为电子邮件的使用开发了专门的策略,应考虑到内外两方面的问题。
(1)内部邮件问题
电子邮件策略不应和其他的人力资源策略相冲突。例如,电子邮件策略应规定禁止利用电子邮件进行性骚扰,又如,规定在电子邮件中不得使用非正式的语言。
如果单位要对电子邮件的某些关键字或附件进行监控,则策略应说明这类监控是存在的,策略还应说明在邮件中不能涉及个人隐私。
(2)外部邮件
电子邮件可能包含一些敏感信息。邮件策略应说明在什么条件下是可以接受的.并且在信息策略中指出该类信息应如何保护,并对邮件的附件进行病毒测试。
2.用户管理策略
用户管理是一个极为重要又往往被忽视的问题,作为信息网络的访问者,网络既要满足对他的服务,同时又要对他的行为进行管理和限制。应制定以下策略:
(1)新员工调入:新员工调入应该有一个调入的考察程序,同时对新员工使用计算机和访问信息网络资源应规定相应的程序。
(2)临时员工:临时员工访问信息网络要有相应的策略加以控制。(3)员工调动:对员工的调动要有相应的程序,由人力资源和网络管理部门对调动人员原岗位与新岗位对信息资源的使用进行管理。
(4)离职员工:对由单位确定的离职人员,应提前通知网络管理员;员工本人提出离职的,网络管理员应立即采取策略所规定的措施,保证离职人员不可能再有访问本单位信息网络的机会。
(5)外协人员:策略中应该规定对外协人员的管理,防止对网络的破坏。
3.网络管理策略
网络管理策略是确定网络安全和网络管理如何更好的配合工作,使单位的网络更安全稳定。需要完成如下与安全相关的管理:
(1)软件更新:防病毒软件的升级,补丁程序、应用软件更新前的测试与过程管理等。
(2)漏洞扫描:确定扫描的时间和方法。
(3)策略检查:定期利用审计网络来检查策略的合理性(4)登录检查:定期的登录检查。
(5)常规监控:对网络及用户行为的监控。
4.事件响应策略
信息网络发生安全事件是不可避免的,我们的目的是为了降低发生的概率和频率,但无法避免发生。在发生了安全事件后,单位对安全事件进行何种响应,采取什么样的响应策略直接关系到单位因事件而导致的损失。对事件应做事前准备、事中响应与检测、及事后追究与恢复等。事件响应策略包括:
(1)事件处理目标:包括保护信息网络、保护信息、恢复运行、降低影响等。
(2)事件识别:事件的类型和性质。(3)信息控制:如何发布相关的消息。(4)响应:检测、阻断和跟踪。(5)授权:接相关人员的授权。(6)文档:预案和事件的总结。(7)程序测试:恢复后的测试。
5.配置管理策略
网络的配置是维护信息网络运行状态的重要环节。
(1)网络初始状态:对于一个新网络,它的状态应有:文档、应用程序等详细记录。
(2)更新控制程序:当网络变更时,应执行变更配置控制程序。该程序应该在变更实施前对计划的变更进行测试。当提出变更请求时,应将变更前后的程序存档,再变更新配置以反映网络的新状态。
6.网络设计策略
(1)需求定义(业务战略):在任何项目的需求定义阶段,应该将安全需求列入。设计方法应该指出单位的安全策略和信息策略的要求,特别是要确定敏感信息和关键信息的要求。
(2)设计:在项目设计阶段,设计方法应确保项目是安全的,安全人员应成为设计组成员或作为项目设计审查人员。在设计中对不能满足安全要求之处应特别说明,并及时妥善解决。
(3)测试:当项目进入测试阶段,应同时进行安全测试。安全人员应协助编写测试计划。
(4)实施:项目实施阶段同样有安全要求。实施组应使用合适的配置管理程序。在新网络成为产品以前,安全人员应检查网络的漏洞和合适的安全策略规则。
7.灾难恢复策略
(1)单个网络和单点故障
单个网络或设备故障包括硬盘、主板、网络接口卡、元件的故障。对每个故障,应在可允许的时间内修复并恢复运行。“可允许的时间”是根据对网络的关键程度以及解决方案所使用的费用而定。
不论什么样的解决方案,灾难恢复计划必须能修复故障,使网络继续运行。计划必须和单位的运行部门相结合,使他们知道应采取什么步骤恢复网络运行。
(2)数据中心
灾难恢复计划还为数据中心的主要事件提供一个程序。例如,发生火灾,数据中心不能使用,应采取什么步骤重新恢复其能力。其中必须解决的一个问题是有可能丢失设备,灾难恢复计划应包括如何得到备用的设备。假如数据中心不能用了,但仍有一些设备完好,灾难恢复计划
应考虑如何添加新的设备以及确定其他可能的场地,重新建造计算机网络。
(3)场地破坏
场地破坏事件是灾难恢复计划通常需要考虑的一类事件。虽然这类事件发生的概率较小,但对一个单位的危害极大。对每类事件,单位的每个部门都应参与。第一步是识别必须重建的关键能力,以使该单位继续生存。如果是一个电子商务站点,则最关键的可能是计算机网络。如果是生产产品的工厂,则制造部门是关键,它的优先度高于计算机网络。
(4)灾难恢复的测试
灾难恢复计划是一个十分复杂的文档,通常不是一次写成就立即成功,因此需要测试。测试的必要性不仅在于检验其正确性,而且在于检查其是否处于备用状态。
灾难恢复计划的测试可能十分昂贵且有破坏作用。所以一个单位通常要安排安全管理员定期地对灾难恢复计划进行巡视,而且每年进行一次全面的测试。
8.安全策略的部署
安全策略若要有效部署和实施,需要全体人员介入。(1)贯彻
安全策略对每个部门都有影响,必须在各部门贯彻。由于在策略生成时征得了各部门管理者的意见,这些管理者的介入非常有助于安全策略在各个部门的贯彻。最高层领导强调安全策略的重要性,强调应予以贯彻更有效。
(2)培训教育
因为安全策略对单位的全体员工都有影响,所以安全专业人员必须负责对员工进行安全教育,人力资源管理部门和培训部门要协助进行。特别重要的是,当某些安全策略改变时会影响到全体员工,例如,需更改口令,必须事先告知全体员工,否则会造成一时混乱。
(3)执行
有时安全环境的突然改变会产生相反的效果,所以采取很好的计划和平滑过渡会更好。安全工作要与网络管理部门和其他有影响的部门密切配合,使执行更有效。
9.安全策略的有效使用
一个新的网络及项目启动时,就应同时进行安全策略的程序设计。也就是说,将安全作为新网络和项目设计的组成部分,使得安全要求在设计之初就能被识别和实施。如果新网络不能满足安全要求,该单位就要知道存在的风险,并提供某些机制来管理存在的风险。
(1)已有的网络及项目
当一个新的安全策略被批谁后,应该检查每个网络,看其是否和新的安全策略相符合。如果不符合,确定是否需要采取措施来遵守新的策略。应该和网络管理员以及使用该网络的部门一起工作,对安全策略作出相应的变更。
(2)审计
很多单位内部的审计部门,定期地审计网络是否遵守安全策略。安全部门应及时将新的安全策略通知审计部门,并配合他们的工作,使他们在审计时了解这些变更。一般来说,这个变更应是双向的。安全部门应向审计部门解释安全策略如何开发以及期望达到什么的目标,审计部门应向安全部门解释审计如何进行以及审计的目标。
(3)安全策略的审查
即使是一个好的安全策略也不是一劳永逸,对大部分策略,应每年审查一次,对某些程序,如事故响应程序或灾难恢复计划,可能需要更加频繁的审查。
在审查时,应和所有与安全有关的部门接触,听取他们对现有的安全策略的意见和建议。对重要的问题还要召开专门的调研会,在此基础上调整安全策略、申报批准、开始培训、贯彻实施。
信息网络安全管理制度
一、人员管理
1.人员管理的原则:相互监督的原则、授权的原则、培训后上岗的原则。
(1)相互监督的原则
在人员允许的情况下,由最高领导人指定两个以上的专业人员,共同参与每项与安全相关的活动,并通过签字、记录、注册等方式证明。对于重要的操作,一定要实行相互监督的原则。如在一些特权操作方面,特权口令就应该是多人分段掌握口令,操作时必须两人以上到场,共同完成操作,并通过签字、记录、注册等方式记录此次操作的目的和内容,及操作开始和完成的时间。如果操作网络、网络的鉴别与认证及访问控制机制的安全级别较低时,这样相互监督就更有必要了。
(2)任期有限的原则
任何人在任何与安全相关的岗位上,不能长期的工作下去。应该定期的轮岗。在信息网络的各个层面上,总会存在这样那样的脆弱性,会被利用成为攻击网络的突破口。特别是在应用层面上,既直接关系到网络的服务与数据的安全,而且又是最容易产生脆弱性的环节。长期的工作,就有可能发现网络的脆弱性,而产生利用这些脆弱性的动机。
(3)分权制约的原则
在工作人员素质和数量允许的情况下,不集中一个人实施全部与安全相关的工作。责任分散主要采取建立物理屏障和制定规则来实现。
(4)最小授权的原则
最小授权的原则指的是:所有人员的工作、活动范围和访问权限,应当被限制在完成其任务的最小范围内。对于所有人员都应做到得知、仅知。各职责权限都是有限的,实行最小授权,并规定授权的有限时效。对于一些重要的操作尽可能地采用临时授权。
(5)安全培训的原则
人员的培训,对于信息网络的安全来说是十分重要的,良好的培训可以说是信息安全管理的基础性工作。培训应该在人员上岗之前,只不过培训的内容和时间是不同的。对全体人员,以下的培训内容都应该参加:
①信息网络安全相关的法律、法规;
②单位的信息安全策略和与之相关的规章制度; ③安全、保密意识和必备的安全技能; ④工作及操作程序。
2.人员审查制度
应根据计算机信息网络安全等级的需要确定人员审查内容。信息网络的有关人员应具备:政治可靠、思想进步、作风正派、技术合格、职业道德良好等基本素质。录用关键工作岗位的工作人员时,应按照其申请表中的个人简历逐一审查,必要时要亲自会见证明人,对以前的经历和人品进行确认。
对在职人员应进行定期审查,当工作人员婚姻、经济、身体等状况发生变化,或被怀疑违反了安全规则,或对其可靠性产生怀疑时,都应进行重新审查。
3.岗位责任和授权
根据分权制约和最小授权原则,建立岗位责任制度和授权制度。明确所有人员在网络中的安全职责和权限,职责和权限要文档化,并要求签字确认。所有人员的工作和活动范围应当被限制在完成其任务的最小范围内。
信息网络关键岗位的人选如:安全负责人、安全管理员、网络管理员、安全分析员、安全设备操作员、保密员,必须通过严格的政审,并要考核其业务能力。关键岗位人员不得兼职。
4.人员考核
(1)建立人员考核制度
人事部门要定期组织对信息网络所有的工作人员,从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核合格者应给予表扬和奖励。不合格的应予以教育、批评或处罚。对于考核发现有违反安全法规行为的人员,或发现不适合接触信息网络的人员要及时调离岗位,不应让其再接触网络。
(2)签订保密合同
计算机信息网络所涉及的工作人员(长期或临时),应签订保密合同,承诺其对网络应尽的安全保密义务,保证在岗工作期间和离岗后一定时期内,均不得违反保密合同、泄漏网络秘密。保密合同的内容应符合国家有关规定,对违反保密合同的应设有惩罚条款,对接触机密信息 的人员应规定在离岗的相应时间内不得离境。
5.人员调离管理
对调离人员,特别是因不适合安全管理要求而被调离的人,必须严格办理调离手续,进行调离谈话,承诺其调离后的保密义务,交回所有钥匙及证件,退还技术手册、软件及有关资料。网络必须及时更换口令和开机要锁,撤销其用过的所有帐号。
重要机房或岗位的工作人员一旦辞职或调离,应立即撤销其出入安全区域、接触敏感信息的授权。
二、物理安全方面的管理制度
在信息网络安全管理中,我们还应该考虑到信息网络的运行环境(机房)安全、设备安全和介质安全、网络设施的安全。因此应建立机房安全管理制度、主机设备安全管理制度、网络设施安全管理制度、物理设施及分类标记安全管理制度。
1.机房管理制度
(1)机房出入管理制度。机房是中心计算机设备和网络核心交换设备的运行区,应该保证这里是一个安全区域,办公区与运行区应该从区域上隔离开,进人运行区的出入口要有可靠的限制控制和监督措施。
(2)机房区域防护制度:主要包括对机房与其他区域隔离及区域防护。
(3)出入控制制度:机房进出的控制;重要运行区的控制;携带物品的限制。
(4)会客制度:报告批准制度;会客区域限制;时间限制。
2.危险品管理制度 3.卫生管理制度 包括卫生责任人;防尘和除尘措施,清扫机房制度;桌面清理制度。4.防火管理制度
包括防火责任人;防火预案;各类报警器材及消防器材的年检,消防与报警器材的更换;防火疏散方案,紧急出口管理,重要设备、设施、数据的抢救方案,以及上述各项的定期培训与演练制度等。
5.机房环境检查制度
如对温湿度的检测、接地情况检测、静电检测等。6.机房报警制度
包括报警器和电话;报警演练制度。机房应安装视频监控设备、设备应保证供电。
7.设备管理制度(1)设备采购管理 ①设备选型
信息网络安全专用产品的采购应该注意以下一些问题: 严禁采购和使用无信息安全产品销售许可证的产品。采购和使用的安全产品必须与信息网络的等级相一致。密码产品必须通过国家密码管理部门的认可。
尽可能地选择国内的安全产品,特别是重要的信息网络。安全产品本身是否具备可管理性,是否可联动。②设备检测:所使用设备应符合国家的标准。
③设备购置安装:要求获得批准后,方可购置,并在测试环境下经过72小时以上的单机运行,测试网络兼容性。设备试运行之后,投入正式运行。
④设备登记:对所有设备应建立项目齐全的登记管理,购置、移动、使用、维护、维修、报废等记录要很好保存。
(2)设备使用管理
每台设备的使用均应由专人负责,重要的设备要建立详细的运行日志。
设备管理人的主要职责包括:
①负责设备的使用登记,内容包括运行起止时间、累计运行时间及运行状态等。
②日常保养维护,对重要设备要有维护记录,保证设备处于最佳状态,一旦设备出现故障,要填写故障报告,通知有关人员处置。
②保证设备在出厂说明书的使用环境下工作,如温度、湿度、电压、电磁兼容性、除尘等。
⑤制定有关电源设备、空调设备、防水防盗、消防等防范设备的管理规章制度,明确专人负责设备维护和制度实施。
(3)设备维修管理
设备应有专人进行维修,并建立满足正常运行最低要求的易损件备份库。
根据每台设备的资质情况及网络的可靠性等级,制定预防性维修计划,对网络进行维修时,应实施数据保护措施;安全设备维修时,应有安全管理员在场,对设备进行维修时,必须记录维修对象、故障原因、排除方法、主要维修过程、更换的部件及其他维修情况。
对设备应规定折旧期.专业技术人员对设备进行鉴定和残值估价,并对设备情况进行详细登记,提出处理意见由主管领导和上级主管部门批准后报废处理。
(4)设备仓储管理
设备应有进出库领用和报废登记。
必须定期对储存设备进行清洁、核查及通电检测。安全产品及保密设备应单独储存并有相应的保护措施。
8.网络设施管理制度(1)传输线路
①局域网内部传输线路采用屏蔽电缆或光缆。②广域网传输线路必须采用专用同轴电缆或光缆。③线路必须穿金属管,室外长距离的要埋入地下。④对所有的传输线路必须提出明确的可用性指标。
⑤在传输线路上传送敏感信息必须按敏感信息的密级进行加密处理。
⑥对于重要的线路,要有防止搭线窃听措施,如有需要应该巡查。
(2)网络互联
①单位的网络与其他网络(包括与上下级内部网络)的连接都要符合国家有关规定,有些网络互联需要国家有关部门批准。
②涉及国家秘密信息网络的计算机网络,不得与其他任何不涉密的网络互联,确定需要互联的,首先要通过国家相关部门批准,并采取可靠的安全保密措施和技术方案。
③重要机关信息网络的计算机网络与内外计算机网络互联都必须统一传输入口。
(3)网络设备的管理.
①核心交换设备及路由器应运行在安全区内,并按设备管理制度加以管理。
②其他交换设备和路由器要有可靠的物理防护措施,做到防盗窃、防连接、防破坏。
③调制解调器管理,网络内不得私自连接调制解调器。
三、病毒防护管理制度 计算机防病毒管理包括:
①内部维护,部门定期组织对病毒的清、杀工作。
②在重要的计算机网络上不得使用未经批准的移动存储介质;对经批准使用的移动存储介质,不得随意连接本网络以外的计算机;对于重要的计算机,连接移动存储介质前,移动存储介质必须先在其他计算机上进行病毒检测,确认后才可使用。
③发现病毒后应立即组织检测和清除,如果不能完全清除;则应对感染的计算机进行隔离。
④要有病毒感染和清除结果记录。⑤杜绝空口令和弱口令。
⑥下班后或节假日应关闭计算机,特别是连接互联网的计算机。
四、网络互联安全管理制度
公共网络连接管理是指政府通过公共网络向公众发布指导信息的管理;为公众提供国家政策、法律、法规咨询服务的管理。对国家政府部门从网上获得有用信息的管理,在没有彻底解决安全防护措施问题之前,党政信息网络必须与公共网络从物理上切断,对外发布的信息,要保证其完整性以免损害政府形象,造成政治影响;对外提供的各类信息要准确、可靠、实效性好。
对登录互联网网络的管理,还要按互联网管理办法的要求,对上网人员的日志保留60天。
五、安全事件报告制度
发生下列事件之一的应视为安全事件:
①当网络受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
②当软件受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
③当软件遭到计算机病毒侵害,局部或全部的数据和功能受到损坏,使网络不能工作或使工作效率急剧下降。
④当物理设备被人为损坏,无法正常工作。
⑤当受到自然灾害的破坏,如地震、水灾、火灾、雷电。⑥当出现意外停电又没有后备电源时。⑦当重要的关键岗位的人员不能上岗时。
⑧对发生的安全事件应该有报告制度和渠道。对于较明确的案件要在24小时之内向地市级公安机关报告。
五、安全事件报告制度
发生下列事件之一的应视为安全事件:
①当网络受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
②当软件受到破坏性攻击时,不能正常发挥或部分不能正常发挥其功能时。
③当软件遭到计算机病毒侵害,局部或全部的数据和功能受到损坏,使网络不能工作或使工作效率急剧下降。
④当物理设备被人为损坏,无法正常工作。
⑤当受到自然灾害的破坏,如地震、水灾、火灾、雷电。⑥当出现意外停电又没有后备电源时。⑦当重要的关键岗位的人员不能上岗时。
⑧对发生的安全事件应该有报告制度和渠道。对于较明确的案件要在24小时之内向地市级公安机关报告。
⑤应付紧急情况的具体步骤也应贴在墙上。如:如何使用备份设备、紧急情况下关机步骤等。
⑥应定期进行应急计划实施演习,保证每个网络值班人员都能正确实施应急计划。
⑦除了必须备份的基本数据文件,如:操作网络、数据库管理网络、应用程序等以外,各单位必须根据自己的实际情况定出需备份的数据文件。
⑧必须在机房附近存放一套备份文件的副本,以便紧急情况下能迅速取出。
⑨重要的实时网络在建立时就应考虑设备备份。如:CPU备份、主机备份、网络备份等。备份应注意:
.备份网络应安装在与主机房有一定距离的备份机房;
.备份机房应具有与主机房相同的安全标准与措施;
.备份网络必须定期进行实际运行,以检验备份设备的可靠性;
.在对数据完整性要求较高的场合,必须采取严格的数据备份措施,以保证数据的可靠恢复。
七、口令管理
①口令长度要根据信息网络处理信息的敏感程度来决定。口令应长达10—12位。
②若采用人工输人口令方式,用户应该安全保管自己的口令,不应把口令记载在易泄露的介质上,严禁将口令贴在终端上,输入的口令不能在屏幕上显示。
③口令的变更期限按访问的等级确定,一般由网络管理员更换。④口令必须有一定的复杂度:数字、字母、特殊符号不能少于其中两种。
⑤口令传送必须加密,并与用户身份识别标识一一对照。⑥口令必须可以追踪。
⑦口令必须加密存储,口令的访问、修改、删除必须有专门授权执行,并有备份记录。
八、信息披露与发布审批管理制度
单位的信息披露和发布要有严格的审核、审批制度。披露和发布的信息应该由产生这些源信息的部门提出,这些部门应该有信息审核员,对信息进行审核,并报送单位主管领导审批。
披露和发布的信息审核要注重以下几个方面:
①是否含有国家或单位的秘密信息、商业秘密信息、敏感信息。②是否含有个人的隐私信息。
③是否含有危害国家政治安全、社会稳定和经济建设的信息。④是否含有对信息受众人群的误导信息。⑤是否含有虚假信息。
【安全生产责任制ppt】推荐阅读:
安全生产责任制是根据我国的安全生产方针11-03
安全生产责任制08-22
生产部门安全责任制06-24
发布安全生产责任制06-12
工种安全生产责任制08-18
安全生产责任制矿09-04
安全管理机构安全生产责任制综述08-22
安全生产责任制的方针06-20
特殊工种安全生产责任制07-14
安监处安全生产责任制07-25