信息安全等級保護管理辦法16篇

第1篇 信息安全等級保護管理辦法

第一章 總則

第一條

為規(guī)范信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設(shè),根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律法規(guī),制定本辦法。

第二條

國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。

第三條

公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。

第四條

信息系統(tǒng)主管部門應當依照本辦法及相關(guān)標準規(guī)范,督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。

第五條

信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關(guān)標準規(guī)范,履行信息安全等級保護的義務和責任。

第二章 等級劃分與保護

第六條

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

第七條

信息系統(tǒng)的安全保護等級分為以下五級:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。

第八條

信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標準對信息系統(tǒng)進行保護,國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。

第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。

第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。

第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。

第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。

第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。

第三章 等級保護的實施與管理

第九條

信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。

第十條

信息系統(tǒng)運營、使用單位應當依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的,應當經(jīng)主管部門審核批準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。

對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。

第十一條

信息系統(tǒng)的安全保護等級確定后,運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作。

第十二條

在信息系統(tǒng)建設(shè)過程中,運營、使用單位應當按照《計算機信息系統(tǒng)安全保護等級劃分準則》(gb17859-1999)、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標準,參照《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(gb/t20271-2006)、《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(gb/t20270-2006)、《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(gb/t20272-2006)、《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(gb/t20273-2006)、《信息安全技術(shù) 服務器技術(shù)要求》、《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(ga/t671-2006)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。

第十三條

運營、使用單位應當參照《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(gb/t20269-2006)、《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(gb/t20282-2006)、《信息系統(tǒng)安全等級保護基本要求》等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。

第十四條

信息系統(tǒng)建設(shè)完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu),依據(jù)《信息系統(tǒng)安全等級保護測評要求》等技術(shù)標準,定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評,第四級信息系統(tǒng)應當每半年至少進行一次等級測評,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。

信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查,第四級信息系統(tǒng)應當每半年至少進行一次自查,第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。

經(jīng)測評或者自查,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營、使用單位應當制定方案進行整改。

第十五條

已運營(運行)的第二級以上信息系統(tǒng),應當在安全保護等級確定后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

新建第二級以上信息系統(tǒng),應當在投入運行后30日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。

隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng),應當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。

第十六條

辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應當填寫《信息系統(tǒng)安全等級保護備案表》,第三級以上信息系統(tǒng)應當同時提供以下材料:

(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;

(二)系統(tǒng)安全組織機構(gòu)和管理制度;

(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;

(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;

(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;

(六)信息系統(tǒng)安全保護等級專家評審意見;

(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。

第十七條

信息系統(tǒng)備案后,公安機關(guān)應當對信息系統(tǒng)的備案情況進行審核,對符合等級保護要求的,應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明;發(fā)現(xiàn)不符合本辦法及有關(guān)標準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級不準的,應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。

運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后,應當按照本辦法向公安機關(guān)重新備案。

第十八條

受理備案的公安機關(guān)應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次,對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應當會同其主管部門進行。

對第五級信息系統(tǒng),應當由國家指定的專門部門進行檢查。

公安機關(guān)、國家指定的專門部門應當對下列事項進行檢查:

(一) 信息系統(tǒng)安全需求是否發(fā)生變化,原定保護等級是否準確;

(二) 運營、使用單位安全管理制度、措施的落實情況;

(三) 運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況;

(四) 系統(tǒng)安全等級測評是否符合要求;

(五) 信息安全產(chǎn)品使用是否符合要求;

(六) 信息系統(tǒng)安全整改情況;

(七) 備案材料與運營、使用單位、信息系統(tǒng)的符合情況;

(八) 其他應當進行監(jiān)督檢查的事項。

第十九條

信息系統(tǒng)運營、使用單位應當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導,如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件:

(一) 信息系統(tǒng)備案事項變更情況;

(二) 安全組織、人員的變動情況;

(三) 信息安全管理制度、措施變更情況;

(四) 信息系統(tǒng)運行狀況記錄;

(五) 運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄;

(六) 對信息系統(tǒng)開展等級測評的技術(shù)測評報告;

(七) 信息安全產(chǎn)品使用的變更情況;

(八) 信息安全事件應急預案,信息安全事件應急處置結(jié)果報告;

(九) 信息系統(tǒng)安全建設(shè)、整改結(jié)果報告。

第二十條

公安機關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的,應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求,按照管理規(guī)范和技術(shù)標準進行整改。整改完成后,應當將整改報告向公安機關(guān)備案。必要時,公安機關(guān)可以對整改情況組織檢查。

第二十一條

第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:

(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;

(二)產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán);

(三)產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術(shù)人員無犯罪記錄;

(四)產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能;

(五)對國家安全、社會秩序、公共利益不構(gòu)成危害;

(六)對已列入信息安全產(chǎn)品認證目錄的,應當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。

第二十二條

第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構(gòu)進行測評:

(一) 在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);

(二) 由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);

(三) 從事相關(guān)檢測評估工作兩年以上,無違法記錄;

(四) 工作人員僅限于中國公民;

(五) 法人及主要業(yè)務、技術(shù)人員無犯罪記錄;

(六) 使用的技術(shù)裝備、設(shè)施應當符合本辦法對信息安全產(chǎn)品的要求;

(七) 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度;

(八) 對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第二十三條

從事信息系統(tǒng)安全等級測評的機構(gòu),應當履行下列義務:

(一)遵守國家有關(guān)法律法規(guī)和技術(shù)標準,提供安全、客觀、公正的檢測評估服務,保證測評的質(zhì)量和效果;

(二)保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私,防范測評風險;

(三)對測評人員進行安全保密教育,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。

第四章 涉密信息系統(tǒng)的分級保護管理

第二十四條

涉密信息系統(tǒng)應當依據(jù)國家信息安全等級保護的基本要求,按照國家保密工作部門有關(guān)涉密信息系統(tǒng)分級保護的管理規(guī)定和技術(shù)標準,結(jié)合系統(tǒng)實際情況進行保護。

非涉密信息系統(tǒng)不得處理國家秘密信息。

第二十五條

涉密信息系統(tǒng)按照所處理信息的最高密級,由低到高分為秘密、機密、絕密三個等級。

涉密信息系統(tǒng)建設(shè)使用單位應當在信息規(guī)范定密的基礎(chǔ)上,依據(jù)涉密信息系統(tǒng)分級保護管理辦法和國家保密標準bmb17-2006《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》確定系統(tǒng)等級。對于包含多個安全域的涉密信息系統(tǒng),各安全域可以分別確定保護等級。

保密工作部門和機構(gòu)應當監(jiān)督指導涉密信息系統(tǒng)建設(shè)使用單位準確、合理地進行系統(tǒng)定級。

第二十六條

涉密信息系統(tǒng)建設(shè)使用單位應當將涉密信息系統(tǒng)定級和建設(shè)使用情況,及時上報業(yè)務主管部門的保密工作機構(gòu)和負責系統(tǒng)審批的保密工作部門備案,并接受保密部門的監(jiān)督、檢查、指導。

第二十七條

涉密信息系統(tǒng)建設(shè)使用單位應當選擇具有涉密集成資質(zhì)的單位承擔或者參與涉密信息系統(tǒng)的設(shè)計與實施。

涉密信息系統(tǒng)建設(shè)使用單位應當依據(jù)涉密信息系統(tǒng)分級保護管理規(guī)范和技術(shù)標準,按照秘密、機密、絕密三級的不同要求,結(jié)合系統(tǒng)實際進行方案設(shè)計,實施分級保護,其保護水平總體上不低于國家信息安全等級保護第三級、第四級、第五級的水平。

第二十八條

涉密信息系統(tǒng)使用的信息安全保密產(chǎn)品原則上應當選用國產(chǎn)品,并應當通過國家保密局授權(quán)的檢測機構(gòu)依據(jù)有關(guān)國家保密標準進行的檢測,通過檢測的產(chǎn)品由國家保密局審核發(fā)布目錄。

第二十九條

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)工程實施結(jié)束后,應當向保密工作部門提出申請,由國家保密局授權(quán)的系統(tǒng)測評機構(gòu)依據(jù)國家保密標準bmb22-2007《涉及國家秘密的計算機信息系統(tǒng)分級保護測評指南》,對涉密信息系統(tǒng)進行安全保密測評。

涉密信息系統(tǒng)建設(shè)使用單位在系統(tǒng)投入使用前,應當按照《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》,向設(shè)區(qū)的市級以上保密工作部門申請進行系統(tǒng)審批,涉密信息系統(tǒng)通過審批后方可投入使用。已投入使用的涉密信息系統(tǒng),其建設(shè)使用單位在按照分級保護要求完成系統(tǒng)整改后,應當向保密工作部門備案。

第三十條

涉密信息系統(tǒng)建設(shè)使用單位在申請系統(tǒng)審批或者備案時,應當提交以下材料:

(一)系統(tǒng)設(shè)計、實施方案及審查論證意見;

(二)系統(tǒng)承建單位資質(zhì)證明材料;

(三)系統(tǒng)建設(shè)和工程監(jiān)理情況報告;

(四)系統(tǒng)安全保密檢測評估報告;

(五)系統(tǒng)安全保密組織機構(gòu)和管理制度情況;

(六)其他有關(guān)材料。

第三十一條

涉密信息系統(tǒng)發(fā)生涉密等級、連接范圍、環(huán)境設(shè)施、主要應用、安全保密管理責任單位變更時,其建設(shè)使用單位應當及時向負責審批的保密工作部門報告。保密工作部門應當根據(jù)實際情況,決定是否對其重新進行測評和審批。

第三十二條

涉密信息系統(tǒng)建設(shè)使用單位應當依據(jù)國家保密標準bmb20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》,加強涉密信息系統(tǒng)運行中的保密管理,定期進行風險評估,消除泄密隱患和漏洞。

第三十三條

國家和地方各級保密工作部門依法對各地區(qū)、各部門涉密信息系統(tǒng)分級保護工作實施監(jiān)督管理,并做好以下工作:

(一)指導、監(jiān)督和檢查分級保護工作的開展;

(二)指導涉密信息系統(tǒng)建設(shè)使用單位規(guī)范信息定密,合理確定系統(tǒng)保護等級;

(三)參與涉密信息系統(tǒng)分級保護方案論證,指導建設(shè)使用單位做好保密設(shè)施的同步規(guī)劃設(shè)計;

(四)依法對涉密信息系統(tǒng)集成資質(zhì)單位進行監(jiān)督管理;

(五)嚴格進行系統(tǒng)測評和審批工作,監(jiān)督檢查涉密信息系統(tǒng)建設(shè)使用單位分級保護管理制度和技術(shù)措施的落實情況;

(六)加強涉密信息系統(tǒng)運行中的保密監(jiān)督檢查。對秘密級、機密級信息系統(tǒng)每兩年至少進行一次保密檢查或者系統(tǒng)測評,對絕密級信息系統(tǒng)每年至少進行一次保密檢查或者系統(tǒng)測評;

(七)了解掌握各級各類涉密信息系統(tǒng)的管理使用情況,及時發(fā)現(xiàn)和查處各種違規(guī)違法行為和泄密事件。

第五章 信息安全等級保護的密碼管理

第三十四條

國家密碼管理部門對信息安全等級保護的密碼實行分類分級管理。根據(jù)被保護對象在國家安全、社會穩(wěn)定、經(jīng)濟建設(shè)中的作用和重要程度,被保護對象的安全防護要求和涉密程度,被保護對象被破壞后的危害程度以及密碼使用部門的性質(zhì)等,確定密碼的等級保護準則。

信息系統(tǒng)運營、使用單位采用密碼進行等級保護的,應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術(shù)要求》等密碼管理規(guī)定和相關(guān)標準。

第三十五條

信息系統(tǒng)安全等級保護中密碼的配備、使用和管理等,應當嚴格執(zhí)行國家密碼管理的有關(guān)規(guī)定。

第三十六條

信息系統(tǒng)運營、使用單位應當充分運用密碼技術(shù)對信息系統(tǒng)進行保護。采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的,應報經(jīng)國家密碼管理局審批,密碼的設(shè)計、實施、使用、運行維護和日常管理等,應當按照國家密碼管理有關(guān)規(guī)定和相關(guān)標準執(zhí)行;采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的,須遵守《商用密碼管理條例》和密碼分類分級保護有關(guān)規(guī)定與相關(guān)標準,其密碼的配備使用情況應當向國家密碼管理機構(gòu)備案。

第三十七條

運用密碼技術(shù)對信息系統(tǒng)進行系統(tǒng)等級保護建設(shè)和整改的,必須采用經(jīng)國家密碼管理部門批準使用或者準于銷售的密碼產(chǎn)品進行安全保護,不得采用國外引進或者擅自研制的密碼產(chǎn)品;未經(jīng)批準不得采用含有加密功能的進口信息技術(shù)產(chǎn)品。

第三十八條

信息系統(tǒng)中的密碼及密碼設(shè)備的測評工作由國家密碼管理局認可的測評機構(gòu)承擔,其他任何部門、單位和個人不得對密碼進行評測和監(jiān)控。

第三十九條

各級密碼管理部門可以定期或者不定期對信息系統(tǒng)等級保護工作中密碼配備、使用和管理的情況進行檢查和測評,對重要涉密信息系統(tǒng)的密碼配備、使用和管理情況每兩年至少進行一次檢查和測評。在監(jiān)督檢查過程中,發(fā)現(xiàn)存在安全隱患或者違反密碼管理相關(guān)規(guī)定或者未達到密碼相關(guān)標準要求的,應當按照國家密碼管理的相關(guān)規(guī)定進行處置。

第六章 法律責任

第四十條

第三級以上信息系統(tǒng)運營、使用單位違反本辦法規(guī)定,有下列行為之一的,由公安機關(guān)、國家保密工作部門和國家密碼工作管理部門按照職責分工責令其限期改正;逾期不改正的,給予警告,并向其上級主管部門通報情況,建議對其直接負責的主管人員和其他直接責任人員予以處理,并及時反饋處理結(jié)果:

(一) 未按本辦法規(guī)定備案、審批的;

(二) 未按本辦法規(guī)定落實安全管理制度、措施的;

(三) 未按本辦法規(guī)定開展系統(tǒng)安全狀況檢查的;

(四) 未按本辦法規(guī)定開展系統(tǒng)安全技術(shù)測評的;

(五) 接到整改通知后,拒不整改的;

(六) 未按本辦法規(guī)定選擇使用信息安全產(chǎn)品和測評機構(gòu)的;

(七) 未按本辦法規(guī)定如實提供有關(guān)文件和證明材料的;

(八) 違反保密管理規(guī)定的;

(九) 違反密碼管理規(guī)定的;

(十) 違反本辦法其他規(guī)定的。

違反前款規(guī)定,造成嚴重損害的,由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第四十一條

信息安全監(jiān)管部門及其工作人員在履行監(jiān)督管理職責中,玩忽職守、濫用職權(quán)、徇私舞弊的,依法給予行政處分;構(gòu)成犯罪的,依法追究刑事責任。

第七章 附則

第四十二條

已運行信息系統(tǒng)的運營、使用單位自本辦法施行之日起180日內(nèi)確定信息系統(tǒng)的安全保護等級;新建信息系統(tǒng)在設(shè)計、規(guī)劃階段確定安全保護等級。

第四十三條

本辦法所稱“以上”包含本數(shù)(級)。

第四十四條

本辦法自發(fā)布之日起施行,《信息安全等級保護管理辦法(試行)》(公通字[2006]7號)同時廢止。

第2篇 安全信息管理

“情況明，決心大，方法對”。這三條是管理工作最重要的原則。而這三條一條也離不開信息。只有靠信息的收集、傳輸和反饋以及對信息的分析才能作到情況明。只有靠信息的處理與分析，靠信息的輔助決策才能作到?jīng)Q心大。只有靠信息的控制才能作到方法對。

（一）安全信息

1． 信息

信息是對一切事物的概念及其運動狀態(tài)的表達，它的表達形式有數(shù)字、文字、信號、圖像等，這些形式是信息賴以表達、傳遞的載體，而這些形式所表述的內(nèi)容才是真正的信息。

2． 安全信息

安全信息是企業(yè)信息的一種，其原始信息在企業(yè)的各項安全活動中不斷地產(chǎn)生，經(jīng)安全數(shù)據(jù)處理系統(tǒng)加工整理之后送入系統(tǒng)的安全數(shù)據(jù)庫，成為安全系統(tǒng)用戶查詢、統(tǒng)計、打印報表所用的安全基礎(chǔ)信息?；A(chǔ)信息是一種結(jié)構(gòu)化的數(shù)據(jù)，它有兩大用處：首先，供用戶查詢。例如安全技術(shù)資料查詢、工傷統(tǒng)計分析及勞動防護用品管理報表等工作。其次，可為決策模型庫提供必要的數(shù)據(jù)，經(jīng)各類決策模型加工后成為企業(yè)安全管理的綜合信息是企業(yè)安全管理工作中的高級信息，它綜合反映企業(yè)安全活動的本質(zhì)特性——好與壞、正常與反常。它可以成為決策者賴以作出戰(zhàn)略性或戰(zhàn)斗性決策的依據(jù)，并為診斷企業(yè)安全生產(chǎn)的環(huán)境和狀態(tài)提供高級類型的數(shù)據(jù)。

應該強調(diào)指出的是，數(shù)字、文字、信號、圖像等通稱為數(shù)據(jù)，信息數(shù)據(jù)表達的內(nèi)容，但更主要的它又是用戶對數(shù)據(jù)的理解和解釋，因此從數(shù)據(jù)獲取信息的過程與用戶本人的素質(zhì)有極密切的關(guān)系。安全信息也是如此。所以值得一提的是，要獲得正確的、有價值的安全信息，必須不斷提高安全管理人員的素質(zhì)。

（二）安全信息的分類

1． 按信息發(fā)生的地點分

可分為廠內(nèi)和廠外兩類。企業(yè)是一個相對獨立的開系統(tǒng)，它必須經(jīng)常與外部的社會環(huán)境發(fā)生密切聯(lián)系，因此安全信息來源既有內(nèi)部的，也有外部的。

外部的安全信息：政府、工會和上級部門有關(guān)安全生產(chǎn)的方針、政策、法令、規(guī)程、標準、工作布置、通報、通知等，社會上的思潮、動態(tài)、書籍報刊雜志中有關(guān)安全的文章資料，外單位的工作安排、經(jīng)驗、事故案例、事故隱患、未遂事故，安全技術(shù)發(fā)展方面的技術(shù)成果，產(chǎn)品、動向等等。

在企業(yè)內(nèi)部，由于安全與生產(chǎn)相互依存，而生產(chǎn)經(jīng)營中信息流與物流、人流形影相隨，因此，時時處處存在著大量的安全信息。這些安全信息來自人、機（物）、環(huán)三方面及其交界處，種類繁多，數(shù)量龐雜，都與安全有關(guān)。例如，有工具、機械、設(shè)備的安全狀況的信息；有物質(zhì)安全的信息；有人機是否和諧配合的信息；有人與作業(yè)環(huán)境是否相協(xié)調(diào)的信息等等。在每一類信息中，都還有其具體內(nèi)容。比如人及人際間的安全信息，對單個人來講，有這個人的政治思想素質(zhì)、安全意識、自保意識、安全技術(shù)狀況、因人而異的生理和心理特點等中對人際來講，有該群體的目標協(xié)同工作的態(tài)度和潛力、相互依賴相互作用（如互保意識）的狀況等。第十五章“計算機輔助安全管理”中提到的管理信息的內(nèi)容就是我們過去管理工作中常用的一些。隨著信息管理的發(fā)展，管理信息的數(shù)量將越來越多，內(nèi)容越來越明確、越細致。

2． 按信息發(fā)生的規(guī)則性分

可分為日常信息和突發(fā)信息。

突發(fā)信息按其重要度進行分級，又可分為a、b、c三級。

a級：指影響人身安全，影響整機性能，造成全廠或部門停產(chǎn)等事故信息。

b級：指影響部門工作，危險性小于a級的信息。

c級：指日常安全問題，可由部門內(nèi)部處理、不必上報。

3．按信息的性質(zhì)分

可分為正常信息和異常信息。

4．按信息的影響范圍分

可分為全局的、局部的和基層的。

5．按信息的概括性分

可分為詳細的、摘要的和綜合的。

6．按信息的時效性分

可分為記載過去或預測未來。

安全信息管理系統(tǒng)中有信息源、信息中心、信息流、決策機構(gòu)、執(zhí)行機構(gòu)等基本組成部門和事先規(guī)定的信息傳遞及反饋流程。

安全信息管理系統(tǒng)示于圖3-2。

圖3-2 安全信息管理系統(tǒng)圖

（三）不同安全信息的含義及相互關(guān)系

1． 安全指令信息

國家和上級機關(guān)制定的有關(guān)安全的各項政策、法令、標準、計劃以及企業(yè)制定的安全生產(chǎn)方針、目標、計劃、技術(shù)標準、管理標準等，既是安全管理活動中的指令和原則，又是安全信息管理中進行比較、判別的標準。

2． 安全動態(tài)信息

安全動態(tài)信息是執(zhí)行指令過程的情況反映。

3． 安全反饋信息

安全反饋信息是指執(zhí)行安全指令過程中產(chǎn)生的偏差信息，也就是把執(zhí)行指令結(jié)果和有關(guān)標準進行比較后認為異常的信息。反饋信息返回決策部門產(chǎn)生新的調(diào)節(jié)指令，達到糾正偏差的目的。由于它發(fā)生的時間、地點等常常難以預知，所以也稱之為突發(fā)信息。

用安全指令信息來指揮。通過掌握安全動態(tài)信息來監(jiān)督指令執(zhí)行的情況；通過安全反饋信息來進行調(diào)節(jié)和控制、并以此來保證安全管理體系的正常運行。這就是三種不同功能安全信息的相互關(guān)系，如圖3-1所示。

圖3-1三種不同功能安全信息的關(guān)系

（四）利用安全信息加強安全管理

信息可分成收集、傳遞、加工處理、儲存、使用和更新等環(huán)節(jié)。這些環(huán)節(jié)就是我們在實際工作中要著手和加強的。下列一些方法是我們工作中需要考慮和重視的。

1． 建立健全安全信息體系

各級領(lǐng)導和工作人員都應提高信息覺悟，有意識、主動地收集和接受安全信息，安全人員更應拿出全部智慧去積極收集、研究和處理安全信息。信息體系的建立往往和企業(yè)的組織形式有關(guān)，例如，有的（主要是小企業(yè)）是直線型組織形式，即廠長直接指揮車間主任，車間主任直接指揮班組長；有的（主要是部分中型企業(yè)）是職能型組織形式，即車間不僅接受廠長的直接指揮，而且接受職能科室的直接揮指；有的（大部分中、大型企業(yè)和小部分小型企業(yè)）是直線職能型組織形式，即車間按受廠長的直接指揮并接受科室的信息指導，科室負責協(xié)調(diào)監(jiān)督；有的（極少數(shù)大企業(yè)）是矩降型組織形式，既有縱向職能部門，又有橫向產(chǎn)品（或項目）部門的組織結(jié)構(gòu)，它既保證縱向領(lǐng)導，又保證橫向聯(lián)系。無容何種組織形式，各企業(yè)應結(jié)合企業(yè)的實際情況，按照安全生產(chǎn)責任制，建立和健全縱向到底橫向到邊的以安全管理機構(gòu)為核心和主干的信息體系和信息收集傳遞的制度，必要時，結(jié)合企業(yè)管理或單獨進行某些機構(gòu)和人員的調(diào)整。值得指出的是，由于安全系統(tǒng)是企業(yè)的一個子系統(tǒng)，該系統(tǒng)的變化也會引起整個企業(yè)系統(tǒng)的變化，例如，多年的實踐表明，安全管理水平的提高有效地促進了企業(yè)整體管理水平的提高。

2． 結(jié)合具體的安全工作，加強安全信息的傳輸和反饋

在引入和采用安全科學管理各種體制和方法時，例如，在執(zhí)行pdca循環(huán)過程中，應著力安全管理信息的收集、傳輸和反饋工作，并提高我們的安全信息管理水平，二者又會互相促進。圖3-3是安全信息管理過程示意圖。

圖3-3安全信息管理過程示意圖

3． 重視生產(chǎn)第一線的安全信息

事故主要發(fā)生在生產(chǎn)現(xiàn)場，事故的發(fā)生源存在于每一生產(chǎn)作業(yè)單元之中，必須重視來自生產(chǎn)現(xiàn)場的安全信息。要努力從車間、班組的安全活動中收集重要的安全情報和危險信息，要查閱并分析車間和班組的安全記錄，要深入現(xiàn)場去獲取信息，對發(fā)現(xiàn)的問題要及時予以解決，并收集反饋信息。

4． 要重視能量轉(zhuǎn)移的信息

生產(chǎn)系統(tǒng)中的人、機器和物質(zhì)材料都具有一定的能量。按照安全科學管理的觀點，事故是能量的不正常轉(zhuǎn)移成能量與人的接觸。例如，勢能會引起從腳手架、梯子、跳板、井筒等高處墜落下來，具有勢能物體的崩落（如礦井的冒頂事故）可能擊傷、壓傷人體；電能系統(tǒng)如果不完善，可能使人遭受電擊；皮帶、齒輪、各種刀具、凸出的軸頭等機械部件的動能會逆流于人體，過多的熱量會引起火災或爆炸，化學能會逆流于人體，影響企業(yè)的安全生產(chǎn)。為使能量按規(guī)定程序或軌道運行，就應當利用能量轉(zhuǎn)移的信息對能量進行管理，或者阻止能量不正常轉(zhuǎn)移和采用一些防護措施，如安全閥、防火門、安全帽、手套、雙重絕緣工具等。

5． 加工處理安全信息

對信息的加工處理不應是簡單地記錄和堆砌，應當從安全觀點出發(fā)作詳細分析，去粗取精，去偽存真，從中歸納出對各管理層有決策意義的信息，指導安全生產(chǎn)。這是必須加強、總結(jié)和提高的薄弱環(huán)節(jié)之一。因此,處理中心的功能要強。

安全信息的研究給我們提供了美好的前景，但目前尚無完美的模式，要實現(xiàn)這個前景，需要我們安技人員勇于探索，需要我們付出艱辛的勞動。

第3篇 涉密計算機及信息系統(tǒng)安全和保密管理辦法

第一條 為加強公司涉密計算機及涉密計算機信息系統(tǒng)的安全保密管理，根據(jù)國家有關(guān)保密法規(guī)和鐵道部的有關(guān)規(guī)定，結(jié)合哈佳鐵路客運專線有限責任公司（以下簡稱“公司”）實際，制定本辦法。

第二條 本辦法所稱的涉密計算機，是指專門用于處理或存儲國家秘密信息、收發(fā)文電、連接互聯(lián)網(wǎng)的臺式計算機；涉密計算機信息系統(tǒng)，是指專門用于處理國家秘密信息的計算機信息系統(tǒng)。

第三條 為確保國家秘密、公司工程項目相關(guān)技術(shù)資料的安全，公司各部門或個人不得使用便攜式計算機處理國家秘密信息。

第四條 公司設(shè)保密領(lǐng)導小組，具體負責公司內(nèi)部的涉密計算機及信息系統(tǒng)的安全保密管理工作，日常保密管理、監(jiān)督職責如下：

（一）審查、選定專人分別作為涉密計算機信息及信息系統(tǒng)的系統(tǒng)管理員、安全保密管理員和密鑰口令管理員，要求職責清晰，分工明確。

（二）定期對涉密計算機、涉密計算機信息系統(tǒng)以及涉密移動存儲介質(zhì)的使用、保管情況進行安全保密檢查，及時消除隱患。

（三）加強對有關(guān)人員的安全保密教育，建立健全保密規(guī)章制度，完善各項保密防范措施。

第五條? 涉密計算機日常管理人員是涉密計算機安全保密的責任人，其日常保密管理監(jiān)督職責如下：

（一）對計算機及軟件安裝情況進行登記備案，定期核查。

（二）設(shè)置開機口令，長度在8個字符以上，并定期更換，防止他人盜用和破譯。

（三）不得安裝、運行、使用與工作無關(guān)的軟件。

（四）應在涉密計算機的顯著位置進行標識，不得讓其他無關(guān)人員使用涉密計算機。

（五）未安裝隔離卡的涉密計算機單機，管理人員應拆除網(wǎng)卡，嚴禁涉密計算機上網(wǎng)；已安裝隔離卡的涉密計算機應嚴格按照正確方法使用，嚴禁他人在外網(wǎng)上處理（即打開、查看、拷貝、傳遞涉密文件）和存儲任何涉密信息；嚴禁他人在外網(wǎng)上使用涉密移動存儲介質(zhì)。

（六）定期做好涉密計算機的病毒查殺、防治和系統(tǒng)升級工作，及時進行數(shù)據(jù)備份，防止涉密信息的意外丟失。

第六條 涉密計算機信息系統(tǒng)的管理人員由系統(tǒng)管理員、安全保密管理員和密鑰口令管理員組成，具體職責如下：

（一）系統(tǒng)管理員負責涉密計算機信息系統(tǒng)的登錄權(quán)限分配、訪問控制和日常維護及修理，保證系統(tǒng)和單機的正常運行。定期開展涉密計算機信息系統(tǒng)重要數(shù)據(jù)的備份工作，防止因系統(tǒng)的損壞或意外造成的數(shù)據(jù)丟失。

（二）安全保密管理員負責涉密計算機信息系統(tǒng)的病毒防治、安全審計等工作，并負責對系統(tǒng)的運行進行安全保密監(jiān)視。

（三）密鑰口令管理員負責定期更換并管理系統(tǒng)登錄口令、開機密碼及部分重要程序和文件的密鑰，保證口令和密鑰的安全。對集中產(chǎn)生的涉密計算機信息系統(tǒng)口令，應定期分發(fā)并更改，不得由用戶自行產(chǎn)生。處理秘密級信息的系統(tǒng)，口令長度不得少于8個字符，口令更換周期不得超過一個月；處理機密級信息的系統(tǒng)，口令長度不得少于10個字符，口令更改周期不得超過一周?？诹畋仨毤用艽鎯?，口令在網(wǎng)絡(luò)中必須加密傳輸，口令的存放載體必須保證物理安全。

第七條 涉密計算機信息系統(tǒng)實行“同步建設(shè)、嚴格審批、注重防范、規(guī)范管理”的保密管理原則。

第八條 涉密計算機及信息系統(tǒng)所在的場所，必須采取必要的安全防護措施，安裝防盜門窗和報警器，并指定專人進行日常管理，嚴禁無關(guān)人員進入該場所。

第九條 涉密計算機及信息系統(tǒng)不得直接或間接與國際互聯(lián)網(wǎng)連接，必須實行嚴格的物理隔離，并采取相應的防電磁信息泄漏的保密措施。

第十條 涉密計算機按所存儲和處理的涉密信息的最高密級進行標識；對涉密計算機信息系統(tǒng)的服務器，應按本系統(tǒng)所存儲和處理的涉密信息的最高級別進行標識。

第十一條 涉密計算機中的涉密信息應有相應的密級標識，密級標識不能與正文分離。對圖形、程序等首頁無法標注的，應標注在文件名后。打印輸出的涉密文件、資料，應按相應的密級文件進行管理。

第十二條 涉密計算機的維修或銷毀一般應由公司人員在本公司內(nèi)部進行，并應確保秘密信息在維修、銷毀過程中不被泄露。公司不具備自行維修、銷毀條件的，應報公司主管領(lǐng)導批準，委托保密部門認定的定點單位進行維修或銷毀。銷毀涉密存儲介質(zhì)，應采用物理或化學的方法徹底銷毀。

第十三條 對于違反本辦法的有關(guān)人員，應給予批評教育，責令其限期整改；造成泄密的，公司將根據(jù)有關(guān)保密法規(guī)進行查處，追究有關(guān)人員泄密責任。

第十四條 本辦法由公司保密委員會負責解釋。

第十五條? 本辦法自發(fā)布之日起執(zhí)行。

第4篇 安全信息管理系統(tǒng)概述

一、管理信息系統(tǒng)的概念

所謂系統(tǒng)就是指由若干互相聯(lián)系、互相影響、互相制約的各個部分為了一定目標而組合在一起所形成的一個整體。構(gòu)成整體的各個組成部分,稱為子系統(tǒng)。假若以一個經(jīng)濟組織的會計作為一個系統(tǒng),而有關(guān)結(jié)算中心、會計報表、成本核算、資產(chǎn)臺帳和貨幣資金等則是它的子系統(tǒng)。至于有關(guān)供銷、生產(chǎn)、人事等方面的信息則屬于會計系統(tǒng)以外的環(huán)境系統(tǒng)。會計信息系統(tǒng)見圖10-2。

過去,國外大多數(shù)企業(yè)和我國一些先行單位,為了適應不同職能組織的需要,除了設(shè)立會計信息系統(tǒng)以外,還有生產(chǎn)技術(shù)、供銷、人事、后勤等科室也都分別設(shè)立適合于它們各自需要的信息系統(tǒng)。這樣一個企業(yè)就有若干信息管理系統(tǒng),易于發(fā)生重復勞動,同一原始資料要分別輸入若干個信息管理系統(tǒng)。如有關(guān)材料的采購、耗用、轉(zhuǎn)移、完工、職工的基本工資、出勤記錄等都要同時輸入若干個信息系統(tǒng)。這樣不僅出現(xiàn)重復勞動,易于發(fā)生差錯,而且更改也不方便,造成相互不協(xié)調(diào),成本也就比較高。

近年來在信息管理中提出綜合性管理系統(tǒng)。就是將一個經(jīng)濟組織作為一個系統(tǒng),而其生產(chǎn)、技術(shù)、會計、供銷、后勤、人事等職能業(yè)務則是這個系統(tǒng)下的各個子系統(tǒng)。實施綜合信息系統(tǒng)需要具有三個條件:

(1)分散的信息活動必須通過組織的集中統(tǒng)一安排;

(2)這些活動必須是整體的組成部分;

(3)這些活動必須由一個集中、獨立的信息中心加以處理。

這樣就能把企業(yè)看作一個整體,使一個數(shù)據(jù)多用,提高效率和更有效地使用信息,成本也可隨之降低。

二、綜合管理信息系統(tǒng)的建立

設(shè)計一個新的或改進一個現(xiàn)有的管理信息系統(tǒng),是一項既復雜又繁重的工作。首先要用系統(tǒng)分析的方法,對系統(tǒng)(包括子系統(tǒng))的本身范圍及其周圍環(huán)境的關(guān)系進行分析,提出若干設(shè)計方案,決定不同類型,不同管理層次的系統(tǒng),進行技術(shù)和經(jīng)濟的論證,層層提高設(shè)計質(zhì)量,消除不必要的重復勞動,然后加以評估比較,最后從中決定統(tǒng)一的綜合信息管理標準,包括經(jīng)濟信息分類、編碼和文件統(tǒng)一化工作。經(jīng)過試驗證明切實可行后,再應用到實際工作中去。其中要注意以下幾方面:

1.明確信息的需求

即對輸出的要求,要通過充分的調(diào)查研究,特別是管理中現(xiàn)有的信息種類,它們流轉(zhuǎn)的來龍去脈,由哪里產(chǎn)生,由誰傳遞,傳到何處,經(jīng)過怎樣處理,以什么形式輸出,供誰使用,是否可以“一數(shù)多用”,是否有別的來源替代,是否要保存等等。所以在建立過程中,專業(yè)人員與使用人員之間要經(jīng)常交換意見,使提供的各項信息都能滿足使用者的要求。

2.信息的收集和處理

這項工作的目的就是要改善信息總的質(zhì)量,一般包括五項內(nèi)容:

(1)檢核。要確定各項信息的可靠性的程度,包括來源的可靠性,數(shù)據(jù)的準確性和有效性等。

(2)整理。將輸入的信息和數(shù)據(jù)加以提煉整理,以符合規(guī)定的要求。

(3)編制索引。按規(guī)定編制索引,以供日后儲存和檢索。

(4)傳輸。將正確的信息及時提供給各級主管人員。

(5)存儲。要保存必需的數(shù)據(jù)資料和文件檔案,準備日后再次使用。

3.信息的使用

其主要目的是向各級主管人員適時地提供各種有關(guān)的信息。因此它與信息質(zhì)量有密切關(guān)系。信息的質(zhì)量主要是指信息的準確性、及時性以及提供的形式。只有保證一定質(zhì)量的管理信息系統(tǒng),才能在管理中發(fā)揮作用。

圖10-3為綜合性管理信息系統(tǒng)的一例。

圖中,該經(jīng)濟組織的各個子系統(tǒng)相互間有聯(lián)系和交叉,又與使用者系統(tǒng)有聯(lián)系。假若將一個工業(yè)部門或一個地區(qū)看作一個系統(tǒng),則各個企業(yè)又成為其子系統(tǒng),其范圍就更為廣泛了。

蘇聯(lián)在70年代已建成四級自動化綜合管理系統(tǒng)。它由基礎(chǔ)部份和功能部分組成。基礎(chǔ)部分包括組織經(jīng)濟基礎(chǔ)、信息庫、技術(shù)基礎(chǔ)和軟系統(tǒng)等四個方面。功能部分由實現(xiàn)一系列課題的職能子系統(tǒng)組成。所謂四個結(jié)構(gòu)層次是:國家級、中央部門和加盟共和國級、部門及共和國聯(lián)合公司級、基層企業(yè)級。全國數(shù)據(jù)傳遞系統(tǒng)把各部門,各主管機關(guān)的主要計算中心、各共和國管理機關(guān)的中心與全國自動化系統(tǒng)的總計算中心聯(lián)結(jié)起來。這就屬于更高階段的綜合性管理系統(tǒng)了。

目前我國除西藏外,各省市計委,統(tǒng)計局計算中心都安裝了ibm—4331或vs/80等電子計算機,正在逐步建立經(jīng)濟管理系統(tǒng)。

三、管理信息系統(tǒng)的基本工作內(nèi)容

實現(xiàn)對管理信息系統(tǒng)的基本要求,是通過信息的周轉(zhuǎn)過程實現(xiàn)的。信息的周轉(zhuǎn)過程,包括信息資料的獲取、加工、處理、傳輸、貯存等基本環(huán)節(jié)。這實際上也就是管理信息系統(tǒng)的基本工作內(nèi)容。要保證管理系統(tǒng)的有效運行,就必須使每個環(huán)節(jié)都能靈活而有效的運轉(zhuǎn),并形成互相協(xié)調(diào)、密切結(jié)合的系統(tǒng)有機體。

1.信息的獲取

信息收取是信息系統(tǒng)運行的第一步,也是重要的基礎(chǔ)。信息的質(zhì)量和信息系統(tǒng)其他環(huán)節(jié)的工作質(zhì)量,在很大程度上取決于原始信息的真實性和完整性。

2.信息的加工

原始的信息數(shù)以億萬計,作為管理決策使用的信息量,受人們接收信息能力的限制,不可太多。因此必須把大量的信息分成恰當?shù)膶哟?并且使最高管理層獲得少而精的反映出最基本最重要的情況。信息的加工處理,就是用科學的方法,對大量的原始信息進行篩選、分類、排序、比較和計算,去偽存真,使之系統(tǒng)化、條理化,以便保管、傳送和使用,節(jié)省人力、財力和時間,提高管理效能。信息的加工還包括信息分析,即通過對大量信息資料的研究,及時揭露矛盾,發(fā)現(xiàn)問題的苗頭,對管理活動進行評價。

3.信息的傳輸

信息只有從信息源及時傳送到使用者那里,才能起到應有作用。信息能否及時發(fā)出和到達,取決于信息傳輸?shù)墓δ?。信息的傳?要建立自己的傳輸通道系統(tǒng),形成信息流和信息網(wǎng)。管理組織機構(gòu)和組織體系決定系統(tǒng)內(nèi)部基本的信息傳輸通道,但除此以外,信息系統(tǒng)還通過多條渠道,實現(xiàn)直接的和間接的、縱向的和橫向的、縱橫交錯的多方面聯(lián)系?？梢?信息傳輸網(wǎng)是一個極為復雜和靈敏的系統(tǒng)。

4.信息的貯存

加工的信息,有的并非立即就用,有的雖然立即使用,但還要留作以后參考,所以產(chǎn)生了信息貯存和記憶的功能。信息貯存是信息在時間上的傳輸。通過信息貯存和積累,可以對客觀管理活動進行動態(tài)的系統(tǒng)和全面的研究。

第5篇 信息科安全管理職責

一、負責本礦安全隱患信息的收集、分析、匯總、上報。

二、負責當班井下各作業(yè)地點的隱患排查信息的收集和上報工作。

三、對一般隱患信息要及時報告當班處置員，在處置員力量不足的情況下，協(xié)助處置安全隱患。

四、信息科發(fā)現(xiàn)隱患時，有權(quán)對井下局部作業(yè)地點停止作業(yè)，發(fā)現(xiàn)重大隱患時有權(quán)對全礦井停止作業(yè)，撤出人員并及時上報中心。

五、對主扇風機'三薄'記錄不健全，附屬設(shè)施不完善的，要及時上報中心。

六、對采掘工作面無風、微風作業(yè)的有權(quán)停止。

七、對掘進工作面不進行探放水的，有權(quán)停止作業(yè)，并進行嚴厲處罰，建議中心辭退。

八、對當班沒有瓦斯員上班的工作面，有權(quán)停止當班作業(yè)。

九、對作業(yè)面瓦斯傳感器、一氧化碳傳感器不到位的要嚴厲處罰，對無傳感器的要停止作業(yè)，撤出人員。

十、對局扇風機無專人管理，無掛牌管理，未實行'風電閉鎖'的，有權(quán)停止掘進工作面作業(yè)。

十一、對灑水、防塵不到位的有權(quán)停止作業(yè)。

十二、對當班瓦斯員空檢、漏檢，不執(zhí)行瓦斯巡回路線的瓦斯員要進行嚴格處罰。

十三、對當班'三違'人員進行制止、處罰、教育。

十四、參加班前、班后會，收集職工思想安全隱患信息。

十五、對酒后入井、精神狀態(tài)不振的人員，有權(quán)停止當班作業(yè)。

十六、對穿化纖衣服，不佩戴自救器的工人，有權(quán)停止當班作業(yè)。

十七、對帶有煙草、引火物品入坑的工人，要進行嚴厲處罰停工。

十八、對跟班礦長不入坑的，有權(quán)停止當班作業(yè)。

十九、對當班掘進工作面不探水的，有權(quán)停止當班作業(yè)。

二十、對帶點檢修、帶點搬遷，有權(quán)停止作業(yè)，并進行處罰。

二十一、對違章排放瓦斯，有權(quán)停止作業(yè)并處罰。

二十二、對未經(jīng)培訓無證上崗人員，有權(quán)停止入井。

二十三、主要提升設(shè)備保護不全，禁止人員入井，對斜井、斜巷五'一坡三檔'裝置或裝置不全，失效的，對不執(zhí)行'行車不行人，行人不行車'規(guī)定的，要及時上報和處罰。

二十四、對人行車無煤安標志、防墜器和制動裝置失靈的，有權(quán)停止作業(yè)并上報中心。

二十五、對不執(zhí)行'一炮三檢'和'三人聯(lián)鎖放炮'的，有權(quán)制止和處罰。

二十六、對非爆破工領(lǐng)取雷管，炸藥雷管混運，工作面炸藥雷管未分箱存放，加鎖保管的，有權(quán)停工和處罰。

二十七、對炮眼無封泥、封泥不足或填充不實進行爆破的，有權(quán)停工和處罰。

二十八、對掘進工作面空頂作業(yè)，回采工作面端頭支護不到位，有權(quán)停工處罰并上報中心。

二十九、對井下施工質(zhì)量不達標準，有權(quán)停止作業(yè)并上報中心。

第6篇 信息系統(tǒng)密碼安全管理辦法

1.1制定目的

(1) 規(guī)范公司信息系統(tǒng)密碼管理。

(2) 確保網(wǎng)絡(luò)安全運行,保護信息系統(tǒng)、服務器不受侵害。

1.2適用范圍

凡隸屬本公司信息系統(tǒng)用戶,悉依照本辦法所規(guī)范之體制管理。

1.3權(quán)責單位

(1) 信息科負責本辦法制定、修改、廢止之起草工作。

(2) 總經(jīng)理負責本辦法、修改、廢止之核準。

2 信息系統(tǒng)密碼安全管理辦法

(1) 服務器、應用系統(tǒng)賬號和密碼要專人專管不得轉(zhuǎn)借他人使用。為了避免賬號被盜,密碼不定期更換,建議密碼長度不少于6位,建議數(shù)字與密碼組合使用。

(2) 如果用戶密碼忘記,需用戶本人親自申請恢復密碼。

(3) 擁有新賬戶的員工,需盡快修改初始密碼,防止賬號被盜用。

(4) 服務器和服務器數(shù)據(jù)庫超級用戶必須設(shè)置密碼,系統(tǒng)管理員嚴格保管數(shù)據(jù)庫和服務器的登錄密碼。

(5) 服務器和數(shù)據(jù)庫的超級用戶密碼設(shè)置位數(shù)必須大于10位。除數(shù)據(jù)庫的超級用戶密碼和服務器密碼不定期更換,其他密碼由信息中心工程師定期更換,操作時間為每月1號,并在信息總監(jiān)處以電子形式留有備份,提交備份時間為每月1號。 密碼類型 密碼長度 更換時間 服務器超級用戶密碼 大于10位 兩個月更換一次 數(shù)據(jù)庫超級用戶密碼 大于10位 設(shè)置好后不做更換 系統(tǒng)管理員密碼 大于6位 一個月更換一次 ftp及防火墻等管理員密碼 大于6位 一個月更換一次

(6) 機房工作人員應嚴格執(zhí)行密碼管理規(guī)定,對操作密碼定期更改,任何密碼不得外泄,如有因密碼外泄而造成各種損失的,由當事人負全部責任。

2022-2-1

第7篇 基于b／s與c／s模式的鐵路運輸安全管理信息系統(tǒng)

隨著我國鐵路運輸業(yè)的迅速發(fā)展，對鐵路運輸安全管理不斷提出新的要求。解決安全管理問題

一是要不斷提高員i的安全素質(zhì)，提高安全防范意識及事故處理能力；更重要的是運用安全管理信息技術(shù)，通過建立安全管理信息系統(tǒng)來提高安全管理水平，降低事故的發(fā)生。筆者綜合考慮c／s模式在信息管理、辦公自動化等事務處理和b／s模式在信息瀏覽、查詢和發(fā)布方面的優(yōu)勢，采用b／s和c／s模式相結(jié)合的混合模式開發(fā)了鐵路運輸安全管理信息系統(tǒng)。結(jié)合為某鐵路運輸企業(yè)開發(fā)的系統(tǒng)，論述了該系統(tǒng)的設(shè)計和實現(xiàn)。

1 系統(tǒng)研究現(xiàn)狀和目標

進入20世紀90年代以來，安全管理在企業(yè)中越來越受到重視，在發(fā)達國家，各種現(xiàn)代化的安全管理方法廣泛應用，由于其生產(chǎn)設(shè)備自動化程度很高，其安全管理大多包含在整個企業(yè)管理系統(tǒng)之內(nèi)。而在國內(nèi)的一些企業(yè)，安全管理多停留在宣傳、教育、定期安全檢查的水平上，而且多數(shù)是定性分析或事故后分析。這種管理手段落后、被動、反應慢，很難適應現(xiàn)代安全生產(chǎn)的要求，這種現(xiàn)象在鐵路運輸企業(yè)表現(xiàn)得尤為明顯。因此，迫切需要建立適合當代現(xiàn)有生產(chǎn)條件的安全管理模式，采用數(shù)學方法和計算機技術(shù)，建立企業(yè)的安全管理信息系統(tǒng)，這就為定量分析創(chuàng)造有力條件。定量分析將對進一步認識安全生產(chǎn)的規(guī)律，預測預報事故，防止和避免傷亡事故的發(fā)生產(chǎn)生積極作用，所以建立安全管理信息系統(tǒng)，是解決鐵路運輸企業(yè)安全問題的有效途徑。

鐵路運輸安全管理信息系統(tǒng)一方面對大量的歷史數(shù)據(jù)進行分類管理，向用戶提供可靠、及時的統(tǒng)計數(shù)據(jù)，使工作人員對以往的工作有總結(jié)性的認識；另一方面系統(tǒng)運用一定的數(shù)學方法對搜集到的數(shù)據(jù)進行分析處理，輔助安全部門前瞻性的分析安全形勢，及時發(fā)現(xiàn)安全工作中存在的問題，提前進行預防控制。據(jù)此筆者研制了安全管理信息系統(tǒng)，實現(xiàn)定性分析和定量分析相結(jié)合，力求把安全管理從傳統(tǒng)的事后追蹤變?yōu)槭虑邦A防控制。

2 系統(tǒng)開發(fā)方案

2．1 系統(tǒng)體系結(jié)構(gòu)

客戶／服務器(c／s，client／server)結(jié)構(gòu)是20世紀90年代開始流行的一種體系結(jié)構(gòu)，在c／s結(jié)構(gòu)下，應用系統(tǒng)被分成前臺(客戶機)和后臺(服務器)兩部分，應用處理由客戶端完成，數(shù)據(jù)訪問和事務處理由服務器承擔。c／s結(jié)構(gòu)其優(yōu)點體現(xiàn)在：①可靠的數(shù)據(jù)完整性和安全性控制；②高效的聯(lián)機事務處理性能；③很好的開放性和易擴充性；④高效的應用程序開發(fā)。

c／s結(jié)構(gòu)的應用系統(tǒng)易于擴展，處理效率更高。但這種模式具有內(nèi)在缺陷：客戶端具有平臺相關(guān)性；隨著應用邏輯和程序界面占用越來越多的硬件資源，客戶端變得越來越“胖”；客戶端管理復雜，維護困難。為解決c／s模式的內(nèi)在缺陷，出現(xiàn)了3層c／s模式結(jié)構(gòu)，這種模式把傳統(tǒng)c／s結(jié)構(gòu)中客戶端的應用邏輯分離開來，形成一個單一的應用服務器，從而大大降低客戶機對硬件的要求，使系統(tǒng)更容易擴展。

隨著intemet的快速發(fā)展，出現(xiàn)了基于web的browser／server模型(瀏覽器／服務器模型，簡稱b／s模型)。該模型是把c／s模型的服務器端進一步深化，分解成一個應用服務器(web服務器)和一個或多個數(shù)據(jù)庫服務器，從而形成一個類似3層c／s模型。b／s結(jié)構(gòu)優(yōu)點主要體現(xiàn)在：

(1)用戶界面更加友好，操作更加直觀，更易滿足用戶的使用習慣。

(2)對用戶跨平臺支持，可跨平臺使用數(shù)據(jù)庫、超文本、多媒體等多種形式的信息。

(3)提高了系統(tǒng)的可靠性、整體性以及可擴展性。

(4)客戶端只需配置操作系統(tǒng)和web瀏覽器，降低了對客戶機的軟硬件要求。

(5)更利于軟件的開發(fā)、安裝、升級，節(jié)省開發(fā)維護費用。

基于web的b／s模式特別適用于信息的瀏覽、查詢與發(fā)布，適于領(lǐng)導輔助決策支持。而c／s體系結(jié)構(gòu)適用于信息管理、辦公自動化等事務處理的系統(tǒng)。根據(jù)系統(tǒng)的開發(fā)要求和系統(tǒng)目標，將這兩種模式有機結(jié)合，安全管理工作涉及的部門、工種多，安全信息量大，要求處理速度快，基于此特點，為了節(jié)省工作量，維護數(shù)據(jù)的完整性與可靠性，保證系統(tǒng)運行的高效性，系統(tǒng)選擇c／s和b／s混合模式的系統(tǒng)體系結(jié)構(gòu)，既發(fā)揮傳統(tǒng)c／s模式成熟的技術(shù)，避免建立3層c／s模式的高昂的代價，又能借intemet技術(shù)充分發(fā)揮b／s模式的優(yōu)點。這種混合模式的體系結(jié)構(gòu)如圖1所示。

2．2 開發(fā)語言及數(shù)據(jù)庫的選擇

為保證系統(tǒng)具有良好的開放性和安全性，選用先進的visual basic 6．0和asp編程語言及interdev6和frontpage2000開發(fā)工具，縮短開發(fā)總周期，提高開發(fā)效率。其中visual ba—sic 6．0是一種面向?qū)ο蟮目梢暬木幊坦ぞ?，由于其靈活方便和易于擴充的特點，因此，它越來越多地用作大型公司數(shù)據(jù)和客戶機／b艮務器(c／s)應用程序的前端開發(fā)工具，與后端的sqlserver數(shù)據(jù)庫相結(jié)合，可以提供一個高性能的客戶機／服務器解決方案。asp即活動服務器頁面(active server page)，是一種用于www服務的服務器端腳本環(huán)境，它具有開發(fā)簡單、功能強大等優(yōu)點。利用它，可以很容易地把html標簽和文本，腳本命令及activex組件混合在一起構(gòu)成asp頁，以此來生成動態(tài)網(wǎng)頁，創(chuàng)建交互式的web站點，而不需要進行復雜的編程。visual interdev是創(chuàng)建動態(tài)web站點的集成開發(fā)環(huán)境，可以在其下結(jié)合各種腳本開發(fā)asp和html應用程序。web程序的骨架及各種控制、處理功能都是利用interdev來設(shè)計的，visual interdev是配合asp開發(fā)的主導工具，它是為intemet和intranet創(chuàng)建數(shù)據(jù)驅(qū)動型動態(tài)web應用程序的完整工具集。frontpage是web站點的創(chuàng)建、管理和頁面修飾工具。利用它可以方便地創(chuàng)建漂亮的html頁面，并對已生成的web應用程序進行頁面上的修飾和編輯。

服務器端數(shù)據(jù)庫選擇mssqlserver7．0，該數(shù)據(jù)庫具有如下性能：可伸縮結(jié)構(gòu)，從單處理器到多處理器的硬件，用以滿足未來業(yè)務的需要；高性能結(jié)構(gòu)，利用windows nt可得到更大的傳輸量和更快的響應時間；方便系統(tǒng)管理，利用省時的圖形化工具，降低了對系統(tǒng)管理員的技術(shù)要求，使系統(tǒng)便于維護；強化安全的事務處理能力，一旦系統(tǒng)發(fā)生故障，它能保護數(shù)據(jù)不丟失；網(wǎng)絡(luò)集成環(huán)境，可使用通用的網(wǎng)絡(luò)和協(xié)議。

客戶端數(shù)據(jù)庫選擇桌面數(shù)據(jù)庫access2000，access是微軟公司于1994年發(fā)布的微機桌面數(shù)據(jù)庫管理系統(tǒng)。作為一種mis開發(fā)工具，它具有界面友好、開發(fā)簡單、接口靈活等特點，是典型的新一代數(shù)據(jù)管理和信息系統(tǒng)開發(fā)工具。access提供了強大的數(shù)據(jù)組織、用戶管理、安全檢查等功能。在一個工作組級別的網(wǎng)絡(luò)環(huán)境中，使用access開發(fā)的多用戶數(shù)據(jù)庫管理系統(tǒng)具有傳統(tǒng)的xbase數(shù)據(jù)庫系統(tǒng)所無法實現(xiàn)的客戶／服務器(c／s)結(jié)構(gòu)和相應的數(shù)據(jù)庫安全機制。

2．3 系統(tǒng)的設(shè)計原則

本系統(tǒng)的設(shè)計原則如下：

(1)實用性。系統(tǒng)采用友好的圖形用戶界面方式，實現(xiàn)全屏幕菜單操作，用戶能簡單、方便地采集基礎(chǔ)數(shù)據(jù)，實現(xiàn)信息共享與交換。

(2)可靠性。系統(tǒng)在設(shè)計過程中，把可靠性作為系統(tǒng)設(shè)計成功與否的重要標志，在設(shè)計過程中考慮到安全管理人員對計算機知識的局限性，采用了較強的容錯功能，對用戶的非法操作均有限制和提示，數(shù)據(jù)出錯時具有相應的提示信息及處理能力，并且每個處理環(huán)節(jié)都具有高度可靠性、保密性及安全性。

(3)開放性。利用web技術(shù)，使各局域網(wǎng)能進行分布數(shù)據(jù)處理，各子系統(tǒng)能在intemet上進行數(shù)據(jù)處理和信息查詢。

(4)通用性。系統(tǒng)設(shè)計過程中，遵循企業(yè)安全管理中的一些通用的基本管理制度，在鐵路運輸企業(yè)中具有通用性。

(5)先進性。系統(tǒng)采用軟件工程的理論進行開發(fā)；利用模糊數(shù)學、灰色系統(tǒng)理論和安全系統(tǒng)工程理論，建立客觀反映事故系統(tǒng)特征的數(shù)學模型體系；采用數(shù)據(jù)庫理論技術(shù)中的e—r模式分析實體間的關(guān)系并進行數(shù)據(jù)庫結(jié)構(gòu)設(shè)計；采用目前流行的可視化開發(fā)工具進行系統(tǒng)開發(fā)。

(6)可擴充性。一方面是硬件的擴充能力，可以方便地在網(wǎng)上增加設(shè)備或用戶；另一方面是軟件的擴充能力，在系統(tǒng)軟件設(shè)計時，要特別考慮今后可能的功能擴充。運用新的軟件設(shè)計思想，對該系統(tǒng)作適當?shù)恼{(diào)整升級保證系統(tǒng)能夠滿足新業(yè)務、新功能的要求，而且對原來的程序沒有影響或者影響很小，以及硬件或網(wǎng)絡(luò)的改變或升級基本不影響應用軟件。

3 系統(tǒng)結(jié)構(gòu)及功能

3．1 系統(tǒng)事務流程

本系統(tǒng)事務流程如圖2所示。

3.2 系統(tǒng)的功能結(jié)構(gòu)

系統(tǒng)基本功能結(jié)構(gòu)及主要功能模塊組成如圖3所示

3．2．1 系統(tǒng)維護模塊

系統(tǒng)維護模塊主要是對系統(tǒng)中需要用到的一些參數(shù)進行預先設(shè)置或重新配置以及對數(shù)據(jù)庫中的數(shù)據(jù)進行維護，這些參數(shù)一般是相對固定的，但是用戶可以根據(jù)實際的變動情況對其進行重新設(shè)置。系統(tǒng)維護模塊包括系統(tǒng)參數(shù)設(shè)置、代碼維護和數(shù)據(jù)維護3部分，其中參數(shù)設(shè)置包括系統(tǒng)常用參數(shù)設(shè)置和數(shù)據(jù)庫參數(shù)設(shè)置，系統(tǒng)常用參數(shù)設(shè)置指的是對公司名稱，站點ip等信息相關(guān)信息進行設(shè)置，數(shù)據(jù)庫參數(shù)設(shè)置指的是對服務器名稱、數(shù)據(jù)庫類型、數(shù)據(jù)庫名稱等信息進行重新設(shè)置；代碼維護模塊包括單位名稱代碼維護、工種名稱代碼維護、類別代碼維護、違章類別代碼維護、違章內(nèi)容維護以及事故類別代碼維護，分別實現(xiàn)根據(jù)單位中部門名稱、工種名稱、類別、違章類別、違章內(nèi)容及事故類別的變化對其進行修改的功能；數(shù)據(jù)維護包括數(shù)據(jù)備份、數(shù)據(jù)恢復和數(shù)據(jù)清理3部分，分別實現(xiàn)對數(shù)據(jù)庫中數(shù)據(jù)的定期備份、數(shù)據(jù)庫損壞后的恢復及定期刪除數(shù)據(jù)庫中部分數(shù)據(jù)的功能。

3．2．2 用戶管理模塊

用戶管理模塊主要是提供對系統(tǒng)使用者的名稱、密碼、權(quán)限以及所屬群組等信息進行管理，確保企業(yè)信息的安全保密性，用戶管理模塊主要包括用戶添加、用戶刪除、用戶修改、密碼修改4部分。系統(tǒng)會根據(jù)登錄者的權(quán)限提供全部或部分功能，如果登錄者是系統(tǒng)管理員身份，將提供全部的功能，包括用戶的添加、刪除，用戶權(quán)限的設(shè)定或修改以及密碼的修改等功能，如果登錄者是一般用戶身份，將只提供密碼修改的功能。

3．2．3信息錄入模塊

信息錄入模塊是安全管理信息系統(tǒng)的基礎(chǔ)，主要提供基礎(chǔ)數(shù)據(jù)的錄入、修改、刪除、瀏覽等功能。信息錄入模塊由安全檢查整改表信息錄入、三違登記簿信息錄入、安全學習培訓信息錄入、事故記錄信息錄入、事故報表信息錄入、上崗人員信息錄入和運量信息錄入等7部分組成，信息錄入后保存在服務器上的數(shù)據(jù)庫中，以備查詢、統(tǒng)計分析和生成報表時使用。

3．2．4信息查詢模塊

信息查詢模塊主要是提供對數(shù)據(jù)庫中的相關(guān)數(shù)據(jù)按條件進行檢索的功能，包括安全檢查整改信息查詢、三違登記信

息查詢、安全學習培訓信息查詢、事故信息查詢、安全學習培訓學員情況查詢、上崗人員信息查詢、運量信息查詢等7部分，每部分都提供組合查詢的功能。

3．2．5 統(tǒng)計分析模塊

統(tǒng)計分析模塊根據(jù)信息錄入模塊中錄入的基礎(chǔ)數(shù)據(jù)信息，統(tǒng)計匯總出二次信息，以數(shù)據(jù)表格的形式顯示統(tǒng)計的詳細情況，并同時以圖形的方式直觀地顯示出來，用于管理決策。統(tǒng)計分析模塊包括歷年事故趨勢分析、歷年事故中傷亡統(tǒng)計分析、直接經(jīng)濟損失統(tǒng)計分析、百萬噸公里事故率統(tǒng)計分析、分單位事故統(tǒng)計分析、分工種事故統(tǒng)計分析、事故分類別統(tǒng)計分析、事故發(fā)生時間統(tǒng)計分析和責任者年齡統(tǒng)計分析等部分。

3．2．6 預測模塊

預測模塊主要是根據(jù)以往的基礎(chǔ)數(shù)據(jù)，對相關(guān)指標進行預測，產(chǎn)生未來可能的結(jié)果或趨勢信息，包括人體生物節(jié)律預測和事故預測。其中人體生物節(jié)律預測是用來根據(jù)人體生物節(jié)律曲線來預測每月員工可能發(fā)生的問題、需要對其進行提示，系統(tǒng)到達警示日期會自動進行提示；事故預測是根據(jù)設(shè)定的預測起始、終止年份內(nèi)的歷史數(shù)據(jù)，利用灰色預測模型產(chǎn)生預測年份的事故數(shù)等。

3．2．7 報表生成模塊

報表生成模塊主要是產(chǎn)生企業(yè)需要的各種標準報表，包括安全生產(chǎn)情況報表、事故月報表、事故年報表、安全管理綜合指標月報表和安全管理綜合指標年報表等。

4 系統(tǒng)運行環(huán)境

服務器端采用microsoft windows nt 4．0，客戶端采用windows2000操作系統(tǒng)。所選的操作系統(tǒng)是多任務、多進程的32位操作平臺，具有集中安全性設(shè)計，開放性強，可支持多種網(wǎng)絡(luò)用戶，支持多種網(wǎng)絡(luò)傳輸協(xié)議，通過調(diào)制解調(diào)器撥號方式可實現(xiàn)遠程訪問服務等特點。

服務器端數(shù)據(jù)庫管理系統(tǒng)采用mssqlserver7．0，它是一個高性能、多用戶的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)(rdbms)，它價格低廉，安全性好，效率高，并且可以搭配backoffice套件?？蛻舳藬?shù)據(jù)庫采用access2000。

5 結(jié) 語

(1)本系統(tǒng)在某鐵路運輸企業(yè)投入使用后，取得了良好的使用效果，通過及時給決策部門提供準確的統(tǒng)計數(shù)據(jù)，提高了決策的及時性和準確性，大幅度提高了企業(yè)的鐵路運輸安全管理水平和管理效率，具有較好的應用前景。

(2)系統(tǒng)采用基于b／s和c／s混合模式的體系結(jié)構(gòu)，既發(fā)揮了c／s模式成熟的技術(shù)特長，避免建立多層c／s模式的高昂代價，又能借intemet技術(shù)充分發(fā)揮b／s模式的優(yōu)點，有效實現(xiàn)快速的信息交流和信息共享。

(3)系統(tǒng)集業(yè)務處理、事故預測和圖形分析等功能于一體，為鐵路運輸?shù)陌踩芾硖峁┝巳嫘畔?、技術(shù)支持。

(4)系統(tǒng)采用的模塊化設(shè)計為進一步開發(fā)提供了便利。該系統(tǒng)能逐步實現(xiàn)更多信息的計算機管理和信息管理決策支持系統(tǒng)，并能方便地并人其他計算機網(wǎng)絡(luò)，實現(xiàn)信息共享。

摘自：《中國安全科學學報》2004.14卷.3期

第8篇 安全異常信息快速反應管理辦法

第一章 總則

第一條 為深刻吸取長虹公司“3.21”煤與瓦斯突出事故教訓,規(guī)范礦井“安全異常信息”的匯報和處置工作,形成快速反應、運行有序的“安全異常信息”匯報和處置工作機制,實現(xiàn)“安全異常信息”超前預警、超前處置,有效防范事故的發(fā)生,保障安全生產(chǎn),特制定本辦法。

第二條 本辦法規(guī)定的應當匯報和處置的“安全異常信息”主要是指:礦井生產(chǎn)過程中發(fā)生的“安全異常信息”,包括機電運輸專業(yè)、一通三防及防突專業(yè)、地測防治水專業(yè)、采煤專業(yè)、開掘?qū)I(yè)等五類信息;外部供電、通訊、供水等方面威脅礦井安全生產(chǎn)的“安全異常信息”;威脅礦井安全生產(chǎn)的極端天氣、地震等方面的“安全異常信息”。

第三條 提升理念?！鞍踩惓Ｐ畔ⅰ笔鞘鹿暑A兆,是停產(chǎn)撤人的命令,“安全異常信息”不匯報,匯報不處置,或既不匯報又不處置就是事故,按照“四不放過”原則進行追查處理?！鞍踩惓Ｐ畔ⅰ钡膮R報要及時、準確和完整,處置要安全快速有效。

第四條 調(diào)度室及相關(guān)業(yè)務科室負責“安全異常信息”的收集、撤人、匯報、處置、建檔、跟蹤、銷號七個環(huán)節(jié)的工作,在調(diào)度室建立“安全異常信息”閉合管理臺賬。調(diào)度室負責“安全異常信息”的收集、匯報、處置、建檔等工作,業(yè)務保安科室負責“安全異常信息”的跟蹤落實、整改銷號等工作。礦井行政主要負責人是礦井“安全異常信息”匯報和處置工作的第一責任人,分管副職對業(yè)務范圍內(nèi)的“安全異常信息”的匯報和處置工作負責。

第五條 完善礦井“安全異常信息”處置技術(shù)、機構(gòu)、隊伍、資金、裝備方面的保障工作和“安全異常信息”匯報和處置工作的管理和考核,建立“安全異常信息”閉合管理臺賬。礦井行政主要負責人是本單位“安全異常信息”匯報和處置工作管理和提供有關(guān)保障的第一責任人,分管副職對業(yè)務范圍內(nèi)的“安全異常信息”匯報及處置工作管理和提供有關(guān)保障負責。

第六條 調(diào)度室是“安全異常信息”匯報和處置的指揮中心,對所登記的“安全異常信息”要求做到實時調(diào)度。各業(yè)務保安科室是“安全異常信息”處置的技術(shù)指導部門。并負責“安全異常信息”閉合管理臺賬的建立、管理,跟蹤處置,直至安全異常狀況消除。

第二章 “安全異常信息”的匯報

第七條 “安全異常信息”要如實匯報,不得遲報、漏報或瞞報。

第八條 “安全異常信息”的匯報內(nèi)容

(一)機電運輸專業(yè)(詳見附表1)

1.礦井及重要負荷單回路供電。

2.主、副井及乘人系統(tǒng)運行異常。

3.大型固定設(shè)備技術(shù)測定及探傷等有(存在)重大缺陷。

4.主要通風機故障單機運轉(zhuǎn)。

5.礦井主排水系統(tǒng)故障不能擔負正常涌水量。

6.危及安全的其它“安全異常信息”。

(二)一通三防及防突專業(yè)(詳見附表2)

1.采掘工作面出現(xiàn)明顯的煤與瓦斯突出及沖擊地壓預兆,包括中度以上噴孔、響煤炮或其它明顯預兆。

2.鉆探期間發(fā)現(xiàn)地質(zhì)構(gòu)造。

3.瓦斯高值或超限。

4.一氧化碳超標(放炮除外)。

5.監(jiān)測監(jiān)控系統(tǒng)異常,包括:(1)井上主要通風機或井下局部通風機監(jiān)測顯示停風;(2)風門開停傳感器監(jiān)測顯示敞開;(3)礦井監(jiān)控系統(tǒng)全部無記錄或部分無記錄;(4)監(jiān)控系統(tǒng)相關(guān)設(shè)備未按規(guī)定檢測、校驗、維護保養(yǎng)導致數(shù)據(jù)傳輸不正常的。

6.危及安全的其它“安全異常信息”。

(三)地測防治水專業(yè)(詳見附表3)

1.礦井涌水量達到預警水量(礦井排水系統(tǒng)聯(lián)合試運的正常排水量)。

2.暴雨天氣,可能發(fā)生洪水淹井。

3.探水鉆孔閥門損毀,涌水難以控制。

4.采掘工作面有突水征兆。

5.危及安全的其它“安全異常信息”。

(四)采煤專業(yè)(詳見附表4)

以下情況同時出現(xiàn)2處及以上的,必須上報:

1.工作面掉頂嚴重,冒落高度超過0.5m、連續(xù)長度超過5m。

2.工作面切頂嚴重,臺階下沉超過0.5m、連續(xù)長度超過5m。

3.采面煤壁嚴重片幫,深度超過1.5m、連續(xù)長度超過5m。

4.工作面支架連續(xù)5架嚴重鉆底或擠架。

5.工作面兩端頭老塘側(cè)局部懸頂面積大(面積大于2m×5m)。

6.危及安全的其它“安全異常信息”。

(五)開掘?qū)I(yè)(詳見附表5)

1.開掘工作面在一個生產(chǎn)班內(nèi)頂板連續(xù)發(fā)出響聲。

2.頂板離層明顯,出現(xiàn)裂縫、頂板掉渣。

3.巷道壓力增大片幫嚴重。

4.支架變形嚴重甚至斷裂。

5.工作面出現(xiàn)地質(zhì)構(gòu)造。

6.危及安全的其它“安全異常信息”。

第三章 “安全異常信息”的處置

第九條 礦井“安全異常信息”的處置

(一)當?shù)V井生產(chǎn)過程中發(fā)生本辦法規(guī)定的“安全異常信息”時,現(xiàn)場管理人員(帶班領(lǐng)導、跟班干部、班組長)、安檢員、瓦檢員等,必須第一時間發(fā)出停止作業(yè)、撤人的命令,指揮現(xiàn)場人員撤到安全地點,同時向礦調(diào)度室匯報。

(二)礦調(diào)度室值班人員接到生產(chǎn)現(xiàn)場或其它“安全異常信息”的匯報后,須在20分鐘內(nèi)用電話分別向礦井值班領(lǐng)導、分管領(lǐng)導及主要領(lǐng)導、分公司調(diào)度室、集團總調(diào)度室(電話:0375-2724146)、許平煤業(yè)生產(chǎn)技術(shù)處(調(diào)度)(電話:0375-3579000、3579331)、安監(jiān)局禹州監(jiān)察處匯報,同時須按照礦井值班領(lǐng)導的指示,立即通知受到安全威脅的人員撤離危險區(qū)域。之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應的“安全異常信息”匯報表(詳見附表)中,并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術(shù)處(調(diào)度)。

(三)由礦井值班領(lǐng)導立即組織調(diào)度、安監(jiān)、業(yè)務科室等有關(guān)人員趕赴現(xiàn)場收集“安全異常信息”第一手資料,礦井帶班領(lǐng)導立即趕赴現(xiàn)場對“安全異常信息”的處置進行指導和指揮,礦井總工程師負責牽頭完善相關(guān)處置措施,礦井分管副職牽頭組織對“安全異常信息”進行處置,業(yè)務保安科室負責牽頭建立跟蹤工作機制,實時督導“安全異常信息”的處置,直至安全異常狀況消除。

第四章 考核

第十條

(一)作業(yè)現(xiàn)場發(fā)現(xiàn)“安全異常信息”后,現(xiàn)場管理人員(帶班領(lǐng)導、跟班干部、班組長)、現(xiàn)場安檢員、瓦檢員等未在第一時間向調(diào)度室匯報的,對上述人員罰款500元。

(二)調(diào)度室接到“安全異常信息”匯報后,應在20分鐘內(nèi)向礦值班領(lǐng)導、分管領(lǐng)導及主要領(lǐng)導、分公司調(diào)度室、集團總調(diào)度室、許平煤業(yè)生產(chǎn)技術(shù)處(調(diào)度)、安監(jiān)局禹州監(jiān)察處匯報,之后須在30分鐘內(nèi)把“安全異常信息”填寫到相應的“安全異常信息”匯報表中,并通過集團oa辦公系統(tǒng)發(fā)送許平煤業(yè)生產(chǎn)技術(shù)處(調(diào)度),逾時不報的對調(diào)度當班值班人員罰款500元。

(三)礦井調(diào)度室及業(yè)務保安科室未建立“安全異常信息”閉合管理臺賬的或“安全異常信息”閉合管理臺賬未及時建檔、整改銷號的,未及時建檔的,對調(diào)度室負責人罰款500元,未做到跟蹤閉合管理的,對分管業(yè)務科室負責人罰款500元。

(四)“安全異常信息”瞞報的對作業(yè)現(xiàn)場安全管理人員罰款500元,匯報不處置,對調(diào)度室當班值班人員罰款500元,對調(diào)度室負責人罰款500元。

(五)“安全異常信息”處置期間因技術(shù)、機構(gòu)、隊伍、資金、裝備保障不到位造成處置不及時或不能有效處置“安全異常信息”的,對相應單位進行責任追究。

(六)監(jiān)測監(jiān)控系統(tǒng)出現(xiàn)高值后監(jiān)控上傳中斷,按瓦斯超限事故進行責任追究。

第五章 附則

第十一條 有關(guān)注釋

中度噴孔:鉆進過程中連續(xù)噴孔,停鉆后持續(xù)1-2分鐘,噴出顆粒直徑3毫米,鉆屑明顯增多,拋出距離1-2米,工作面里探絕對值增加0.3%以內(nèi)。

嚴重噴孔:停鉆后連續(xù)噴孔超過2分鐘,且?guī)С龃罅裤@屑;拋出距離大于2米或伴有煤炮聲;工作面里探絕對值增加0.3%以上。(符合上述任一條件,即判斷為嚴重噴孔)。

中度煤炮:聲音較大,間歇性明顯(時間間隔大于1分鐘),有震感,有掉渣、揚塵現(xiàn)象。

嚴重煤炮:聲音巨響、相鄰區(qū)段多處地點均能聽到;響聲連續(xù);震感明顯;伴有大量揚塵。(符合上述任一條件,即判斷為嚴重煤炮)。

有聲預兆:煤層發(fā)出劈裂聲、悶雷聲、機槍聲、響煤炮、以及氣體穿過含水裂縫時的吱吱聲等。聲音由遠到近,由小到大,有短暫的,有連續(xù)的,時間間隔長短不一致。煤壁發(fā)生震動和沖擊,頂板來壓,支架發(fā)出折裂聲。

無聲預兆:工作面頂板壓力增大,煤壁被擠壓,片幫掉渣,頂板下沿或底板鼓起;煤層層理紊亂、煤暗淡無光澤、煤質(zhì)變軟;瓦斯忽大忽小,煤壁發(fā)涼,打鉆時有頂鉆、卡鉆、噴瓦斯等現(xiàn)象。

煤厚發(fā)生變化:增厚、變薄、尖滅、變軟。

瓦斯高值:正常作業(yè)情況下瓦斯增幅50%以上即為瓦斯高值。

瓦斯超限:無論任何條件下瓦斯?jié)舛冗_到1%即為瓦斯超限。

一氧化碳超標:除礦上建立臺帳管理的一氧化碳區(qū)域和放炮引起的一氧化碳超標外,其它地點一氧化碳超標都必須立即匯報。

主要通風機停運:無論任何原因?qū)е轮饕L機停運都必須立即匯報。

第十二條 本辦法自印發(fā)之日起執(zhí)行。

附表:各專業(yè)“安全異常信息”匯報表

第9篇 信息技術(shù)設(shè)備物理環(huán)境安全管理辦法

第一章 總則

第一條目的:為了適應公司物理與環(huán)境安全管理的需要,保障公司生產(chǎn)和辦公系統(tǒng)的正常運行,特制定本管理辦法。

第二條依據(jù):本管理辦法根據(jù)《公司信息安全管理策略》制訂。

第三條范圍:本管理辦法適用于公司。

第二章基本要求

第四條公司員工應根據(jù)公司運營需要對資產(chǎn)進行保護。公司的資產(chǎn)保護要求通過完成以下目標來實現(xiàn):

(一)確保所有資產(chǎn)的物理和環(huán)境保護能得到公司的有效控制。

(二)減少擅自訪問或損壞或影響公司控制的資產(chǎn)的風險。

(三)防止公司控制的資產(chǎn)被人擅自刪除或移動。

第五條安全控制措施包括以下各項:

(一)公司的場地(機房、辦公室)的信息處理設(shè)施周圍設(shè)置實際安全隔離措施,如門禁系統(tǒng)等。

(二)公司的大樓入口安全防范措施。

(三)防護設(shè)備避免發(fā)生火、水、極端溫度/濕度、灰塵和電產(chǎn)生的危害。

(四)設(shè)備維護。

(五)清理資產(chǎn)。

第三章 安全區(qū)域

第六條公司的安全區(qū)域包括中心機房和敏感部門辦公區(qū)域。

第七條安全區(qū)域的劃分與管理參見《物理安全區(qū)域管理細則》。

第八條物理安全邊界

所有進入公司安全區(qū)域的人員都需經(jīng)過授權(quán),公司員工之外的人員進入公司安全區(qū)域必須登記換取不同的授權(quán)卡或訪客證才能進入(持有效證件,得到被訪者允許)。

第九條安全區(qū)域出入控制措施

(一)物理控制措施

1、機房的門禁系統(tǒng)必須啟用,任何人都必須刷卡后才可進入機房;

2、出入機房必須登記《機房出入登記表》,記錄姓名、出入時間、事由等;

3、一段時間內(nèi)不會頻繁進入的機房應上鎖,需要時由運維人員開啟進入工作,并確保辦公完成后鎖好;

4、機房應安裝閉路電視監(jiān)控。在所有安全區(qū)域的工作均應接受監(jiān)督或監(jiān)控。

(二)合同方及第三方

1、要在主要出入口處填寫《來訪人員登記表》;

2、在顯眼處佩戴公司發(fā)出的臨時出入卡或訪客證。

(三)公司工作人員的控制措施

1、公司工作人員都必須在顯眼處佩帶胸卡;

2、公司工作人員調(diào)離公司時,其實際進入權(quán)也同時相應取消;

(四)審查訪問

科技信息部應定期(每三個月)審查訪問公司中心機房的人員名單并將進出權(quán)過期或作廢的人員從名單上劃掉。

(五)外部和環(huán)境威脅的安全防護

1、機房建設(shè)應符合gb 9361中a類安全機房的要求;

2、危險或易燃材料應在離安全區(qū)域安全距離以外的地方存放。大批供應品(例如文具等)不應存放于安全區(qū)域內(nèi);

3、恢復設(shè)備和備份介質(zhì)的存放地點應與主場地有一段安全的距離,以避免影響主場地的災難產(chǎn)生的破壞;

4、應提供適當?shù)臏缁鹪O(shè)備,并應放在合適的地點。

第十條交接區(qū)安全

(一)公司應設(shè)立交接區(qū),同時:

1、向公司發(fā)送貨物必須預先通知貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員;

2、送貨公司名稱和交貨時間應當在接收貨物之前由貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員確認;

3、送貨公司在進入安全區(qū)域之前要經(jīng)過物理環(huán)境主管部門有關(guān)人員的鑒別確認;

4、貨物資產(chǎn)所屬部門的資產(chǎn)管理員和信息安全管理員應檢驗貨物,以保證沒有潛在的危害。

第四章 設(shè)備安全

第十一條設(shè)備安置與保護

(一)公司中應考慮以下控制措施:

1、設(shè)備應進行適當安置,以盡量減少不必要的對工作區(qū)域的訪問;

2、應把處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當?shù)南拗朴^測的位置,以減少在其使用期間信息被窺視的風險,還應保護儲存設(shè)施以防止未授權(quán)訪問;

3、要求專門保護的部件要予以隔離,以降低所要求的總體保護等級;

4、應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;

5、應建立在信息處理設(shè)施附近進食、喝飲料和抽煙的指南;

6、對于可能對信息處理設(shè)施運行狀態(tài)產(chǎn)生負面影響的環(huán)境條件(例如溫度和濕度)要予以監(jiān)視;

7、所有建筑物都應采用避雷保護,所有進入的電源和通信線路都應裝配雷電保護過濾器;

8、對于工業(yè)環(huán)境中的設(shè)備,要考慮使用專門的保護方法,例如鍵盤保護膜;

9、應保護處理敏感信息的設(shè)備,以減少由于輻射而導致信息泄露的風險;極其重要設(shè)備應部署在不同位置。

第十二條支持性設(shè)施

(一)應有足夠的支持性設(shè)施(例如電、供水、排污、加熱/通風和空調(diào))來支持系統(tǒng)。支持性設(shè)施應定期檢查并適當?shù)臏y試以確保他們的功能,減少由于他們的故障或失效帶來的風險。應按照設(shè)備制造商的說明提供合適的供電。

(二)對支持關(guān)鍵業(yè)務操作的設(shè)備,推薦使用支持有序關(guān)機或連續(xù)運行的不間斷電源(ups)。電源應急計劃要包括ups 故障時要采取的措施。如果電源故障延長,而處理要繼續(xù)進行,則要考慮備份發(fā)電機。應提供足夠的燃料供給,以確保在延長的時間內(nèi)發(fā)電機可以進行工作。ups 設(shè)備和發(fā)電機要定期地檢查,以確保它們擁有足夠能力,并按照制造商的建議予以測試。另外,如果辦公場所很大,則應考慮使用多來源電源或一個單獨變電站。

(三)另外,應急電源開關(guān)應位于設(shè)備房間應急出口附近,以便緊急情況時快速切斷電源。萬一主電源出現(xiàn)故障時要提供應急照明。

(四)要有穩(wěn)定足夠的供水以支持空調(diào)、加濕設(shè)備和滅火系統(tǒng)(當使用時),供水系統(tǒng)的故障可能破壞設(shè)備或阻止有效的滅火。如果需要還應有告警系統(tǒng)來指示水壓的降低。

(五)連接到公共提供商的通信設(shè)備應至少有兩條不同線路以防止在一條連接路徑發(fā)生故障時語音服務失效。要有足夠的語音服務以滿足地方法規(guī)對于應急通信的要求。

(六)實現(xiàn)連續(xù)供電的選項包括多路供電,以避免供電的單一故障點。

第十三條電纜安全

(一)敷設(shè)到公司內(nèi)各個區(qū)域的電纜線的保護方式如下:

1、進入信息處理設(shè)施的電源和通信線路宜在地下,若可能,應提供足夠的可替換的保護;

2、網(wǎng)絡(luò)布纜要免受未授權(quán)竊聽或損壞,例如,利用電纜管道或使路由避開公眾區(qū)域;

3、為了防止干擾,電源電纜要與通信電纜分開;

4、使用清晰的可識別的電纜和設(shè)備記號,以使處理失誤最小化,例如,錯誤網(wǎng)絡(luò)電纜的意外配線;

5、使用文件化配線列表減少失誤的可能性;

6、對于敏感的或關(guān)鍵的系統(tǒng),更進一步的控制考慮應包括:

(1)在檢查點和終接點處安裝鎧裝電纜管道和上鎖的房間或盒子;

(2)使用可替換的路由選擇和/或傳輸介質(zhì),以提供適當?shù)陌踩胧?

(3)使用纖維光纜;

(4)使用電磁防輻射裝置保護電纜;

(5)對于電纜連接的未授權(quán)裝置要主動實施技術(shù)清除、物理檢查;

(6)控制對配線盤和電纜室的訪問;

第十四條設(shè)備維護

(一)應按照供應商推薦的服務時間間隔和規(guī)范對設(shè)備進行維護。

(二)由供貨商維護的設(shè)備。各種維護活動要按照合同協(xié)議或設(shè)備購買時的維護計劃進行。

(三)只有已授權(quán)的維護人員才可對設(shè)備進行修理和服務

(四)原則上應保存所有維護記錄

(五)要保證所有可疑的或?qū)嶋H的故障以及所有預防和糾正維護的記錄;

(六)設(shè)備資產(chǎn)的管理部門和行政服務公司應當向外包維護單位索取維護計劃和記錄。

(七)設(shè)備資產(chǎn)的管理部門和行政服務公司定期審核維護記錄和計劃。

(八)當對設(shè)備安排維護時,應實施適當?shù)目刂?要考慮維護是由內(nèi)部人員執(zhí)行還是由外部人員執(zhí)行;當需要時,敏感信息需要從設(shè)備中刪除或者維護人員應該是足夠可靠的;

(九)應遵守由保險策略所施加的所有要求。

第十五條場外設(shè)備的安全

(一)離開辦公場所的設(shè)備的保護應考慮下列措施:

1、離開建筑物的設(shè)備和介質(zhì)在公共場所不應無人看管。在旅行時便攜式計算機要作為手提行李攜帶,若可能宜偽裝起來;

2、制造商的設(shè)備保護說明要始終加以遵守,例如,防止暴露于強電磁場內(nèi);

3、家庭工作的控制措施應根據(jù)風險評估確定,當適合時,要施加合適的控制措施,例如,可上鎖的存檔柜、清理桌面策略、對計算機的訪問控制以及與辦公室的安全通信;

4、足夠的安全保障掩蔽物宜到位,以保護離開辦公場所的設(shè)備。安全風險在不同場所可能有顯著不同,例如,損壞、盜竊和截取,要考慮確定最合適的控制措施。其它信息用于家庭工作或從正常工作地點運走的信息存儲和處理設(shè)備包括所有形式的個人計算機、管理設(shè)備、移動電話、智能卡、紙張及其他形式的設(shè)備。

第十六條設(shè)備的安全處置與重新使用

(一)設(shè)備報廢處置時,存有敏感信息的存儲設(shè)備要從物理上加以銷毀,或用安全方式對信息加以覆蓋,而不能采用常用的標準刪除功能來刪除。

(二)所有帶有諸如硬盤等儲存媒介的設(shè)備在報廢前都要對其檢查,以確保其內(nèi)存儲的敏感信息和授權(quán)專用軟件已被清除或覆蓋。存有敏感數(shù)據(jù)的已損壞的存儲設(shè)備要對其進行風險評估,以決定是否對其銷毀、修理或遺棄。

(三)為保證信息安全,必須在處理介質(zhì)前擦除有關(guān)的敏感信息:

1、用碎紙機銷毀所有的敏感紙質(zhì)記錄。廢紙可在碎紙后立即處置掉。

2、公司內(nèi)部不應積累過量紙質(zhì)記錄。所有的紙質(zhì)記錄都必須在處置前銷毀。

3、磁帶和磁盤必須在處置前實際銷毀和核對。

4、數(shù)據(jù)存儲光盤應在處置前實際銷毀。

(四)凡敏感性介質(zhì)的處置都必須填寫《信息介質(zhì)處置申請表》,經(jīng)部門負責人同意后,方可進行處置。并記錄在《信息介質(zhì)處置記錄表》,留待審計時備查。

第十七條設(shè)備的移動

(一)應考慮如下措施:

1、在未經(jīng)事先授權(quán)的情況下,不應讓設(shè)備、信息或軟件離開辦公場所;

2、明確識別有權(quán)允許資產(chǎn)移動,離開辦公場所的雇員、承包方人員和第三方人員;

3、應設(shè)置設(shè)備移動的時間限制,并在返還時執(zhí)行符合性檢查;

4、若需要并合適,要對設(shè)備作出移出記錄,當返回時,要作出送回記錄。

(二)應執(zhí)行檢測未授權(quán)資產(chǎn)移動的抽查,以檢測未授權(quán)的記錄裝置、武器等等,防止他們進入辦公場所。這樣的抽查應按照相關(guān)規(guī)章制度執(zhí)行。應讓每個人都知道將進行抽查,并且只能在法律法規(guī)要求的適當授權(quán)下執(zhí)行檢查。

第五章 附則

第十八條本管理辦法由科技信息部負責解釋和修訂。

第十九條本管理辦法自發(fā)布之日起施行。

第10篇 信息部:職業(yè)健康安全管理職責

(1)負責組織對本單位的危險源、環(huán)境因素進行辨識、評價、更新和學習,并制定措施或管理方案加以控制。

(2)負責對本部門員工進行環(huán)境職業(yè)健康安全知識的教育和培訓,不斷提高本部門員工的環(huán)保和安全意識。

(3)確保公司信息管理系統(tǒng)安全穩(wěn)定運行,為公司各單位/部門在環(huán)境職業(yè)健康安全管理方面提供所需的信息,確保信息安全和財產(chǎn)安全。

(4)負責公司信息管理系統(tǒng)相關(guān)硬件設(shè)備的管理,硬件設(shè)備廢棄要按公司廢物處理的相關(guān)規(guī)定進行。

(5)認真履行環(huán)境職業(yè)健康安全管理體系文件內(nèi)規(guī)定的本部門的各項具體工作。

第11篇 安全風險信息平臺工作管理辦法

第一章 總則

第一條 為規(guī)范石家莊市軌道交通安全風險監(jiān)控工作,規(guī)范地鐵建設(shè)參建各方在安全風險監(jiān)控管理上的工作責任、工作內(nèi)容及工作流程,加強相關(guān)單位和部門在安全風險監(jiān)控工作中的協(xié)同性,提升軌道交通建設(shè)安全風險管理的專業(yè)化和規(guī)范化水平,最大程度規(guī)避和減少軌道交通工程建設(shè)及周邊環(huán)境的安全事故的發(fā)生,制定本辦法。

第二條 本辦法根據(jù)住建部《城市軌道交通工程質(zhì)量安全檢查指南(試行)》,公司《石家莊市軌道交通工程建設(shè)安全風險管理體系》文件的相關(guān)規(guī)定,結(jié)合我市軌道交通工程建設(shè)實際制定。

第三條 本辦法適用于石家莊市軌道交通工程施工階段的安全風險監(jiān)控管理工作。

第四條 相關(guān)參建單位應用安全風險監(jiān)控與信息平臺情況考核,分日常管理考核與雙月度考核,由安全質(zhì)量部牽頭負責考核。

第五條 安全風險監(jiān)控工作考核堅持客觀、公開、公平、公正的原則,自覺接受紀檢監(jiān)察部門和群眾的監(jiān)督。

第六條 除本辦法外,軌道交通工程建設(shè)相關(guān)單位還應遵守國家和地方有關(guān)法律、法規(guī)、規(guī)范、標準。

第二章考核內(nèi)容

第七條 投資承建單位

投資承建單位應成立信息化領(lǐng)導小組,總工程師任負責人,并設(shè)立專職信息員督促所轄施工標段落實安全風險信息化管理工作。

第八條 標段施工單位

(一)各施工標段項目部安全總監(jiān)牽頭成立風險信息化小組,項目部安全總監(jiān)和安質(zhì)部長每天必須登錄安全風險監(jiān)控信息平臺,主要任務有:

1.每日17:00前,將自查臺賬和抽查臺賬檢查的問題、施工監(jiān)測數(shù)據(jù)上傳平臺;

2.巡視閉合閱處:通過安全風險監(jiān)控信息平臺對各單位提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、日常風險巡查推送的問題、軌道公司文件、預消警會議紀要、監(jiān)控中心周報、預警處置等)進行落實、整改、回復。填寫回復內(nèi)容,并可上傳相關(guān)附件。要求對所有的通報及整改通知的回復都以掃描件上傳至相應內(nèi)容的回復區(qū)域;

3.預警響應處置:及時處理平臺發(fā)出的本標段預警,在預警處置中,要詳細填寫處置措施及現(xiàn)場處置照片、視頻等。

(二)視頻監(jiān)控系統(tǒng):提供現(xiàn)場信息化設(shè)備放置場地及視頻會議室,配備網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路,保證各類信息能全面、及時、準確的上傳平臺(相關(guān)硬件參數(shù)見附件一):

1.按施工實際需要和軌道公司要求設(shè)置視頻監(jiān)控,施工單位負責采購本標段所需要的設(shè)備與硬件等,并負責進行安裝、調(diào)試、移位、維護和管理工作,確保視頻監(jiān)控正常使用;

2.攝像頭數(shù)量、位置要求:

車站明挖基坑至少設(shè)置2個攝像頭,礦山法暗挖工程,要求每個掌子面設(shè)置1個攝像頭,要清晰看到暗挖掌子面,并確保每掘進15米移動一次,蓋挖車站參照礦山法施工要求設(shè)置;

附屬結(jié)構(gòu)明挖基坑、施工豎井至少安裝1個前端監(jiān)控設(shè)備;

施工豎井上各設(shè)置1個攝像頭,重大風險源處根據(jù)評估情況設(shè)置;

安全文明施工管理:有出渣土行為的施工現(xiàn)場,渣土車輛進出的大門口在開工前必須安裝攝像頭,并接入安全風險監(jiān)控信息系統(tǒng)。此項作為開工核查條件之一。

3.要保持視頻監(jiān)控 24小時正常運行,并確保監(jiān)控視頻的攝像角度和照明亮度,以滿足視頻監(jiān)控的需要。不得隨意挪動、故意遮擋、污損、用光照射攝像頭,不得無故中斷、關(guān)閉視頻(特別是夜晚施工時)和人為破壞設(shè)備;

4.提供全天候的應急響應服務,須在監(jiān)控中心發(fā)出平臺故障通知后24小時內(nèi)修復,保證平臺正常運轉(zhuǎn)。

(三)盾構(gòu)監(jiān)控

1.按照實現(xiàn)盾構(gòu)實時數(shù)據(jù)監(jiān)控要求配備電腦等設(shè)備,必要時施工單位需安排盾構(gòu)廠家技術(shù)人員到現(xiàn)場配合數(shù)據(jù)解譯;

2.每日上傳出土量,同步注漿量;

(四)工程資料錄入:工程開工前,施工單位要及時錄入必要的工程資料,資料目錄詳見附件二。

第九條 第三方監(jiān)測單位

(一)項目部項目負責人牽頭成立風險信息化小組,負責安全風險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)監(jiān)測數(shù)據(jù)上傳:每日17:00前上傳當天監(jiān)測數(shù)據(jù);

(三)及時查看并通過安全風險監(jiān)控信息平臺對建設(shè)單位(含監(jiān)控中心)提出的問題和要求進行落實、整改回復;

(四)每日瀏覽本標段工點風險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復和處理。對數(shù)據(jù)異常和存在安全隱患的工點,應根據(jù)現(xiàn)場實際情況加密監(jiān)測點增加監(jiān)測頻率,并及時上傳監(jiān)測數(shù)據(jù)。

第十條 監(jiān)理單位

(一)安全專監(jiān)牽頭成立風險信息化小組,負責安全風險監(jiān)控信息平臺日常管理工作,并配備專職信息員;

(二)每日將抽查臺賬檢查問題和巡查報告上傳安全風險監(jiān)控信息平臺。對有風險、監(jiān)測數(shù)據(jù)異常以及重大安全隱患和危險征兆的工點,督促施工單位進行整改和回復,并及時向監(jiān)控中心反饋;

(三)及時查看并安排相關(guān)人員通過信息平臺對建設(shè)單位及風險監(jiān)控中心提出的問題、要求和發(fā)布的通知、文件、通報(包含業(yè)主公告、各類巡檢通報、軌道公司文件、預消警會議紀要、監(jiān)控中心周報、預警處置等)進行落實、整改、回復;

(四)督促施工單位整改安全風險監(jiān)控信息平臺上發(fā)布的各類檢查通報,并做好復查工作。督促施工單位對安全風險監(jiān)控信息平臺上各項事件進行閉合管理;

(五)預警響應處置:每日登錄平臺瀏覽各自工點風險情況,同時根據(jù)各自工點的安全評估狀態(tài),及時做出回復和處理。工點評估為“有風險”或“預警”狀態(tài),按預警流程處理,將處理結(jié)果在信息平臺回復。

第三章獎懲

第十一條 安全風險監(jiān)控信息平臺使用情況考核按單位性質(zhì)分為標段施工單位、第三方監(jiān)測單位、監(jiān)理單位三個組,各組內(nèi)不再按線路區(qū)分參建單位。安質(zhì)部組織每兩個月對各單位安全風險監(jiān)控信息平臺使用情況進行考核評分,各組分別排名,評分標準見附件三。投資承建單位信息平臺使用情況納入季度考核。

第十二條 通過視頻監(jiān)控和巡視發(fā)現(xiàn)施工現(xiàn)場視頻不按規(guī)定設(shè)置、違規(guī)挪動、故意遮擋、污損、用光照射鏡頭、無故中斷、關(guān)閉視頻,以及視頻監(jiān)控平臺被人為破壞等問題,且拒絕整改、未按時整改、整改不到位的,每個問題給予10000元的處罰。有渣土車輛進出的施工現(xiàn)場大門口沒有安裝攝像頭并接入監(jiān)控信息系統(tǒng)的,罰款50萬元。

第十三條 對日常巡查推送的問題,拒絕整改、未按時整改、整改不到位、整改但未及時回復的,每個問題給予5000元的處罰。安質(zhì)部對整改閉合情況進行抽查,發(fā)現(xiàn)弄虛作假的,每個問題給予20000元的處罰。

第十四條 對監(jiān)測數(shù)據(jù)和巡視報告上傳不及時的,每次處罰5000元。

第十五條 對履行《石家莊市軌道交通建設(shè)工程安全風險監(jiān)控管理辦法》工作職責不到位的,視情節(jié)輕重、整改態(tài)度、影響大小,每人次/問題給予5000元的處罰;對不配合或阻撓監(jiān)控中心工作的單位,每次處罰10000元。

第十六條 對在同一個考核周期內(nèi)相同、類似問題多次重復發(fā)生的,從第三次開始,實施雙倍處罰。

第十七條 監(jiān)控中心每雙月月底匯總存在問題情況,安全質(zhì)量部審核后,填寫處罰單,并形成考核處罰通報上傳信息平臺(處罰單見附件四)。

第十八條 雙月考核排名考核結(jié)果將通過公司文件形式下發(fā)通報,對工作不積極,效率差,不配合工作的單位將約談該單位主要領(lǐng)導。

第十九條 對各組排名靠前的單位予以獎勵,獎勵總額為前兩個月對被考核各單位處罰金額總和。標段施工單位組前1-5名分別獎勵前兩個月總處罰金額的20%、16%、12%、8%、8%,合計64%;第三方監(jiān)測組第1名獎勵前兩個月總處罰金額的6%;監(jiān)理單位組前1-3名分別獎勵前兩個月總處罰金額的12%、10%、8%,合計30%。所有獎勵處罰款項一并納入季度驗工計價,在季度驗工計價中扣除。

第四章 附則

第二十條 本辦法由石家莊市軌道交通有

第12篇 it部信息和數(shù)據(jù)資產(chǎn)安全管理規(guī)定

第一章?? 總則

一、 目的：

依據(jù)《xx集團信息技術(shù)資源安全保護規(guī)定》和有關(guān)公司規(guī)定，為進一步加強xx集團計算機信息系統(tǒng)安全保密管理，并結(jié)合各系統(tǒng)、各子公司的實際情況，制定本制度。

二、 范圍：

計算機信息系統(tǒng)包括：涉密計算機信息系統(tǒng)和非涉密計算機信息系統(tǒng)。其中，涉密計算機信息系統(tǒng)指以計算機或者計算機網(wǎng)絡(luò)為主體，按照一定的應用目標和規(guī)則構(gòu)成的處理涉密信息的人機系統(tǒng)。

三、 原則：

涉密計算機信息系統(tǒng)的保密工作堅持積極防范、突出重點，既確保企業(yè)信息安全又有利于企業(yè)開展正常業(yè)務的方針。

涉密計算機信息系統(tǒng)的安全保密工作實行分級保護與分類管理相結(jié)合、行政管理與技術(shù)防范相結(jié)合、防范外部與控制內(nèi)部相結(jié)合的原則。

涉密計算機信息系統(tǒng)的安全保密管理，堅持“誰使用，誰負責”的原則，同時實行主要領(lǐng)導負責制。

第二章? 系統(tǒng)管理人員的職責

一、 崗位設(shè)置：

用戶單位的涉密計算機信息系統(tǒng)的管理由用戶保密單位負責，具體技術(shù)工作由集團it部承擔，設(shè)置以下安全管理崗位：系統(tǒng)管理員、安全保密管理員、密鑰管理員。

二、 崗位職責：

系統(tǒng)管理員負責信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的運行維護管理，主要職責是：信息系統(tǒng)主機的日常運行維護；信息系統(tǒng)的系統(tǒng)安裝、備份、維護；信息系統(tǒng)數(shù)據(jù)庫的備份管理； 應用系統(tǒng)訪問權(quán)限的管理；網(wǎng)絡(luò)設(shè)備的管理；網(wǎng)絡(luò)的線路保障；網(wǎng)絡(luò)服務器平臺的運行管理，網(wǎng)絡(luò)病毒入侵防范。

安全保密管理員負責網(wǎng)絡(luò)信息系統(tǒng)的安全保密技術(shù)管理，主要職責是：網(wǎng)絡(luò)信息安全策略管理；網(wǎng)絡(luò)信息系統(tǒng)安全檢查；涉密計算機的安全管理；網(wǎng)絡(luò)信息系統(tǒng)的安全審計管理。

密鑰管理員負責密鑰的管理，主要職責是：身份認證系統(tǒng)的管理；密鑰的制作；密鑰的更換；密鑰的銷毀。

三、 工作監(jiān)管：

對涉密計算機信息系統(tǒng)安全管理人員的管理要遵循“從不單獨原則”、“責任分散原則”和“最小權(quán)限原則”。

新調(diào)入或任用涉密崗位的系統(tǒng)管理人員，必須先接受保密教育和網(wǎng)絡(luò)安全保密知識培訓后方可上崗工作。

保密單位負責定期組織系統(tǒng)管理人員進行保密法規(guī)知識的宣傳教育和培訓工作。

第三章? 機房管理制度

一、 機房安全管理：

進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)、食品等對設(shè)備正常運行構(gòu)成威脅的物品。嚴禁在機房內(nèi)吸煙。嚴禁在機房內(nèi)堆放與工作無關(guān)的雜物。

機房內(nèi)不得使用無線通訊設(shè)備，禁止拍照和攝影。

機房內(nèi)應按要求配置足夠量的消防器材，并做到三定（定位存放、定期檢查、定時更換）。加強防火安全知識教育，做到會使用消防器材。加強電源管理，嚴禁亂接電線和違章用電。發(fā)現(xiàn)火險隱患，及時報告，并采取安全措施。

二、 機房日常管理：

各類技術(shù)檔案、資料由專人妥善保管并定期檢查。

機房應保持整潔有序，地面清潔。設(shè)備要排列整齊，布線要正規(guī)，儀表要齊備，工具要到位，資料要齊全。機房的門窗不得隨意打開。

每天上班前和下班后對機房做日常巡檢，檢查機房環(huán)境、電源、設(shè)備等并做好相應記錄（見表一）。

三、 機房門禁管理：

出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)集團it部批準，并有專人陪同。

機房大門必須隨時關(guān)閉上鎖。機房鑰匙由集團公司集團it部管理。

機房門禁卡（以下簡稱門禁卡）由xx集團it部管理。門禁卡的發(fā)放范圍是：系統(tǒng)管理員、安全保密管理員和密鑰管理員。對臨時進入機房工作的人員，不再發(fā)放門禁卡，在向用戶單位保密部門提出申請得到批準后，由安全保密管理員陪同進入機房工作。

門禁卡應妥善保管，不得遺失和互相借用。門禁卡遺失后，應立即上報門禁卡管理單位，同時寫出書面說明。

第四章? 系統(tǒng)管理員工作細則

第一節(jié)? 系統(tǒng)主機維護管理辦法

一、 工作職責：

系統(tǒng)主機由系統(tǒng)管理員負責維護，未經(jīng)允許任何人不得對系統(tǒng)主機進行操作。

根據(jù)系統(tǒng)設(shè)計方案和應用系統(tǒng)運行要求進行主機系統(tǒng)安裝、調(diào)試，建立系統(tǒng)管理員賬戶，設(shè)置管理員密碼，建立用戶賬戶，設(shè)置系統(tǒng)策略、用戶訪問權(quán)利和資源訪問權(quán)限，并根據(jù)安全風險最小化原則及運行效率最大化原則配置系統(tǒng)主機。

建立系統(tǒng)設(shè)備檔案（見表二）、包括系統(tǒng)主機詳細的技術(shù)參數(shù)，如：品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息，妥善保管系統(tǒng)主機保修卡，在系統(tǒng)主機軟硬件信息發(fā)生變更時對設(shè)備檔案進行及時更新。

二、 日常維護及例行檢查：

每月： 每月修改系統(tǒng)主機管理員密碼，密碼長度不得低于八位，要求有數(shù)字、字母并區(qū)分大小寫。每月對系統(tǒng)主機運行情況進行總結(jié)、并寫出系統(tǒng)主機運行維護月報，上報基礎(chǔ)架構(gòu)管理負責人。

每周： 通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析，并做詳細記錄（見表四），根據(jù)分析情況對系統(tǒng)主機進行系統(tǒng)優(yōu)化，包括磁盤碎片整理、系統(tǒng)日志文件清理，系統(tǒng)升級等。每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份，做詳細記錄（見表四）。每周下載安裝最新版的系統(tǒng)補丁，對系統(tǒng)主機進行升級，做詳細記錄（見表四）。

每天： 檢查系統(tǒng)主機各硬件設(shè)備是否正常運行，并做詳細記錄（見表五）。每天檢查系統(tǒng)主機各應用服務系統(tǒng)是否運行正常，并做詳細記錄（見表五）。每天記錄系統(tǒng)主機運行維護日記，對系統(tǒng)主機運行情況進行總結(jié)。在系統(tǒng)主機發(fā)生故障時應及時通知用戶，用最短的時間解決故障，保證系統(tǒng)主機盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。

第二節(jié)? 信息系統(tǒng)運行維護管理辦法

一、 工作職責：

根據(jù)信息系統(tǒng)的設(shè)計要求及實施細則安裝、調(diào)試、配置信息系統(tǒng)，建立信息系統(tǒng)管理員賬號，設(shè)置管理員密碼，密碼要求由數(shù)字和字母組成，區(qū)分大小寫，密碼長度不得低于8位。管理員密碼至少每月修改一次。

信息系統(tǒng)的開發(fā)和上線必須嚴格將開發(fā)環(huán)境和生產(chǎn)環(huán)境分開。不允許兩個環(huán)境使用同一個服務器、或同一個操作系統(tǒng)、或同一個數(shù)據(jù)庫實例。

對信息系統(tǒng)的基本配置信息做詳細記錄，包括系統(tǒng)配置信息、用戶帳戶名稱，系統(tǒng)安裝目錄、數(shù)據(jù)文件存貯目錄，在信息系統(tǒng)配置信息發(fā)生改變時及時更新記錄（見表三）。

二、 日常維護及例行檢查：

每月：對信息系統(tǒng)運行維護情況進行總結(jié)，并寫出信息系統(tǒng)維護月報，并上報信息系統(tǒng)的技術(shù)負責人和業(yè)務負責人。

每周： 對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶id文件、系統(tǒng)日志進行備份，并做詳細記錄（見表四），備份介質(zhì)并存檔。

每天： 檢查信息系統(tǒng)各項應用功能是否運行正常，并做詳細記錄（見表五）。每天記錄信息系統(tǒng)運行維護日志，定期對信息系統(tǒng)運行情況進行總結(jié)。

三、 問題處理：

在信息系統(tǒng)發(fā)生故障時，應及時通知用戶，并用最短的時間解決故障，保證信息系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況做詳細記錄（見表六）。

當信息系統(tǒng)用戶發(fā)生增加、減少、變更時，新建用戶帳戶，新建用戶郵箱，需經(jīng)保密單位審批，并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單（見表七），審批通過后，由系統(tǒng)管理員進行操作，并做詳細記錄。

根據(jù)用戶需求設(shè)置信息系統(tǒng)各功能模塊訪問權(quán)限，并提交信息系統(tǒng)的業(yè)務主管審批。

第三節(jié)? 網(wǎng)絡(luò)系統(tǒng)運行維護管理辦法

一、 工作職責：

網(wǎng)絡(luò)系統(tǒng)運行維護由系統(tǒng)管理員專人負責，未經(jīng)允許任何人不得對網(wǎng)絡(luò)系統(tǒng)進行操作。

根據(jù)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案和實施細則安裝、調(diào)試、配置網(wǎng)絡(luò)系統(tǒng)，包括交換機配置、路由器配置，建立管理員賬號，設(shè)置管理員密碼，并關(guān)閉所有遠程管理端口。

建立系統(tǒng)設(shè)備檔案（見表二），包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息，詳細記錄綜合布線系統(tǒng)信息配置表，交換機系統(tǒng)配置，路由器系統(tǒng)配置，網(wǎng)絡(luò)拓撲機構(gòu)圖，vlan劃分表，并在系統(tǒng)配置發(fā)生變更時及時對設(shè)備檔案進行更新。

二、 日常維護及例行檢查：

每月： 對網(wǎng)絡(luò)系統(tǒng)運行維護情況進行總結(jié)，并作出網(wǎng)絡(luò)系統(tǒng)運行維護月報。

每周： 對網(wǎng)絡(luò)系統(tǒng)設(shè)備（交換機、路由器）進行清潔。每周修改網(wǎng)絡(luò)系統(tǒng)管理員密碼。每周檢測網(wǎng)絡(luò)系統(tǒng)性能，包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性、傳輸速率。

每天： 檢查網(wǎng)絡(luò)系統(tǒng)設(shè)備（交換機、路由器）是否正常運行。

三、 問題處理：

網(wǎng)絡(luò)變更后進行網(wǎng)絡(luò)系統(tǒng)配置資料備份。

當網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時，應及時通知用戶，并在最短的時間內(nèi)解決問題，保證網(wǎng)絡(luò)系統(tǒng)盡快正常運行，并對系統(tǒng)故障情況作詳細記錄（見表六）。

第四節(jié) 終端電腦運行維護管理辦法

一、 工作職責：

終端電腦的維護由系統(tǒng)管理員負責，未經(jīng)允許任何人不得對終端電腦進行維護操作。

根據(jù)用戶應用需求和安全要求安裝、調(diào)試電腦主機，安裝操作系統(tǒng)、應用軟件、殺毒軟件等等。

建立系統(tǒng)設(shè)備檔案（見表二）、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息，在電腦主機軟硬件信息發(fā)生變更時對設(shè)備檔案進行及時更新。

二、 問題處理：

在電腦主機發(fā)生故障時應及時進行處理，備份用戶文件，用最短的時間解決故障，保證電腦主機盡快能夠正常運行，并對電腦主機故障情況做詳細記錄（見表六），涉及存儲介質(zhì)損壞，直接送交集團it部處理。

第五節(jié) 網(wǎng)絡(luò)病毒入侵防范管理辦法

一、 工作職責：

網(wǎng)絡(luò)病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負責，任何人未經(jīng)允許不得進行此項操作。

根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計要求安裝、配置瑞星、金山、avast等網(wǎng)絡(luò)病毒防護系統(tǒng)，包括服務器端系統(tǒng)配置和客戶機端系統(tǒng)配置，開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。

所有xx集團（包括各子公司、分公司、分區(qū)）的服務器和個人電腦，禁止安裝360安全衛(wèi)士的全系列產(chǎn)品。

二、 日常維護及例行檢查：

每周： 登陸防病毒公司網(wǎng)站，下載最新的升級文件，對系統(tǒng)進行升級，并作詳細記錄（見表九）。每周對網(wǎng)絡(luò)系統(tǒng)進行全面的病毒查殺，對病毒查殺結(jié)果做系統(tǒng)分析，并做詳細記錄（見表十）。

每日： 監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志，檢測是否有病毒入侵、安全隱患等，對所發(fā)現(xiàn)的問題進行及時處理，并做詳細記錄（見表八）。每日瀏覽國家計算機病毒應急處理中心網(wǎng)站，了解最新病毒信息發(fā)布情況，及時向用戶發(fā)布病毒預警和預防措施。

第五章? 安全保密管理員工作細則

第一節(jié) 網(wǎng)絡(luò)信息安全策略管理辦法

一、 工作職責：

網(wǎng)絡(luò)安全策略管理由安全保密管理員專職負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果，制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除網(wǎng)絡(luò)安全評估分析系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略，并做記錄（見表十一）。

根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略，并做記錄（見表十一）。

網(wǎng)絡(luò)信息安全技術(shù)防護系統(tǒng)（主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)）由網(wǎng)絡(luò)安全保密管理員統(tǒng)一負責安裝和卸載。

二、 日常維護及例行檢查：

每周： 對網(wǎng)絡(luò)信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份，并作詳細記錄（見表十二）。

第二節(jié) 網(wǎng)絡(luò)信息系統(tǒng)安全檢查管理辦法

一、 工作職責：

網(wǎng)絡(luò)信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行，未經(jīng)允許任何人不得進行此項操作。

二、 日常維護及例行檢查：

每月： 通過漏洞掃描系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)終端進行安全評估分析，并對掃描結(jié)果進行分析，及時對終端系統(tǒng)漏洞及安全隱患進行處理，作詳細記錄（見表十五），并將安全評估分析報告上報集團it部。

每周： 登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并做詳細記錄（見表十四）。

每周登錄全評估產(chǎn)品網(wǎng)站，下載最新升級文件包，對系統(tǒng)進行更新，并作詳細記錄（見表十六）。

每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息，并作詳細記錄（見表十七）。

每天： 根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志，檢查是否有網(wǎng)絡(luò)攻擊、異常操作、不正常數(shù)據(jù)流量等，對異常情況做及時處理，遇有重大安全問題上報集團it部，并做詳細記錄（見表十三）。

第三節(jié) 涉密計算機安全管理辦法

一、 工作職責：

涉密計算機安全管理由安全保密管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計要求制定、修改、刪除涉密計算機安全審計策略，包括打印控制策略、外設(shè)輸入輸出控制策略、應用程序控制策略，并做記錄。

二、 日常維護及例行檢查：

每日對涉密計算機進行安全審計，及時處理安全問題，并做詳細記錄（見表十八），遇有重大問題上報保密部門。

三、 問題處理：

涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批，審批通過后由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。

新增涉密計算機聯(lián)入涉密網(wǎng)絡(luò)，需經(jīng)集團it部審批，由安全保密管理員統(tǒng)一進行操作，并做詳細記錄（見表十八）。

第四節(jié) 安全審計管理辦法

一、 工作職責：

網(wǎng)絡(luò)信息安全審計系統(tǒng)由安全保密管理員負責，未經(jīng)允許任何人不得進行此項操作。

根據(jù)網(wǎng)絡(luò)系統(tǒng)主機安全設(shè)計要求安裝、配置、管理主機安全審計系統(tǒng)，制定審計規(guī)則，包括系統(tǒng)運行狀態(tài)、用戶登錄信息，網(wǎng)絡(luò)文件共享操作等。

二、 日常維護及例行檢查：

每月：對主機安全審計系統(tǒng)記錄信息進行分析總結(jié)，并向保密部門提交分析報告。

每周：備份設(shè)備安全審計系統(tǒng)審計信息，并做詳細記錄（見表二十）。

每日：查看安全審計系統(tǒng)信息，對審計結(jié)果進行分析整理，及時處理所發(fā)生的設(shè)備安全問題，并做詳細記錄（見表十九）。

第五章? 密鑰管理員工作細則

一、 工作職責：

身份認證系統(tǒng)由密鑰管理員專人負責，未經(jīng)允許任何人不得進行此項操作。

負責向用戶單位派發(fā)安全鑰匙，用戶需填寫審批表，并提交保密部門審批（見表二十一）。

負責為每臺計算機安裝主機登錄系統(tǒng)。

負責主機登錄系統(tǒng)、身份認證系統(tǒng)的系統(tǒng)維護。

根據(jù)用戶需求，見保密部門審批單要求，制作、修改、注銷證書（見表七）。

二、 日常維護及例行檢查：

每日：檢查身份認證系統(tǒng)是否正常運行。

第六章? 數(shù)據(jù)資產(chǎn)管理規(guī)定

一、 范圍：

xx集團的內(nèi)部各信息系統(tǒng)均為涉密計算機信息系統(tǒng)，所有信息系統(tǒng)內(nèi)的數(shù)據(jù)資源均為xx集團的財產(chǎn)，任何人不得以任何方式私自復制、修改、保留。

二、 職責：

信息系統(tǒng)的運行維護由系統(tǒng)管理員和信息系統(tǒng)的業(yè)務單位指定的管理員共同負責，未經(jīng)系統(tǒng)管理員和信息系統(tǒng)的業(yè)務主管領(lǐng)導同意，任何人不得在系統(tǒng)后臺對信息系統(tǒng)進行任何操作。

系統(tǒng)管理員只對信息系統(tǒng)的技術(shù)平臺擁有相應的管理權(quán)限，任何對信息系統(tǒng)數(shù)據(jù)的使用均需要信息系統(tǒng)的業(yè)務主管領(lǐng)導同意；未經(jīng)許可系統(tǒng)管理員不得以任何方式向第三方透漏信息系統(tǒng)內(nèi)的任何信息。

三、 所有權(quán)：

信息系統(tǒng)（集團財務系統(tǒng)、媒介系統(tǒng)等）的數(shù)據(jù)直接管理權(quán)歸相應的業(yè)務單位所有（例如，媒介系統(tǒng)的業(yè)務所有人為媒介管理部。信息系統(tǒng)的技術(shù)維護工作由xx集團it部或相應的授權(quán)技術(shù)服務團隊負責。

所有有權(quán)直接接觸信息系統(tǒng)的生產(chǎn)環(huán)境的技術(shù)團隊成員，均需簽署保密協(xié)議。技術(shù)團隊成員有責任和義務為相關(guān)系統(tǒng)的信息或代碼保密。

第七章? 計算機信息系統(tǒng)應急預案

一、 工作職責：

系統(tǒng)管理人員參與制定各種意外事件處置預案，并具體執(zhí)行，包括火災、停電、設(shè)備故障等，每年進行預案演練。

二、 系統(tǒng)應急場景：

(一) 遇到火災應根據(jù)火情采取以下措施：

1. 如火情較輕時，應立即切斷機房總電源，并迅速用消防器材，力爭把火撲滅、控制在初期階段，同時上報集團保衛(wèi)部門。

2. 如火情嚴重應迅速撥打報警電話“119”，同時通知集團保衛(wèi)部門，聽從消防工作人員的現(xiàn)場指揮，協(xié)助處理有關(guān)事項。

(二) 如遇機房突發(fā)性停電，應迅速通知用戶，同時檢查后備電源使用情況；如有需要，可以關(guān)閉設(shè)備電源；來電后，及時通知用戶，并檢測設(shè)備是否正常運行。

(三) 系統(tǒng)出現(xiàn)災難性故障時，系統(tǒng)管理員應立刻通知部門主管，制定詳細的系統(tǒng)恢復方案。

三、 問題處理：

遇緊急情況，值班員應立即通知集團it部和系統(tǒng)管理員，保持24小時通訊暢通，隨時處理緊急事件。

線路故障應立即撥打線路故障電話“112”，同時上報部門主管，協(xié)助電信部門查找故障原因，盡快使線路恢復正常。

第13篇 某大學網(wǎng)絡(luò)及信息系統(tǒng)安全管理辦法

z大學網(wǎng)絡(luò)及信息系統(tǒng)安全管理辦法

近年來，國內(nèi)信息安全形勢嚴峻，各類信息安全事件頻發(fā)。為此，教育部辦公廳發(fā)布了《關(guān)于加強網(wǎng)絡(luò)安全檢查的通知》(教技廳函[2014]51號)、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)和《教育部辦公廳關(guān)于開展國家級重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》(教技廳函[2015]45號)要求高校加強網(wǎng)絡(luò)及信息系統(tǒng)安全管理;《z市教育委員會關(guān)于進一步加強和規(guī)范網(wǎng)絡(luò)與信息安全管理的通知》(渝教科〔2014〕32號)進一步明確高校需加強網(wǎng)絡(luò)、信息系統(tǒng)和網(wǎng)站安全管理;z市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室發(fā)布的《z市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組辦公室關(guān)于加強重點網(wǎng)站安全防范工作的緊急通知》(渝等保辦〔2015〕9號)要求高校加強信息系統(tǒng)和網(wǎng)站安全，落實信息系統(tǒng)等級保護定級管理工作。

第一章 總則

第一條 為貫徹落實國家及教育主管部門相關(guān)文件精神，進一步加強我校網(wǎng)絡(luò)及信息安全工作，特制定本辦法。

第二條 本辦法所指網(wǎng)絡(luò)(以下簡稱校園網(wǎng))包括z大學教學辦公區(qū)、學生宿舍區(qū)和部分由學校建設(shè)管理的教師住宅區(qū)網(wǎng)絡(luò)，不包括由電信運營商自主建設(shè)運營的住宅區(qū)網(wǎng)絡(luò)。

第三條 本辦法所指信息系統(tǒng)指由學校及各二級單位建設(shè)管理各類業(yè)務系統(tǒng)和網(wǎng)站。

第四條 涉密網(wǎng)絡(luò)和涉密系統(tǒng)根據(jù)國家及學校的相關(guān)管理規(guī)定單獨管理，不適用本管理辦法。

第二章 管理機構(gòu)及職責

第五條 為進一步加強網(wǎng)絡(luò)及信息安全組織領(lǐng)導，學校將原“z大學計算機網(wǎng)絡(luò)及信息安全領(lǐng)導小組”、“z大學數(shù)字化校園建設(shè)領(lǐng)導小組”整合調(diào)整為“z大學網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組”(以下簡稱領(lǐng)導小組)。領(lǐng)導小組負責制定全校網(wǎng)絡(luò)及信息安全工作的總體方針和安全策略，審定全校網(wǎng)絡(luò)及信息安全管理制度，指導并監(jiān)督網(wǎng)絡(luò)及信息安全管理。領(lǐng)導小組辦公室設(shè)在黨委辦公室。

第六條 網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組辦公室負責網(wǎng)絡(luò)及信息安全總體事務，主要職責包括：

(一) 統(tǒng)籌協(xié)調(diào)全校網(wǎng)絡(luò)及信息安全工作;

(二) 網(wǎng)絡(luò)及信息安全總體規(guī)劃;

(三) 制定網(wǎng)絡(luò)及信息安全管理制度;

(四) 組織信息網(wǎng)絡(luò)安全工作檢查和考評;

(五) 網(wǎng)絡(luò)及信息安全事件查處。

第七條 宣傳部主要職責包括：

(一) 學校主頁內(nèi)容審核、發(fā)布及安全管理;

(二) 學校新聞網(wǎng)內(nèi)容審核、發(fā)布及安全管理;

(三) 民主湖論壇內(nèi)容審核、發(fā)布及安全管理;

(四) 全校輿情監(jiān)控及內(nèi)容管理。

第八條 保衛(wèi)處主要職責包括：

(一) 全校信息安全監(jiān)控管理;

(二) 網(wǎng)絡(luò)及信息安全違法違紀事件的調(diào)查;

(三) 網(wǎng)絡(luò)及信息安全事件處理中的對外聯(lián)絡(luò)與接洽。

第九條 信息化辦公室負責網(wǎng)絡(luò)及信息安全技術(shù)支撐，主要職責包括：

(一) 校園網(wǎng)出口安全基礎(chǔ)設(shè)施的建設(shè)和管理;

(二) 學校數(shù)據(jù)中心安全基礎(chǔ)設(shè)施建設(shè)和管理;

(三) 校園無線網(wǎng)絡(luò)接入安全管理;

(四) 校園網(wǎng)安全監(jiān)控管理;

(五) 定期實施校內(nèi)服務器安全漏洞掃描及安全預警;

(六) 定期組織實施信息系統(tǒng)安全等級測評;

(七) 落實專職人員負責網(wǎng)絡(luò)及信息安全管理工作;

(八) 組織信息網(wǎng)絡(luò)安全培訓和教育。

第十條 虎溪校區(qū)管委會具體負責虎溪校區(qū)網(wǎng)絡(luò)及信息安全管理，主要職責包括：

(一) 虎溪校區(qū)校園網(wǎng)出口安全基礎(chǔ)設(shè)施建設(shè)和管理;

(二) 虎溪校區(qū)校園網(wǎng)內(nèi)容審計系統(tǒng)監(jiān)測管理;

(三) 虎溪校區(qū)網(wǎng)絡(luò)信息中心機房的網(wǎng)絡(luò)及信息安全管理;

(四) 虎溪校區(qū)門戶及各業(yè)務系統(tǒng)內(nèi)容及系統(tǒng)安全管理。

第十一條 圖書館主要職責：

(一) 民主湖論壇的系統(tǒng)安全管理;

(二) 圖書館網(wǎng)絡(luò)(有線部分)接入安全管理;

(三) 圖書館業(yè)務系統(tǒng)及網(wǎng)站的安全管理。

第十二條 學工部、研工部主要職責：

(一) 學工、研工業(yè)務系統(tǒng)及網(wǎng)站安全管理;

(二) “易班”系統(tǒng)接入安全管理;

(三) 協(xié)助進行輿情監(jiān)控及內(nèi)容管理。

第十三條 其它二級單位主要職責包括:

(一) 本單位局域網(wǎng)和校園網(wǎng)接入安全管理;

(二) 本單位聯(lián)網(wǎng)計算機審核(有線部分);

(三) 本單位上網(wǎng)信息審核;

(四) 本單位業(yè)務系統(tǒng)及網(wǎng)站的安全管理。

第三章 校園網(wǎng)安全管理

第十四條 信息化辦公室總體負責校園網(wǎng)安全管理工作，虎溪校區(qū)管委會具體負責虎溪校區(qū)校園網(wǎng)安全管理工作。

第十五條 校園網(wǎng)(有線部分)由信息化辦公室負責在校園網(wǎng)出口處實施實名上網(wǎng)認證，各二級單位負責接入端安全管理;校園網(wǎng)(無線部分)由信息化辦公室負責實施實名接入上網(wǎng)認證。

第十六條 信息化辦公室負責學校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)施建設(shè)和管理。

第十七條 接入校園網(wǎng)的各單位和用戶必須嚴格遵守執(zhí)行《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關(guān)法律法規(guī)，嚴格執(zhí)行信息安全及保密相關(guān)制度。

第十八條 二級單位根據(jù)國家有關(guān)規(guī)定對上網(wǎng)信息進行審查，凡涉及國家秘密的信息嚴禁上網(wǎng)。使用校園網(wǎng)的相關(guān)單位和用戶必須對所提供的信息負責。不得利用校園網(wǎng)從事危害國家安全、泄露國家秘密等犯罪活動，不得制作、查閱、復制和傳播有礙社會治安、社會穩(wěn)定的信息。

第十九條 在校園網(wǎng)上不允許進行任何干擾網(wǎng)絡(luò)用戶、破壞網(wǎng)絡(luò)服務和網(wǎng)絡(luò)設(shè)備的活動，不得在網(wǎng)絡(luò)上散布計算機病毒，未經(jīng)授權(quán)不得使用校園網(wǎng)。

第二十條 接入校園網(wǎng)的各二級單位需指定一名主管領(lǐng)導負責本單位的網(wǎng)絡(luò)及信息安全工作，設(shè)立網(wǎng)絡(luò)管理員具體負責相應的網(wǎng)絡(luò)安全和信息安全技術(shù)工作。

第二十一條 校園網(wǎng)上所有單位和用戶有義務向?qū)W校網(wǎng)絡(luò)信息安全相關(guān)部門報告網(wǎng)絡(luò)違法犯罪行為和網(wǎng)上有害信息情況。

第二十二條 與校園網(wǎng)相關(guān)的所有單位和用戶必須接受并配合國家有關(guān)部門依法進行的監(jiān)督檢查。

第四章 信息系統(tǒng)安全管理

第二十三條 各二級單位是信息系統(tǒng)安全管理的責任主體，對本單位信息系統(tǒng)安全負責。

第二十四條 信息系統(tǒng)安全遵循“同步規(guī)劃、同步建設(shè)、同步運行”的原則，信息系統(tǒng)的立項采購、測試驗收、交付使用、升級改造必須符合國家對信息系統(tǒng)安全等級保護的相關(guān)要求。

第二十五條 二級單位負責制定信息系統(tǒng)安全管理策略，加強人員安全能力與安全意識培訓，落實學校安全要求;確定信息系統(tǒng)數(shù)據(jù)安全要求，明確數(shù)據(jù)訪問權(quán)限，制定數(shù)據(jù)備份機制，接入學校統(tǒng)一災備體系。

第二十六條 二級單位負責信息系統(tǒng)的安全運行維護工作，按照《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)基本技術(shù)要求規(guī)定，做好系統(tǒng)安全、角色權(quán)限、口令增強等系統(tǒng)管理工作，定期進行安全檢查、漏洞修補、系統(tǒng)升級、數(shù)據(jù)備份等安全管理工作;信息系統(tǒng)一旦出現(xiàn)信息安全事件，二級單位應及時查處整改，對多次出現(xiàn)安全事件的信息系統(tǒng)由信息化辦公室暫停其網(wǎng)絡(luò)連接及服務。

第五章 信息系統(tǒng)安全等級保護定級

第二十七條 根據(jù)“自主定級、自主保護”的原則，由學校“網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組”確定我校信息系統(tǒng)安全等級保護定級方案。

第二十八條 學?，F(xiàn)有信息系統(tǒng)的定級由“網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組”根據(jù)教育部辦公廳《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》(教技廳函[2014]74號)并結(jié)合我校實際情況確定，定級確定后按要求報公安機關(guān)審核備案并定期開展等級測評。

第二十九條 信息系統(tǒng)安全等級保護定級、變更由學校“網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組”審定，各二級單位負責準備相關(guān)備案材料，信息化辦公室負責組織等級測評、報公安機關(guān)審核備案。

第三十條 信息化辦公室定期組織對重要信息系統(tǒng)進行安全檢測。

第六章 安全事件查處

第三十一條 網(wǎng)絡(luò)及信息安全事件(以下簡稱安全事件)包括有害程序、網(wǎng)絡(luò)攻擊、信息破壞、信息內(nèi)容安全、信息設(shè)施故障、災害性事件及其它危害網(wǎng)絡(luò)及信息安全的事件。

第三十二條 校園網(wǎng)上所有單位和用戶有義務向?qū)W校網(wǎng)絡(luò)信息安全相關(guān)部門報告安全事件。

第三十三條 二級單位發(fā)現(xiàn)安全事件或接到安全事件報告后應在第一時間將相關(guān)情況報學校保衛(wèi)處和信息化辦公室。

第三十四條 學校保衛(wèi)處負責安全事件的調(diào)查取證，信息化辦公室負責技術(shù)支撐，二級單位負責配合舉證。

第三十五條 發(fā)生安全事件后應首先留存相關(guān)證據(jù)，中斷網(wǎng)絡(luò)連接以減小安全事件擴散影響，在調(diào)查取證結(jié)束以前不執(zhí)行數(shù)據(jù)刪除、系統(tǒng)恢復等操作，避免影響調(diào)查取證。

第三十六條 二級單位應建立安全事件應急處理機制，制定應急預案，定期實施應急測試、演練和培訓。

第三十七條 網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組辦公室負責對一般安全事件責任人和責任單位進行處理，對造成重大影響和重大損失的安全事件報請網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組處理。

第七章 附則

第三十八條 本管理辦法由學校授權(quán)網(wǎng)絡(luò)信息安全及信息化工作領(lǐng)導小組辦公室負責解釋。

第三十九條 本管理辦法自公布之日起執(zhí)行。

z大學

第14篇 信息安全防護體系運行管理辦法

第一章 總則

1.1目的

根據(jù)《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全總體方案》和《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責》，為進一步規(guī)范x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系配置的安全產(chǎn)品的運行管理工作，提高x單位系統(tǒng)信息安全管理水平，保證安全產(chǎn)品的有效性，特制定本辦法。

1.2 適用范圍

《運行管理辦法》適用于x單位總部、各省級局和地市級局對x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系統(tǒng)一部署的防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)和漏洞掃描系統(tǒng)、桌面安全防護系統(tǒng)、安全審計系統(tǒng)等安全產(chǎn)品的運行管理。

x單位總部、各省級局和地市級局對所配置的其它同類安全產(chǎn)品的運行管理參照本辦法執(zhí)行。

1.3管理職責

x單位總部負責總部網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；并負責匯總各省級局上報的安全產(chǎn)品運行管理報告；分析安全風險和存在的安全隱患，形成報表，監(jiān)督指導各省級局解決發(fā)現(xiàn)的安全問題。

各省級局負責本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；負責匯總各地市級局上報的安全產(chǎn)品運行管理報告，形成本省范圍內(nèi)的安全產(chǎn)品運行管理報告，當月報告在下月的10日前上報x單位總部；分析所轄區(qū)域內(nèi)的安全風險和存在的安全隱患，監(jiān)督指導下一級局解決發(fā)現(xiàn)的安全問題。

各省級局負責本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當月報告在下月的10日前上報x單位總部；分析安全風險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

各地市級局負責本單位網(wǎng)絡(luò)中部署的安全產(chǎn)品的運行管理工作；形成安全產(chǎn)品運行管理報告，當月報告在下月的5日前上報各省級局；分析所屬網(wǎng)絡(luò)中的安全風險和存在的安全隱患，解決發(fā)現(xiàn)的安全問題。

第二章 安全管理員職責

各級x單位機關(guān)必須按照《x單位系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責》的規(guī)定，設(shè)置安全管理員崗位和具體的執(zhí)行角色，負責安全產(chǎn)品的運行管理，根據(jù)各單位的具體情況，安全管理員崗位可以是安全管理員角色和安全審計員角色的組合，也可設(shè)置多個安全管理員崗位。

安全管理員在各x單位機關(guān)安全管理機構(gòu)的領(lǐng)導下工作，負責管理x單位系統(tǒng)網(wǎng)絡(luò)信息安全防護體系部署的安全產(chǎn)品，主要職責是：

（1）根據(jù)業(yè)務需求和網(wǎng)絡(luò)安全威脅維護安全產(chǎn)品的安全策略，在必須修改策略時，經(jīng)領(lǐng)導和上級主管部門批準后實施；

（2）負責安全產(chǎn)品的日常維護管理，認真記錄維護日志；

（3）解決安全產(chǎn)品運行中出現(xiàn)的技術(shù)問題，及時排除故障；

（4）定期分析安全產(chǎn)品的系統(tǒng)日志和安全日志，檢查設(shè)備工作狀況，分析是否存在安全風險；

（5）發(fā)現(xiàn)重大安全問題或事件時，及時向領(lǐng)導報告，并按照應急預案進行應急處理；

（6）按照安全產(chǎn)品運行管理報告（見附件二）的內(nèi)容要求，提交安全產(chǎn)品的運行管理報告。

第三章 安全產(chǎn)品的管理

3.1日常維護管理

（1）安全管理員應每天進行安全設(shè)備巡檢；

（2）安全管理員必須對安全產(chǎn)品的策略進行備份保護，策略發(fā)生變更時，必須做好變更記錄并進行備份更新；

（3）定期備份與維護安全產(chǎn)品的系統(tǒng)日志和安全日志；

（4）在總部發(fā)布安全產(chǎn)品升級通知后，及時進行產(chǎn)品升級；

（5）安全產(chǎn)品的運行維護活動記入安全產(chǎn)品的維護工作日志。

3.2故障管理

安全管理員應每天在日常維護日志中，記錄安全產(chǎn)品的運行狀況或使用情況。在產(chǎn)品出現(xiàn)故障時，應及時與廠商聯(lián)系解決問題，并記錄故障現(xiàn)象與處理結(jié)果。

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全產(chǎn)品故障統(tǒng)計月表》。

《安全產(chǎn)品故障統(tǒng)計月表》根據(jù)日常維護記錄中安全產(chǎn)品的故障情況填寫。

產(chǎn)品類型包括：防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、終端桌面安全防護系統(tǒng)和安全審計系統(tǒng)。

內(nèi)容包括：

a.? 故障總數(shù)

b.? 主要故障描述

c.? 處理結(jié)果

3.3變更管理

總部對網(wǎng)絡(luò)與信息安全防護產(chǎn)品的配置位置和統(tǒng)配策略做了統(tǒng)一部署。為了保證安全防護體系的完整性和可控性，需要對網(wǎng)絡(luò)信息安全防護體系中配置的安全產(chǎn)品進行變更管理。

（1）總部統(tǒng)一配置的安全產(chǎn)品配置位置變更時必須經(jīng)總部批準；

（2）各級x單位單位負責本單位安全策略的制定，但總部統(tǒng)配安全策略的變更必須報總部批準。

（3）對批準實施的變更情況存檔并記入本單位《運行管理報告》中的變更情況說明，包括：

l? 變更的安全設(shè)備名稱、型號

l? 變更原因

l? 變更后的設(shè)備配置拓撲

l? 變更后的設(shè)備配置策略

3.4安全管理

3.4.1例行安全管理

安全管理員必須每天分析安全產(chǎn)品的系統(tǒng)日志和安全日志，在發(fā)現(xiàn)安全事件時，應及時報告。

以下各節(jié)描述對各類安全設(shè)備的例行安全管理活動。

3.4.1.1防火墻

（1）防火墻運行狀態(tài)監(jiān)測

安全管理員應每天監(jiān)測上下行防火墻和橫向防火墻運行狀態(tài)。

監(jiān)測的內(nèi)容：

a.系統(tǒng)負載（cpu狀態(tài)）

b.系統(tǒng)資源（內(nèi)存狀態(tài)）

c.防火墻端口狀態(tài)

d.網(wǎng)絡(luò)連接數(shù)

（2）防火墻安全事件分析

安全管理員應每天檢查防火墻的安全日志，分析安全事件。

安全事件分析內(nèi)容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

e. 阻斷ip地址及相關(guān)端口

（3）防火墻安全事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《防火墻安全事件統(tǒng)計月表》。

《防火墻安全事件統(tǒng)計月表》根據(jù)防火墻日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a.各種攻擊類型數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

（4）防火墻阻斷事件統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中《防火墻阻斷事件報告統(tǒng)計表》。

《防火墻阻斷事件報告統(tǒng)計表》根據(jù)安全審計系統(tǒng)中相應的防火墻日志分析結(jié)果填寫。

阻斷事件統(tǒng)計內(nèi)容：

a. 阻斷事件總數(shù)。

b. top 10阻斷ip地址。

c.top 10 阻斷端口。

3.4.1.2入侵檢測系統(tǒng)

（1）安全事件分析

安全管理員應每天分析入侵檢測系統(tǒng)記錄的安全事件。

安全事件分析內(nèi)容：

a. 攻擊事件描述

b. 攻擊時間

c. 攻擊類型

d. 攻擊源ip和受攻擊主機ip

（2）入侵檢測系統(tǒng)安全事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》。

《入侵檢測系統(tǒng)安全事件統(tǒng)計月表》根據(jù)入侵檢測日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a. top 10安全事件數(shù)量及百分比統(tǒng)計

b.top 10攻擊源ip與受攻擊主機ip統(tǒng)計

3.4.1.3 防病毒系統(tǒng)

（1）防病毒系統(tǒng)運行管理監(jiān)測

安全管理員應進行防病毒系統(tǒng)運行管理監(jiān)測。

監(jiān)測內(nèi)容：

a.防病毒軟件升級信息

b.周病毒審計

c.周主機變化記錄

d.周策略維護

（2）病毒事件周分析

安全管理員應每周監(jiān)測病毒事件

監(jiān)測內(nèi)容：

a.病毒總量

b.多發(fā)病毒統(tǒng)計

c.多發(fā)病毒主機

（3）病毒事件月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《病毒事件報告月表》。

《病毒事件報告月表》根據(jù)防病毒系統(tǒng)日志分析結(jié)果填寫。

安全事件統(tǒng)計內(nèi)容：

a.? 病毒總量

b.? 多發(fā)病毒統(tǒng)計

c.? 多發(fā)病毒主機

3.4.1.4漏洞掃描系統(tǒng)

（1）漏洞掃描系統(tǒng)管理監(jiān)控

安全管理員要嚴格管理好漏洞掃描系統(tǒng)，未經(jīng)領(lǐng)導批準，不得擅自使用。

在使用漏洞掃描系統(tǒng)前應填寫《漏洞掃描系統(tǒng)使用申請》（見附件一），獲得領(lǐng)導批準后方能使用。

申請內(nèi)容：漏洞掃描系統(tǒng)的掃描地址范圍。

安全管理員在日常維護日志中記錄使用漏洞掃描系統(tǒng)的情況。

對發(fā)現(xiàn)的重要業(yè)務服務器的安全漏洞，必須在報告總部后，根據(jù)總部組織的專家咨詢意見，獲得領(lǐng)導批準后才能打補丁。

（2）漏洞管理月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《漏洞管理月報告》。

《漏洞管理報告》根據(jù)漏洞掃描系統(tǒng)掃描數(shù)據(jù)分析與處理結(jié)果填寫。

漏洞管理內(nèi)容：

a.主要應用系統(tǒng)的相關(guān)信息及漏洞分布情況

b.根據(jù)漏洞進行配置調(diào)整與補丁安裝情況

3.4.1.5終端桌面安全防護系統(tǒng)

（1）安全事件分析

安全管理員應每天分析終端桌面安全防護系統(tǒng)的安全事件。

安全事件分析內(nèi)容：

a. 高危險級別事件名稱。

b. 高危險級別事件發(fā)生時間。

c. 高危險級別事件詳細內(nèi)容和發(fā)生原因。

d. 發(fā)生高危險級別事件的主機信息。

（2）終端桌面安全防護系統(tǒng)月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《桌面安全防護系統(tǒng)事件月報告》。

《桌面安全防護系統(tǒng)事件月報告》根據(jù)桌面安全防護系統(tǒng)的相應查詢功能和安全審計系統(tǒng)中桌面安全防護系統(tǒng)的相關(guān)日志分析結(jié)果填寫。

終端桌面安全防護系統(tǒng)管理內(nèi)容：

a.資產(chǎn)信息統(tǒng)計

b. 安全事件總數(shù)，高危險級別事件數(shù)量，中危險級別事件數(shù)量。

c.top 10 高危險級別事件。

d.top 10 高危險級別ip地址.

3.4.1.6安全審計系統(tǒng)

（1）安全事件分析

安全管理員應每天分析安全審計系統(tǒng)收集和處理的安全事件日志信息。

安全事件分析內(nèi)容：

a. windows主機產(chǎn)生的高危險級別事件信息。

b.windows主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

c.windows主機產(chǎn)生的高危險級別事件所屬主機信息。

d. unix主機產(chǎn)生的高危險級別事件信息。

e.unix主機產(chǎn)生的高危險級別事件產(chǎn)生的時間。

f.unix主機產(chǎn)生的高危險級別事件所屬主機信息。

g. 網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件信息。

h.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件產(chǎn)生的時間。

i.網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危險級別事件所屬主機信息。

（2）安全審計系統(tǒng)月統(tǒng)計

安全管理員應按附件二要求如實填寫本單位《運行管理報告》中的《安全審計管理月報告》。共包括如下四個報告：《安全審計系統(tǒng)審計源及日志統(tǒng)計》、《windows主機事件報告統(tǒng)計》、《unix主機事件報告統(tǒng)計》、《網(wǎng)絡(luò)設(shè)備事件報告統(tǒng)計》。

《安全審計管理月報告》根據(jù)安全審計系統(tǒng)收集的日志結(jié)果填寫。

安全審計管理內(nèi)容：

1、安全審計系統(tǒng)審計源及日志統(tǒng)計

a.日志源日志源數(shù)量統(tǒng)計

b.日志分級數(shù)量統(tǒng)計

2、windows主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3、unix主機事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

4、網(wǎng)絡(luò)設(shè)備事件報告統(tǒng)計

a. 產(chǎn)生事件總數(shù)，高危險級別數(shù)量。

b. top 10高危險級別事件產(chǎn)生數(shù)量的ip地址

3.4.2應急安全管理

在發(fā)現(xiàn)安全系統(tǒng)出現(xiàn)《x單位系統(tǒng)重大網(wǎng)絡(luò)與信息安全事件報告制度》中定義的重大安全事件時，按文件規(guī)定的流程進行處理和上報，如果與相應的安全產(chǎn)品關(guān)聯(lián)，應同時記錄相關(guān)情況。

第15篇 信息科技部-安全管理中心-安全架構(gòu)崗工作職責與職位要求

職位描述：

1.負責對基礎(chǔ)架構(gòu)、重要業(yè)務進行安全評估，提供可落地的解決方案；

2.負責網(wǎng)絡(luò)、系統(tǒng)及應用的檢測與防護的安全研究工作；

3.指導并參與各類安全系統(tǒng)的研發(fā)工作，對現(xiàn)有安全系統(tǒng)進行優(yōu)化和改進；

4.負責對重點項目進行安全評審，識別架構(gòu)中的安全風險，提出改進建議；

5.負責對各類疑難安全問題、安全事件的分析及應急響應。

6.負責信息安全體系與架構(gòu)落地推進。

職位要求：

1.計算機相關(guān)專業(yè)本科以上學歷，五年以上安全工作經(jīng)驗；

2.具備扎實的安全理論基礎(chǔ)，精通主流安全漏洞原理，熟悉業(yè)界安全攻防動態(tài)；

3.熟悉主流的安全技術(shù)與產(chǎn)品，如：ids、siem、waf、日志分析、db審計等；

4.具備互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗；

5.至少熟悉一種編程語言（如：java、python、php等），有一定的開發(fā)能力；

6.具備優(yōu)秀的邏輯思維能力，善于解決問題和分析問題。

第16篇 煤礦安全管理信息系統(tǒng)的開發(fā)與應用

安全管理是人類改造客觀世界推動社會經(jīng)濟發(fā)展過程中的一項重要工作，隨著計算機數(shù)據(jù)化、信息化的發(fā)展，我們會對煤礦安全管理中的實際情況，開發(fā)一套較為實用的煤礦安全管理系統(tǒng)，對實現(xiàn)煤礦安全生產(chǎn)和高產(chǎn)高效起到了促進作用。

1系統(tǒng)特點及構(gòu)成

1.1系統(tǒng)特點

煤礦安全信息管理系統(tǒng)具有以下特點：

（1） 對各種安全信息分類管理，交叉操作，突破以往單一數(shù)據(jù)處理。

（2） 實現(xiàn)了對干部的考核與評價，避免人為因素帶來不公平等現(xiàn)象。

（3） 計算機代替人工建立報表、臺帳等工作，極大節(jié)約人力、物力、提高工作質(zhì)量及效率。

（4） 所有安全信息不再利用人工傳閱，可以在線適時瀏覽。

（5） 可以發(fā)布各種宣傳信息，實現(xiàn)信息傳遞的快捷、準確、方便。

1.2系統(tǒng)構(gòu)成

根據(jù)煤礦實際情況把系統(tǒng)劃分5個系統(tǒng)，即：

（1） 人員信息子系統(tǒng)。用于全面、準確掌握人員信息，主要功能有人員信息錄入、查詢、檢索和信息修改等。

（2） 信息站子系統(tǒng)。主要包括職工簽到、隱患登記、隱患處理、違章情況、“三違”登記、“三違”處理、干部評估、人身傷亡事故、安全檢查安全評估日報等信息的錄入、瀏覽、檢索、修改等能。

（3） 安檢部門子系統(tǒng)。主要用于煤礦安全檢部門對安全質(zhì)量進行檢查，對發(fā)生的事故進行處罰與獎勵等。

（4） 考核統(tǒng)計子系統(tǒng)。包括對干部的考核和有關(guān)情況報表。主要有：對干部的下井、質(zhì)量控制、事故控制、安全行為、安全培訓、業(yè)務學習的方面進行綜和考評，并以得分的形式進行獎勵或處罰；對干部的考核、安全檢查、違章罰款、干部下井覆蓋情況、事故情況等以報表的形式進行上報。

（5） 安全教育技能文獻子系統(tǒng)。發(fā)布有關(guān)國家、集團公司和礦方煤礦安全教育的法律、制度、規(guī)程、規(guī)范供有關(guān)人員參考學習；并且可宣傳各種最新技術(shù)和安全精神，提高所有工作人員的安全意識。系統(tǒng)構(gòu)成結(jié)構(gòu)框圖如圖1所示。

圖1 安全管理是信息系統(tǒng)組成結(jié)構(gòu)

2系統(tǒng)硬件構(gòu)成

系統(tǒng)采用基于網(wǎng)絡(luò)的傳輸方式。從礦級領(lǐng)導、科室干部到管理人員都可通過網(wǎng)絡(luò)進行信息傳輸。因此，利用本系統(tǒng)結(jié)合煤礦的網(wǎng)絡(luò)硬件資源條件，實現(xiàn)煤礦安全信息的錄入、查詢、修改、瀏覽和刪除等系統(tǒng)的硬件組成如圖2所示。

圖2 系統(tǒng)硬件組成

3 系統(tǒng)軟件的設(shè)計

由于安全信息數(shù)據(jù)量大，系統(tǒng)訪問人數(shù)多，所以本系統(tǒng)采用c/s（客戶機/服務器）的設(shè)計模式，以減少網(wǎng)絡(luò)的數(shù)據(jù)傳輸量。服務器操作系統(tǒng)采用nt server4.0，客戶端操作系統(tǒng)采用windiows98/2000，數(shù)據(jù)庫平臺選用sql server7.0，系統(tǒng)編程軟件采用asp、vbscript javascript。系統(tǒng)軟件設(shè)計流程圖如圖3所示。

圖3 系統(tǒng)軟件設(shè)計流程圖

4系統(tǒng)應用

屯蘭礦是西山煤電（集團）有限責任公司的一座新型現(xiàn)代化大型礦井，礦井設(shè)計生產(chǎn)能力為400萬t/a，礦井1988年動工興建，1996年建成并通過投產(chǎn)驗收，1997年正式生產(chǎn)，截止2001年底已實現(xiàn)安全生產(chǎn)1500d，生產(chǎn)原煤623.6萬t。

安全信息管理系統(tǒng)通過在本礦一年多的生產(chǎn)實際中的應用，使煤礦領(lǐng)導及安全管理人員及時了解掌握了全礦安全信息，準確、有效的對礦井各類安全信息進行一系列數(shù)據(jù)處理，并在礦區(qū)計算機網(wǎng)絡(luò)中迅速提取不同時段的各類安全報表，大大提高了礦井的安全管理水平，減少礦井安全管理人員，基本實現(xiàn)了煤礦安全管理辦公自動化，無論是在經(jīng)濟效益上還是在社會效益上都有了顯著的提高。(薛占儒)