信息安全管理辦法及細則
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全管理辦法及細則范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
信息安全管理辦法及細則范文第1篇
關鍵詞:信息安全管理體系;信息資產;業(yè)務連續(xù)性;風險評估
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1001-828X(2014)08-0136-02
當前,隨著稅務部門管理和服務水平不斷提升的客觀需要,加強對稅收核心業(yè)務系統(tǒng)和關鍵信息資產的保護,成為信息化工作中一項十分重要的使命。
本省地稅部門信息安全現(xiàn)狀及面臨形勢
(一)取得的成績
多年來,本省地稅部門在認真學習貫徹國家稅務總局和各相關主管部門頒布的信息安全管理制度、政策法規(guī)及技術標準基礎上,結合工作實際,陸續(xù)頒布、制定了一系列信息安全管理辦法與措施,具體包括:
1.安全管理制度方面,制定了涵蓋物理層、網絡層和主機系統(tǒng)層的管理制度,總體目標、范圍、方針、原則和責任基本明確。
2.安全管理機構方面,建立了信息安全領導小組,配備了具有一定安全管理能力及技術能力的系統(tǒng)管理員、網絡管理員、安全管理員等。
3.人員安全管理方面,在內外部人員錄用前,對被使用人的身份、背景和資質等進行嚴格審查,按期組織信息安全崗位知識技能培訓。
4.系統(tǒng)建設管理方面,嚴格遵照信息系統(tǒng)安全等級保護要求制定建設方案,并對定級結果的合理性和正確性進行論證和審定。
5.系統(tǒng)運維管理方面,對各種設備運轉情況進行定期檢查和實時監(jiān)測、報警,權限設定遵循最小化授權原則,有配置變更管理的審批流程,對重要應用程序和數(shù)據(jù)庫進行定期備份。
(二)存在的不足
通過近期開展的風險評估工作,暴露出本省在信息系統(tǒng)安全方面還存在著一定程度的不足,主要是:
1.在安全管理方面,已制定的各項管理規(guī)定缺乏全面性、系統(tǒng)性,要求規(guī)范與實施細則未能很好的實現(xiàn)層次劃分;有些制度、標準更新不快,缺乏可操作性,對基層的指導作用不十分明顯;信息安全責任制度還需要進一步細化和落實。
2.在安全技術方面,現(xiàn)有機房空間環(huán)境已不能完全適應稅收業(yè)務發(fā)展的需要;部分網絡、安全設備老化需要更新,部分核心業(yè)務網絡還未進行功能區(qū)域的細分,操作級的審計管理還不盡完善;應用系統(tǒng)開發(fā)中的安全機制尚不健全,身份認證等安全技術手段還未得到全面應用。
3.在安全運維方面,現(xiàn)有巡檢工作中不包括安全技術措施的有效性檢查等內容;網管、動環(huán)、安管等監(jiān)控系統(tǒng)還基本處于獨立運行狀態(tài),對于網絡或系統(tǒng)故障缺乏關聯(lián)性分析,未能形成統(tǒng)一的監(jiān)控、分析、處置策略;尚未結合實際業(yè)務制定出操作性較強的應急預案,未進行過應急演練。
(三)面臨的形勢
隨著經濟的持續(xù)發(fā)展和國際地位的不斷提高,我國基礎信息網絡和重要信息系統(tǒng)面臨的安全風險日益嚴峻,計算機病毒傳播和網絡非法入侵十分猖獗,網絡違法犯罪持續(xù)大幅上升,犯罪分子利用一些安全漏洞進行網絡盜竊、網絡詐騙、信息系統(tǒng)破壞等違法活動,給國家政治、經濟和社會生活造成嚴重負面影響。中央已經將信息安全與政治安全、經濟安全、文化安全并列為國家安全的重要組成要素。稅務信息系統(tǒng)作為政府信息系統(tǒng)的重要組成部分,其安全運行不僅關系到政府機關的形象和稅收業(yè)務的持續(xù)運行,還關系到社會穩(wěn)定和國家安全。
提高稅務信息安全保障能力的有效途徑
國家稅務總局在“金稅三期”項目建設中明確提出,要高度重視信息安全保障工作:按照“四防”工作要求,進一步推進“人防”,做好信息安全教育培訓工作;認真落實“制防”,推進信息安全標準體系和管理制度建設;穩(wěn)步提升“技防”,持續(xù)保障“物防”,做好安全防護體系建設和運行管理工作。因此,構建符合信息系統(tǒng)運行需要的信息安全管理體系,對進一步加強稅務部門內部網絡的整體安全防護能力,全面提升信息安全管理水平,就顯得尤為重要。
信息安全管理體系,即Information Security Management System(簡稱ISMS),是組織在整體或特定范圍內建立的信息安全方針和目標,以及完成這些目標所用的方法和體系。它是直接管理活動的結果,表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。組織通過確定信息安全管理體系范圍,制定信息安全方針,明確管理職責,以風險評估為基礎選擇控制目標與控制措施等一系列活動來建立信息安全管理體系。
信息安全管理體系的建設可以提高稅務干部的信息安全意識,規(guī)范各層級的信息安全行為;對組織的關鍵信息資產進行全面系統(tǒng)的保護,在信息系統(tǒng)受到侵襲時,確保業(yè)務持續(xù)開展并將損失降到最低程度;在稅收各項工作順利開展的同時,提高社會公眾對政府部門的公信度;另外,通過信息安全管理體系建設,可以有效加強對信息技術風險的管控,通過與信息安全等級保護、信息技術風險評估等工作的融合與銜接,使信息安全管理更加具有科學性和系統(tǒng)性。
稅務信息安全管理體系建設實踐
稅務信息安全管理體系的構建,應結合稅收改革發(fā)展要求,根據(jù)信息化工作職責,制定相應的策略,并最終實現(xiàn)總體的信息安全目標。
(一)基本定位
1.在策略制度層面,形成從方針策略、到要求規(guī)范、操作規(guī)程直至記錄表單在內的層次化文件體系,為信息安全管理體系奠定技術基礎;
2.在組織建設方面,建立決策、管理、執(zhí)行和監(jiān)督多維的組織架構,明確信息安全相關角色和職責,奠定信息安全管理體系的組織基礎;
3.在風險管理方面,通過風險評估和處置過程,建立起全面的信息安全內部控制,結合信息安全事件管理和業(yè)務連續(xù)性管理,確保從整體上將信息安全風險控制在可接受水平;
4.在人員意識方面,通過有序組織信息安全培訓及相關意識宣傳活動,確保人員具備基本的信息安全意識和操作技能;
5.在支持保障方面,建立起內(外)部審核、管理評審、有效度量、日常檢查等多項檢查監(jiān)督機制,確保信息安全管理體系的持續(xù)運行和改進有著推動和保障基礎。
(二)設計原則
1.體現(xiàn)全面的特性。信息安全管理體系是一個涵蓋各個方面的工程,它要求多角度、多層次,從各個環(huán)節(jié)人手,進行系統(tǒng)的考慮和規(guī)劃。任何環(huán)節(jié)上的缺陷都會對信息系統(tǒng)構成威脅,要實現(xiàn)信息安全目標,必須保證構成信息安全管理體系這只“木桶”的所有木板都達到一定的標準。
2.體現(xiàn)持續(xù)改進、動態(tài)發(fā)展的特性。信息安全管理體系不僅僅是一套全面的規(guī)則集合,而且還是在體系建設與實施過程中與所有利益相關者的互動過程。另外,環(huán)境的動態(tài)性也決定了體系建設的動態(tài)性。因此,在體系架構設計和實施中應遵循PDCA的模式,通過P(策劃)、D(實施)、C(檢查)、A(糾正)這四個步驟的循環(huán)運行,使信息安全管理水平獲得可持續(xù)性的發(fā)展。
3.以保證業(yè)務連續(xù)性為根本目標。信息安全管理必須為業(yè)務服務,脫離業(yè)務的信息安全管理也就失去了其真正的意義。因此,保證信息系統(tǒng)的正常運行,進而保障業(yè)務的連續(xù)開展,是信息安全的根本目標,也是信息安全管理體系的根本目標。
4.領導重視、全員參與的原則。在信息安全管理體系的建設中,應由最高管理者確立統(tǒng)一的信息安全方針、政策和方向,創(chuàng)造并保持使員工能充分、積極地參與實現(xiàn)信息安全戰(zhàn)略目標的內部環(huán)境;全體員工應明確自己在信息安全管理中的職責,積極參與信息安全管理體系的建設。
5.技術與管理并重的原則。信息技術是信息安全管理的手段,信息安全管理是利用信息技術實現(xiàn)安全目標的保障,在信息安全管理體系中,技術與管理同等重要,缺一不可,忽略任何一方都會阻礙信息安全工作的開展。
(三)總體架構
在稅務信息安全建設中,包含了信息安全管理、信息安全運作、信息安全技術三方面內容。信息安全管理體系則處于“管理一運行一技術”三元架構的最上層,包含信息安全政策、規(guī)范與標準、指南與細則等,從人員、意識、職責、監(jiān)督等方面,保證并指導下一層級的順利運行。其建立和完善,應充分依據(jù)國家標準和稅務行業(yè)規(guī)范,以融合化和層次化為指導,并最大化地整合現(xiàn)有資源,基本框架模型,可分為五層:
第一層,總體方針,是由省局信息安全領導小組簽署的書面文件,其目的是明確信息安全管理工作的總體目標、適用范圍、總體方針和原則等方向性綱領性文件。
第二層,管理要求,是省局對全系統(tǒng)提出要求的管理性文件,包括安全組織、資產安全、人員安全、信息系統(tǒng)安全等各個方面。
第三層,標準規(guī)范,是針對管理要求中提出的內容,制定的對共同使用和重復行為進行指導或規(guī)范的文件,文件可以由省局制定,也可以由基層單位制定。
信息安全管理辦法及細則范文第2篇
一、穩(wěn)步實施基層醫(yī)療機構管理信息系統(tǒng)建設項目。頂層設計,統(tǒng)籌規(guī)劃,按程序啟動政府采購工作,組織項目實施。重點抓好省級云平臺建設,為衛(wèi)生計生業(yè)務應用信息系統(tǒng)和基層醫(yī)療衛(wèi)生機構提供基礎公共服務技術支撐。繼續(xù)推進省、市兩級人口健康信息平臺建設,遵循相關數(shù)據(jù)標準和技術規(guī)范,建成一個,對接一個,逐步實現(xiàn)省、市兩級信息平臺互聯(lián)互通。實行人口健康信息化建設項目備案制,出臺全省人口健康信息化建設管理辦法、市級人口健康信息平臺建設指南、省市兩級數(shù)據(jù)采集和交換標準等規(guī)范性文件,確保數(shù)據(jù)與信息平臺有效對接,項目建成后能夠真正實現(xiàn)信息資源共享與利用。
二、加快推進以電子病歷為核心的醫(yī)療機構信息化建設。以優(yōu)化醫(yī)療服務流程,規(guī)范醫(yī)療服務行為,方便群眾看病就醫(yī)為目標,推進電子病歷建設和應用,建設和完善以電子病歷為核心的醫(yī)院信息系統(tǒng),逐步實現(xiàn)臨床服務精細化管理,提高醫(yī)療服務效率和質量。通過區(qū)域衛(wèi)生信息平臺逐步實現(xiàn)居民電子健康檔案與電子病歷動態(tài)融合,以居民健康卡為紐帶,促進醫(yī)療機構之間的檢驗結果、醫(yī)學影像、用藥記錄以及患者基本健康信息的交換、共享和業(yè)務協(xié)同。完善中醫(yī)醫(yī)療機構信息化建設,突出中醫(yī)藥特色,提升中醫(yī)醫(yī)療服務質量。
三、全面推進居民健康卡普及應用。完成省級卡管平臺搭建工作并實現(xiàn)上下對接和數(shù)據(jù)共享。制發(fā)省級居民健康卡建設實施細則等標準規(guī)范及與金融機構合作發(fā)卡用卡指導意見,加強醫(yī)療衛(wèi)生機構發(fā)卡用卡環(huán)境改造。各設區(qū)市至少明確2個以上縣(市、區(qū))試點發(fā)卡,并不斷擴大試點數(shù)量和規(guī)模,年底前,力爭全省發(fā)卡突破1000萬張,各市試點縣(市、區(qū))發(fā)卡實現(xiàn)全覆蓋。
四、進一步加快信息惠民工程建設。推廣遠程醫(yī)療建設,擴大遠程醫(yī)療服務規(guī)模。整合現(xiàn)有已建的邯鄲市、滄州市遠程會診系統(tǒng)資源,統(tǒng)一接入省級遠程醫(yī)療平臺。探索與第三方遠程醫(yī)療服務平臺對接服務模式,積極推進與京、津兩地遠程醫(yī)療資源整合與共享,形成覆蓋京津冀的區(qū)域遠程醫(yī)療平臺。在全省預約診療服務平臺基礎上,加快推進“健康河北”醫(yī)療惠民移動平臺建設,利用移動互聯(lián)網技術,使優(yōu)質醫(yī)療資源更加便捷高效地服務群眾。各地結合本地實際,以需求為導向開展區(qū)域雙向轉診、區(qū)域臨床檢驗、區(qū)域體檢等區(qū)域化新型醫(yī)療服務模式。
五、加快推進“金人工程”項目。按照有關程序,繼續(xù)協(xié)調做好河北省全員人口統(tǒng)籌管理信息系統(tǒng)項目(“金人工程”項目)省級立項事宜。繼續(xù)推廣鹿泉市計劃生育網上辦事大廳等業(yè)務系統(tǒng)。
六、開展全省網絡規(guī)劃與升級改造工作。結合省級云中心建設進程,按照“縱向到底,橫向到邊”原則,規(guī)劃全省衛(wèi)生計生業(yè)務專用網絡,統(tǒng)一分配網絡與信息資源。制定全省網絡應用管理辦法,規(guī)范用網行為,努力打造一張安全、可靠、暢通、高效的人口健康信息專用網,確保數(shù)據(jù)快捷、安全交換與傳輸。整合委機關局域網絡,強化管理。
七、不斷完善網絡與信息安全保障體系。加強人口健康信息平臺及各業(yè)務應用系統(tǒng)數(shù)據(jù)安全管理,注重保護患者隱私,規(guī)范系統(tǒng)內部及與相關部門信息系統(tǒng)數(shù)據(jù)交換機制。各地要按照衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護相關要求,組織轄區(qū)內機構開展醫(yī)療衛(wèi)生單位重要信息系統(tǒng)備案和測評工作,全省醫(yī)療衛(wèi)生機構要在2015年12月30日前完成。繼續(xù)規(guī)范和推廣電子認證服務在全省衛(wèi)生計生行業(yè)應用。強化網絡安全宣傳與培訓,加大督導檢查力度。
信息安全管理辦法及細則范文第3篇
(一)健全組織管理體系,建立科技風險管理三道防線。安徽省分行成立由行長任組長、分管副行長及各部門負責人參加的信息化建設領導小組及信息安全應急領導小組,制定議事程序,確立工作步驟,審議信息科技重大決策事項及信息科技風險管理、信息安全管理工作。領導小組每季度召開一次會議,對信息化建設工作進行決策、安排和部署。立足于可持續(xù)發(fā)展戰(zhàn)略,安徽省分行提出了“全面風險管理、全程風險管理、全員風險管理”的管理目標,建立了信息科技風險管理的三道防線。第一道防線由信息科技部門組成,負責生產運行、應用研發(fā)、科技管理、信息安全等工作。第二道防線成立由信息科技部門和風險管理部門牽頭,其他部門共同參與的風險管控平臺。依托風險管控平臺,通過檢查、評測和監(jiān)控及時發(fā)現(xiàn)科技工作中的風險隱患,組織召開風險例會,研究制定整改措施、整改方案,結合工作實際制定信息科技風險管理制度和規(guī)范。第三道防線由內部審計部門組成,主要職責是對信息科技工作進行專項審計。
(二)推動制度體系建設,構筑安全生產生命線。多年來,安徽省分行每年都對信息科技制度和技術規(guī)范進行修訂,對現(xiàn)有信息科技制度體系進行評估,對信息科技制度體系架構進行梳理,逐步建立了制度、實施細則及技術規(guī)范三層架構的制度體系。形成了《信息科技制度匯編》,共包括38個科技管理辦法、16個實施細則、9項技術規(guī)范,在全行范圍內印發(fā)執(zhí)行,有效指導了信息化建設和風險管理工作的開展。為了保持制度的嚴肅性,使基層分支行操作人員嚴格執(zhí)行制度,省分行加強制度執(zhí)行力建設,采取檢查、監(jiān)控及違規(guī)積分等措施,確保制度落地,形成人人“重制度,守制度”良好工作氛圍。
(三)完善技術體系建設,提升技術防范能力1.建設高標準機房。2009年到2011年期間,率先啟動省、市、縣三級機房達標工程改造,共投入2000萬元用于轄內66個機構機房的建設和改造,機構覆蓋面達到90%以上。機房建設突出了“高可用、高可靠、易管理、前瞻性”的理念,對供電、防雷、消防、空調、裝飾系統(tǒng)進行了全面改造,為信息系統(tǒng)安全運行提供了可靠的物理保障。2.健全后備供電保障體系。2012年,利用有限的固定資產指標,為全轄所有市級分行配置了功率在20KVA以上的UPS,為60個縣支行配置了10KVA的UPS;在3個新建辦公樓機構建設了市電雙回路供電、7個行自備發(fā)電機;11個行與電力公司、電信或聯(lián)通等公司簽訂應急供電協(xié)議。形成了UPS、發(fā)電機、雙回路供電、移動發(fā)電車等多重供電安全保障。3.建立功能完善的監(jiān)控系統(tǒng)。省、市分行統(tǒng)一建立了機房預警監(jiān)控系統(tǒng)(包括網絡預警監(jiān)控系統(tǒng)和機房動力環(huán)境監(jiān)控系統(tǒng)),實現(xiàn)對機房物理環(huán)境、重要設備、網絡設備、數(shù)據(jù)鏈路、業(yè)務系統(tǒng)進行實時監(jiān)測及預警。系統(tǒng)采用分級監(jiān)控方式,本級行不僅可以監(jiān)控自身機房及信息系統(tǒng)運行情況,還可以實時監(jiān)控到轄內行情況,實現(xiàn)科技風險監(jiān)測的縱橫結合,提升風險預警與防控能力。4.構建高效安全的網絡體系。基層行成立不久,就實現(xiàn)了分網運行,根據(jù)業(yè)務種類、服務范圍等分為生產網、辦公網和監(jiān)控網,針對不同的網絡采用不同的安全控制策略;在網絡線路上,采用三家運營商多線路、互為熱備方式實現(xiàn)網絡通訊的高可靠性;結合不同的應用分別采取了防火墻、入侵檢測、內外網隔離等技術防范手段,確保網絡安全。5.部署防病毒系統(tǒng)。部署了覆蓋全行的計算機病毒防治系統(tǒng),支持防病毒軟件的統(tǒng)一管理和升級,有效防止病毒轉播與蔓延。6.建立省分行級的異地災備中心。通過在異地機房內架設EMC存儲,使用現(xiàn)有網絡在非工作時段進行數(shù)據(jù)復制,解決了重要數(shù)據(jù)異地災備問題。同時在存儲中劃分一定的空間供二級分行使用,也解決了二級分行重要數(shù)據(jù)異地存儲的難題。經過演練測試驗證,災備系統(tǒng)運行穩(wěn)定,能夠有效地保障數(shù)據(jù)安全。
(四)加強信息系統(tǒng)應急管理,保持業(yè)務連續(xù)性省分行嚴格按照《中國農業(yè)發(fā)展銀行信息系統(tǒng)突發(fā)事件應急管理辦法》要求,成立相應組織,切實履行職責,在全轄范圍內每年都組織一次應急演練。2013年僅在網絡應急演練中,就模擬了6個場景,模擬突發(fā)網絡故障情況108種,驗證演練數(shù)據(jù)1638項。通過把演練工作做實做細,使得一些潛在的隱患得以暴露,強化了各級行對突發(fā)事件的響應和處置能力。此外還以應急演練為抓手,引入PDCA(策劃-實施-檢查-改進)持續(xù)改進機制,不斷完善應急預案及應急物資儲備。在演練策劃階段,針對已有的和潛在的信息科技風險因素進行充分的評估,有重點地制定演練方案;實施階段實時跟蹤監(jiān)測各類信息科技風險因素的產生和變化,適時調整信息科技風險應對策略和措施;檢查階段對演練情況展開具體分析,對業(yè)務具體造成的影響、潛在風險、變化情況等進行收集整理,作為修訂完善應急預案的依據(jù);在改進階段及時修正、完善應急演練預案。通過對應急演練持續(xù)改進,大大降低了信息科技風險事件的影響和損失,有效維持業(yè)務的不間斷運營。
二、基層行信息科技風險管理工作面臨的挑戰(zhàn)
(一)信息科技風險管理意識及能力尚需提高。一是部分基層行領導存在重業(yè)務發(fā)展重業(yè)務風險防范,輕信息科技建設輕信息科技風險防范的現(xiàn)象,致使科技風險管理不到位。二是一線操作人員風險意識淡薄,認為信息科技風險是信息科技部門的事,與己無關。對移動存儲設備使用、IC卡管理、密碼管理等安全管理規(guī)定置若罔聞,非常容易產生操作風險。三是信息科技人員缺乏科技風險管理方面專業(yè)系統(tǒng)的培訓,風險管理知識及經驗不足,風險識別、風險評估、風險處置能力不強。
(二)信息科技風險管理制度還需完善。一是信息科技管理制度還不夠完善。比如現(xiàn)有的制度在電子設備采購、管理、報廢等方面進行了規(guī)范,但在設備選型、設備更換、固定資產指標使用等方面缺乏統(tǒng)一規(guī)定,部分機構出現(xiàn)設備老化、設備帶病工作、設備兼容性差等情況。二是內部管控制度不健全。目前對信息科技風險審計能力不足,缺乏信息科技風險的有效監(jiān)管。審計部門只對信息科技資產進行審計,缺乏必要的技術力量和技術方法對信息科技風險及信息科技人員行為進行審計。信息科技部門既是運動員,又是裁判員,不能形成有效的制衡機制。三是制度執(zhí)行不到位。由于基層行信息科技人員不足,技術力量薄弱,科技部門重要崗位缺乏備份人員,內部崗位之間缺乏制約,影響某些規(guī)章制度有效落實。
(三)信息安全技術保障體系需進一步提升。一是技術安全標準和技術規(guī)范不夠全面,在風險預警、評估、處置等方面存在漏洞。二是在終端安全、網絡準入控制、網絡分區(qū)等方面技術手段不足,既增加人力維護成本,又極易產生信息科技安全隱患。三是IT服務外包需進一步規(guī)范,在外包合同簽訂、外包人員管理、服務質量的監(jiān)督等方面需加強監(jiān)管,在努力提高服務水平的同時,最大限度地保護信息安全。
三、基層行信息科技風險治理展望
(一)加強內控制度建設,鞏固三道防線。內控管理是一項長期而重要的工作,基層行應緊密結合現(xiàn)有業(yè)務流程,以完善管理機制、建立健全制度體系為主線,不斷優(yōu)化現(xiàn)有信息系統(tǒng),提高信息系統(tǒng)基礎設施的服務保障能力。信息科技風險雖然體現(xiàn)在信息系統(tǒng)的運行操作環(huán)節(jié),但往往涉及業(yè)務流程和操作模式的合理性、業(yè)務需求的質量等眾多方面,防范信息科技風險必須綜合考慮業(yè)務需求制定、項目實施、軟件開發(fā)、基礎設施建設、運行維護管理等不同環(huán)節(jié)的各種因素,由業(yè)務主管部門、科技管理部門和審計部門協(xié)同工作,才能起到事半功倍的效果。各基層行首先應充分認識信息科技安全的緊迫性和重要性,明確信息科技風險管理目標,落實信息科技風險管理責任制,將信息科技風險納入自身的總體風險框架,筑起第一道“思想”防線;其次,在加強信息安全監(jiān)督、自查力度的同時,還應定期組織轄內信息科技風險的專項檢查,對于日常經營管理和生產運行中發(fā)現(xiàn)的操作風險隱患,建立信息系統(tǒng)風險持續(xù)跟進機制,及時消除風險隱患,堅守第二道“監(jiān)查”防線;此外,還應明確業(yè)務部門責任,將科技風險管理納入到業(yè)務部門日常管理,設立專門的IT審計團隊,培養(yǎng)專業(yè)的IT審計人才,對信息科技風險進行評估,督促整改,構建“以查帶審,以審促查”的第三道防線。
(二)重在預防,完善信息風險防控體系。一是建立信息風險監(jiān)控平臺,通過對現(xiàn)有各類生產系統(tǒng)、監(jiān)控系統(tǒng)中的可疑數(shù)據(jù)進行跟蹤與分析,從而有效地對信息科技風險進行預警、評估、處置。平臺采用實時預警和T+1分析相結合的方式,對于風險程度高、要求響應速度快的風險點,依托短信平臺、郵件系統(tǒng)在最短時間內給出預警;對于日常操作和行為信息,采用T+1分析的方式,通過事后追查、責任落實來規(guī)避風險。二是完善信息科技風險評估制度,嚴格控制對應用項目外包、軟硬件產品和相關服務外包的風險,建立對外包服務商、產品供應商的信息科技風險的評估機制,實現(xiàn)對第三方全過程的跟蹤管理,防范外包服務的實施風險。三是實施風險管理的全覆蓋。將全省人員按照省、市、縣三級組織實施分級管理,一級管一級,實現(xiàn)從上到下、從省到縣的逐級有序結構,使科技工作風險管控的觸角延伸到每一個人、每一臺計算機、每一項業(yè)務。
(三)強化保障體系,持續(xù)推動業(yè)務連續(xù)性管理。首先,應嚴格執(zhí)行機房值班制度,每日巡查機房,確保將安全隱患消滅于萌芽之中。其次,還應加強后備電源、備品備件的管理,落實各二級分行機房的第二供電保障渠道,有條件的行采用雙回路供電,沒有改造條件的自備發(fā)電機,對重要設備還應采取熱備或冷備的方式,消除單點故障隱患。再次,研發(fā)推廣桌面(終端)安全系統(tǒng),包含內網準入、補丁分發(fā)、病毒庫升級和主動防御等功能,從源頭防范,確保網絡安全。此外,還必須未雨綢繆,及時修訂應急預案,做好業(yè)務連續(xù)性規(guī)劃、業(yè)務恢復機制、風險化解和轉移措施、數(shù)據(jù)備份方案等多方面的工作,并加強災備演練,以保障在突如其來的災難性事故面前能從容應對,迅速恢復生產,盡可能降低事故造成的損失。
信息安全管理辦法及細則范文第4篇
1.1不良信息威脅借助互聯(lián)網便捷的信息傳播功能,不健康信息可以在網絡上大肆蔓延,嚴重污染網絡環(huán)境。例如各種黃色、暴力和成人不良信息影響青少年健康成長的案例時有發(fā)生。雖然政府部門對此制定了嚴格的管理辦法,但是依然諸多安全隱患,對青少年的成長造成了巨大的威脅。
1.2計算機病毒計算機病毒是互聯(lián)網的主要敵人。病毒傳播途徑和方式十分多樣化,例如可以通過數(shù)據(jù)下載、電子郵件、網頁等方式傳播和擴散,使得電腦病毒防不勝防。隨著科技的不斷進步,計算機病毒的傳播方式也在不斷發(fā)生變化,其的防范技術要求日益提高。任何信息工具和電腦配件都可能成為病毒傳播和寄生對象——互聯(lián)網、U盤、光盤等,傳統(tǒng)的病毒防范技術已難以有效控制病毒的擴散和蔓延。
1.3應用系統(tǒng)的安全應用系統(tǒng)的安全涉及面很廣,以目前Intemet上應用最為廣泛的E-mail系統(tǒng)來說,其解決方案有幾十種,但其系統(tǒng)內部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現(xiàn)的,因此一套詳盡的測試軟件是必須的。但是應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統(tǒng)的安全也是一個隨網絡發(fā)展不斷完善的過程。應用的安全性涉及到信息、數(shù)據(jù)的安全性:信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對于有些特別重要的信息需要對內部進行保密的(比如學校學生成績、學生檔案、教師檔案、學校財務等重要信息)可以考慮在應用級進行加密。
1.4加強網絡安全管理加強管理是提高網絡安全性主要手段和途徑。當前,不少互聯(lián)網用戶安全意識較弱,違反安全管理操作行為十分普遍,隨意將自己的登錄賬號和密碼給他人使用,或者在網絡上傳輸保密信息等,這些行為都增大的網絡安全風險,稍有不慎即會造成嚴重的網絡安全事故。網絡一旦遇到惡意攻擊或者其他安全威脅時,就不能進行安全評估和預警。同時,安全事故發(fā)生后,計算機也不能搜集和追蹤網絡黑客的攻擊路徑信息和數(shù)據(jù),為開展網絡安全管理造成了巨大的困難。因此,在日常工作中要對站點訪問活動進行多層次的記錄,提高對非法訪問行為的識別度。要創(chuàng)新網絡安全管理制度,重新評估當前網絡安全形勢并制定行之有效的應對措施,因此,最保險的做法是采取“制度+方案”的管理手段。
2、校園網絡安全對策
2.1網絡設備安全對策
首先要提高計算機網絡物理安全,這是最基本的工作要求,由于這類安全措施比較常見,本文不再贅述。
2.1.1環(huán)境安全對系統(tǒng)所在環(huán)境的安全保護包括設備的防盜、電源保護如配制UPS電源,保證系統(tǒng)和設備的正常工作等等。
2.1.2媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。在網絡的安全方面,主要考慮兩個層次,一是優(yōu)化網絡結構,二是整個網絡系統(tǒng)的安全。
2.2網絡軟件系統(tǒng)平臺安全對策
2.2.1制訂嚴格的管理制度用戶授權實施細則、口令及帳戶管理規(guī)范、權限管理制度。
2.2.2配備相應的安全設備在內部網與外部網之間,設置防火墻實現(xiàn)內外網的隔離與訪問控制是保護內部網安全的最主要、最有效、最經濟的措施之一。
2.3網絡中信息安全對策
由于在網絡環(huán)境下,計算機病毒有不可估量的威脅性和破壞力,計算機病毒的防范是網絡安全性建設中重要的一環(huán)。具體而言,磁盤分區(qū)格式為NTFS,它的安全性比FAT32格式要好;安裝完操作系統(tǒng)后,要打好漏洞補丁;安裝好病毒防火墻,并且支持實時檢測的,同時要經常升級病毒代碼庫;文件夾和磁盤的安全選項千萬不要開完全共享,都開只讀共享,可以在一定程度上防止網絡病毒的人侵;不要安裝來歷不明的程序,防止被木馬控制,不要輕易打開來歷不明的電子郵件;將重要的數(shù)據(jù)經常備份,存放在安全的盤中或者是其他媒介中;對學校服務器的安全日志進行備份;經常對各種資源采取備份,最便捷的方法就是錄制光盤;經常對存貯設備進行常規(guī)檢查,盡可能早發(fā)現(xiàn)隱藏的問題。
3、結束語
信息安全管理辦法及細則范文第5篇
關鍵詞:公司;崗位人員;等級認定;安全管理
一、專業(yè)管理的目標描述
1.專業(yè)管理的理念與策略
理念:近幾年隨著馬鞍山電網基建項目、老舊設備及綜自改造工程大幅度增加、智能化設備的投入以及“三集五大”體系建設的實施,對現(xiàn)場作業(yè)人員及安全監(jiān)督人員的安全素質要求越來越高。在這樣的困境下如何能確保人身、設備、電網不發(fā)生安全事件,確保公司電網安全穩(wěn)定運行,公司經研究首次推出崗位人員安全等級認定的思路,以強化員工安全意識和技能水平,把崗位安全進行分級,給人員定位,進行有針對性的培訓,確保相應崗位人員具備勝任其崗位的能力,實現(xiàn)安全生產不留“死角”。策略:為確保工作落到實處,公司相繼出臺了《崗位人員安全等級認定辦法和實施細則》,成立了常設機構,制定了工作推進計劃。領導小組下設安全生產考試、模擬操作、認定審核三個專項工作組。成立了7個專業(yè)認定專家組,編制了3000余道復習題,安全等級認定考試每年進行兩次,從組織和內容上保證活動的推進。安全認定等級分為3級,1級為第二種工作票許可人、負責人、簽發(fā)人;2級為第一種工作票許可人、負責人、簽發(fā)人;3級為基層工區(qū)的領導班子成員及安全管理人員、機關部室安全負責人及安全監(jiān)督管理人員。對于1級和2級認定的一般員工,在原評價的基礎上增加專家組認定環(huán)節(jié),通過認定專家組的現(xiàn)場拷問和高一等級人員、班組長、工區(qū)、機關領導工作評價的綜合考核,對通過者才能持證上崗,同時不定期對2級人員進行復評。3級認定人員為企業(yè)的中堅力量,對他們的認定內容,以國家有關法律法規(guī)、安全生產規(guī)章制度為主,認定重點是辨識工作危險點的能力和制定有效防控措施的水平。此等級的人員不僅要通過公司統(tǒng)一組織的安全知識考試和專家組認定,還必須通過安全生產監(jiān)督部門進行的安全資格培訓并取得安全資格證書后才能持證上崗。
2.專業(yè)管理的范圍和目標
范圍:機關部室安全生產、營銷、基建安全負責人及安全監(jiān)督管理人員;集體企業(yè)分管安全生產領導;基層工區(qū)安全第一負責人及安全管理人員;營銷班組及生產班組人員。目標:通過建立和健全崗位人員安全等級認定的準入和評價機制,以提高公司員工的安全責任意識,規(guī)范引導員工按工作規(guī)程、安規(guī)去作業(yè)、去操作,杜絕違章,防控人身事故的發(fā)生。
3.專業(yè)管理的指標體系及目標值
(1)管理指標:①公司、工區(qū)及班組三級安全教育培訓制度建立和培訓記錄情況;②各工區(qū)和班組針對不同專業(yè)安全生產技能培訓計劃和記錄情況、“兩票三制”執(zhí)行落實情況、勞動防護用品和電氣絕緣工器具正確使用和保管情況;③現(xiàn)場作業(yè)的安全風險辨識、分析、作業(yè)安全表現(xiàn)情況;④管理人員安全資格教育培訓、認證考試情況;⑤定期點評和分析機制執(zhí)行情況。(2)業(yè)績指標:①不發(fā)生全口徑人身重傷、死亡事故;②不發(fā)生10kV及以上電壓等級的惡性誤操作事故;③不發(fā)生五級及以上電網、設備、質量事件;④不發(fā)生公司負主要責任及同等責任的重大交通事故;⑤不發(fā)生有人員責任的火災事故;⑥不發(fā)生六級及以上信息系統(tǒng)事件;(3)目標值:不發(fā)生因為公司、工區(qū)、班組安全生產技能教育培訓不到位引起的人身、電網、設備和信息安全事件。
二、專業(yè)管理的主要做法
1.專業(yè)管理工作的流程說明
崗位人員1級認定流程:新任職員工、轉崗人員在工作崗位試用滿一年后,根據(jù)班組長對其一年內安全技能表現(xiàn)情況進行人員推薦,推薦后的人員由相應班組所在工區(qū)對其進行電業(yè)安全工作規(guī)程、兩票三制、專業(yè)技能和現(xiàn)場模擬操作技能等內容考試,考試通過人員上報公司安監(jiān)部進行審核批準,同時需提交公司專業(yè)認定專家組進行認定,認定方式為現(xiàn)場拷問加2級及以上人員和班組長對申報人員平時的安全表現(xiàn)、業(yè)務技能的綜合評價,認定通過后才能持證上崗。對未通過人員進行再次教育培訓考試,對2次不能通過者一年將取消1級認定資格。崗位人員2級認定流程:2級崗位人員必須由1級人員晉級而來或是平級認定,他們是公司生產一線各項現(xiàn)場作業(yè)的中梁砥柱,安全責任重大,所以對認定2級崗位人員自身的安全知識水平和生產業(yè)務技能要求比較高。班組首先對需要認定2級崗位的人員自行組織本崗位安全操作技能的培訓和考試,對考試通過者上報所在工區(qū)。工區(qū)組織對上報人員進行工區(qū)層面?zhèn)戎氐默F(xiàn)場安全生產規(guī)程的培訓和考試,通過者才統(tǒng)一上報公司安監(jiān)部,沒有通過者重新進行培訓教育考試。公司安監(jiān)部根據(jù)各工區(qū)上報的人員統(tǒng)一組織公司層面安全教育培訓考試,公司各專業(yè)技術骨干對筆試通過的人員再進行模擬操作考試,考試合格后經專家組進行認定,認定方式為現(xiàn)場拷問加3級及以上人員和工區(qū)、機關部室對申報人員平時的安全表現(xiàn)、業(yè)務技能的綜合評價,認定通過后才能持證上崗。同時每年不定期對持有2級上崗證但現(xiàn)場開票數(shù)量少甚至沒有的人員進行復評,對不滿足要求的人員直接降級處理。對專家組認定2次不能通過的人員不予晉級或降一級處理。崗位人員3級認定流程:3級崗位人員為企業(yè)的中堅力量,必須由2級人員晉級而來或平級認定,他們承擔著重要的管理任務,每年由公司安監(jiān)部統(tǒng)一組織安全教育培訓考試,主要針對安全生產法律、法規(guī)、規(guī)定等安全生產方針政策,企業(yè)安全規(guī)章制度以及企業(yè)安全監(jiān)督管理內容進行考試,考試通過后同樣需要由專家組進行認定。同時為了提升我公司安全生產管理人員崗位適應能力,達到電網企業(yè)安全生產標準化規(guī)范及達標評級標準的要求,每年認定通過人員還需要參加地方安全生產監(jiān)督部門組織的安全生產知識和管理能力培訓,并經安全資格考試合格后才能持證上崗。對兩次不能通過者,年度績效考核直接記入C檔。
2.確保流程正常運行的人力資源保證
設領導小組“組長:總經理;副組長:分管生產、基建、營銷副總經理”。設工作辦公室“主任:安監(jiān)部負責人;副主任:人資部負責人;成員:各專業(yè)部門安全管理人員”。
3.保證流程正常運行的績效考核與控制
主要依照《安全生產風險抵押金考核辦法》和《月度績效考核管理辦法》對崗位人員進行評價考核。將各崗位人員現(xiàn)場作業(yè)安全表現(xiàn)、工作質量的綜合評價結果,納入安全工作績效考核和企業(yè)負責人年度業(yè)績考核范圍。
三、評估與改進
1.專業(yè)管理的評估方法
納入評先評優(yōu):按照公司相關考核辦法,對各級人員和部門在工作中有突出表現(xiàn)、發(fā)現(xiàn)或消除重大隱患、風險防范得當、安全工作開展得力并無違章記錄、不發(fā)生各類安全事件等作為公司各類評先評優(yōu)的依據(jù)。以獎勵提高晉級積極性:為了鼓勵現(xiàn)場人員層層晉級,公司對各認定等級人員實施獎金系數(shù)差異化、安全生產風險獎勵差異化以及工作票執(zhí)行數(shù)量質量差異化進行獎勵,不同人不同等級、不同等級不同薪酬,通過薪酬激勵措施大大提高了人員晉級的積極性。嚴格優(yōu)勝劣汰:對認定人員安全表現(xiàn)差、工作質量不高的人員實施降級淘汰制。
2.專業(yè)管理存在的問題
(1)認定的相關規(guī)章制度雖然已出臺,但還需進一步完善準入和認定的實施細則并嚴肅執(zhí)行。(2)由于公司實訓基地還未建立,所以在執(zhí)行現(xiàn)場模擬操作的環(huán)節(jié)還不能充分體現(xiàn)各崗位的工作特性,不能充分體現(xiàn)崗位人員的安全業(yè)務技能水平。(3)目前實施的崗位人員安全等級的認定范圍比較小,只覆蓋了生產類層面,其它非生產類如交通運輸、物業(yè)管理等公司涉及的各個領域的安全管理工作都需要進行人員安全等級認定。
3.今后的改進方向或對策
(1)進一步完善崗位人員安全等級準入和認定實施細則,嚴格按照實施細則進行人員安全等級認定,對多次不能考核通過的人員給予待崗處理。(2)建立崗位人員認定智能管理系統(tǒng),將所有認定人員的考試、考核積分、工作評價錄入數(shù)據(jù)庫,建立檔案,讓每一名員工都可以登錄系統(tǒng),查看自己的成績,做到公開透明。(3)擴大公司崗位人員安全等級認定的范圍,逐步實現(xiàn)對非生產類專業(yè)的安全等級認定工作。(4)針對不同專業(yè)提煉現(xiàn)場作業(yè)風險辨識和防范措施的技巧,以提高生產作業(yè)人員安全風險意識和風險辨識能力,從生產作業(yè)的源頭進行風險辨識和預控,以達到主動認識風險,主動去防范風險的目的。從而進一步提高公司安全管理水平。
參考文獻
[1]錢家慶.供電企業(yè)生產安全管理實務手冊[M].中國電力出版社,2012.
[2]游建川.供電企業(yè)作業(yè)現(xiàn)場安全風險辨識和控制手冊[M].水利水電出版社,2008.
