- 目錄
-
第1篇 信息科技部-安全管理中心-安全架構(gòu)崗工作職責與職位要求
職位描述:
職位描述:
1.負責對基礎(chǔ)架構(gòu)、重要業(yè)務(wù)進行安全評估,提供可落地的解決方案;
2.負責網(wǎng)絡(luò)、系統(tǒng)及應用的檢測與防護的安全研究工作;
3.指導并參與各類安全系統(tǒng)的研發(fā)工作,對現(xiàn)有安全系統(tǒng)進行優(yōu)化和改進;
4.負責對重點項目進行安全評審,識別架構(gòu)中的安全風險,提出改進建議;
5.負責對各類疑難安全問題、安全事件的分析及應急響應。
6.負責信息安全體系與架構(gòu)落地推進。
職位要求:
1.計算機相關(guān)專業(yè)本科以上學歷,五年以上安全工作經(jīng)驗;
2.具備扎實的安全理論基礎(chǔ),精通主流安全漏洞原理,熟悉業(yè)界安全攻防動態(tài);
3.熟悉主流的安全技術(shù)與產(chǎn)品,如:ids、siem、waf、日志分析、db審計等;
4.具備互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗;
5.至少熟悉一種編程語言(如:java、python、php等),有一定的開發(fā)能力;
6.具備優(yōu)秀的邏輯思維能力,善于解決問題和分析問題。
第2篇 信息在安全管理中的作用
對于安全信息在安全管理中的作用,可從各個不同角度加以概括。以下僅從一般原理的角度將安全信息的作用歸納為4個方面。
1.從安全管理系統(tǒng)的角度看,安全信息是安全管理系統(tǒng)的基本構(gòu)成要素和有機聯(lián)系的介質(zhì)
我們在前面已經(jīng)講過,任何一項安全管理活動,都是由安全管理主體、安全管理客體、安全管理目的、安全管理職能、安全管理環(huán)境5個要素構(gòu)成。而從系統(tǒng)的角度看,安全管理活動其實就是安全管理系統(tǒng)的運動狀態(tài)。如果進一步分析,安全管理主體、客體、目的、職能、環(huán)境又是由什么構(gòu)成的呢從其具體形態(tài)來看,無非是人、財、物、信息4大要素,其原因如下。
①安全管理主體是由人構(gòu)成,而人之所以成為安全管理主體,主要是因為他持有某種安全管理權(quán)力,懷有某種安全管理目的并形成了某種安全管理行為或職能。人的安全管理目的、行為或職能并不表現(xiàn)為某種物質(zhì)形態(tài),只能表現(xiàn)為信息形態(tài)。同時,安全管理主體以某種安全管理目的和安全管理行為對安全管理客體施加影響和進行控制、也主要是以安全信息為媒介。
②安全管理客體一般由人、財、物構(gòu)成,但是它們之所以成為安全管理客體,主要是因為與安全管理主體發(fā)生了管理與被管理的關(guān)系。這種關(guān)系實際上是一種以安全信息為介質(zhì),表現(xiàn)為安全信息的輸出、輸入和反饋的關(guān)系。此外,就安全管理客體本身來說,它作為一個整體,人、財、物之間的有機聯(lián)系也離不開以安全信息為介質(zhì)。
③安全管理環(huán)境,實際上是指安全管理系統(tǒng)以外的系統(tǒng)。之所以把它作為安全管理的要素,主要是因為它必然要對安全管理系統(tǒng)產(chǎn)生影響,而這種影響主要是表現(xiàn)為各種安全信息的交換關(guān)系。
綜上所述不難理解,安全信息是安全管理的基本要素,又是系統(tǒng)中各要素有機結(jié)合、相互作用的介質(zhì)。離開了安全信息,既不能有安全管理系統(tǒng)的存在,也不能有安全管理活動的存在。
2.從安全管理過程的角度看,整個安全管理過程實際上就是安全信息的輸入、輸出和反饋的過程,所有安全管理工作也就是以安全信息處理為中心的工作
安全管理的過程是安全管理主體對安全管理客體施加影響和進行控制的過程,也是安全管理的各項職能發(fā)揮的過程。這個過程實際上是一個以安全信息為媒介,表現(xiàn)為安全信息的不斷輸入、輸出和反饋的過程。安全管理中所做的工作,實際上也是以安全信息處理為中心的工作。
如果我們把整個安全管理過程和安全管理工作簡化為計劃、實施和控制3個環(huán)節(jié),那么安全信息在這3個環(huán)節(jié)的輸入、輸出和反饋的過程如圖6—1所示。
第3篇 安全生產(chǎn)信息管理規(guī)定
第一章 總則
第一條 安全生產(chǎn)信息是總結(jié)事故教訓、研究事故規(guī)律、有針對性地制訂反事故措施的重要依據(jù),是落實“四不放過”的重要環(huán)節(jié)。安全生產(chǎn)信息的及時、準確、完整報送是確保事故處理及時、穩(wěn)妥的關(guān)鍵,是及時、全面、準確地掌握安全生產(chǎn)工作的開展情況,把握安全生產(chǎn)動態(tài),為領(lǐng)導和上級決策部署提供有價值的信息資源的有效途徑。
第二條 為保證安全生產(chǎn)信息匯報及時、準確、完整,充分發(fā)揮安全信息在安全生產(chǎn)工作中的作用,確保公司安全生產(chǎn)信息暢通,各類安全生產(chǎn)信息及時準確上報,依據(jù)南方電網(wǎng)《電力生產(chǎn)事故調(diào)查規(guī)程》和《電力公司安全生產(chǎn)信息管理規(guī)定》,結(jié)合公司實際,特制定本規(guī)定。
第三條 本規(guī)定明確了安全生產(chǎn)信息職責、分類、匯報流程,報送規(guī)定。
第四條 本規(guī)定適用于公司各發(fā)電廠。
第二章 職責
第五條 公司總經(jīng)理是安全生產(chǎn)信息管理工作的第一責任人,分管安全生產(chǎn)副總經(jīng)理對具體安全生產(chǎn)信息管理工作負直接領(lǐng)導責任。
第六條 質(zhì)安部是安全生產(chǎn)信息的歸口管理部門,負責組織填寫人身事故統(tǒng)計報表,負責審核設(shè)備、電網(wǎng)事故(障礙)報表,負責匯總、核實各類安全生產(chǎn)信息及發(fā)布,并電力調(diào)度控制中心上報。
第七條 生技部是安全生產(chǎn)信息的專業(yè)管理部門,負責提供安全生產(chǎn)信息管理工作中所需的技術(shù)數(shù)據(jù),組織填寫有關(guān)電網(wǎng)、設(shè)備事故(障礙)統(tǒng)計報表,負責擬寫電網(wǎng)、設(shè)備事故(障礙)技術(shù)調(diào)查分析資料。
第八條 各車間按照本規(guī)定要求及時、準確、完整地匯報安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件,并負責填報本級的安全生產(chǎn)信息報表。
第三章 安全生產(chǎn)信息分類
第九條 安全生產(chǎn)信息是指公司發(fā)生的《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故(障礙)情況的信息、生產(chǎn)設(shè)備基礎(chǔ)數(shù)據(jù)、生產(chǎn)設(shè)備運行信息、安全生產(chǎn)統(tǒng)計、分析及總結(jié)等綜合性的信息組成。
第十條 安全生產(chǎn)信息包括
(一)安全生產(chǎn)緊急信息
(二)事故(障礙)報表(匯報)
(三)事故快報
(四)安全信息快報
(五)安全簡報
(六)基礎(chǔ)數(shù)據(jù)信息
(七)安全生產(chǎn)季度分析
第十一條 安全生產(chǎn)緊急信息是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙(包括各類人身傷害事故),已經(jīng)嚴重威脅電網(wǎng)安全穩(wěn)定運行和人身安全的有關(guān)信息。
第十二條 事故(障礙)報表(匯報)是指發(fā)生《電力生產(chǎn)事故調(diào)查規(guī)程》中所規(guī)定的各類安全生產(chǎn)事故及障礙后,按照電力公司《填報手冊》要求填寫的相關(guān)報表資料。
第十三條 事故快報是指發(fā)生惡性誤操作事故、人身重傷及以上的傷亡事故(包括外包工程)以及地方電力調(diào)度控制中心確定性質(zhì)嚴重的生產(chǎn)設(shè)備及人身事故時,以書面形式向地方電力調(diào)度控制中心上報的事故經(jīng)過、傷亡人數(shù)、直接經(jīng)濟損失、事故原因及事故處理意見,事故現(xiàn)場的照片或錄象資料等信息。
第十四條 安全信息快報是指定期向地方電力調(diào)度控制中心匯報本單位達到地方電力調(diào)度控制中心安全生產(chǎn)長周期記錄、國家電網(wǎng)公司安全百日記錄、生產(chǎn)設(shè)備運行情況等綜合安全信息。包括季報、月報、周報三個方面內(nèi)容。
第十五條 安全簡報是指公司編寫的分析總結(jié)本單位月度安全情況,提出防范措施的月度綜合信息。
第十六條 基礎(chǔ)數(shù)據(jù)信息是指公司變壓器臺數(shù)、容量、線路公里數(shù)、職工人數(shù)、安全記錄等基礎(chǔ)數(shù)據(jù)。
第十七條 安全生產(chǎn)季度分析是指反映公司季度安全生產(chǎn)情況,全面總結(jié)季度安全生產(chǎn)管理工作成績,分析存在的問題并提出下季度工作重點的綜合安全信息。
第四章 安全生產(chǎn)信息報送規(guī)定
第十八條 安全生產(chǎn)信息匯報流程
(一)當發(fā)生以下安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時,所在部門的當值人員或現(xiàn)場負責人應立即匯報公司生產(chǎn)領(lǐng)導,同時匯報給電廠負責人。
1、人身傷亡事故
2、設(shè)備事故
3、生產(chǎn)場所火災事故
4、設(shè)備故障(開關(guān)跳閘、母線失壓、繼電保護裝置動作等)
5、其他事故(障礙)、不安全情況、生產(chǎn)突發(fā)事件
(二)公司生產(chǎn)領(lǐng)導接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報后,應準確、完整的作好記錄,并立即(10分鐘以內(nèi))以電話和短信方式向公司分管安全生產(chǎn)的副總經(jīng)理、質(zhì)安部、生技部負責人及相關(guān)專責匯報。發(fā)生重傷及以上人身事故,電網(wǎng)、設(shè)備事故應立即匯報公司總經(jīng)理。
(三)車間負責人接到事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件的匯報后,應立即(10分鐘以內(nèi))以電話或短信方式向分管公司領(lǐng)導、質(zhì)安部及生技部負責人匯報,發(fā)生重傷及以上人身事故,一般電網(wǎng)、一般設(shè)備及以上事故應立即匯報公司總經(jīng)理。
(四)公司分管安全生產(chǎn)領(lǐng)導接到事故匯報時應及時向總經(jīng)理匯報事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件。
(五)公司生產(chǎn)技術(shù)部、質(zhì)安部接到人身輕傷以及上事故、一類設(shè)備(電網(wǎng))障礙及以上事故(障礙)及以上應及時向地方電力調(diào)度控制中心相關(guān)職能部門匯報。
(六)公司分管安全生產(chǎn)領(lǐng)導和總經(jīng)理接到人身重傷及以上人身事故、一般設(shè)備事故、一般電網(wǎng)事故和生產(chǎn)突發(fā)事件匯報后還應及時分別向地方電力調(diào)度控制中心匯報。
(七)發(fā)生人身重傷以及上人身傷亡事故,公司還應及時向事故發(fā)生所在地方安監(jiān)部門匯報。
第十九條 發(fā)生安全生產(chǎn)事故(障礙)、不安全情況和生產(chǎn)突發(fā)事件時即時匯報基本內(nèi)容
(一)人身傷亡事故即時匯報基本內(nèi)容包括:
1.事故時間、地點和單位;
2.事故傷亡人數(shù)、簡要經(jīng)過、初步原因分析;
3.事故應急處置情況,包括傷員搶救、家屬安撫、生產(chǎn)恢復、信息發(fā)布、媒體反映等情況。
(二)電網(wǎng)、設(shè)備事故或突發(fā)事件即時匯報基本內(nèi)容包括:
1.事故或事件時間、地點和單位;
2.事故或事件簡要經(jīng)過、停電影響范圍、設(shè)備損壞情況、初步原因分析、應急處置情況等;
3.事故或事件有關(guān)的電網(wǎng)接線方式、設(shè)備主要參數(shù)、事故前運行方式、事故中繼電保護動作情況等;
4.必要的事故現(xiàn)場數(shù)碼照片等影像資料。
(三)輸變電設(shè)備故障即時匯報基本內(nèi)容包括:
1.發(fā)生的時間、地點;
2.開關(guān)跳閘情況、設(shè)備損壞情況、保護及安全自動裝置動作情況、故障線路相別及故障測距、一二次設(shè)備檢查情況。
第二十條 安全生產(chǎn)緊急信息報送規(guī)定:
(一)當公司發(fā)生以下事故情況下,事故所在部門除按規(guī)定立即報送外,應在規(guī)定時間內(nèi)上報書面資料。
1.當發(fā)生重大及以上電網(wǎng)事故時,事故發(fā)生所屬車間應在事故發(fā)生后1小時內(nèi),將電網(wǎng)事故發(fā)生的基本情況、損失負荷和電量情況書面上報公司質(zhì)安部。
2.當發(fā)生較大及以上人身事故(含外包工程)時,事故所在部門應在事故發(fā)生后2小時內(nèi),將事故發(fā)生的地點、時間、傷亡人數(shù)等基本情況書面上報公司質(zhì)安部。
3.發(fā)生特大設(shè)備事故時,事故所在部門應在事故發(fā)生后2小時內(nèi),將事故發(fā)生的地點、時間、設(shè)備損壞情況等基本情況書面上報公司質(zhì)安部。
4.當發(fā)生一般人身事故(含外包工程)時,事故所在部門應在事故發(fā)生后15分鐘內(nèi),將事故發(fā)生的地點、時間、傷亡人數(shù)等基本情況上報公司質(zhì)安部。
5.當發(fā)生110千伏及以上電壓等級的主設(shè)備以及其他嚴重的設(shè)備事故,10千伏及以上全站停電的電網(wǎng)事故、較大面積的停電事故,人身重傷等事故時,事故所在部門應在事故發(fā)生后 4小時內(nèi)將事故基本信息書面材料上報公司質(zhì)安部和生產(chǎn)技術(shù)部。
6.當公司所屬單位發(fā)生一般電網(wǎng)、一般設(shè)備事故、人身輕傷、人身未遂事故、一類障礙(包括事故或障礙定性暫不清楚者)或生產(chǎn)安全突發(fā)事件時,事故(障礙)所在部門應在事故發(fā)生后8小時內(nèi)將事故基本信息上報公司質(zhì)安部和生產(chǎn)技術(shù)部。
(二)事故發(fā)生單位所有上報公司的書面材料必須經(jīng)部門領(lǐng)導批準。
第二十一條 事故(障礙)報表(匯報)報送規(guī)定
(一)事故(障礙)報表(匯報)包括:設(shè)備事故報表(匯報)、電網(wǎng)事故報表(匯報)、人身傷亡事故報表(匯報)、電網(wǎng)一類障礙報表、設(shè)備一類障礙報表。
(二)電網(wǎng)、設(shè)備事故(障礙)原始報表填寫報送:由設(shè)備所在運行車間在事故(障礙)發(fā)生后3天內(nèi)將設(shè)備故障情況書面材料(包括變電站“事故、障礙原始報表”等資料)報質(zhì)安部、生技部;生技部負責組織填寫公司電網(wǎng)、設(shè)備事故(障礙)報表,屬事故性質(zhì)的還需同時報送事故調(diào)查匯報書,并在事故(障礙)發(fā)生后5天內(nèi)報質(zhì)安部;質(zhì)安部匯總審核,在事故(障礙)發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導審批后報地方電力調(diào)度控制中心。
(三)人身傷亡事故報表填寫報送:由事故發(fā)生部門在事故發(fā)生后3天內(nèi)將書面材料報質(zhì)安部;質(zhì)安部負責組織填寫公司人身傷亡事故報表和人身傷亡事故調(diào)查匯報書,在事故發(fā)生后7天內(nèi)經(jīng)公司領(lǐng)導審批報地方電力調(diào)度控制中心。
第二十二條 公司電廠發(fā)生第十三條明確的事故后,事故所在部門在2天內(nèi),以書面形式向質(zhì)安部報送事故發(fā)生的時間、地點、事故發(fā)生的簡要經(jīng)過、傷亡人數(shù)(性別、年齡)、直接經(jīng)濟損失、事故原因、防范措施及事故處理意見等內(nèi)容。質(zhì)安部匯總組織審核,在事故發(fā)生后3天內(nèi)經(jīng)公司領(lǐng)導審批后報地方電力調(diào)度控制中心。
第二十三條 安全信息快報包括:周報、月報、季報、年報。由公司質(zhì)安部負責填寫、發(fā)布,并向地方電力調(diào)度控制中心匯報。
第二十四條 基礎(chǔ)數(shù)據(jù)信息執(zhí)行半年報送制度,由生技部負責統(tǒng)計公司主變壓器臺數(shù)和容量、線路公里數(shù),人力資源部負責統(tǒng)計公司職工人數(shù),于每年的6月30日和12月30日報質(zhì)安部,質(zhì)安部匯總,經(jīng)主管生產(chǎn)的領(lǐng)導批準后,在每年的7月1日和次年的1月1日以電子郵件或傳真方式報地方電力調(diào)度控制中心。
第二十五條 安全生產(chǎn)季度分析,公司所屬各生產(chǎn)車間在每季度末,對本單位的季度安全生產(chǎn)工作進行總結(jié)分析,在每年1月、4月、7月、10月的5日前以電子郵件報質(zhì)安部。質(zhì)安部負責編寫公司安全生產(chǎn)季度分析匯報,經(jīng)主管生產(chǎn)的領(lǐng)導批準后,在1、4、7、10月的10日前以電子郵件、傳真或書面報地方電力調(diào)度控制中心。安全生產(chǎn)季度分析匯報應包含以下內(nèi)容:
(一)季度安全生產(chǎn)情況介紹。
(二)季度安全生產(chǎn)情況分析(用數(shù)據(jù)分析方式,與去年同期進行比較分析)。
(三)暴露出的主要問題及整改措施。
(四)下一季度安全管理的重點。
第六章 附則
第二十六條 本規(guī)定執(zhí)行中如與上級規(guī)定相抵觸,則以上級規(guī)定為準。
第二十七條 本規(guī)定解釋權(quán)屬質(zhì)安部。
第二十八條 本規(guī)定自文件下發(fā)之日起執(zhí)行。
第4篇 應用信息技術(shù) 提升企業(yè)安全管理水平
信息技術(shù)在電力企業(yè)安全生產(chǎn)管理中的應用空間廣泛,對企業(yè)規(guī)范管理行為、改善管理方式、夯實管理基礎(chǔ)、提高工作效率,有著極其重要的作用。電力企業(yè)應以安全生產(chǎn)為己任,積極推行信息技術(shù)的應用,探索電力安全生產(chǎn)的新思路,持續(xù)改進,不斷提高。
1以信息化規(guī)范員工作業(yè)行為
人的不安全行為是導致事故發(fā)生的主要因素,電力企業(yè)在注重員工的安全教育與培訓的同時,必須依靠技術(shù)進步,借助信息化手段,規(guī)范員工作業(yè)行為,以期逐步培養(yǎng)良好的工作習慣。
(1)實行變電倒閘操作全程錄音。變電運行人員在倒閘操作過程中,使用錄音筆進行全過程錄音,工區(qū)、監(jiān)督部門定期檢查錄音文件并予以通報,從而規(guī)范倒閘操作的全過程監(jiān)督和管理,促進“六要”、“八步”在現(xiàn)場的落實。
(2)推行
變電巡檢系統(tǒng)。該系統(tǒng)通過在每個設(shè)備單元間隔安裝的信息鈕記錄值班員的到位信息,確保巡視人員的到位,做到路徑最優(yōu),項目齊全,痕跡保全,提高設(shè)備巡視到位率。
(3)應用輸電線路巡檢系統(tǒng),跟蹤巡線全過程,同時輔以數(shù)碼相機記錄設(shè)備缺陷,保證了巡視到位和準確掌握缺陷信息。
(4)運用powerpoint工具軟件,編輯系列違章現(xiàn)象專題圖片,在職工中開展找錯競賽,以身邊的違章現(xiàn)象教育身邊人。
(5)開展網(wǎng)上培訓。使用規(guī)程學習與考核軟件,隨時進行網(wǎng)上學習、練習和模擬測試,試題隨機生成,逐步取代常規(guī)的安全知識考試形式,使培訓和考試工作科學化、規(guī)范化。
2以信息化強化基礎(chǔ)管理
強化安全生產(chǎn)基礎(chǔ)管理,以信息技術(shù)為平臺,減輕勞動強度,提高工作效率,保證基礎(chǔ)管理工作的適宜性、完整性、有效性。
(1)利用全文檢索系統(tǒng),為工作提供方便。建立有效的技術(shù)標準體系,跟蹤技術(shù)標準發(fā)布動態(tài),及時進行補充與完善,使其覆蓋率達到100%。
(2)利用網(wǎng)絡(luò)平臺加強制度管理,在健全和完善安全生產(chǎn)管理制度的基礎(chǔ)上,實現(xiàn)網(wǎng)絡(luò)化,方便查詢與學習。
(3)建立違章類型管理庫,利用信息技術(shù)實現(xiàn)違章的分類管理。在開展管理性違章、行為性違章、裝置性違章的排查基礎(chǔ)上,按違章分值、性質(zhì)、等級進行編號,實現(xiàn)信息化數(shù)據(jù)積累,為逐步降低違章的重復率提供技術(shù)手段,促進反違章工作的深化。
(4)開發(fā)危險點和控制措施庫管理信息系統(tǒng),實行危險點預控措施卡的編制、審核、批準的網(wǎng)上流轉(zhuǎn),實現(xiàn)危險點的動態(tài)管理。
(5)研發(fā)安全用具管理系統(tǒng),實現(xiàn)對安全工器具的全過程管理,該系統(tǒng)應涵蓋工區(qū)和班組,包含安全用具在役、退役、報廢等檔案管理,試驗報告管理,試驗周期管理等功能,加強安全用具的管理工作。
(6)運用信息技術(shù),規(guī)范會議管理。開發(fā)安全生產(chǎn)會議管理系統(tǒng),提高會議質(zhì)量和效率,做到會前準備充分,提前在網(wǎng)上發(fā)布會議材料;會中議題明確,主題突出;會后紀要分發(fā)迅速,實施情況分類標示,統(tǒng)計分析、考核有據(jù),會議時間大大縮短。
3
以信息化提升安全管理水平
充分利用網(wǎng)絡(luò)技術(shù),為安全生產(chǎn)提供更為快捷、方便、安全的信息平臺,達到過程控制、資源共享。
(1)應用微機兩票管理系統(tǒng),實現(xiàn)兩票網(wǎng)上流轉(zhuǎn),提高工作效率和兩票合格率,為兩票的統(tǒng)計分析提供便利條件,規(guī)范兩票管理。
(2)應用生產(chǎn)管理信息系統(tǒng)(mis),保證生產(chǎn)與檢修計劃可控、在控。按照“五結(jié)合”原則進行計劃統(tǒng)籌,合理調(diào)配資源,提高工作的安全性,優(yōu)化缺陷管理流程,加強閉環(huán)控制。mis系統(tǒng)提供完整的缺陷報告、等級核定、任務(wù)下達、消缺情況、投運結(jié)論等閉環(huán)控制流程,通過網(wǎng)絡(luò)實現(xiàn)實時檢查監(jiān)督,提高設(shè)備消缺質(zhì)量。
(3)開發(fā)調(diào)度mis、變電mis,使電網(wǎng)運行管理水平再上新臺階,運行工作實現(xiàn)網(wǎng)絡(luò)化。調(diào)度指令票實現(xiàn)網(wǎng)上傳遞和過程監(jiān)督,該系統(tǒng)中的危險點預控模塊,實現(xiàn)擬票、審票、操作全過程監(jiān)護控制與提示,初步實現(xiàn)調(diào)度危險點預控智能化,防止調(diào)度誤操作事故的發(fā)生;變電mis系統(tǒng)涵蓋運行日志、日常運行、安全管理等各項運行工作,實現(xiàn)運行工作透明化。
(4)應用scada/pas系統(tǒng),實現(xiàn)電網(wǎng)運行數(shù)據(jù)分析和安全性靜態(tài)評價;應用調(diào)度模擬操作,防止調(diào)度誤操作的發(fā)生,解合環(huán)操作前利用潮流分析軟件、模擬操作進行潮流分析,為電網(wǎng)的安全、優(yōu)質(zhì)、經(jīng)濟運行
提供有力的保障。
(5)應用繼電保護在線信息管理系統(tǒng),實現(xiàn)繼電保護定值單、試驗報告和保護動作月報的錄入、繼電保護圖紙的電子化和上傳工作;應用繼電保護及安全自動裝置核對軟件,進行季度安全自動裝置狀態(tài)核對;應用繼電保護整定計算軟件進行繼電保護整定計算,防止人為因素造成的誤整定并提高工作效率。
(6)建立企業(yè)安全網(wǎng)頁和安全文化網(wǎng)站,營造企業(yè)安全文化氛圍。通過安全信息發(fā)布、通報事故分析報告、違章照片曝光和錄相片播放等形式,借以形成安全教育的氛圍,從培養(yǎng)“我要安全”理念、培訓“我會安全”技能、強化“我懂安全”素質(zhì)三方面入手,逐步實現(xiàn)從“要我安全”到“我要安全”、“我會安全”、“我懂安全”的轉(zhuǎn)變,對保證安全生產(chǎn)具有潛意識的推動作用。
第5篇 信息安全管理辦法
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結(jié)合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導和各職能部門主要負責人組成信息安全工作領(lǐng)導小組,領(lǐng)導小組辦公室設(shè)農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責。科技信息部為農(nóng)商行信息安全保護專職部門,設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導小組,設(shè)立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項目中的安全方案,組織實施信息安全保障項目建設(shè),維護、管理信息安全專用設(shè)施。 (三)檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責過程中,應承擔如下安全義務(wù): (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權(quán)限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應嚴格履行外包服務(wù)合同(協(xié)議)的各項安全承諾。提供技術(shù)服務(wù)期間,嚴格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應承擔如下安全義務(wù): (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應按照“權(quán)限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務(wù): (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風險管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術(shù)部門進行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴格設(shè)定各用戶的操作權(quán)限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權(quán)限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設(shè)中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對系統(tǒng)設(shè)置后門;
(四)對系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關(guān)的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關(guān)標準、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設(shè)、改造的方案應報上市網(wǎng)絡(luò)中心備案。必要時,由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。 第四十三條 機房建設(shè)或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控,通過技術(shù)和管理手段,確保計算機機房及配套設(shè)施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關(guān)專業(yè)培訓,熟知機房各類設(shè)備的分布和操作要領(lǐng),定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設(shè)備登記辦法,嚴格資產(chǎn)管理,明確計算機設(shè)備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡(luò)傳輸與應用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負責網(wǎng)絡(luò)的運行管理,實施網(wǎng)絡(luò)安全策略和安全運行細則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護網(wǎng)絡(luò)安全正常運行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領(lǐng)導授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應書面請示本部門主管領(lǐng)導,變更信息應做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導批準,有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接,應采用必要的技術(shù)隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關(guān)批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設(shè)項目應在規(guī)劃與立項階段同步考慮安全問題,建設(shè)方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設(shè)計。
第七十五條 信息系統(tǒng)應采取與業(yè)務(wù)安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權(quán),特別應嚴格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設(shè)置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設(shè)計應符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術(shù)方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設(shè)計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設(shè)計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的,應征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導書面批準,其他任何人不得擅自使用業(yè)務(wù)操作人員用機,不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負責信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應嚴格按照安全操作規(guī)程進行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導和科技信息部報告。 第九十四條 業(yè)務(wù)操作人員應設(shè)置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導批準,不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條? 農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術(shù)實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應嚴格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放。恢復及使用備份數(shù)據(jù)時需要提供相關(guān)口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術(shù)文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導批準,任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設(shè)備(u盤、移動硬盤等)管理辦法,加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次??诹蠲艽a的強度應滿足不同安全性要求,不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術(shù)應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權(quán)限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導批準,外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設(shè)備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負責提出業(yè)務(wù)系統(tǒng)災難備份需求,明確可容忍的業(yè)務(wù)中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務(wù)差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設(shè)計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關(guān)系等)。 (二)應急組織機構(gòu)。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導小組統(tǒng)一負責各業(yè)務(wù)系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關(guān)單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領(lǐng)導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。 ??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領(lǐng)導小組和上一級科技信息部,抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關(guān)部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關(guān)整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結(jié)束后,形成評估報告,提出整改意見報本單位科技信息部主管領(lǐng)導。 第一百六十六條 農(nóng)商行如聘請第三方機構(gòu)進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權(quán)不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導、相關(guān)部門負責人及直接責任人的責任;構(gòu)成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
?
第一章??? 總則
第一條 為加強邵陽市農(nóng)村商業(yè)銀行(以下簡稱農(nóng)商行)信息系統(tǒng)信息安全、硬件設(shè)備、安全運行、故障申報、日常檢查、網(wǎng)絡(luò)安全等管理,防范和化解信息系統(tǒng)的運行風險,杜絕各類事故和案件的發(fā)生,根據(jù)《湖南省農(nóng)村信用社信息安全管理辦法》、《中華人民共和國信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》、《商業(yè)銀行信息科技風險管理指引》等規(guī)定,結(jié)合我農(nóng)商行實際情況,特制定本辦法。
第二條 本辦法適用所有使用邵陽市農(nóng)商行網(wǎng)絡(luò)或信息資源的其他外部機構(gòu)和個人,包括農(nóng)商行轄內(nèi)網(wǎng)點所有員工,包括在編合同制員工、經(jīng)批準在崗的短期合同制員工。
第三條 信息系統(tǒng)信息安全工作堅持以預防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合和的原則、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,逐級落實單位與個人信息安全責任制。
第四條 信息系統(tǒng)系統(tǒng)信息安全管理員,應當保障信息系統(tǒng)及配套設(shè)備的安全、運行環(huán)境的安全和信息的安全。
第五條 任何個人不得利用信息系統(tǒng)從事危害國家利益和集體利益的活動、不得危害計算機信息系統(tǒng)的安全。
第二章 組織保障
第六條 農(nóng)商行設(shè)立科技信息部,由科技信息部歸口管理信息安全工作,并明確其信息安全管理職責。
第七條 根據(jù)省聯(lián)社要求,農(nóng)商行成立由農(nóng)商行領(lǐng)導和各職能部門主要負責人組成信息安全工作領(lǐng)導小組,領(lǐng)導小組辦公室設(shè)農(nóng)商行科技信息部,負責協(xié)調(diào)轄內(nèi)信息安全管理工作,決定轄內(nèi)信息安全重大事宜。 第八條 農(nóng)商行科技信息部門設(shè)立信息安全崗位,配備專職信息安全管理人員。負責邵陽農(nóng)商行信息安全管理,建立完善信息安全管理辦法,并組織實施;對農(nóng)商行信息安全管理工作進行指導和檢查督促。
第九條 農(nóng)商行各支行及各職能部門主要負責人為本部門信息安全第一責任人,同時均應指定至少一名部門信息安全員,具體負責本部門的信息安全管理,協(xié)同科技信息部開展信息安全管理工作。
第三章??? 人員管理
農(nóng)商行工作人員根據(jù)不同的崗位或工作范圍,履行相應的信息安全保障職責??萍夹畔⒉繛檗r(nóng)商行信息安全保護專職部門,設(shè)信息安全管理員、系統(tǒng)維護管理員、技術(shù)維護員等崗位負責全轄信息系統(tǒng)安全運行。各部門及支行要設(shè)立信息系統(tǒng)安全管理領(lǐng)導小組,設(shè)立部門信息安全員。
第一節(jié) 信息安全管理人員
第十條 農(nóng)商行選派政治思想過硬、具有較高計算機水平的人員從事信息安全管理工作。凡是因違反國家法律法規(guī)和湖南省農(nóng)村信用社有關(guān)規(guī)定受到過處罰或處分的人員,不得從事此項工作。
第十一條 信息安全管理人員應具有從事金融機構(gòu)計算機工作三年以上經(jīng)歷,具有本科以上學歷。
第十二條 信息安全管理人員必須應經(jīng)過省聯(lián)社組織的專業(yè)培訓與審核,培訓與審核合格后方可上崗。上崗后,每年至少參加一次信息安全專業(yè)培訓。 第十三條 農(nóng)商行信息安全管理人員在如下職責范圍內(nèi)開展本單位信息安全管理工作: (一)組織落實上級信息安全管理規(guī)定,制定信息安全管理辦法,協(xié)調(diào)部門計算機安全員工作,監(jiān)督檢查信息安全保障工作。 (二)審核信息化建設(shè)項目中的安全方案,組織實施信息安全保障項目建設(shè),維護、管理信息安全專用設(shè)施。 (三)檢測網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況,檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況,發(fā)現(xiàn)問題,及時通報和預警,并提出整改意見。統(tǒng)計分析和協(xié)調(diào)處置信息安全事件。 (四)定期組織信息安全宣傳教育活動,開展信息安全檢查、評估與培訓工作。 第十四條 信息安全管理人員在履行職責時,確因工作需要查詢相關(guān)涉密信息,須經(jīng)本部門負責人同意后向本單位保密主管部門提交申請,獲得批準后方可查詢。 第十五條 信息安全管理人員實行備案管理辦法。信息安全管理人員的配備和變更情況應及時報上一級科技信息部備案。
第十六條 信息安全管理人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及農(nóng)村信用社業(yè)務(wù)核心技術(shù)的計算機安全人員調(diào)離單位,必須進行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。
第二節(jié) 部門信息安全員
第十七條 各部門和各級支行應指派素質(zhì)好、較熟悉計算機知識的人員擔任部門信息安全員,并報農(nóng)商行科技信息部備案。如有變更應做好交接工作,并及時通報科技信息部。 第十八條 部門信息安全員配合農(nóng)商行信息安全管理人員工作,并參加各項信息安全技能培訓。 第十九條 部門信息安全員在如下職責范圍內(nèi)開展工作: (一)負責本部門計算機病毒防治工作,監(jiān)督檢查本部門客戶端安全管理情況。 (二)負責提出本部門信息安全保障需求,及時與農(nóng)商行信息安全管理人員溝通信息安全信息。 (三)負責本部門國際互聯(lián)網(wǎng)使用和接入安全管理,組織開展本部門信息安全自查,協(xié)助科技信息部完成對本部門的信息安全檢查工作。
第三節(jié) 技術(shù)支持人員
第二十條 本辦法所稱技術(shù)支持人員,是指參與邵陽農(nóng)商行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第二十一條 農(nóng)商行內(nèi)部技術(shù)支持人員在履行網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)和日常運行維護職責過程中,應承擔如下安全義務(wù): (一)不得對外泄露或引用工作中觸及的任何敏感信息。嚴格權(quán)限訪問,未經(jīng)批準不得擅自改變系統(tǒng)設(shè)置或修改系統(tǒng)生成的任何業(yè)務(wù)數(shù)據(jù)。 (二)主動檢查和監(jiān)控生產(chǎn)系統(tǒng)安全運行狀況,發(fā)現(xiàn)安全隱患或故障及時報告本部門主管領(lǐng)導,并及時響應、處置。 (三)嚴格操作管理、測試管理、應急管理、配置管理、變更管理、檔案管理等工作辦法,做好數(shù)據(jù)備份工作。 第二十二條 外部技術(shù)支持人員應嚴格履行外包服務(wù)合同(協(xié)議)的各項安全承諾。提供技術(shù)服務(wù)期間,嚴格遵守湖南省農(nóng)村信用社相關(guān)安全規(guī)定與操作規(guī)程,關(guān)鍵操作應經(jīng)授權(quán),并有農(nóng)商行內(nèi)部員工在場。不得拷貝或帶走任何配置參數(shù)信息或業(yè)務(wù)數(shù)據(jù),不得對外泄露或引用任何工作信息。
第四節(jié) 業(yè)務(wù)系統(tǒng)操作人員
第二十三條 本辦法所稱業(yè)務(wù)系統(tǒng)操作人員是指直接操作業(yè)務(wù)系統(tǒng)進行業(yè)務(wù)處理的業(yè)務(wù)工作人員。 第二十四條 業(yè)務(wù)系統(tǒng)操作人員應承擔如下安全義務(wù): (一)嚴格規(guī)程操作,防止誤操作。定期修改操作密碼并妥善保管,按需、適時進行必要的數(shù)據(jù)備份。 (二)發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)出現(xiàn)異常及時報告科技信息部。 (三)不得在操作終端上安裝與業(yè)務(wù)系統(tǒng)無關(guān)的軟件和硬件,不得擅自修改業(yè)務(wù)系統(tǒng)及其運行環(huán)境參數(shù)設(shè)置。 第二十五條 業(yè)務(wù)系統(tǒng)操作應按照“權(quán)限分散、不得交叉任職”原則,嚴格進行操作角色劃分和授權(quán)管理。技術(shù)支持人員不得兼任業(yè)務(wù)系統(tǒng)操作人員。
第五節(jié) 一般計算機用戶
第二十六條 本辦法所稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第二十七條 一般計算機用戶應承擔如下安全義務(wù): (一)及時更新所用計算機的病毒防治軟件和安裝補丁程序,自覺接受本部門信息安全員的指導與管理。 (二)不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件,不得修改系統(tǒng)和網(wǎng)絡(luò)配置參數(shù)。 (三)未經(jīng)科技信息部檢測和授權(quán),不得將接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)的所用計算機轉(zhuǎn)接入國際互聯(lián)網(wǎng);不得將便攜式計算機接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò);不得隨意將個人計算機帶入機房或私自拷貝任何信息。
第六節(jié) 信息系統(tǒng)要害崗位人員
第二十八條 本辦法所稱信息系統(tǒng)要害崗位人員,是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)開發(fā)人員、系統(tǒng)維護員等內(nèi)部技術(shù)支持人員和重要業(yè)務(wù)操作等崗位人員。
第二十九條 本辦法所稱重要信息系統(tǒng)是指湖南省農(nóng)村信用社面向客戶的業(yè)務(wù)處理類、渠道類和涉及客戶風險管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第三十條 要害崗位人員上崗前必須經(jīng)農(nóng)商行人事部門進行政治素質(zhì)審查,技術(shù)部門進行業(yè)務(wù)技能考核,合格者方可上崗。
第三十一條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則,按照“必需知道”和“最小授權(quán)”原則,嚴格設(shè)定各用戶的操作權(quán)限。
第三十二條 對要害崗位人員應實行年度強制休假辦法和定期考查辦法,并進行必要的安全教育和培訓。
第三十三條 要害崗位人員調(diào)離崗位,必須嚴格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及信用社業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位,必須進行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。
第三十四條 要害崗位人員離崗后,必須即刻更換操作密碼或注銷用戶。
第三十五條 系統(tǒng)管理員安全責任
(一)負責系統(tǒng)的運行管理,實施系統(tǒng)安全運行細則;
(二)嚴格用戶權(quán)限管理,維護系統(tǒng)安全正常運行;
(三)認真記錄系統(tǒng)安全事項,及時向計算機安全人員報告安全事件;
(四)對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。
第三十六條 系統(tǒng)開發(fā)員安全責任
(一)系統(tǒng)開發(fā)建設(shè)中,應嚴格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準確實現(xiàn);
(二)系統(tǒng)投產(chǎn)運行前,應完整移交系統(tǒng)源代碼和相關(guān)涉密資料;
(三)不得對系統(tǒng)設(shè)置后門;
(四)對系統(tǒng)核心技術(shù)保密。
第三十七條 系統(tǒng)維護員安全責任
(一)負責系統(tǒng)維護,及時解除系統(tǒng)故障,確保系統(tǒng)正常運行;
(二)不得擅自改變系統(tǒng)參數(shù)配置;
(三)不得安裝與系統(tǒng)無關(guān)的其他計算機程序;
(四)維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第三十八條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。
第四章 機房環(huán)境和設(shè)備資產(chǎn)管理
第一節(jié) 機房環(huán)境安全管理
第三十九條 本辦法所稱機房是指信息系統(tǒng)等主要設(shè)備放置、運行場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 第四十條 農(nóng)商行機房的規(guī)劃、建設(shè)、改造、運行、維護由科技信息部負責。 第四十一條 農(nóng)商行機房應符合國家計算機機房有關(guān)標準、監(jiān)管部門有關(guān)要求和省聯(lián)社有關(guān)規(guī)定,滿足下列基本安全要求:
(一)機房周圍100米內(nèi)不得存在危險建筑物,如加油站、煤氣站等。
(二)機房應配備防電磁干擾、防電磁泄漏、防靜電、防水、防盜、防鼠害等設(shè)施。
(三)機房應安裝門禁系統(tǒng)、防雷系統(tǒng)、監(jiān)視系統(tǒng)、消防系統(tǒng)、報警系統(tǒng)。
(四)機房應設(shè)專用的供電系統(tǒng),配備必要的ups和發(fā)電機。
第四十二條 機房建設(shè)、改造的方案應報上市網(wǎng)絡(luò)中心備案。必要時,由市網(wǎng)絡(luò)中心會同財務(wù)、保衛(wèi)等部門進行審核。 第四十三條 機房建設(shè)或改造應選擇具有國家建筑裝修裝飾工程專業(yè)承包三級以上資質(zhì)、兩年以上從事計算機機房設(shè)計與施工經(jīng)驗的專業(yè)化公司。重要機房建設(shè)或改造工程應引入監(jiān)理辦法。
第四十四條 計算機機房實行分區(qū)管理原則。核心區(qū)實行24小時連續(xù)監(jiān)控,生產(chǎn)區(qū)實行工作時間連續(xù)監(jiān)控,輔助區(qū)實施聯(lián)動監(jiān)控。
第四十五條 監(jiān)控設(shè)備的安裝應符合安全保密原則,確保監(jiān)控的安全規(guī)范運作,防止監(jiān)控信息的泄密。
第四十六條 農(nóng)商行機房應建立機房設(shè)施與場地環(huán)境集中監(jiān)控系統(tǒng),對機房空調(diào)、消防、不間斷電源(ups)、供配電、門禁系統(tǒng)等重要設(shè)施實行全面監(jiān)控,通過技術(shù)和管理手段,確保計算機機房及配套設(shè)施安全。 第四十七條 農(nóng)商行機房投入使用前,應經(jīng)過當?shù)毓蚕啦块T的消防驗收和本單位科技、保衛(wèi)部門組織的驗收,并出具明確結(jié)論的驗收報告。未經(jīng)驗收或驗收不合格的機房均不得投入使用。 第四十八條 農(nóng)商行建立健全機房管理辦法,并指派專人擔任機房管理員,落實機房安全責任制。機房管理員應經(jīng)過相關(guān)專業(yè)培訓,熟知機房各類設(shè)備的分布和操作要領(lǐng),定期巡查機房,發(fā)現(xiàn)問題及時報告。
第四十九條 機房管理員負責妥善保管機房建設(shè)或改造的所有文檔、圖紙以及機房運行記錄等有關(guān)資料,并隨時提供調(diào)閱。
第五十條 農(nóng)商行加強出入機房人員管理。禁止未經(jīng)批準的外部人員進入機房。非機房工作人員進出機房須經(jīng)主管部門領(lǐng)導批準,并辦理登記手續(xù),由專人陪同。
第五十一條 建立機房定期維修保養(yǎng)辦法。易受季節(jié)、溫度等環(huán)境因素影響的設(shè)備、已逾保修期的設(shè)備、近期維修過的設(shè)備等應成為保養(yǎng)的重點。
第五十二條 向社會提供公眾服務(wù)的柜面和核心業(yè)務(wù)處理環(huán)境應嚴格出入安全管理,應安裝門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng),實行定時錄像監(jiān)控,并適當配置自動監(jiān)控報警功能。 第五十三條 所有門禁、防入侵報警、視頻監(jiān)視錄像系統(tǒng)的信息資料由專人保管,至少保存三個月。
第二節(jié) 設(shè)備資產(chǎn)管理
第五十四條 農(nóng)商行科技信息部建立完備的計算機設(shè)備登記辦法,嚴格資產(chǎn)管理,明確計算機設(shè)備使用者或管理者及其安全責任。 第五十五條 農(nóng)商行科技信息部根據(jù)計算機設(shè)備重要程度采取不同的安全保護措施,制定完善的訪問控制策略,防止未經(jīng)授權(quán)使用設(shè)備或信息。有特殊安全要求的計算機設(shè)備應放置在機房的特殊功能區(qū),必要時,單獨建立門禁與監(jiān)控系統(tǒng),或配備防電磁泄露的屏蔽裝置等。
第五章 網(wǎng)絡(luò)安全管理
第一節(jié) 網(wǎng)絡(luò)規(guī)劃建設(shè)安全管理
第五十六條 省聯(lián)社信息科技部負責網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置和網(wǎng)絡(luò)資源(網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址和域名等)分配。 第五十七條 農(nóng)商行科技信息部按照省聯(lián)社信息科技部的統(tǒng)一規(guī)劃和總體部署,組織實施網(wǎng)絡(luò)建設(shè)、改造工程。農(nóng)商行局域網(wǎng)的建設(shè)與改造方案應報上一級科技信息部審核、備案,投產(chǎn)前應通過本單位組織的安全測試。 第五十八條 農(nóng)商行的網(wǎng)絡(luò)建設(shè)和改造應符合如下基本安全要求: (一)符合湖南省農(nóng)村信用社網(wǎng)絡(luò)安全管理要求,使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風險,保障網(wǎng)絡(luò)傳輸與應用安全。 (二)具備必要的網(wǎng)絡(luò)監(jiān)測、跟蹤和審計等管理功能。 (三)根據(jù)信息安全級別,將網(wǎng)絡(luò)劃分為不同的邏輯安全域。針對不同的網(wǎng)絡(luò)安全域,采取必要和有效的安全控制措施。
第二節(jié) 網(wǎng)絡(luò)運行安全管理
第五十九條 農(nóng)商行科技信息部建立健全網(wǎng)絡(luò)安全運行辦法,配備網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員負責日常監(jiān)測和檢查網(wǎng)絡(luò)安全運行狀況,管理網(wǎng)絡(luò)資源及其配置信息,建立健全網(wǎng)絡(luò)運行維護檔案,及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。
(一)負責網(wǎng)絡(luò)的運行管理,實施網(wǎng)絡(luò)安全策略和安全運行細則;
(二)安全配置網(wǎng)絡(luò)參數(shù),嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護網(wǎng)絡(luò)安全正常運行;
(三)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時向計算機安全人員報告安全事件;
(四)對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。
第六十條 網(wǎng)絡(luò)管理員定期參加網(wǎng)絡(luò)安全技術(shù)培訓,具備一定的非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的應對技能,緊急情況下,經(jīng)本部門主管領(lǐng)導授權(quán)后可采取“先斷網(wǎng)、后處理”的緊急應對措施。
第六十一條 農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前,接入方案、設(shè)備的安全性等應經(jīng)過審核與必要的檢測,審核(檢測)通過后方可接入并分配相應的網(wǎng)絡(luò)資源。 第六十二條 農(nóng)商行科技信息部嚴格網(wǎng)絡(luò)變更管理。網(wǎng)絡(luò)管理員在調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前,應書面請示本部門主管領(lǐng)導,變更信息應做好記錄。實施有可能影響網(wǎng)絡(luò)正常運行的重大網(wǎng)絡(luò)變更,應提前通知所有使用部門并安排在節(jié)假日進行,同時做好配置參數(shù)的備份和應急恢復準備。 第六十三條 農(nóng)商行嚴格遠程訪問控制。確因工作需要進行遠程訪問的部門和人員應向科技信息部提出書面申請,并采取相應的安全防護措施。 第六十四條 信息安全管理人員經(jīng)本部門主管領(lǐng)導批準,有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進行安全檢測、掃描和評估。檢測、掃描和評估結(jié)果屬敏感信息,不得向外界提供。未經(jīng)省聯(lián)社信息科技部授權(quán),任何外部單位與人員不得檢測、掃描湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。 第六十五條 農(nóng)商行應以不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則,合理控制多媒體網(wǎng)絡(luò)應用規(guī)模和范圍。未經(jīng)省聯(lián)社信息科技部批準,不得在湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應用。
第三節(jié) 網(wǎng)間互聯(lián)安全管理
第六十六條 本辦法所稱網(wǎng)間互聯(lián)是指為滿足邵陽市農(nóng)村商業(yè)銀行與其他外部機構(gòu)信息交換或信息共享需求實施的機構(gòu)間網(wǎng)絡(luò)互聯(lián)。 第六十七條 網(wǎng)間互聯(lián)由省聯(lián)社信息科技部統(tǒng)一規(guī)劃,按照相關(guān)標準組織實施。未經(jīng)省聯(lián)社信息科技部核準,任何單位不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。
第六十八條 經(jīng)批準與其他業(yè)務(wù)相關(guān)機構(gòu)進行網(wǎng)絡(luò)連接,應采用必要的技術(shù)隔離保護措施,對聯(lián)網(wǎng)使用的用戶必須采用一人一帳戶的訪問控制。
第四節(jié) 接入國際互聯(lián)網(wǎng)管理
第六十九條 邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)實行物理隔離。所有接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)或存儲有敏感工作信息的計算機,不得直接或間接接入國際互聯(lián)網(wǎng)。 第七十條 計算機接入國際互聯(lián)網(wǎng)應通過本單位保密主管部門批準,并確保安裝有湖南省農(nóng)村信用社選定的防病毒軟件和最新補丁程序??萍夹畔⒉繎{相關(guān)批準證明實施聯(lián)網(wǎng),并做好備案。曾接入邵陽市農(nóng)村商業(yè)銀行內(nèi)部網(wǎng)絡(luò)的計算機需改接入國際互聯(lián)網(wǎng)前應重新辦理以上審批手續(xù),科技信息部確保該計算機已刪除敏感工作信息后方可實施接入。 第七十一條 未經(jīng)科技信息部安全檢測,曾接入國際互聯(lián)網(wǎng)的計算機不得直接接入湖南省農(nóng)村信用社內(nèi)部網(wǎng)絡(luò)。從國際互聯(lián)網(wǎng)下載的任何信息,未經(jīng)病毒檢測不得在內(nèi)部網(wǎng)絡(luò)上使用。 第七十二條 使用國際互聯(lián)網(wǎng)的所有用戶應遵守國家有關(guān)法律法規(guī)和湖南省農(nóng)村信用社相關(guān)管理規(guī)定,不得從事任何違法違規(guī)活動。
第六章 信息系統(tǒng)安全管理
第七十三條 本辦法所指的信息系統(tǒng)是邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)處理系統(tǒng)、管理信息系統(tǒng)和日常辦公自動化系統(tǒng)等,包括數(shù)據(jù)庫、軟件和硬件支撐環(huán)境等。
第一節(jié) 信息系統(tǒng)規(guī)劃與立項
第七十四條 信息系統(tǒng)建設(shè)項目應在規(guī)劃與立項階段同步考慮安全問題,建設(shè)方案應滿足邵陽市農(nóng)村商業(yè)銀行信息安全保障總體規(guī)劃的相關(guān)要求。項目技術(shù)方案應包括以下基本安全內(nèi)容: (一)業(yè)務(wù)需求部門提出的安全需求。 (二)安全需求分析和實現(xiàn)。 (三)運行平臺的安全策略與設(shè)計。
第七十五條 信息系統(tǒng)應采取與業(yè)務(wù)安全等級要求相應的安全機制,在安全防護方面應符合下列基本安全要求:
(一)采取必要的技術(shù)手段,建立嚴密的安全管理控制機制,保證數(shù)據(jù)信息在處理、存儲和傳輸過程中的完整性和安全性,防止數(shù)據(jù)信息被非法使用、修改和復制;
(二)提供完整的數(shù)據(jù)備份和恢復功能,能方便地根據(jù)系統(tǒng)和數(shù)據(jù)的備份介質(zhì)進行災難恢復;
(三)具有嚴格的用戶和密碼管理,能對不同級別的用戶進行有限授權(quán),特別應嚴格限制和分流特權(quán)用戶的權(quán)限,防止非法用戶的侵入和破壞;
(四)重要信息系統(tǒng)應設(shè)置審計監(jiān)控程序,具有身份識別和實體認證功能。能夠自動記錄操作人員的重要操作,具有防止抵賴機制;
(五)涉密信息系統(tǒng)的安全設(shè)計應符合涉密信息保密管理的有關(guān)規(guī)定。
第七十六條 農(nóng)商行科技信息部負責對項目技術(shù)方案進行安全專項審查并提出審查意見,未通過安全審核的項目不得予以立項。
第二節(jié) 信息系統(tǒng)開發(fā)與集成
第七十七條 信息系統(tǒng)開發(fā)應符合軟件工程規(guī)范,依據(jù)安全需求進行安全設(shè)計,保證安全功能的完整、準確實現(xiàn)。
第七十八條 信息系統(tǒng)開發(fā)單位應在完成開發(fā)任務(wù)后將程序源代碼及其相關(guān)技術(shù)文檔全部移交邵陽市農(nóng)村商業(yè)銀行科技信息部。外部開發(fā)單位還應與邵陽市農(nóng)村商業(yè)銀行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議,不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第七十九條 信息系統(tǒng)的開發(fā)人員不能兼任信息系統(tǒng)管理員或業(yè)務(wù)系統(tǒng)操作人員,不得在程序代碼中植入后門和惡意代碼程序。
第八十條 信息系統(tǒng)開發(fā)、測試和程序的修改工作不得在生產(chǎn)環(huán)境中進行。 第八十一條 涉密信息系統(tǒng)集成應選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位或企業(yè),并簽訂嚴格的保密協(xié)議。
第三節(jié) 信息系統(tǒng)上線與運行
第八十二條 農(nóng)商行信息系統(tǒng)上線運行實行安全審查辦法,未通過安全審查的任何新建或改造信息系統(tǒng)不得投產(chǎn)運行。具體要求如下: (一)項目承擔單位(部門)應組織制定安全測試方案,進行系統(tǒng)上線前的自測試并形成測試報告,報科技信息部審查。 (二)科技信息部應提出明確的測試方案和測試報告審查意見。必要時,可組織專家評審或?qū)嵤┬畔⑾到y(tǒng)漏洞掃描檢測。
(三)信息系統(tǒng)建設(shè)牽頭業(yè)務(wù)部門應在信息系統(tǒng)投產(chǎn)運行前同步制定相關(guān)安全操作規(guī)定,報科技信息部備案。
第八十三條 信息系統(tǒng)投入運行前,應向省聯(lián)社科技部和市網(wǎng)絡(luò)中心提出安全評估和審批申請,并報送下列材料:
(一)系統(tǒng)的用途、總體結(jié)構(gòu)及軟硬件配置等基本情況;
(二)關(guān)于系統(tǒng)安全需求、安全策略、安全性指標、安全保護措施以及安全功能設(shè)計等情況的說明;
(三)系統(tǒng)安全性測試提綱和測試報告;
(四)信息系統(tǒng)安全評估和審批報告書。
第八十四條 科技信息部應當對報送的書面材料進行初步審查。委托相關(guān)權(quán)威機構(gòu)組建由相關(guān)業(yè)務(wù)和技術(shù)專家組成的安全評估委員會或安全評估專家組,對信息系統(tǒng)進行安全性測試、認證。
第八十五條 對信息系統(tǒng)的安全評估應當包括以下內(nèi)容:
(一)系統(tǒng)的安全策略;
(二)系統(tǒng)安全措施;
(三)系統(tǒng)安全功能的實現(xiàn)程度;
(四)系統(tǒng)運行的穩(wěn)定性、可靠性;
(五)系統(tǒng)運行平臺的安全可靠性。
第八十六條 安全評估委員會或安全評估專家組應對測試、認證的信息系統(tǒng)提出安全評估報告,并出具信息系統(tǒng)安全評估和審批報告書。
第八十七條 信息系統(tǒng)運行平臺應符合以下安全管理要求:
(一)合理配置操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能,以達到相應安全等級標準。
(二)屏蔽與應用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能,防止非法用戶的侵入。
(三)按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應用范圍設(shè)置聯(lián)網(wǎng)設(shè)備的ip地址及網(wǎng)絡(luò)參數(shù)。
(四)及時安裝正式發(fā)布的系統(tǒng)補丁,修補系統(tǒng)存在的安全漏洞。
第八十八條 農(nóng)商行科技信息部明確系統(tǒng)管理員(系統(tǒng)維護員),具體負責信息系統(tǒng)的日常運行管理,監(jiān)測系統(tǒng)運行日志,掌握系統(tǒng)運行狀況,并建立重要信息系統(tǒng)運行維護檔案,詳細記錄系統(tǒng)變更及操作過程。重要業(yè)務(wù)系統(tǒng)的系統(tǒng)設(shè)置要求雙人在場。
第八十九條 系統(tǒng)管理員不得兼任業(yè)務(wù)操作人員,不得安裝與系統(tǒng)無關(guān)的其他計算機程序;維護過程中,發(fā)現(xiàn)安全漏洞應及時報告計算機安全人員。
第九十條 系統(tǒng)管理員確需對業(yè)務(wù)系統(tǒng)進行維護性操作的,應征得業(yè)務(wù)部門同意并在業(yè)務(wù)操作人員在場的情況下進行,并詳細記錄維護內(nèi)容、人員、時間等信息。
第九十一條 未經(jīng)業(yè)務(wù)主管部門領(lǐng)導書面批準,其他任何人不得擅自使用業(yè)務(wù)操作人員用機,不得擅自設(shè)置、分配、使用、修改、刪除操作員代碼、口令和業(yè)務(wù)數(shù)據(jù),不得擅自改變用戶權(quán)限。
第四節(jié) 業(yè)務(wù)操作
第九十二條 業(yè)務(wù)部門負責信息系統(tǒng)業(yè)務(wù)操作用戶和權(quán)限設(shè)定,科技信息部根據(jù)-授權(quán)進行相關(guān)設(shè)定操作。 第九十三條 業(yè)務(wù)操作人員應嚴格按照安全操作規(guī)程進行業(yè)務(wù)操作和必要的數(shù)據(jù)備份,并配合科技信息部保障信息安全。一旦發(fā)現(xiàn)信息系統(tǒng)運行異常及時向本部門領(lǐng)導和科技信息部報告。 第九十四條 業(yè)務(wù)操作人員應設(shè)置本人口令密碼,并嚴格保密,防止口令密碼泄漏。嚴禁向其他任何人泄露本人口令密碼。 第九十五條 凡是能夠執(zhí)行錄入、復核辦法的信息系統(tǒng),業(yè)務(wù)操作人員不得一人兼錄入、復核兩職。未經(jīng)業(yè)務(wù)部門主管領(lǐng)導批準,不得代崗、兼崗。 第九十六條 業(yè)務(wù)操作人員離開操作用機時,應按序退出信息系統(tǒng),回到操作系統(tǒng)初始狀態(tài),防止業(yè)務(wù)數(shù)據(jù)被復制、修改、刪除以及誤操作。
第五節(jié) 信息系統(tǒng)廢止
第九十七條 實行信息系統(tǒng)廢止申報、備案辦法。使用信息系統(tǒng)的業(yè)務(wù)部門根據(jù)需要向科技信息部提出廢止申請,由科技信息部組織進行安全檢查后予以廢止,同時備案。 第九十八條 對已經(jīng)廢止的信息系統(tǒng)軟件和數(shù)據(jù)備份介質(zhì),科技信息部按業(yè)務(wù)規(guī)定在一定期限內(nèi)妥善保存。超過保存期限后需要銷毀的,應在本單位保密主管部門監(jiān)督下予以不可恢復性銷毀。
第七章 客戶端安全管理
第九十九條 本辦法所稱客戶端是指邵陽市農(nóng)村商業(yè)銀行計算機用戶、網(wǎng)絡(luò)與信息系統(tǒng)所使用的終端設(shè)備,包括臺式個人計算機(pc)、便攜式計算機、柜員終端、自動柜員機(atm)、存折打印機、讀卡器、銷售終端(pos)和個人數(shù)字助理(pda)等。 第一百條 農(nóng)商行應建立完善的客戶端管理辦法,記錄所有客戶端設(shè)備信息和軟件配置信息,采用桌面終端安全管理軟件集中實現(xiàn)桌面終端安全策略。 第一百零一條 客戶端應安裝和使用正版軟件,不得安裝和使用盜版軟件,不得安裝和使用與工作無關(guān)的軟件。 第一百零二條 客戶端應統(tǒng)一安裝病毒防治軟件,設(shè)置用戶密碼和屏幕保護口令等安全防護措施,確保安裝最新的病毒特征碼和必要的補丁程序。 第一百零三條 確因工作需要經(jīng)授權(quán)可遠程接入內(nèi)部網(wǎng)絡(luò)的用戶,應嚴格保存其身份認證介質(zhì)及口令密碼,不得轉(zhuǎn)借其他人使用。
第八章 信息安全專用產(chǎn)品與服務(wù)管理
第一節(jié) 資質(zhì)審查與選型購置
第一百零四條 本辦法所稱信息安全專用產(chǎn)品,是指邵陽市農(nóng)村商業(yè)銀行安裝使用的專用安全軟件、硬件產(chǎn)品。本辦法所稱信息安全服務(wù),是指邵陽市農(nóng)村商業(yè)銀行向社會購買的專業(yè)化安全服務(wù)。 第一百零五條 省聯(lián)社信息科技部負責信息安全服務(wù)提供商的資質(zhì)審查和信息安全專用產(chǎn)品的選型,農(nóng)商行在選型范圍內(nèi)按規(guī)定選購。 第一百零六條 農(nóng)商行購置掃描、檢測類信息安全專用產(chǎn)品應報省聯(lián)社信息科技部批準,省聯(lián)社信息科技部應進行登記備案。
第二節(jié) 使用管理
第一百零七條 農(nóng)商行科技信息部建立信息安全專用產(chǎn)品登記使用辦法,建立信息安全類固定資產(chǎn)使用登記簿并由專人負責管理。掃描、檢測類信息安全專用產(chǎn)品僅限于本單位信息安全管理人員使用。 第一百零八條 農(nóng)商行科技信息部隨時檢查各類信息安全專用產(chǎn)品使用情況,認真查看相關(guān)日志和報表信息并定期匯總分析。如發(fā)現(xiàn)重大問題,立即采取控制措施并按規(guī)定程序報告。 第一百零九條 各類信息安全專用產(chǎn)品在使用中產(chǎn)生的日志和報表信息屬于重要技術(shù)資料,應備份存檔至少三個月。 第一百一十條 農(nóng)商行科技信息部及時升級維護信息安全專用產(chǎn)品,凡因超過使用期限的或不能繼續(xù)使用的信息安全專用產(chǎn)品,按照固定資產(chǎn)報廢審批程序處理。 第一百一十一條 防火墻、入侵檢測等安全專用產(chǎn)品原則上應在本地配置。如需要進行遠程配置,由科技信息部或經(jīng)科技信息部授權(quán)在可信網(wǎng)絡(luò)內(nèi)并采取了必要的安全控制措施后進行操作。
第九章 數(shù)據(jù)、文檔與密碼管理
第一節(jié) 數(shù)據(jù)安全
第一百一十二條 本辦法中所稱的數(shù)據(jù)是指以電子形式存儲的邵陽市農(nóng)村商業(yè)銀行業(yè)務(wù)數(shù)據(jù)、客戶信息、系統(tǒng)運行日志、故障維護日志以及其他內(nèi)部資料。
第一百一十三條?農(nóng)商行應建立和實施信息分類及保護體系,明確科技信息分類、定密、解密、備份、調(diào)用、保管、運輸?shù)确矫娴墓ぷ髁鞒毯凸芾硪蟆? 第一百一十四條 農(nóng)商行業(yè)務(wù)部門負責提出數(shù)據(jù)在輸入、處理、輸出等不同狀態(tài)下的安全需求,科技信息部負責審核安全需求并提供一定的技術(shù)實現(xiàn)手段。
第一百一十五條 農(nóng)商行應制定數(shù)據(jù)管理辦法和數(shù)據(jù)處理的流程和審批手續(xù),加強數(shù)據(jù)的保密管理。 第一百一十六條 農(nóng)商行業(yè)務(wù)部門應嚴格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作,適時進行業(yè)務(wù)數(shù)據(jù)有效性檢查,按照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù),并定期測試備份數(shù)據(jù)的有效性和預演數(shù)據(jù)恢復流程。 第一百一十七條 農(nóng)商行科技信息部系統(tǒng)管理員(網(wǎng)絡(luò)管理員)負責定期導出重要信息系統(tǒng)和網(wǎng)絡(luò)日志文件并明確標識存儲內(nèi)容、時間、密級等信息。日志文件應至少保留一年,妥善保管。 第一百一十八條 農(nóng)商行業(yè)務(wù)部門應明確規(guī)定備份數(shù)據(jù)的保存時限和密級,建立備份數(shù)據(jù)調(diào)閱、銷毀審批登記辦法,并根據(jù)數(shù)據(jù)重要性級別分類采取相應的安全銷毀措施。 第一百一十九條 所有數(shù)據(jù)備份介質(zhì)應注意防磁、防潮、防塵、防高溫、防擠壓存放?;謴图笆褂脗浞輸?shù)據(jù)時需要提供相關(guān)口令密碼的,應把口令密碼密封后與數(shù)據(jù)備份介質(zhì)一并妥善保管。
第一百二十條 農(nóng)商行應制定客戶信息管理辦法和流程,嚴格管理客戶信息的采集、處理、存儲、傳輸、分發(fā)、備份、恢復、清理和銷毀。不得非法買賣、泄露客戶個人信息,包括客戶基本信息及存貸款與征信等業(yè)務(wù)信息。禁止通過互聯(lián)網(wǎng)傳輸客戶資料和交易數(shù)據(jù)信息。
第二節(jié) 技術(shù)文檔
第一百二十一條 本辦法所稱技術(shù)文檔是邵陽市農(nóng)村商業(yè)銀行網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等建設(shè)與運行維護過程中形成的各種紙質(zhì)技術(shù)資料,包括文檔、電子文檔、視頻和音頻文件等。包括系統(tǒng)與網(wǎng)絡(luò)設(shè)計文檔、參數(shù)配置文檔、軟件開發(fā)文檔及其源程序等。 第一百二十二條 農(nóng)商行科技信息部負責將技術(shù)文檔統(tǒng)一歸檔,嚴格管理,并實行借閱登記辦法。未經(jīng)科技信息部領(lǐng)導批準,任何人不得將技術(shù)文檔轉(zhuǎn)借、復制和對外公布。
第三節(jié) 存儲介質(zhì)
第一百二十三條 農(nóng)商行應建立健全磁帶、光盤、移動存儲介質(zhì)、已打印文檔等存儲介質(zhì)管理流程。已存儲信息的存儲介質(zhì)應保存在安全的物理環(huán)境中并有明晰的標識,統(tǒng)一編號,并標明信息生成或備份日期、密級及保密期限。重要信息系統(tǒng)備份介質(zhì)應按規(guī)定異地存放。 第一百二十四條 農(nóng)商行應做好存儲介質(zhì)在物理傳輸過程中的安全控制,應選擇可靠的傳遞方式和防盜控制措施。重要信息的存取需要授權(quán)和記錄。 第一百二十五條 農(nóng)商行應制定移動存儲設(shè)備(u盤、移動硬盤等)管理辦法,加強移動存儲設(shè)備在生產(chǎn)環(huán)境中的管理和使用。禁止內(nèi)網(wǎng)移動存儲設(shè)備在外網(wǎng)使用,禁止外網(wǎng)移動存儲設(shè)備在內(nèi)網(wǎng)系統(tǒng)中使用。 第一百二十六條 農(nóng)商行應建立存儲介質(zhì)銷毀辦法,對載有敏感信息的存儲介質(zhì)應采用焚燒或粉碎等方式進行處置并做好記錄。
第四節(jié) 口令密碼
第一百二十七條 農(nóng)商行信息系統(tǒng)要害崗位人員均須設(shè)置用戶口令密碼,并獨享使用,不得泄露,且至少每三個月更換一次??诹蠲艽a的強度應滿足不同安全性要求,不得設(shè)置過于簡單的弱口令密碼。 第一百二十八條 敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)置應在安全的環(huán)境下進行,必要時應將口令密碼筆錄、密封交主管部門保管,并確保記錄載體的安全。未經(jīng)主管部門領(lǐng)導許可,任何人不得擅自拆閱密封的口令密碼。拆閱后的口令密碼使用后應立即更改并再次密封存放。 第一百二十九條 農(nóng)商行應根據(jù)實際情況在一定時限內(nèi)妥善保存重要信息系統(tǒng)升級改造前的口令密碼。
第五節(jié) 密碼技術(shù)應用管理
第一百三十條 農(nóng)商行涉密網(wǎng)絡(luò)和信息系統(tǒng)應嚴格按照國家密碼政策規(guī)定,采用相應的加密措施。非涉密網(wǎng)絡(luò)和信息系統(tǒng)應依據(jù)湖南省農(nóng)村信用社實際需求和統(tǒng)一安全策略,合理選擇加密措施。 第一百三十一條 農(nóng)商行選用的密碼產(chǎn)品和加密算法應符合國家相關(guān)密碼管理政策規(guī)定,密碼產(chǎn)品自身的物理和邏輯安全性應符合湖南省農(nóng)村信用社的相關(guān)安全要求。 第一百三十二條 農(nóng)商行應建立嚴格的密鑰管理體制,密鑰管理人員必須是本單位在編的正式員工,并逐級進行備案,規(guī)范管理密鑰產(chǎn)生、存儲、分發(fā)、使用、廢除、歸檔、銷毀等過程。 第一百三十三條 農(nóng)商行應在安全環(huán)境中進行關(guān)鍵密鑰的備份工作,并確保密鑰副本的物理安全,且須設(shè)置遇緊急情況下密鑰自動銷毀功能。 第一百三十四條 各類密鑰應定期更換,對已泄露或懷疑泄露的密鑰應及時廢除,過期密鑰應安全歸檔或定期銷毀。
第十章 第三方訪問和外包安全管理
第一節(jié) 第三方訪問控制
第一百三十五條 本辦法所稱第三方訪問是指邵陽市農(nóng)村商業(yè)銀行之外的單位和個人物理訪問邵陽市農(nóng)村商業(yè)銀行計算機房或者通過網(wǎng)絡(luò)連接邏輯訪問邵陽市農(nóng)村商業(yè)銀行數(shù)據(jù)庫和信息系統(tǒng)等活動。 第一百三十六條 農(nóng)商行保密工作委員會負責涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批,農(nóng)商行科技信息部負責非涉密信息系統(tǒng)和網(wǎng)絡(luò)相關(guān)的第三方訪問授權(quán)審批。未經(jīng)邵陽市農(nóng)村商業(yè)銀行授權(quán)的任何第三方訪問均視為非法入侵行為。 第一百三十七條 允許被第三方訪問的邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)和資源應建立存取控制機制、認證機制,列明所有用戶名單及其權(quán)限,嚴格監(jiān)督第三方訪問活動。 第一百三十八條 獲得第三方訪問授權(quán)的所有單位和個人應與湖南省農(nóng)村信用社簽訂安全保密協(xié)議,不得進行未授權(quán)的修改、增加、刪除數(shù)據(jù)操作,不得復制和泄露湖南省農(nóng)村信用社任何信息。
第二節(jié) 外包安全管理
第一百三十九條 本辦法所稱外包服務(wù)是指由邵陽市農(nóng)村商業(yè)銀行之外的其他社會廠商為邵陽市農(nóng)村商業(yè)銀行信息系統(tǒng)、網(wǎng)絡(luò)或桌面環(huán)境提供全面或部分的開發(fā)、維護技術(shù)支持、咨詢等服務(wù)。
第一百四十條 信息科技外包服務(wù)應按照《湖南省農(nóng)村信用社信息科技外包管理暫行辦法》簽訂正式的外包服務(wù)協(xié)議,協(xié)議應明確約定外包服務(wù)商的安全義務(wù)。
第一百四十一條 經(jīng)本單位科技信息部領(lǐng)導批準,外包服務(wù)提供商可提供上門維護服務(wù)并由邵陽市農(nóng)村商業(yè)銀行科技人員在場準確記錄所有技術(shù)配置變更信息。外包服務(wù)提供商不得查看、復制涉密信息或?qū)⑸婷芙橘|(zhì)帶離湖南省農(nóng)村信用社。 第一百四十二條 計算機設(shè)備確需送外單位維修時,科技信息部應徹底清除所存工作信息,必要時應與設(shè)備維修廠商簽訂保密協(xié)議。與密碼設(shè)備配套使用的計算機設(shè)備送修前必須請生產(chǎn)設(shè)備的科研單位拆除與密碼有關(guān)的硬件,并徹底清除與密碼有關(guān)的軟件和信息。
第十一章 災難備份與應急管理
第一節(jié) 災難備份管理
第一百四十三條 災難備份是指利用技術(shù)、管理手段以及相關(guān)資源,確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災、火災、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預料的突發(fā)事件(以下稱“災難”)發(fā)生后在規(guī)定的時間內(nèi)可以恢復和繼續(xù)運營的有序管理過程。 第一百四十四條 科技信息部按照“統(tǒng)籌安排、資源共享、平戰(zhàn)結(jié)合”的原則,負責邵陽市農(nóng)村商業(yè)銀行重要信息系統(tǒng)災難備份的統(tǒng)一規(guī)劃、實施和管理。 第一百四十五條 農(nóng)商行相關(guān)業(yè)務(wù)部門負責提出業(yè)務(wù)系統(tǒng)災難備份需求,明確可容忍的業(yè)務(wù)中斷時間(恢復時間目標rto)和數(shù)據(jù)丟失量(恢復點目標rpo)。省聯(lián)社信息科技部據(jù)此確定災難備份等級和備份方案。 第一百四十六條 農(nóng)商行應建立健全災難恢復計劃,定期開展災難恢復培訓。在條件許可的情況下,由省聯(lián)社信息科技部統(tǒng)一部署,重要信息系統(tǒng)至少每年進行一次災難恢復演練,包括異地備份站點切換演練和本地系統(tǒng)災難恢復演練。
第二節(jié) 應急管理
第一百四十七條 應急預案是針對可能發(fā)生的意外事件并可能導致業(yè)務(wù)差錯和停頓,甚至系統(tǒng)混亂、崩潰等災難而采取的應對策略、措施的有機集合。 第一百四十八條 在信息系統(tǒng)推廣應用方案中應同時設(shè)計應急備份策略,同步實施備份方案。 第一百四十九條 農(nóng)商行應制定和不斷完善網(wǎng)絡(luò)、信息系統(tǒng)和機房環(huán)境等應急預案。預案的編制工作由科技信息部和相關(guān)業(yè)務(wù)部門共同完成。 第一百五十條 應急預案應包括以下基本內(nèi)容: (一)總則(目標、原則、適用范圍、預案調(diào)用關(guān)系等)。 (二)應急組織機構(gòu)。 (三)預警響應機制(報告、評估、預案啟動等)。 (四)各類危機處置流程。 (五)應急資源保障。 (六)事后處理流程。 (七)預案管理與維護(生效、演練、維護等)。 第一百五十一條 農(nóng)商行應定期組織應急預案的演練,并指定專人管理和維護應急預案,根據(jù)人員、信息資源等變動情況以及演練情況適時予以更新和完善,確保應急預案的有效性和災難發(fā)生時的可獲取性。 第一百五十二條 農(nóng)商行信息安全工作領(lǐng)導小組統(tǒng)一負責各業(yè)務(wù)系統(tǒng)的應急協(xié)調(diào)與指揮,決定重大事宜(決定應急預案的啟動、災難宣告、預警相關(guān)單位等)和調(diào)動應急資源。 第一百五十三條 農(nóng)商行應按照湖南省農(nóng)村信用社信息安全事件報告辦法進行信息通報,一般信息安全事件應逐級通報,發(fā)生因人為、自然原因造成信息系統(tǒng)癱瘓以及利用計算機實施犯罪等影響和損失較大的信息安全事件(下稱“重大信息安全事件”)應直接報省聯(lián)社信息科技部。
第一百五十四條 重大信息安全事件發(fā)生后,農(nóng)商行相關(guān)人員應注意保護事件現(xiàn)場,采取必要的控制措施,調(diào)查事件原因,并及時報告本單位主管領(lǐng)導。
第一百五十五條 農(nóng)商行應在重大信息安全事件發(fā)生后的兩小時內(nèi)按規(guī)定程序報上一級科技信息部。??? 第一百五十六條 農(nóng)商行辦公室負責統(tǒng)一向社會發(fā)布應急事件公告,其他任何單位或個人不得向社會發(fā)布應急事件公告。
第十二章 安全檢查評估與培訓
第一節(jié) 監(jiān)測檢查
第一百五十七條 農(nóng)商行科技信息部應整合和利用現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運行日志等監(jiān)控資源,加強對網(wǎng)絡(luò)、重要信息系統(tǒng)和機房環(huán)境等設(shè)施的安全運行監(jiān)測。 第一百五十八條 農(nóng)商行科技信息部應建立運行監(jiān)測周報、月報或季報辦法,報送本單位信息安全工作領(lǐng)導小組和上一級科技信息部,抄送相關(guān)業(yè)務(wù)部門。 第一百五十九條 農(nóng)商行要及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題,發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調(diào)解決,并報上一級單位相關(guān)部門。
第一百六十條 農(nóng)商行科技信息部應至少每年組織一次本單位或轄內(nèi)的信息安全專項檢查,安全檢查方式可以是自查、互查或上級檢查多種方式。 第一百六十一條 農(nóng)商行在開展安全檢查前應以安全管理辦法為依據(jù)制訂詳細的檢查方案和計劃,確保檢查工作的可操作性和規(guī)范性。安全檢查完成后應及時形成檢查報告,經(jīng)本單位主管領(lǐng)導批準后將檢查整改報告盡快送達被檢查單位。要求限期整改的,需要對相關(guān)整改情況進行后續(xù)跟蹤。 第一百六十二條 農(nóng)商行參加檢查的人員對檢查中的涉密信息負有保密責任。所有檢查報告和資料應作為湖南省農(nóng)村信用社內(nèi)部材料妥善保管,不得向外界泄露。 第一百六十三條 農(nóng)商行應將每次安全檢查報告和整改落實情況整理匯總后報上一級科技信息部備案。
第二節(jié) 評估審計
第一百六十四條 農(nóng)商行科技信息部可采用自評估、檢查評估和委托評估等方式,每年至少組織一次對本單位或轄內(nèi)重要信息系統(tǒng)的安全評估。
第一百六十五條 安全評估應在不影響信息系統(tǒng)正常運行的情況下進行。評估開始前,應制定評估方案并進行必要的培訓。評估結(jié)束后,形成評估報告,提出整改意見報本單位科技信息部主管領(lǐng)導。 第一百六十六條 農(nóng)商行如聘請第三方機構(gòu)進行安全評估,報省聯(lián)社信息科技部批準,并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。本單位信息安全管理人員全程參與評估過程并實施監(jiān)督。 第一百六十七條 農(nóng)商行妥善保管信息安全評估報告,未經(jīng)授權(quán)不得對外透露評估信息。
第一百六十八條 農(nóng)商行定期對重要信息系統(tǒng)進行安全等級保護測評。開展等保測評工作應遵循《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》的有關(guān)規(guī)定,確保測評有效和測評安全。
第一百六十九條 農(nóng)商行科技信息部在支持與配合內(nèi)審部門開展信息安全工作審計的同時,應適時開展本單位和轄內(nèi)的信息系統(tǒng)日常運行管理和信息安全事件全過程的技術(shù)審計,發(fā)現(xiàn)問題及時報本單位或上一級單位主管領(lǐng)導。 第一百七十條 農(nóng)商行應做好操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等審計功能配置管理,并完整保留相關(guān)日志記錄。
第三節(jié) 安全培訓
第一百七十一條 農(nóng)商行應至少每年對信息安全管理人員進行一次專業(yè)培訓,不斷提高信息安全管理人員專業(yè)技能和管理水平。
第一百七十二條 農(nóng)商行應開展全員信息安全教育,對本單位全體正式和非正式員工進行必要的培訓,提高全體員工信息安全意識,使全體員工充分了解其職責范圍內(nèi)的信息保護流程及違反規(guī)定的后果。
第十三章 獎勵與處罰
第一百七十三條 農(nóng)商行將本單位和轄內(nèi)信息安全管理工作納入年度考評,對表現(xiàn)突出的單位和個人應進行通報表彰并給予一定形式的獎勵。 第一百七十四條 對于違反本辦法,造成重大信息安全事件的單位及個人,要給予通報批評;情節(jié)嚴重的,依據(jù)相關(guān)法律法規(guī),追究其主管領(lǐng)導、相關(guān)部門負責人及直接責任人的責任;構(gòu)成犯罪的,依法追究刑事責任。
第十四章 附 則
第一百七十五條 之前發(fā)布的其他信息安全管理辦法有關(guān)規(guī)定條款如與本辦法不一致的,按本辦法執(zhí)行。
第一百七十六條 本辦法由邵陽市農(nóng)村商業(yè)銀行負責解釋。
第6篇 企業(yè)安全管理中的信息不對稱分析
1 前言
在召開第十屆全國人民代表大會第四次會議上,單位gdp生產(chǎn)安全事故死亡率、工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率已被納入我國“十一五”規(guī)劃綱要中,“十一五”規(guī)劃綱要指出:建立安全生產(chǎn)指標考核體系,到2010年單位國內(nèi)生產(chǎn)總值生產(chǎn)安全事故死亡率下降35%,工礦商貿(mào)就業(yè)人員生產(chǎn)安全事故死亡率下降25%。溫家寶總理在《政府工作報告中》多次提及安全生產(chǎn)問題。
針對目前國內(nèi)重特大事故頻繁發(fā)生的狀況,黨中央國務(wù)院的領(lǐng)導同志曾經(jīng)多次就安全生產(chǎn)問題作出批示。這一切都表明黨中央國務(wù)院對安全生產(chǎn)問題是相當重視的。近年來,每年均下派多個督查組或檢查組到地方、進企業(yè)督導、檢查。工作組在現(xiàn)場時很難發(fā)現(xiàn)問題,工作組一走,一切依舊。究其原因,乃是企業(yè)與政府間存在“信息不對稱”。就因為信息不對稱,導致政府監(jiān)管成本增加,全國的安全生產(chǎn)形勢依然嚴峻,企業(yè)存在的安全隱患依然得不到有效整改,這不由得我們不用經(jīng)濟學的方法,從企業(yè)的角度來分析“信息不對稱”產(chǎn)生的原因,并提出相應措施消除“信息不對稱”現(xiàn)象。
2 政府監(jiān)督企業(yè)安全管理中的信息不對稱現(xiàn)象
政府對于企業(yè)安全管理的監(jiān)督在某種意義上,是一種委托-代理關(guān)系,其中掌握信息多(或具有相對信息優(yōu)勢)的市場參加者稱為代理人,在安全管理中也就是企業(yè);掌握信息少(或處于信息劣勢)的市場參加者稱為委托人。委托人與代理人之間存在著信息不對稱的現(xiàn)象。
中國在市場經(jīng)濟不斷向縱深發(fā)展的過程中,一些高危的勞動密集型行業(yè)由于暴利的誘惑,吸引了過多的企業(yè)進人,這些企業(yè)在激烈的競爭中為牟取暴利必然要突破安全生產(chǎn)防線違規(guī)作業(yè),同時又要想方設(shè)法隱瞞封鎖違規(guī)違法信息以逃避懲罰。而隨著我國經(jīng)濟活動主體的多元化、經(jīng)濟活動范圍的擴大化。使得政府有關(guān)安全監(jiān)管部門難于發(fā)現(xiàn)這些問題,加劇了安全生產(chǎn)監(jiān)管信息不對稱的情況。
所謂信息不對稱指的是當市場的一方無法知道另一方的行為或無法獲知另一方行動的完全信息,亦或觀測和監(jiān)督其成本高昂時,交易的雙方所掌握的信息是不等同的。
經(jīng)濟學中普遍存在著信息不對稱現(xiàn)象,按傳統(tǒng)觀點,產(chǎn)生信息不對稱的原因有4種。其一是專業(yè)分工導致人們只了解自己專業(yè)內(nèi)的信息.對其他專業(yè)內(nèi)的信息掌握就不夠完全;其二是交易雙方由于所擁有和支配的資源有限從而導致所擁有的信息是有限的;其三、信息的獲得是有成本的,當獲得信息的成本高于所得收益,人們會應“得不償失”而放棄信息獲取,從而造成信息不對稱;其四,信息不對稱是由于信息優(yōu)勢方的信息壟斷所致,即信息擁有方因不愿意把部分信息公開,而造成消費者或投資者不了解信息。
信息不對稱會導致逆向選擇與道德風險問題的發(fā)生,并直接導致安全生產(chǎn)監(jiān)管的失靈或監(jiān)管的低效率。在嚴重的信息不對稱的狀態(tài)中,由于信息、監(jiān)督和執(zhí)行問題常常難以解決,安全生產(chǎn)幾乎是不可能實現(xiàn)的。
3 有關(guān)信息不對稱的經(jīng)濟學分析
因為信息不對稱而引發(fā)的委托-代理問題是由于政府的安全監(jiān)管部門不能確知企業(yè)的行為而產(chǎn)生的問題,它是指企業(yè)追求他們自己的利潤最大化而以犧牲安全生產(chǎn)為代價。
委托-代理問題的產(chǎn)生與下列2個因素有關(guān)
一是政府安全監(jiān)管部門與企業(yè)目標的不一致性;二是政府安全監(jiān)管部門和企業(yè)之間信息的不對稱性。政府安全監(jiān)管部門監(jiān)管成本最小化的目標通常需要通過企業(yè)的行為來實現(xiàn),但是政府安全監(jiān)管部門的目標并非總是企業(yè)的目標。如政府的目標在于企業(yè)安全生產(chǎn),人民群眾的生命安全得到保障,而企業(yè)的目標卻可能是追求企業(yè)利潤的最大化,并因此減少在安全生產(chǎn)上面的投人。如果政府安全監(jiān)管部門可以完全監(jiān)督企業(yè)的行為,就可以防止企業(yè)的偷懶和卸責行為。
而事實上,由于政府安全監(jiān)管部門和企業(yè)之間存在信息的不對稱性,政府安全監(jiān)管部門一般很難監(jiān)督企業(yè)的行為。因為企業(yè)對其安全生產(chǎn)的努力程度只有自己最清楚,政府安全監(jiān)管部門一般很難進行監(jiān)督并予以有效控制。因此,在政府安全監(jiān)管部門缺乏監(jiān)督或政府安全監(jiān)管部門無力監(jiān)督的情況下,企業(yè)極有可能為了追求自身利益而作出背離政府安全監(jiān)管部門利益的行為,引發(fā)委托-代理問題。
從安全管理的角度看,假定政府除發(fā)現(xiàn)企業(yè)是否發(fā)生事故即安全或不安全外,沒有別的信息可以作為獎懲企業(yè)的依據(jù);另外,政府對企業(yè)只能采用固定金額的獎勵機制,一般情況下,政府不可能完全監(jiān)督企業(yè),為使企業(yè)領(lǐng)導努力工作以提高安全水平,政府支付給企業(yè)領(lǐng)導的安全報酬就必須大于保留安全報酬加努力成本之和。特殊情況下,監(jiān)督越困難,政府需要支付的安全報酬就越高;如果監(jiān)督?jīng)]有可能,任何安全報酬都不可能促使企業(yè)確保安全。即使政府不能監(jiān)督企業(yè),但是,如果使事故的賠償金增加到一定程度,由于領(lǐng)導的安全報酬與事故賠償金負相關(guān),則企業(yè)就有動力自覺地增加安全投入,提高安全水平而減少事故,以增加報酬。不難看出,當事故賠償金與為避免事故發(fā)生的主動安全投入相等時,企業(yè)領(lǐng)導將選擇主動安全投入以避免發(fā)生事故。也就是說,在政府完善監(jiān)督監(jiān)察困難的情況下,為了保證企業(yè)有一定安全水平,要提高事故賠償額度;二要給與企業(yè)領(lǐng)導人足夠的安全獎金:三要提高懲處率。
4 如何消除企業(yè)安全管理中的信息不對稱現(xiàn)象
綜上所述,不難看出,安全監(jiān)察一般是在信息不對稱的條件下進行的,要想達到監(jiān)察的目的,消除事故隱患,那就必須采取以下措施:
(1)建立健全安全生產(chǎn)的法律法規(guī)和規(guī)章制度及標準。同時健全安全監(jiān)察的法律法規(guī)及執(zhí)法的規(guī)范。加大監(jiān)察執(zhí)法的透明度,規(guī)范執(zhí)法和守法,強化安全防范意識。要使企業(yè)和監(jiān)管部門真正意識到不消除事故隱患帶來的后果,必須將事故前的處罰同企業(yè)事故后查出的失職及監(jiān)管部門的職責落實到位。即在發(fā)生事故前,企業(yè)如不主動消除隱患則必須對其立即處罰;在發(fā)生事故后,要根據(jù)失職行為對企業(yè)、監(jiān)管部門責任人進行處罰。
(2)把企業(yè)的安全狀況與企業(yè)領(lǐng)導人的收入和政績掛鉤,同時,給予企業(yè)領(lǐng)導人足夠的安全獎金和有效的罰金;提高懲處率,提高事故賠償額度。
(3)鼓勵企業(yè)主動增加安全投入,提高企業(yè)的安全技術(shù)水平和安全管理水平,設(shè)立企業(yè)安全基金。資金軟約束是造成事故的一個重要原因。由于企業(yè)沒有建立安全防范基金,以致沒有能力及時消除隱患。因此,監(jiān)管部門要督促企業(yè)按凈收入的一定比例投入安全基金,不足部分則應由政府補足。
(4)提高安全監(jiān)管監(jiān)察工作效率,強化安全監(jiān)察的執(zhí)法力度,促進安全的管理。突出監(jiān)管部門的查處重點,在全面了解隱患狀況的基礎(chǔ)上,重點查處隱患引發(fā)事故概率高的企業(yè)。在確定了重點隱患企業(yè)后,監(jiān)管部門必須開出限期整改通知并落到實處,即在最后期限。一方面強制消除隱患,而另一方面對企業(yè)責任人提前給予處罰。
(5)加強對員工的安全培訓、教育,進行消除隱患、事故的實戰(zhàn)訓練,提高其安全意識和安全防護水平,使其掌握一定的安全技術(shù),保障職工形成自保和他保的安全文化思想和理念。
(6)加強安全宣傳工作,提高員工文化素質(zhì)和經(jīng)濟收入,使員工參與安全管理活動,形成個完善的監(jiān)督和制約機制;使企業(yè)的經(jīng)營者、管理者、職工及家屬形成聯(lián)動效應,把安全工作放在首位,落在實處,一切圍繞安全、發(fā)展與效益開展工作;使三者構(gòu)成一個有機的統(tǒng)一體,讓員工懂得沒有安全的生產(chǎn)就等于自殺,是給自己挖掘墳墓。
(7)提高企業(yè)的社會責任意識和安全生產(chǎn)主體意識,實現(xiàn)“要我安全”到“我要安全”的根本轉(zhuǎn)變。
第7篇 創(chuàng)新信息安全管理
上世紀90年代以來,嘉興電力局逐步建立了辦公自動化(oa)、sap系統(tǒng)、營銷管理、95598客戶服務(wù)、負荷管理、pi數(shù)據(jù)庫等諸多信息系統(tǒng),企業(yè)信息化在安全生產(chǎn)、經(jīng)營管理、優(yōu)質(zhì)服務(wù)中發(fā)揮了極其重要的作用。與此同時,信息安全的籬笆墻也越扎越緊,有效地防范了外部的攻擊和內(nèi)部管理失控帶來的種種威脅。因此嘉興電力局先后被中電聯(lián)授予“信息化先進單位”、“信息化標桿企業(yè)”等光榮稱號。2006年貫徹iso/iec27001:2005信息安全管理標準,獲得了挪威船級社dnv公司認證證書。
運用系統(tǒng)的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。過去基本上是參照電網(wǎng)安全管理的一些傳統(tǒng)做法,沒有體現(xiàn)信息化特點和要求,這樣就越來越不適應信息系統(tǒng)的快速發(fā)展和變革。
管理對象不夠全面。以往只考慮硬件、軟件,忽視了人、數(shù)據(jù)和文檔、服務(wù)、無形資產(chǎn)等重要對象,對外來人員也缺乏有效的識別管理。
管理制度不夠系統(tǒng)。以前雖然制訂了不少制度和標準,但隨著信息化的發(fā)展,這些制度逐漸變得與現(xiàn)實要求不相適應。就事論事的管理方式必然會產(chǎn)生安全管理的盲區(qū),有些制度內(nèi)容重復、交叉、不一致,有些制度不切合實際,往往束之高閣。
風險評估不夠科學。以往的信息風險評估就事論事,不夠系統(tǒng),主觀性過強,缺乏綜合平衡,抓不住重點,易過度保護,或產(chǎn)生管理死角,事后控制多,事前預控少,不能涵蓋信息系統(tǒng)的生命周期。
上述情形是企業(yè)在信息化建設(shè)中普遍感覺到比較迷茫的問題,隨著科學技術(shù)的進步,企業(yè)信息運行管理模式也發(fā)生了巨大的變化,為企業(yè)采用先進管理方式、建立信息安全管理體系打下了扎實的基礎(chǔ)。為此,嘉興電力局根據(jù)國際上信息安全管理的最佳實踐,結(jié)合供電企業(yè)的實際,從信息安全風險評估管理人手,貫徹iso/iec27001:2005信息安全管理標準,建立了信息安全管理體系。通過體系有效運作,達到了供電企業(yè)信息安全管理“預控、能控、可控、在控”的目的。
從資產(chǎn)識別入手,搞好信息安全風險評估
嘉興電力局按《信息安全風險評估控制程序》,對所有的資產(chǎn)進行了列表識別,并識別了資產(chǎn)的所有者。這些資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值。在風險評估中,共識別資產(chǎn)2810項,其中確定的重要資產(chǎn)總數(shù)為312項,形成了《重要資產(chǎn)清單》。
圖1重要信息資產(chǎn)按部門分布圖
對重要的信息資產(chǎn),由資產(chǎn)的所有者(歸口管理部門)對其可能遭受的威脅及自身的薄弱點進行識別,并對威脅利用薄弱點發(fā)生安全事件的可能性以及潛在影響進行了賦值分析,確定風險等級和可接受程度,形成了《重要資產(chǎn)風險評估表》。針對每一項威脅、薄弱點,對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定措施失效發(fā)生的可能性,計算風險等級,判斷風險為可接受的還是需要處理的。根據(jù)風險評估的結(jié)果,形成風險處理計劃。對于信息安全風險,應考慮控制措施與費用的平衡原則,選用適當?shù)拇胧_定是接受風險、避免風險,還是轉(zhuǎn)移風險。
嘉興電力局經(jīng)過風險評估,確定了不可接受風險84項,其中硬件和設(shè)施52項,軟件和系統(tǒng)0項,文檔和數(shù)據(jù)8項,服務(wù)0項,人力資源24項。
圖2各類不可接受風險按系統(tǒng)分布圖
根據(jù)風險評估的結(jié)果,對可接受風險,保持原有的控制措施,同時按iso/iec17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實施細則》和系統(tǒng)應用的要求,對控制措施進行完善。針對不可接受風險,由各部門制定相應的安全控制措施。制定控制措施需要考慮風險評估的結(jié)果、管理與技術(shù)上的可行性、法律法規(guī)的要求,以期達到風險降低的目的。控制措施的實施將從避免風險、降低風險、轉(zhuǎn)移風險等方面,將風險降低到可接受的水平。
按照iso標準要求,建立信息安全管理體系
嘉興電力局在涉及生產(chǎn)、經(jīng)營、服務(wù)和日常管理活動的信息系統(tǒng),按iso/iec27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》規(guī)定,參照iso/iecl7799:2005《信息技術(shù)·安全技術(shù)—信息安全管理實施細則》,建立信息安全管理體系,簡稱isms。
確定信息安全管理體系覆蓋范圍,主要是根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)分布情況,涉及電力生產(chǎn)、營銷、服務(wù)和日常管理的40個重要信息系統(tǒng)。信息安全管理的方針是:“全面、完整、務(wù)實、有效”。
為實現(xiàn)信息安全管理體系方針,該局承諾:在各層次建立完整的信息安全管理組織機構(gòu),確定信息安全目標和控制措施,明確信息安全的管理職責,識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;定期進行信息安全風險評估,采取糾正預防措施,保證體系的持續(xù)有效性,采用先進有效的設(shè)施和技術(shù),處理、傳遞、儲存和保護各類信息,實現(xiàn)信息共享;對全體員工進行持續(xù)的信息安全教育和培訓,不斷增強員工的信息安全意識和能力;制定并保持完善的業(yè)務(wù)連續(xù)性計劃,實現(xiàn)可持續(xù)發(fā)展。按照信息安全管理方針的要求,制定的信息安全管理目標是:2級以上信息安全事件為零,不發(fā)生信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密;不發(fā)生導致供電中斷的信息事故;減少涉密有關(guān)的法律風險。
嘉興電力局根據(jù)風險評估的結(jié)果、企業(yè)的系統(tǒng)現(xiàn)狀和管理現(xiàn)狀,按照iso/iec27001:2005標準要求,整合原有的企業(yè)信息安全管理標準、規(guī)章制度,形成了科學、嚴密的信息安全管理體系文件框架,包括信息安全管理手冊;《信息安全風險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》等53個程序文件,制定了16個支撐性作業(yè)文件。
運用過程方法,實施信息安全管理體系
在信息安全管理過程中,重點是抓好人員安全、風險評估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié),采取明確職責、動態(tài)檢查、嚴格考核等措施,使信息安全走上常態(tài)管理之路。
圖3信息安全管理體系實施過程
重視信息系統(tǒng)安全管理。因為信息系統(tǒng)支撐著企業(yè)的各項業(yè)務(wù),信息安全管理體系實施涵蓋信息系統(tǒng)的生命周期,表現(xiàn)在信息系統(tǒng)的軟(硬)件購置、設(shè)備安裝、軟件開發(fā)和系統(tǒng)測試、上線、系統(tǒng)(權(quán)限)變更等方面,嚴格執(zhí)行體系的相關(guān)控制程序。
強化人員安全管理。在勞動合同、崗位說明書中,明確員工信息安全職責。特殊崗位的人員規(guī)定特別的安全責任,對信息關(guān)鍵崗位實行備案制度。對崗位調(diào)動或離職人員,及時調(diào)整安全職責和權(quán)限。定期對員工進行信息安全教育和技能培訓、比武、考試。
重視相關(guān)方管理。對軟硬件供應商、服務(wù)商、保衛(wèi)、消防、保潔等人員,明確安全要求和安全職責。簽訂保密協(xié)議、辦理入網(wǎng)申請、進行入網(wǎng)教育等。識別客戶、合作方、相關(guān)方、法律法規(guī)對信息安全的要求,采取措施,保證滿足安全要求。
建立信息安全的常態(tài)管理機制。對企業(yè)技術(shù)、業(yè)務(wù)目標和過程、已識別的威脅、實施控制的有效性、外部事件變更情況應及時進行風險評估。定期對信息安全進行定期或不定期的監(jiān)督檢查,包括日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。嘉興電力局2006年內(nèi)審發(fā)現(xiàn)了57個不符合項,及時進行糾正,解決了用戶權(quán)限、a/b崗、第三方訪問、機房管理等一些重點問題,從而保證了信息安全管理的質(zhì)量,有效地防范了信息安全事件和事故的發(fā)生。
第8篇 信息科技部-安全管理中心-監(jiān)控規(guī)劃崗工作職責與職位要求
職位描述:
1、負責科技層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運行;
2、負責業(yè)務(wù)層面監(jiān)控系統(tǒng)的建設(shè)和規(guī)劃、保障監(jiān)控系統(tǒng)的正常運行;
3、負責監(jiān)控策略、指標的優(yōu)化和調(diào)試;
4、協(xié)助一道防線、二道防線建立自動化監(jiān)控方案,減少人力投入;
5、監(jiān)控、督辦、匯報各類問題,保證相關(guān)人員的信息一致性;
職位要求:
1、全日制本科及以上學歷
2、5年及以上相關(guān)工作經(jīng)驗,有銀行相關(guān)工作經(jīng)驗,有監(jiān)控系統(tǒng)部署架構(gòu)經(jīng)驗
3、熟悉計算機軟硬件系統(tǒng)的產(chǎn)品設(shè)計、開發(fā)、可行性研究及軟件開發(fā)、測試、評估、操作管理;熟悉linu_系統(tǒng);熟悉oracle數(shù)據(jù)庫應用開發(fā);熟悉監(jiān)控系統(tǒng)部署方案以及告警策略及優(yōu)化
第9篇 道路交通安全企業(yè)安全管理信息系統(tǒng)的研制與應用
引言(1)
為了提高企業(yè)道路交通安全管理效率,防止交通事故的發(fā)生,利用計算機信息技術(shù)來進行大型企業(yè)交通運輸安全管理,是企業(yè)科學化安全管理的有效途徑。道路交通運輸安全管理信息系統(tǒng)(traffic safety management information system,即tsmis)正是面向企業(yè)交通安全管理,利用計算機信息技術(shù)開發(fā)而成,它可大大提高安全管理的科學性和規(guī)范性。本文結(jié)合西北石油局道路交通安全管理信息系統(tǒng)的研制情況,以軟件工程的思路和實際應的角度論述交通運輸安全管理信息系統(tǒng)(tsmis)的設(shè)計思想和編制過程。
組成(2)
tsmis是管理信息系統(tǒng)的具體應用和展開。它嚴格遵循科學的安全管理原則,采用了動態(tài)人機安全原理,結(jié)合動態(tài)風險評價與決策,是一套完整的管理信息系統(tǒng)。tsmis主要的組成有:①駕駛員信息管理;②車輛信息管理;③安全管理信息化的實現(xiàn);④安全動態(tài)管理即風險評價。如圖1所示。
圖1 企業(yè)道路交通安全管理信息系統(tǒng)的組成
管理信息系統(tǒng)的開發(fā)是一項復雜的社會工程和技術(shù)工程,它涉及社會和技術(shù)等多方面的內(nèi)容。在建立企業(yè)道路交通運輸安全管理信息系統(tǒng)時,需要做好以下幾方面的工作。
(1) 企業(yè)道路交通安全管理信息系統(tǒng)建設(shè)的可行性研究;
(2) 交通安全管理信息系統(tǒng)開發(fā)策略的研討與制定;
(3) 系統(tǒng)開發(fā)方法的研討和選擇;
(4) 開發(fā)步驟的劃分和制定;
(5) 系統(tǒng)的運行計算機配置和數(shù)據(jù)庫的總體設(shè)計;
(6) 軟件開發(fā)工具的選擇和提供。
針對tsmis的設(shè)計內(nèi)容,道路交通安全管理信息系統(tǒng)的建立需要綜合和應用多種學科的知識和成果,包括安全管理學、系統(tǒng)安全工程學、數(shù)字、統(tǒng)計學、計算機科學、軟件工程、行為科學、心理學、人機工程學、交通安全管理學等研究成果,而且還需要參照國內(nèi)外的交通安全管理的有關(guān)標準,因此是一項復雜的系統(tǒng)工程。同時,道路交通安全管理系統(tǒng)tsmis的建設(shè)又具有社會性的一面,因為系統(tǒng)本質(zhì)上是一種人機系統(tǒng),它低托于管理科學的成果和受管理者的意識和習慣的支配。并且在系統(tǒng)建設(shè)和以后的運行中,需要處理好復雜的人與人之間、部門與部門之間、企業(yè)內(nèi)部與企業(yè)外部間的多種關(guān)系,這些關(guān)系的協(xié)調(diào)和處理是系統(tǒng)開發(fā)和運行中必不可少的工作內(nèi)容,這比單純的技術(shù)性工作要復雜得多。因此,道路交通安全管理信息系統(tǒng)開發(fā)的重點是要搞清楚安全管理工作中復雜多變的人員、部門關(guān)系,并從中找出規(guī)律,以便系統(tǒng)能進行人、車、環(huán)境的動態(tài)分析。
軟件的系統(tǒng)設(shè)計(3)
1. 軟件系統(tǒng)組成
道路交通安全信息管理系統(tǒng)的功能模塊如圖2所示。
圖2 道路交通安全信息管理系統(tǒng)的功能模塊
(1) 數(shù)據(jù)庫設(shè)計
儲存駕駛員信息數(shù)據(jù)、車輛信息數(shù)據(jù)、管理標準及作業(yè)文件數(shù)據(jù)等。采用access2000單機版和sql server2000網(wǎng)絡(luò)版2種應用版本,以適應不同用戶的需求。
(2) 輔助管理模塊
此模塊包括出車調(diào)度管理、駕駛員管理、車輛管理、檔案管理等子模塊。其功能如下:
①出車調(diào)度管理模塊:主要提供動態(tài)的安全出車調(diào)度,是該軟件系統(tǒng)的核心之一,具有根據(jù)人、車、環(huán)境等因素動態(tài)分析出車調(diào)度的安全指數(shù),并提出可行性依據(jù)建議。如果人、車配備不合適或安全指數(shù)太低,系統(tǒng)會要求重新選派。如條件滿足,系統(tǒng)會自動存檔并打印出車表單。駕駛員、車輛、檔案管理模塊都分別按照西北石油局的安全管理標準來實現(xiàn)信息化。
②輸入、輸出:出車調(diào)度管理模塊的輸入主要是各單位調(diào)度派遣信息,輸出的主要是調(diào)度動態(tài)分析和出車表單。
(3) 統(tǒng)計分析模塊
根據(jù)統(tǒng)計分析要求,從數(shù)據(jù)庫中取出數(shù)據(jù)進行分析,并以圖表方式顯示統(tǒng)計分析結(jié)果。本模塊主要由以下幾個模塊組成:駕駛員信息統(tǒng)計、車輛信息、行車指標統(tǒng)計、事故信自統(tǒng)計、人車動態(tài)分析等。
①功能設(shè)計:以圖表形式來統(tǒng)計分析各項數(shù)據(jù)信息,分別有柱狀圖、扇型圖、折線圖等顯示,根據(jù)不同的用戶需求來實現(xiàn)不同的數(shù)據(jù)統(tǒng)計分析功能。
人車動態(tài)分析評價系統(tǒng)可以結(jié)合人、車、環(huán)境等因素動態(tài)地完成安全評估報告。它是建立在數(shù)據(jù)庫和統(tǒng)計分析結(jié)果基礎(chǔ)之上的。
②輸入、輸出設(shè)計:輸入主要指輸入用戶想統(tǒng)計的信息的一些參數(shù),輸出有打印表單等功能。
(4) 信息查詢模塊
本模塊包括駕駛員信息查詢、車輛信息查詢、事故信息查詢、出車調(diào)度信息查詢、安全法規(guī)信息查詢、安全管理標準信息查詢等幾個子模塊。每個模塊都有復合式查詢功能,即可通過輸入多項或一項進行信息查詢。
如駕駛員信息查詢模塊中可以通過輸入駕駛員的姓名、年齡、工齡、性別、身份證號碼等進行多重信息查詢。
(5) 系統(tǒng)管理模塊
完成軟件系統(tǒng)的各項管理操作,如編輯功能、文件操作、數(shù)據(jù)庫的維護管理及數(shù)據(jù)庫文件的備份操作等。
(6) 幫助模塊
給操作者提供各種有關(guān)操作方面的信息及軟件使用方法等。
(7) 軟件人機界面
采用下拉菜單,鼠標操作,具有良好的人機交互性和操作簡便性。
2. 軟件設(shè)計要求
根據(jù)西北石油局信息中心的要求,采用混合編程方法設(shè)計軟件系統(tǒng),軟件既可在網(wǎng)絡(luò)上運行,也可在單機上運行。主要使用的設(shè)計語言為vb6.0及其他輔助工具軟件,軟件運行環(huán)境為windows98及以上的版本,硬件配置為:pii及以上機型,內(nèi)存64m,硬盤3.5g,光驅(qū)32倍速,數(shù)據(jù)庫采用access2000的單機版和sql server2000網(wǎng)絡(luò)版2種。
本系統(tǒng)采用當前流行的ado數(shù)據(jù)庫技術(shù)和常用的vb+sql server管理信息系統(tǒng)軟件開發(fā)模式,并應用人機工程學原理來設(shè)計互動的人機友好界面,使tsmis系統(tǒng)更具企業(yè)親和力。
軟件編制結(jié)果應用(4)
根據(jù)上述設(shè)計內(nèi)容,初步研制出了“道路交通安全管理信息系統(tǒng)1.0”,通過調(diào)試,基本可以應用于企業(yè)道路交通安全的信息化管理。該系統(tǒng)具有功能全,界面好,使用操作方便等特點,可廣泛應用于各類大型企業(yè)內(nèi)部道路交通安全的管理。
結(jié)束語(5)
隨著技術(shù)的進步,經(jīng)營管理方式發(fā)生了轉(zhuǎn)變,從而使面向管理的信息系統(tǒng)的內(nèi)容和形式都在發(fā)生著變化,當前可以充分利用網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)的發(fā)展,形成一種全新的運行方式。同樣,網(wǎng)格技術(shù)的發(fā)展也使道路交通安全管理信息系統(tǒng)在大型企業(yè)間使用變得很簡單,通過企業(yè)內(nèi)部的局域網(wǎng),可以實現(xiàn)整個企業(yè)資源共享的同時,也可以用tsmis系統(tǒng)進行整個企業(yè)的信息查詢、遠程協(xié)調(diào)各單位的道路交通安全管理事務(wù)等操作。這樣更有助于企業(yè)在宏觀上進行安全決策和風險評價分析。
道路交通運輸安全管理信息系統(tǒng)必須根據(jù)時代要求,走網(wǎng)絡(luò)化道路,要不斷完善其網(wǎng)絡(luò)功能,真正實現(xiàn)信息化管理,并朝著信息化方向不斷發(fā)展。
第10篇 信息科技部-安全管理中心-安全運營崗工作職責與職位要求
職位描述:
職責描述:
1、參與優(yōu)化安全防御體系,研究和實踐使用有效技術(shù)解決銀行業(yè)務(wù)系統(tǒng)的安全相關(guān)問題。
2、跟蹤和分析各類安全問題和安全事件,如網(wǎng)站入侵調(diào)查,病毒木馬,ddos攻擊等。
3、跟蹤和分析新的安全漏洞和技術(shù),定期對系統(tǒng)、應用、網(wǎng)絡(luò)進行安全檢測和風險評估。
4、編寫防御工具和分析工具,對新技術(shù)、新方法、新軟件進行評估和應用,完成網(wǎng)絡(luò)和系統(tǒng)安全加固。
5、協(xié)助各項信息安全相關(guān)工作,確保信息安全管控措施有效執(zhí)行。
職位要求:
1、全日制本科及以上學歷,計算機相關(guān)專業(yè)優(yōu)先;
2、相關(guān)工作經(jīng)驗3年以上,有銀行相關(guān)項目及從業(yè)經(jīng)驗為佳;
3、責任心強、工作細致、溝通能力強,有良好的團隊協(xié)作及問題解決能力。
第11篇 27001信息安全管理體系審核員工作職責與職位要求
職位描述:
1.按照公司派遣計劃(app)要求,對指定申請組織進行相應領(lǐng)域(目前:質(zhì)量、環(huán)境、職業(yè)健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析與關(guān)鍵控制點、資產(chǎn)管理體系、道路交通安全管理體系、服務(wù)認證、產(chǎn)品認證)標準規(guī)范進行第三方現(xiàn)場合格評定活動;
2.定期參加公司組織的遠程、面授培訓及考試,積極提升自身的能力水平;
3.遵守公司的管理制度,按照規(guī)定流程執(zhí)行審核活動的前期、現(xiàn)場、后期綜合程序;
4.遵守國家認證認可等行業(yè)主管單位的規(guī)定要求。
職位要求:
1. 年齡不限;
2.須取得中國認證認可協(xié)會(ccaa)頒發(fā)的國家注冊審核員,檢查員或?qū)彶閱T資格或已通過相應領(lǐng)域的ccaa國家注冊審核員考試(基礎(chǔ)知識審核知識)。
3.具有良好的責任心;
4.專職優(yōu)先。
5.待遇從優(yōu),工資底薪人天費用組長費(適用時)見證費(適用時)社保
6.從業(yè)4年以上,或能力優(yōu)秀者可以適當交流調(diào)整底薪待遇。
7.專職應履行不少于20個審核人日要求,或季度60個人日要求。
第12篇 安全生產(chǎn)信息調(diào)度中心運行管理辦法
根據(jù)《澄合煤業(yè)公司安全生產(chǎn)信息調(diào)度中心運行辦法》的通知精神,結(jié)合我礦的實際,為加強礦井信息調(diào)度工作,充分發(fā)揮調(diào)度協(xié)調(diào)職能,保證礦井生產(chǎn)任務(wù)的順利完成,特制定__煤炭開發(fā)有限公司安全生產(chǎn)信息調(diào)度中心運行管理辦法。
一、調(diào)度運行方式:
1、調(diào)度范圍:礦井所屬各單位。
2、調(diào)度內(nèi)容:各系統(tǒng)的安全、生產(chǎn)、銷售及重大突發(fā)事件。
3、調(diào)度的方式:采用調(diào)度網(wǎng)絡(luò)與電話調(diào)度,報表傳送,定時與不定時相結(jié)合的方式進行調(diào)度;
4、時間與內(nèi)容:調(diào)度中心實行24小時值班制度。
二、工作職責:
1、負責全礦日常生產(chǎn)的組織和指揮,按班、按日、按月、按旬完成原煤產(chǎn)量、開拓、掘進進尺等各項任務(wù)。
2、負責組織或召開生產(chǎn)調(diào)度會,班前作業(yè)會,生產(chǎn)平衡會,及時解決生產(chǎn)中的一切具體問題,督促檢查執(zhí)行情況,凡是當前生產(chǎn)急需解決的問題,有權(quán)對同級業(yè)務(wù)部門進行統(tǒng)一調(diào)度,行使調(diào)度職權(quán)。
3、認真貫徹安全生產(chǎn)方針,嚴格按照安全規(guī)程,作業(yè)規(guī)程,操作規(guī)程指揮生產(chǎn),對威脅安全生產(chǎn)的重大問題,有權(quán)下達調(diào)度命令,并督促有關(guān)部門采取迅速解決問題的有效措施,凡是發(fā)生重大事故,調(diào)度室要組織和指揮搶救工作,并組織盡快恢復生產(chǎn)。與此同時,迅速將事故詳細情況通知有關(guān)單位,并向有關(guān)領(lǐng)導和局調(diào)度室匯報。
4、及時掌握全礦生產(chǎn)動態(tài),對生產(chǎn)薄弱環(huán)節(jié)、采掘工作面接替情況及采掘工作的出勤率等問題,進行專題調(diào)度。
5、抓好均衡生產(chǎn)。平時要狠抓夜班生產(chǎn)和月初、季初的生產(chǎn),安排好礦井計劃檢修工作,并督促檢查計劃執(zhí)行情況。
6、認真做好上情下達、下情上報的工作,對領(lǐng)導指示,及時檢查貫徹執(zhí)行情況,對生產(chǎn)活動及出現(xiàn)的重大問題,如實地向礦有關(guān)領(lǐng)導或上級業(yè)務(wù)部門匯報。
7、及時了解和掌握全礦各采掘工作面的安裝、生產(chǎn)準備和日常生產(chǎn)情況。
8、經(jīng)常深入生產(chǎn)實際調(diào)查研究,掌握第一手資料,了解生產(chǎn)變化情況,及時向礦領(lǐng)導或有關(guān)部門提出建設(shè)性建議,保證生產(chǎn)不間斷地進行。
9、建立建全完整的原始記錄,按時填寫各項圖表及排版,及時提供生產(chǎn)調(diào)度日報和上月生產(chǎn)活動分析。
10、上級調(diào)度通知、調(diào)度通報,是傳達領(lǐng)導緊急指示、進行緊急工作部署的重要手段,屬于緊急公文,并且具有同級正式文件的同等效力,礦屬各單位必須嚴格執(zhí)行。
11、調(diào)度人員有權(quán)參加礦生產(chǎn)作業(yè)計劃的編審工作,有權(quán)組織召集或參加有關(guān)生產(chǎn)或安全問題的一些會議。
12、根據(jù)礦領(lǐng)導指示或生產(chǎn)上緊急需要,有權(quán)調(diào)度所屬有關(guān)單位人力、物力以及車輛,各有關(guān)單位必須堅決服從和執(zhí)行調(diào)度命令。
13、根據(jù)工作需要,調(diào)度人員有權(quán)了解計劃、生產(chǎn)措施和領(lǐng)導指示落實情況,有關(guān)單位或人員應如實地提供情況和有關(guān)資料。
14、礦調(diào)度室經(jīng)常與采掘隊、輔助隊、銷售、供應等單位加強聯(lián)系,及時解決存在的問題。
15、加強調(diào)度業(yè)務(wù)學習,掌握計算機信息錄入程序,及時準確填報各種生產(chǎn)數(shù)據(jù),并按時向有關(guān)部傳遞。
三、調(diào)度員崗位職責:
1、負責掌握全礦安全生產(chǎn)動態(tài),對當班生產(chǎn)的重要問題,班隊長的匯報情況,以及所發(fā)生的各種事故,及時安排處理,同時匯報有關(guān)領(lǐng)導,做好記錄。
2、對上級領(lǐng)導和上級部門的指示、通知等要認真做好記錄,迅速請有關(guān)領(lǐng)導傳閱,及時向有關(guān)單位傳達,并了解其執(zhí)行情況。
3、在礦值班領(lǐng)導主持下,組織開好下一班的班前作業(yè)會議,為下班的生產(chǎn)做好準備。
4、要認真貫徹安全生產(chǎn)方針,搞好安全工作,制止違章指揮、違章作業(yè)和違反勞動紀律的現(xiàn)象。
5、在發(fā)生人身事故時,要嚴格按照《關(guān)于工傷搶救程序的規(guī)定》,立即組織搶救工作。
6、做好雨季“三防”的日常工作,并做好相關(guān)記錄。
7、每班及時向公司調(diào)度中心匯報各種數(shù)據(jù)和信息,并按要求及時輸入“生產(chǎn)調(diào)度管理系統(tǒng)”。
四、調(diào)度會議制度:
1、參加調(diào)度會議人員
(1)每日碰頭會(早7:00),由礦屬各采、掘、機、運、通、輔助單位行政正職、職能科室正職參加。
(2)每日十六點班(15:00)、零點班(23:00)班前調(diào)度會,由采掘隊、生產(chǎn)輔助隊值班干部和該隊工長及礦當日值班領(lǐng)導參加。
2、調(diào)度會議內(nèi)容及程序:
(1)碰頭會由調(diào)度主任主持,班前會議由調(diào)度員主持。準時點名,通報上天生產(chǎn)任務(wù)完成情況,并做好當天生產(chǎn)計劃、工作安排。
(2)會議前必須做好一切準備工作,要講實效,時間不得超過30分鐘。
(3)會議宣傳貫徹上級安全生產(chǎn)方針、通報、指示、指令及礦領(lǐng)導指示精神,簡要分析通報上班安全生產(chǎn)運行和作業(yè)現(xiàn)場進展情況。
(4)與會隊干部匯報當班生產(chǎn)作業(yè)計劃,調(diào)度室將依據(jù)日作業(yè)計劃,結(jié)合作業(yè)現(xiàn)場及相關(guān)系統(tǒng)、環(huán)節(jié)的實際情況,下達其當班生產(chǎn)任務(wù)以及一些臨時性工作安排,各隊要認真組織落實。
(5)凡各區(qū)隊需下料或上下設(shè)備、管子、工字鋼、單體支柱,打躲避洞,打絞車基礎(chǔ),鋪道,移裝巖機等工作時,必須在碰頭會或班前會上作計劃,凡各單位干零星雜活未向調(diào)度室做計劃私自安排,造成不良后果,均由該隊長負擔一切費用,并按照有關(guān)文件追究其責任。
(6)每日碰頭會,由安檢、生產(chǎn)、機電、調(diào)度、礦領(lǐng)導針對礦井安全生產(chǎn)過程中存在的問題以及當前階段性工作任務(wù),提出具體解決辦法和安排意見,及時協(xié)調(diào)各區(qū)隊和各環(huán)節(jié)急待解決問題。
3、要求和紀律:
(1)所有按要求參加調(diào)度會議的人員,必須準時到會,遲到一次罰款20元,礦會一次罰款50元。確因有事不能參加者,必須事先向礦級領(lǐng)導主管和調(diào)度主任請假,否則按曠會論處。
(2)當班調(diào)度員必須按時督促碰頭會或班前會議所安排的工作任務(wù)的完成情況。
(3)開會期間手機必須設(shè)為振動或關(guān)機狀態(tài),響鈴一次罰款50元;
(4)各單位對生產(chǎn)中存在的問題及解決方案必須事先溝通,確實需上會時再提出,嚴禁推諉扯皮。
五、區(qū)隊干部值班制度:
1、各區(qū)隊必須在每月1日前,將本隊全月干部值班安排表上報調(diào)度室,若值班人員有變化時,要及時通知調(diào)度室,否則每次罰款50元。
2、區(qū)隊必須堅持24小時不間斷值班制度(在其隊部值班),調(diào)度室隨時查崗,每班不少于一次。
3、若值班人員有事要暫時離開隊部時,必須事先向調(diào)度室請示,并說明去向,征得同意后,必須安排本隊其他人員留守在隊部接聽電話。
4、若值班干部中途有事要離開礦區(qū)時,必須由該隊其他干部代替值班,并通知調(diào)度室,代替人員到位后,原值班干部方可離開。
5、每發(fā)現(xiàn)值班干部脫崗一次,罰款20元;無人值班,罰款50元,并由該值班干部承擔因脫崗或空崗所產(chǎn)生的一切不良后果。
6、全礦所有干部及業(yè)務(wù)主管人員手機必須保持待機狀態(tài),發(fā)現(xiàn)手機關(guān)機,每次處罰200元,并追究責任。
六、跟班干部及工長匯報制度:
1、各采掘隊必須由隊干部現(xiàn)場跟班,跟班干部對本班的安全生產(chǎn)工作負全責,保證本班生產(chǎn)任務(wù)的完成,確保安全工作。
2、跟班干部要堅持每班三次的(向調(diào)度室)匯報制度——班初匯報(匯報上班完成情況及遺留問題、當班計劃等)、班中匯報(匯報當班工作進展情況)、班末匯報(匯報本班任務(wù)完成情況及存在問題)。如有特殊事情,必須及時匯報調(diào)度室。
3、當班工長也要堅持每班兩次的匯報制度——班初匯報(匯報出勤人數(shù)、當班計劃等)、班末匯報(匯報本班任務(wù)完成情況)。
4、跟班人員和當班工長要按時匯報,遲匯報一次,罰款5元;少匯報一次,罰款10元;不匯報按無跟班或無工長論處,無跟班或無工長者一次罰款50元,罰該隊隊長100元,并追究有關(guān)人員的責任。
5、跟班干部和當班工長必須同本班人員同上同下,發(fā)現(xiàn)遲下或早上者,一次罰款30元。
6、跟班人員要認真履行職責,及時向調(diào)度室如實匯報情況(例如生產(chǎn)影響和事故等),堅決杜絕虛報瞞報現(xiàn)象的發(fā)生,否則,要嚴格追究當班跟班干部的責任。
七、停工誤時管理制度:
1、停工誤時是指因設(shè)備故障、材料供應、安全質(zhì)量等原因造成本單位或其它單位生產(chǎn)中斷,影響產(chǎn)量進尺和正常生產(chǎn)組織的非人身事故的總稱。
各單位需檢修的設(shè)備必須在前一天提出計劃,由調(diào)度室主任全面協(xié)調(diào)后,在當日碰頭會上進行安排,但必須規(guī)定時間,落實責任人。檢修完畢后及時向調(diào)度室匯報,調(diào)度臺做好記錄,此期間在規(guī)定時間內(nèi)完成不計本單位誤時,否則按誤時處理。
所有臨時性安排任務(wù)歸口調(diào)度室管理,被安排單位必須無條件立即執(zhí)行,否則,按照停工誤時論處。
2、事故處理程序:
(1)凡發(fā)生事故造成生產(chǎn)中斷的單位,必須立即匯報礦調(diào)度室,跟班干部必須在現(xiàn)場立即組織人員積極搶修、處理,避免事故擴大或誤時延長。
(2)各單位的事故處理,必須聽從調(diào)度室的統(tǒng)一協(xié)調(diào)指揮,凡不服從者,造成事故擴大或誤時延長,按責任劃分,予以加倍處罰,并追究部門領(lǐng)導責任。
(3)調(diào)度室按事故的影響范圍或程度,需調(diào)度其它單位人員或物資時,必須無條件服從,積極組織處理,否則按同類事故影響追究責任。
(4)事故單位處理完畢后,跟班干部應立即匯報調(diào)度室 ,并對現(xiàn)場工作安排詳細說明,調(diào)度室做好記錄。
3、必須追查處理的事故:
(1)機電事故:造成生產(chǎn)單位停產(chǎn)超過1小時或直接經(jīng)濟損失500元以上的事故。
(2)頂板事故:造成生產(chǎn)中斷1小時以上或影響產(chǎn)量100噸以上,進尺1.5米以上的事故。
(3)運輸事故:主、副井提升井下運輸系統(tǒng),停運1小時以上,或副提升系統(tǒng)停運2小時,或生產(chǎn)單位停產(chǎn)1小時的事故。
(4)其它事故:造成生產(chǎn)單位或系統(tǒng)影響,影響職工延時1小時以上的事故。
4、事故追查的管理規(guī)定:
(1)調(diào)度室負責事故追查的組織工作。按事故性質(zhì)通知分管領(lǐng)導,職能科室、事故單位負責人及事故有關(guān)人員按時參加。
(2)對2小時以下的誤時,由當日值班人員主持追查;2小時以上的誤時由調(diào)度主任及有關(guān)業(yè)務(wù)科室參加,生產(chǎn)礦長主持追查。
(3)事故的追查要達到“快、嚴、細、準”,結(jié)果由調(diào)度室在追查后4小時內(nèi)通報全礦。
(4)凡被通知參加追查的人員,必須按時參加,無故不參加者,每次罰款50元。
(5)對事故追查必須尊重客觀事實,需查看現(xiàn)場時應及時組織相關(guān)人員到現(xiàn)場了解,堅持實事求是的原則。先從管理上查找并分析事故原因,責任必須落實到人,并制定切實可行的防范措施,寫出書處理意見,交礦調(diào)度室。
5、對事故責任單位及責任者造成經(jīng)濟損失賠償?shù)囊?guī)定:
(1)對影響安全生產(chǎn)的誤時要進行考核和處理。對造成局部性停工誤時的責任單位按1.5元/分鐘進行處罰;對造成某一系統(tǒng)或全礦停產(chǎn)誤時的對責任單位按3.0元/分鐘進行處罰。
(2)事故造成1000元以內(nèi)經(jīng)濟損失的,由責任者賠償損失的20%—40%,直接經(jīng)濟損失在1001—5000元者,由責任者賠償損失的10%—30%,并給予行政警告處分,其余部分由其單位負責賠償。
(3)對因個人操作不符合規(guī)定或擅離職守,而造成設(shè)備損壞,由責任者按100%賠償。
(4)對事故隱瞞不報者,一經(jīng)查出,每次罰款50元。
(5)事故責任單位及個人罰款、賠償,經(jīng)追查小組決定后由調(diào)度室月末出據(jù)罰單(一式三份,調(diào)度、財務(wù)、個人各持一份)通知到責任單位及責任者,由財務(wù)科執(zhí)罰。
(6)各單位全月誤時超過規(guī)定指標,扣干部工資10%。
附:各單位誤時控制指標
單位 | 全月誤時控制指標 | 備注 |
采煤隊 | 16h | |
掘進隊 | 8h | 指一個掘進頭 |
運一隊 | 8h | |
運二隊 | 8h | |
機電隊 | 12h | |
通維隊 | 4h | |
生產(chǎn) | 0 | |
供應 | 0 | |
銷售 | 0 |
為了確保我礦實現(xiàn)安全生產(chǎn)年,進一步完善工傷搶救程序,加強各級領(lǐng)導的安全意識和責任心,使工傷人員能夠迅速搶救上井并得以及時治療,結(jié)合我礦實際,特制定如下措施:
1、加強各級領(lǐng)導值班制度和采掘區(qū)隊現(xiàn)場跟班制度值班期間有事必須向調(diào)度室請假,說明去向和電話號碼,并能在10分鐘內(nèi)找見,如去處用電話無法聯(lián)系時,必須找本單位其它領(lǐng)導代替值班,否則不得離開值班崗位,嚴禁脫崗和空崗。
2、井下發(fā)生工傷,工傷所在單位必須立即如實向調(diào)度室匯報受傷人單位、姓名、受傷部位、受傷地點、傷勢情況,調(diào)度室通知該單位領(lǐng)導立即停止一切工作,組織現(xiàn)場人員盡力搶救和井上快速運送受傷人員。
3、調(diào)度室接到受傷情況匯報后,做好記錄,并按以下程序通知:
(1)立即通知運輸大巷(電話8040),停止沿途其他工作,將電車開往出事地點接送工傷人員。
(2)通知副井信號工(電話8034),通知副絞車司機(電話),聽到信號后,將罐籠放至下部等待工傷人員。
(3)通知調(diào)度值班司機魏鋒洲(電話:15091431884)。
(4)通知調(diào)度主任周志明(電話15929712697)。
(5)通知當天值班領(lǐng)導。
(6)受傷部位在腰部以上者,立即匯報公司調(diào)度中心(電話:6791202)。
(7)通知:何成育王掌學種盈倉王建芳
同戰(zhàn)倉李建平宋錄才
(8)傷勢嚴重時通知:
張存乾韓對民王全堂王萬恒同新立
鄧曉奇醫(yī)院負責人劉建軍何兵王忠斌
4、傷員上井后,要積極組織醫(yī)護人員搶救,必要時送局醫(yī)院搶救,并及時將情況匯報調(diào)度室。
5、調(diào)度室通知沿線車輛時間必須在5分鐘之內(nèi)通知完,通知有關(guān)領(lǐng)導必須在15分鐘之內(nèi)完成。
6、礦醫(yī)院接到調(diào)度室電話后做好搶救準備工作,如工傷危重,立即在15分鐘內(nèi)帶搶救箱,去井口等待進行應急處理,并護送工傷到醫(yī)院。
礦井各部門負責人電話號碼
序號 | 部門職務(wù) | 姓名 | 電話 |
1 | 總經(jīng)理 | 張存乾 | 13992311359 |
2 | 副總經(jīng)理 | 王建芳 | 13772766299 |
3 | 副總經(jīng)理 | 種盈倉 | 13572331879 |
4 | 副總經(jīng)理 | 王掌學 | 13892384088 |
5 | 副總經(jīng)理 | 何成育 | 13892384078 |
6 | 副總經(jīng)理 | 韓對民 | 13992337336 |
7 | 生產(chǎn)負責人 | 劉建軍 | 13892524199 |
宋錄才 | 13571376914 | ||
8 | 安監(jiān)負責人 | 李建平 | 13892352862 |
9 | 機電負責人 | 何兵 | 13474457109 |
10 | 技術(shù)科負責人 | 同戰(zhàn)倉 | 13759689096 |
11 | 供應負責人 | 同新立 | 13892524498 |
12 | 通風負責人 | 王忠斌 | 13772779639 |
13 | 財務(wù)負責人 | 王萬恒 | 13892573500 |
14 | 勞人負責人 | 王全堂 | 13891312631 |
15 | 后勤負責人 | 鄧曉奇 | 13572365990 |
16 | 辦公室負責人 | 王社永 | 13892319062 |
17 | 衛(wèi)生負責人 |
上一頁12下一頁
第13篇 信息科技部-安全管理中心團隊負責人工作職責與職位要求
職位描述:
工作職責:
1、根據(jù)總行審計部、風險管理部和信息科技部的戰(zhàn)略目標,負責全行信息安全中心的整體規(guī)劃和設(shè)計;
2、建立信息安全體系,將安全工作標準化、公開化。落實多層級的項目管理機制,確保安全體系落地執(zhí)行;
3、負責研究、分析監(jiān)管動態(tài)、行業(yè)信息安全技術(shù)發(fā)展趨勢、同業(yè)信息安全動態(tài),對行內(nèi)信息安全管理水平的提升提出建設(shè)性意見;
4、通過對安全工作與安全項目信息匯總、分析,為決策層提供可行性建議和支持;
5、協(xié)助開展安全管理工作,對安全工作進行評定,發(fā)現(xiàn)存在的風險,督促落實安全問題的解決工作;
6、負責團隊的組建和培養(yǎng),帶領(lǐng)團隊完成項目任務(wù)。
職位要求:
1、計算機相關(guān)專業(yè)本科以上學歷,6年以上安全工作經(jīng)驗;
2、具備扎實的安全理論基礎(chǔ),了解各類安全技術(shù)原理,精通業(yè)內(nèi)主流安全趨勢,熟悉業(yè)界安全攻防動態(tài);
3、具備扎實的信息安全管理理論知識,能把握到監(jiān)管、合規(guī)風向,從而完善信息安全治理方向。
4、具備銀行業(yè)/互聯(lián)網(wǎng)企業(yè)安全規(guī)劃和安全系統(tǒng)的建設(shè)經(jīng)驗;
5、具備優(yōu)秀的邏輯思維能力,善于分析問題和解決問題。
6、具備團隊管理經(jīng)驗,有相同崗位任職者優(yōu)先。
第14篇 保密和信息安全管理規(guī)定
為了防止信息和技術(shù)的泄密,導致嚴重災難的發(fā)生,特制訂本規(guī)定:
一、公司秘密包括:
1、公司股東、董事會資料,會議記錄、紀要,保密期限內(nèi)的重要決定事項;
2、公司的年度工作總結(jié),財務(wù)預算決算報告,繳納稅款、營銷報表和各種綜合統(tǒng)計報表;
3、公司業(yè)務(wù)資料,貨源情報和對供應商調(diào)研資料;
4、公司開發(fā)設(shè)計資料、技術(shù)資料和生產(chǎn)情況;
5、客戶提供的一切文件、資料等;
6、公司各部門人員編制、調(diào)整、未公布的計劃,員工福利待遇資料;
7、公司的安全防范狀況及存在問題;
8、公司員工違法違紀的檢舉、投訴、調(diào)查材料,發(fā)生案件、事故的調(diào)查登記資料;
9、公司、法人代表的印章、營業(yè)執(zhí)照、財務(wù)印章、合同協(xié)議。
二、公司的保密制度:
1、文件、傳真、郵件的收發(fā)登記、簽收、催辦、清退、借閱、歸檔由指定人員處理;
2、凡涉及公司內(nèi)部秘密的文件資料的報廢處理,必須首先碎紙,不準未經(jīng)碎紙丟棄處理;
3、公司員工本人工作所持有的各種文件、資料、電子文檔(便攜設(shè)備,光盤等),當本人離開辦公室外出時,須存放入文件柜或抽屜,不準隨意亂放,未經(jīng)批準,不能復制抄錄或攜帶外出;
4、未經(jīng)公司領(lǐng)導批準,不得向外界提供公司的任何保密資料;
5、未經(jīng)公司領(lǐng)導批準,不得向外界提供客戶的任何資料;
6、妥善保管好各種財務(wù)賬冊、公司證照、印章。
三、電腦保密措施:
1、不要將機密文件及可能是受保護文件隨意存放,文件的存放在分類分目錄存放于指定位置;
2、未經(jīng)領(lǐng)導許可,不要打開或嘗試打開他人文件,以避免泄密或文件的損壞;
3、對不明來歷的郵件或文件不要查看或嘗試打開,以避免計算機中病毒,并盡快請電腦室人員來檢查。
4、在一些郵件中的附件中,如果有可疑附件時,請先用殺毒軟件詳細查殺后再使用,或請電腦室人員處理。
5、不要隨便嘗試不明的或不熟悉的計算機操作步驟。遇到計算機發(fā)生異常而自己無法解決時,就立即通知電腦部門外,請專業(yè)人員解決;
6、不要隨便安裝或使用不明來源的軟件或程序。不要隨便運行或刪除電腦上的文件或程序。
7、收到無意義的郵件后,應及時清除,不要蓄意或惡意地回寄這些郵件。
8、不向他人披露使用密碼,防止他人接觸計算機系統(tǒng)造成意外。
9、定期更換密碼,如發(fā)現(xiàn)密碼已泄漏,就盡快更換。公司規(guī)定是三個月一換。it部門負責監(jiān)督。定期用殺毒程序掃描計算機系統(tǒng)。對于新的軟件、檔案或電子郵件,應選用殺毒軟件掃描,檢查是否帶有病毒、有害的程序編碼,進行適當?shù)奶幚砗蟛趴砷_啟使用。
10、先以加密技術(shù)保護敏感的數(shù)據(jù)文件,然后才通過公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)進行傳送。在適當?shù)那闆r下,利用數(shù)定證書為信息及數(shù)據(jù)加密或加上數(shù)字簽名。
11、對于不熟的人員,請不要讓其隨意使用你的計算機。
12、不要隨意將公司或個人的文件發(fā)送給他人,或打開給他人查看或使用。
13、在計算機使用或管理上如有任何疑問,請詢問電腦室人員。
四、公司的保密措施:
1、公司中層以上領(lǐng)導,要自覺帶頭遵守保密制度。
2、公司各部門要運用各種形式經(jīng)常對所屬員工進行保密教育增強保密觀念。
3、全體員工自覺遵守保密基本準則,做到:不該說的機密,絕對不說,不該看的機密,絕對不看(含超越自己職責、業(yè)務(wù)范圍的文件、資料、電子文檔)。
4、對員工因不遵守公司規(guī)定,造成泄密事件,依照有關(guān)法規(guī)及公司的獎懲規(guī)定,給予紀律制裁.解雇,直至追究刑事責任。
第15篇 信息科安全管理職責
一、負責本礦安全隱患信息的收集、分析、匯總、上報。
二、負責當班井下各作業(yè)地點的隱患排查信息的收集和上報工作。
三、對一般隱患信息要及時報告當班處置員,在處置員力量不足的情況下,協(xié)助處置安全隱患。
四、信息科發(fā)現(xiàn)隱患時,有權(quán)對井下局部作業(yè)地點停止作業(yè),發(fā)現(xiàn)重大隱患時有權(quán)對全礦井停止作業(yè),撤出人員并及時上報中心。
五、對主扇風機'三薄'記錄不健全,附屬設(shè)施不完善的,要及時上報中心。
六、對采掘工作面無風、微風作業(yè)的有權(quán)停止。
七、對掘進工作面不進行探放水的,有權(quán)停止作業(yè),并進行嚴厲處罰,建議中心辭退。
八、對當班沒有瓦斯員上班的工作面,有權(quán)停止當班作業(yè)。
九、對作業(yè)面瓦斯傳感器、一氧化碳傳感器不到位的要嚴厲處罰,對無傳感器的要停止作業(yè),撤出人員。
十、對局扇風機無專人管理,無掛牌管理,未實行'風電閉鎖'的,有權(quán)停止掘進工作面作業(yè)。
十一、對灑水、防塵不到位的有權(quán)停止作業(yè)。
十二、對當班瓦斯員空檢、漏檢,不執(zhí)行瓦斯巡回路線的瓦斯員要進行嚴格處罰。
十三、對當班'三違'人員進行制止、處罰、教育。
十四、參加班前、班后會,收集職工思想安全隱患信息。
十五、對酒后入井、精神狀態(tài)不振的人員,有權(quán)停止當班作業(yè)。
十六、對穿化纖衣服,不佩戴自救器的工人,有權(quán)停止當班作業(yè)。
十七、對帶有煙草、引火物品入坑的工人,要進行嚴厲處罰停工。
十八、對跟班礦長不入坑的,有權(quán)停止當班作業(yè)。
十九、對當班掘進工作面不探水的,有權(quán)停止當班作業(yè)。
二十、對帶點檢修、帶點搬遷,有權(quán)停止作業(yè),并進行處罰。
二十一、對違章排放瓦斯,有權(quán)停止作業(yè)并處罰。
二十二、對未經(jīng)培訓無證上崗人員,有權(quán)停止入井。
二十三、主要提升設(shè)備保護不全,禁止人員入井,對斜井、斜巷五'一坡三檔'裝置或裝置不全,失效的,對不執(zhí)行'行車不行人,行人不行車'規(guī)定的,要及時上報和處罰。
二十四、對人行車無煤安標志、防墜器和制動裝置失靈的,有權(quán)停止作業(yè)并上報中心。
二十五、對不執(zhí)行'一炮三檢'和'三人聯(lián)鎖放炮'的,有權(quán)制止和處罰。
二十六、對非爆破工領(lǐng)取雷管,炸藥雷管混運,工作面炸藥雷管未分箱存放,加鎖保管的,有權(quán)停工和處罰。
二十七、對炮眼無封泥、封泥不足或填充不實進行爆破的,有權(quán)停工和處罰。
二十八、對掘進工作面空頂作業(yè),回采工作面端頭支護不到位,有權(quán)停工處罰并上報中心。
二十九、對井下施工質(zhì)量不達標準,有權(quán)停止作業(yè)并上報中心。