第1篇 信息科技部-安全管理中心-安全架构岗工作职责与职位要求
职位描述:
职位描述:
1.负责对基础架构、重要业务进行安全评估,提供可落地的解决方案;
2.负责网络、系统及应用的检测与防护的安全研究工作;
3.指导并参与各类安全系统的研发工作,对现有安全系统进行优化和改进;
4.负责对重点项目进行安全评审,识别架构中的安全风险,提出改进建议;
5.负责对各类疑难安全问题、安全事件的分析及应急响应。
6.负责信息安全体系与架构落地推进。
职位要求:
1.计算机相关专业本科以上学历,五年以上安全工作经验;
2.具备扎实的安全理论基础,精通主流安全漏洞原理,熟悉业界安全攻防动态;
3.熟悉主流的安全技术与产品,如:ids、siem、waf、日志分析、db审计等;
4.具备互联网企业安全规划和安全系统的建设经验;
5.至少熟悉一种编程语言(如:java、python、php等),有一定的开发能力;
6.具备优秀的逻辑思维能力,善于解决问题和分析问题。
第2篇 信息在安全管理中的作用
对于安全信息在安全管理中的作用,可从各个不同角度加以概括。以下仅从一般原理的角度将安全信息的作用归纳为4个方面。
1.从安全管理系统的角度看,安全信息是安全管理系统的基本构成要素和有机联系的介质
我们在前面已经讲过,任何一项安全管理活动,都是由安全管理主体、安全管理客体、安全管理目的、安全管理职能、安全管理环境5个要素构成。而从系统的角度看,安全管理活动其实就是安全管理系统的运动状态。如果进一步分析,安全管理主体、客体、目的、职能、环境又是由什么构成的呢从其具体形态来看,无非是人、财、物、信息4大要素,其原因如下。
①安全管理主体是由人构成,而人之所以成为安全管理主体,主要是因为他持有某种安全管理权力,怀有某种安全管理目的并形成了某种安全管理行为或职能。人的安全管理目的、行为或职能并不表现为某种物质形态,只能表现为信息形态。同时,安全管理主体以某种安全管理目的和安全管理行为对安全管理客体施加影响和进行控制、也主要是以安全信息为媒介。
②安全管理客体一般由人、财、物构成,但是它们之所以成为安全管理客体,主要是因为与安全管理主体发生了管理与被管理的关系。这种关系实际上是一种以安全信息为介质,表现为安全信息的输出、输入和反馈的关系。此外,就安全管理客体本身来说,它作为一个整体,人、财、物之间的有机联系也离不开以安全信息为介质。
③安全管理环境,实际上是指安全管理系统以外的系统。之所以把它作为安全管理的要素,主要是因为它必然要对安全管理系统产生影响,而这种影响主要是表现为各种安全信息的交换关系。
综上所述不难理解,安全信息是安全管理的基本要素,又是系统中各要素有机结合、相互作用的介质。离开了安全信息,既不能有安全管理系统的存在,也不能有安全管理活动的存在。
2.从安全管理过程的角度看,整个安全管理过程实际上就是安全信息的输入、输出和反馈的过程,所有安全管理工作也就是以安全信息处理为中心的工作
安全管理的过程是安全管理主体对安全管理客体施加影响和进行控制的过程,也是安全管理的各项职能发挥的过程。这个过程实际上是一个以安全信息为媒介,表现为安全信息的不断输入、输出和反馈的过程。安全管理中所做的工作,实际上也是以安全信息处理为中心的工作。
如果我们把整个安全管理过程和安全管理工作简化为计划、实施和控制3个环节,那么安全信息在这3个环节的输入、输出和反馈的过程如图6—1所示。
第3篇 安全生产信息管理规定
第一章 总则
第一条 安全生产信息是总结事故教训、研究事故规律、有针对性地制订反事故措施的重要依据,是落实“四不放过”的重要环节。安全生产信息的及时、准确、完整报送是确保事故处理及时、稳妥的关键,是及时、全面、准确地掌握安全生产工作的开展情况,把握安全生产动态,为领导和上级决策部署提供有价值的信息资源的有效途径。
第二条 为保证安全生产信息汇报及时、准确、完整,充分发挥安全信息在安全生产工作中的作用,确保公司安全生产信息畅通,各类安全生产信息及时准确上报,依据南方电网《电力生产事故调查规程》和《电力公司安全生产信息管理规定》,结合公司实际,特制定本规定。
第三条 本规定明确了安全生产信息职责、分类、汇报流程,报送规定。
第四条 本规定适用于公司各发电厂。
第二章 职责
第五条 公司总经理是安全生产信息管理工作的第一责任人,分管安全生产副总经理对具体安全生产信息管理工作负直接领导责任。
第六条 质安部是安全生产信息的归口管理部门,负责组织填写人身事故统计报表,负责审核设备、电网事故(障碍)报表,负责汇总、核实各类安全生产信息及发布,并电力调度控制中心上报。
第七条 生技部是安全生产信息的专业管理部门,负责提供安全生产信息管理工作中所需的技术数据,组织填写有关电网、设备事故(障碍)统计报表,负责拟写电网、设备事故(障碍)技术调查分析资料。
第八条 各车间按照本规定要求及时、准确、完整地汇报安全生产事故(障碍)、不安全情况和生产突发事件,并负责填报本级的安全生产信息报表。
第三章 安全生产信息分类
第九条 安全生产信息是指公司发生的《电力生产事故调查规程》中所规定的各类安全生产事故(障碍)情况的信息、生产设备基础数据、生产设备运行信息、安全生产统计、分析及总结等综合性的信息组成。
第十条 安全生产信息包括
(一)安全生产紧急信息
(二)事故(障碍)报表(汇报)
(三)事故快报
(四)安全信息快报
(五)安全简报
(六)基础数据信息
(七)安全生产季度分析
第十一条 安全生产紧急信息是指发生《电力生产事故调查规程》中所规定的各类安全生产事故及障碍(包括各类人身伤害事故),已经严重威胁电网安全稳定运行和人身安全的有关信息。
第十二条 事故(障碍)报表(汇报)是指发生《电力生产事故调查规程》中所规定的各类安全生产事故及障碍后,按照电力公司《填报手册》要求填写的相关报表资料。
第十三条 事故快报是指发生恶性误操作事故、人身重伤及以上的伤亡事故(包括外包工程)以及地方电力调度控制中心确定性质严重的生产设备及人身事故时,以书面形式向地方电力调度控制中心上报的事故经过、伤亡人数、直接经济损失、事故原因及事故处理意见,事故现场的照片或录象资料等信息。
第十四条 安全信息快报是指定期向地方电力调度控制中心汇报本单位达到地方电力调度控制中心安全生产长周期记录、国家电网公司安全百日记录、生产设备运行情况等综合安全信息。包括季报、月报、周报三个方面内容。
第十五条 安全简报是指公司编写的分析总结本单位月度安全情况,提出防范措施的月度综合信息。
第十六条 基础数据信息是指公司变压器台数、容量、线路公里数、职工人数、安全记录等基础数据。
第十七条 安全生产季度分析是指反映公司季度安全生产情况,全面总结季度安全生产管理工作成绩,分析存在的问题并提出下季度工作重点的综合安全信息。
第四章 安全生产信息报送规定
第十八条 安全生产信息汇报流程
(一)当发生以下安全生产事故(障碍)、不安全情况和生产突发事件时,所在部门的当值人员或现场负责人应立即汇报公司生产领导,同时汇报给电厂负责人。
1、人身伤亡事故
2、设备事故
3、生产场所火灾事故
4、设备故障(开关跳闸、母线失压、继电保护装置动作等)
5、其他事故(障碍)、不安全情况、生产突发事件
(二)公司生产领导接到事故(障碍)、不安全情况和生产突发事件的汇报后,应准确、完整的作好记录,并立即(10分钟以内)以电话和短信方式向公司分管安全生产的副总经理、质安部、生技部负责人及相关专责汇报。发生重伤及以上人身事故,电网、设备事故应立即汇报公司总经理。
(三)车间负责人接到事故(障碍)、不安全情况和生产突发事件的汇报后,应立即(10分钟以内)以电话或短信方式向分管公司领导、质安部及生技部负责人汇报,发生重伤及以上人身事故,一般电网、一般设备及以上事故应立即汇报公司总经理。
(四)公司分管安全生产领导接到事故汇报时应及时向总经理汇报事故(障碍)、不安全情况和生产突发事件。
(五)公司生产技术部、质安部接到人身轻伤以及上事故、一类设备(电网)障碍及以上事故(障碍)及以上应及时向地方电力调度控制中心相关职能部门汇报。
(六)公司分管安全生产领导和总经理接到人身重伤及以上人身事故、一般设备事故、一般电网事故和生产突发事件汇报后还应及时分别向地方电力调度控制中心汇报。
(七)发生人身重伤以及上人身伤亡事故,公司还应及时向事故发生所在地方安监部门汇报。
第十九条 发生安全生产事故(障碍)、不安全情况和生产突发事件时即时汇报基本内容
(一)人身伤亡事故即时汇报基本内容包括:
1.事故时间、地点和单位;
2.事故伤亡人数、简要经过、初步原因分析;
3.事故应急处置情况,包括伤员抢救、家属安抚、生产恢复、信息发布、媒体反映等情况。
(二)电网、设备事故或突发事件即时汇报基本内容包括:
1.事故或事件时间、地点和单位;
2.事故或事件简要经过、停电影响范围、设备损坏情况、初步原因分析、应急处置情况等;
3.事故或事件有关的电网接线方式、设备主要参数、事故前运行方式、事故中继电保护动作情况等;
4.必要的事故现场数码照片等影像资料。
(三)输变电设备故障即时汇报基本内容包括:
1.发生的时间、地点;
2.开关跳闸情况、设备损坏情况、保护及安全自动装置动作情况、故障线路相别及故障测距、一二次设备检查情况。
第二十条 安全生产紧急信息报送规定:
(一)当公司发生以下事故情况下,事故所在部门除按规定立即报送外,应在规定时间内上报书面资料。
1.当发生重大及以上电网事故时,事故发生所属车间应在事故发生后1小时内,将电网事故发生的基本情况、损失负荷和电量情况书面上报公司质安部。
2.当发生较大及以上人身事故(含外包工程)时,事故所在部门应在事故发生后2小时内,将事故发生的地点、时间、伤亡人数等基本情况书面上报公司质安部。
3.发生特大设备事故时,事故所在部门应在事故发生后2小时内,将事故发生的地点、时间、设备损坏情况等基本情况书面上报公司质安部。
4.当发生一般人身事故(含外包工程)时,事故所在部门应在事故发生后15分钟内,将事故发生的地点、时间、伤亡人数等基本情况上报公司质安部。
5.当发生110千伏及以上电压等级的主设备以及其他严重的设备事故,10千伏及以上全站停电的电网事故、较大面积的停电事故,人身重伤等事故时,事故所在部门应在事故发生后 4小时内将事故基本信息书面材料上报公司质安部和生产技术部。
6.当公司所属单位发生一般电网、一般设备事故、人身轻伤、人身未遂事故、一类障碍(包括事故或障碍定性暂不清楚者)或生产安全突发事件时,事故(障碍)所在部门应在事故发生后8小时内将事故基本信息上报公司质安部和生产技术部。
(二)事故发生单位所有上报公司的书面材料必须经部门领导批准。
第二十一条 事故(障碍)报表(汇报)报送规定
(一)事故(障碍)报表(汇报)包括:设备事故报表(汇报)、电网事故报表(汇报)、人身伤亡事故报表(汇报)、电网一类障碍报表、设备一类障碍报表。
(二)电网、设备事故(障碍)原始报表填写报送:由设备所在运行车间在事故(障碍)发生后3天内将设备故障情况书面材料(包括变电站“事故、障碍原始报表”等资料)报质安部、生技部;生技部负责组织填写公司电网、设备事故(障碍)报表,属事故性质的还需同时报送事故调查汇报书,并在事故(障碍)发生后5天内报质安部;质安部汇总审核,在事故(障碍)发生后7天内经公司领导审批后报地方电力调度控制中心。
(三)人身伤亡事故报表填写报送:由事故发生部门在事故发生后3天内将书面材料报质安部;质安部负责组织填写公司人身伤亡事故报表和人身伤亡事故调查汇报书,在事故发生后7天内经公司领导审批报地方电力调度控制中心。
第二十二条 公司电厂发生第十三条明确的事故后,事故所在部门在2天内,以书面形式向质安部报送事故发生的时间、地点、事故发生的简要经过、伤亡人数(性别、年龄)、直接经济损失、事故原因、防范措施及事故处理意见等内容。质安部汇总组织审核,在事故发生后3天内经公司领导审批后报地方电力调度控制中心。
第二十三条 安全信息快报包括:周报、月报、季报、年报。由公司质安部负责填写、发布,并向地方电力调度控制中心汇报。
第二十四条 基础数据信息执行半年报送制度,由生技部负责统计公司主变压器台数和容量、线路公里数,人力资源部负责统计公司职工人数,于每年的6月30日和12月30日报质安部,质安部汇总,经主管生产的领导批准后,在每年的7月1日和次年的1月1日以电子邮件或传真方式报地方电力调度控制中心。
第二十五条 安全生产季度分析,公司所属各生产车间在每季度末,对本单位的季度安全生产工作进行总结分析,在每年1月、4月、7月、10月的5日前以电子邮件报质安部。质安部负责编写公司安全生产季度分析汇报,经主管生产的领导批准后,在1、4、7、10月的10日前以电子邮件、传真或书面报地方电力调度控制中心。安全生产季度分析汇报应包含以下内容:
(一)季度安全生产情况介绍。
(二)季度安全生产情况分析(用数据分析方式,与去年同期进行比较分析)。
(三)暴露出的主要问题及整改措施。
(四)下一季度安全管理的重点。
第六章 附则
第二十六条 本规定执行中如与上级规定相抵触,则以上级规定为准。
第二十七条 本规定解释权属质安部。
第二十八条 本规定自文件下发之日起执行。
第4篇 应用信息技术 提升企业安全管理水平
信息技术在电力企业安全生产管理中的应用空间广泛,对企业规范管理行为、改善管理方式、夯实管理基础、提高工作效率,有着极其重要的作用。电力企业应以安全生产为己任,积极推行信息技术的应用,探索电力安全生产的新思路,持续改进,不断提高。
1以信息化规范员工作业行为
人的不安全行为是导致事故发生的主要因素,电力企业在注重员工的安全教育与培训的同时,必须依靠技术进步,借助信息化手段,规范员工作业行为,以期逐步培养良好的工作习惯。
(1)实行变电倒闸操作全程录音。变电运行人员在倒闸操作过程中,使用录音笔进行全过程录音,工区、监督部门定期检查录音文件并予以通报,从而规范倒闸操作的全过程监督和管理,促进“六要”、“八步”在现场的落实。
(2)推行
变电巡检系统。该系统通过在每个设备单元间隔安装的信息钮记录值班员的到位信息,确保巡视人员的到位,做到路径最优,项目齐全,痕迹保全,提高设备巡视到位率。
(3)应用输电线路巡检系统,跟踪巡线全过程,同时辅以数码相机记录设备缺陷,保证了巡视到位和准确掌握缺陷信息。
(4)运用powerpoint工具软件,编辑系列违章现象专题图片,在职工中开展找错竞赛,以身边的违章现象教育身边人。
(5)开展网上培训。使用规程学习与考核软件,随时进行网上学习、练习和模拟测试,试题随机生成,逐步取代常规的安全知识考试形式,使培训和考试工作科学化、规范化。
2以信息化强化基础管理
强化安全生产基础管理,以信息技术为平台,减轻劳动强度,提高工作效率,保证基础管理工作的适宜性、完整性、有效性。
(1)利用全文检索系统,为工作提供方便。建立有效的技术标准体系,跟踪技术标准发布动态,及时进行补充与完善,使其覆盖率达到100%。
(2)利用网络平台加强制度管理,在健全和完善安全生产管理制度的基础上,实现网络化,方便查询与学习。
(3)建立违章类型管理库,利用信息技术实现违章的分类管理。在开展管理性违章、行为性违章、装置性违章的排查基础上,按违章分值、性质、等级进行编号,实现信息化数据积累,为逐步降低违章的重复率提供技术手段,促进反违章工作的深化。
(4)开发危险点和控制措施库管理信息系统,实行危险点预控措施卡的编制、审核、批准的网上流转,实现危险点的动态管理。
(5)研发安全用具管理系统,实现对安全工器具的全过程管理,该系统应涵盖工区和班组,包含安全用具在役、退役、报废等档案管理,试验报告管理,试验周期管理等功能,加强安全用具的管理工作。
(6)运用信息技术,规范会议管理。开发安全生产会议管理系统,提高会议质量和效率,做到会前准备充分,提前在网上发布会议材料;会中议题明确,主题突出;会后纪要分发迅速,实施情况分类标示,统计分析、考核有据,会议时间大大缩短。
3
以信息化提升安全管理水平
充分利用网络技术,为安全生产提供更为快捷、方便、安全的信息平台,达到过程控制、资源共享。
(1)应用微机两票管理系统,实现两票网上流转,提高工作效率和两票合格率,为两票的统计分析提供便利条件,规范两票管理。
(2)应用生产管理信息系统(mis),保证生产与检修计划可控、在控。按照“五结合”原则进行计划统筹,合理调配资源,提高工作的安全性,优化缺陷管理流程,加强闭环控制。mis系统提供完整的缺陷报告、等级核定、任务下达、消缺情况、投运结论等闭环控制流程,通过网络实现实时检查监督,提高设备消缺质量。
(3)开发调度mis、变电mis,使电网运行管理水平再上新台阶,运行工作实现网络化。调度指令票实现网上传递和过程监督,该系统中的危险点预控模块,实现拟票、审票、操作全过程监护控制与提示,初步实现调度危险点预控智能化,防止调度误操作事故的发生;变电mis系统涵盖运行日志、日常运行、安全管理等各项运行工作,实现运行工作透明化。
(4)应用scada/pas系统,实现电网运行数据分析和安全性静态评价;应用调度模拟操作,防止调度误操作的发生,解合环操作前利用潮流分析软件、模拟操作进行潮流分析,为电网的安全、优质、经济运行
提供有力的保障。
(5)应用继电保护在线信息管理系统,实现继电保护定值单、试验报告和保护动作月报的录入、继电保护图纸的电子化和上传工作;应用继电保护及安全自动装置核对软件,进行季度安全自动装置状态核对;应用继电保护整定计算软件进行继电保护整定计算,防止人为因素造成的误整定并提高工作效率。
(6)建立企业安全网页和安全文化网站,营造企业安全文化氛围。通过安全信息发布、通报事故分析报告、违章照片曝光和录相片播放等形式,借以形成安全教育的氛围,从培养“我要安全”理念、培训“我会安全”技能、强化“我懂安全”素质三方面入手,逐步实现从“要我安全”到“我要安全”、“我会安全”、“我懂安全”的转变,对保证安全生产具有潜意识的推动作用。
第5篇 信息安全管理办法
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第一章 总则
第一条 为加强邵阳市农村商业银行(以下简称农商行)信息系统信息安全、硬件设备、安全运行、故障申报、日常检查、网络安全等管理,防范和化解信息系统的运行风险,杜绝各类事故和案件的发生,根据《湖南省农村信用社信息安全管理办法》、《中华人民共和国信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》、《商业银行信息科技风险管理指引》等规定,结合我农商行实际情况,特制定本办法。
第二条 本办法适用所有使用邵阳市农商行网络或信息资源的其他外部机构和个人,包括农商行辖内网点所有员工,包括在编合同制员工、经批准在岗的短期合同制员工。
第三条 信息系统信息安全工作坚持以预防为主、综合治理、人员防范与技术防范相结合和的原则、按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第四条 信息系统系统信息安全管理员,应当保障信息系统及配套设备的安全、运行环境的安全和信息的安全。
第五条 任何个人不得利用信息系统从事危害国家利益和集体利益的活动、不得危害计算机信息系统的安全。
第二章 组织保障
第六条 农商行设立科技信息部,由科技信息部归口管理信息安全工作,并明确其信息安全管理职责。
第七条 根据省联社要求,农商行成立由农商行领导和各职能部门主要负责人组成信息安全工作领导小组,领导小组办公室设农商行科技信息部,负责协调辖内信息安全管理工作,决定辖内信息安全重大事宜。 第八条 农商行科技信息部门设立信息安全岗位,配备专职信息安全管理人员。负责邵阳农商行信息安全管理,建立完善信息安全管理办法,并组织实施;对农商行信息安全管理工作进行指导和检查督促。
第九条 农商行各支行及各职能部门主要负责人为本部门信息安全第一责任人,同时均应指定至少一名部门信息安全员,具体负责本部门的信息安全管理,协同科技信息部开展信息安全管理工作。
第三章 人员管理
农商行工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。科技信息部为农商行信息安全保护专职部门,设信息安全管理员、系统维护管理员、技术维护员等岗位负责全辖信息系统安全运行。各部门及支行要设立信息系统安全管理领导小组,设立部门信息安全员。
第一节 信息安全管理人员
第十条 农商行选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和湖南省农村信用社有关规定受到过处罚或处分的人员,不得从事此项工作。
第十一条 信息安全管理人员应具有从事金融机构计算机工作三年以上经历,具有本科以上学历。
第十二条 信息安全管理人员必须应经过省联社组织的专业培训与审核,培训与审核合格后方可上岗。上岗后,每年至少参加一次信息安全专业培训。 第十三条 农商行信息安全管理人员在如下职责范围内开展本单位信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理办法,协调部门计算机安全员工作,监督检查信息安全保障工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。 (三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。 (四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。 第十四条 信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本部门负责人同意后向本单位保密主管部门提交申请,获得批准后方可查询。 第十五条 信息安全管理人员实行备案管理办法。信息安全管理人员的配备和变更情况应及时报上一级科技信息部备案。
第十六条 信息安全管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及农村信用社业务核心技术的计算机安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第二节 部门信息安全员
第十七条 各部门和各级支行应指派素质好、较熟悉计算机知识的人员担任部门信息安全员,并报农商行科技信息部备案。如有变更应做好交接工作,并及时通报科技信息部。 第十八条 部门信息安全员配合农商行信息安全管理人员工作,并参加各项信息安全技能培训。 第十九条 部门信息安全员在如下职责范围内开展工作: (一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。 (二)负责提出本部门信息安全保障需求,及时与农商行信息安全管理人员沟通信息安全信息。 (三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技信息部完成对本部门的信息安全检查工作。
第三节 技术支持人员
第二十条 本办法所称技术支持人员,是指参与邵阳农商行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。 第二十一条 农商行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务: (一)不得对外泄露或引用工作中触及的任何敏感信息。严格权限访问,未经批准不得擅自改变系统设置或修改系统生成的任何业务数据。 (二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。 (三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作办法,做好数据备份工作。 第二十二条 外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守湖南省农村信用社相关安全规定与操作规程,关键操作应经授权,并有农商行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄露或引用任何工作信息。
第四节 业务系统操作人员
第二十三条 本办法所称业务系统操作人员是指直接操作业务系统进行业务处理的业务工作人员。 第二十四条 业务系统操作人员应承担如下安全义务: (一)严格规程操作,防止误操作。定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。 (二)发现业务系统出现异常及时报告科技信息部。 (三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。 第二十五条 业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节 一般计算机用户
第二十六条 本办法所称一般计算机用户是指使用计算机设备的所有人员。 第二十七条 一般计算机用户应承担如下安全义务: (一)及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门信息安全员的指导与管理。 (二)不得安装与办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。 (三)未经科技信息部检测和授权,不得将接入湖南省农村信用社内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入湖南省农村信用社内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
第六节 信息系统要害岗位人员
第二十八条 本办法所称信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理员、网络管理员、系统开发人员、系统维护员等内部技术支持人员和重要业务操作等岗位人员。
第二十九条 本办法所称重要信息系统是指湖南省农村信用社面向客户的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。
第三十条 要害岗位人员上岗前必须经农商行人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。
第三十一条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则,按照“必需知道”和“最小授权”原则,严格设定各用户的操作权限。
第三十二条 对要害岗位人员应实行年度强制休假办法和定期考查办法,并进行必要的安全教育和培训。
第三十三条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及信用社业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第三十四条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第三十五条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向计算机安全人员报告安全事件;
(四)对进行系统操作的其他人员予以安全监督。
第三十六条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置后门;
(四)对系统核心技术保密。
第三十七条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统参数配置;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告计算机安全人员。
第三十八条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第四章 机房环境和设备资产管理
第一节 机房环境安全管理
第三十九条 本办法所称机房是指信息系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第四十条 农商行机房的规划、建设、改造、运行、维护由科技信息部负责。 第四十一条 农商行机房应符合国家计算机机房有关标准、监管部门有关要求和省联社有关规定,满足下列基本安全要求:
(一)机房周围100米内不得存在危险建筑物,如加油站、煤气站等。
(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施。
(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统。
(四)机房应设专用的供电系统,配备必要的ups和发电机。
第四十二条 机房建设、改造的方案应报上市网络中心备案。必要时,由市网络中心会同财务、保卫等部门进行审核。 第四十三条 机房建设或改造应选择具有国家建筑装修装饰工程专业承包三级以上资质、两年以上从事计算机机房设计与施工经验的专业化公司。重要机房建设或改造工程应引入监理办法。
第四十四条 计算机机房实行分区管理原则。核心区实行24小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。
第四十五条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。
第四十六条 农商行机房应建立机房设施与场地环境集中监控系统,对机房空调、消防、不间断电源(ups)、供配电、门禁系统等重要设施实行全面监控,通过技术和管理手段,确保计算机机房及配套设施安全。 第四十七条 农商行机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫部门组织的验收,并出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。 第四十八条 农商行建立健全机房管理办法,并指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。
第四十九条 机房管理员负责妥善保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,并随时提供调阅。
第五十条 农商行加强出入机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经主管部门领导批准,并办理登记手续,由专人陪同。
第五十一条 建立机房定期维修保养办法。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第五十二条 向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,并适当配置自动监控报警功能。 第五十三条 所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保管,至少保存三个月。
第二节 设备资产管理
第五十四条 农商行科技信息部建立完备的计算机设备登记办法,严格资产管理,明确计算机设备使用者或管理者及其安全责任。 第五十五条 农商行科技信息部根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁与监控系统,或配备防电磁泄露的屏蔽装置等。
第五章 网络安全管理
第一节 网络规划建设安全管理
第五十六条 省联社信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源(网络设备、通讯线路、ip地址和域名等)分配。 第五十七条 农商行科技信息部按照省联社信息科技部的统一规划和总体部署,组织实施网络建设、改造工程。农商行局域网的建设与改造方案应报上一级科技信息部审核、备案,投产前应通过本单位组织的安全测试。 第五十八条 农商行的网络建设和改造应符合如下基本安全要求: (一)符合湖南省农村信用社网络安全管理要求,使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险,保障网络传输与应用安全。 (二)具备必要的网络监测、跟踪和审计等管理功能。 (三)根据信息安全级别,将网络划分为不同的逻辑安全域。针对不同的网络安全域,采取必要和有效的安全控制措施。
第二节 网络运行安全管理
第五十九条 农商行科技信息部建立健全网络安全运行办法,配备网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向计算机安全人员报告安全事件;
(四)对操作网络管理功能的其他人员进行安全监督。
第六十条 网络管理员定期参加网络安全技术培训,具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
第六十一条 农商行科技信息部严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核与必要的检测,审核(检测)通过后方可接入并分配相应的网络资源。 第六十二条 农商行科技信息部严格网络变更管理。网络管理员在调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。 第六十三条 农商行严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技信息部提出书面申请,并采取相应的安全防护措施。 第六十四条 信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经省联社信息科技部授权,任何外部单位与人员不得检测、扫描湖南省农村信用社内部网络。 第六十五条 农商行应以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经省联社信息科技部批准,不得在湖南省农村信用社内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第三节 网间互联安全管理
第六十六条 本办法所称网间互联是指为满足邵阳市农村商业银行与其他外部机构信息交换或信息共享需求实施的机构间网络互联。 第六十七条 网间互联由省联社信息科技部统一规划,按照相关标准组织实施。未经省联社信息科技部核准,任何单位不得自行与外部机构实施网间互联。
第六十八条 经批准与其他业务相关机构进行网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。
第四节 接入国际互联网管理
第六十九条 邵阳市农村商业银行内部网络与国际互联网实行物理隔离。所有接入邵阳市农村商业银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。 第七十条 计算机接入国际互联网应通过本单位保密主管部门批准,并确保安装有湖南省农村信用社选定的防病毒软件和最新补丁程序。科技信息部凭相关批准证明实施联网,并做好备案。曾接入邵阳市农村商业银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续,科技信息部确保该计算机已删除敏感工作信息后方可实施接入。 第七十一条 未经科技信息部安全检测,曾接入国际互联网的计算机不得直接接入湖南省农村信用社内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。 第七十二条 使用国际互联网的所有用户应遵守国家有关法律法规和湖南省农村信用社相关管理规定,不得从事任何违法违规活动。
第六章 信息系统安全管理
第七十三条 本办法所指的信息系统是邵阳市农村商业银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
第一节 信息系统规划与立项
第七十四条 信息系统建设项目应在规划与立项阶段同步考虑安全问题,建设方案应满足邵阳市农村商业银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容: (一)业务需求部门提出的安全需求。 (二)安全需求分析和实现。 (三)运行平台的安全策略与设计。
第七十五条 信息系统应采取与业务安全等级要求相应的安全机制,在安全防护方面应符合下列基本安全要求:
(一)采取必要的技术手段,建立严密的安全管理控制机制,保证数据信息在处理、存储和传输过程中的完整性和安全性,防止数据信息被非法使用、修改和复制;
(二)提供完整的数据备份和恢复功能,能方便地根据系统和数据的备份介质进行灾难恢复;
(三)具有严格的用户和密码管理,能对不同级别的用户进行有限授权,特别应严格限制和分流特权用户的权限,防止非法用户的侵入和破坏;
(四)重要信息系统应设置审计监控程序,具有身份识别和实体认证功能。能够自动记录操作人员的重要操作,具有防止抵赖机制;
(五)涉密信息系统的安全设计应符合涉密信息保密管理的有关规定。
第七十六条 农商行科技信息部负责对项目技术方案进行安全专项审查并提出审查意见,未通过安全审核的项目不得予以立项。
第二节 信息系统开发与集成
第七十七条 信息系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整、准确实现。
第七十八条 信息系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交邵阳市农村商业银行科技信息部。外部开发单位还应与邵阳市农村商业银行签署相关知识产权保护协议和保密协议,不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。 第七十九条 信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
第八十条 信息系统开发、测试和程序的修改工作不得在生产环境中进行。 第八十一条 涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,并签订严格的保密协议。
第三节 信息系统上线与运行
第八十二条 农商行信息系统上线运行实行安全审查办法,未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下: (一)项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试并形成测试报告,报科技信息部审查。 (二)科技信息部应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施信息系统漏洞扫描检测。
(三)信息系统建设牵头业务部门应在信息系统投产运行前同步制定相关安全操作规定,报科技信息部备案。
第八十三条 信息系统投入运行前,应向省联社科技部和市网络中心提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)信息系统安全评估和审批报告书。
第八十四条 科技信息部应当对报送的书面材料进行初步审查。委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十五条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十六条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并出具信息系统安全评估和审批报告书。
第八十七条 信息系统运行平台应符合以下安全管理要求:
(一)合理配置操作系统、数据库管理系统所提供的安全审计功能,以达到相应安全等级标准。
(二)屏蔽与应用系统无关的所有网络功能,防止非法用户的侵入。
(三)按照网络管理规范及其业务应用范围设置联网设备的ip地址及网络参数。
(四)及时安装正式发布的系统补丁,修补系统存在的安全漏洞。
第八十八条 农商行科技信息部明确系统管理员(系统维护员),具体负责信息系统的日常运行管理,监测系统运行日志,掌握系统运行状况,并建立重要信息系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
第八十九条 系统管理员不得兼任业务操作人员,不得安装与系统无关的其他计算机程序;维护过程中,发现安全漏洞应及时报告计算机安全人员。
第九十条 系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意并在业务操作人员在场的情况下进行,并详细记录维护内容、人员、时间等信息。
第九十一条 未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
第四节 业务操作
第九十二条 业务部门负责信息系统业务操作用户和权限设定,科技信息部根据-授权进行相关设定操作。 第九十三条 业务操作人员应严格按照安全操作规程进行业务操作和必要的数据备份,并配合科技信息部保障信息安全。一旦发现信息系统运行异常及时向本部门领导和科技信息部报告。 第九十四条 业务操作人员应设置本人口令密码,并严格保密,防止口令密码泄漏。严禁向其他任何人泄露本人口令密码。 第九十五条 凡是能够执行录入、复核办法的信息系统,业务操作人员不得一人兼录入、复核两职。未经业务部门主管领导批准,不得代岗、兼岗。 第九十六条 业务操作人员离开操作用机时,应按序退出信息系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
第五节 信息系统废止
第九十七条 实行信息系统废止申报、备案办法。使用信息系统的业务部门根据需要向科技信息部提出废止申请,由科技信息部组织进行安全检查后予以废止,同时备案。 第九十八条 对已经废止的信息系统软件和数据备份介质,科技信息部按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密主管部门监督下予以不可恢复性销毁。
第七章 客户端安全管理
第九十九条 本办法所称客户端是指邵阳市农村商业银行计算机用户、网络与信息系统所使用的终端设备,包括台式个人计算机(pc)、便携式计算机、柜员终端、自动柜员机(atm)、存折打印机、读卡器、销售终端(pos)和个人数字助理(pda)等。 第一百条 农商行应建立完善的客户端管理办法,记录所有客户端设备信息和软件配置信息,采用桌面终端安全管理软件集中实现桌面终端安全策略。 第一百零一条 客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用与工作无关的软件。 第一百零二条 客户端应统一安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。 第一百零三条 确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
第八章 信息安全专用产品与服务管理
第一节 资质审查与选型购置
第一百零四条 本办法所称信息安全专用产品,是指邵阳市农村商业银行安装使用的专用安全软件、硬件产品。本办法所称信息安全服务,是指邵阳市农村商业银行向社会购买的专业化安全服务。 第一百零五条 省联社信息科技部负责信息安全服务提供商的资质审查和信息安全专用产品的选型,农商行在选型范围内按规定选购。 第一百零六条 农商行购置扫描、检测类信息安全专用产品应报省联社信息科技部批准,省联社信息科技部应进行登记备案。
第二节 使用管理
第一百零七条 农商行科技信息部建立信息安全专用产品登记使用办法,建立信息安全类固定资产使用登记簿并由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。 第一百零八条 农商行科技信息部随时检查各类信息安全专用产品使用情况,认真查看相关日志和报表信息并定期汇总分析。如发现重大问题,立即采取控制措施并按规定程序报告。 第一百零九条 各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。 第一百一十条 农商行科技信息部及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。 第一百一十一条 防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技信息部或经科技信息部授权在可信网络内并采取了必要的安全控制措施后进行操作。
第九章 数据、文档与密码管理
第一节 数据安全
第一百一十二条 本办法中所称的数据是指以电子形式存储的邵阳市农村商业银行业务数据、客户信息、系统运行日志、故障维护日志以及其他内部资料。
第一百一十三条 农商行应建立和实施信息分类及保护体系,明确科技信息分类、定密、解密、备份、调用、保管、运输等方面的工作流程和管理要求。 第一百一十四条 农商行业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技信息部负责审核安全需求并提供一定的技术实现手段。
第一百一十五条 农商行应制定数据管理办法和数据处理的流程和审批手续,加强数据的保密管理。 第一百一十六条 农商行业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。 第一百一十七条 农商行科技信息部系统管理员(网络管理员)负责定期导出重要信息系统和网络日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。 第一百一十八条 农商行业务部门应明确规定备份数据的保存时限和密级,建立备份数据调阅、销毁审批登记办法,并根据数据重要性级别分类采取相应的安全销毁措施。 第一百一十九条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第一百二十条 农商行应制定客户信息管理办法和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁。不得非法买卖、泄露客户个人信息,包括客户基本信息及存贷款与征信等业务信息。禁止通过互联网传输客户资料和交易数据信息。
第二节 技术文档
第一百二十一条 本办法所称技术文档是邵阳市农村商业银行网络、信息系统和机房环境等建设与运行维护过程中形成的各种纸质技术资料,包括文档、电子文档、视频和音频文件等。包括系统与网络设计文档、参数配置文档、软件开发文档及其源程序等。 第一百二十二条 农商行科技信息部负责将技术文档统一归档,严格管理,并实行借阅登记办法。未经科技信息部领导批准,任何人不得将技术文档转借、复制和对外公布。
第三节 存储介质
第一百二十三条 农商行应建立健全磁带、光盘、移动存储介质、已打印文档等存储介质管理流程。已存储信息的存储介质应保存在安全的物理环境中并有明晰的标识,统一编号,并标明信息生成或备份日期、密级及保密期限。重要信息系统备份介质应按规定异地存放。 第一百二十四条 农商行应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。 第一百二十五条 农商行应制定移动存储设备(u盘、移动硬盘等)管理办法,加强移动存储设备在生产环境中的管理和使用。禁止内网移动存储设备在外网使用,禁止外网移动存储设备在内网系统中使用。 第一百二十六条 农商行应建立存储介质销毁办法,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第四节 口令密码
第一百二十七条 农商行信息系统要害岗位人员均须设置用户口令密码,并独享使用,不得泄露,且至少每三个月更换一次。口令密码的强度应满足不同安全性要求,不得设置过于简单的弱口令密码。 第一百二十八条 敏感信息系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交主管部门保管,并确保记录载体的安全。未经主管部门领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。 第一百二十九条 农商行应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百三十条 农商行涉密网络和信息系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据湖南省农村信用社实际需求和统一安全策略,合理选择加密措施。 第一百三十一条 农商行选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合湖南省农村信用社的相关安全要求。 第一百三十二条 农商行应建立严格的密钥管理体制,密钥管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。 第一百三十三条 农商行应在安全环境中进行关键密钥的备份工作,并确保密钥副本的物理安全,且须设置遇紧急情况下密钥自动销毁功能。 第一百三十四条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包安全管理
第一节 第三方访问控制
第一百三十五条 本办法所称第三方访问是指邵阳市农村商业银行之外的单位和个人物理访问邵阳市农村商业银行计算机房或者通过网络连接逻辑访问邵阳市农村商业银行数据库和信息系统等活动。 第一百三十六条 农商行保密工作委员会负责涉密信息系统和网络相关的第三方访问授权审批,农商行科技信息部负责非涉密信息系统和网络相关的第三方访问授权审批。未经邵阳市农村商业银行授权的任何第三方访问均视为非法入侵行为。 第一百三十七条 允许被第三方访问的邵阳市农村商业银行信息系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。 第一百三十八条 获得第三方访问授权的所有单位和个人应与湖南省农村信用社签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露湖南省农村信用社任何信息。
第二节 外包安全管理
第一百三十九条 本办法所称外包服务是指由邵阳市农村商业银行之外的其他社会厂商为邵阳市农村商业银行信息系统、网络或桌面环境提供全面或部分的开发、维护技术支持、咨询等服务。
第一百四十条 信息科技外包服务应按照《湖南省农村信用社信息科技外包管理暂行办法》签订正式的外包服务协议,协议应明确约定外包服务商的安全义务。
第一百四十一条 经本单位科技信息部领导批准,外包服务提供商可提供上门维护服务并由邵阳市农村商业银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离湖南省农村信用社。 第一百四十二条 计算机设备确需送外单位维修时,科技信息部应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 灾难备份与应急管理
第一节 灾难备份管理
第一百四十三条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和信息系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。 第一百四十四条 科技信息部按照“统筹安排、资源共享、平战结合”的原则,负责邵阳市农村商业银行重要信息系统灾难备份的统一规划、实施和管理。 第一百四十五条 农商行相关业务部门负责提出业务系统灾难备份需求,明确可容忍的业务中断时间(恢复时间目标rto)和数据丢失量(恢复点目标rpo)。省联社信息科技部据此确定灾难备份等级和备份方案。 第一百四十六条 农商行应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由省联社信息科技部统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第二节 应急管理
第一百四十七条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。 第一百四十八条 在信息系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。 第一百四十九条 农商行应制定和不断完善网络、信息系统和机房环境等应急预案。预案的编制工作由科技信息部和相关业务部门共同完成。 第一百五十条 应急预案应包括以下基本内容: (一)总则(目标、原则、适用范围、预案调用关系等)。 (二)应急组织机构。 (三)预警响应机制(报告、评估、预案启动等)。 (四)各类危机处置流程。 (五)应急资源保障。 (六)事后处理流程。 (七)预案管理与维护(生效、演练、维护等)。 第一百五十一条 农商行应定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。 第一百五十二条 农商行信息安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。 第一百五十三条 农商行应按照湖南省农村信用社信息安全事件报告办法进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报省联社信息科技部。
第一百五十四条 重大信息安全事件发生后,农商行相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百五十五条 农商行应在重大信息安全事件发生后的两小时内按规定程序报上一级科技信息部。 第一百五十六条 农商行办公室负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全检查评估与培训
第一节 监测检查
第一百五十七条 农商行科技信息部应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要信息系统和机房环境等设施的安全运行监测。 第一百五十八条 农商行科技信息部应建立运行监测周报、月报或季报办法,报送本单位信息安全工作领导小组和上一级科技信息部,抄送相关业务部门。 第一百五十九条 农商行要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第一百六十条 农商行科技信息部应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互查或上级检查多种方式。 第一百六十一条 农商行在开展安全检查前应以安全管理办法为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。 第一百六十二条 农商行参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为湖南省农村信用社内部材料妥善保管,不得向外界泄露。 第一百六十三条 农商行应将每次安全检查报告和整改落实情况整理汇总后报上一级科技信息部备案。
第二节 评估审计
第一百六十四条 农商行科技信息部可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内重要信息系统的安全评估。
第一百六十五条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技信息部主管领导。 第一百六十六条 农商行如聘请第三方机构进行安全评估,报省联社信息科技部批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。 第一百六十七条 农商行妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第一百六十八条 农商行定期对重要信息系统进行安全等级保护测评。开展等保测评工作应遵循《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》的有关规定,确保测评有效和测评安全。
第一百六十九条 农商行科技信息部在支持与配合内审部门开展信息安全工作审计的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。 第一百七十条 农商行应做好操作系统、数据库管理系统等审计功能配置管理,并完整保留相关日志记录。
第三节 安全培训
第一百七十一条 农商行应至少每年对信息安全管理人员进行一次专业培训,不断提高信息安全管理人员专业技能和管理水平。
第一百七十二条 农商行应开展全员信息安全教育,对本单位全体正式和非正式员工进行必要的培训,提高全体员工信息安全意识,使全体员工充分了解其职责范围内的信息保护流程及违反规定的后果。
第十三章 奖励与处罚
第一百七十三条 农商行将本单位和辖内信息安全管理工作纳入年度考评,对表现突出的单位和个人应进行通报表彰并给予一定形式的奖励。 第一百七十四条 对于违反本办法,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
第十四章 附 则
第一百七十五条 之前发布的其他信息安全管理办法有关规定条款如与本办法不一致的,按本办法执行。
第一百七十六条 本办法由邵阳市农村商业银行负责解释。
第6篇 企业安全管理中的信息不对称分析
1 前言
在召开第十届全国人民代表大会第四次会议上,单位gdp生产安全事故死亡率、工矿商贸就业人员生产安全事故死亡率已被纳入我国“十一五”规划纲要中,“十一五”规划纲要指出:建立安全生产指标考核体系,到2010年单位国内生产总值生产安全事故死亡率下降35%,工矿商贸就业人员生产安全事故死亡率下降25%。温家宝总理在《政府工作报告中》多次提及安全生产问题。
针对目前国内重特大事故频繁发生的状况,党中央国务院的领导同志曾经多次就安全生产问题作出批示。这一切都表明党中央国务院对安全生产问题是相当重视的。近年来,每年均下派多个督查组或检查组到地方、进企业督导、检查。工作组在现场时很难发现问题,工作组一走,一切依旧。究其原因,乃是企业与政府间存在“信息不对称”。就因为信息不对称,导致政府监管成本增加,全国的安全生产形势依然严峻,企业存在的安全隐患依然得不到有效整改,这不由得我们不用经济学的方法,从企业的角度来分析“信息不对称”产生的原因,并提出相应措施消除“信息不对称”现象。
2 政府监督企业安全管理中的信息不对称现象
政府对于企业安全管理的监督在某种意义上,是一种委托-代理关系,其中掌握信息多(或具有相对信息优势)的市场参加者称为代理人,在安全管理中也就是企业;掌握信息少(或处于信息劣势)的市场参加者称为委托人。委托人与代理人之间存在着信息不对称的现象。
中国在市场经济不断向纵深发展的过程中,一些高危的劳动密集型行业由于暴利的诱惑,吸引了过多的企业进人,这些企业在激烈的竞争中为牟取暴利必然要突破安全生产防线违规作业,同时又要想方设法隐瞒封锁违规违法信息以逃避惩罚。而随着我国经济活动主体的多元化、经济活动范围的扩大化。使得政府有关安全监管部门难于发现这些问题,加剧了安全生产监管信息不对称的情况。
所谓信息不对称指的是当市场的一方无法知道另一方的行为或无法获知另一方行动的完全信息,亦或观测和监督其成本高昂时,交易的双方所掌握的信息是不等同的。
经济学中普遍存在着信息不对称现象,按传统观点,产生信息不对称的原因有4种。其一是专业分工导致人们只了解自己专业内的信息.对其他专业内的信息掌握就不够完全;其二是交易双方由于所拥有和支配的资源有限从而导致所拥有的信息是有限的;其三、信息的获得是有成本的,当获得信息的成本高于所得收益,人们会应“得不偿失”而放弃信息获取,从而造成信息不对称;其四,信息不对称是由于信息优势方的信息垄断所致,即信息拥有方因不愿意把部分信息公开,而造成消费者或投资者不了解信息。
信息不对称会导致逆向选择与道德风险问题的发生,并直接导致安全生产监管的失灵或监管的低效率。在严重的信息不对称的状态中,由于信息、监督和执行问题常常难以解决,安全生产几乎是不可能实现的。
3 有关信息不对称的经济学分析
因为信息不对称而引发的委托-代理问题是由于政府的安全监管部门不能确知企业的行为而产生的问题,它是指企业追求他们自己的利润最大化而以牺牲安全生产为代价。
委托-代理问题的产生与下列2个因素有关
一是政府安全监管部门与企业目标的不一致性;二是政府安全监管部门和企业之间信息的不对称性。政府安全监管部门监管成本最小化的目标通常需要通过企业的行为来实现,但是政府安全监管部门的目标并非总是企业的目标。如政府的目标在于企业安全生产,人民群众的生命安全得到保障,而企业的目标却可能是追求企业利润的最大化,并因此减少在安全生产上面的投人。如果政府安全监管部门可以完全监督企业的行为,就可以防止企业的偷懒和卸责行为。
而事实上,由于政府安全监管部门和企业之间存在信息的不对称性,政府安全监管部门一般很难监督企业的行为。因为企业对其安全生产的努力程度只有自己最清楚,政府安全监管部门一般很难进行监督并予以有效控制。因此,在政府安全监管部门缺乏监督或政府安全监管部门无力监督的情况下,企业极有可能为了追求自身利益而作出背离政府安全监管部门利益的行为,引发委托-代理问题。
从安全管理的角度看,假定政府除发现企业是否发生事故即安全或不安全外,没有别的信息可以作为奖惩企业的依据;另外,政府对企业只能采用固定金额的奖励机制,一般情况下,政府不可能完全监督企业,为使企业领导努力工作以提高安全水平,政府支付给企业领导的安全报酬就必须大于保留安全报酬加努力成本之和。特殊情况下,监督越困难,政府需要支付的安全报酬就越高;如果监督没有可能,任何安全报酬都不可能促使企业确保安全。即使政府不能监督企业,但是,如果使事故的赔偿金增加到一定程度,由于领导的安全报酬与事故赔偿金负相关,则企业就有动力自觉地增加安全投入,提高安全水平而减少事故,以增加报酬。不难看出,当事故赔偿金与为避免事故发生的主动安全投入相等时,企业领导将选择主动安全投入以避免发生事故。也就是说,在政府完善监督监察困难的情况下,为了保证企业有一定安全水平,要提高事故赔偿额度;二要给与企业领导人足够的安全奖金:三要提高惩处率。
4 如何消除企业安全管理中的信息不对称现象
综上所述,不难看出,安全监察一般是在信息不对称的条件下进行的,要想达到监察的目的,消除事故隐患,那就必须采取以下措施:
(1)建立健全安全生产的法律法规和规章制度及标准。同时健全安全监察的法律法规及执法的规范。加大监察执法的透明度,规范执法和守法,强化安全防范意识。要使企业和监管部门真正意识到不消除事故隐患带来的后果,必须将事故前的处罚同企业事故后查出的失职及监管部门的职责落实到位。即在发生事故前,企业如不主动消除隐患则必须对其立即处罚;在发生事故后,要根据失职行为对企业、监管部门责任人进行处罚。
(2)把企业的安全状况与企业领导人的收入和政绩挂钩,同时,给予企业领导人足够的安全奖金和有效的罚金;提高惩处率,提高事故赔偿额度。
(3)鼓励企业主动增加安全投入,提高企业的安全技术水平和安全管理水平,设立企业安全基金。资金软约束是造成事故的一个重要原因。由于企业没有建立安全防范基金,以致没有能力及时消除隐患。因此,监管部门要督促企业按净收入的一定比例投入安全基金,不足部分则应由政府补足。
(4)提高安全监管监察工作效率,强化安全监察的执法力度,促进安全的管理。突出监管部门的查处重点,在全面了解隐患状况的基础上,重点查处隐患引发事故概率高的企业。在确定了重点隐患企业后,监管部门必须开出限期整改通知并落到实处,即在最后期限。一方面强制消除隐患,而另一方面对企业责任人提前给予处罚。
(5)加强对员工的安全培训、教育,进行消除隐患、事故的实战训练,提高其安全意识和安全防护水平,使其掌握一定的安全技术,保障职工形成自保和他保的安全文化思想和理念。
(6)加强安全宣传工作,提高员工文化素质和经济收入,使员工参与安全管理活动,形成个完善的监督和制约机制;使企业的经营者、管理者、职工及家属形成联动效应,把安全工作放在首位,落在实处,一切围绕安全、发展与效益开展工作;使三者构成一个有机的统一体,让员工懂得没有安全的生产就等于自杀,是给自己挖掘坟墓。
(7)提高企业的社会责任意识和安全生产主体意识,实现“要我安全”到“我要安全”的根本转变。
第7篇 创新信息安全管理
上世纪90年代以来,嘉兴电力局逐步建立了办公自动化(oa)、sap系统、营销管理、95598客户服务、负荷管理、pi数据库等诸多信息系统,企业信息化在安全生产、经营管理、优质服务中发挥了极其重要的作用。与此同时,信息安全的篱笆墙也越扎越紧,有效地防范了外部的攻击和内部管理失控带来的种种威胁。因此嘉兴电力局先后被中电联授予“信息化先进单位”、“信息化标杆企业”等光荣称号。2006年贯彻iso/iec27001:2005信息安全管理标准,获得了挪威船级社dnv公司认证证书。
运用系统的思想和方法,查找信息安全管理的“短板”
管理思想和方法落后。过去基本上是参照电网安全管理的一些传统做法,没有体现信息化特点和要求,这样就越来越不适应信息系统的快速发展和变革。
管理对象不够全面。以往只考虑硬件、软件,忽视了人、数据和文档、服务、无形资产等重要对象,对外来人员也缺乏有效的识别管理。
管理制度不够系统。以前虽然制订了不少制度和标准,但随着信息化的发展,这些制度逐渐变得与现实要求不相适应。就事论事的管理方式必然会产生安全管理的盲区,有些制度内容重复、交叉、不一致,有些制度不切合实际,往往束之高阁。
风险评估不够科学。以往的信息风险评估就事论事,不够系统,主观性过强,缺乏综合平衡,抓不住重点,易过度保护,或产生管理死角,事后控制多,事前预控少,不能涵盖信息系统的生命周期。
上述情形是企业在信息化建设中普遍感觉到比较迷茫的问题,随着科学技术的进步,企业信息运行管理模式也发生了巨大的变化,为企业采用先进管理方式、建立信息安全管理体系打下了扎实的基础。为此,嘉兴电力局根据国际上信息安全管理的最佳实践,结合供电企业的实际,从信息安全风险评估管理人手,贯彻iso/iec27001:2005信息安全管理标准,建立了信息安全管理体系。通过体系有效运作,达到了供电企业信息安全管理“预控、能控、可控、在控”的目的。
从资产识别入手,搞好信息安全风险评估
嘉兴电力局按《信息安全风险评估控制程序》,对所有的资产进行了列表识别,并识别了资产的所有者。这些资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值。在风险评估中,共识别资产2810项,其中确定的重要资产总数为312项,形成了《重要资产清单》。
图1重要信息资产按部门分布图
对重要的信息资产,由资产的所有者(归口管理部门)对其可能遭受的威胁及自身的薄弱点进行识别,并对威胁利用薄弱点发生安全事件的可能性以及潜在影响进行了赋值分析,确定风险等级和可接受程度,形成了《重要资产风险评估表》。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定措施失效发生的可能性,计算风险等级,判断风险为可接受的还是需要处理的。根据风险评估的结果,形成风险处理计划。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用适当的措施,确定是接受风险、避免风险,还是转移风险。
嘉兴电力局经过风险评估,确定了不可接受风险84项,其中硬件和设施52项,软件和系统0项,文档和数据8项,服务0项,人力资源24项。
图2各类不可接受风险按系统分布图
根据风险评估的结果,对可接受风险,保持原有的控制措施,同时按iso/iec17799:2005《信息技术—安全技术—信息安全管理实施细则》和系统应用的要求,对控制措施进行完善。针对不可接受风险,由各部门制定相应的安全控制措施。制定控制措施需要考虑风险评估的结果、管理与技术上的可行性、法律法规的要求,以期达到风险降低的目的。控制措施的实施将从避免风险、降低风险、转移风险等方面,将风险降低到可接受的水平。
按照iso标准要求,建立信息安全管理体系
嘉兴电力局在涉及生产、经营、服务和日常管理活动的信息系统,按iso/iec27001:2005《信息技术—安全技术—信息安全管理体系要求》规定,参照iso/iecl7799:2005《信息技术·安全技术—信息安全管理实施细则》,建立信息安全管理体系,简称isms。
确定信息安全管理体系覆盖范围,主要是根据业务特征、组织结构、地理位置、资产分布情况,涉及电力生产、营销、服务和日常管理的40个重要信息系统。信息安全管理的方针是:“全面、完整、务实、有效”。
为实现信息安全管理体系方针,该局承诺:在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施,明确信息安全的管理职责,识别并满足适用法律、法规和相关方信息安全要求;定期进行信息安全风险评估,采取纠正预防措施,保证体系的持续有效性,采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;制定并保持完善的业务连续性计划,实现可持续发展。按照信息安全管理方针的要求,制定的信息安全管理目标是:2级以上信息安全事件为零,不发生信息系统的中断、数据的丢失、敏感信息的泄密;不发生导致供电中断的信息事故;减少涉密有关的法律风险。
嘉兴电力局根据风险评估的结果、企业的系统现状和管理现状,按照iso/iec27001:2005标准要求,整合原有的企业信息安全管理标准、规章制度,形成了科学、严密的信息安全管理体系文件框架,包括信息安全管理手册;《信息安全风险评估管理程序》、《业务持续性管理程序》等53个程序文件,制定了16个支撑性作业文件。
运用过程方法,实施信息安全管理体系
在信息安全管理过程中,重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节,采取明确职责、动态检查、严格考核等措施,使信息安全走上常态管理之路。
图3信息安全管理体系实施过程
重视信息系统安全管理。因为信息系统支撑着企业的各项业务,信息安全管理体系实施涵盖信息系统的生命周期,表现在信息系统的软(硬)件购置、设备安装、软件开发和系统测试、上线、系统(权限)变更等方面,严格执行体系的相关控制程序。
强化人员安全管理。在劳动合同、岗位说明书中,明确员工信息安全职责。特殊岗位的人员规定特别的安全责任,对信息关键岗位实行备案制度。对岗位调动或离职人员,及时调整安全职责和权限。定期对员工进行信息安全教育和技能培训、比武、考试。
重视相关方管理。对软硬件供应商、服务商、保卫、消防、保洁等人员,明确安全要求和安全职责。签订保密协议、办理入网申请、进行入网教育等。识别客户、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
建立信息安全的常态管理机制。对企业技术、业务目标和过程、已识别的威胁、实施控制的有效性、外部事件变更情况应及时进行风险评估。定期对信息安全进行定期或不定期的监督检查,包括日常检查、专项检查、技术性检查、内部审核等。嘉兴电力局2006年内审发现了57个不符合项,及时进行纠正,解决了用户权限、a/b岗、第三方访问、机房管理等一些重点问题,从而保证了信息安全管理的质量,有效地防范了信息安全事件和事故的发生。
第8篇 信息科技部-安全管理中心-监控规划岗工作职责与职位要求
职位描述:
1、负责科技层面监控系统的建设和规划、保障监控系统的正常运行;
2、负责业务层面监控系统的建设和规划、保障监控系统的正常运行;
3、负责监控策略、指标的优化和调试;
4、协助一道防线、二道防线建立自动化监控方案,减少人力投入;
5、监控、督办、汇报各类问题,保证相关人员的信息一致性;
职位要求:
1、全日制本科及以上学历
2、5年及以上相关工作经验,有银行相关工作经验,有监控系统部署架构经验
3、熟悉计算机软硬件系统的产品设计、开发、可行性研究及软件开发、测试、评估、操作管理;熟悉linu_系统;熟悉oracle数据库应用开发;熟悉监控系统部署方案以及告警策略及优化
第9篇 道路交通安全企业安全管理信息系统的研制与应用
引言(1)
为了提高企业道路交通安全管理效率,防止交通事故的发生,利用计算机信息技术来进行大型企业交通运输安全管理,是企业科学化安全管理的有效途径。道路交通运输安全管理信息系统(traffic safety management information system,即tsmis)正是面向企业交通安全管理,利用计算机信息技术开发而成,它可大大提高安全管理的科学性和规范性。本文结合西北石油局道路交通安全管理信息系统的研制情况,以软件工程的思路和实际应的角度论述交通运输安全管理信息系统(tsmis)的设计思想和编制过程。
组成(2)
tsmis是管理信息系统的具体应用和展开。它严格遵循科学的安全管理原则,采用了动态人机安全原理,结合动态风险评价与决策,是一套完整的管理信息系统。tsmis主要的组成有:①驾驶员信息管理;②车辆信息管理;③安全管理信息化的实现;④安全动态管理即风险评价。如图1所示。
图1 企业道路交通安全管理信息系统的组成
管理信息系统的开发是一项复杂的社会工程和技术工程,它涉及社会和技术等多方面的内容。在建立企业道路交通运输安全管理信息系统时,需要做好以下几方面的工作。
(1) 企业道路交通安全管理信息系统建设的可行性研究;
(2) 交通安全管理信息系统开发策略的研讨与制定;
(3) 系统开发方法的研讨和选择;
(4) 开发步骤的划分和制定;
(5) 系统的运行计算机配置和数据库的总体设计;
(6) 软件开发工具的选择和提供。
针对tsmis的设计内容,道路交通安全管理信息系统的建立需要综合和应用多种学科的知识和成果,包括安全管理学、系统安全工程学、数字、统计学、计算机科学、软件工程、行为科学、心理学、人机工程学、交通安全管理学等研究成果,而且还需要参照国内外的交通安全管理的有关标准,因此是一项复杂的系统工程。同时,道路交通安全管理系统tsmis的建设又具有社会性的一面,因为系统本质上是一种人机系统,它低托于管理科学的成果和受管理者的意识和习惯的支配。并且在系统建设和以后的运行中,需要处理好复杂的人与人之间、部门与部门之间、企业内部与企业外部间的多种关系,这些关系的协调和处理是系统开发和运行中必不可少的工作内容,这比单纯的技术性工作要复杂得多。因此,道路交通安全管理信息系统开发的重点是要搞清楚安全管理工作中复杂多变的人员、部门关系,并从中找出规律,以便系统能进行人、车、环境的动态分析。
软件的系统设计(3)
1. 软件系统组成
道路交通安全信息管理系统的功能模块如图2所示。
图2 道路交通安全信息管理系统的功能模块
(1) 数据库设计
储存驾驶员信息数据、车辆信息数据、管理标准及作业文件数据等。采用access2000单机版和sql server2000网络版2种应用版本,以适应不同用户的需求。
(2) 辅助管理模块
此模块包括出车调度管理、驾驶员管理、车辆管理、档案管理等子模块。其功能如下:
①出车调度管理模块:主要提供动态的安全出车调度,是该软件系统的核心之一,具有根据人、车、环境等因素动态分析出车调度的安全指数,并提出可行性依据建议。如果人、车配备不合适或安全指数太低,系统会要求重新选派。如条件满足,系统会自动存档并打印出车表单。驾驶员、车辆、档案管理模块都分别按照西北石油局的安全管理标准来实现信息化。
②输入、输出:出车调度管理模块的输入主要是各单位调度派遣信息,输出的主要是调度动态分析和出车表单。
(3) 统计分析模块
根据统计分析要求,从数据库中取出数据进行分析,并以图表方式显示统计分析结果。本模块主要由以下几个模块组成:驾驶员信息统计、车辆信息、行车指标统计、事故信自统计、人车动态分析等。
①功能设计:以图表形式来统计分析各项数据信息,分别有柱状图、扇型图、折线图等显示,根据不同的用户需求来实现不同的数据统计分析功能。
人车动态分析评价系统可以结合人、车、环境等因素动态地完成安全评估报告。它是建立在数据库和统计分析结果基础之上的。
②输入、输出设计:输入主要指输入用户想统计的信息的一些参数,输出有打印表单等功能。
(4) 信息查询模块
本模块包括驾驶员信息查询、车辆信息查询、事故信息查询、出车调度信息查询、安全法规信息查询、安全管理标准信息查询等几个子模块。每个模块都有复合式查询功能,即可通过输入多项或一项进行信息查询。
如驾驶员信息查询模块中可以通过输入驾驶员的姓名、年龄、工龄、性别、身份证号码等进行多重信息查询。
(5) 系统管理模块
完成软件系统的各项管理操作,如编辑功能、文件操作、数据库的维护管理及数据库文件的备份操作等。
(6) 帮助模块
给操作者提供各种有关操作方面的信息及软件使用方法等。
(7) 软件人机界面
采用下拉菜单,鼠标操作,具有良好的人机交互性和操作简便性。
2. 软件设计要求
根据西北石油局信息中心的要求,采用混合编程方法设计软件系统,软件既可在网络上运行,也可在单机上运行。主要使用的设计语言为vb6.0及其他辅助工具软件,软件运行环境为windows98及以上的版本,硬件配置为:pii及以上机型,内存64m,硬盘3.5g,光驱32倍速,数据库采用access2000的单机版和sql server2000网络版2种。
本系统采用当前流行的ado数据库技术和常用的vb+sql server管理信息系统软件开发模式,并应用人机工程学原理来设计互动的人机友好界面,使tsmis系统更具企业亲和力。
软件编制结果应用(4)
根据上述设计内容,初步研制出了“道路交通安全管理信息系统1.0”,通过调试,基本可以应用于企业道路交通安全的信息化管理。该系统具有功能全,界面好,使用操作方便等特点,可广泛应用于各类大型企业内部道路交通安全的管理。
结束语(5)
随着技术的进步,经营管理方式发生了转变,从而使面向管理的信息系统的内容和形式都在发生着变化,当前可以充分利用网络技术和数据库技术的发展,形成一种全新的运行方式。同样,网格技术的发展也使道路交通安全管理信息系统在大型企业间使用变得很简单,通过企业内部的局域网,可以实现整个企业资源共享的同时,也可以用tsmis系统进行整个企业的信息查询、远程协调各单位的道路交通安全管理事务等操作。这样更有助于企业在宏观上进行安全决策和风险评价分析。
道路交通运输安全管理信息系统必须根据时代要求,走网络化道路,要不断完善其网络功能,真正实现信息化管理,并朝着信息化方向不断发展。
第10篇 信息科技部-安全管理中心-安全运营岗工作职责与职位要求
职位描述:
职责描述:
1、参与优化安全防御体系,研究和实践使用有效技术解决银行业务系统的安全相关问题。
2、跟踪和分析各类安全问题和安全事件,如网站入侵调查,病毒木马,ddos攻击等。
3、跟踪和分析新的安全漏洞和技术,定期对系统、应用、网络进行安全检测和风险评估。
4、编写防御工具和分析工具,对新技术、新方法、新软件进行评估和应用,完成网络和系统安全加固。
5、协助各项信息安全相关工作,确保信息安全管控措施有效执行。
职位要求:
1、全日制本科及以上学历,计算机相关专业优先;
2、相关工作经验3年以上,有银行相关项目及从业经验为佳;
3、责任心强、工作细致、沟通能力强,有良好的团队协作及问题解决能力。
第11篇 27001信息安全管理体系审核员工作职责与职位要求
职位描述:
1.按照公司派遣计划(app)要求,对指定申请组织进行相应领域(目前:质量、环境、职业健康安全、信息安全、ec9000、13485、hse、食品安全、危害分析与关键控制点、资产管理体系、道路交通安全管理体系、服务认证、产品认证)标准规范进行第三方现场合格评定活动;
2.定期参加公司组织的远程、面授培训及考试,积极提升自身的能力水平;
3.遵守公司的管理制度,按照规定流程执行审核活动的前期、现场、后期综合程序;
4.遵守国家认证认可等行业主管单位的规定要求。
职位要求:
1. 年龄不限;
2.须取得中国认证认可协会(ccaa)颁发的国家注册审核员,检查员或审查员资格或已通过相应领域的ccaa国家注册审核员考试(基础知识审核知识)。
3.具有良好的责任心;
4.专职优先。
5.待遇从优,工资底薪人天费用组长费(适用时)见证费(适用时)社保
6.从业4年以上,或能力优秀者可以适当交流调整底薪待遇。
7.专职应履行不少于20个审核人日要求,或季度60个人日要求。
第12篇 安全生产信息调度中心运行管理办法
根据《澄合煤业公司安全生产信息调度中心运行办法》的通知精神,结合我矿的实际,为加强矿井信息调度工作,充分发挥调度协调职能,保证矿井生产任务的顺利完成,特制定__煤炭开发有限公司安全生产信息调度中心运行管理办法。
一、调度运行方式:
1、调度范围:矿井所属各单位。
2、调度内容:各系统的安全、生产、销售及重大突发事件。
3、调度的方式:采用调度网络与电话调度,报表传送,定时与不定时相结合的方式进行调度;
4、时间与内容:调度中心实行24小时值班制度。
二、工作职责:
1、负责全矿日常生产的组织和指挥,按班、按日、按月、按旬完成原煤产量、开拓、掘进进尺等各项任务。
2、负责组织或召开生产调度会,班前作业会,生产平衡会,及时解决生产中的一切具体问题,督促检查执行情况,凡是当前生产急需解决的问题,有权对同级业务部门进行统一调度,行使调度职权。
3、认真贯彻安全生产方针,严格按照安全规程,作业规程,操作规程指挥生产,对威胁安全生产的重大问题,有权下达调度命令,并督促有关部门采取迅速解决问题的有效措施,凡是发生重大事故,调度室要组织和指挥抢救工作,并组织尽快恢复生产。与此同时,迅速将事故详细情况通知有关单位,并向有关领导和局调度室汇报。
4、及时掌握全矿生产动态,对生产薄弱环节、采掘工作面接替情况及采掘工作的出勤率等问题,进行专题调度。
5、抓好均衡生产。平时要狠抓夜班生产和月初、季初的生产,安排好矿井计划检修工作,并督促检查计划执行情况。
6、认真做好上情下达、下情上报的工作,对领导指示,及时检查贯彻执行情况,对生产活动及出现的重大问题,如实地向矿有关领导或上级业务部门汇报。
7、及时了解和掌握全矿各采掘工作面的安装、生产准备和日常生产情况。
8、经常深入生产实际调查研究,掌握第一手资料,了解生产变化情况,及时向矿领导或有关部门提出建设性建议,保证生产不间断地进行。
9、建立建全完整的原始记录,按时填写各项图表及排版,及时提供生产调度日报和上月生产活动分析。
10、上级调度通知、调度通报,是传达领导紧急指示、进行紧急工作部署的重要手段,属于紧急公文,并且具有同级正式文件的同等效力,矿属各单位必须严格执行。
11、调度人员有权参加矿生产作业计划的编审工作,有权组织召集或参加有关生产或安全问题的一些会议。
12、根据矿领导指示或生产上紧急需要,有权调度所属有关单位人力、物力以及车辆,各有关单位必须坚决服从和执行调度命令。
13、根据工作需要,调度人员有权了解计划、生产措施和领导指示落实情况,有关单位或人员应如实地提供情况和有关资料。
14、矿调度室经常与采掘队、辅助队、销售、供应等单位加强联系,及时解决存在的问题。
15、加强调度业务学习,掌握计算机信息录入程序,及时准确填报各种生产数据,并按时向有关部传递。
三、调度员岗位职责:
1、负责掌握全矿安全生产动态,对当班生产的重要问题,班队长的汇报情况,以及所发生的各种事故,及时安排处理,同时汇报有关领导,做好记录。
2、对上级领导和上级部门的指示、通知等要认真做好记录,迅速请有关领导传阅,及时向有关单位传达,并了解其执行情况。
3、在矿值班领导主持下,组织开好下一班的班前作业会议,为下班的生产做好准备。
4、要认真贯彻安全生产方针,搞好安全工作,制止违章指挥、违章作业和违反劳动纪律的现象。
5、在发生人身事故时,要严格按照《关于工伤抢救程序的规定》,立即组织抢救工作。
6、做好雨季“三防”的日常工作,并做好相关记录。
7、每班及时向公司调度中心汇报各种数据和信息,并按要求及时输入“生产调度管理系统”。
四、调度会议制度:
1、参加调度会议人员
(1)每日碰头会(早7:00),由矿属各采、掘、机、运、通、辅助单位行政正职、职能科室正职参加。
(2)每日十六点班(15:00)、零点班(23:00)班前调度会,由采掘队、生产辅助队值班干部和该队工长及矿当日值班领导参加。
2、调度会议内容及程序:
(1)碰头会由调度主任主持,班前会议由调度员主持。准时点名,通报上天生产任务完成情况,并做好当天生产计划、工作安排。
(2)会议前必须做好一切准备工作,要讲实效,时间不得超过30分钟。
(3)会议宣传贯彻上级安全生产方针、通报、指示、指令及矿领导指示精神,简要分析通报上班安全生产运行和作业现场进展情况。
(4)与会队干部汇报当班生产作业计划,调度室将依据日作业计划,结合作业现场及相关系统、环节的实际情况,下达其当班生产任务以及一些临时性工作安排,各队要认真组织落实。
(5)凡各区队需下料或上下设备、管子、工字钢、单体支柱,打躲避洞,打绞车基础,铺道,移装岩机等工作时,必须在碰头会或班前会上作计划,凡各单位干零星杂活未向调度室做计划私自安排,造成不良后果,均由该队长负担一切费用,并按照有关文件追究其责任。
(6)每日碰头会,由安检、生产、机电、调度、矿领导针对矿井安全生产过程中存在的问题以及当前阶段性工作任务,提出具体解决办法和安排意见,及时协调各区队和各环节急待解决问题。
3、要求和纪律:
(1)所有按要求参加调度会议的人员,必须准时到会,迟到一次罚款20元,矿会一次罚款50元。确因有事不能参加者,必须事先向矿级领导主管和调度主任请假,否则按旷会论处。
(2)当班调度员必须按时督促碰头会或班前会议所安排的工作任务的完成情况。
(3)开会期间手机必须设为振动或关机状态,响铃一次罚款50元;
(4)各单位对生产中存在的问题及解决方案必须事先沟通,确实需上会时再提出,严禁推诿扯皮。
五、区队干部值班制度:
1、各区队必须在每月1日前,将本队全月干部值班安排表上报调度室,若值班人员有变化时,要及时通知调度室,否则每次罚款50元。
2、区队必须坚持24小时不间断值班制度(在其队部值班),调度室随时查岗,每班不少于一次。
3、若值班人员有事要暂时离开队部时,必须事先向调度室请示,并说明去向,征得同意后,必须安排本队其他人员留守在队部接听电话。
4、若值班干部中途有事要离开矿区时,必须由该队其他干部代替值班,并通知调度室,代替人员到位后,原值班干部方可离开。
5、每发现值班干部脱岗一次,罚款20元;无人值班,罚款50元,并由该值班干部承担因脱岗或空岗所产生的一切不良后果。
6、全矿所有干部及业务主管人员手机必须保持待机状态,发现手机关机,每次处罚200元,并追究责任。
六、跟班干部及工长汇报制度:
1、各采掘队必须由队干部现场跟班,跟班干部对本班的安全生产工作负全责,保证本班生产任务的完成,确保安全工作。
2、跟班干部要坚持每班三次的(向调度室)汇报制度——班初汇报(汇报上班完成情况及遗留问题、当班计划等)、班中汇报(汇报当班工作进展情况)、班末汇报(汇报本班任务完成情况及存在问题)。如有特殊事情,必须及时汇报调度室。
3、当班工长也要坚持每班两次的汇报制度——班初汇报(汇报出勤人数、当班计划等)、班末汇报(汇报本班任务完成情况)。
4、跟班人员和当班工长要按时汇报,迟汇报一次,罚款5元;少汇报一次,罚款10元;不汇报按无跟班或无工长论处,无跟班或无工长者一次罚款50元,罚该队队长100元,并追究有关人员的责任。
5、跟班干部和当班工长必须同本班人员同上同下,发现迟下或早上者,一次罚款30元。
6、跟班人员要认真履行职责,及时向调度室如实汇报情况(例如生产影响和事故等),坚决杜绝虚报瞒报现象的发生,否则,要严格追究当班跟班干部的责任。
七、停工误时管理制度:
1、停工误时是指因设备故障、材料供应、安全质量等原因造成本单位或其它单位生产中断,影响产量进尺和正常生产组织的非人身事故的总称。
各单位需检修的设备必须在前一天提出计划,由调度室主任全面协调后,在当日碰头会上进行安排,但必须规定时间,落实责任人。检修完毕后及时向调度室汇报,调度台做好记录,此期间在规定时间内完成不计本单位误时,否则按误时处理。
所有临时性安排任务归口调度室管理,被安排单位必须无条件立即执行,否则,按照停工误时论处。
2、事故处理程序:
(1)凡发生事故造成生产中断的单位,必须立即汇报矿调度室,跟班干部必须在现场立即组织人员积极抢修、处理,避免事故扩大或误时延长。
(2)各单位的事故处理,必须听从调度室的统一协调指挥,凡不服从者,造成事故扩大或误时延长,按责任划分,予以加倍处罚,并追究部门领导责任。
(3)调度室按事故的影响范围或程度,需调度其它单位人员或物资时,必须无条件服从,积极组织处理,否则按同类事故影响追究责任。
(4)事故单位处理完毕后,跟班干部应立即汇报调度室 ,并对现场工作安排详细说明,调度室做好记录。
3、必须追查处理的事故:
(1)机电事故:造成生产单位停产超过1小时或直接经济损失500元以上的事故。
(2)顶板事故:造成生产中断1小时以上或影响产量100吨以上,进尺1.5米以上的事故。
(3)运输事故:主、副井提升井下运输系统,停运1小时以上,或副提升系统停运2小时,或生产单位停产1小时的事故。
(4)其它事故:造成生产单位或系统影响,影响职工延时1小时以上的事故。
4、事故追查的管理规定:
(1)调度室负责事故追查的组织工作。按事故性质通知分管领导,职能科室、事故单位负责人及事故有关人员按时参加。
(2)对2小时以下的误时,由当日值班人员主持追查;2小时以上的误时由调度主任及有关业务科室参加,生产矿长主持追查。
(3)事故的追查要达到“快、严、细、准”,结果由调度室在追查后4小时内通报全矿。
(4)凡被通知参加追查的人员,必须按时参加,无故不参加者,每次罚款50元。
(5)对事故追查必须尊重客观事实,需查看现场时应及时组织相关人员到现场了解,坚持实事求是的原则。先从管理上查找并分析事故原因,责任必须落实到人,并制定切实可行的防范措施,写出书处理意见,交矿调度室。
5、对事故责任单位及责任者造成经济损失赔偿的规定:
(1)对影响安全生产的误时要进行考核和处理。对造成局部性停工误时的责任单位按1.5元/分钟进行处罚;对造成某一系统或全矿停产误时的对责任单位按3.0元/分钟进行处罚。
(2)事故造成1000元以内经济损失的,由责任者赔偿损失的20%—40%,直接经济损失在1001—5000元者,由责任者赔偿损失的10%—30%,并给予行政警告处分,其余部分由其单位负责赔偿。
(3)对因个人操作不符合规定或擅离职守,而造成设备损坏,由责任者按100%赔偿。
(4)对事故隐瞒不报者,一经查出,每次罚款50元。
(5)事故责任单位及个人罚款、赔偿,经追查小组决定后由调度室月末出据罚单(一式三份,调度、财务、个人各持一份)通知到责任单位及责任者,由财务科执罚。
(6)各单位全月误时超过规定指标,扣干部工资10%。
附:各单位误时控制指标
单位 | 全月误时控制指标 | 备注 |
采煤队 | 16h | |
掘进队 | 8h | 指一个掘进头 |
运一队 | 8h | |
运二队 | 8h | |
机电队 | 12h | |
通维队 | 4h | |
生产 | 0 | |
供应 | 0 | |
销售 | 0 |
为了确保我矿实现安全生产年,进一步完善工伤抢救程序,加强各级领导的安全意识和责任心,使工伤人员能够迅速抢救上井并得以及时治疗,结合我矿实际,特制定如下措施:
1、加强各级领导值班制度和采掘区队现场跟班制度值班期间有事必须向调度室请假,说明去向和电话号码,并能在10分钟内找见,如去处用电话无法联系时,必须找本单位其它领导代替值班,否则不得离开值班岗位,严禁脱岗和空岗。
2、井下发生工伤,工伤所在单位必须立即如实向调度室汇报受伤人单位、姓名、受伤部位、受伤地点、伤势情况,调度室通知该单位领导立即停止一切工作,组织现场人员尽力抢救和井上快速运送受伤人员。
3、调度室接到受伤情况汇报后,做好记录,并按以下程序通知:
(1)立即通知运输大巷(电话8040),停止沿途其他工作,将电车开往出事地点接送工伤人员。
(2)通知副井信号工(电话8034),通知副绞车司机(电话),听到信号后,将罐笼放至下部等待工伤人员。
(3)通知调度值班司机魏锋洲(电话:15091431884)。
(4)通知调度主任周志明(电话15929712697)。
(5)通知当天值班领导。
(6)受伤部位在腰部以上者,立即汇报公司调度中心(电话:6791202)。
(7)通知:何成育王掌学种盈仓王建芳
同战仓李建平宋录才
(8)伤势严重时通知:
张存乾韩对民王全堂王万恒同新立
邓晓奇医院负责人刘建军何兵王忠斌
4、伤员上井后,要积极组织医护人员抢救,必要时送局医院抢救,并及时将情况汇报调度室。
5、调度室通知沿线车辆时间必须在5分钟之内通知完,通知有关领导必须在15分钟之内完成。
6、矿医院接到调度室电话后做好抢救准备工作,如工伤危重,立即在15分钟内带抢救箱,去井口等待进行应急处理,并护送工伤到医院。
矿井各部门负责人电话号码
序号 | 部门职务 | 姓名 | 电话 |
1 | 总经理 | 张存乾 | 13992311359 |
2 | 副总经理 | 王建芳 | 13772766299 |
3 | 副总经理 | 种盈仓 | 13572331879 |
4 | 副总经理 | 王掌学 | 13892384088 |
5 | 副总经理 | 何成育 | 13892384078 |
6 | 副总经理 | 韩对民 | 13992337336 |
7 | 生产负责人 | 刘建军 | 13892524199 |
宋录才 | 13571376914 | ||
8 | 安监负责人 | 李建平 | 13892352862 |
9 | 机电负责人 | 何兵 | 13474457109 |
10 | 技术科负责人 | 同战仓 | 13759689096 |
11 | 供应负责人 | 同新立 | 13892524498 |
12 | 通风负责人 | 王忠斌 | 13772779639 |
13 | 财务负责人 | 王万恒 | 13892573500 |
14 | 劳人负责人 | 王全堂 | 13891312631 |
15 | 后勤负责人 | 邓晓奇 | 13572365990 |
16 | 办公室负责人 | 王社永 | 13892319062 |
17 | 卫生负责人 |
上一页12下一页
第13篇 信息科技部-安全管理中心团队负责人工作职责与职位要求
职位描述:
工作职责:
1、根据总行审计部、风险管理部和信息科技部的战略目标,负责全行信息安全中心的整体规划和设计;
2、建立信息安全体系,将安全工作标准化、公开化。落实多层级的项目管理机制,确保安全体系落地执行;
3、负责研究、分析监管动态、行业信息安全技术发展趋势、同业信息安全动态,对行内信息安全管理水平的提升提出建设性意见;
4、通过对安全工作与安全项目信息汇总、分析,为决策层提供可行性建议和支持;
5、协助开展安全管理工作,对安全工作进行评定,发现存在的风险,督促落实安全问题的解决工作;
6、负责团队的组建和培养,带领团队完成项目任务。
职位要求:
1、计算机相关专业本科以上学历,6年以上安全工作经验;
2、具备扎实的安全理论基础,了解各类安全技术原理,精通业内主流安全趋势,熟悉业界安全攻防动态;
3、具备扎实的信息安全管理理论知识,能把握到监管、合规风向,从而完善信息安全治理方向。
4、具备银行业/互联网企业安全规划和安全系统的建设经验;
5、具备优秀的逻辑思维能力,善于分析问题和解决问题。
6、具备团队管理经验,有相同岗位任职者优先。
第14篇 保密和信息安全管理规定
为了防止信息和技术的泄密,导致严重灾难的发生,特制订本规定:
一、公司秘密包括:
1、公司股东、董事会资料,会议记录、纪要,保密期限内的重要决定事项;
2、公司的年度工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表;
3、公司业务资料,货源情报和对供应商调研资料;
4、公司开发设计资料、技术资料和生产情况;
5、客户提供的一切文件、资料等;
6、公司各部门人员编制、调整、未公布的计划,员工福利待遇资料;
7、公司的安全防范状况及存在问题;
8、公司员工违法违纪的检举、投诉、调查材料,发生案件、事故的调查登记资料;
9、公司、法人代表的印章、营业执照、财务印章、合同协议。
二、公司的保密制度:
1、文件、传真、邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理;
2、凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经碎纸丢弃处理;
3、公司员工本人工作所持有的各种文件、资料、电子文档(便携设备,光盘等),当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,未经批准,不能复制抄录或携带外出;
4、未经公司领导批准,不得向外界提供公司的任何保密资料;
5、未经公司领导批准,不得向外界提供客户的任何资料;
6、妥善保管好各种财务账册、公司证照、印章。
三、电脑保密措施:
1、不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置;
2、未经领导许可,不要打开或尝试打开他人文件,以避免泄密或文件的损坏;
3、对不明来历的邮件或文件不要查看或尝试打开,以避免计算机中病毒,并尽快请电脑室人员来检查。
4、在一些邮件中的附件中,如果有可疑附件时,请先用杀毒软件详细查杀后再使用,或请电脑室人员处理。
5、不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,就立即通知电脑部门外,请专业人员解决;
6、不要随便安装或使用不明来源的软件或程序。不要随便运行或删除电脑上的文件或程序。
7、收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。
8、不向他人披露使用密码,防止他人接触计算机系统造成意外。
9、定期更换密码,如发现密码已泄漏,就尽快更换。公司规定是三个月一换。it部门负责监督。定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。
10、先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名。
11、对于不熟的人员,请不要让其随意使用你的计算机。
12、不要随意将公司或个人的文件发送给他人,或打开给他人查看或使用。
13、在计算机使用或管理上如有任何疑问,请询问电脑室人员。
四、公司的保密措施:
1、公司中层以上领导,要自觉带头遵守保密制度。
2、公司各部门要运用各种形式经常对所属员工进行保密教育增强保密观念。
3、全体员工自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档)。
4、对员工因不遵守公司规定,造成泄密事件,依照有关法规及公司的奖惩规定,给予纪律制裁.解雇,直至追究刑事责任。
第15篇 信息科安全管理职责
一、负责本矿安全隐患信息的收集、分析、汇总、上报。
二、负责当班井下各作业地点的隐患排查信息的收集和上报工作。
三、对一般隐患信息要及时报告当班处置员,在处置员力量不足的情况下,协助处置安全隐患。
四、信息科发现隐患时,有权对井下局部作业地点停止作业,发现重大隐患时有权对全矿井停止作业,撤出人员并及时上报中心。
五、对主扇风机'三薄'记录不健全,附属设施不完善的,要及时上报中心。
六、对采掘工作面无风、微风作业的有权停止。
七、对掘进工作面不进行探放水的,有权停止作业,并进行严厉处罚,建议中心辞退。
八、对当班没有瓦斯员上班的工作面,有权停止当班作业。
九、对作业面瓦斯传感器、一氧化碳传感器不到位的要严厉处罚,对无传感器的要停止作业,撤出人员。
十、对局扇风机无专人管理,无挂牌管理,未实行'风电闭锁'的,有权停止掘进工作面作业。
十一、对洒水、防尘不到位的有权停止作业。
十二、对当班瓦斯员空检、漏检,不执行瓦斯巡回路线的瓦斯员要进行严格处罚。
十三、对当班'三违'人员进行制止、处罚、教育。
十四、参加班前、班后会,收集职工思想安全隐患信息。
十五、对酒后入井、精神状态不振的人员,有权停止当班作业。
十六、对穿化纤衣服,不佩戴自救器的工人,有权停止当班作业。
十七、对带有烟草、引火物品入坑的工人,要进行严厉处罚停工。
十八、对跟班矿长不入坑的,有权停止当班作业。
十九、对当班掘进工作面不探水的,有权停止当班作业。
二十、对带点检修、带点搬迁,有权停止作业,并进行处罚。
二十一、对违章排放瓦斯,有权停止作业并处罚。
二十二、对未经培训无证上岗人员,有权停止入井。
二十三、主要提升设备保护不全,禁止人员入井,对斜井、斜巷五'一坡三档'装置或装置不全,失效的,对不执行'行车不行人,行人不行车'规定的,要及时上报和处罚。
二十四、对人行车无煤安标志、防坠器和制动装置失灵的,有权停止作业并上报中心。
二十五、对不执行'一炮三检'和'三人联锁放炮'的,有权制止和处罚。
二十六、对非爆破工领取雷管,炸药雷管混运,工作面炸药雷管未分箱存放,加锁保管的,有权停工和处罚。
二十七、对炮眼无封泥、封泥不足或填充不实进行爆破的,有权停工和处罚。
二十八、对掘进工作面空顶作业,回采工作面端头支护不到位,有权停工处罚并上报中心。
二十九、对井下施工质量不达标准,有权停止作业并上报中心。
88位用户关注
98位用户关注
86位用户关注
87位用户关注
49位用户关注
72位用户关注
78位用户关注
10位用户关注
46位用户关注
14位用户关注