信息安全技术信息系统安全工程管理要求
1 范围
本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。
本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。
本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求
GB/T 20271-2006 信息安全等级保护信息系统安全管理要求
3 术语和定义
下列术语和定义适用于本标准。
3.1
安全工程security engineering
为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
3.2
安全工程的生存周期security engineering lifecycle
在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。
3.3
安全工程指南security engineering guide
由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
脆弱性vulnerability
能够被某种威胁利用的某个或某组资产的弱点。
3.5
风险risk
某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.6
需求方owner
信息系统安全工程建设的拥有者或组织者。
3.7
实施方developer
信息系统安全工程的建设与服务的提供方。
3.8
第三方third party
独立于需求方、实施方,从事信息系统安全工程建设相关活动的中立组织或机构。
3.9
项目project
项目是各种相关实施活动和资源的总和,这些实施活动和资源用于开发或维护信息安全工程。一个项目往往有相关的资金,成本账目和交付时间表。
3.10
过程process
把输入转化为输出的一组相关活动。
过程管理process management
一系列用于预见、评价和控制过程执行的活动和体系结构。
4 安全工程体系
4.1 概述
在整个工程范围内确定了不同等级工程的具体要求构成了安全工程管理要求体系。通过这个体系从安全工程中分离出实施和保证的基本特征,立信息系统安全分级保护要求与工程管理的关系。
4.2 安全工程目标
理解需求方的安全风险,根据已标识的安全风险建立合理的安全要求,将安全要求转换成安全指南,这些安全指南指导项目实施的其它活动,在正确有效的安全机制下建立对信息安全的信心和保证;判断系统中和系统运行时残留的安全脆弱性,及其对运行的影响是否可容忍(即可接受的风险),使安全工程成为一个可信的工程活动,能够满足相应等级信息系统设计的要求。
4.3 基本关系
安全工程由安全等级、保证与实施要求两个维度组成,不同等级要求的安全工程对应不同的保证与实施要求。其中保证是由资格保证要求和组织保证要求构成,实施是由工程实施要求和项目实施要求构成。资格保证要求表示信息安全工程中对应具备一定能力级别的实施方或与工程相关第三方资质的要求;组织保证要求表示信息安全工程过程要求中对需求方组织保证的要求;工程实施要求表示信息安全工程中对安全实施过程的要求;项目实施要求表示信息安全工程中对项目实施过程的要求。
5 资格保证要求
5.1 系统集成资质要求
国家主管部门认可的系统集成资质。
5.2 人员资质要求
国家主管部门认可的安全服务人员资质。
5.3 第三方服务要求
国家主管部门认可的服务单位资质。
5.4 安全产品要求
信息安全产品应具有在国内生产、经营、销售的许可证,并符合相应的等级。
5.5 工程监理要求
5.5.1 应具备信息安全系统建设工程实施监理管理制度。
5.5.2 系统聘请专业监理公司,且监理公司具有国家主管部门认可监理资质证书。
5.6 法律、法规、政策符合性要求
系统应符合国家相关的法律、法规和政策。
6 组织保证要求
6.1 定义组织的系统工程过程
6.1.1 基本要求
应为系统工程定义一套标准有明确目标的过程,这套标准的过程可以通过裁剪应用于定义新工程项目的过程。
6.1.2 制定过程目标
6.1.2.1 从组织的应用目标出发为组织的系统工程过程制定目标。
6.1.2.2 系统工程过程在业务环境中运行,为了使组织的标准实现制度化,该目标应得到明确的认可;
这个过程的目标应考虑财力、质量、人力资源和对业务成功起重要作用的问题。
6.1.3 收集过程资产
6.1.3.1 收集和维护系统工程过程资产。
6.1.3.2 在组织和项目层次中,由过程定义活动所产生的信息都需要存储(在过程资产库中),使得那些剪裁、过程设计活动中的资产能被使用人理解,并得到维护与保持。
6.1.4 开发组织的系统工程过程
6.1.4.1 为组织开发一个充分定义的标准系统工程过程。
6.1.4.2 在开发组织的标准系统工程过程中,可能使用到过程资产库中的设备;在开发任务时,可能需要一些新的过程资产,应该将这些资产添加到过程资产库中;应该将组织的标准系统工程过程置于过程资产库中。
6.1.5 定义剪裁指南
定义剪裁组织的标准系统工程过程的指南,该指南在开发项目的定义过程中使用。
6.2 改进组织的系统工程过程
6.2.1 基本要求
应实施测量和改进系统工程过程的连续活动,以标准系统工程过程定义为基础,通过不断改进活动提高组织系统工程过程的效益和效率。
6.2.2 评定过程
6.2.2.1 评定组织中现有的执行过程以便了解它们的强项和弱项,了解组织现有的执行过程的强项和弱项是建立改进活动基线的关键;
6.2.2.2 评定时应考虑过程执行的测量与课程学习过程;评定可以多种形式进行,评定方法的选择应与文化和组织需求相匹配。
6.2.3 规划过程改进
应基于对潜在改进所产生影响的分析,为组织制订过程改进计划,以达到过程的目标。
6.2.4 改变标准过程
改变组织的标准系统工程过程以便反映目标的改进。
6.2.5 沟通过程改进
适当地同现有项目和其它有相关团体共同沟通过程的改进。
6.3 管理系列产品演化
6.3.1 基本要求
应通过引进服务、设备和新技术实现产品更新与工程费用降低,获取工程进度和执行的最佳收益。
6.3.2 定义产品演化
6.3.2.1 定义要提供产品的类型。
6.3.2.2 定义支持组织战略目标的系列产品。
6.3.2.3 考虑组织的强项和弱项、竞争力、潜在的市场份额和可利用的技术。
6.3.3 标识新生产技术
6.3.3.1 标识新生产技术或加强基础设施建设,将有助于组织获取、开发和应用新生产技术来提高竞争优势。
6.3.3.2 确定可能引入到系列产品的新生产技术,为确定新技术和基础设施改进而建立并能维护的原始资料和方法。
6.3.4 适应开发过程
6.3.4.1 在产品开发周期中采取必要的变动以支持新产品的开发。
6.3.4.2 适应组织的产品开发过程,熟悉并利用准备在将来使用的组件。
6.3.5 确保关键组件的可用性
6.3.5.1 确保关键组件都可利用,并可以支持有计划的产品改进。
6.3.5.2 组织应确定产品系列的关键组件及其可用性的计划。
6.3.6 插入产品技术
6.3.6.1 将新的技术插入到产品开发、市场营销和制造过程中。
6.3.6.2 管理将新技术引入到系列产品的工作(包括现有产品系列组件的改进、新组件的引进);标识和管理与产品设计变化有关的风险。
6.4 管理系统工程支持环境
6.4.1 基本要求
应能够为不同需求的系统工程提供支持环境,并可以通过剪裁适应不同的项目。根据技术、环境状态的变化对支持环境进行改进。
6.4.2 维持技术认识
6.4.2.1 维持对支持实现组织目标的那些技术的认识。
6.4.2.2 对工艺现状或实施现状应该插入新的技术,组织应具有对新技术的充分认识。
6.4.3 确定支持需求
根据组织的需要确定组织的系统工程支持环境的需求。
6.4.4 获得系统工程支持环境
6.4.4.1 获得一个系统工程支持环境,该环境要满足在确定支持需求中通过利用分析候选解决要求项的实施而建立的要求。
6.4.4.2 针对所需的系统工程支持环境,确定其评价标准和潜在的候选解决方案;利用分析候选解决要求项选择一个解决方案;得到并实现所选的系统工程支持环境。
6.4.5 剪裁系统工程支持环境
剪裁系统工程支持环境,以满足单个项目的要求。
6.4.6 插入新技术
6.4.6.1 根据组织的应用目标和项目需要将新技术插入到系统工程支持环境中。
6.4.6.2 组织的系统工程支持环境应用新技术更新,并要支持组织的应用目标及工程需要;在系统工程支持环境中,应提供使用新技术的培训。
6.4.7 维护环境
6.4.
7.1 维护系统工程支持环境以持续支持依赖该环境的项目。
6.4.
7.2 维护活动包括计算机系统管理、培训、热线支持、专家的作用、发展或者扩充一个技术库等。
6.4.8 监视系统工程支持环境
6.4.8.1 监视系统工程支持环境以发现改进的机会。
6.4.8.2 确定影响系统工程支持环境有用性的因素,包括任何新插入的技术;监视新技术和整个系统工程支持环境的接受情况。
6.5 培训
6.5.1 基本要求
应建立一套完整的培训体系,能够为员工提供满足组织需求并适用于系统工程活动的,及时有效的知识与技能培训。
6.5.2 确定培训要求
6.5.2.1 以项目的要求、组织的战略计划和现有的员工技能情况为指导,确定组织在技能与知识方面所需的改进。
6.5.2.2 综合现有的程序、组织的战略计划和现有员工的技能等各方面信息确定这些要求。
6.5.3 选择知识或技能的获取模式
6.5.3.1 评价和选择通过培训或其它资源获取知识或技能的适当模式。
6.5.3.2 应确保所选择的方法是最佳的,以使得所需技能和知识对项目及时有效。
6.5.4 确保技能和知识的可用性
确保技能和知识对系统工程活动是适用的。
6.5.5 准备培训材料
6.5.5.1 根据确定的培训要求准备培训材料。
6.5.5.2 为每一个由组织内部人员建成的班编制培训材料,或为每一个已存在的班准备培训材料。
6.5.6 培训人员
6.5.6.1 培训教员要具备执行赋予他们的角色的技能与知识。
6.5.6.2 要根据培训计划和编制的材料进行人员培训。
6.5.7 评估培训的有效性
6.5.
7.1 评估培训的有效性以满足所确定的培训要求。
6.5.
7.2 评估有效性的方法应与培训计划编制和培训材料的拟定同时列出;应及时获取有效性评估的结果,以便对培训做出相应调整。
6.5.8 维护培训记录
6.5.8.1 维护培训与取得经验的记录。
6.5.8.2 维护记录以追踪每个人员接受培训的情况,以及受训后的技能和能力。
6.5.9 维护培训材料
6.5.9.1 维护知识库中的培训材料。
6.5.9.2 维护知识库中的课件材料以供员工今后访问,并且在课程材料变动时可供跟踪。
6.6 与供应商协调
6.6.1 基本要求
应能够根据工程的需求建立与维护供应商的关系,确保供应商能够为系统工程提供满足要求的产品或服务。
6.6.2 确定系统的组件或服务
确定应由其它外部组织提供的系统组件或服务。
6.6.3 确定胜任的供应商或销售商
6.6.3.1 标识在特定领域中具有专门技术的供应商。
6.6.3.2 供应商的能力包括胜任开发过程、制造过程、验证责任、及时交付、生存周期支持过程及远程有效通信能力,上述能力应符合本组织的各项要求。
6.6.4 选择供应商或销售商
6.6.4.1 依照
7.1选择供应商。
6.6.4.2 以合乎逻辑和公平的方式选择供应商以满足产品的目标;提供最能弥补本组织能力的供应商特征,标识合格的候选者;通过要求项
7.1“管理安全控制”的实施来选择出合适的供应商。
6.6.5 提出要求
6.6.5.1 对供应商提出组织对系统组件或服务的要求、期望和效果指标。
6.6.5.2 在合同签署时组织应将它的要求和期望清楚地指明并排出优先顺序,并且要指明对供应商方面的所有限制;组织要与供应商密切合作,使其充分了解产品达到的要求和自己要承担的责任,并达成相互理解。
6.6.6 维持沟通
6.6.6.1 与供应商维持及时的双向沟通。
6.6.6.2 组织与供应商要对期望的和所需的沟通建立相互谅解。所建立的沟通的特点包括:双方公认的公开的没有任何限制的信息类型,受限的信息类型(如策略或合同关系),所期望的信息请求与回应的及时性,用于沟通的工具和方法,安全,保密以及期望的分布情况。
7 工程实施要求
7.1 管理安全控制
7.1.1 基本要求
应保证系统在运行状态下达到设计预期的安全特性,安全控制措施被配置且能正常使用。
7.1.2 建立安全职责
7.1.2.1 建立安全控制措施的职责和责任并通知到组织中的每一个人。
7.1.2.2 本项目应该保证承担相应安全责任的人员是负责的,并获得相应的授权;应该保证采用的所有安全控制措施是明确的,并被广泛和一致地应用。
7.1.3 管理安全措施的配置
7.1.3.1 所有设备的安全配置都需要管理。
7.1.3.2 管理系统安全控制措施的配置。
7.1.4 管理安全意识、培训和教育大纲
7.1.4.1 组织和管理对所有员工进行安全意识的培训和教育。
7.1.4.2 管理所有的需求方和管理员的安全意识、培训和教育大纲。
7.1.5 管理安全服务及控制机制
7.1.5.1 安全服务及控制机制的一般管理类似于其它服务及机制的管理,包括保护它们避免损伤、偶然事故和人为故障,并根据法律和政策要求进行整理并归档。
7.1.5.2 对安全服务及控制机制进行定期的维护和管理。
7.2 评估影响
7.2.1 基本要求
应标识对该系统有关系的影响,并对发生影响的可能性进行评估。
7.2.2 对影响进行优先级排列
对在系统中起关键作用的运行、业务或任务的能力进行标识、分析和按优先级排列。
7.2.3 标识系统资产
7.2.3.1 对支持系统的安全目标或关键性能力(运行,业务或任务功能)进行标识。
7.2.3.2 对必需的系统资源和数据进行标识;通过对给定环境中提供这种支持的每项资产的意义进行评估,来对每项资产进行定义。
7.2.3.3 对支持系统的关键性运行能力或安全目标的系统资产进行标识和特征化。
7.2.4 选择影响的度量
应预先确定适合的度量用于评估影响。
7.2.5 标识度量关系
标识所选影响的评估度量与度量转换因子之间的关系。
7.2.6 标识和特征化影响
利用多重度量或统一度量的方法对意外事件的意外影响进行标识和特征化。
7.2.7 监视影响
监视影响中的变化,本条与7.8.3中的通用性监视活动紧密相连。
7.3 评估安全风险
7.3.1 基本要求
应对在特定环境中运行该系统相关的安全风险进行标识与评价,并按照一定的方法对风险问题进行优先级排序。
7.3.2 选择风险分析方法
7.3.2.1 本要求项包括定义用于标识给定环境中的系统安全风险的方法,该方法是对安全风险进行分析、评估和比较;应该包括一个对风险进行分类和分级的方案,其依据是威胁、运行功能、已建立的系统脆弱性、潜在损失、安全需求等相关问题。
7.3.2.2 选择用于分析、评估和比较给定环境中系统安全风险所依据的方法、技术和准则。
7.3.3 标识安全风险
7.3.3.1 标识该风险,认识这些威胁和脆弱性的利害关系,进而标识出威胁和脆弱性造成的影响;这些风险在选择系统保护措施中应予以考虑。
7.3.3.2 标识威胁/脆弱性/影响三组合(风险)。
7.3.4 评估安全风险
7.3.4.1 标识每个风险出现的可能性。
7.3.4.2 评估与每个风险有关的风险。
7.3.5 评估总体不确定性
7.3.5.1 每种风险都有与之相关的不确定性;总体风险不确定性是在7.4.6“评估威胁的可能性”中已被标识的威胁、脆弱性和影响及其特征不确定性的积累、7.4.6“评估威胁的可能性”、7.5.4“收集脆弱性数据”以及7.3.6“安全风险优先级排列”。本要求项与7.6“建立保证论据”密切相关,因为证据能用于追踪修改,从而在某种输入下降低不确定性。
7.3.5.2 评估与该风险有关的总体不确定性。
7.3.6 安全风险优先级排列
7.3.6.1 已经被标识的风险应以组织优先权、风险出现的可能性与这些因素相关的不确定性和可用财力为依据进行排序;风险可以被减轻、避免、转移或接受,也可以使用这些措施的组合。“减轻”这一措施能够对付威胁、脆弱性、影响或风险本身;安全措施的选择要适当考虑到.10“指定安全要求”
中的要求,业务优先级和整个系统体系结构。
7.3.6.2 按优先级对风险进行排列。
7.3.7 监视安全风险及其特征
7.3.7.1 定期地检查新的风险,本条与7.8.3“监视变化”中一般性监视活动紧密相联。
7.3.7.2 监视安全风险频度变化和风险特征的变化。
7.4 评估威胁
7.4.1 基本要求
应标识安全威胁及其性质和特征,对系统安全的威胁进行标识和特征化;应定期地对威胁进行监视,以保证由本要求项所产生的安全理解始终得到维持。
7.4.2 标识自然威胁
标识由自然原因引起的相应威胁。
7.4.3 标识人为威胁
标识由人为偶然原因引起的威胁与故意行为引起的威胁。
7.4.4 标识威胁的测量尺度
7.4.4.1 对可能在特定位置中出现的预料事件,应根据具体情况建立最大和最小测量单位范围。
7.4.4.2 标识特定环境中相应的测量尺度和适用范围。
7.4.5 评估威胁影响的效果
7.4.5.1 确定对系统进行成功攻击的黑客潜在的能力。
7.4.5.2 评估由人为原因引起的威胁影响的动因和结果。
7.4.6 评估威胁的可能性
对威胁事件如何发生的可能性进行评估,评估出现威胁事件的可能性。
7.4.7 监视威胁及其特征
7.4.7.1 有规律地对现有威胁及其特征进行监视,并检查新的威胁;本条与7.7.2“定义协调目标”的一般化监视活动紧密相连。
7.4.7.2 监视威胁范围中不断的变化以及相应特征的变化。
7.5 评估脆弱性
7.5.1 基本要求
应标识和特征化系统的安全脆弱性。实施系统资产分析、定义特殊的脆弱性以及提供对整个系统脆弱性的评估,并获得对一确定环境中系统安全脆弱性的理解。
7.5.2 选择脆弱性分析方法
7.5.2.1 所有分析应在预先安排和指定时间内,在一个已知的并记录有配置的框架内进行;分析的方法论应包括预期结果;分析的特定目标应陈述清楚。
7.5.2.2 选择对一确定环境中系统安全脆弱性进行标识和特征化的方法、技术和标准。
7.5.3 标识脆弱性
7.5.2中研究过的脆弱性分析方法论应延伸到对脆弱性的证实;所有发现的系统安全脆弱性应予以记录、标识。
7.5.4 收集脆弱性数据
收集与脆弱性相关的数据。
7.5.5 综合系统脆弱性
分析哪些脆弱性或脆弱性的组合会对系统造成问题,所有分析应标识出该脆弱性的特征;评估由特定脆弱性和特定脆弱性组合所产生的系统脆弱性与总体脆弱性。
7.5.6 监视脆弱性及其特征
7.5.6.1 本项要求与7.8.3“监视变化”中变化的一般性监视活动紧密相连。
7.5.6.2 监视脆弱性及其特征的连续变化。
7.6 建立保证论据
7.6.1 基本要求
应对需求相关的保证证据进行标识和定义,包括证据的产生和分析的活动,包括支持保证需求所需的附加证据、文档清单和过程以及那些能清晰地向需求方提供已满足其安全需求的证据。
本项目要求建立保证证据有关的活动记录,包括管理、标识、计划、封装和提交安全保证证据。
7.6.2 标识保证目标
7.6.2.1 标识安全保证目标。
7.6.2.2 系统安全保证目标应规定强制性系统安全策略的保密性等级;目标的充分性由开发者、集成者、需求方和签名授权者确定。
7.6.2.3 新的和修改过的安全保证目标的标识应与所有内部和外部工程组织等安全相关性团体保持协调一致。
7.6.2.4 对安全保证目标进行修改的内容需及时解释其中变化。
7.6.2.5 安全保证目标应清晰地沟通。
7.6.3 定义保证策略
7.6.3.1 规划并确保正确地实现强制性安全目标;通过实现安全保证策略所产生的证据应(向系统签名授权者)提供一个可接受的保密性等级,此等级安全的测量足以管理安全风险。通过开发并颁布安全保证策略,获得对保证的相关活动进行有效管理;工程早期应对需求相关的保证进行的标识和定义产生必要的支持证据;通过不断外部协调,对保证需求方需求的满意程度进行理解和监视,确保高质量组合保证要求。
7.6.3.2 为所有保证目标定义一个安全保证策略。
7.6.4 控制保证证据
安全保证证据通过与所有工程实施要求项相互配合,在安全保证策略内标识出的不同层面抽象的证据的方法进行收集;证据应受到控制。
7.6.5 分析证据
对安全保证证据进行分析,保证工程产品相对于基线系统是完善和正确的。
7.6.6 提供保证论据
7.6.6.1 开发出一个完整的证明与安全目标一致的安全保证论据,并提供给需求方;保证论据是由多层抽象中获得的保证证据的组合所支持的一系列声明性保证目标;应对提交证据中的缺陷和安全保证目标中的缺陷进行评审。
7.6.6.2 提供证明需求方安全需求得到满足的安全保证性论据。
7.7 协调安全
7.7.1 基本要求
应协调并保持安全工程所涉及到安全组织、其他工程组织和外部组织之间的关系;以保证所有部门都有一种参与安全工程的意识。
7.7.2 定义协调目标
定义和建立与其他组织之间的联系和义务关系;这些关系应被全体参与部门所接受。
7.7.3 标识协调机制
标识安全工程的协调机制,明确协调机制实现的方法。
7.7.4 促进协调
7.7.4.1 确保不同优先级的不同组织间进行沟通有可能发生的一些冲突和争端以合适的、富有成果的方式得到解决。
信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求 GB/T 20271-2006 信息安全等级保护信息系统安全管理要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全工程security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。 3.2 安全工程的生存周期security engineering lifecycle 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 3.3 安全工程指南security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
安全工程学习心得(精选3篇) 安全工程学习心得一:安全工程导论学习学习心得经过半个学期的学习,使我对安全工程这门专业的特色,成立的历史和现在的状况,以及未来的发展有了一定的了解。也让我认识到将来在安全专业这方面的领域的所应具备的素质和能力以及应当担当的责任有了一定的认识。 安全工程是以人类生产,生活活动中发生的各种事故为主要研究对象,通过对事物的研究分析,运用安全理论,安全技术和安全管理等方面的知识,识别和预测生产,生活动中潜在的不安全因素,并采取有效地措施防止事故的科学技术和知识体系。其中安全管理是运用安全心理学,经济学,管理学,和法律等方面的知识,对生产和建设过程监督管理的一个知识体系。 一直以来,人类一直面对各种各样的自然灾害诸如地震,海啸,火山喷发,泥石流。从工业革命后,人类的工业生产活动不断地频繁起来,伴随而来的是各种各样的安全隐患和安全事故。在我国每年的都有因为矿难而死去的矿工,在各其他行业中也存在着许多不安全施工而带来人员伤亡。而在石油行业中,一旦事故发生,带来的不仅仅仅是经济损失和人员伤亡,还会严重的波及到环境污染和生态和环境的破坏,带来的这种持久性的灾害是远远不可估量的。因此安全问题不旦是个人人身安全问题,还关乎企业发展,社会和谐,国家安定等关键因素。 作为一个安全工程本科毕业生。我们又该怎样学还这门专业呢, 将来又如何为社会和企业做出奉献呢?在我看来,我们首先要学好本专业的基础课程和专业知识,并努力将所学的知识运用到实践中去。另外,除了丰富我们的专业知识外,还要掌握和了解各方面,各领域的知识,这不仅开阔了我们的大脑,也能使我们在处理安全问题,分析安全隐患时能够做到更加的周到,从而做到防范于未然。 安全工程在我国做为一门新兴的行业。这些年来一直迅猛的发展着。然而在实际的生活,生产活动中并没有受到足够的重视。在些时候甚至是处于可有可无的状态,这不仅仅是因为安全工程本身并没又带来直接的经济利益而不被领导者看重,还涉及到国家的法律法规不够完善,人们没有形成良好的思想观念,和安全技术没能够及时更新,安全管理不合理的综合因素。在这种情况下,可见我们面临的挑战是多么的巨大与艰辛。 作为一名安全专业的本科生的我对未来的安全发展以及中国的安全行业如入做到全球第一有以下关于几方面的看法和建议: 首先在教育上,在这里我有一个构想,这个构想就是构建一个超级学习网络。让安全教育网络化,精英化。这个网络科将全世界的安全人才都聚集在一起分享他们的学习经验,并将生活中出现的安全问题都可以放到这个网站中供大家一起分享解决。靠集体的智慧来解决生活,
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
高校名称院系名称学位层次 中国矿业大学安全工程学院本科、硕士、博士【国家重点学科】 中国矿业大学(北京)资源与安全工程学院本科、硕士、博士【国家重点学科】 中南大学资源与安全工程学院本科、硕士、博士【国家重点学科】 北京科技大学土木与环境工程学院本科、硕士、博士【国家重点学科】 西安科技大学能源学院本科、硕士、博士【国家重点学科】 中国科学技术大学工程科学学院本科、硕士、博士【国家重点(培育)学科】辽宁工程技术大学安全科学与工程学院本科、硕士、博士【国家重点(培育)学科】东北大学资源与土木工程学院本科、硕士、博士 重庆大学资源环境科学学院本科、硕士、博士 山东科技大学资源与环境学院本科、硕士、博士 安徽理工大学能源与安全学院本科、硕士、博士 河南理工大学安全学院本科、硕士、博士 北京理工大学机电工程学院本科、硕士、博士 中国地质大学(武汉)工程学院本科、硕士、博士 中国地质大学(北京)工程技术学院本科、硕士、博士 太原理工大学矿业工程学院本科、硕士、博士 北京理工大学机电学院本科、硕士、博士 中国石油大学(华东)机电工程学院本科、硕士、博士 南京工业大学城市与安全学院本科、硕士 中国民航大学安全科学与工程学院本科、硕士 沈阳航空航天大学安全工程学院本科、硕士 首都经济贸易大学安全与环境工程学院本科、硕士 常州大学环境与安全工程学院本科、硕士 江苏大学环境学院本科、硕士 湖南科技大学能源与安全工程学院本科、硕士 昆明理工大学国土资源工程学院本科、硕士 华南理工大学机械与汽车工程学院本科、硕士 南京理工大学化工学院本科、硕士 天津理工大学环境科学与安全工程学院本科、硕士 福州大学环境与资源学院本科、硕士 中北大学[太原]化工与环境学院本科、硕士 江西理工大学[赣州]资源与环境工程学院本科、硕士 广西大学材料科学与工程学院本科、硕士 西南交通大学交通运输与物流学院本科、硕士 西南科技大学[绵阳]环境与资源学院本科、硕士 西安建筑科技大学材料与矿资学院本科、硕士 武汉科技大学资源与环境工程学院本科、硕士 长安大学地质工程与测绘学院本科、硕士 南开大学环境科学与工程学院本科、硕士 北京交通大学交通运输学院本科、硕士 哈尔滨理工大学测控技术与通讯工程学院本科、硕士 贵州大学矿业学院本科、硕士 大连交通大学交通运输工程分院本科、硕士 兰州理工大学石油化工学院本科、硕士
信息系统安全管理规定 1 信息系统安全管理的基本要求 1.1 信息系统安全管理原则 信息系统安全管理按照“三同步”原则进行,即同步设计、同步建设、同步运行。 1.2 信息系统安全的管控方式 信息系统安全管理工作由公司信息化委员会统一领导,信息系统管理部归口管理,信息管理部门负责,相关业务部门密切配合。 2 各级管理部门职责 2.1 公司信息系统管理部负责公司信息系统安全工作的归口管理,负责全局性信息系统安全统一规划、统一建设、统一部署、统一协调和监督检查;负责公司层面信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;指导企业信息系统安全工作。 2.2 公司信息管理部门负责公司信息系统安全建设和管理工作,行使防范与保护、监控与检查、响应与处置职能;接受信息系统管理部信息安全管理。 2.3 业务部门负责本部门相关业务信息系统应用和数据安全,配合信息管理部门做好日常信息系统安全工作。 3 信息系统安全管理内容与方法 3.1组织和人员安全管理 3.1.1 公司信息化委员会下设信息系统安全工作组,由信息系统管理部牵头,负责各部门间的信息系统安全协调工作和紧急事件的应急指挥,为信息化委员会提供信息系统安全管理方面的建
议。 3.1.2 设备工程部设立信息系统安全管理岗位,对公司信息系统安全实施统一管理。依据不相容原则,信息系统设置安全管理员,负责落实信息系统安全管理制度的有关要求,检查信息系统安全管理日常工作,负责对系统管理员、应用管理员等人员操作的审查,检查信息安全设备和软件配置情况,协助处理安全威胁、违例行为和其他信息安全突发事件。 3.1.3 建立信息系统关键岗位制度。对信息系统设计、建设、运维和应用中直接接触或使用重要、敏感信息的关键岗位进行管理,关键岗位包括安全管理员、应用管理员、系统管理员、数据库管理员、开发人员等有关信息技术岗位和业务岗位。涉及业务的关键岗位由业务部门具体负责并报信息管理部门备案。 3.1.4 设备工程部和业务部门分别对公司信息系统关键岗位人员的资格、职责、权限、培训、考核、监督进行管理,并报人事部门备案。设备工程部每年向公司信息系统管理部上报本单位信息系统关键岗位的设置和人员情况。 3.1.5 设备工程部负责对公司信息系统建设、运行、维护的第三方单位相关资格进行审查,签署信息安全协议书,并对执行情况进行检查。 3.1.6 设备工程部协助人事部门组织信息系统安全教育和培训,将信息系统安全培训纳入公司年度培训计划。 3.2 信息系统安全等级保护 3.2.1 信息系统安全保护等级划分是在国家信息系统安全保护等级基础上,结合公司实际情况,定为五个级别,分为Ⅰ级、Ⅱ级(A、B)、Ⅲ级(A、B)、Ⅳ级、Ⅴ级:
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息系统安全管理制度 目录 信息安全管理制度............................... 计算机管理制度................................. 机房管理制度................................... 网络安全管理制度............................... 计算机病毒防治管理制度......................... 密码安全保密制度............................... 涉密和非涉密移动存储介质管理制度............... 病毒检测和网络安全漏洞检测制度................. 案件报告和协查制度............................. 网络资源管理...................................
信息安全管理制度 为维护公司信息安全,保证公司网络环境的稳定,特制定本制度。 第一条信息安全是指通过各种计算机、网络(内部信息平台)和密码技术,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。具体包括以下几个方面。 1、信息处理和传输系统的安全。系统管理员应对处理信息的系统进行详细的安全检查和定期维护,避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。 2、信息内容的安全。侧重于保护信息的机密性、完整性和真实性。系统管理员应对所负责系统的安全性进行评测,采取技术措施对所发现的漏洞进行补救,防止窃取、冒充信息等。 3、信息传播安全。要加强对信息的审查,防止和控制非法、有害的信息通过本委的信息网络(内部信息平台)系统传播,避免对国家利益、公共利益以及个人利益造成损害。 第二条涉及国家秘密信息的安全工作实行领导负责制。 第三条信息的内部管理 1、各科室(下属单位)在向网络(内部信息平台)系统提交信息前要作好查毒、杀毒工作,确保信息文件无毒上载; 2、根据情况,采取网络(内部信息平台)病毒监测、查毒、杀毒等技术措施,提高网络(内部信息平台)的整体搞病毒能力; 3、各信息应用科室对本单位所负责的信息必须作好备份; 4、各科室应对本部门的信息进行审查,网站各栏目信息的负责科室必须对发布信息制定审查制度,对信息来源的合法性,发布范围,信息栏目维护的负责人等作出明确的规定。信息发布后还要随时检查信息的完整性、合法性;如发现被删改,应及时向信息安全协调科报告;
系统安全管理规范 一、系统安全管理 1.信息系统的安全管理包括:数据库安全管理和网络设备设施 安全管理。 2.系统负责人和信息科技术人员必须采取有效的方法和技术, 防止网络系统数据或信息的丢失、破坏和失密。 3.利用用户名对其它用户进行使用模块的访问控制,以加强用 户访问网上资源权限的管理和维护。 4.用户的访问权限由系统负责人提出,领导小组核准。 5.系统管理人员应熟悉并严格监督数据库使用权限、用户密码 使用情况,定期更换用户口令密码。 6.信息科技术人员要主动对网络系统实行查询、监控,及时对 故障进行有效的隔离、排除和恢复工作。 7.所有进入网络使用的光盘、移动介质,必须经过中心负责人 的同意和检毒,未经检毒杀毒的软盘,绝对禁止上网使用。 对造成“病毒”漫延的有关人员,应给予经济和行政处罚。 8.对信息系统的软件、设备、设施的安装、调试、排除故障等 由信息科技术人员负责。其他单位和个人不得自行拆卸、安装任何软、硬件设施。 9.所有内网计算机绝对禁止进行国际联网或与院外其他公共网 络联接。
10.所有上网操作人员必须严格遵守计算机以及其他相关设 备的操作规程,禁止其他人员在工作进行与系统操作无关的工作。 11.对计算机病毒和危害网络系统安全的其他有害数据信息 的防治工作,由信息科负责处理。 二、系统安全监督 1.信息管理部门对信息系统安全保护工作行使下列监督职权。 2.监督、检查、指导信息系统安全维护工作; 3.查处危害信息系统安全的违章行为; 4.履行信息系统安全工作的其他监督职责; 5.信息科技术人员发现影响信息安全系统的隐患时,可立即采 取各种有效措施予以制止。 6.信息科技术人员在紧急情况下,可以就涉及信息安全的特定 事项采取特殊措施进行防范。 三、责任 违反本规则的规定,有下列行为之一的,由信息工程技术人员以口头形式警告、撤消当事人上网使用资格或停机。 1)违反信息系统安全保护制度,危害网络系统安全的。 2)接到信息科技术人员要求改进安全状况的通知后,拒不 改进的。 3)不按照规定擅自安装软、硬件设备。 4)私自拆卸更改上网设备。
安全工程专业学什么附学习科目和课程安全工程专业学什么附学习科目和课程 安全工程专业介绍安全学科是理、工、文、法、管、医等学科的新兴、综合、交叉学科,在教育部高校专业专业目录中,安全工程专业与环境工程专业同属环境与安全类一级学科。 安全工程专业就业前景城市面貌的巨大变化与建筑业及其相关行业的蓬勃发展休戚相关,特别是随着专业人员执业资格制度的推行、现代企业制度的建立和我国加入WTO,全国建筑业及其相关行业对各类专业人员的学历水平和素质要求越来越高,尤其是对工程管理高级人才(项目管理工程师、造价工程师、监理工程师等)将有不断增长的需求。 安全工程专业学习课程燃烧与爆炸学、安全工程学、通风空调与净化、安全监测与监控、职业卫生学、流体力学与流体机械、工程热力学与传热学、分析化学与物理化学等。 安全工程专业培养目标与要求培养能从事安全技术及工程、安全科学与研究、安全监察与管理、安全健康环境检测与监测、安
全设计与生产、安全教育与培训等方面复合型的高级工程技术人才。 本专业学生主要学习矿山与地下建筑、交通、航空航天、工厂、物业、商厦与地面建筑的灾害防治技术及工程和通风、净化与空气调节、安全监测与监控、安全原理、安全系统工程、安全监察和管理等专业知识和实践。 安全工程专业必备能力1.具有较扎实的自然科学基础,较好的人文社会科学基础和外语语言综合能力; 2.掌握流体力学、工程热力学与传热学、工程力学、分析化学与物理化学、燃烧学与爆炸学; 3.掌握安全原理、安全人机工程和安全系统工程等基础知识; 4.掌握电子学、电工学及安全检测与监测仪表与技术; 5.掌握安全工程、通风与空气调节工程设计、施工、监察和管理的知识与能力; 6.掌握应用计算机进行安全工程与通风工程设计、模拟、计算机管理等方面的能力。
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
本文从网络收集而来,上传到平台为了帮到更多的人,如果您需要使用本文档,请点击下载,另外祝您生活愉快,工作顺利,万事如意! 网络安全信息系统管理制度 计算机信息网络单位应当在根河市网络安全主管部门监督指导下,建立和完善计算机网络安全组织,成立计算机网络安全领导小组。 1、确定本单位计算机安全管理责任人和安全领导小组负责人(由主管领导担任),应当履行下列职责: (一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策; (二)拟定并组织实施本单位计算机信息网络安全管理的各项规章制度; (三)定期组织检查计算机信息网络系统安全运行情况,及时排除各种安全隐患; (四)负责组织本单位信息安全审查; (五)负责组织本单位计算机从业人员的安全教育和培训; (六)发生安全事故或计算机违法犯罪案件时,立即向公安机关网监部门报告并采取妥善措施,保护现场,避免危害的扩散,畅通与公安机关网监部门联系渠道。
2、配备1至2名计算机安全员(由技术负责人和技术操作人员组成),应当履行下列职责: (一)执行本单位计算机信息网络安全管理的各项规章制度; (二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患; (三)根据法律法规要求,对经本网络或网站发布的信息实行24小时审核巡查,发现传输有害信息,应当立即停止传输,防止信息扩散,保存有关记录,并向公安机关网监部门报告; (四)发生安全事故或计算机违法犯罪案件时,应当立即向本单位安全管理责任人报告或直接向公安机关网监部门报告,并采取妥善措施,保护现场,避免危害的扩大; (五)在发生网络重大突发性事件时,计算机安全员应随时响应,接受公安机关网监部门调遣,承担处置任务; (六)我市计算机安全技术人员必须经过市公安机关网监部门认可的安全技术培训,考核合格后持证上岗。合格证有效期两年。 3、单位安全组织应保持与公安机关联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实,积极接受公安机关网监部门业务监督检查。 4、单位安全组织的安全负责人及安全技术人员应切实履行各项安全职责,对不依法履行职责,造成安全事故和重大损害的,由公安机关予以警告,并建议其所在单位给予纪律或经济处理;情节严重的,依法追究刑事责任。
《安全工程学试题》 一、名词解释(每题2分,共10分) 1、安全科学:安全科学是运用人类已经掌握的科学理论、方法以及相关的知识体系和实践经验,研究、分析、预知人类在社会、经济活动、生产、科研过程中以及人类其他探索、物化等领域的危险、危害和威胁;限制、控制或消除这种危险、危害和威胁,以过程安全和环境无害为研究方向的理论体系。 2、应激源:应激源是指能引起全身性适应综合症或局限性适应综合症的各种因素的总称。 3、安全效益:指安全水平的实现,对社会、对国家、对集体、对个人所产生的效果利益。 4、爆炸危险度:可燃气体和液体蒸气与它们的爆炸下限成反比例与爆炸范围成正比例关系的物理量称之为爆炸危险度。 5、风险率:指事件发生风险的可能性大小。 二、回答题(每题10分,共50分) 1、从安全心理学角度,如何控制和预防人的不安全行为? 答:(1)要正确运用激励机制。每个人都是有自尊心和荣誉感的,要激发和鼓励他们的上进心,必须要有一定的激励机制,才能让职工全身心地做好本职工作。如何正确选用激励方式,做到对症下药、有的放矢是至关重要的。首先要掌握信息,了解情况,才能做到心中有数。其次要正确选择激励手段,一般来说,正面表扬或奖励容易调动积极性。而在一定的条件下,惩罚、批评也能起到一定的效果,但应以教育说理为主,在提高思想认识的同时,要为被激励者排忧解难,改善不良的心理反映,诱导高尚的动机,引导他们产生积极的行为。 (2)正确运用自我调节机制。自我调节就是要自我控制,从而做到自觉遵守安全操作规程和劳动纪律,保证安全生产。从心理学的角度来分析,人的精神状态与工作效率成正比。但是,精神状态与安全状态不一定是正比的关系。精神状态的高潮期或低潮期属情绪不稳定时期,最容易发生差错或失误,属事故多发期。精神状态的组中值是精神稳定期,这时能力发挥稳定,工作起来有条不紊,不易发生事故。据此,要努力提高职工的个人修养,学会自我调节精神状态,要有自制力。人逢喜事精神爽,这时最容易冲动,要告诫自己保持冷静、淡然的心态,记取乐极生悲的教训。而遇到困难和挫折时不要气馁,要有广阔的胸怀,要想得开,宠辱不惊,努力摆脱激情的不利影响。在工作压力大或精神状态欠佳的时候,要合理安排工作,劳逸结合,业余时间多参加文娱、体育健身活动,忘却烦恼,或找知心朋友、同事、领导倾诉,沟通思想释放压力,自我调节紧张状态,一张一弛乃文武之道。
信息系统安全管理规范 1、目标 此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下: 确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。 对用户权限进行合理规划,使系统在安全状态下满足工作的需求。 2、机房访问控制 机房做为设备的集中地,对于进入有严格的要求。 只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。 系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。 严格遵守机房管理制度。 3、操作系统访问控制 保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员保密。 在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商;调试一结束系统管理员马上更改口令。 对口令设定必需满足以下规范: 5、数据库访问控制 为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。 业务系统后台数据库对象创建用户的口令由数据库管理员设定,由技术研发部审核。不能向其他人开放。口令必须1个月做一次修改。 对口令设定必需满足以下规范: 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开放不同权限的用户。 除技术研发部的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理,必须由技术研发部人员执行。 6、应用系统访问控制 应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范: 所有应用级的操作用户及初始口令统一由技术研发部设定,以个人邮件的形式分别发给各部门的操作人员。 各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。 对于口令设定必需满足以下规范: 操作人员不能将自己的用户及口令随意告诉他人。 所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由技术研发部批准。 当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和技术研发部的共同批准。之后,IT系统管理员会帮助应用系统的使用者开通账户,并建立相应的访问等级和权限。
编订:__________________ 单位:__________________ 时间:__________________ 信息系统安全管理制度 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8222-40 信息系统安全管理制度(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。 具体管理办法如下: 第一章总则 第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除
/禁用等的管理 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。 第六条用户账号申请、审批及设置由不同人员负责。 第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。 1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。 2、系统管理员:负责按照领导审定的授权进行录
安全工程专业本科培养方案 (专业代码:082901) 一、专业介绍 简介:本专业为江苏省“十二五”重点专业、教育部综合改革试点专业、教育部工程教育认证专业。本专业培养具备安全工程方面的基本理论和基本知识,接受安全检测实验、工程实践、科学研究与工程设计方法等方面的基本训练,具备安全评价与分析、安全设计、安全管理等基本能力的安全工程技术与管理人才。 办学定位:根据学校总体办学定位、石油石化行业发展对安全工程专业人才的特殊需求,培养具有“安全系统思维、安全工程应用能力和安全职业人格品质”的石油石化安全人才。 二、培养要求 1.培养目标 本专业立足地方,培养符合石油石化行业发展和区域社会经济建设需求,培养具有良好的“关爱生命、关注安全、和谐发展”的生命价值意识,较深的文化素养、良好职业道德与团队精神;具有扎实的数理化知识、安全科学与工程专业知识;具备解决工程安全问题的系统性思维与创新性潜质,能够以国际化视野胜任安全工程技术与管理等相关岗位的工程应用型人才。 2.毕业要求 要求1:具有良好的生命价值意识、人文素养、社会责任感和安全工程职业道德; 要求2:具有运用安全工程技术与管理工作所需的相关数学、自然科学知识以及一定的经济和管理知识的能力; 要求3:具有运用工程基础和安全专业理论知识的能力,具有系统的安全工程实践学习经历,了解本专业的前沿发展现状和趋势; 要求4:具备设计和实施安全工程实验的能力,并能够对实验结果进行分析; 要求5:具有创新意识与系统安全思维,掌握基本的创新方法,具备综合运用所学的安全工程专业理论知识和技术手段进行安全系统设计和解决安全问题的能力,并能综合考虑经济、环境、法律、安全、健康、伦理等制约因素; 要求6:掌握文献检索、资料查询及运用现代信息技术获取相关信息的基本方法; 要求7:了解跟踪与安全生产相关的法律、法规和标准,熟悉安全发展、环境保护等方面的方针、政策,能正确认识安全工程对经济社会发展的促进和影响; 要求8:具有一定的组织管理、协调、表达、交流及在团队中发挥作用的能力; 要求9:对终身学习有正确认识,具有不断学习和适应发展的能力; 要求10:具有安全工程及相关领域的国际视野和国际交流、竞争与合作的能力。 三、课程体系 (一)通识课程 通识课程必修课(应修62.5 学分)72410061 思想道德修养与法律基础(3.0)72330061 马克思主义基本原理(3.0)72360123 毛泽东思想和中国特色社会主 义理论体系概论(6.0)72500041 中国近现代史纲要(2.0))72451-2# 形势与政策(2.0) 53021-2# 高等数学(二)(7.5)50030041 线性代数(2.0) 51010061 概率论与数理统计(2.5)53051-2# 大学物理(6.0) 53061-2# 大学物理实验(2.5) 40171-2# 大学计算机基础及VB程序设计 (5.0) 76021-4# 大学英语(12.0) 99011-4# 体育(4.0) 99021-6# 课外体育锻炼(3.0) 99511-2# 军事理论(2.0) 通识课程选修课(应修6.0学分)72430043 大学生心理健康教育(2.0必选)公共选修课(任选4.0学分) (二)专业基础课 专业基础必修课(应修44.5学分)20020041 工程制图(2.0)