太极计算机股份有限公司
ISO20000体系文件
系统安全管理规范
(版次:0/A)
编制人(部门):电子政务日期:2010-3-1
审核人:日期:
批准人:日期:
2010年3月1日发布2010年3月1日实施
目录
1概述....................................... 错误!未指定书签。
1.1目的................................... 错误!未指定书签。
1.2适用范围............................... 错误!未指定书签。
2术语定义................................... 错误!未指定书签。
3角色及职责................................. 错误!未指定书签。
4工作要求................................... 错误!未指定书签。
4.1一般要求............................... 错误!未指定书签。
4.2帐号管理原则........................... 错误!未指定书签。
4.3密码使用安全原则....................... 错误!未指定书签。
4.4提高系统安全原则和措施 ................. 错误!未指定书签。
4.5系统设备物理安全....................... 错误!未指定书签。
4.6系统补丁管理........................... 错误!未指定书签。
4.7系统防病毒管理......................... 错误!未指定书签。
4.8定期进行安全检查和审计 ................. 错误!未指定书签。
4.9通用软件的安全管理..................... 错误!未指定书签。
4.10备份数据和介质的管理.................. 错误!未指定书签。
5相关文件及记录............................. 错误!未指定书签。
5.1相关文件............................... 错误!未指定书签。
5.2表单和记录............................. 错误!未指定书签。
1概述
1.1目的
本程序的目的是就安全与管理层面,规范系统设备管理以及系统和数据库访问行为,以确保信息与系统的访问与权限能适当的授权、配置及维持,避免未获授权的访问,并确保系统和重要信息的可用性(信息可供访问)和完整性(信息未被篡改)。
1.2适用范围
本文档所规定IT服务是指运维服务部PV分部提供的IT服务;
本文档所规定IT服务商是指运维服务部PV分部;
本文档适用于运维服务部PV分部的所有领域。
2术语定义
计算机系统:包括系统主机、系统设备及其相关配套的设备(含系统线路)及相关软件等。
3角色及职责
4工作要求
4.1一般要求
●因业务需要而产生对信息的访问,其管理的要求于下列各章节进行约定,
使用者仅限于访问授权范围内的信息、系统与数据库,不得作未经授权的访
问。
●职责区域:系统开发人员负责系统开发与测试;系统管理员负责系统及设
备管理;数据库管理员负责数据库管理(含相关硬件);安全审计人员负责安全审核;前述各类人员均应于授权责任范围内运作,以降低信息或服务遭受
未授权的修改或误用。
●所有的系统和数据库的重要配置参数(包括系统和数据库密码),均由各
系统管理员负责设定与管理(含数据保存及备份)。重要配置的修改,需按变
更管理程序进行。
●核心系统和信息的访问必需尽可能经过审计,要设置自动审记(日志),
记录每次访问的用户、时间、操作内容等,妥善保管并定期审查这些日志。
●所有业务系统数据包括备份数据,特别是用户信息,应加以妥善保管,非
经授权不得访问。
●所有信息处理和设备的使用,均需经适当的授权,以防止该设备的不当使
用。
4.2帐号管理原则
为确保系统和数据库的访问与权限均能适当地授权、分配和管理,对系统
的帐号要进行分级管理,具体如下:
●系统访问权限分为系统管理员帐号和普通用户帐号,系统管理员帐号由系
统管理员管理和使用,普通用户由系统管理员建立,所需要权限由系统管理员审查其必要性后授予,确保只授予必要的权限;
●对于数据库的帐号分为管理帐号、属主帐号、应用帐号和只读帐号,数据
库管理帐号由数据库管理员管理和使用,属主帐号是数据库中具体应用的属主,用于管理数据库中的具体应用,如备份、还原等,应用帐号和只读帐号可用于AP服务器上连接数据库的配置,原则上不能将数据库的帐号授权给非系统运维人员,特殊情况下经过领导审批,可授予个别表的只读权限。数据库上的帐号由数据库管理员管理和授权。
●使用者需要进行系统与数据库访问时,均需向该系统的系统管理员或数据
库管理员申请并经相关的使用者单位主管核准授权后始得使用,在申请时必需说明必要的权限和使用期限,使用者单位主管应考虑申请者的实际业务需要,要确保只授予必要的权限,任务解除或人员离职时亦须向该系统
管理员或数据库管理员办理注销。
i.系统管理员授与使用者的初次密码,应以适当方式交付使用者个人,并要
求使用者获得初次密码后,应立即更改成自订的密码,并定期修改密码,如果不能自行修改密码的,需要系统管理员定期修改后通知使用者。●正式投入运行使用的系统及数据库,相关密码由责任系统管理员和系统管
理单位主管保管和管理。无特殊需要,在系统正式使用后,一般的项目组成员及系统集成人员,不赋予正式的系统设备的访问权限。如有特殊需要由项目经理通过OA工作联络单申请,责任系统管理员可在短期内开设临时普通帐号(只赋予必要的权限),供项目组使用,在规定时间内及使用
完毕后要及时收回权限。
4.3密码使用安全原则
管理员和使用者应负责其口令及信息处理设备的使用符合下列要求,以避
免其口令及信息处理设备招致误用。
●对口令的使用应符合下列规定:
●密码长度至少为六个字符。
●密码中应包含至少四个英文大小写字母。
●密码中应包含至少一个非英文字母的字符。
●不得选取使用者账号、姓名、生日、身分证字号或单位代名等与个人或单
位相关的信息做为密码。
●不得选取英文单词为密码。
●密码一般三月更换一次,管理员可根据系统情况对周期进行调整。
●使用者应负责确保所使用的信息设备在处于无人看管的状态(例如使用时
中途离开)时有适当的保护。
4.4提高系统安全原则和措施
为保证系统的安全性,在安装配置操作系统时要注意以下问题:
第1:只启动必要的服务
除了当前必要的服务,其他服务都应该取消,。
第2:及时安装系统补丁
为了加强系统安全,一定要及时安装系统补丁,特别是涉及系统安全漏洞的补丁。
第3:安装和启动防火墙
核心系统还需要借助防火墙等其他安全工具,只开放使用的端口,共同防御黑客
入侵。
第3:限制系统的出入
在进入系统之前,所有用户都需要登录,也就是说,用户需要输入用户账号和密码,只有它们通过系统验证之后,用户才能进入系统。避免空口令和弱口令。对于
核心系统还要避免明文在网络传输口令。
第4:设定用户账号的安全等级
除密码之外,用户账号也有安全等级,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中。每个账号应该有专人负责。
第5:定期检查登录密码和日志审记
设定登录密码是一项非常重要的安全措施,如果用户的密码设定不合适,就很容易被破译,尤其是拥有超级用户使用权限的用户,如果没有良好的密码,将给系统造成很大的安全漏洞。系统管理员要经常提高警惕,随时注意各种可疑状况,并且按时检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。
对于WINDOWS系统,应该注意以下问题:
1.验证所有磁盘分区是否都用NTFS格式化
2.验证管理员帐户是否有强密码
3.禁用不必要的服务
4.禁用或删除不必要的帐户
5.保护文件和目录
6.确保禁用来宾帐户
7.防止注册表被匿名访问
8.应用适当的注册表ACL
9.限制对公用本地安全机构(LSA)信息进行访问
10.设置较强的密码策略
11.设置帐户锁定策略
12.配置管理员帐户
13.删除所有不必要的文件共享
14.对所有必要的文件共享设置适当的ACL
15.安装防病毒软件和更新
16.安装最新的ServicePack
17.安装适当的ServicePack后的安全修补程序
针对微软操作系统,要求安装完关键补丁后,立即联网配置WSUS,接受其补丁分发管理,继续完成补丁安装,确保系统不会因为漏洞而被感染病毒或者被黑客攻
击。
4.5系统设备物理安全
●所有人员应遵守《机房环境安全管理规范》中对系统设备物理访问控制的
规定。
●机房管理人员应严格执行对人员、设备进入IT机房等安全敏感区域的控
制,避免无关人员进入区域,接触系统设备或链路。
●应加强对系统设备的质量控制、安装维护的质量控制,以及建立系统的冗
余机制和应急机制,防止设备缺陷、故障或突发事件引起的系统瘫痪。
●不允许进行任何干扰其他系统用户,破坏系统服务和系统设备的活动,违
反者将按公司相关规定予以处罚。
●员工不得损坏所在区域内的插槽、跳线、标签等。
4.6系统补丁管理
补丁管理员建立统一的补丁管理机制,进行补丁管理,配置专门的补丁管理服务器,并建立补丁测试环境。具体工作内容如下:
1.补丁分析分析漏洞的影响
为了根据漏洞和漏洞对应用系统的影响制定相应的计划,在分析补丁之前一定要先分析一下漏洞的威胁、成因和严重性。漏洞等级定义:
针对Microsoft的软件系统,从安全角度考虑,重点要关注安全修补程序、安全更新、更新汇总、ServicePack。其中安全修补程序是针对特定的某一个安全漏洞的补丁,因此可以参照其对应的漏洞严重等级进行补丁安装;安全更新是针对多个安全漏洞的补丁,因此可以参照其对应的最严重漏洞的严重等级进行补丁安装;更
新汇总是安全修补程序、重要更新、更新和修补程序的集合,因此比较适合重新安装系统或者阶段性安装。ServicePack包含了从产品发布至今,累积的一系列修补程序、安全修补程序、重要更新和更新,因此比较适合重新安装系统或者阶段性安装。
在日常工作中可以根据厂商的安全公告和安全补丁信息,确定符合企业自己的补丁严重等级,针对系统制定出补丁的修补计划,包括修补时间、修补方式等。
2.测试补丁
虽然软件厂商在发布补丁前已经对补丁进行了测试,但是测试永远是不充分的,
从实
际经验来看,目前软件厂商为了解决安全问题,都会尽量压制测试补丁时间,而且每个应用系统都有自己的特殊应用环境,因此补丁往往不稳定,会造成很多未知问题。因此必须根据应用系统的实际应用环境进行补丁测试,以判断该补丁在现
有应用系统环境下的兼容状况。
3.分发补丁
补丁测试后,如果没有问题,则要根据紧急程度制定分发计划。计划中关键要根据企业的环境分批安装,原则是业务重要、资产价值大、威胁等级高的系统优先安装,确定顺序后,提交变更,组织相关人员进行补丁安装。
微软的补丁发布由补丁管理员在WSUS服务器上进行审核批准,通过WSUS将补丁自动下推到windows客户端,系统管理员根据各自管理的应用系统情况选择安装方式和时间。原则上,所有服务器都必须接受统一的WSUS管理,因特殊的原因无法接受管理的,需要系统管理员根据情况选择安装补丁,并填写《补丁检查记录表》。
4.补丁安装检查
为了确认补丁安装情况,各系统管理员应对负责的系统在补丁发布和安装后进
行检查。
5. 异常处理和记录
在补丁的安装过程中,由于系统的多样性和负责性,经常会发生很多异常,一
般可以分为两种情况:
●不能安装补丁,这时就需要确定一个临时的解决办法消除漏洞的威胁,或者
暂时接受这个风险。
●安装上补丁后系统或者应用不能正常运行,这时就需要采用应急方案,采用
备份系统或者卸载补丁等临时办法解决。
在处理上述的异常中,补丁管理员及时收集异常和解决方案,组织异常的提交和跟踪,并且将信息及时公布给系统工程师和桌面工程师。
针对一般微软操作系统,要求安装完关键补丁后,立即联网配置WSUS,接受其补丁分发管理,继续完成补丁安装,确保系统不会因为漏洞而被感染病毒或者被黑
客攻击。特殊系统按要求进行补丁安装。
4.7系统防病毒管理
防病毒管理员建立集中式的防病毒机制,进行防病毒系统管理,配置专门的防病毒服务器,所有微软操作系统必须先安装防病毒软件客户端,方可连入局域网。
防病毒日常管理工作内容如下:
1、每天检查防病毒服务器上病毒定义码下载情况是否正常;
2、每天检查防病毒服务器上病毒定义码下发情况是否正常,如有未正常下发的
客户端,通知防病毒管理员查找原因;
3、每周检查防病毒服务器上防火墙日志中记录的病毒发作情况,每周进行分析
并发出《病毒分析报告》。
对于出现集中式的防病毒无法处理的新病毒,管理员及时提取病毒样本,上传到防病毒厂家,并跟进处理。如得到防病毒厂家的专杀工具,及时进行下发,避免
更大损失。
4.8定期进行安全检查和审计
开启所有系统中必要的安全审计,建立集中式的日志保存机制,配置专门的日志处理服务器,自动对日志进行初步的过滤,紧急的安全事件自动向管理员发出通
知。
●对于WINDOWS系统建议使用安全模板,扩大安全日志文件大小(建议最
小10M),如果启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将在安全日志中留下痕迹。
●定期用安全工具扫描系统(抽查和全面检查相结合),检查系统是否安装
最新安全补丁,是否有用户管理、文件系统方面的漏洞及其它应用软件的漏
洞。
●定期对日志中记录的安全事件进行分析统计。
●对UNIX系统中的用户登陆、网络连接等安全相关的日志进行定期审查、
归档管理。
4.9通用软件的安全管理
●对于通用软件应及时了解其安全漏洞情况,在必要情况下及时安装补丁。
●对于通用软件配置应全面了解其安全漏洞情况,关闭会引起安全问题的配
置。
●对通用软件使用帐号要进行严格管理,尽量分离管理和使用帐号,对使用
帐号只给必要的权限。
●对于重要的数据要建立合理的备份方案,防止由于计算机系统的故障(硬
件故障、软件故障、网络故障和系统故障)影响到数据的正确性,甚至造成
数据全部或部分丢失。
Oracle数据库安全性管理基本措施
Oracle数据库系统在实现数据库安全性管理方面采取的基本措施有:
◆通过验证用户名称和口令,防止非Oracle用户注册到Oracle数据库,对数据库进行非法存取操作。
◆授予用户一定的权限,例如connect,resource等,限制用户操纵数据库的权力。
◆授予用户对数据库实体(如表、表空间、过程等)的存取执行权限,阻止用户访问非授权数据。
◆采用视图机制,限制存取基表的行和列集合。
4.10备份数据和介质的管理
备份用帐号管理:由系统管理员建立备份用帐号,授权给进行备份的人员使用,确保只访问需要备份的数据,帐号密码按规定定期更改;
备份文件管理:备份的文件需要保存有合理安全配置的存贮空间上,防止未经授权的访问;对文件应按备份计划定期归档,不再需要的文件应该按计划清除。
备份介质管理:特别注意对移动备份介质的管理,应保存在专用的库房,由专人登记保管;介质的外借应有审批手续和记录;
过期备份介质管理:对于过期的介质要进行销毁,避免数据外流。
5相关文件及记录
5.1相关文件
5.2表单和记录
《安全系统工程》试题 一、填空题 1、安全系统工程得基本内容包括、风险评价与。 2、根据《生产过程危险与有害因素分类与代码》(GB/T13816-92),将危险危害因素分为6大类、37个小类。这6大类分别就是:危险、危害因素,危险、危害因素,生物性危险、危害因素,心理、生理性危险、危害因素,行为性危险、危害因素与危险、危害因素。 3、系统一般具有以下特征:、相关性、与。 4、能量逸散构成伤害与损失得程度取决于以下因素:,如电压得高低,高空作业得高度等;接触能量得时间与频率,如人在噪声、粉尘环境下作业得时间与次数;,如有毒气体、粉尘与酸液得浓度等;,如人得头部、胸部结构等要害部位。 5、系统由相互作用与相互依赖得结合成得具有得有机整体,而且这个系统本身又就是它所从属得一个更大系统得组成部分。 6、所谓事故,就就是人们在进行有目得活动过程中发生得,违背人们意愿得,可能造成人们有目得得活动暂时或永远终止,同时可能造成人员伤害或财产损失得。 7、安全系统安全工程就是以为中心,以识别、分析评价与控制为重点,开发、研究出来得安全理论与方法体系。 8、为了系统地识别工厂、车间、工段或装置、设备以及各种操作管理与组织中得,事先将要检查得项目,以提问方式编制成,以便进行系统检查与避免遗漏,这种表叫做安全检查表。 9、安全系统工程得主要内容包括以下四个方面,即_____________、_____________、 _____________与________。其核心内容就是________。 10、4M因素指________、________、________、________。 11、事故树得定性分析就就是对任何事件都不需要分配数值(即基本事件得发生概率或故障率),只对事件分配“”或“”得二值制得分析方法。 12、共同原因分析亦称共同原因故障分析、或共同模式分析,就是分析与分析得补充方法。 13、根据生产事故所造成得后果得不同,有设备事故、、等三种。 14、{X1} {X2,X3} {X1,X2,X4} {X2,X3,X4} 上面为某事件得最小割集,在基本事件中选出结构重要性最大得一个为。 15、根据我国对伤害事故程度得划分标准,死亡就是指其损失工作日为日及以上。 16、危险性预先分析中将事故后果严重程度分为级。 17、事故树中菱形符号有两种意义:一种就是表示,即没有必耍详细分析或原因不明确酌事件。另一种就是表示,如由原始灾害引起得二次灾害,即来自系统之外得原因事件。 18、原因后果分析就是分析与分析结合在一起得分析方法。 二、单项选择题 1、我国安全系统工程得研究开发式从()开始得。 A、20世纪80年代末 B、20世界70年代末 C、20世纪60年代末 D、20世纪50年代末 2、在危险因素等级中,Ⅳ级表示得含义就是() A、危险得,可能导致事故发生,造成人员伤亡或财产损失,必须采取措施进行控制; B、灾难得,会导致事故发生,造成人员严重伤亡或财产巨大损失; C、安全得,暂时不能发生事故,可以忽略; D、临界得,偶导致事故得可能,事故处于临界状态,可能会造成人员伤亡与财产损失,应该采取措施予以控制; 3、关于最小径集与最小割集说法正确得就是() A、多事件得最小割集较少事件得最小割集容易发生;
医院****年信息安全工作计划 2014年将是我院加快发展步伐的重要的一年,为进一步加快数字化医院建设,更好的为医院信息化建设服务,加强信息安全工作,计划如下: 一、不定期对院信息系统的安全工作进行检查,加强信息系统安全管理工作,防患于未然,确保信息系统安全、稳定运行。 二、加强患者信息管理,确保患者信在本院就医信息不泄露。 三、对信息系统核心数据作好备份工作。 四、配合相关科室日常工作,确保机房核心设备安全、稳定运行。 四、配合相关人员作好医院网站信息发布维护工作。 五、定期加强对我院临床全体工作人员进行计算机操作技能及信息系统安全问题培训,保证临床各科业务的正常开展。 六、做好各种统计报表的上报工作,及时、准确的上报各种统计报表。 七、完成领导交办的其它各项工作任务。 2014-3-20篇二:网络安全工作计划 上户镇杜尔比村小学网络安全活动 计划 围绕学校2013年工作重点,坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划: 一、网络管理与建设 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 二、网站建设 加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。 三、信息技术使用与培训工作 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。篇三:2011信息安全工作计划 福州市烟草公司罗源分公司 2011年信息安全工作计划 2011年罗源烟草根据省、市局信息化工作会议精神,以安全、服务为宗旨,紧紧围绕“卷进烟上水平”的基本方针和战略任务,进一步明确目标,落实责任,加强信息安全工作,为信息化建设上水平打好基础。 一、加强考核,落实责任 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《信息安全及保密责任书》。加大考核力度,将计算机应用及运维
系统安全管理制度 为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。 具体管理办法如下: 第一章总则 第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。第六条用户账号申请、审批及设置由不同人员负责。 第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。 1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。 2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。 3、系统管理监督员:负责对录入的数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。 4、普通用户:负责对系统进行业务层面的操作。
系统安全管理制度 1.目的 为了加强资源中心数据库安全管理,保护中国文联文艺资源中心的合法利益,规范系统日常操作维护的行为,确保信息系统的安全,特制定本制度。 2.使用范围 适用于资源中心数据库安全管理。 3.职责 由资源中心技术部负责此规定的执行。 4.管理规定 5.1. 安全管理范围 本管理制度主要涉及服务器的操作系统安全、数据库安全以及应用系统安全。
5.2. 系统安全管理过程 (1)系统日常安全管理由系统管理员负责,系统管理员包括操作系统管理员、数据库管理员、应用系统管理员。 1)操作系统管理员负责管理服务器的操作系统、中间件。 2)数据库管理员负责管理数据库。 3)应用系统管理员负责Web应用、业务系统。 (2)服务器的操作系统、数据库以及应用系统的初始配置分别由操作系统管理员、数据库管理员、应用系统管理员或系统集成商根据业务需求分析、系统安全分析以及管理制度规定完成并填写《系统配置表》,报技术部负责人审核批准后,进行系统参数配置。 (3)系统安全日常管理分别由操作系统管理员、数据库管理员、应用系统管理员执行,内容包括系统的日常巡检、配置维护、解决系统故障等。 1)系统管理员对操作系统、应用软件、数据库的运行情况每周进行一次 例行检查,并填写《系统安全巡检登记表》。 ◆操作系统管理员定期检查运行状态、操作系统日志、存储空间等 操作系统配置情况,分析是否有异常用户行为。 ◆数据库管理员定期检查运行状态、数据库日志、存储空间、数据 库配置情况,分析是否有异常用户行为。 ◆应用系统管理员定期检查运行状态、应用系统日志、存储空间、 应用系统配置情况,分析是否有异常用户行为。 2)操作系统管理员负责每月检查或下载操作系统升级包,应用管理员负 责每月检查或下载应用软件升级包,数据库管理员负责每月检查或下 载数据库升级包,操作系统管理员负责定期检查或下载杀毒软件升级 包,并及时进行补丁升级,升级前需对升级包进行杀毒处理,应用系 统、操作系统、数据库系统升级前须获得应用系统开发商确认并首先 在测试环境中测试通过。在升级前需对重要文件进行备份。 3)在网络管理员协助下系统管理员每年对服务器进行漏洞扫描,对发现 的网络系统安全漏洞由系统管理员进行及时的修补。 4)操作系统管理员每月对服务器进行全盘杀毒,应由管理员进行手动选
SSE-CMM SSE-CMM的内涵 SSE-CMM为Systems security engineering Capability maturity model的缩写。中文名称为系统安全工程能力成熟模型。SSE-CMM是一个过程参考模型。SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。本标准的范围包括:涉及整个生存周期的安全产品或可信系统的系统安全工程活动:概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役;对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求;适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。 SSE-CMM(系统安全工程能力成熟模型)简介 过去人们在开发安全系统过程中往往只重视产品或系统本身 的标准化问题,但却忽视了开发过程本身的标准化问题。如何提高开发过程的能力,如何使过程本身标准化、规范化,越来越引起人们的重视。为了改变这种状况,一个不同于以往的概念逐渐被接受,即一个系统或产品的性能取决于其过程能力[1]。系统安全工程能力成熟模型(SSE-CMM)的构想是在1993 年4月由美国国家安全局(NSA)提出来的。在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下,汇聚了超过60 个厂家,集中了大量的人力、物力和财
力对该构想进行了开发实施,并于1996 年10 月出版了SSE-CMM模型的第一个版本,1997 年4 月出版了评定方法SSAM 的第一个版本;1999 年4 月发布了SSECMM和SSAM 的2.0 版本[2]。SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。“过程能力”是通过执行这一过程,所得到的结果之质量的变化范围。其变化的范围越小,执行该过程的队伍越“成熟”。于是产品质量的一致性较高,而以高“成熟能力”执行“完善的”过程的工程队伍将有极大可能持续生产高质量的产品,从而大大降低工程的风险。 SSE-CMM(系统安全工程能力成熟模型)理论基础 SSE-CMM的基本思想是:通过对安全工程过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的过程[3]。安全工程过程研究将系统安全工程过程分为三类:风险过程、工程过程和信任度过程。风险过程研究,即对要实施安全工程的系统进行风险分析,分析各种可能对系统构成威胁的影响因素、系统本身的脆弱性以及如果威胁因素起作用可能对系统造成的影响。成为风险(Risk)的事件有三个组成部分:威胁(Threat)、系统脆弱(VuInerabiIities)和事件造成的影响(InfIuence)。一般而言,这三种因素必须全都存在才足以构成风险(使风险值大于零)。工程过程研究,即工程队伍根据风险分析的结果、有关系统需求、可应用的法律法规和方针政策等信息,同客户一起识别和定义系统的安全需要,在综合考虑包括成本、性能、技术风险和使用难易程度等各种因素和各种替代方案之后创建出解决方案,然后用该方案指导安全系统的开发和建设,并对
2018卫生系统安全生产工作计划 为认真贯彻落实中央、省、市各项安全生产工作要求,坚持“安全第一、预防为主”的安全生产工作方针,进一步做好我市卫生系统安全生产各项工作,确保实现安全生产目标,特制定XX年吴川市卫生系统安全生产工作计划。 一、工作目标 (一)全系统不发生重大安全生产责任事故。 (二)医疗事故、重大影响医疗纠纷发生率较上年度下降,控制处理及时率100%。 (三)特种设备定检率100%,凭证运行率100%,特殊工种操作人员培训率100%,持证率100%。 (四)依法开展职业病防治工作,急性职业中毒死亡人数为0;职业中毒发病人数为0,不发生重大职业中毒死亡事故;以厂矿为单位,有职业危害的厂矿企业工业卫生监测覆盖率达100%,接触有害因素作业职工健康体检率达50%。 二、工作措施 (一)进一步提高对安全生产工作重要性的认识。安全生产工作关系广大群众的生命财产安全,关系社会稳定,是建设和谐社会的迫切需要。各单位要充分认识到做好安全生产工作的极端重要性,采取各种有力措施,切实加强安全生产工作,确保广大干部职工和服务对象的生命财产安全。 (二)进一步加强对安全生产工作的组织领导。各单位要把安全生产工作摆上重要议事日程,纳入精神文明建设总体规划,做到年初有计划,年终有总结;要把安全生产工作列入党政主要领导和分管领导年度工作目标和述职报告的重要内容,列入干部职工考核的重要指标;要成立安全生产工作领导小组,做到主要领导负总
责,分管领导牵头负责,有具体经办人员;要与单位各科室签订安全生产责任状,做到一级抓一级,层层抓落实;每季度要召开一次安全生产工作例会,安排部署安全生产工作,分析、研究和解决存在的安全生产问题;每季度要开展一次以压力容器、水电、易燃易爆物品、毒麻药品、生物疫苗、房屋设施、建筑工地、消防通道等为重点的安全生产工作检查,及时发现和整改存在的隐患。 (三)进一步健全和落实各项安全管理制度。各单位要结合实际,健全、完善、落实安全生产领导责任制、安全生产例会制、安全生产检查事故隐患整改制、安全生产审批制、安全生产事故紧急处理预案等“五项”制度,健全、完善、落实门诊、住院、财务、保密、车辆、防火防盗、毒麻药品、放射物品、高压容器、建筑工地、实验室等方面的管理制度,采取有力措施,定人定岗,明确岗位责任制,制定奖惩措施。 (四)进一步加强安全生产的宣传教育和学习培训。各单位要把“安全意识淡薄”作为一项重要安全隐患来抓。要加大宣传教育力度,积极组织开展安全生产相关法律、法规、政策和基础知识的全员培训,做到人人过关,形成“人人知晓、人人重视、人人参与、时刻防范”的安全生产工作局面。各单位每年要开展2 次以上的安全生产培训教育,尤其要重视对新入岗的职工、临时工及合同工的培训教育,并建立培训档案。 (五)进一步做好各项安全生产工作。 1、加强对医疗检查、治疗仪器设备,氧气瓶、高压氧仓、锅炉、消毒压力锅等压力容器、压力管道,配电室、电梯等水、电、气设备,易燃易爆、剧毒化学物品、放射源、毒麻药品、生物制品等的安全管理,认真落实岗位责任制,操作人员持证上岗,严格执行保管、使用、登记、检查、维护等各项规定,及时排查各类事故隐患。 2、加强消防安全管理。各单位要特别重视消防安全工作,要认真学习贯彻《中华人民共和国消防法》,健全和完善消防安全管理制度,对全体干部职工进行
编订:__________________ 审核:__________________ 单位:__________________ 系统安全及系统安全工程 的定义 Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-5168-68 系统安全及系统安全工程的定义 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行具体的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 1.系统安全的定义 系统安全是在系统运营的周期内,应用系统安全管理及系统安全工程原理,鉴别危险性并使危险减至最小,从而使系统在操作效率、耗费时间和投资费用范围内达到最佳安全程度。 换言之,系统安全就是,某系统在功能、时间、成本等规定的条件下,人员和设备所受到的伤害和损失为最少。 2.系统安全工程的定义 系统安全工程是系统工程的一个分支。它涉及及时识别和控制系统中危险的科学和工程原理的应用。它将数学、物理和有关学科的专门技巧与职业技能结合在一起,连同工程设计和分析的方法和原理,用来
预测、估算和改进系统的安全。 系统安全工程开始于系统设计最初提出要求时,然后是一系列的反馈过程来检查和修订系统的详细要求,设计控制文件,逐步的硬件研制。从系统概念发展到硬件试验阶段,系统安全工程程序始终检查和修正设计,如同新系统的研制。这样,我们知道术语“系统安全工程”是在系统安全范畴内所包括的活动,仅归属于安全工程活动。对于某研究计划,拟实现系统安全工程的目标,要求确定任务。这些任务应包括下列各项: (1)鉴定资源文件。 (2)提供系统安全标准、准则和要求。 (3)准备系统安全大纲实施计划(SSPP)。 (4)检查草图并修改。 (5)提出设计审查的参加人员。 (6)系统安全分析指南。 (7)准备修改活动建议。
文件编号:RHD-QB-K8604 (操作规程范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 接地系统安全管理规程 标准版本
接地系统安全管理规程标准版本操作指导:该操作规程文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 接地系统是指在故障情况下可能出现危险对地电压的导电部分同大地紧密地连接起来的系统整体结构。它是一种防止间接电击的保护性措施,关系到人身安全、防火防爆、设备安全等。接地系统类型很多,主要有防止人身间接电击以及电气火灾、线路损坏的故障接地、重复接地、防止过电压的接地、等电位接地、防静电接地、电磁屏蔽接地、检修接地以及维持系统安全运行的工作接地等。低压配电系统主要有TN系统、TT系统、IT系统三种接地制式,保护性接地装置与其相连接的保护线(保护导体),按现行标准以文字符号“PE”表示。这三种电源系统在
运行中有时发生漏电、感应或故障接地、过电压等事故,容易引起人身触电伤亡和电气火灾与爆炸事故。电气系统及电气设备在运行、维护、检修时或者在发生故障情况下,为了保证安全应进行保护性接地。对于有些高压输电变配电设备装置以及发电设备等,为了满足设备在运行上的需要或当发生事故时使继电保护装置动作而必须将电气回路中性点接地。 要确保接地系统装置正常、安全,管理工作应包括以下内容: 1.接地制式、接地装置连接要规范 电源系统接地制式不同,安装规范要求不同。同一台发电机,同一台变压器供电网路中,不应采用两种不同接地制式的保护方法。 TN系统的装置或设备外露可导电部分严禁用作PEN线。PEN线严禁接入开关设备,不得断股或断
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
系统安全管理制度中国科学院沈阳应用生态研究所
前言 本制度旨在加强中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全管理工作。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门:信息中心 本制度主要起草人:岳倩 本制度起草日期:2016/01/19
系统安全管理制度 1范围 本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 本制度适用于沈阳生态所开展信息系统安全管理工作。 2术语和定义 信息系统:指包括操作系统、应用系统和数据库管理系统。 3职责 3.1系统管理员 1)负责应用系统的安装、维护和系统及数据备份; 2)根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全 配置; 3)根据应用系统运行的实际情况,制定应急处理预案,提交信息管理部门 审定。 3.2安全管理员 1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作; 2)定期检查应用系统的用户权限设置以及系统安全配置,与应用系统安全 策略的符合性; 3)定期审查应用系统的审计记录,发现安全问题及时报告信息管理部门。4安全策略 旨在加强信息系统的运行管理,提高系统的安全性、可靠性,依照完善的管理制度,科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 5信息系统管理 5.1操作系统 1)操作系统管理员账户的授权、审批
●操作系统管理员和操作系统安全员账户的授权由所在部门填写 《操作系统账户授权审批表》,经部门领导批准后设置; ●操作系统管理员和操作系统安全员人员变更后,必须及时更改账 户设置。 2)其他账户的授权、审批 ●其他账户的授权由使用人填写《操作系统账户授权审批表》,经 信息管理部门领导批准后,由操作系统管理员进行设置; ●操作系统管理员和操作系统安全员根据业务需求和系统安全分 析制订系统的访问控制策略,控制分配信息系统、文件及服务的访问权限; ●外单位人员需要使用审计管理系统时, 须经信息管理部门领导 同意, 填写《外单位人员操作系统账户授权审批表》,报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户; ●严禁任何人将自己的用户账户提供给外单位人员使用。 3)口令的复杂性、安全性要求和检查 ●系统账户的口令长度设置至少为8位,口令必须从小写字符 (a-zA-Z)、大写字符(A-Z)、数字(0-9)、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置; ●系统账户的口令须定期更改,每次更新的口令不得与旧的口令相 同,操作系统应设置相应的口令规则; ●系统用户的账号、口令、权限等禁止告知其他人员; ●须根据系统的安全要求对操作系统密码策略进行设置和调整,以 确保口令符合要求。 4)系统维护和应急处理记录 ●应对系统安装、设置更改、账号变更、备份等系统维护工作进行 记录,以备查阅; ●应对系统异常和系统故障的时间、现象、应急处理方法及结果作 详细的记录。
系统安全运行管理制度及保障措施 一、贵州省遵义医院信息化安全管理制度 二、网络服务器管理制度 三、机房管理制度 四、计算机使用和管理制度 五、医保上网操作人员职责(暂行) 六、计算机操作人员管理规定 七、计算机安全操作使用规定 八、多功能厅管理制度 九、重要数据的修改必须保留操作痕迹 十、应急预案 十一、运行日志 十二、错误日志 十三、数据备份日志 十四、24小时交接班记录
贵州省遵义医院信息化安全管理制度 为了保证医院信息化系统正常、稳定、安全、快速地运行,特制定以下安全防范措施及事项。 一:科室计算机相关设备使用的安全防范: (1)各科室都配有电脑、打印机、UPS 等计算机相关设备,UPS 可以起到稳压和持续供电几分钟,这样可以确保操作人员正常保存操作数据和正常关机,从而不会因为突然停电产生错误操作和损坏计算机相关设备;其中电脑主机已打上封条,无关人员无法随意更换相关配件或拆装。如有类似情况出现,追究相关人员责任。 (2)各科室人员要保持计算机相关设备周边环境清洁,计算机要放在防潮、防尘、防晒并且通风良好的地方,并且严禁科室人员在计算机相关设备上摆放水杯、饮料、报刊、重物等。如有类似情况出现,追究相关人员贵任。 (3)科室人员按键时手要轻,敲键后手指要立即抬起,不能盲目乱敲。如有类似情况出现,追究相关人员责任。 (4)科室人员在计算机运行时不要随意搬运,以免造成计算机系统文件或硬件的损坏。如有类似情况出现,追究相关人员责任。 (5)科室人员严禁其他用电设备和计算机共用一个电源,以免电源负荷过重损坏计算机。如有类似情况出现,追究相关人员责任。
(6)科室人员严格遵循先开电源插座、打印机、显示器、主机的顺序。每次的关、开机操作至少相隔一分钟。严禁连续进行多次的关机操作。计算机关机时,应遵循先关主机、打印机、显示器、电源插座的顺序。下班时,务必要将电源插座的开关全关上,节假日时,更应将插座拔下,彻底切断电源,以防止火灾隐患。如遇到不能正常关机的情况,应按照相关提示操作(结束任务或点击确定),切勿直接关闭电源。同时注意不要踢到或随意拔插计算机电源、网线、鼠标和键盘等接口。如有类似情况出现,追究相关人员责任。 (7)科室人员严禁在计算机上加装、卸载任何软件或删除系统文件,并不得私自更改计算机当前配置。如有类似情况出现,追究相关人员责任.(8)科室人员严禁让非工作人员操作计算机,严禁携带家属、朋友以学习为由使用计算机。如有类似情况出现,追究相关人员责任。 (9)要求操作人员在使用打印机时:重新装纸前,请先将纸取出;请勿在打印时移动控制杆或强制拉出打印纸;请使用正规的打印纸张进行打印:出现异常情况时,请勿私自拆卸,并立即通知网管人员或技术人员处理如因不按规范操作导致打印机故障,追究相关人员责任。 (10)目前己将所有科室主机上光驱、软驱、USB 接口等外部存储设备全部禁用,且医院所有连上HIS 系统的电脑都没有和外网相连。从而可以极大的防止病毒等非法程序进入内部网络。 (11)科室的所有计算机都作了克隆系统备份,如果科室计算机出现系统方面的问题可以在很短的时间内恢复。 二:HIS系统应用安全防范:
安全系统工程试题库 系统安全工程 一、选择题 1 ?事故树是安全系统工程中的重要的工具之一,它是从_____________ 到________ 描绘事故发生的有向逻辑树。 A .结果、原因B.原因、结果 C.初始、最终 D.下、上 答案:A 2. 事故树分析时要确定顶事件。所谓顶事件,是指事故树中唯一的、位于顶层的、只 是逻辑门的_________ 的事件。 A .中间 B .输入C.输出D .无关 答案:C 3. ________________________________________________________ 在应用事故树分析方法时,要将待分析的事故对象作为____________________________________ 事件。 A .基本 B .顶C.中间D .特殊 答案:B 4. 在事故树中,导致其他事故发生、只是某个逻辑门的输入事件而不是任何逻辑门的 输出事件的事件,称为________ 。 A .基本事件 B .中间事件C.顶事件 D .底事件 答案:A 5. ____________________________ 在绘制事故树时,事件B1和B2同时发生才会引起事件A的发生,反之,有一个不发生,A也不发生,则应使用表示三者的逻辑关系。 A .非门 B .或门C.与或门D .与门 答案:D 6. _______________________________________________________________________ 在绘制事故树时,事件Bl和B2中有一个发生,事件A就会发生,则应使用____________________ 表示三者的逻辑关系。 A .非门 B .或门C.与或门D .与门 答案:B 7. 在事故树分析中,某些基本事件共同发生可导致顶事件发生,这些基本事件的集合, 称为事故树的__________ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:B &在事故树分析中,某些基本事件都不发生,则导致顶事件不发生,这些基本事件的集合,称为事故树的_____________________ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:A 9. 在事故树分析中,已知事故树的某个径集,在此径集中去掉任意一个基本事件后, 就不再是径集(即剩余的基本事件不发生不一定导致顶事件不发生),则这个径集被称 为_____ 。 A .径集 B .割集C.最小割集 D .最小径集 答案:D 10. _______________________________________________________________ 在应用道化学公司(DOW)的火灾爆炸指数法进行安全评价时, ____________________________ 系数是计算火灾爆炸指数及其他危险分析数据的基本数值。 A .工艺 B .设备C.物质D .单元 答案:C 11. 在火灾爆炸指数法中,物质在由燃烧或其他化学反应引起的火灾和爆炸中其潜在能 量释放速率的度量,被称为__________ 。 A .物质系数 B .爆炸指数C.工艺系数 D .物质危险 答案:A 12. 火灾爆炸指数法是用火灾爆炸指数(F&EI)作为评价化工工艺过程、生产装置及储罐等的
2019年年度安全工作计划表年度安全工作计划篇一 一、指导思想: 认真贯彻实施国家安全生产法律法规、集团《关于印发年安全环保工作要点的通知》[]号文)以及上级部门相关安全生产规定,坚持安全为主、预防为主及综合治理的方针。强化监管,深化整治,夯实基础,细化责任,严格执行。以法制化、标准化、规范化、系统化的方式推进安全生产,进一步完善职业健康安全管理体系,不断提高企业本质安全水平,建立安全生产长效机制,确保企业长周期安全运行。 二、控制目标: 无因工死亡事故;无重大泄漏、中毒事故;无重大火灾或爆炸事故;无重大特种设备事故;无负主要责任的重大交通事故或公共安全事故;无重伤事故; 一般事故造成的直接经济损失≤40元/百万元产值(现价) 千人轻伤率控制在0.5‰(月均)以下。 三、工作要点: (一)通过技术进步促进安全生产。提高本质安全水平。 1进一步完善工艺措施安全性以及极限操作的评估机制。抓好平稳操作,逐渐树立系统地平衡操作的观念,并系统地进行改进。 2继续探索化学反应模式的系统改进。提高化学反应的安全性,优化工艺过程,减少生产过程中的危险因素,不断提高本质安全水平。
3抓好苯胺、聚碳扩产等建设项目安全“三同时”工作。确保项目建设、运行安全。 4继续深化以消灭危险源为目标。尽可能消除或减少危险源,实现化工过程放热过程和用热过程集成联动,将化学反应热和工艺余热回收利用,完善全厂热交换网络,进一步优化热量的梯级利用。 5设备管理部门对企业特种设备(锅炉、压力容器、压力管道、起重机械等)及其安全附件按期进行检验。对检验为有缺陷的设备要及时停用或降级监护使用,并有计划地更换相应的设备或管线。 6继续抓好危险化学品的管理。进一步完善重大危险源的监控措施。增设醒目的安全标识。加强厂区道路整治,确保危化品运输安全。 7加强现场围堰的完善及规范管理。 (二)推进安全标准化工作。落实安全责任,强化安全管理,并保障有效实施。 1进一步完善安全生产的目标责任制管理。落实到每个岗位、每个人。 2实施全过程风险管理。完善风险评价组织。切实落实各项风险控制措施,对重大风险要制定风险削减计划并予以落实(过程改进)确保作业活动的风险在可承受范围内。组织职业健康安全管理体系的评审,实现管理承诺,保持体系持续合规、有效运行。 3认真开展安全标准化工作。按时完成、改进各项工作,争取在一季度实现达标验收。
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
信息系统安全管理规定公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
计算机信息系统安全 管理制度 2008年8月 目录 第一章总则 第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强本单位计算机信息系统安全保密管理,并结合本单位的实际情况,制定本制度。 第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。 其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。 第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。
第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。 第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。 第二章系统管理人员的职责 第6条本单位的涉密计算机信息系统的管理由各科室负责,具体技术工作由信息中心承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。 第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管 理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防 范。 第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。 第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。 第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。 第11条新调入或任用涉密岗位的系统管理人员,必须先接受保密教育和网络安全保密知识培训后方可上岗工作。
安全工作计划4篇 本文目录安全作业计划收费站安全作业计划幼儿园班安全教育作业计划出售部安全作业计划模板一、安全作业辅导思维 继续履行“安全榜首、防备为主、综合办理”的政策,以履行安全职责制为主线,以继续进步安全出产规范化办理水平为重要内容,强化安全办理系统有用作业,加强危险办理,构筑健康安全环境,打造调和安全文明,建立健全安全作业长效机制,完结严峻人身、设备事端为零的政策。 二、首要作业及办法 (一)清晰安全出产职责制,强化安全作业职责系统。 1、项目部仔细总结前两年安全作业经历教训,清晰各单位是安全的职责主体,各队、班组一把手是安全作业的榜首职责人,有必要坚持“管出产有必要管安全”和“谁主管、谁担任”的准则,仔细履行安全出产职责制; 2、在分级担任、层层履行一把手担任制的根底上,施行政策办理,按环节、按职责清晰安全出产职责,建立起横向到边、纵向究竟,全员、全方位、全进程的安全职责系统,保证全面完结年度安全政策; 3、继续深化健全安全作业的监督系统,严厉进程,重视成果,使项目部的安全查看、危险整改、事端查询等作业愈加科学规范;
4、坚持安全出产“一票否决”的准则。 (二)有用作业安全办理系统,继续改善作业绩效。 在新的一年,项目部仍要牢牢把握安全办理作业规范化这个政策,继续改善,安全办理系统作业要依照“规范量化”要求,以规范、准则、程序为根底,完善项目部系统文件,继续改善系统作业绩效。在作业进程中,要要点做好以下几方面作业: 1、仔细学习研讨公司系统文件,依据公司系统规范,参照项目部不同层面、不同岗位的职责(功能),结合实践,清晰细化项目部各单位安全办理系统作业要点施控要素与详细作业规范,保证系统作业作业落到实处; 2、仔细学习、测验各种行之有用的安全办理办法,作为系统作业的首要内容,不断探索经历,完善项目部的安全办理作业系统; 3、依据项目部实践,详尽展开危险源动态辩识点评,办理计划拟定与施行、作业操控,事端应急救援预案的完善作业; 4、依照公司安全办理系统文件要求,对职工的教育练习、危险源辨认、危险整改、事端查询处理等各环节归入系统作业,施行规范办理; 5、总结安全办理系统作业经历与缺乏,活跃学习国内外先进经历,不断完善安全办理系统。