操作系统安全管理规范
1、目的
根据国家分级保护要求,制定信息系统中操作系统安全管理办法,对信息系统内重要服务器和安全保密设备的操作系统采取安全加强措施。通过安全性检测和安全策略配置保障系统中不存在弱口令、开放多余服务与端口、存在高风险漏洞等安全隐患;规范系统补丁升级操作,避免系统升级过程中泄密。
2、适用范围
所属单位信息系统中的操作系统安全管理,包括服务器安全管理、安全策略设置等,其中操作系统包括WINDOWS/LINUX等操作系统。
3、引用文件
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/T 20272-2006 《信息安全技术操作系统安全技术要求》
4、概述
本管理办法主要针对操作系统安全:包括安全策略设置,如打补丁、关闭端口等。其中含服务器设备标识规定;配置更改操作流程、配置更改登记表;系统日志查看、分析、保存规程;服务器用户名鉴别方式/重鉴别次数/鉴别失败处理/口令管理规定;服务操作系统自带安全措施使用、设置规定;服务操作系统、应用软件漏洞检测修补规定等。
5、服务器标识管理
5.1 目的
用于对信息系统中的服务器设备进行标识,以便于方便地识别和管理。识别可分为设备标签和设备计算机名标识两类。
5.2 标识规则
5.2.1 服务器设备标签
服务器设备标签一般为纸质不干胶标签,贴于服务器设备右上角,常用于设备固定资产管理。
其中设备编号为项目名称+设备顺序号组成。
5.2.2 服务器设备计算机名标识
服务器设备计算机标识为电子标识,在系统设备管理中可查看和修改。一般用于网络信息系统中设备的方便管理和查询。
****-********-***-**-****
启用时间
操作系统类型(01:windows 02:unix 03:linux)
服务器类型:(001:活动目录 002:OA 003:邮件…)
设备编号
单位名称
6、服务器配置管理
6.1 目的
对服务器中的配置进行管理,以规范服务器配置管理过程,每一次配置管理过程受控可回溯。实施配置管理的目的在于减少涉密信息系统配置更改和差异化。实现审批授权更改控制书面化,开展系统配置更改影响预测分析,更改效果影响评估,有助于控制更改过程,预防因配置更改造成的对系统安全态势的不利影响。
6.2 服务器配置管理规则
本规则适用于系统中所有服务器以及安全设备的配置项管理,配置项管理可采用手工或软件工具方式进行(软件工具可采用VSS版本控制程序,可对所有配
置项的修订版本进行管理)。
6.2.1 相关部门
信息化主管部门、信息化应用部门、保密部门、信息化实施部门系统管理员和保密管理员。
6.2.2 服务器配置管理流程
a.服务器登记流程
在服务器和安全设备(含安全软件产品)在信息系统中上线部署前,需确认设备的各项配置项(包括IP地址、安全策略设置等),确认部署完后方可上线。
首先由信息化应用部门或保密部门提出服务器和安全产品应用需求后,信息化主管部门组织信息化应用部门、保密部门以及信息化实施部门共同根据应用需求,讨论确认设备的各项配置项设置,形成“服务器配置登记表”,“服务器配置登记表”的内容包括:服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP 地址、支撑软件的配置、应用软件的配置、硬件及软件配置的情况等。交信息化实施部门实施;信息化实施部门实施完成后,提请信息化主管部门和保密部门确认后方可上线部署。
b.配置更改流程
信息系统经过审批投入运行后,应定期进行风险自评估。在信息系统应用环境或需求变化后,分析因需求变化而新出现的安全威胁,可动态调整安全策略,对服务器的配置进行更改,形成“系统配置更改登记表”(见附表1)。服务器配置更改流程如下:
c.配置项维护
在系统的配置项建立和更改修订后,信息化实施部门配置管理员应及时将配置项文档进行归档。如采用软件工具VSS管理,则应及时将更改后的配置项电子文档通过VSS上传到相应项目下进行版本管理和维护。
7、系统日志管理规程
7.1目的
通过制定文档化的明确的系统日志管理规程,规范系统日志查看、分析和保存行为,确保审计日志能对安全事件的事后追查提供足够的信息。
7.2 适用范围
信息系统中的服务器自身审核日志信息和安全产品的安全日志。主要工作人员为系统安全保密管理员。
7.3 系统日志管理规范
7.3.1 日志审核范围
启用服务器系统和安全产品的日志审核功能。系统中需记录日志的范围对服务器、安全产品的启动和关闭、审计功能的启动和关闭、系统内用户的增加和
删除、用户权限的更改、系统管理员/保密员/安全审计员和用户所实施的操作、身份鉴别相关事件、访问控制相关事件以及其它和系统安全有关的事件或专门定义的可审计事件。
定义合适的日志审核策略,确保服务器和安全产品的日志审计记录能提供足够的住处,以确定发生的事件及其来源和结果;并且审计记录应包括事件发生的时间、地点、类型、主体、客体和结果
服务器设置主机审核策略。在Windows平台上常见的可以打开的日志系统包括Windows事件查看器中的应用、系统、安全日志和IIS中WWW、SMTP、FTP 日志。IIS中WWW、SMTP、FTP日志;
7.3.2 日志存储
系统保密管理员应定义服务器和安全设备日志规则,确保系统有充足的日志记录存储空间,防止由于存储空间溢出造成日志记录的丢失,在日志存储空间将满时,系统保密管理员应采取措施覆盖最早存储的日志数据或转存日志数据;在服务器和安全设备出现异常时,存储的日志记录不被破坏,记录至少保存6个月;
7.3.3 日志查看和分析
系统保密管理员应定期(最长一个月)对服务器日志和安全设备日志进行审查分析,调查可疑行为及违观操作,采取相应的措施,并形成日志分析报告;防病毒系统应每周分析一次病毒日志,形成病毒周报。在发生异常事件时,系统保密管理员应及时查看日志信息,并及时通知相关人员。
8、系统用户鉴别管理
8.1 目的
通过规范服务器用户名鉴别方式、重鉴别次别、鉴别失败处理和口令管理,保障服务器访问身份的真实安全。
8.2 应用范围
信息系统中服务器系统、安全设备。适用人员为系统管理员、保密管理员。
8.3 用户鉴别管理规程
8.3.1 用户身份标识符管理
服务器和安全设备本地登录和远程登录均需要进行身份鉴别。系统管理员负责统一生成系统用户身份标识符,并确保身份标识符在此系统生命周期中的唯一
性; 在收到删除用户通知后,安全保密管理员负责即时将用户在系统中的所有帐户和权限废止。
8.3.2 用户身份鉴别方式
在已实施PKI的系统中采用智能卡和口令相结合的方式进行用户身份鉴别。未实施PKI的系统身份鉴别应启用复杂口令策略:口令长度不少于十位,采用组成复杂、不易猜测口令,并定期一周更换口令。
8.3.3重鉴别
设置服务器重鉴别策略,启用屏幕保护程序,在用户空闲操作时间超过10分钟后,用户必须重新进行身份鉴别。
8.3.4鉴别失败
制定安全策略,当用户身份鉴别尝试失败次数达到五次后,对于本地登录,进行登录锁定,同时形成审计事件并告警;对于远程登录(如域登录、网络数据库登录等),对该用户进行锁定,并且只能由安全保密管理员恢复,同时形成审计事件并告警。
9、服务器安全策略设置
9.1目的
规定信息系统内安装有WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准,指导系统管理人员进行WINDOWS操作系统的安全配置。
9.2适用范围
本规范适用的范围包括信息系统中运行的Windows 2000 Server/Windows 2003 Server服务器系统,本规范的使用者包括系统管理员、应用管理员和安全保密管理员。
9.3 系统安全策略设置
服务器系统可采用MOM系统或配置组策略方式统一进行管理。WINDOWS服务器常用的系统安全策略设置如下:
●安装最新系统补丁。及时跟踪Microsoft公司发布SP以及hotfixes的
消息,从而根据具体环境,在机器中安装最新的SP及hotfixes补丁程
序;
●所有磁盘分区都用 NTFS 格式化。NTFS 分区提供访问控制和保护功能,
这些都是 FAT、FAT32 或 FAT32x 文件系统所无法提供的。要确保服务器上的所有分区都使用 NTFS 格式化;
●启用密码必须符合复杂度要求策略、更改密码长度最小值、密码最长存
留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值,保障帐号以及口令的安全;
●禁用或删除不必要的用户。通过在“计算机管理”管理单元中检查系统
上的活动账号列表,管理员可以禁用或者删除所有的不必要帐号(包括GUEST账户,TSInternerUser帐户、SUPPORT_388945a0帐户,重复账号, 测试账号, 共享账号,普通部门账号等等),这些账号很多时候都是入侵系统的突破口。同时,系统的账号越多,存在弱口令的可能性一般也就越大;
●卸载不需要的服务,将暂时不需要开放的服务停止。安装 Windows 2000
Server 之后,应该根据最小化的安全原则来配置系统的服务。额外的不必要的任何网络服务(例如Terminal Services终端服务,IIS服务和RAS服务等)都可能给主机系统带来安全漏洞,尤其应该考虑服务器是否需要运行任何 IIS 组件以及是否运行用于文件和打印共享的 Server 服务;
●只开放必须的端口。当服务器系统中没有安装特殊的网管软件,可以用
Windows系统自带的Netstat命令获得当前系统网络连接的信息(使用的端口和在使用的协议等),显示本地或与之相连的远程机器的连接状态,包括TCP、IP、UDP、ICMP协议的使用情况,了解本地机器开放的端口情况。限制特定执行文件的权限。系统上的所有必要的文件共享应该设置适当的ACL(访问控制权限),以防止未经授权的访问导致可能的信息泄露,并防止恶意用户利用共享作为进入本地系统的入口;
●禁止匿名用户连接,禁止空连接;
●关闭默认共享。缺省情况下,操作系统存在类似如C$、D$、ADMIN$等系
统管理员级的默认共享,一般建议最好的方式就是取消这些管理共享。
可以通过修改注册表的方式来永久删除这些默认的管理共享;
●限制Guest用户权限。在运行 Windows 2000 Server 的系统上,默认情
况下Guest等来宾账号是被禁用的。
●配置系统启动设置,禁止双重或多重启动,设置系统启动等待时间为零。
●打开审核策略。
●重要服务器中使用文件加密系统EFS;禁止DUMP FILE文件的产生;关
机时清除页面文件。
10、补丁升级管理
10.1 目的
制定补丁升级规程,保障服务器和其它安全设备、应用程序保持最新程序状态,规范补丁升级操作,禁止补丁升级过程中由于非涉密系统和涉密系统交叉泄密。
10.2适用范围
本规范的适用范围包括信息系统中的服务器操作、安全设备、数据库系统以及应用系统。本规范的使用者包括系统管理员、应用管理员和安全保密管理员。
10.3补丁升级规程
10.3.1 系统管理员应定期(至迟一星期)查询下载系统最新补丁,提供系统补丁升级。
10.3.2 补丁升级采用中间机方式进行。管理员利用联接Internet的计算机从原厂商的网站下载最新的补丁,然后在本机光盘刻录后,手工将补丁程序转移到中间机中,通过下载的补丁库进行检测病毒和测试升级,测试无误后再将下载的补丁复制到信息系统服务器或安全产品控制台进行升级。
10.3.3 补丁升级后应进行日志记录。
10.3.4 客户端的补丁升级可通过部署SMS或SUS系统来进行。
附件1:
系统配置更改登记表
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
化工企业安全教育培训制度1、目的: 为了使*********有限公司的安全教育培训制度化、规范化,提高安 全教育培训质量和增强职工安全生产意识及自我保护能力,防止伤 亡事故的发生,根据《*********有限公司安全教育与培训管理细则》,特制定本制度。 2、适用范围: 本制度所指的安全教育和培训范围为:全员安全教育;三级安全教育;特种作业人员的安全技术培训、复审;“转岗、复工、调岗、 四新”安全教育;经常性安全教育及民工、临时工的安全教育;管 理人员安全教育培训等。 3、安全教育的形式及内容 3.1、全员安全教育
每年组织对全体职工进行一次全员安全教育,教育内容包括安全生产方针、政策、安全生产知识及安全生产标准化常识等,并组织进行考试,要求合格率达100%。其中:
3.2、三级安全教育 对新入厂的工人、大中专毕业生、复转军人、代培实习人员、临时工等来建设公司工作人员,必须进行厂(公司)级、车间级、班组级三级安全教育,学习时间应不少于72学时,并经考试合格者,方准上岗工作。 3.3、特种作业人员安全技术及培训、复审
3.4、“转岗”、“复岗”、“四新”安全教育
3.5、经常性安全教育 3.6、各生产车间坚持每月一次、班组每周一次的安全生产活动制度,以及班组的班前会。认真做到安全生产“五同时”,讲解本月、本周、本日的工作任务、性质、安全生产要求、注意事项等,要强调 反“三违”以及穿戴好劳动保护用品等。各种活动和会议要有记录,做到时间、人员、内容三落实。 4、管理人员安全教育培训 4.1、公司级干部的安全教育由公司安全环保部组织实施。 4.2、公司中级干部、专业工程技术人员、管理人员及安环员的安全 教育由公司安环科组织实施。
信息工作管理制度 第一章总则 第一条为了加强信息管理,规范信息安全操作行为,提高信息安全保障能力和水平,维护信息安全,促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等规定,以《环境信息网络管理维护规范》(环保部制定)等标准为基本管理操作准则,制订本管理制度。 第二条本制度适用范围为信息与监控中心,其他单位可参照执行。 第二章岗位管理 第三条业务信息工作人员(包括监控与信息中心技术人员及机关业务系统管理人员)、机房运维人员(包括外包机构人员),应遵循《环境信息网络管理维护规范》等规定。 第四条机房运维人员根据运维合同规定由机房管理部门对其实行管理。 第五条信息工作人员岗位设置为系统管理员、业务管理员、网络管理员、安全管理员、安全审计员。 人员岗位及职责 (一)系统管理员 系统管理员是从事服务器及存储设备运行管理的人
员,业务上应具备熟练掌握操作系统、熟练操作服务器和存储设备的能力。 1、负责指定的服务器、存储等设备的资料登记、软件保管及设备报修。 2、配合完成指定的业务软件运行环境的建立,正式运行后的服务器系统软硬件操作的监管,执行中心的备份策略。 3、在所负责的的服务器、存储设备发生硬件故障时,及时组织有关人员恢复系统的运行,针对系统事故找到系统事故原因。 4、负责指定的服务器操作系统的管理口令修改。 5、负责制定、执行服务器及存储设备故障应急预案。 (二)业务管理员(业务联系人) 业务管理员是部署在应用服务器上的操作系统及业务系统运行管理的人员,业务上应具备业务系统安装及基本调试操作的能力(业务软件厂家负责培训),业务系统及部署操作系统故障分析的能力,预防系统风险的能力。 1、负责维护业务系统的运行及业务系统的安装环境。 2、负责制定、执行业务系统及其数据的备份计划。 3、负责业务数据的数据备份及数据恢复。 4、负责制定执行本业务系统的故障应急预案。 (三)网络管理员
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
化工企业安全生产管理规范-制度大全 化工企业安全生产管理规范之相关制度和职责,安全是社会和谐的永恒主题,安全更是企业发展的生命线。在我们生活和工作中,关于安全的话题已经举不胜举,安全关口把不好,可能会使一个人的生命受到威胁,一个家庭的幸福受到破坏,一个企业的... 安全是社会和谐的永恒主题,安全更是企业发展的生命线。在我们生活和工作中,关于安全的话题已经举不胜举,安全关口把不好,可能会使一个人的生命受到威胁,一个家庭的幸福受到破坏,一个企业的发展受到制约。在安全生产过程中的安全问题,运用有效的资源,发挥人们的智慧,通过人们的努力,进行有关决策、计划、组织和控制等活动,实现生产过程中人与机器设备、物料环境的和谐,达到安全生产的目标。 在我公司为了防止重大事故发生,保护职工的安全和健康,为安全生产创造良好氛围做以下几点 1.在近几年来生产过程中,发生突发情况,经过会议都有相应的对策,今年新任的基层干部占公司比例还是想较大的,在今后工作中还要像老干部多学习,上班是要多走多看,预防跑,滴,漏的现象发生。 2. 维修作业时,必须对该设备停产,检修人员进入设备作业后,如对管道检查不仔细,一旦发生漏气、漏液现象,将造成着火、爆炸、烧伤、中毒等严重事故,后果不堪设想,所以工艺人员一定要认真确认与设备连接的所有管道安全和防护措施具备的前提下进行。 3.正确劳保着装,劳动保护并不是简单的穿上工作服即可,在进入化工设备内部作业时;劳保必须起防护作用,有一定的防护要求。在易燃、易爆的设备内,应穿防静电工作服,要穿着整齐,扣子要扣紧。 4.安全帽必须保证帽带扣索紧,帽子与头配戴合适,由于在设备内部作业施工空间不足,很可能出现碰头现象,还要保证帽芯与帽壳间留有一定缝隙,防止坠物打击帽子后帽芯不能将帽奏与头隔开,帽壳直接压在头上造成伤害。因此,帽芯内部要留有够的缓冲距离。 5. 正确穿戴劳保手套,在一些酸、碱等腐蚀性较强的设备内作业要穿戴防酸、碱等防腐手套,手套坏了要及时更换,尤其是夏季作业手出汗多,会降低手套的绝缘性能和出现打滑现象,所以应最好多备几副手套。 6.劳保鞋要采用抗静电和防砸专用鞋。所穿的大头皮鞋,鞋底应采用缝制,不要用钉制,同时要考虑防滑性能,鞋带要系紧,保证行走方便。 当前,化工已成为国民经济的重要支柱产业。随着化学工业的发展,涉及到的化学物质的种类和数量显著增加。但是,由于化工生产具有易燃、易爆、易中毒、高温、高压、易腐蚀等特点,与其他行业相比,很多化工物料的易燃性、反应性和毒性,决定了化工生产潜在的不安全因素更多,危险性和危害性更大。这就要求化工企业必须不断强化企业的安全管理,建立、健全长效的安全管理机制,促进公司的健康、稳定、持续发展。 一、安全生产管理中常见的一些问题 1、领导对安全生产工作重视不够,责任不明 许多领导者片面追求生产进度,严重轻视安全工作,将“安全第一”仅仅停留在口头上,而在政策上、措施上和制度上搞得都是生产第一。只求自己任期内不出事故,对事故隐患视而不见,充耳不闻,更不愿进行长远的安全规划和必要的安全投入。不少事故看起来是发生在职工身上,但根子还是因企业领导者对安全工作重视不够,认识不足,存在麻痹思想和侥幸心理,致
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率, 特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给 IT管理员,IT管理员(填写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由 计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司 或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的 要做相应赔偿,禁止计算机使用人员对硬盘格式化操作。
7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移 或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理 签字认可后交IT管理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组 织鉴定,同意报废处理的,报部门经理批准后按《固定资产管理规定》到财 务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或 改装费用超过或接近同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机 周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进 入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办
化工企业安全管理制度 化工企业安全管理制度 1991年4月14日,化工部 第一章总则 第一条根据中华人民共和国宪法关于“加强劳动保护,改善劳动条件”的规定,为贯彻落实国家各项安全法规、制度和标准,保护国家财产,保证职工在生产过程中的安全与健康,促进化学工业的发展,特制订本制度。 第二条凡化工企业(包括化学矿山、化工机械、化工基建施工单位)均应严格遵守本制度。 第三条企业应认真贯彻“安全第一,预防为主”的方针,为各项工作创造安全卫生的劳动条件,实现安全、文明生产。 第四条企业要采取一切可能的措施,全面加强安全管理、安全技术和安全教育工作,防止事故的发生。 第五条企业除贯彻、执行本制度外,还必须同时严格执行国家和各部委的各有关安全法规、制度和标准。 第二章安全生产职责 第一节基本原则 第六条企业安全工作实行各级行政首长负责制。 第七条企业的各级领导人员和职能部门,应在各自的工作范围内,对实现安全生产和文明生产负责,同时向各自的行政首长负责。 第八条安全生产人人有责,企业的每个职工必须认真履行各自的安全职责,做到各有职守,各负其责。 第二节各级人员安全职责 第九条厂长(经理)安全职责 (一)厂长(经理)是企业的安全负责人,对本企业安全工作负全面责任,必须认真贯彻执行各项生产法规、制度和标准。 (二)重视职工的劳动条件和企业的安全、工业卫生状况,重视女工的劳动保护工作。 (三)批准、发布本企业的各项安全管理制度、安全技术规程、安全技术措施计划和长远规划。 (四)经常深入现场了解掌握安全生产情况,组织开展安全技术研究工作,推广先进的安全技术和管理方法,审定重大灾害事故的预防和处理方案。 (五)建立健全安全组织和机构,根据实际情况,按企业职工总数的千分之二至千分之五的比例,配备、充实安全专业人员,提高专业人员的素质,稳定完全专业队伍。 (六)定期召开安全生产专题会议,及时研究和解决有关安全生产的重大问题,审核引进技术(设备)和开发新产品中的重要安全技术问题。 (七)组织全厂性安全教育与考核工作。 (八)坚持“五同时”原则,即:在计划、布置、检查、总结、评比生产的时候,同时计划、布置、检查、总结、评比安全工作。 (九)企业内实行的各级承包,以及与外单位的各项承包合同中,都必须有安全技术指标、安全管理要求和安全职责等条款,并认真考核。 (十)厂长(经理)不在时,由代理者负责。 (十一)副厂长(副经理)在厂长(经理)指定的工作范围内对安全生产负责。 第十条总工程师(或技术总负责人)安全职责 (一)在厂长(经理)的领导下,对本企业的安全技术工作全面负责。 (二)组织制定、修订和审定本企业各项安全管理制度、安全技术规程,组织编制完全技术措施计划、方案及安全技术长远规划。
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
化工企业安全管理 工作标准 1
化工企业安全管理工作标准 HG/T 23001-92 1 主题内容及适用范围 1.1 本标准规定了化工企业安全管理工作的内容和要求。 1.2 本标准适用于化工企业。 1.3 化工院校和科研单位的化工生产实验厂(车间),亦参照本标准执行。 2 引用标准 GB5306 特种作业人员安全技术考核管理规则 GB6442 企业职工伤亡事故调查分析规则 HG/T23002 化工企业安全处(科)工作标准 3 安全管理机构 3.1 公司(总厂)、大型企业设安全技术处;中小型企业设安全技术科(股)。 3.2 安全技术处(科、股)可根据本厂的实际情况设立气体防护站(或救护室)和监测站(或安全分析室)。 3.3 100人以上的生产车间设专职安全员;100人以下的生产车间设兼职安全员。 2
3.4 生产班组设不脱产的班组安全员。 3.5 专职安全管理干部人数可按企业职工总人数的2‰~5‰范围内配置。 500人以下的企业,其专职安全管理干部不少于2人。 4 各级人员的安全职责 4.1 经理(厂长)对本企业的安全生产和安全管理工作,包括贯彻执行国家法令、法规、制度、标准;审批本企业的各项安全规章制度和安全技术措施计划;定期研究、分析和解决有关安全生产的重大问题;组织全厂性安全教育和安全大检查;贯彻落实各工程项目中有关安全和工业卫生设施”三同时”的方针;以及参加重大事故的处理等工作负全面责任。 4.2 副经理(副厂长)在经理(厂长)指定分管的业务范围内对实现安全生产负责。 4.3 总工程师(或技术总负责人)在厂长的领导下,对企业的安全技术工作负全面责任,如制订、修订各项安全技术规程、研究和解决安全技术的重大问题、重大事故的技术分析以及特殊动火的审批等。 4.4 总机械师、总动力师分别对设备、机械、锅炉、压力容器、电气等分管的业务范围内的安全生产和安全技术管理工作负责。 4.5 车间主任对本车间的安全生产负全面责任。 4.5.1 负责贯彻执行安全生产的各项法令、法规、规程和制度。 3
化工企业安全管理规定DOC 第一章总则 第1条为贯彻落实国家有关职业安全卫生法律、法规、规定和标准,保护国家财产,保证劳动者在生产过程中的安全与健康,促进化学工业的发展,特制订本规定。 第2条凡在中华人民共和国境内的化工企业(下称企业)均要严格遵守本规定。 第3条企业必须认真贯彻“安全第一,预防为主”的方针,为各项工作创造安全卫生的劳动条件,为劳动者提供符合国家规定的必要的劳动防护用品,实现安全、文明生产。 第4条企业要采取一切可能的措施,全面加强安全管理、安全技术和安全教育工作,防止事故的发生。第5条企业除贯彻、执行本规定外,还必须同时严格执行国家有关部门和地方人民政府制定的职业安全卫生的法律、法规、规定和标准。 第二章安全生产职责第一节基本原则 第6条企业法定代表人是安全生产第一责任人,对安全生产负全面领导责任。企业安全工作实行各级行政首长负责制,做到“谁主管,谁负责”。 第7条企业必须建立以安全生产第一责任人或行政首长为核心的安全生产委员会。第8条企业的各级领导人员和职能部门,应在各自的工作范围内,对实现安全、文明生产负责,同时向各自的行政首长负责。第9条安全生产人人有责,劳动者必须认真履行各自的安全生产职责,做到恪尽职守,各负其责。第二节各级人员安全职责第10条厂长(经理) 1、厂长(经理)对企业的安全生产工作全面负责,要牢固树立“安全第一”的思想。
2、严格执行国家和上级有关安全生产的方针、政策、法律、法规、规定和标准,并接受安全教育、培训、考核。 3、建立并落实全员安全生产责任制。 4、建立健全安全生产专门管理机构,充实专职安全技术管理人员。定期听取安全工作汇报,决定安全工作的重要奖惩。 5、主持召开安全生产委员会会议,研究解决安全生产中的重大问题。对本单位无力解决的重大事故隐患,要及时向上级有关部门提出报告。 6、审定安全生产规划和年度计划,确定安全生产目标。签发安全规章制度、安全技术规程、岗位操作法。批准重大安全技术措施项目,切实保证对安全生产的资金投入,不断改善企业的职业安全卫生状况和劳动者的作业条件。 7、坚持安全生产“五同时”原则,即在计划、布置、检查、总结、评比生产的时候,同时计划、布置、检查、总结、评比安全工作。 8、企业内实行的各级承包,以及与外单位的各项承包合同中,都必须有安全生产职责、安全管理要求和安全技术指标等条款,并认真考核落实。 9、发生重大事故必须按有关规定立即上报。事故处理要坚持“四不放过”原则(事故原因没有查清不放过,事故责任者没有严肃处理不放过,广大职工没有受到教育不放过,防范措施没有落实不放过)。 10、副厂长(副经理)在厂长(经理)指定的工作范围内对安全生产负责。 11、检查并考核同级副职和所属单位正职的安全生产责任制落实情况。 12、厂长(经理)不在时,由代理者履行厂长(经理)的安全生产职责。 13、每年向职工代表大会报告安全生产及工业卫生工作情况。 第11条总工程师(或技术总负责人) 1、在厂长(经理)的领导下,对企业的安全技术工作全面负责。 2、组织制定、修订和审定各项安全管理制度、安全技术规程,组织编制安全技术措施计划、方案及安全技术长远规划。 3、协助厂长(经理)组织安全技术研究工作,负责解决安全技术、安全管理上的疑难或重大问题,推广和采用先进的安全技术和安全防护措施。
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
文件编号:RHD-QB-K3865 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 化工企业各级岗位安全操作规程管理制度标准 版本
化工企业各级岗位安全操作规程管 理制度标准版本 操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 1、目的: 建立安全操作规程的制订、审批、检查落实方法,确保所有岗位安全操作规程的完善和执行 2、范围: 所有岗位 3、责任者: 安全部、各车间、科室 4、程序: 4.1安全操作规程的制订审批程序: 甲类岗位的安全操作规程由车间主任、部门主管
负责起草,公司安全部审核,总工程师审定签字后执行。可张挂的张挂在岗位明显位置。 乙类以下岗位的安全操作规程由车间技术主任负责起草,车间主任审核,公司安全部审定后执行。 4.2安全操作规程必须在公司限定时间内完成制定,并整齐张挂,不按时完成的责任人予以经济处罚,由此造成的损失由责任人负责。 4.3安全操作规程制订工作完成,报公司办公室存档和安全部汇总备案。属保密范围的有关人员必须做好保密工作,如有失窃,由责任人承担一切后果。 4.4安全操作规程的宣传落实工作由车间主任、部门主管领导负责,公司安全部、人力资源部负责考核,对有不符合要求的人员按公司的相关制度规定进行处理。 4.5各级安全操作规程的修订程序与制定程序相
同。 4.6安全操作规程的执行检查由公司安全管理人员和车间(部门)负责人进行定期和不定期检查,由车间(部门)负责人进行经常性检查。发现违章现象按员工守则处理。由于违反安全操作规程发生事故时,一律作责任事故从严处理。 4.7公司每次检查,要填写检查记录,并由公司安全部保存。 这里写地址或者组织名称 Write Your Company Address Or Phone Number Here
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
企业信息安全保密管理办法 1.目的作用 企业内部的“信息流”与企业的“人流”、“物流”、“资金流”,均为支持企业生存与发展的最基本条件。可见信息与人、财、物都是企业的财富,但信息又是一种无形的资产,客观上使人们利用过程中带来安全管理上的困难。为了保护公司的利益不受侵害,需要加强对信息的保密管理,使公司所拥有的信息在经营活动中充分利用,为公司带来最大的效益,特制定本制度。 2.管理职责 由于企业的信息贯穿在企业经营活动的全过程和各个环节,所以信息的保密管理,除了领导重视而且需全员参与,各个职能部门人员都要严格遵守公司信息保密制度,公司督察部具体负责对各部门执行情况的检查和考核。 3.公司文件资料的形成过程保密规定 拟稿过程 拟稿是文件、资料保密工作的开始,对有保密要求的文件、资料,在拟稿过程应按以下规定办理: 初稿形成后,要根据文稿内容确定密级和保密期限,在编文号时应具体标明。 草稿纸及废纸不得乱丢,如无保留价值应及时销毁。 文件、资料形成前的讨论稿、征求意见稿、审议稿等,必须同定稿一样对待,按保密原则和要求管理。 印制过程 秘密文件、资料,应由公司机要打字员打印,并应注意以下几点:要严格按照主管领导审定的份数印制,不得擅自多印多留。 要严格控制印制工程中的接触人员。 打印过程形成的底稿、清样、废页要妥善处理,即使监销。 复制过程 复制过程是按照规定的阅读范围扩大文件、资料发行数量,要求如下:复制秘密文件、资料要建立严格的审批、登记制度。 复制件与正本文件、资料同等密级对待和管理。 严禁复制国家各种秘密文稿和国家领导人的内部讲话。
绝密文件、资料、未经原发文机关批准不得自行复制。 4.公司文件资料传递、阅办过程保密规定 收发过程 收进文件时要核对收件单位或收件人,检查信件封口是否被开启。 收文启封后,要清点份数,按不同类别和密级,分别进行编号、登记、加盖收文章。 发文时要按照文件、资料的类别和文号及顺序号登记清楚去向,并填写好发文通知单,封面要编号并加盖密级章。 收发文件、资料都要建立登记制度和严格实行签收手续。 递送过程 企业内部建有文件、资料交换站的,可通过交换站进行,一律直送直取。 递送外地文件、资料,要通过机要交通或派专人递送。 凡携带秘密文件、资料外出,一般要有两人以上同行,必须装在可靠的文件包或箱内,做到文件不离人。 递送的秘密文件、资料,一律要包装密封,并标明密级。 阅办过程 呈送领导人批示的文件、资料、应进行登记。领导人批示后,要及时退还或由经管文件部门当日收回。 领导人之间不得横向传批文件、不得把文件直接交承办单位(人)。凡需有关部门(人)承办的文件、资料,一律由文件经管部门办理。 绝密文件、资料,一般不传阅,应在特别设立的阅文室内阅读。 秘密文件、资料,不得长时间在个人手中保留,更不能带回家或公共场所。 要控制文件、资料阅读范围,无关人员不能看文件、资料。 5.公司文件资料归档、保管过程中的保密规定 归档过程 秘密文件、资料在归档时,要在卷宗的扉页标明原定密级,并以文件资料中最高密级为准。 不宜于保留不属于企业留存的“三密”文件、资料,要及时清理上交或登记销毁,防止失散。 有密级的档案,要按保密文件、资料管理办法进行管理。 保密过程
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
编号:SM-ZD-83884 化工企业各级岗位安全操作规程管理制度 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
化工企业各级岗位安全操作规程管 理制度 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 1、目的: 建立安全操作规程的制订、审批、检查落实方法,确保所有岗位安全操作规程的完善和执行 2、范围: 所有岗位 3、责任者: 安全部、各车间、科室 4、程序: 4.1安全操作规程的制订审批程序: 甲类岗位的安全操作规程由车间主任、部门主管负责起草,公司安全部审核,总工程师审定签字后执行。可张挂的张挂在岗位明显位置。 乙类以下岗位的安全操作规程由车间技术主任负责起
草,车间主任审核,公司安全部审定后执行。 4.2安全操作规程必须在公司限定时间内完成制定,并整齐张挂,不按时完成的责任人予以经济处罚,由此造成的损失由责任人负责。 4.3安全操作规程制订工作完成,报公司办公室存档和安全部汇总备案。属保密范围的有关人员必须做好保密工作,如有失窃,由责任人承担一切后果。 4.4安全操作规程的宣传落实工作由车间主任、部门主管领导负责,公司安全部、人力资源部负责考核,对有不符合要求的人员按公司的相关制度规定进行处理。 4.5各级安全操作规程的修订程序与制定程序相同。 4.6安全操作规程的执行检查由公司安全管理人员和车间(部门)负责人进行定期和不定期检查,由车间(部门)负责人进行经常性检查。发现违章现象按员工守则处理。由于违反安全操作规程发生事故时,一律作责任事故从严处理。 4.7公司每次检查,要填写检查记录,并由公司安全部保存。 这里填写您的企业名字