在一份优秀的方案中,既要包括各项具体的工作环节,时间节点,执行人,也要包括实现方法、需要的资源和预算等,那么具体要如何操作呢?以下是小编精心整理的《信息安全体系建设方案》的文章,希望能够很好的帮助到大家,谢谢大家对小编的支持和鼓励。
第一篇:信息安全体系建设方案
网络信息安全保障体系建设
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案........................................................................ 1
1、建立完善安全管理体系 ................................................................................. 1 1.1成立安全保障机构......................................................................................... 1
2、可靠性保证 ..................................................................................................... 2 2.1操作系统的安全............................................................................................. 3 2.2系统架构的安全............................................................................................. 3 2.3设备安全......................................................................................................... 4 2.4网络安全......................................................................................................... 4 2.5物理安全......................................................................................................... 5 2.6网络设备安全加固......................................................................................... 5 2.7网络安全边界保护......................................................................................... 6 2.8拒绝服务攻击防范......................................................................................... 6 2.9信源安全/组播路由安全............................................................................... 7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
1.1成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要99.999%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
2.1操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。 防病毒:部署防病毒软件,及时更新系统补丁。
数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
2.2系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。 支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。 2.3设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于99.9%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。 服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。 2.4网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。 2.5物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。 2.6网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。 控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。 2.7网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。 2.8拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
2.9信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在DSLAM/LAN交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。
第二篇:建立信息安全体系 保障智慧城市建设安全
智慧城市在国内进行的如火如茶,浩瀚的大工程需要建设者考虑到可能注意的每一个细节,根据智慧城市运营商贝尔信多年来在智慧城市落地实施上的经验总结,建立信息安全保障纵深防御体系是智慧城市建设的主要任务。智慧城市信息安全保障体系应是从智慧城市业务系统概念设计和建设实施,到后期运维各个环节充分保障智慧城市建设的信息安全,形成一个只会成好似建设信息安全保障的完整闭环。
建设信息安全组织保障体系。建立合理、有效的安全组织架构,配备和设立安全决策、管理、执行以及监管的主要责任人员岗位和机构,明确各级机构的角色与责任。建设信息安全制度保障体系。贝尔信认为,建立智慧城市建设信息安全总体方针框架、标准规范和信息安全管理规范、流程、制度体系,作为智慧城市建设信息安全保障的行为准则、依据和指导。
建设信息安全管理保障体系。在信息安全组织、运行和技术体系等标准化、制度化后形成一整套对信息安全有效管理的规定,完善信息安全管理与控制的流程,将高层人员参与、安全绩效考核、人员信息安全意识与技能培训和安全人员上岗/离岗控制等纳入信息安全管理保障体系,保证智慧城市建设安全运行。
建设信息安全技术保障体系。综合利用各种成熟的信息安全技术与产品,与时俱进不断开发适应信息安全新形势的新技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能,从物理、网络、主机、应用、终端和数据几个层面建立起强健的智慧城市信息安全技术保障体系。
建设信息安全灾难恢复体系。建设灾备中心,建立业务连续性计划、应急响应和灾难恢复计划等,定期对相应计划进行有效性评测和完善,定期开展会员参与的应急演练,保证只会成好似运行的业务连续性。
建立定期的信息安全风险测评、评估机制。智慧城市首席运营商贝尔信结合自身经验,认为信息安全测评必须以信息系统风险管理方法作为建立智慧城市安全保障体系的理论基础,建立有效的风险识别、控制和处置机制,定期进行充分的现状调研和风险评估或实施信息系统安全等级保护测评等安全测评过程,及时了解信息系统安全状况,对信息系统存在的风险状况进行评估,并采取相应的有效措施。
第三篇:农村商务信息服务体系建设工作实施方案
农村商务信息服务体系建设工作实施方案为加快丰城市商务信息化建设步伐,提高农村信息化水平和农民掌握市场信息的能力,使商务公共服务更大范围地覆盖农村,为农民增加消费提供信息服务和购销便利,促进农村经济发展,根据商务部《关于实施“新农村商务信息服务体系建设工程”的通知》(商信发[2006]162号)结合我市实际,特制定本实施方案。
一、指导思想、发展目标和实施原则
(一)指导思想:
以建设社会主义新农村为宗旨,全面推进我市新农村商务信息服务体系建设,提升农村信息化应用水平,为农民获取和发布信息服务,为政府采集信息服务,推动农村流通发展,拉动农村消费市场,帮助农民引福致富。
(二)发展目标
建立全市商务信息服务网站,并逐步建立覆盖全市农村的公共商务信息服务网络,将商务信息服务推广到农村基层,提供商品、市场商务信息,提供商务信息化能力培训,促进农村流通工作,推动农村经济发展。
(三)实施原则
1、建立农村商务信息服务体系是一项系统工程,要以农村基层为重点,以农民受益为核心,以不增加基层和农民负担为前提,以点带面,总结经验,逐步开展。
2、农村商务信息服务体系建设工程要充分考虑信息化推广特点。一是要扩大和规范信息源;二是要建立健全信息传播渠道;三是要培育提高信息化应用能力。总体思路是“扩大源
头,建立渠道,提高能力,帮助受益”。
3、根据农村基层信息化实际情况,鼓励开展多种类型商务信息服务形式进行试点,总结经验,以点带面,逐步推广。
二、实施形式和内容
(一)主要形式:①建设商务信息服务站;设立市商务信息服务站,负责本市农村商务信息服务试点工作的组织管理。站长由商业管理办主任兼任,配备工作人员一至三人。主要任务一是组织人员培训;二是查询、整理与发布信息;三是组织开展农副产品购销对接服务;四是建立与维护本地信息发布平台及农副产品流通数据库,为新农村商网建立专门数据库提供基础数据;五组织专家解答农民在农副产品流通遇到的问题;六是根据本市实际情况,开展其它相关的商务信息服务。②建立农村商务信息服务点。结合“一村一品”产业特色,在农副产品集散地、流通协会、专业合作组织等地方设置信息服务点。村级商务信息服务点的主要任务:一是从互联网收集农副产品商务信息传递给农民;二是协助农民将供求信息上传到市服务站工作平台;三是收集当地农副产品的品种、产量、上市时间、销售价格等信息和流通主体的信息,并上传到市服务站工作平台。四是根据当地实际情况,开展其它相关的商务信息服务。③依托新农村商网,建立面向本地区农民的网络信息平台。建设丰城金桥商务网站,作为市服务站工作人员和信息员的工作平台,主要任务是围绕本地区主要农副产品,收集、整理、发布相关政策、供求、产销价格、产品加工与介绍信息,开展咨询互动与购销信息对接服务,建立当地农副产品流通动态数据库,为新农村商网提供基础数据。
(二)主要内容:
1、建设农村商务信息服务点50个。在31个乡镇(街道)设立50个农村商务信息服务点。根据农村实际,围绕农民在新农村商网上查询信息和发布信息这一目标,拟对每个农村商务信息服务点各配备一套电脑、打印机、传真机、电话机等设备。
2、支持兼职乡镇商务信息助理和村级信息员。每个乡镇聘任1-2名乡镇干部作兼职商务信息助理。聘用50名人员作村级信息员。主要任务是:负责本乡镇商务信息服务的组织实施,开展本乡镇、村直接面向农户的各项农业信息综合服务。组织培训和收集农民对生产资料和生活资料的需求信息,并利用网络媒体向农民发送生产、生活资料市场信息,组织本乡镇设立的村级商务信息服务点的工作。
3、培训农户骨干基本商务信息应用能力。对全市
126名种养大户和574名农户骨干进行培训,并为培训合格人员颁发“农村商务信息员培训合格证书”。主要任务是:培训农户骨干使用互联网,提高其掌握和利用农产品市场供求信息开展经营的能力,更好地开展经营,带动其他农民致富。
4、建立信息资源体系,培育涉农网站的农产品专门数据库,为农民提供农村商务信息,建立我市农产品专业数据库。设计、建设、开通丰城金桥商务网站,作为商务信息服务体系的职能部门,主要任务是:扩大农村商务信息来源,增加服务方式,开辟面向“三农”的服务栏目,为农民提供更加便捷有效的信息查询和发布等服务。
5、依托农副产品综合市场,开展公共信息服务,在城区的主要农副产品集散地进行试点。主要任务是:在新老城区的农副产品集散地设立三个公共信息查询服务系统,通过信息发布栏、演示屏等形式,向广大农户提供实时农产品公共商情信息及综合信息服务。
三、实施步骤
农村商务信息服务体系建设采取试点推动、分期实施的建设模式。分三年共建设一个信息服务站,五十个信息服务点,每年建设二十个,在验收合格的基础上总结经验,逐步推进。2008年首先开展如下工作:
(一)2008年1-3月,成立丰城市商务信息服务站,开通丰城金桥商务网站。发展乡镇信息助理,建设好村级信息服务点,分层次、分批次组织好基础知识的培训工作。
(二)2008年4-5月,对试点情况进行调研总结,并在此基础上,着手准备下一步试点推广工作。
(三)2008年下半年至2008年底,进一步扩大试点范围,争取将40%的行政村纳入试点范围。
四、保障措施
(一)组织领导。请求丰城市政府成立由分管副市长任组长,试点乡镇和相关部门单位负责人为成员的“农村商务信息服务体系建设”试点工作领导小组,负
责全市试点工作的统筹领导和协调。由丰城市商业管理办公室负责全市“农村商务信息服务体系建设”的实施和管理工作。
(二)制定标准。制定各乡、镇(农业协会、农副产品集散地)试点的标准和验收办法,年终按照验收办法组织考核验收(具体办法另行制定)。
(三)资金使用。严格按照商务部财政部《公共商务信息服务专项管理资金管理办法》商财发[2006]362号文件执行,统筹好资金的使用和管理,专款专用,提高资金的使用效率(具体办法另行制定)
第四篇:关于电子政务信息安全管理体系建设的问题
关于电子政务信息安全管理体系建设的几点思考
一、概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
二、电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
三、电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
1 加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自主权和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
2 构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
(1)法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。 (.2)电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。 (3)等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
四、 完善安全服务是维护电子政务安全实施的有力保障
1 安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和主权,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。 2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008. [2] 电子政务:安全防护体系构建策略[EB/OL].http://,2009. [3] 金江军.电子政务信息安全体系建设[EB/OL].博客中国,2005. 百度网 搜搜网
第五篇:安全双重预防体系体系建设方案
风险分级管控及隐患排查治理体系
2017年审核计划
*****石化科技有限公司
二0一七年九月
前
言
为贯彻落实省、市、区、镇各级政府关于建立完善企业安全风险管控和隐患排查治理双重预防机制的具体要求,我公司成立了以总经理为组长的风险分级管控和隐患排查治理体系审核工作领导小组,由安全部牵头各车间主要负责人及技术人员配合,对企业生产过程及安全管理中可能存在的人的不安全行为、物的不安全状态和管理缺陷等进行辨识,确定了安全风险点的存在状态,通过历时近两月的时间,逐个对公司平面布置、安全管理、各生产车间、维修、消防和后勤(办公室、财务、供应、销售、食堂)进行了设备设施和作业风险点再查找,并对查找出的风险点逐个进行了危险因素再次进行辨识、分析、评价、汇总,并验证已采取的风险管控措施的有效性,根据各风险点的风险级别重新审核制定了风险分级管控措施,明确了管控负责人,制定了隐患排查治理体系,根据各风险点的风险等级特点,明确了检查的等级、频次和责任人。
随着国家有关安全的法律、法规、标准的不断更新及公司进一步发展新的技术创新,公司将依据本办法程序对相关的风险点重新进行辨识、分析,不断完善安全风险管控和隐患排查治理体系。
*****石化科技有限公司
**【2017】字第09-002号
关于成立“风险分级管控与隐患排查治理两个体系审核”
领导机构的通知
公司各部门:
为贯彻落实省市县安委会关于推进安全生产风险分级管控与隐患排查治理两个体系建设的一系列工作部署,结合***安监局领导指示精神,经公司研究决定成立关于两体系评审工作领导小组。
一、领导小组成员:
组 长:*** 副组长:*** 成 员:******
公司成立两个体系审核工作领导小组并下设办公室,办公室设在公司安全部,****同志兼任办公室主任。
二、工作职责:
(一)风险分级管控和隐患排查治理体系审核领导小组工作职责
1.审定公司安全生产风险分级管控和隐患排查治理体系建设方案制定;
2.确定公司风险分级管控和隐患排查治理体系建设总体目标、风险承受度,批准风险管控策略、风险分级管控和隐患排查治理解决方案;
3
3.了解和掌握公司面临的各项风险及风险分级管理现状,做出有效控制风险的决策;
4.负责风险分级管控和隐患排查治理其他事项。
(二)办公室工作职责
1.组织协调风险分级管控和隐患排查治理体系建设的日常工作; 2.研究提出公司决策、事件和业务流程的风险识别、评估标准; 3.研究提出公司风险分级管理策略和隐患排查治理解决方案,并负责该方案的组织实施和对该风险的日常监控;
4.负责对风险分级管理有效性评估,研究提出风险分级管控的改进方案;
5.负责组织建立风险管理和隐患排查治理信息系统; 6.负责指导、监督各车间、部门开展全面风险管控和隐患排查治理工作;
7.分析识别公司主要风险,负责组织内控制度的建立、完善、执行、评估工作。
*****石化科技有限公司
2017年9月
主题词: 两个体系审核、通知
报:
总经理
送: 各部门
公司办公室
存档
4
******石化科技有限公司
**【2017】字第09-003号 关于下发“****石化科技有限公司风险分级管控与隐患排查治理两
个体系审核实施方案”的通知
公司各部门:
为贯彻落实省市县安委会关于推进安全生产风险分级管控与隐患排查治理两个体系建设的一系列工作部署,结合***安监局领导指示精神,现将“两个体系审核实施方案”下发给你们,望各部门积极落实文件精神。两个体系审核工作方案如下:
一、指导思想和任务目标
深入学习贯彻总书记、李克强总理关于安全生产系列重要讲话精神,牢固树立安全发展观念,强化安全生产责任落实,在全公司各部门建立风险分级管控体系的基础上,本再次全面排查、辨识、评估安全风险,落实风险管控责任,验证现有控制措施的有效性,严格控制重大安全风险,对风险点实施标准化管控;进一步建立完善隐患排查治理体系,全面排查、及时治理、消除事故隐患,对隐患排查治理实施闭环管理。提升公司安全生产工作水平,确保安全生产形势持续稳定好转。
二、主要任务和工作步骤
(一)全面动员部署(9月1日-9月10日)
各部门认真学习、深刻领会“两个体系”建设的重大意义、目的和工作内容,通过召开会议、专题讲座、观摩学习等多种形式,向员工
5
宣讲“两个体系”建设在安全生产工作中的重要性和防范事故的重要作用。广大职工立即行动起来,积极主动学习同行业风险分级管控和隐患排查治理先进企业的经验做法,按照鲁政办字〔2017〕36号文件和东安发{2017}4号文件要求,排查风险点、落实管控措施,排查消除隐患,防范各类事故发生。
(二)完善标准体系和作业指导书(9月11日-9月20日) 下一步,我公司将联系上级部门,咨询中介机构和相关专家,系统总结风险分级管控与隐患排查治理的经验做法,制定出企业“两个体系”审核指导性的工作流程、实施指南、配套管理制度和运行案例等文件,在此基础上,整理形成可借鉴、可推广、可套用的风险分级管控与隐患排查治理标准,便于依照进行“两个体系”审核工作。
(三)开展两个体系建设培训(9月21日-10月10日) 按照分类指导、由点带面的原则,面向各部门人员和安全管理人员,组织开展多形式、多渠道、多层面的专题培训。编制培训计划,保障培训经费,抓好师资队伍,采取现场观摩学习、集中培训、上门授课、咨询答疑等多种形式,开展“两个体系”建设工作流程、实施指南、配套管理制度和运行案例等内容的培训,同步进行信息平台工作方法、业务流程、应用系统操作的培训。公司安委会办公室负责组织个部门负责人、安全管理人员及职工骨干进行培训。通过深入、广泛的培训,使员工知道“做什么、怎么做”,使各部门负责人知道“管什么、怎么管”。
(四)全面督促推进(10月10日-10月31日)
各主管领导通过示范带动、分片包干推进、网格化实名制、 检
6
查督导等方式,认真组织本部门进行“两个体系”建设与审核工作。要按照标准规范,参照同类型标杆企业的经验做法,积极做好“两个体系”建设实施工作。在“两个体系”建设方面有困难的,可通过购买服务方式,委托相关专家和安全专业服务机构帮助实施。要以监督推动工作落实,将安全风险分级管控、隐患排查治理作为监督的重点内容,持续开展针对性检查,建立完善台账,掌握公司“两个体系”建设进度,对未落实相关要求的,发现一起,监督整改到位一起,确保各项工作任务按时限和标准要求全部完成。
(五)总结评审阶段(11月1日-11月15日)
根据前阶段和工作,收集各车间部门的风险辨识管控与隐患排查治理的清单和相关台帐,更新风险信息与风险管控措施,编制、更新风险管控清单,持续改进,安全部负责对“两个体系”建设情况进行一次系统性评审总结工作,形成评审报告。
三、保障措施和相关要求
(一)提高认识。建立完善风险分级管控和隐患排查治理双重预防机制,是省、市、县政府确定的解决“认不清”、“想不到”问题,创新安全监管模式,实现关口前移、精准监管、源头治理、科学预防,加强安全生产工作的重大决策,是从根本上防范事故发生,构建安全生产长效机制,促进我公司安全生产形势稳定好转的一项重点工作,各部门和全体员工要充分认识“两个体系”建设的重要性和紧迫性,提高认识,统一思想,进一步增强责任感和紧迫感,主动作为,想办法、出实招、求实效,以更大的决心和力度抓好落实。
(二)加强领导。各部门要安排专门工作力量具体督促协调,细化责任分工,明确时间进度,建立情况交流、考核通报和跟踪督
7
办制度,精准发力,推动落实。要将“两个体系”建设与当前全镇集中开展的安全生产隐患大排查快整治严执法集中行动紧密结合起来,将“两个体系”建设情况作为重点内容进行督促检查。
(三)配合联动。齐抓共管,密切配合,形成合力,共同推进体系建设工作。各单位组织动员职工参与和监督企业风险分级管控和隐患排查治理工作,落实职工岗位安全责任,推进群防群治。
(四)专家指导。“两个体系”建设是一项创新性强、技术复杂的系统工程,要建立专家咨询机制,邀请高层次、高水平专家和专业技术服务机构,参与“两个体系”顶层设计、方案制定、标准研究、评估论证,提出一系列指导意见或工作指南,确保相关工作的科学性、实效性。
(五)严格考核。公司安委会办公室将组织制定工作考核标准,以各部门“两个体系”建设工作任务完成情况和公司“两个体系”实际运行情况为重点,对各部门组织检查督导,对工作被动应付、体系建设落后的部门给予通报批评,并在评选安全生产先进班组中“一票否决”。对懒办怠办,工作进度严重滞后、影响全公司整体工作推进的,要按规定严肃处理。
****石化科技有限公司
2017 年9月
主题词:两个体系审核、通知
报:
总经理
送: 各部门
公司办公室
存档
8