方案具有明确的格式和内容规范,要求其具有很强的实践性和可操作性,避免抽象和假大空的内容,那么具体如何制定方案呢?下面是小编为大家整理的《安全等保三级建设方案》,仅供参考,希望能够帮助到大家。
第一篇:安全等保三级建设方案
医院信息化安全等保解决方案(本站推荐)
医院信息化安全等保解决方案
发布日期:2014-03-10 浏览次数:408
一、行业背景与需求
为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)(以下简称《指导意见》)。为贯彻《指导意见》,办公厅同时下发《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)(以下简称《通知》),对卫生行业各单位提出如下要求:
■ 2012年5月30日前完成本单位信息系统的定级备案工作;
■ 根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案;
■ 2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。
《指导意见》根据《信息安全技术信息系统安全等级保护定级指南》(以下简称《定级指南》)、《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》),建议三级甲等医院的核心业务信息系统安全保护等级原则上不低于三级。各省卫生厅根据《指导意见》、《定级指南》、《基本要求》等相关规定,并结合本区域现状提出本区域内三甲医院定级要求,大部分省(市)定级要求如下:
二、迪普解决之道
为帮助三甲医院落实国家信息安全等级保护制度与卫生部信息安全等级保护工作要求,迪普科技从主机安全、应用安全、数据安全与备份恢复四个层面为三甲医院提供融合化的等级保护解决方案。 ■ 整体思路
医院网络一般分为两张物理网络:内网(业务网)和外网(办公网)。内网主要承载着HIS、LIS、PACS等医院三级信息系统,外网主要承载医院OA、网站、mail等二级信息系统。《基本要求》中规定不同安全保护等级的信息系统应该具备相应的基本安全保护能力,应满足相应的基本安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求包含物理安全、网络安全、主机安全、应用安全和数据安全几个层面。本方案针对医院内外两张物理网络及其承载的信息系统,分别从网络安全、主机安全、应用安全、数据安全四个层面进行设计。
网络安全、主机安全、应用安全、数据安全均包含多个控制点,而每个控制点又包含多个具体的技术要求项,本方案针对其中具体项要求提出以下的安全措施,如下表所示:
■ 方案描述 医院内网信息安全等级保护方案设计,如下图所示:
图1 首先,将医院内网分为多个安全区域,数据中心区、终端接入区、安全管理区、灾备中心与外联区域。 根据不同的业务系统与安全区域划分VLAN,在每个区域边界部署DPtech FW1000防火墙,根据访问需求配置安全访问控制策略。对于重要区域边界部署(数据中心前端与外联区域边界)IPS2000入侵防御系统 /UTM2000统一威胁管理系统/DPX8000深度业务交换网关,对应用层攻击进行检测与在线防御,并在线过滤网络病毒、恶意代码;
内网终端部署DPtech TAC终端接入控制系统,对内网接入终端进行准入控制、状态评估与终端行为审计,对内部终端通过多网卡、代理等方式的非法外联行为进行阻断;
在数据中心区域中旁路部署DPtech UAG3000审计网关,与TAC系统进行联动,实现用户、IP、数据库操作的三层业务日志关联,能够帮助发现医院HIS系统存在的滥用、误用、恶意使用的行为;
数据中心部署DPtech ADX3000应用交付产品,实现重要业务系统负载均衡,在确保重要业务系统可靠性的同时,优化业务系统的服务能力;
在安全管理区部署DPtech UMC统一管理中心与DPtech Scanner1000漏洞扫描系统,为安全管理提供必要的技术手段,并集中收集、存储数据库审计日志、内网终端行为审计日志、防火墙与IPS业务日志等。
医院外网信息安全等级保护方案计设,如下图所示: 图2 医院外网分为对外服务器区、互联网区、终端接入区、安全管理区几个安全区域。
对外服务器区前端部署DPtech FW1000防火墙,对服务器访问行为进行控制,并同时部署DPtech
WAF3000 Web应用防火墙,对医院门户网站进行重点防护,针对WEB攻击漏洞进行全面检测和加固,防止网站被攻击与篡改;
互联网边界部署DPtech FW1000防火墙、DPtechIPS2000入侵防御系统,构成2-7层的安全防护体系,实现远程数据加密,防止非授权访问,检测与阻断应用层攻击,并防御蠕虫、病毒、木马等网络攻击;
部署DPtech UAG3000审计及流控网关,对外网用户的上网行为进行控制,合理分配带宽,并对上网行为进行审计;
部署DPtech TAC终端接入控制系统,对外网接入终端进行准入控制、状态评估与终端行为审计,防止非法终端与不安全终端接入网络,检测外网终端的安全漏洞,结合第三方补丁服务器修复漏洞,并对外网终端的网络使用行为、桌面使用行为进行管控;
在安全管理区部署DPtech UMC统一管理中心,对安全设备进行集中管理。
方案设计参考标准
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008信息安全技术信息系统安全等级保护实施指南 GB/T 20271-2006 信息安全技术信息系统安全通用技术要求 GA/T 708-2007 信息安全技术信息系统安全等级保护体系框架 GA/T 709-2007 信息安全技术信息系统安全等级保护基本模型 GA/T 709-2007信息安全技术信息系统安全等级保护基本配置
信息安全技术信息系统等级保护安全建设技术方案设计规范
信息安全技术信息系统等级保护安全设计技术要求
信息安全技术信息系统安全等级保护测评要求 ……
三、为什么选择迪普
迪普科技“医院信息系统等级保护解决方案”依据国家信息安全等级保护相关政策标准与卫生行业的相关标准与要求,结合医院信息化安全实际需求进行设计,可全面提升医院信息安全防护能力与安全管理能力。主要具备以下特点: ■ 合规性
本方案全面依据《定级指南》、《基本要求》等相关标准,结合迪普科技丰富的等级保护建设经验,充分理解《信息系统安全等级保护测评要求》,对其中的每一项要求均有相关的产品功能、安全策略与之对应(除非网络产品涉及的要求外),采用本方案的医院信息化系统可充分满足国家与医疗行业等保建设要求。 ■ 融合化
医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理、重要业务系统备份几个方面。迪普科技专注于网络安全与应用交付领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。 ■ 高可靠
医院信息化系统与医疗业务息息相关,业务系统的可靠性、连续性要求占首位,安全建设不能增加额外的故障点。迪普科技安全与优化类产品广泛运用于电信运营商行业,具备电信级可靠性,同时支持业内领先的“静默备份”、“虚拟化”等双机备份技术,对于重要的HIS系统、数据库等可提供硬件负载均衡产品实现智能备份,从而全面提升医院信息化系统的可靠性。 ■ 易管理
医院信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,迪普科技以UMC统一管理中心为核心的安全管理解决方案,实现安全设备的统一管理,设备状态集中监控,安全策略集中下发,对海量安全日志进行集中采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时对网络安全状况进行分析,其可视化展现的方式极大的降低了网络管理复杂度。
第二篇:城乡养老服务“三级中心”建设方案
根据省民政厅、住建厅、质监局、卫计委、老龄办联合下发的《关于印发<省城乡养老服务三级中心建设指导规范(试行)>的通知》和市政府《关于<印发市全面放开养老服务市场提升养老服务质量的实施意见等三个文件>的通知》文件要求,2020年我市城乡养老服务“三级中心”建设覆盖率需达到60%以上。结合工作实际,现将我市2020年建设实施方案制定下发。
一、建设任务
我市2020年具体建设任务为乡镇(街道)养老服务指导中心11个、社区养老服务中心站5个、村级养老服务站29个(详见附件1)。
二、运营方式
乡镇(街道)、社区(村)为三级中心运行主体,负责机构的日常管理职责,市民政局对运营情况进行监督。对辖区内三级中心实行统一标识、统一规范标准,提高辨识度和服务效益。探索培育专业运营主体,推动居家养老服务企业(社会组织)专业化、品牌化、连锁化发展。鼓励以乡镇或村为单位,将辖区内社区(村)养老服务中心(站)打包交由社会力量运营管理。
三、建设任务分解
(一)乡镇养老服务指导中心
1、职能定位。受乡镇委托,负责受理与审核各类养老服务补贴申请;
受县级民政部门委托,负责受理和开展辖区内老年人需求评估;
负责涉老政务资源整合,提供一站式涉老政务咨询和业务办理;
做好乡镇范围内养老服务设施资源(农村特困人员供养服务机构、乡镇卫生院)和人力资源(低龄老年人、农村留守妇女等)的整合与利用;
发展农村居家养老服务互助队伍,进行相应的人员培训和管理;
组织开展农村老年人联系人登记和探视走访;
指导签订辖区家庭赡养协议,营造农村养老服务良好氛图。
2、建设数量与地点。根据核定的建设任务,我市今年拟在霞西、竹峰街道等11个乡镇(街道)设立乡镇养老服务指导中心,设置在特困人员供养服务机构、乡政府当地村委会或卫生院等(详见附件1)。
3、建设规模。按要求不低于500平方米。
4、人员配备。按要求管理人员配备不少于5人,由乡镇民政所工作人员、敬老院管理人员、其他招聘、购买服务人员组成。
5、功能设置:
(1)辅助管理功能。设置养老服务补贴受理窗口,受乡镇委托,负责受理与审核辖区内各类养老服务补贴申请;
设置一站式涉老政务咨询和办理中心,整合民政、卫生计生等涉老政务资源,为老年人咨询办理涉老业务提供便利;
设置老年人能力评估室,为第三方评估机构提供评估场所,受县(市)级民政部门委托,负责受理和开展所在辖区内老年人需求评估;
受乡镇委托,组织基层老年协会、村医、留守妇女等力量,或通过政府购买服务方式,指导承接服务方,开展辖区内农村老年人联系人登记和探视走访;
联合司法所、村委会,督促子女与老年人签订赡养协议;
指导村级养老服务站建设和日常运营。
(2)队伍培育功能。在乡镇范围内培育成立基层老年人协会;
组织低龄老年人、农村留守妇女等力量,发展农村老年人自助互助服务队伍,进行人员登记管理和志愿服务储蓄登记,并开展相应的养老服务技能培训;
委托专业机构等,对照护老年人的家庭成员开展照护技能培训和指导。
(3)为老服务功能。根据需要设置餐厅、浴室、护理站、文娱中心等为老服务场所,为周边社区老年人提供助餐、助浴、健康指导、文化娱乐等服务;
设施规模较大的,可设置日间照料床位或全托床位,全托床位设置原则上少于10张,主要为辖区内失能失智老年人提供短期托养服务,对短期托养结束后有集中住养需求的老年人,就近就便转介至面向社会开放的特困人员供养服务机构等养老机构。乡镇养老服务指导中心服务功能一般交由特困人员供养服务机构、其他专业社会力量承接,实行社会化收费。
(二)社区养老服务中心
1、职能定位。为社区老年人就近直接提供日托、全托以及上门服务,或者与社区内其他为老服务企业(社会组织)实行资源共享,作为其合作机构,统筹提供服务;
提供助餐、助浴等服务;
提供文体娱乐活动、教育学习活动及场所设施。
2、建设数量与地点。根据核定的建设任务,我市今年拟在南山街道白云社区等5个社区设立社区养老服务中心(详见附件1)。与社区综合服务设施、卫生服务站点、文化服务设施等综合设置。
3、建设规模。以社区为主体,以服务半径、覆盖人口和功能配备为依据设置,以服务半径设置的,应以该社区任何一个点到相邻的社区养老服务中心20分钟左右的距离配置;
以覆盖人口设置的,一般应在1万人左右(其中老人人口比例15%以上)。可采取“主体服务区+加盟服务点”模式建设,主体服务区建筑面积按要求不低于200平方米。
4、人员配备。社区养老服务中心鼓励通过公开招标等方式,无偿或低偿交由社会力量运营管理,运营方根据功能设置配备相应的日常服务、养老护理、供餐服务、助浴服务等人员。
5、功能设置:社区养老服务中心功能设置以为老服务为主,一般应具备以下功能:
(1)集中照护服务。依托社区养老服务中心主体服务区,重点设置日间照料床位和全托床位,建筑面积较大的可建设社区嵌入式小微养老机构,聚焦社区高龄、失能失智等老年人集中照护刚需。
日间照料床位主要为社区高龄等老年人提供日托服务;
全托床位主要为社区居家失能失智老年人提供短期托养服务;
小微养老机构主要为社区失能失智老年人就近提供集中照护服务,鼓励其重点发展短期托养服务,提高床位使用效益。
社区养老服务中心必须与周边各类养老机构签订转介服务协议,对日托服务对象、短期托养服务对象中有长期集中住养需求的老年人,优先转介至相宜的养老机构。
(2)助餐助浴服务。设置助餐点、助浴点,为社区居家老年人开展助餐、助浴服务。具备设施规模条件的,可设置社区老年食堂,直接开展供餐服务。
(3)健康指导服务。具备条件的,可在社区养老服务中心同步设置护理站,配备相应医务人员,为老年人提供医疗卫生服务。不具备条件的,依托周边社区卫生服务机构开展健康服务。
(4)文化娱乐服务。利用社区综合服务中心、文化中心等设施,为社区居家老年人提供活动场所,搭建活动平台,为老年人提供文化娱乐、集中教育学习等服务。
以上服务功能可根据设施规模、区城位置等情况单独设置或综合设置。
(三)村级养老服务站
1、职能定位。为农村老年人就近直接提供日托、全托以及上门服务,或者与农村特困人员供养服务机构等为老服务机构实行资源共享,作为其合作机构,统筹提供服务;
提供助餐、助浴等服务;
提供文体娱乐活动、教育学习活动及场所设施。
2、设施规模。以行政村为主体设置,可以利用农村幸福院、闲置村委会办公用房、闲置校舍、农村特困人员供养服务机构整合撤并后闲置设施等资源单独设置,也可与运营中的农村特困人员供养服务机构、农村社区综合服务中心等已有设施综合设置,建筑面积一般不低于200平方米。
3、人员配备。通过基层老年协会进驻、发展互助自助队伍、无偿交由社会力量运营等方式,充实服务人员力量,一般每个站点配置人员不少于3人。
4、建设地点。根据我市实际,每个乡镇同步设置2--5个村级养老服务站,建设任务为29个(详见附件1)
5、功能设置。村级养老服务站功能设置以为老服务为主,一般应具备以下功能:
(1)集中照护服务。设置日间照料床位和全托床位,为农村失能失智老年人提供日托或短期托养服务,全托床位设置原则上不少于10张。村级养老服务站可与周边各类养老机构签订转介服务协议,对日托服务对象、短期托养服务对象中有长期集中住养需求的老年人,优先转介至相宜的养老机构。
(2)助餐助浴服务。建设农村老年食堂,通过政府购买服务或引导社会力量运营等方式,为农村留守、高龄、失能等居家老年人提供用餐和助餐服务。在村级养老服务站设置助浴点,重点为农村失能失智、高龄等老年人提供助浴服务。
(3)健康指导服务。结合老年人健康管理和家庭医生签约工作推进,为村医开展基本公共卫生服务提供免费场地,为农村老年人提供健康指导服务。
(4)文化娱乐服务。利用村级养老服务站,为社区居家老年人提供活动场所,搭建活动平台,为老年人提供文化娱乐、集中教育学习等服务。
(5)活动场所支持。为农村老年人开展自助互助服务提供地支持。
以上服务功能可根据设施规模、区城位置等情况单独设置或综合设置、条件有限的村,各项服务功能可暂不兼具。
四、实施步骤
摸底阶段(4月1日--5月30日):按照三级养老中心建设要求,由乡镇(街道)提出申请,市民政局会同各乡镇(街道)对拟建设地点进行实地查看,确定年度建设任务。
建设阶段(6月1日--10月30日):各乡镇(街道)按照三级养老中心职能定位和功能设置,完成建设任务,配齐三级中心的所需设施,确保正常投入运行;
市民政局指导并建立健全各项规章制度,规范日常管理。
验收阶段(9月1日--11月15日):各乡镇(街道)根据建设实施进度,以乡镇(街道)为单位向民政局提交验收申请,市民政局会同相关乡镇(街道)分批次依照项目实施方案对项目建设进行竣工验收。
资金拨付(11月25日--12月20日):项目建设完成后,以乡镇(街道)为单位提交经审核后的各项目完整建设资料,市民政局审批后于12月底前完成奖补资金拨付。
五、建设资金奖补方式及限额
对建成并投入运行的城乡养老服务“三级中心”采取以奖代补方式进行建设资金补助。建设资金奖补由项目建设单位提出申请(附件2),提供建设工程支付凭证、物品采购发票等票据。建设工程支出5万元以上的需提供审计报告。经乡镇(街道)审核后,提交市民政局审批。市民政局依据建设实际支出给予部分建设补助,补助标准一般不超过项目总投资额的80%,具体方案如下:
(一)乡镇(街道)养老服务指导中心
1、新建:新建房屋要符合相关规划要求,程序完善,产权应属于集体所有,根据建设实际支出给予部分补助,原则上不超过30万元(含设施设备购置费用,下同)。
2、改扩建:改建房屋产权应属于集体所有,采取租赁房屋建设的,租赁期需达五年以上。对原房屋进行较大改建的,建设补助原则上不超过20万元,对于一般装修、装饰类建设的,建设补助原则上不超过10万元。
3、依托辖区内社会办养老机构建设的视情给予补助,原则上不超过5万元;
依托公办养老机构建设的原则上不予补助。
(二)社区(村)养老服务中心(站)
1、新建:新建房屋要符合相关规划要求,程序完善,产权应属于集体所有,根据建设实际支出给予部分补助,原则上不超过20万元。
2、改扩建:改建房屋产权应属于集体所有,采取租赁房屋建设的,租赁期需达五年以上。对原房屋进行较大改建的,建设补助原则上不超过15万元;
对于一般装修、装饰类建设的,建设补助原则上不超过10万元;
对于原社区日间照料中心升级建设的原则上不超过8万元。
3、依托辖区内社会办养老机构建设的视情给予补助,原则上不超过3万元;
依托具备慈善属性的机构建设的,根据实际支出进行部分补助,原则上不超过10万元;
依托公办养老机构建设的原则上不予补助。
六、工作要求
(一)加强组织领导。市民政局负责对全市三级中心建设工作的组织、领导、协调和督查,并纳入年度考核;
各乡镇(街道)负责对本辖区三级中心建设工作的组织协调和监管;
各项目实施单位要发挥三级中心建设和管理责任主体作用,抓好基础设施建设和管理工作。
(二)规范资金使用。各项目实施单位要严格对照资金使用范围,实行专款专用,不得擅自改变或扩大使用范围;
不得用于办公、生活等非生产性设施建设和人员福利支出;
各乡镇(街道)做好辖区内项目资金使用的指导、督查。
(三)上报有关材料。项目实施完成后,要将房屋整修、设施配置等票据复印件,连同项目建设情况报市民政局备案。市民政局会同有关乡镇(街道)根据完成情况,开展竣工验收和资金拨付工作。
第三篇:安全生产三级控制措施方案
延边供电公司安全生产目标“三级控制”措施
为了认真贯彻“安全第
一、预防为”的方针,保证员工在电力生产活动中的人身安全,保证电网安全可靠供电,严格执行《电业安全工作规程》和《安全生产工作规定》,加强安全管理,防止各类事故发生,确保公司安全生产稳步发展,经公司研究决定在全公司范围内进一步开展安全生产目标管理三级控制活动。落实安全生产责任制,真正实现一级抓一级,一级为一级负责。
一、 活动的目的:
(一)班组控制异常未遂,不发生轻伤和障碍。异常既指设备的不正常运行状态,未遂既指人员在生产过程中发生的违章和未造成后果的不安全行为,各班组结合本班实际组织开展自查,查找异常和未遂的表现,针对查找出的表现,制定控制措施。
(二)基层控制轻伤和障碍,不发生重伤和事故。轻伤指生产作业人员在生产过程中发生的人员轻伤事故,障碍指设备在运行过程中发生的不正常运行状态,但没有构成事故者,要结合本单位实际制定控制措施。
(三)公司控制重伤和事故,不发生人身重伤以上事故、重大设备损坏事故和电网事故。重伤既指生产作业人员在作业过程中发生的人身重伤事故,事故指设备在运行过程中发生的不正常运行状态,按事故调查规程规定构成的事故,并且按以上原则制定全公司的控制措施。
(四)各单位各班组按三级控制的原则逐级制定出具体的符合实际的控制措施,每年进行修改补充完善,并报安全监察部审批。
二、 活动内容及控制措施
(一)加强职工队伍培训,提高职工的综合素质。花大力气提高干部职工安全技术业务素质,拓展安全培训教育和技术业务培训范围,主要学习内容:
(1) 习电业安全工作规程(发电厂变电所、电力线路、热力机械)和电力建设工作规程。
(2) 学习国家电力公司颁布《安全生产工作规定》。
(3) 国家电力公司新颁布《防止电力生产重大事故的二十五项重点要求》 (4) 学习国家、网、省及延边供电公司有关安全生产文件、规定、事故通报。
(5) 学习专业技术规程,包括运行、检修工艺规程。 (6) 学习国家电力公司新颁《电力生产事故调查规程》。
(二)充分发挥安全生产保证体系和安全生产监督体系作用,强化安全生产监督机制。
(1)贯彻落实各级人员安全生产责任制,按着省公司《各级人员安全生产职责》及延边供电公司“五到位”标准,各级人员认真履行其安全职责,做到真正上岗到位。
(2)认真制定年度生产工作规划目标,按照国家电力公司《防止电力生产重大事故的二十五项重点要求》和省公司《防止人身事故的二十一项重点要求》及延边供电公司《防止人身事故措施》,认真制定年度反事故措施计划、安技劳保措施计划,并做到百分之百落实。
(3)对于大型和较复杂的工作,作业前要组织专业人员认真进行现场实地调查,制定详尽的、符合实际的安全技术措施。并组织作业人员认真学习讨论,全面贯彻落实。
(4)加强生产工作的全过程管理和对各单位生产工作实行有效监控,从而规定各单位除保修和正常运行操作以外的送、变、配电作业,严格执行申请制度,各项作业严格执行“两票、三制”。加强保修管理,严格执行修理票制度,以便监督检查层层把关。
(5)大力开展“三不伤害、三级控制、标准化作业和危险点控制”活动,严格执行《电业安全工作规程》和“两票三制”;严格遵守调度纪律,用标准化作业程序,规范职工在安全生产全过程中的动作行为,遏止违章行为的出现。
(三)开展安全性评价工作
要利用春秋检工作的有利时机开展安全性评价工作。各单位领导要高度重视此项工作,成立安全性评价领导小组,要边春检,边查评,保证查评质量。对查出的问题进行认真分析,及时整改。
(四)强化班组安全管理
1、强化班组安全管理,必须坚持每周一次的安全活动和每天的班前、班后会。安全活动要组织学习上级有关安全生产文件、电视电话会议精神、规章制度及各项规程,学习事故通报、简报,总结一周安全情况,分析一周内发生的不安全现象,布置下周安全工作重点;班前会在布置生产工作任务的同时布置安全工作和安全注意事项,班后会要在总结一天工作的同时总结安全情况。
2、坚持每月一次的公司、基层两级安全例会制度,分析总结上月安全情况和分析不安全现象,堵塞安全管理漏洞,布置下月安全工作,让安全生产的警钟长鸣。
3、加强安全工器具管理,从定货选型、选厂试验、保管使用等方面严格把关,必须选用经过国家劳动部、电力部鉴定的,有电力系统网省局入网证的合格产品,并按期试验,确保作业人员的人身和设备安全。
4、发挥安全监察监督网络作用,加大安全监察力度,继续实行重奖重罚,狠反习惯性违章,对违章实行三个百分之百。
5、认真监督检查两措计划的落实,确保两措计划百分之百完成。
6、定期、不定期的举办两票培训学习班,提高两票执行中的合格率,保证两票填写、执行、考核的检查质量,确保两票合格率达100%。
7、加大安全奖罚力度,继续实行安全风险抵押,继续实行重奖重罚。充分发挥激励机制与约束机制的作用,严格执行《安全生产奖罚规定》和《管理违章、习惯性违章表现及处罚规定》,调动职工安全生产积极性。
8、对违章、不安全事件及事故,坚持按“三不放过”的原则,认真分析严格考核。
9、充分发挥安全监察互联网作用。各网片按期开展活动(网片内自查和网片间互查),对基层、班组每周、每月安全活动不定期抽查和每季一次的互联网检查,发现安全管理工作中存在的问题,及时提出,下发整改通知单,限期整改措施。
10、从安全第一责任者做起,各级职能人员要负起责任,尽职尽则,真抓实干,切实做好“三级控制”措施,保证安全目标的实现,为公司实现“国家一流电力企业”做出贡献。
第四篇:关于创建三级企业 安全标准化企业实施方案
为进一步提升公司安全管理水平,公司准备今年 月申报国家三级安全标准化达标验收,全面规范各项安全管理,提升公司本质安全程度,使公司各项生产经营活动始终处于良好的、可控的安全运行状态,现结合公司实际情况,特制订安全标准化创建实施方案,具体内容如下:
一、指导思想
坚持“安全第
一、预防为主、综合治理”的方针,对原体系(包括现有的安全管理和一体化)进行完善、规范,使企业管理达到“四化”要求(法制化、标准化、规范化、系统化),更好地为公司生产经营保驾护航。
二、工作目标
通过三级安全标准化达标验收,全面提高公司安全管理水平和安全防御能力,杜绝安全事故的发生。
三、成立安全标准化创建工作领导小组和工作小组
1、成立安全标准化创建工作小组 组 长:
副组长: 成 员: 职 责:
①负责标准化创建工作的日常指导、督促、协调和监督工作; ②负责为体系创建提供人力、技术和资金等全面支持; ③负责安全标准化文件资料的审核、签批工作。 ④负责安全标准化创建工作的分解落实;
⑤负责安全标准化工作文件的编制、评审、宣贯并推进实施。 ⑥负责标准化工作小组日常工作的任务下达、考评及创建工作的组织、协调。
四、创建步骤
1、宣传发动阶段( 月 日前)。
通过召开安全标准化专题会,正式启动安全标准化创建工作,教育广大干部职工正确认识创建安全标准化的意义和作用,为顺利开展安全标准化创建工作奠定基础。
2013- 7召开大会对全体安全管理人员、各部门负责人、班组长进行教育培训动员。
2、自评阶段( 月 日前)
对体系运行进行一次初始评审,全面查找不足,编写整改方案,并完成自评报告的编写,做好三级安全标准化达标验收申报工作。
3.评审阶段
认真做好并保持文件管理运行良好和现场达标工作,接受评审机构评审,争取达标。
4.持续改进阶段
体系通过三级安全标准化验收之后,各部门应严格按运行要求进行管理,并以此为标准坚持做好各项管理工作,持续改进公司安全管理水平,不断满足公司发展要求。
五、工作要求
开展安全标准化工作,领导重视是关键,公司主要负责人要亲自抓,建立机制、落实责任、周密计划、分级管理、全员参与、学标贯标、分析梳理、反复普查、落实整改、持续改进,确保工作目标的实现。
1、加强领导,落实责任。公司主要负责人是安全生产的第一责任,也是安全标准化的第一责任人,建立明确主管领导、落实具体部门和专人负责的工作机构。公司成立安全标准化建设领导机构和网络体系,负责统筹、协调和指导全公司安全标准化建设工作。各部门、装置指定专人负责本部门、装置安全标准化建设的实施工作;
2、统一思想,全力推进。各部门、装置必须高度重视,要充分认识开展安全标准化工作的重要性、紧迫性、艰巨性;
3、突出重点,兼顾一般。各部门、装置要按照“化整为零、分布实施、逐渐推进、整体提高”的原则,确保达标工作有序推进;把安全标准化融入日常安全监管工作。通过安全标准化建设,增强员工安全素质、提高生产装置本质安全度,确保公司平稳生产、安全发展。
六、奖罚机制
1)本次创建能按时通过三级安全标准化达标验收,并取得证书,将奖励积极配合标准化创建工作的各部门负责人及指定的工作人员。
2)如果未能一次通过达标验收,将追究相关部门的责任,对失职或部门因素导致失分的将在考核中给予处罚。
第五篇:等保二级管理要求
1.
1管理要求
1.1.1
安全管理制度
1.1.1.1
管理制度(G2)
本项要求包括:
a)
应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;
b)
应对安全管理活动中重要的管理内容建立安全管理制度;
c)
应对安全管理人员或操作人员执行的重要管理操作建立操作规程。
1.1.1.
2制定和发布(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责安全管理制度的制定;
b)
应组织相关人员对制定的安全管理制度进行论证和审定;
c)
应将安全管理制度以某种方式发布到相关人员手中。
1.1.1.
3评审和修订(G2)
应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。
1.1.2
安全管理机构
1.1.2.
1岗位设置(G2)
本项要求包括:
a)
应设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b)
应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责。
1.1.2.
2人员配备(G2)
本项要求包括:
a)
应配备一定数量的系统管理员、网络管理员、安全管理员等;
b)
安全管理员不能兼任网络管理员、系统管理员、数据库管理员等。
1.1.2.
3授权和审批(G2)
本项要求包括:
a)
应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批;
b)
应针对关键活动建立审批流程,并由批准人签字确认。
1.1.2.
4沟通和合作(G2)
本项要求包括:
a)
应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通;
b)
应加强与兄弟单位、公安机关、电信公司的合作与沟通。
1.1.2.
5审核和检查(G2)
安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
1.1.
3人员安全管理
1.1.3.
1人员录用(G2)
本项要求包括:
a)
应指定或授权专门的部门或人员负责人员录用;
b)
应规范人员录用过程,对被录用人员的身份、背景和专业资格等进行审查,对其所具有的技术技能进行考核;
c)
应与从事关键岗位的人员签署保密协议。
1.1.3.
2人员离岗(G2)
本项要求包括:
a)
应规范人员离岗过程,及时终止离岗员工的所有访问权限;
b)
应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c)
应办理严格的调离手续。
1.1.3.
3人员考核(G2)
应定期对各个岗位的人员进行安全技能及安全认知的考核。
1.1.3.
4安全意识教育和培训(G2)
本项要求包括:
a)
应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)
应告知人员相关的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒;
c)
应制定安全教育和培训计划,对信息安全基础知识、岗位操作规程等进行培训。
1.1.3.
5外部人员访问管理(G2)
应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。
1.1.
4系统建设管理
1.1.4.
1系统定级(G2)
本项要求包括:
a)
应明确信息系统的边界和安全保护等级;
b)
应以书面的形式说明信息系统确定为某个安全保护等级的方法和理由;
c)
应确保信息系统的定级结果经过相关部门的批准。
1.1.4.
2安全方案设计(G2)
本项要求包括:
a)
应根据系统的安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;
b)
应以书面形式描述对系统的安全保护要求、策略和措施等内容,形成系统的安全方案;
c)
应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的详细设计方案;
d)
应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。
1.1.4.
3产品采购和使用(G2)
本项要求包括:
a)
应确保安全产品采购和使用符合国家的有关规定;
b)
应确保密码产品采购和使用符合国家密码主管部门的要求;
c)
应指定或授权专门的部门负责产品的采购。
1.1.4.
4自行软件开发(G2)
本项要求包括:
a)
应确保开发环境与实际运行环境物理分开;
b)
应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c)
应确保提供软件设计的相关文档和使用指南,并由专人负责保管。
1.1.4.
5外包软件开发(G2)
本项要求包括:
a)
应根据开发要求检测软件质量;
b)
应确保提供软件设计的相关文档和使用指南;
c)
应在软件安装之前检测软件包中可能存在的恶意代码;
d)
应要求开发单位提供软件源代码,并审查软件中可能存在的后门。
1.1.4.6
工程实施(G2) 本项要求包括:
a)
应指定或授权专门的部门或人员负责工程实施过程的管理;
b)
应制定详细的工程实施方案,控制工程实施过程。
1.1.4.7
测试验收(G2)
本项要求包括:
a)
应对系统进行安全性测试验收;
b)
在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;
c)
应组织相关部门和相关人员对系统测试验收报告进行审定,并签字确认。
1.1.4.8
系统交付(G2)
本项要求包括:
a)
应制定系统交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点;
b)
应对负责系统运行维护的技术人员进行相应的技能培训;
c)
应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。
1.1.4.9
安全服务商选择(G2)
本项要求包括:
a)
应确保安全服务商的选择符合国家的有关规定;
b)
应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
c)
应确保选定的安全服务商提供技术支持和服务承诺,必要的与其签订服务合同。
1.1.
5系统运维管理
1.1.5.
1环境管理(G2)
本项要求包括:
a)
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;
b)
应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
c)
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
d)
应加强对办公环境的保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
1.1.5.
2资产管理(G2)
本项要求包括:
a)
应编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容;
b)
应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
1.1.5.
3介质管理(G2)
本项要求包括:
a)
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理;
b)
应对介质归档和查询等过程进行记录,并根据存档介质的目录清单定期盘点;
c)
应对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏;
d)
应根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.1.5.
4设备管理(G2)
本项要求包括:
a)
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;
b)
应建立基于申报、审批和专人负责的设备安全管理制度,对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;
c)
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现关键设备(包括备份和冗余设备)的启动/停止、加电/断电等操作; d)
应确保信息处理设备必须经过审批才能带离机房或办公地点。
1.1.5.
5网络安全管理(G2)
本项要求包括:
a)
应指定人员对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
b)
应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;
c)
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
d)
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
e)
应对网络设备的配置文件进行定期备份;
f)
应保证所有与外部系统的连接均得到授权和批准。
1.1.5.6
系统安全管理(G2)
本项要求包括:
a)
应根据业务需求和系统安全分析确定系统的访问控制策略;
b)
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
c)
应安装系统的最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;
d)
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定;
e)
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;
f)
应定期对运行日志和审计数据进行分析,以便及时发现异常行为。
1.1.5.7
恶意代码防范管理(G2)
本项要求包括: a)
应提高所有用户的防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查;
b)
应指定专人对网络和主机进行恶意代码检测并保存检测记录;
c)
应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定。
1.1.5.8
密码管理(G2)
应使用符合国家密码管理规定的密码技术和产品。
1.1.5.9
变更管理(G2)
本项要求包括:
a)
应确认系统中要发生的重要变更,并制定相应的变更方案;
b)
系统发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。
1.1.5.10
备份与恢复管理(G2)
本项要求包括:
a)
应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b)
应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c)
应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。
1.1.5.1
1安全事件处置(G2)
本项要求包括:
a)
应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
b)
应制定安全事件报告和处置管理制度,明确安全事件类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
c)
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d)
应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
1.1.5.12 应急预案管理(G2)
本项要求包括:
a)
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;
b)
应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次。