時間:2023-05-31 15:07:48
序論:在您撰寫安全管理體系建設時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
(一)注重相關組織與責任體系建設1.逐步建立了嚴密而明確的組織體系。美國煤礦安全生產的組織體系框架大體上包括政府和煤礦企業兩部分,主要表現為政府監督監察機構體系、煤礦企業內部的組織分工職責體系。首先,在“執法”領域,美國煤礦安全生產監督機構強調其獨立性,并在機制上防止檢查人員與礦主、地方政府形成共同利益同盟。1910年美國在內政部下設立礦業局,但調查人員缺乏執法權力。1977年,美國對《礦山安全和衛生法》進行重大修訂,建立了獨立的安全監察部門———礦山安全和衛生署,由勞工部助理部長任局長,對所有礦業生產進行全面和嚴格的監察。監督局下設11個地區監察處和65個礦區辦事處,由國會與立法事務辦公室和信息與公共事務辦公室這兩大事務辦公室領導和協調部署工作,繼而細分為煤礦安全與健康監察司和金屬與非金屬礦安全與健康監察司這兩個職能部門繼續統籌和分配相應工作。在煤礦安全與健康監察司的組織機構劃分下,美國設置的11個地區的事故調查由副司長負責,主管地區的監察業務。其次,在煤礦生產企業內部也有十分明確的組織管理體系。煤礦企業的管理機構設置一般為垂直管理結構,具有指揮與命令統一、控制及時、工作效率高等特點。組織管理體系在總體上劃分為礦長、副礦長、礦井辦事員、礦井總領班四個主要層級,在副礦長之下設置了各個職能部門的主管:維修主管、采煤總工程師、主任會計師等,專門領導和協調該部門下的作業活動。采煤一線的管理人員是采煤班組的領班,是該班組的關鍵人物,領班必須對他所在的班組的工作、人員培養、安全和行為負責。2.建立了以礦主為中心的追責體系。在美國,煤礦安全事故一般不追究政府的責任,因為地方政府不負責直接生產,主要是追究礦主的責任。各級政府的職能部門只是依據有關法律對企業進行監督監管,煤礦安全監察員與煤礦沒有任何隸屬關系。1913年成立的勞工部,安全生產管理是其主要職責之一。換言之,美國煤礦安全生產責任體系中,政府只是監察監督的作用,而真正應該為安全事故“買單”的是煤炭企業。例如每個煤礦要與兩個以上的救護隊簽訂救護協議,煤礦發生事故由礦主組織搶救,必要時也可向當地警察求救。一旦發生煤礦安全生產事故,美國煤礦企業需承擔責任。美國煤礦安全部門執法非常嚴格,礦主也必須遵守煤礦安全管理法律,嚴格按照安全操作規程辦事,從而確保了煤礦生產安全。美國煤礦安全部門對唯利是圖、違反規定生產的礦主懲罰嚴厲。針對不會導致重大人員傷亡的一般性違反規定行為,政府督察員每次每項罰款可達5.5萬美元。曾經違反規定并承諾改正、但不守信用的礦主則將被加重處罰,可能引起傷亡事故和危害礦工健康的嚴重違規行為將被追究刑事責任。
(二)重視事故災難的預防與應急教育據美國勞工部發表的各行業事故統計數字,美國的煤礦業已成為相當安全的行業,煤礦事故率低于金屬、建筑、運輸等20多個行業。美國煤礦行業由最初的高死亡率到0.03%的低死亡率,其中一個重要的原因是新技術的推廣、《礦業安全和衛生法》以及相關配套規章的實施,同時,重視煤礦安全培訓是美國實現安全生產的重要環節。美國20世紀70年代前后的事故調查報告和安全檢查手冊顯示,美國煤礦85%的事故是因“工作人員的不安全行為”所致,僅15%的事故產生于不安全的設備和環境。所以,對煤礦人員的安全培訓具有極其重要的作用。美國煤礦安全應急教育與預防主要有以下幾個方面:1.注重對煤礦工作人員的崗前培訓,提高管理實效。《聯邦礦山安全與健康法》第115節明確規定,新礦工沒有地下采礦經驗應接受不少于40小時的培訓,新礦工沒有地表采礦經驗應接受不少于24小時的訓練,每年所有礦工應不止一次地接受不少于8小時的學習培訓。這樣,用可操作性的法律來提高工作人員操作行為的安全性,增強工作人員的憂患意識。在美國,所有礦工在上崗之前要接受培訓,上崗后,每年還要接受再培訓。如果發現礦工未按要求受到安全培訓,勞工部部長或授權代表必須簽發命令,要求該礦工立即撤出煤礦,直到接受法律規定的培訓為止。美國所有煤礦都必須制訂礦工培訓計劃,安排必要的培訓內容并保存培訓資格證明。煤礦工作人員不光是指礦工,還包括煤礦經營者和管理者。礦山安全監察員必須具有5年以上實際采礦經驗,并要在國家礦山健康與安全學院接受培訓。根據安全監察員的水平和需要,分別對其進行初級培訓(基礎知識和技能培訓)、高級培訓(提高業務水平,精通相關技術)和定期培訓。“安全與生產并非矛盾”已經成為美國的行業目標,這對美國提高煤礦安全水平至關重要。在這個目標的引導下,美國的煤礦企業和礦工工會都十分重視工人的安全技術培訓。對于接受脫產培訓的礦工,給予其與在崗日標準工資相等的培訓期工資。此外,煤礦企業還與工會聯合成立了煤礦工人培訓教育基金,由礦方按照全礦職工實際工作每工時0.08美元的標準提取資金;該基金每年籌資約2000萬美元,用于資助礦工接受繼續教育和培訓進修。為了進一步普及安全培訓,礦山安全與健康管理局(MSHA)還啟動了一項新的教育方案———現場培訓服務,旨在通過充分利用各種資源,幫助各地區的礦山實施安全與健康計劃,達到預防安全事故的目的。現場培訓服務的內容主要是為礦山提供培訓資料,幫助制定和實施安全方案,編輯教育材料,幫助各礦山制定適宜的培訓計劃以滿足其特殊需求,等等。現場培訓服務承擔更多的是信息、咨詢、指導等服務功能。2.預防第一,建設井下緊急避險設施。2008年12月31日,MSHA《地下煤礦避難所(救生艙)最終規定》要求礦山經營者將井下避難所納入應急反應方案(ERP)。2009年12月前所有煤礦井下必須建設避難所,保證所有人員在井下均有避險位置,并對避險設施的設置、功能和維修管理作出具體規定,額定防護時間提高到96小時。美國在2007年12月煤礦井下已經開始使用避難所(救生艙)。美國煤礦井下的緊急避險設施主要有救生艙和避難硐室。救生艙一般為艙體式結構,配備必要的設備設施和食物,既可固定設置,也可隨采掘工程而移動。有鋼結構硬體式和可充氣軟體式。硬體式救生艙可容納6~24人,具備過渡艙,配備氣動呼吸空氣系統。軟體式救生艙容量10~36人,在3~5分鐘內起動充氣,軟體材料具備阻燃、隔熱、抗靜電、高強度等特性。避難硐室在礦井巷道兩側地層中直接挖掘或利用已有巷道建造而成,布置在主巷或逃生路線上,配備維持人員生存所必需的相關設備設施和食物等。救生艙至少為每人提供1.4平方米的地面空間和0.85~1.70立方米的立體空間;設置供氧、內外環境監測、廢氣清除等系統,防護時間不低于96小時;配備雙向通信、照明、排泄物處理、急救等設備物品及維修工具和滅火器;存儲組件或給養的容器應密封、防水、防火,醒目標注到期日期及使用說明。3.高素質的應急救援隊伍與強制性工傷保險制度,為礦難提供安全保障。除了對煤礦工作人員進行嚴格的培訓,美國的煤礦事故應急救援還有一支高素質的隊伍,有一套規范的運作程序,拉得出、救得快、保障有力。按規定,每個煤礦要與兩個以上的救援隊簽訂救護協議。煤礦發生事故由礦主組織搶救,必要時也可向當地警察求救。一支救護隊下井救護,另一支待命。任何礦山救護隊不得建在距礦井2小時路程以外的地方。同時,美國執行強制性工傷保險制度,工傷保險具有高度的強制性,法律強制雇主必須對雇工的工傷事故負責,美國有99%的工人受到聯邦或州勞工賠償法的保護。
(三)建立安全生產管理的評估標準美國勞工部礦山健康安全管理局(MSHA)對美國礦業(煤礦/非煤)安全事故保存有全面翔實的統計數據,該數據不僅涵蓋了所有事故相關的信息,同時還包括了煤炭生產狀況及人員的相關信息。評估標準具體,分類清晰、系統、全面、詳盡。美國煤礦事故數據統計的內容包括事故時間、事故地區、事故地點、事故分類標準、事故分級、事故范圍、事故報告。其中,事故時間除了年度事故和月事故,還統計日事故;事故地點包括地面、采煤面、掘進頭、上下山大巷、井筒;事故分類標準非常具體,是按照事故所在地區、開采類型、月份、作業者及承包商、傷害類型、傷亡員工工種;事故分級為死亡、造成工作日損失的非死亡事故、無工作日損失的輕微事故四個等級;事故報告中要明確傷亡人數、事故成因、發生機制、傷害類型。美國煤礦事故計量指標體系中:生產指標有兩個,煤礦作業次數和作業時間;事故傷亡分類指標中,死亡事故率和死亡人數屬于死亡指標,造成工作日損失的傷害事故率與其受傷人數、無工作日損失的傷害事故率與其受傷人數這四個指標歸為傷害指標;還有總量指標,包括人員傷亡總數和總體事故率。煤礦事故數據統計內容和計量指標涉及的信息不僅是事故傷亡人數和經濟損失,還包括事故發生的原因、工作條件、開采類型及作業人員工種等相關的重要內容。這些信息越是全面具體,越能及時、全面、準確地研究可能引起事故的原因,并分析正在形成的各種趨勢,進行綜合研判,從而作出科學的評估,提出科學控制和預防煤礦事故發生的有效對策。
二、美國煤礦安全管理體系的特點
如今美國的煤礦安全生產管理水平處于世界領先地位,煤礦安全管理體系頗具特點:第一,美國的煤礦產量和死亡人數呈反比例關系,充分體現了美國煤礦安全生產的理念比較先進。保護所有礦工及所有人員的安全,并非以犧牲人員的生命安全為代價來獲取企業利益。美國緊扣“礦工健康權和生命權的保護”這個安全管理核心來推進標準體系建設,循序漸進,在此基礎上建立并完善配套法規體系,提高執法力度,建立的安全管理體系嚴密并且比較實用。第二,在責任體系建設中,政府和煤炭企業責任明晰化是其最顯著的特點。政府只履行管理和監督的職責,如果發生煤礦安全生產事故,煤炭企業將承擔事故的全部責任。建立以礦主為中心的追責體系,抓住了責任處罰的主要主體,抓住了重點對象。煤礦安全管理責任主體有了指向性,而且強調煤礦安全生產監督機構的獨立性,并在機制上防止檢查人員與礦主、地方政府形成共同利益同盟。這是非常有先見之明的。第三,美國高度重視法制化建設,陸續頒布和完善《聯邦礦山安全與健康法》等多部重要法律法規。政府和煤炭企業根據出臺的法律法規,各自行使權力和履行義務。雖然世界各國在此方面都建立了相應的法律制度,但均沒有美國的法律具體和完善。第四,美國十分注重培訓需求管理。在培訓方面有比較完備的要求和規定,如必須使礦工有明確的技術操作素質和安全急救意識等才能進入煤礦工作,這些舉措可以利于后繼的煤礦安全生產活動的開展,強調預防第一,有效規避了人為礦難的發生。
三、美國煤礦安全管理體系建設的啟示
根據上述分析,美國煤礦安全管理體系比較成熟,對我國有如下啟示:
(一)重視法律的可操作性,逐步完善我國煤礦安全管理法規中國是世界上煤炭產量最高的國家,中國也是世界上煤礦安全事故發生率最高的國家之一。立法是煤礦安全管理的最基本、最管用的方法與手段。中國適用于煤礦的法律法規,除《礦山安全法》、《煤炭法》外,還包括國務院頒發的有關礦山安全生產的行政法規以及各省(區、直轄市)人大頒布的有關的地方性法規、國務院勞動行政主管部門和煤炭企業的主管部門及其下屬省級政府主管部門下達的有關安全生產的行政規章,以及適用于煤礦行業的安全生產標準規范《煤礦安全規程》、《煤礦救護規程》等。《礦山安全法》作為我國煤礦安全管理的基本法相對美國的《聯邦礦山安全與健康法》,可操作性比較差。如美國第303節的第2款規定:“所有生產作業區的通風風流必須符合以下規定,氧氣含量不低于19.5%(體積),二氧化碳含量不大于0.5%(體積)……任何煤礦空氣的最低數量在每個工作面應達到三千立方英尺每一分鐘。”而我國的《礦山安全法》第十七條:“礦山企業必須對作業場所中的有毒有害物質和井下空氣含量進行檢測,保證符合安全標準。”這樣的籠統規定對有毒有害物質沒有明確是什么,更沒有提到其濃度或密度控制在什么標準范圍內,以及井下空氣含量應符合什么標準。立法應充分體現“以人為本”的理念,重視礦山職工的生命安全和健康權利保護,有毒有害物質、含氧量應該增加具體的數值標準,以職工的生命健康安全為核心。雖然在《煤礦安全規程》第三十條第十一項第二款:“凍結站必須用不燃性材料建筑,都應有通風裝置。應經常測定站內空氣中的氨氣,氨的濃度不得超過0.004%。”這樣明確的標準利于執行和監督,這是該規程在操作性規定方面的優點。但從總體來說,《礦山安全法》及其各相關法律法規其可操作性仍有待增強,因此我們應重視法規的可操作性,積極學美國的經驗將宏觀的規定、措施、程序細致化、具體化,要將權威、具體、可操作的安全標準、技術標準寫入基本法中,如《礦山安全法》僅僅是規定職工要進行安全教育、培訓后才能上崗作業,更應繼續添加崗前培訓時間的長度,在職員工定期培訓的時間,次數等的規定,操作過程中才能強制執行這些標準,有效增加員工安全操作的系數。
(二)注重相關組織與責任體系建設,加強監察力度我國作為世界上的幾大采煤大國之一,在煤礦安全生產各方面的體系建設依然存在不足。美國煤礦事故發生率得到了有效的控制,得益于注重組織體系和責任體系的建設。從我國的國情出發,借鑒美國的成功經驗,可以從以下方面逐步去完善我國煤礦安全管理的組織和責任體系建設:第一,明確責任,加強對中央到地方相關的管理組織機構建設。現今我國對煤炭的管理機構主要有國家能源局、中國煤炭工業協會、安全生產監督局等,盡管相應的組織管理機構不少,但是缺乏一個比較系統的組織對煤礦生產的各方面進行管理,從而導致煤礦生產亂象迭生。因此我國在管理機構設置上應注重整合部門機構,建立和完善監管煤礦產業的統一的機構,合理地進行分工與監管,防止出現部門多卻難以監管的現象。美國對煤礦安全生產進行管理的主要是監察局,下設11個地區監察處和65個礦區辦事處,在監察局里還有明確的各部門層級劃分。從中央到地方實現了高效的縱向管理。部門機構臃腫和職責不明晰是我國存在的普遍問題,因此完善煤礦安全生產組織機構的建設尤為重要,應確定安全生產監督管理機構和執法人員的權力范圍、職責、行使權力的條件、程序和目的,抓住源頭、明確主要職能部門的權力邊界與責任是應對安全生產問題的關鍵。第二,建立和完善煤礦生產單位的組織管理。美國的煤礦企業內部具有明確的職位分工和職責,因此可以極大地提高生產效率并且便于管理。在我國,煤礦生產亂象迭生,有的采礦工地不僅沒有專門的組織管理部門,甚至存在著礦工工人臨時招聘、不經培訓隨便上崗等亂象。此類問題不解決將會對工人們的人身安全極為不利,也無法保證煤礦有序生產。第三,加大煤礦安全生產監察力度。煤礦安全監察員要深入煤礦現場,緊緊盯住那些高瓦斯容易出現事故的礦井,以及安全生產基礎差的礦井,及時發現問題和解決問題,把事故消滅在萌芽狀態。對存在重大事故隱患的礦井,當場下達《停產整頓通知單》,限時整改。對不具備基本安全生產條件的小煤礦,堅決予以關閉。第四,建立煤礦違規行政處罰制度。在我國發生煤礦生產事故后,相關的監察負責人才會來到現場進行勘查,對事前的監察工作并不重視,使煤礦安全生產的監督、監察環節流于形式。我國煤礦生產的主要負責人承擔的責任范圍不明晰,處罰力度不夠嚴厲,因此不少開采煤礦的單位會冒極大的風險以污染環境或者犧牲工人的利益來獲取利潤,造成了小煤礦、黑煤礦一直存在。我國應該建立嚴格的處罰制度,完善責任追究制度,加大懲治處罰力度,實行行業禁入制度,讓礦主不敢輕易越軌煤礦安全管理紅線。
(三)通過應急教育與預防演練,不斷提高處理突發事故災難的能力對比我國煤礦現狀與美國煤礦,可以發現,很大的區別在于美國政府一直強調煤礦安全監察管理機構的獨立性,美國煤礦的成功之處在于垂直的煤礦安全監管體制框架,輪崗式的監管人事制度,并在機制上防止監察人員與礦主、地方政府形成共同利益同盟。美國煤礦是把安全放在第一位,而在我國,由于利益驅使,大多數煤礦企業更注重的是利益而不是礦工的安全。我國煤礦現仍存在很多的不足,我們應該對美國煤礦安全管理經驗加以學習,首先,要提升素質、規范管理。切實加強隊伍自身建設,要督促救援隊伍加強制度建設,明確人員職責、規范工作程序。進一步強化煤礦生產安全事故應急預案的管理和演練,煤礦企業要把應急演練與應急預案相結合,提高從業人員突發事件現象處置自救能力和企業應急救援能力。其次,要積極應用新技術。引進新型、高效實用的裝備,不斷優化應急救援隊伍裝備結構,加大煤礦救援技術研究和培訓。最后,要平戰結合、強化檢查。煤礦救援隊伍應遵循“險時搞救援,平時搞防范”的原則,對于一切有可能發生的安全事故應防范于未然。
在進行信息安全體系建設時,應對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系。本文分析了終端安全管理體系應包含的內容,闡述了傳統分散式終端安全管理存在的問題,結合作者的工作實踐經驗,對一體化終端安全管理體系的建設,提出了自己的思路和見解。
關鍵詞:
終端安全;一體化;體系建設
隨著信息化建設不斷發展,信息安全的重要性日益顯露出來,在信息安全保護實踐中,各單位往往對數據集中的后臺服務器投入精力較多,對來自終端的威脅重視不足。信息安全事件調查經驗表明,多數信息安全事件的突破口來自終端,因此在進行信息安全體系建設時,應對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系。
1典型的終端安全管理體系應包括的內容
1.1防病毒及終端入侵防護
包括對全網病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺,對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實現。
1.2補丁狀態檢查及分發
包括檢查是否已安裝操作系統相應的補丁,各類防護特征庫是否保持更新,能夠自動推送安裝補丁和特征庫等。此類功能主要通過安全軟件讀取系統注冊表及掃描特定位置文件系統,并自動執行后臺腳本實現。
1.3移動存儲管理
防止內部濫用移動介質,杜絕內外部移動介質在內外網交叉使用,并通過特殊加密技術保證移動介質在非授權環境下不能被讀取。此類功能主要通過向操作系統底層驅動注入代碼和數據加密技術實現。
1.4終端準入管理
實現對網絡接入終端的安全準入管理與控制,確保接入網絡終端已安裝要求的防護系統,且符合安全策略要求,有效杜絕非法外來終端私自接入網絡。此類功能可以基于交換機端口進行控制或使用安全網關進行控制。
1.5非法外聯監控
用于發現和阻止內部網絡用戶非法建立通路連接互聯網或非授權網絡的行為,以此防止引入安全風險或導致信息泄密。此類功能通常做法是定期檢查與某個互聯網地址或非授權網絡的連通性,若有連通便會觸發監控報警。
1.6主機監控審計
對終端用戶的操作行為進行管控與審計,對安裝的軟件實行黑白名單管理,當用戶的操作違反安全策略時,能夠自動禁止或記錄違規日志。此類功能一般需在終端駐留程序,根據設定的操作策略和軟件清單執行。
2傳統分散式終端安全管理存在的問題
(1)產生兼容性問題。不同的終端安全防護產品均需要操作系統權限并向底層驅動注入代碼實現檢測,各產品之間的操作沖突、導致兼容性問題已是常見現象,即使能夠和平共存也會造成增加系統資源開銷,拖累系統變慢等一系列問題。
(2)缺乏統一管理。在終端上安裝使用多種安全防護產品,缺乏全局性安全管控,容易形成信息孤島,不利于開展諸如安全數據的收集、匯總、統計等關聯分析工作,無法系統性展示終端安全全貌。
(3)防護效果打折扣。不同的終端安全防護產品在功能上各有側重,組合在一起并不一定能全面覆蓋用戶的安全需求,由于底層機制的類同和兼容性沖突等原因,經常出現安全防護的真空地帶,產生1+1<2的現象,使防護效果大打折扣。
(4)運行維護成本高。多種終端安全防護產品同時使用,需同時與多個廠商采購維保服務,周期長投入大,運行上需要維護多套不同的策略表,從不同的來源更新補丁包、特征庫等,都給運維增加了不小的工作量。
(5)難以滿足自主可控的要求。出于國家安全戰略的需要,終端安全防護產品應盡可能滿足自主可控的要求。分散部署不同的終端安全防護產品,大多是基于歷史原因分批分步建設形成的,存在一定的不可控安全風險。
3一體化終端安全管理體系的建設思路
一體化終端安全管理體系的建設,應遵循“功能集中、統一建設”的原則,結合單位已有的終端安全防護現狀,采用“整合式替代、替代后實現一體化管理”的思路開展。替代過程中,應充分考慮安全設備國產化的要求,既實現終端安全防護各項功能,又可在統一平臺下管理終端資產、終端信息、終端安全防護系統等,實現終端一體化安全管理。終端一體化安全管理可極大地提高運維效率,增強終端類安全事件聯動,提高終端安全事件預警發現和處置能力,最終提高單位的信息安全管理水平。具體實施過程中,應以“資源整合、統一管理、分級部署、基準策略、量體裁衣、人力集約”為主要工作目標,最大程度整合單位現有軟硬件資源、技術人才資源,節約資源、資金、人力成本,集成各類終端管理功能,邏輯上實行統一管理,總部制定基準策略,各地分支機構針對自己的情況,定制適合本轄區情況的安全策略,預留一定擴展空間,供各級機構在統一終端管理平臺下的本地化處理。建議分四個步驟進行:①率先落實國產化替代,一體化終端安全管理體系建設不再考慮國外產品,實現完全國產自主可控,這一點無論是在技術上還是在市場上都已不存在問題。②整合現有終端安全防護系統的功能,在實現病毒防治、補丁分發、非法外聯監控、準入控制、移動介質管控、安全策略管理等功能的基礎上,實現各功能模塊的數據整合與聯動。③增加資產管理、操作審計等功能,并實現一體化關聯和統一展現,進一步完善系統的管理功能,能夠進行終端狀態、終端信息、安全事件等信息的展示、分析和處理,實現對安全事件的及時發現、告警和處置,及時消除安全事件對終端的影響。④在系統建設的基礎上實現科學安全管理,通過對終端安全狀態的統一定量評估,實現對各部門、各分支機構的終端安全態勢評估,掌握終端安全管理的薄弱環節,為信息安全管理工作的整改完善提供數據支撐。在功能方面:一體化終端安全管理體系應主要包括但不限于防病毒管理、終端入侵檢測防護管理、補丁分發管理、移動介質管理、非法外聯管理、終端準入管理、主機監控審計管理、終端信息管理、安全策略管理、終端運行狀態統計管理、安全事件管理、運行報表管理、考核指標管理、系統管理等功能。實現終端安全防護系統的一體化管理和安全防護系統的資源整合,實現安全防護策略的統一管理,建立全面、集中、統一的終端安全管理體系。在管理方面:實現與終端安全管理制度相適應的安全管理要求,實現總部與各分支機構終端信息的統一集中管理,實現終端安全控制策略的統一配置、自動篩查、告警和展現,實現定期安全類報表的自動生成和展現,實現安全管理人員的統一工作平臺。
4結語
要實現對信息安全閉環式管理,僅僅重視信息系統服務端的保護是不夠的,必須重視對每個入網終端的安全管理。一體化終端安全管理體系的建設,從技術上采取了多種手段強化終端的安全防護和管理,為強化單位的信息安全管理提供了必要的手段。同時,我們也必須認識到,終端安全管理體系的建設不是說建好系統就萬事大吉了,對一個單位的信息安全管理而言,永遠是“三分技術,七分管理”。再好的技術手段,也只有和管理制度相結合,并加以強力執行,才能達到預定的安全目標。
參考文獻:
[1]孟粉霞,王越,雷磊.統一終端安全管理系統在內網中的分析及應用[J].信息系統工程,2013(8):70~71.
[2]田永飛.一體化終端安全管理系統應用初探[J].金融科技時代,2015(12):45~47.
[3]王義申.終端安全管理系統在企事業單位內網應用的分析[J].計算機安全,2007(7):63~65.
關鍵詞:民航;安全管理;管理體系;建設
民航作為社會經濟和技術高度發展下的一個重要標志,相比于其他的運輸方式,運行速度更快、機能性更好,地區跨度大,可以到達其他運輸難以到達的地方,但同樣民航建設造價高、耗能大、技術復雜、運輸能力小,受自然因素影響更大。作為當前一種廣為推廣的運輸方式,民航仍伴隨著一定的安全風險,安全系數仍是民航事業發展的核心。近年來,在技術日新月異的發展、設備不斷優化升級、安全意識逐漸提高的背景下,我國的民航安全水平有了顯著的改善和提高,民航安全管理體系的建設也趨于規范化、科學化、合理化。但就總體而言,面對紛繁復雜的安全風險,民航安全管理體系建設還存在一些不穩定的因素,影響和制約了民航安全管理體系的發展和完善,安全問題依然是民航建設的重要課題,對此,下文就我國民航安全管理體系建設的相關方面進行具體的分析和說明。
一、我國民航安全管理體系的基本內涵
民航安全管理體系旨在維護民航的安全,作為一種措施體系,堅持以國家民航發展和國家安全政策為依據,強調對民航發展的安全性建設,制定民航安全方針和目標,減少民航風險性因素,保障民航事業安全、穩定的發展。民航安全管理體系建設涉及的內容包括:民航安全理論、安全法規準則、安全管理信息庫、安全監督、安全文化、安全管理技術等方面,將安全意識和安全技術貫徹和落實到民航事業的各個環節中,構建完善、健全的安全管理體系,使其處于一個最優的狀態。一方面,利用安全管理體系能更快地發現民航運輸中存在的安全風險和安全隱患,及時控制和扼制風險。另一方面,提高了對風險的識別、風險評估和風險控制能力,使民航安全管理體系作用切實地反饋到民航發展中,進一步完善和推動民航安全管理體系的建設,使其處于一個良性循環的發展狀態。
二、我國民航安全管理體系建設的事實背景
近年來,隨著人們物質生活水平的不斷提高,對民航的選擇性更大,民航事業的發展取得了顯著的成效,在交通運輸業中所占據的比例和起到的影響力也越來越大。但從客觀事實上來看,民航相對其他的交通運輸業更具有風險性,事故危害性更大,影響波及面積也更大,不僅是國內,甚至波及國際,具有高風險性、突發性、國際性,關注度極高、死亡率也極高的特征,不僅造成嚴重的生命、財產損失,而且還會影響國際關系的穩定,對整個運輸環境的安全性產生懷疑。導致部分人相比于民航的快速性和舒適性,更愿意選擇比較傳統、安全性能更高的運輸方式。在國民生產力不斷提升、人們安全意識不斷提高的背景下,民眾對國航運輸安全性、舒適性、便捷性等方面提出了更高的標準和要求,同樣這也是民航在未來發展中不斷尋求突破和改善的地方,是民航能夠真正普及,成為一種大眾化的交通運輸形式的核心內容。因而,強調對民航安全管理體系的建設,有效改進航空系統的安全系數,提高民航風險預警、識別、控制、管理成為當前民航事業尋求突破和發展的核心層面。在民航運輸發展初級階段,對風險缺乏一定的預警性和預見性,往往都是在風險形成后對事故特征進行分析,找出原因,吸取經驗,提高安全警覺性,加以改善,以避免安全事故的再次發生。在這個階段,對民航安全的管理更多的是偏向于技術和設備方面,是基于硬性方面的考慮,而忽略了管理的柔性,對事故隱患分析不透徹、不全面。
20世紀90年代,這一時期正是我國改革開放以來飛速發展的階段,國民經濟水平有了顯著的改善和提高,交通運輸業取得了質的飛躍,民航行業內部也基本形成了比較系統、完善、規范的運行規章和監督監管機制,飛機運行體系和管理體系雙向發展,進一步提高了航運質量,降低了事故率,但在管理水平、健全的法規體系等方面仍存在一些缺陷,造成一定的風險因素。在此基礎上,管理體系在長期的發展,不斷兼容、不斷攻破矛盾下,日益成熟,不斷完善,積極吸取優秀的成功經驗,在民航全面發展中推行安全管理體系建設。
三、我國民航安全管理體系建設探討
民航安全管理體系的建設不是一蹴而就的,而是需要長期堅持和自始至終地貫徹和落實的,作為一項系統性、長期性和艱巨性的任務,既是民航發展中的核心內容,也是一個巨大的挑戰。那么,如何在有效的時期內,完善民航安全管理體系建設,降低民航運行風險,提高運行質量水平呢?對此,下面就進行具體探討:
(1)正視當前我國民航安全管理水平現狀。民航安全管理體系的建設必須是在現有的基礎上實施的,是遵循當前民航發展的基本特征,明確當前民航安全管理的基本水平,只有這樣才能有針對性地采取措施,進行對癥下藥,為制定行之有效的安全管理體系作出有效的鋪墊。我國的民航安全管理體系的建設經歷了一個基本的發展過程,由對空勤人員適應環境的心理、生理方面的研究到認識到人文因素的影響,強調對飛行員和機務人專業技能和素質的培養,形成一個管理框架。到當前,我國的民航安全管理體系建設基本已經全面步入正軌,并且都具有很高的完成度和完成效率,將安全管理體系建設的各個方面能具體地管理落實、操作執行到各個環節中,加強每一個環節人員、規章程序、技術應用等方面的培訓和應用,以更大限度地發揮安全管理體系在民航發展中的作用和價值。
(2)發揮安全管理體系建設的兼容性和統籌性。民航安全管理體系的建設并不是單指哪一個體系的安全管理,而是多方相互交融、相互作用的。如:安全管理體系、質量管理體系、保安管理體系等都是民航建設中的一部分,任何一個體系的安全問題都可以造成整個民航的安全事故,因為要正確地認識各個體系之間的關系,實現兼容性的發展,既保證各個體系的安全性也能有效發揮各個體系各自的作用。而且任何體系的最終目的都是為民航安全建設服務的,在建設宗旨上是整合為一體的,也就是說安全管理體系的建設要明確目標,具有統一的發展思路,發揮其兼容性和統籌性的作用,也推進安全管理體系全面、深入地開展。
(3)構建良好的安全文化。“意識”是行為的先驅,而文化則是“意識”內涵化的表現,當前,我國民航安全管理體系建設都基本處于一個開放式和多元化的形式,改變了以往“關門造車”的模式。一方面,改變了企業故步自封的態度,加強各企業之間的相互交流和相互合作,便于企業更快地掌握發展動態,積極地吸收先進的管理經驗和管理制度,實現企業安全管理體系建設的優化。另一方面,樹立企業安全意識,使企業在應對市場競爭和挑戰下,能夠堅持與時俱進的發展理念,在企業之間相互監督的條件下,將安全意識和安全體系建設切實地落實到具體實踐中,實現企業之間的良好競爭。同樣企業要積極引進安全文化人員,將“安全第一”貫穿始終,在潛移默化中,形成良好的安全文化。
(4)建立健全的法律法規體系。健全的法律法規體系的建設為安全管理體系的建設提供了有力的保障,是使職工能夠明確自身職責、自覺遵紀守法、接受管理和規范行為的一個重要的手段。有效提高了安全管理體系建設的效率,使管理做到有法可依、有跡可循,為民航安全管理水平的提升提供堅實的后盾。
參考文獻:
[1]孫佳,高洪江.我國民航安全管理體系建設與實施分析[J].中國鐵路,2012.
關鍵詞:民航 安全管理體系 體系選擇 建議
中圖分類號:V328 文獻標識碼:A 文章編號:1672-3791(2014)04(a)-0230-01
民航安全是民航行業生命賴以存在和發展的基礎,是維護民航乘客利益的核心。民航業在安全上沒有小問題,一旦發生問題,通常是大問題,其影響波及的面積不僅是國內,甚至也會波及到國際上,損失也往往是慘重的。因此,民航安全管理體系建設是我國民航業發展的基礎和核心建設。如何通過持續的風險預警、風險識別配合事先的風險控制、事后的風險管理將風險降到最低,這已經成為決定我國民航業乃至世界民航業的安全管理體系建設的關鍵所在。
1 我國民航安全管理體系建設的現狀
在討論我國民航安全管理體系建設的深層次問題之前,筆者認為有必要先闡釋和澄清一些相關概念,以便更好地認識我國民航安全管理體系建設發展到今天的整體狀況。換句話說,理清這些相關概念,是建立民航安全管理體系的基礎性工作。
“民航安全管理體系”(safe management system ,簡稱為SMS)的本質是成立、建設一個系統的、全面的、完整的、清楚的安全風險管理以及安全基礎運行的系統,它是由美國聯邦航空管理局FAA在1996年對其自身的安全管理體系從傳統向現代改革時提出的一個民航安全管理方面的模型,并得到國際民航組織(International Civil Aviation Organization,簡稱為ICAO)的大力倡導。由“國際標準化組織”(簡稱為ISO)頒布的ISO 9000質量標準體系則是一套由ISO和IAF在2008年8月20日聯合的適用于全球最廣范圍的質量管理體系標準,它擁有一整套完備的有關質量的術語、體系規范、程序規范、技術規范,自成體系。而且更重要的是,該套質量管理體系標準可以全面地適用于安全管理的實踐操作層面。而在民航安全管理體系上ISO 9000質量標準體系大力推薦的是質量管理體系(Quality Management System,簡稱為QMS)該安全管理體系中最主要的就是八項原則,即“以顧客為關注焦點、領導作用、全員參與、過程方法、管理的系統方法、持續改進、基于事實的決策方法、與供方互利關系”。在這八項基本原則中,最重要的就是“以顧客為關注焦點”以及“持續改進”這兩個根本原則。從以上八項基本原則可以看出,QMS體系主要將重心放在“人”上。
安全管理理論發展到現代已經發生了巨大的改變,最有效的提高一個系統的整體安全管理水平的方式是在一個系統的安全思想的統籌下進行分析,即要保證系統的每一個階段都是安全的,每一個階段都必須將其潛在的危險降到最低,這才是建設我國民航業卓越的安全管理體系的根本所在。
2 構建并貫徹合理的安全目標和指標體系
民航安全管理體系建設不是一蹴而就的事情,而是一項系統性的、長期性的、艱巨性的任務。隨著SMS和QMS雙體系的不斷發展,國際上對民航業的要求越來越多、越來越高、越來越細。中國為了應對這一挑戰,應該適時制定一套完整的安全目標,并開發配套的指標體系,緊隨國際民航安全管理體系建設發展的腳步,及時地、持續地更新自身管理體系,力圖將挑戰變成機遇,以趕上甚至超越國際一流水平。
首先在領導層面,應進行全面的初步安全評估,合理規劃風險控制,擬定合理的安全目標和各項體系指標,構建一套適合企業自身的SMS方案。其次,不能紙上談兵,關鍵還要嚴格執行安全管理方案,將安全目標、風險管理落到實處。例如,設置安全風險預警閥值,實現對整個系統的動態、實時監控,保證安全指標信息的及時采集、傳遞、分析和交流,確保安全管理文件的準確性和可行性。最后,但也是最重要的一點,應完善安全管理體系中的應急處理系統,一旦發生安全問題,可以立即形成有效的應急方案,全面調度一切可利用的資源,其他各個部門迅速響應、配合,將時間的后果控制在最小的影響范圍內。
3 以人為本,建設成熟的機務隊伍
民航安全管理體系建設是民航業的生命所在,而民航安全管理最核心的運作單位還是“人”,因此,我國民航業在安全管理上還應大力培養高素質的機務隊伍。
從實踐層面看,機務人員往往最先發現安全問題,并第一時間地分析問題、處理問題,他們是站在民航業安全管理體系的最前線的戰士,因此,建設一支成熟的機務隊伍對于建設我國民航安全管理體系至關重要。具體而言,應提升企業、甚至是整個產業的安全文化素養,尤其是在機務人員的具體培訓中,應當貫徹安全理念,將安全指標作為每一個機務人員的考核標準。其次,對飛機進行可控性維修,絕不守株待兔,而是主動出擊,發現問題、解決問題。嚴格的領導和組織各項機務工作,不放過任何一個細節。事前要組織嚴格縝密的預先檢查,進行過程中要開展全方位的嚴格的過程監督,事后更要無縫銜接嚴格的反饋程序和后續跟進事項。
4 結語
中國加入世界貿易組織之后,作為經濟發展先頭兵的我國民航業越來越得到社會、政府的關注,而大眾對我國民航業越來越高的期待也意味著對我國民航安全管理體系進一步建設和完善的急切呼喚。在民航安全的哲學中,一個好的過程不僅重要,相應地產生一個好的結果更加重要。可以說,在民航安全管理上,就是“以成敗論英雄”。只有“嚴”字打頭,嚴格指揮、嚴格把關、嚴格用人、嚴格檢查、嚴格操作,真正貫徹安全管理體系中的規章制度,在一言一行、一鉚一釘中實踐“安全第一”的理念,真正把安全作為航空的第一要事,才能將我國民航安全管理體系建設帶上一個新的高度。
參考文獻
[1] ICAO安全管理手冊(SMM)[G].國際民航組織,Doc 9859 AN/460(第一版),2006.
[2] 張建平.空管安全管理體系與質量管理體系的差異分析[J].北京:空中交通管理,2007(4):40-43.
[3] 向維,李明,吳超,等.航空不安全事件人為因素分析R-S-TER模型的構建與應用研究[J].中國安全科學學報,2009(19):152-159.
關鍵詞:信息化;信息安全;安全管理
1企業信息安全現狀
近幾年,隨著行業信息化建設逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產經營決策管理和MES生產制造執行等系統相繼投入使用,與生產經營息息相關的關鍵業務對信息系統的依賴程度越來越高,企業也逐步認識到信息安全的重要性,企業員工的安全意識也都得到逐步提高。行業也相繼出臺了煙草行業信息安全保障體系建設指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進企業的信息安全水平得到了進一步提高。由于企業信息安全意識不斷提高,企業不斷加大信息安全方面的投入,如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新,攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊,也要應對來自于企業內部的信息安全威脅,安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題,還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識,一味注重“技術”的作用,忽略“管理”的重要性,就很難發揮信息安全技術的作用,無法把企業的各項信息安全措施落到實處,企業的信息安全也就無從談起。只有切實發揮管理作用,企業的信息安全才能得到有效保障。
2企業信息安全體系架構
在談到信息安全時,大多數剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業的信息安全體系架構。2.1信息。對企業來說,信息是一種無形資產,具有一定商業價值,以電子、影像、話語等多種形式存在,必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產損失。2.3企業信息安全體系架構。在保障企業信息安全過程中,信息安全技術是保障信息安全的重要手段。通過上文對企業信息安全現狀的分析,不難看出企業信息安全體系主要分為技術、管理兩個重要體系,進一步細分則涉及安全運維方面。2.3.1信息安全技術體系作用。主要是指通過部署信息安全產品,合理制定安全策略,實現防止信息泄露、被篡改、被損壞等安全目標。信息安全產品主要是指實現信息安全的工具平臺,如防火墻類產品、防攻擊類產品、殺毒軟件類產品和密碼類產品等,而信息安全技術則是指實現信息安全產品的技術基礎。2.3.2信息安全管理體系作用。完善信息安全組織機構、制度,細化職責分工,制定執行標準,確保日常管理、檢查等制度有效執行,最大程度發揮信息安全技術體系作用,確保信息安全相關保護措施有效執行。通過上文簡單介紹,對信息安全以及信息安全系統有了大概了解。可以看出單純借助技術或管理無法保障企業信息安全,因此,建立企業信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理。運用技術、管理手段,做好信息安全工作整體規劃、組織、協調與控制,確保實現信息安全目標。3.2管理體系。體系是指相互關聯和相互作用的一組要素,而管理體系則是建立方針和目標并實現這些目標的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內建立、完成信息安全方針和目標,采取或運用方法的體系。作為管理活動最終結果,包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業總管理體系的一個子體系,目的是建立、實施、運行、監視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構。明確職責分工,確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉所需的資金、設備與人員等。
4信息安全管理體系機構設置以及作用
在建立企業的信息安全管理體系之前,如果沒有設置相應的信息安全組織機構,那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業的信息安全制度和策略也就無法貫徹落實,企業的信息安全管理體系就形同虛設起不到任何作用。因此,企業在建立信息安全管理體系前必須建立健全信息安全組織機構,機構設置可以根據職責分為三個層次。4.1信息安全決策機構。信息安全決策機構處于安全組織機構的第一個層次,是本單位信息安全工作的最高管理機構。應以單位主要領導負責,對信息安全規劃、信息安全策略和信息安全建設方案等進行審批,并為企業信息安全工作提供各類必要資源。4.2管理機構。處于安全組織機構的第二個層次,在決策機構的領導下,主要負責企業日常信息安全的管理、監督以及安全教育與培訓等工作,此類工作大部分都由企業的信息化部門承擔。4.3執行機構。處于信息安全組織機構的第三個層次,在管理機構的領導下,負責保證信息安全技術體系的有效運行及日常維護,通過具體技術手段落實安全策略,消除安全風險,以及發生安全事件后的具體響應和處理,執行機構人員可以由信息中心技術人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標準的“建立ISMS”章節中,已明確了信息安全管理體系建立的10項強制性要求和步驟。企業應結合自身實際情況,遵照這些內容和步驟,建立自己的信息安全管理體系,并形成相應的體系文件。5.1建立的步驟。(1)結合企業實際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構建目標框架、風險評價的準則等,形成方針文件。(3)確定風險評估方法。(4)識別信息安全風險,主要包括信息安全資產、責任、威脅以及造成的后果等。(5)進行安全風險分析評價,編制評估報告,確定信息安全資產保護清單。(6)明確安全保護措施,編制風險處理計劃。(7)制定工作目標、措施。(8)管理者審核、批準所有殘余風險。(9)經管理層授權實施和運行安全體系。(10)準備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標準保持一致,同時也要結合企業實際,確保員工遵照要求嚴格執行。而且也要符合企業的實際情況和信息安全需要。在實際工作中,企業員工應按照文件要求嚴格執行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網絡、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環節,結果常以“記錄”形式出現;記錄類主要是記錄程序文件結果,常以是表格形式出現。至于適用性聲明文件,企業應結合自身情況,參照ISO/IEC27001:2005標準的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業可以針對自身業務、管理與信息系統等情況,制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關法律法規、ISO/IEC27001:2005標準以及企業實際要求,保證與企業其他體系文件協調一致,避免沖突,同時在文字描述準確且無二義。
6體系實施與運行
主要包括策略控制措施、過程和程序,涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應急處理等。
7體系的監視與評審
主要指對照策略、目標與實際運行情況,監控與評審運行狀態,主要涉及有效性評審、控制措施測試驗證、風險評估、內部審核、管理評審等環節,并根據評審結果編制與完善安全計劃。
8體系的保持和改進
主要是依據監視與評審結果,有針對性地持續改進。主要包括改進措施、制定完善措施、整改總結等,同時需相關方進行溝通,確保達到預計改進標準。
9結語
關鍵詞:企業信息化;信息安全管理體系;信息安全保障
1 企業信息安全需求與目標
近年來隨著企業信息系統建設的不斷發展,企業的信息化安全也面臨著前所未有的挑戰。作為中國高速列車產業化制造基地和城軌地鐵車輛定點制造企業,公司的發展對高速動車行業產生著舉足輕重的作用;從企業信息安全現狀分析,公司IT部門主管深深意識到,盡管從自身情況來看,在信息安全方面已經做了很多工作,如部署了防火墻、SSL VPN、入侵檢測系統、入侵防御系統、防病毒系統、文檔加密、終端安全管理系統等。但是安全系統更多的在于防堵來自某個方面的安全威脅,無法產生協同效應,距離國際同行業企業還存在一定的差距。
公司通過可行性研究及論證,決定借助外力,通過知名的咨詢公司協助企業發現存在的信息安全不足點,以科研項目方式,通過研究國家安全標準體系及國家對央企和上市企業的信息化安全要求,分析企業目前的現狀和國際標準ISO27001之間的差距,繼而完善企業信息安全體系的規劃與設計,最終建立一套適合企業現狀的信息安全標準和管理體系。目標是使公司信息安全從管理到技術均得到全面加強,建立一個有責(職責)、有序(秩序)、有效(效率)的信息安全管理體系,預防信息安全事件的發生,確保更小的業務損失,提供客戶滿意度,獲取更多的管理支持。在行業內樹立標桿和示范,提升企業形象,贏取客戶信任,增強競爭力。同時,使信息安全體系通過信息安全管理體系通過ISO 27001認證標準。
2 企業信息安全管理體系建設過程
凡事預則立,不預則廢。對于信息安全管理建設的工作也先由計劃開始。信息安全管理體系建設分為四個階段:實施安全風險評估、規劃體系建設方案、建立信息安全管理體系、體系運行及改進。也符合信息安全管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護企業信息系統的安全,確保信息安全的持續發展。本文結合作者經驗,重點論述上述幾個方面的內容。
2.1 確立范圍
首先是確立項目范圍,從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上,可以考慮內部機構:需要覆蓋公司的各個部門,其包括總部、事業部、制造本部、技術本部等;外部機構:則包括公司信息系統相連的外部機構,包括供應商、中間業務合作伙伴、及其他合作伙伴等。
從系統層次上,可按照物理環境:即支撐信息系統的場所、所處的周邊環境以及場所內保障計算機系統正常運行的設施。包括機房環境、門禁、監控等;網絡系統:構成信息系統網絡傳輸環境的線路介質,設備和軟件;服務器平臺系統:支撐所有信息系統的服務器、網絡設備、客戶機及其操作系統、數據庫、中間件和Web系統等軟件平臺系統;應用系統:支撐業務、辦公和管理應用的應用系統;數據:整個信息系統中傳輸以及存儲的數據;安全管理:包括安全策略、規章制度、人員組織、開發安全、項目安全管理和系統管理人員在日常運維過程中的安全合規、安全審計等。
2.2 安全風險評估
企業信息安全是指保障企業業務系統不被非法訪問、利用和篡改,為企業員工提供安全、可信的服務,保證信息系統的可用性、完整性和保密性。
本次進行的安全評估,主要包括兩方面的內容:
2.2.1 企業安全管理類的評估
通過企業的安全控制現狀調查、訪談、文檔研讀和ISO27001的最佳實踐比對,以及在行業的經驗上進行“差距分析”,檢查企業在安全控制層面上存在的弱點,從而為安全措施的選擇提供依據。
評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面,包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理、符合性。
2.2.2 企業安全技術類評估
基于資產安全等級的分類,通過對信息設備進行的安全掃描、安全設備的配置,檢查分析現有網絡設備、服務器系統、終端、網絡安全架構的安全現狀和存在的弱點,為安全加固提供依據。
針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式采用滲透測試的方法,在應用評估中將對應用系統的威脅、弱點進行識別,分析其和應用系統的安全目標之間的差距,為后期改造提供依據。
提到安全評估,一定要有方法論。我們以ISO27001為核心,并借鑒國際常用的幾種評估模型的優點,同時結合企業自身的特點,建立風險評估模型:
在風險評估模型中,主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性,信息資產的屬性是資產價值,弱點的屬性是弱點在現有控制措施的保護下,被威脅利用的可能性以及被威脅利用后對資產帶來影響的嚴重程度,威脅的屬性是威脅發生的可能性及其危害的嚴重程度,風險的屬性是風險級別的高低。風險評估采用定性的風險評估方法,通過分級別的方式進行賦值。
2.3 規劃體系建設方案
企業信息安全問題根源分布在技術、人員和管理等多個層面,須統一規劃并建立企業信息安全體系,并最終落實到管理措施和技術措施,才能確保信息安全。
規劃體系建設方案是在風險評估的基礎上,對企業中存在的安全風險提出安全建議,增強系統的安全性和抗攻擊性。
在未來1-2年內通過信息安全體系制的建立與實施,建立安全組織,技術上進行安全審計、內外網隔離的改造、安全產品的部署,實現以流程為導向的轉型。在未來的 3-5 年內,通過完善的信息安全體系和相應的物理環境改造和業務連續性項目的建設,將企業建設成為一個注重管理,預防為主,防治結合的先進型企業。
2.4 企業信息安全體系建設
企業信息安全體系建立在信息安全模型與企業信息化的基礎上,建立信息安全管理體系核心可以更好的發揮六方面的能力:即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack),體系應該兼顧攘外和安內的功能。
安全體系的建設一是涉及安全管理制度建設完善;二是涉及到信息安全技術。首先,針對安全管理制度涉及的主要內容包括企業信息系統的總體安全方針、安全技術策略和安全管理策略等。安全總體方針涉及安全組織機構、安全管理制度、人員安全管理、安全運行維護等方面的安全制度。安全技術策略涉及信息域的劃分、業務應用的安全等級、安全保護思路、說以及進一步的統一管理、系統分級、網絡互聯、容災備份、集中監控等方面的要求。
其次,信息安全技術按其所在的信息系統層次可劃分為物理安全技術、網絡安全技術、系統安全技術、應用安全技術,以及安全基礎設施平臺;同時按照安全技術所提供的功能又可劃分為預防保護類、檢測跟蹤類和響應恢復類三大類技術。結合主流的安全技術以及未來信息系統發展的要求,規劃信息安全技術包括:
2.5 體系運行及改進
信息安全管理體系文件編制完成以后,由公司企劃部門組織按照文件的控制要求進行審核。結合公司實際,在體系文件編制階段,將該標準與公司的現有其他體系,如質量、環境保護等體系文件,改歸并的歸并。該修訂審核的再繼續修訂審核。最終歷經幾個月的努力,批準并實施了信息安全管理系統的文檔。至此,信息安全管理體系將進入運行階段。
有人說,信息系統的成功靠的是“三分技術,七分管理,十二分執行”。“執行”是要需要在實踐中去體會、總結與提高。對于信息系統安全管理體系建設更是如此!在此期間,以IT部門牽頭,加強宣傳力度,組織了若干次不同層面的宣導培訓,充分發揮體系本身的各項功能,及時發現存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。
3 總結
總結項目,建立健全的信息安全管理制度是進行安全管理的基礎。當然,體系建設過程中還存在不足,如崗位原有職責與現有安全職責的界定,員工的認知及接受程度還有待提高,體系在各部門領導重視程度、執行力度、審核效果存在差距等等。最終,在公司各部門的共同努力下,體系經歷了來自國際知名品牌認證公司DNV及中國認可委(CNAS)的雙重檢驗,并通過嚴格的體系審核。確認了公司在信息安全管理體系達到國內和國際信息安全管理標準,提升公司信息安全管理的水平,從而為企業向國際化發展與合作提供有力支撐。
[參考文獻]
[1]沈昌祥.《信息系統安全導論》.電子工業出版社,2003.7.
關鍵詞:醫院信息標準化建設;網絡安全;管理體系
由于信息化技術的日益發展,很多醫療信息系統都在發展過程中進行了優化,大大推動了醫療診斷技術水平的提升,使診斷工作更為精細化,有效提升了員工績效水平和醫療工作的整體品質。與此同時,其復雜性也在日益提高,使得醫院安全問題凸顯,同時面臨多種惡意軟件入侵,對醫院網絡產生了重大的負面影響。因此,在技術水平達標的同時,還需要人工操作來確保網絡的安全。2018年4月,國務院印發《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》,提出各類醫療機構今年要逐步完善和繼續完善“互聯網醫療衛生體系”,發展在線醫療,提高醫院管理水平。通過《國務院關于推進“推進互聯網在線醫藥衛生”發展的意見》宣告了“互聯網醫療健康”安全時代的正式到來。以國家標準2.0級網絡防護工程為指導,遵循“一個中心、三個防護”防護工程的基本理念,從安全信息管理服務中心體系建設工作開始,并初步構建了醫院網絡安全三級防護管理體系,以有效迎接新網絡時代的安全管理挑戰,確保“互聯網健康”,醫院安全信息化體系建設穩步健康有序發展。
1醫院信息標準化建設中網絡安全管理體系建設的重要原因探析
患者只需在線注冊、就診、付款、入住和離開醫院即可完成醫療流程。此外,信息化體系建設還可以有效提高醫務人員的日常工作效率,降低醫務人員的勞動強度,為患者及時提供便捷高質量的基本醫療健康服務。從各級醫院的財務角度看,醫院財務信息化體系建設不僅可以有效提高各級醫院財務管理水平,密切各直屬科室之間的協作關系,為加強醫院醫務檔案管理進行信息化、財務管理和物資管理工作創造條件,降低醫院的商業保險和運營成本,提高醫院的整體效益。網絡安全管理體系主要是廣泛指負責管理網絡系統安全管理策略、安全動態計算網絡環境、安全網絡區域活動限制和安全網絡通信等網絡安全防護機制的管理平臺或服務區域。過去,醫院率先采取了“被動防御”安全戰略,并針對安全網絡威脅不斷采取了安全防護控制措施,缺乏安全統一規劃和安全集中管理。安全信息資源綜合使用管理效率低,對安全威脅的監測反應慢,難以建立形成有效的安全威脅防護管理體系。隨著我國醫院安全信息化體系建設的不斷發展,各種新信息技術的不斷推廣和醫院互聯網服務的不斷普及,醫院必然需要自主開發一套能夠適應當前網絡健康管理時代的網絡安全管理系統。
2醫院信息標準化建設中網絡安全管理體系建設遇到的問題
2.1缺乏統一標準和依據
醫院信息化建設具有高度的系統性和復雜性,需要各部門密切配合,對醫院進行統一規劃,明確每一步的建設目標。但是,從醫院信息化建設的現狀來看,對醫院的實際發展缺乏重視,在投入之前沒有充分考慮到醫院的長遠發展目標。另外,信息化建設沒有統一的規則,影響了信息化建設的工作,對新項目的實施也有一定的影響,造成了資源的浪費。
2.2網絡安全性較低
醫院的網絡安全的問題往往是高度復雜動態的,將對醫院領導和安全系統運營人員產生重要直接影響。此外,還有一些新型網絡安全病毒和一些黑客在網絡安全應用方面的潛在問題。雖然很多大型醫院都已經采取了一些相應的技術措施手段來徹底解決這些安全問題,但由于醫療軟件技術能力較差、技術水平不過關等因素,并沒有有效地解決這些網絡安全上的問題。
3網絡安全管理體系建設原則
從醫院建設安全網絡管理信息中心的總體目標要求出發,在國家標準2.0級網絡防護的技術指導下,結合自身醫院網絡安全管理工作實踐經驗,醫院首先明確了以下網絡安全管理原則:①安全管理與網絡技術支持并重,同時合理規劃醫院建設安全管理體系和網絡技術支持能力,用安全管理體系建設指導網絡技術支持能力體系建設,用網絡技術支持能力建設確保安全管理體系的有效實施。②集中控制安全能力和分散安全管理權限,整合安全人力資源,提高安全管理效率,注重員工建立準確識別和有效消除快速安全網絡威脅的管理能力;通過集中的人力資源綜合管理和權力控制,分散對上級行政部門權力的管理限制,以及通過依靠集中審計行政能力控制來有效降低醫院員工違法越權的安全風險。基于上述安全原則,醫院已已經開始對公司現有的醫院網絡安全保障管理能力系統和網絡技術支持管理能力體系進行不斷改造和升級完善。
4網絡安全管理體系建設標準
建立安全管理中心的前提是醫院應有一套合法、兼容、可行的安全管理體系。通過驗證基本2.0級防護要求,結合醫院自身的安全管理經驗,并將實施能力作為重要標準考慮在內,建立2.0級安全管理體系框架,以確保管理體系的管理方向和可行性。為便于實施,醫院將管理體系文件分為4個層次。一級安全文件根據有關國家安全法律法規、相關安全行業政策法規和公立醫院安全管理要求,確定醫院總體上的網絡安全保障政策和發展策略,在此基礎上研究構建公立醫院第三級安全網絡管理體系,定義全球安全要求,并在安保管理、人員管理、資產管理、安保大樓管理和維護以及應急支持管理的組織中建立安全標準。輔助文檔中的信息總量,更新和調整物理安全要求、政策和政策,以應用于特定領域。二級安全操作和維護系統,規定了適用于文件安全系統維護和維護管理第一級操作和操作的安全要求,并規定了操作和禁止規則。三級規范文件要求是具體的企業工作人員操作管理規范,以便于確保操作人員的實際操作管理效果能夠滿足您的預期,并減少故障和其他行為造成的潛在安全風險。例如,確定您的服務器安全技術增強(windowsserversecuritymanual)的項目操作步驟和項目實施經驗效果,并及時制定技術要求以便于確保您的服務器安全滿足特定項目安全要求,并制定安全增強管理體系安全增強基礎的各項相關技術要求。四級文件是用于數據篩選、跟蹤和分析的安全操作管理記錄,為了減少操作和維護人員的工作量,提高時尚管理的效率,節省紙張,醫院開始嘗試非常規檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫院安全生產管理體系的工作靈活性和市場適應性:第一層體系決定了整體網絡安全政策和策略以及其他體系制定的方向。二級管理體系手冊側重于對個別具體管理問題的有效管理,根據實際需要進行制定,具有較強的基本相關性和實際適用性,確保一級管理體系的基本靈活性和實際適應性;第三方操作手冊特別注重管理細節和長期實施,可根據長期實施管理效果反復迭替換代,這些都是我們確保一級管理體系長期實施管理效果的最終重要目的;四級注冊表格針對醫院在建立管理體系時,特別注重對人員安全風險的管理和控制,建立持續改進管理體系的能力。成立了“網絡和信息安全委員會”,作為主要決策機構。根據網絡標準2.0要求,管理員職位分為3個職能:系統管理員、審核管理員和安全管理員。醫院和外部員工通過一系列系統文件進行標準化。合同檢查員工的安全日常行為,并初步確定合同員工的安全和財產保密管理責任;同時提出關于修訂企業管理體系目標評審和上層建筑管理要求的具體要求,建立促進管理體系建設持續完善改進的長效機制,確保穩定性,實施安全管理體系的靈活性和能力,并明確各級修訂和審查體系文件的要求。
5網絡安全技術能力建設
在安全維護管理體系中心建設的基礎上,醫院已經開始研究建設安全技術管理能力,以便于滿足安全維護管理系統中心的要求。醫院作為一個安全系統管理區域,安全維護管理系統中心負責系統的安全管理操作、維護和監督管理。因此,建立安全維護管理體系中心的主要目標是建立一個完全具有高度完善集中控制管理能力的安全維護管理域。安全維護管理區域主應負責執行包括收集和管理綜合安全管理數據、運行安全設備以及安全維護和監督管理整個醫院網絡的安全任務,為整個醫院網絡過程提供必要的醫院網絡安全基礎硬件設施和安全維護服務,以及足夠的自我保護能力,以確保自身在網絡中的安全,避免對重要的安全、審計和管理服務造成損害。由于原有醫院網管區域具有一定的集中控制能力,醫院在現有網管區域的基礎上,采用以下方式完成安全管理建設技術能力。
5.1終端網絡保護
前端計算機通信系統的網絡終端擔保是整個網絡敏感區域的一個核心。其終端主要是連接內聯網和連接外聯網之間的網絡連接,負責從敏感區的核心節點發送數據,僅易受攻擊。因此,通常可以為每個主機66學術論壇/AcademicForum系統部署一個安全網絡管理文件系統。為了提高主機服務器系統的網絡安全級別。可以從根本上對來自網絡連接終端的安全攻擊進行免疫,并在它們已經進入安全下一階段之前預先阻止。
5.2區域網絡運維安全設計
(1)建立檢測網絡安全漏洞的系統。通過自動部署互聯網絡檢測安全漏洞,檢測中心系統人員可以24h時間掃描和自動檢測指定區域內的互聯網。對系統性能進行安全特性評估,實現技術、管理、安全防護的有效集成。為全球用戶同時使用各種區域性的網絡服務降低安全風險,并提供強有力的網絡技術支持。(2)創建審核和運維系統。通過對網絡安全管理設備、網絡安全管理設備、應用管理系統、安全事件等網絡日志相關信息數據進行全面的網絡日志相關信息分析收集和日志相關性信息分析,管理者不僅可以通過搜索和實時分析日常網絡使用中的記錄,正確維護日志數據,定義日志審核設備,方便員工隨時查看,并隨時跨平臺監控整個數據中心的安全狀態。(3)建立完整的微觀分析和深度流量跟蹤系統。通過自動建立完整的用戶微觀數據分析和用戶深度風險流量檢測跟蹤分析系統,可以實時部署專門的高標準風險流量檢測分析平臺,準確快速收集用戶流量,進行深度恢復和全面分析。為了在大量會話流量中快速發現這些隱藏的整個會話進程行為,挖掘這些可能使其隱藏的潛在危險,提供會話進程的所有數據審計處理能力,并不斷提高其進程追蹤和對攻擊源的預測能力。
5.3整合現有安全資源
醫院將在保障自身安全和區域安全管理的基礎上,轉移現有的保障功能,包括資源,非病毒系統、維持和平行動管理系統和安全系統納入安全管理領域。此外,通過研究在服務區內設立專用安全通道和具體的基礎設施安全設施,優化全市安全設施功能整合,注重安全設施綜合利用,減少不必要的安全設備,提高安全設備維護和安全系統運行效率,完成對全市現有安全防護體系的綜合優化。
5.4優化集中控制
在完善現行安全監管制度的基礎上,該院先后研發了航站樓和門診部的安全監控和安全管理系統,為彌補醫院現有綜合門診終端保障體系的不足,對醫院基礎設施進行集中控制和建設,以及醫院管理系統的現有背景操作和系統維護,抗病毒防御系統與醫院客戶犯罪風險檢查系統密切配合。因此,集中審計和宣傳系統完成了建立集中管理和維護系統進行審計和宣傳的任務。預防和控制覆蓋整個醫院網絡的信息資源。
6醫院構建網絡安全管理體系
為有效適應未來最嚴峻的網絡安全發展形勢,醫院還對各級應急保障體系進行了修訂。新的應急支持系統由兩部分組成:綜合計劃和專項計劃。總體實施計劃詳細規定了醫院應急救援支持的主要組織職能結構,確定了醫院事件預警分類管理標準,并詳細規定了事件預警和應急響應工作程序、物資供應支持、培訓和其他一般工作規定:為特定類型的緊急情況和醫院系統的關鍵系統制定詳細的應急和應急方案服務按照“目標選擇、非目標選擇、綜合規劃”的醫院應急救援管理機制可以確保,使醫院應急系統人員在統一系統的技術指導下,能夠有效應對網絡上的各種突發事件。以安全網絡管理中心為工作起點,對信息網絡保護系統進行了升級,提高了風險信息的準確性,與公立醫院安全信息網絡資源管理、網絡資源安全風險管理及威脅有關,建立安全網絡。然后,在發展安全管理能力的基礎上,圍繞“響應性”完善安全運行體系建設,提高響應速度和應對網絡安全威脅的能力。在技術上,嘗試將連接機制引入安全體系,開發建設“主動防護、動態防護、全局防護、精確防護”的網絡安全防護體系,緊跟醫院信息“醫療衛生互聯網”建設步伐在網絡時代,促進了醫院網絡安全建設的發展。
參考文獻:
[1]胡列倫,李倩.醫院信息化建設中網絡安全保護研究[J].中國寬帶,2021(07):31.
[2]龔克.分析醫院信息化建設中網絡安全保護方案設計[J].數碼設計(上),2021,10(06):18.
[3]詹振坤.醫院信息化建設中計算機網絡安全管理與維護工作思考[J].無線互聯科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫院網絡安全信息化的建設路徑探索[J].大眾標準化,2021(11):182-184.
[5]廖文韜.醫院信息化建設中的網絡安全體系建構[J].電腦編程技巧與維護,2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現代醫院管理制度下的醫院信息化建設推進機制探討[J].現代醫院,2018,18(03):368-371.
[7]姜濤.寧夏醫科大學總醫院醫院集團信息化建設優化[D].銀川:寧夏大學,2014.
[8]謝言.國家扶貧開發工作重點縣中醫醫院信息化建設現狀調查及影響因素分析[D].武漢:湖北中醫藥大學,2013.
[9]張宇.醫院信息化建設改革實證研究[D].南昌:南昌大學,2012.
