安全管理软件系统安全规范
一、引言
1.1目的
随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。
计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。
本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。
1.2范围
本规范是一份指导性文件,适用于国家各部门的计算机系统。
在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。
二、安全组织与管理
2.1安全机构
2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织:
2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。
2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。
2.1.2.3安全负责人负责安全组织的具体工作。
2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。
2.1.3安全负责人制:
2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。
2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。
2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。
2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。
2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。
2.1.4计算机系统的建设应与计算机安全工作同步进行。
2.2人事管理
2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
2.2.2关键岗位的人选。如:系统分析员,不仅要有严格的政审,还要考虑其现实表现、工作态度、道德修养和业务能力等方面。尽可能保证这部分人员安全可靠。
2.2.3所有工作人员除进行业务培训外,还必须进行相应的计算机安全课程培训,才能进入系统工作。
2.2.4人事部门应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核,对不适于接触信息系统的人员要适时调离。
2.2.5对调离人员,特别是在不情愿的情况下被调走的人员,必须认真办理手续。除人事手续外,必须进行调离谈话,申明其调离后的保密义务,收回所有钥匙及证件,退还全部技术手册及有关材料。系统必须更换口令和机要锁。在调离决定通知本人的同时,必须立即进行上述工作,不得拖延。
2.3安全管理
2.3,1应根据系统所处理数据的秘密性和重要性确定安全等级,井据此采用有关规范和制定相应管理制度。
2.3.2安全等级可分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可以不同。
2.3.2.1保密等级应按有关规定划为绝密、机密、秘密。
2.3.2.2可靠性等级可分为三级。对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级。
2.3.3用于重要部门的计算机系统投入运行前,应请公安机关的计算机监察部门进行安全检查。
2.3.4必须制定有关电源设备、空凋设备,防水防盗消防等防范设备的管理规章制度。确定专人负责设备维护和制度实施。
2.3.5应根据系统的重要程度,设立监视系统,分别监视设备的运行情况或工作人员及用户的操作情况,或安装自动录象等记录装置。对这些设备必须制定管理制度,并确定负责人。
2.3.6制定严格的计算中心出入管理制度:
2.3.6.1计算机中心要实行分区控制,限制工作人员出入与己无关的区域。2.3.6.2规模较大的计算中心,可向所有工作人员,包括来自外单位的人员,发行带有照片的身份证件,并定期进行检查或更换。
2.3.6.3安全等级较高的计算机系‘统,除采取身份证件进行识别以外,还要考虑其他出入管理措施,如:安装自动识别登记系统,采用磁卡、结构编码卡或带有徽电脑及存储器的身份卡等手段,对人员进行自动识别、登记及出入管理。
2.3.6.4短期工作人员或维修人员的证件,应注明有效日期,届时收回。2.3.6.5参观人员必须由主管部门办理参观手续,参观时必须有专人陪同。2.3.6.6因系统维修或其它原因需外国籍人进入机房时,必须始终有人陪同。2.3.6.7进出口的钥匙应保存在约定的场所,由专人管理,并明确其责任。记录最初人室者及最后离室者和钥匙交换时间。
2.3.6.8在无警卫的场合,必须保证室内无人时,关锁所有出入口。2.3.6.9禁止携带与上机工作无关的物品进入机房。
2.3.6.10对于带进和带出的物品,如有疑问,庞进行查验。
2.3.7制定严格的技术文件管理制度。
2.3.7.1计算机系统的技术文件如说明书、手册等应妥善保存,要有严格的
借阅手续,不得损坏及丢失。
2.3.7.2应备有关计算机系统操作手册规定的文件。
2.3.7.3庞常备计算机系统出现故障时的替代措施及恢复顺序所规定的文件。2.3.8制定严格的操作规程:
2.3.8.I系统操作人员应为专职,操作时要有两名操作人员在场。2.3.8.2对系统开发人员和系统操作人员要进行职责分离。
2.3.9制定系统运行记录编写制度,系统运行记录包括系统名称、姓名、操作时间、处理业务名称、故障记录及处理情况等。
2.3.10制定完备的系统维护制度:
2.3.10.1对系统进行维护时,应采取数据保护措施。如:数据转贮、抹除、卸下磁盘磁带,维护时安全人员必须在场等。运程维护时,应事先通知。2.3.10.2对系统进行预防维修或故障维修时,必须记录故障原因、维修对象、维修内容和维修前后状况等。
2,3.10.3必须建立完整的维护记录档案。
2.3.11应制定危险品管理制度。
2.3.12应制定消耗品管理制度。
2.3.13应制定机房清洁管理制度。
2.3.14必须制定数据记录媒体管理制度。
2.3.15必须定期进行安全设备维护及使用训练,保证每个工作人员都能熟练地操作有关的安全设备。
三、安全技术措施
3.1实体安全
3.1.1设计或改建计算机机房时必须符合下列标准:
3.1.1.1《计算机场地技术要求》(GB2887—87)。
3.1.1.2《计算站场地安全要求》国家标准(待公布)。
3.1.2计算中心机房建筑和结构还应注意下列问题:
3.1.2.1祝房最好为专用建筑。
3.1.2.2机房最好设置在电梯或楼梯不能直接进入的场所。
3.1.2.3机房应与外部人员频繁出入的场所隔离。
3.1.2.4机房周围应设有围墙或栅栏等防止非法进入的设施。
3.1.2.5建筑物周围应有足够照度的照明设施,以防夜间非法侵入。3.1.2.6外部容易接近的窗口应采取防范措施。如钢化玻璃、嵌网玻璃及卷帘和铁窗。无人值守时应有自动报警设备。
3.1.2.7应在合适的位置上开设应急出口,作为避险通道或应急搬运通道。3.1.2.8机房内部设计庞便于出入控制和分区控制。
3.1.3重要部门的计算机中心外部不应设置标明系统及有关设备所在位置的标志。
3.1.4安全设备除符合《计算站场地安全要求》标准外,还要注意以下几点:3.1.4.1机房进出口应设置应急电话。
3.1.4.2各房间应设置报警喇叭。以免由于隔音及空调的原因而听不到告警
通知。
3.1.4.3进出口应设置识别与记录进出人员的设备及防范设备。
3.1.4.4机房内用于动力、照明的供电线路应与计算机系统的供电线路分开。3.1.4.5机房内不同电压的供电系统应安装互不兼容的插座。
3.1.4.6应设置温、湿度自动记录仪及温、湿度报警设备。
3.1.5主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求,外国产品则必须符合生产国的标准,如FCC或VDE等标准。
3.1.6机要信息处理系统中要考虑防止电磁波信息辐射被非法截收。3.1.6.1可采取区域控制的办法,即将可能截获辐射信息的区域控制起来,不许外部人员接近。
3.1.6.2可采用机房屏蔽的方法,使得信息不能辐射出机房。
3.1.6.3可采用低辐射设备。
3.1.6.4可采取其它技术,使得难以从被截获的辐射信号中分析出有效信息。3.1.6.5关于屏蔽技术的具体要求和技术指标可向公安部有关部门咨询。3.1.7磁媒休管理:
3.1.7.1磁盘、磁带必须按照系统管理员及制造厂确定的操作规程安装。3.1.7.2传递过程的数据磁盘、磁带应装在金属盒中。
3.1.7.3新带在使用前庞在机房经过二十四小时温度适应。
3.1.7.4磁带、磁盘应放在距钢筋房柱或类似结构物十厘米以上处,以防雷电经钢筋传播时产生的磁场损坏媒体上的信息。
3.1.7.5存有机要信息的磁带清除时必须进行消磁,不得只进行磁带初始化。3.1.7.6所有入库的盘带目录清单必须具有统一格式,如文件所有者、卷系列号、文件名及其描述、作业或项目编号、建立日期及保存期限。
3.1.7.7盘带出入库必须有核准手续并有完备记录。
3.1.7.8长期保存的磁带庞定期转贮。
3.1.7.9存有记录机要信息磁带的库房,必须符合相应密级的文件保存和管理条例的要求,不得与一般数据磁带混合存放。
3.1.7.10重要的数据文件必须多份拷贝异地存放。
3.1.7.11磁带库必须有专人负责管理。
3.2软件安全
3.2.1系统软件应具有以下安全措施:
3.2.1.1操作系统应有较完善的存取控制功能,以防止用户越权存取信息。3.2.1.2操作系统应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写。
3.2.1.3操作系统应有较完善的管理功能,以记录系统的运行情况,监测对数据文件的存取。
3.2.1.4维护人员进行维护时,应处于系统安全控制之下。
3.2.1.5操作系统发生故障时,不应暴露口令,授权表等重要信息。3.2.1.6操作系统在作业正常或非正常结束以后,应该清除分配给该作业的全部临时工作区域。
3.2.1.7系统应能像保护信息的原件一样,精确地保护信息的拷贝。3.2.2应用软件:
3.2.2.1应用程序必须考虑充分利用系统所提供的安全控制功能。3.2.2.2应用程序在保证完成业务处理要求的同时,应在设计时增加必要的
安全控制功能。
3.2.2.3程序员与操作员职责分离。
3.2.2.4安全人员应定期用存档的源程序与现行运行程序进行对照,以有效地防止对程序的非法修改。
3.2.3数据库:
3.2.3.1数据库必须有严格的存取控制措施,库管理员可以采取层次、分区、表格等各种授权方式,控制用户对数据库的存取权限。
3.2.3.2通过实体安全、备份和恢复等多种技术手段来保护数据库的完整性。3.2.3.3应对输人数据进行逻辑检验,数据库更新时应保证数据的准确性。3.2.3.4数据库管理员应实时检查数据库的逻辑结构、数据元素的关联及数据内容。
3.2.3.5数据库管理系统应具有检查跟踪能力,可以记录数据库查询、密码利用率、终端动作、系统利用率、错误情况及重新启动和恢复等。
3.2.3.6库管理系统应能检测出涉及事务处理内容及处理格式方面的错误,并予以记录。
3.2.3.7必须有可靠的日志记录。对数据完整性要求较高的场合要建立双副本日志,分别存于磁盘和磁带上以保证意外时的数据恢复。
3.2.3.8应建立定期转贮制度,并根据交易量的大小决定转贮频度。3.2.3.9数据库软件应具备从各种人为故障、软件故障和硬件故障中进行恢复的能力。
3.2.3.10库管理软件应能确定是否由于系统故障而引起了文件或交易数据的丢失。
3.2,3.11重要的系统应采取安全控制实时终端,专门处理各类报警信息。3.2.3.12对于从日志或实时终端上查获的全部非法操作都应加以分析,找出原因及对策。
3.2.4软件开发:
3.2.4.1软件开发过程应按照下述标准的要求进行:
(l)《软件工程术语》国家标准(待公布)。
(2)《软件开发中的产品文件编制指南》国家标准(待公布)。
(3)《软件需求说明规范》国家标准(待公布)。
(4)《软件开发规范》国家标准(待公布)。
(5)《软件测试规范》国家标准(待公布)。
3.2.4.2产品鉴定验收:
(l)鉴定验收是软件产品化的关键环节,必须给予足够的重视。提交鉴定的软件产品,应具有上述标准中列出的各种产品文件。
(2)将鉴定会上提供的上述文件装订成册,编好页码目录,作为技术档案,妥善保存。
(3)未经鉴定验收的软件,不得投入运行。
(4)购买的软件应附有完整的技术文件。
3.2.5软件维护与管理:
3.2.5.1较重要的软件产品,其技术档案应复制副本,正本存档,不准外借。3.2.5.2软件产品除建立档案文件外,其源文件应记在磁盘或磁带上,并编写详细目录,以便长期保存。
3.2.5.3重要的软件,均应复制两份,一份作为主拷贝存档,一份作为备份。
3.2. 5.4对系统软件的维护和二次开发要慎重,必须事先对系统有足够的了解。
3.2.5.5对软件进行维护和二次开发前,必须写出书面申请报告,经有关领导批准,方可进行。
3.2.5.6在维护和二次开发中,必须有详细的规范化的书面记载,主要记载修补部位,修改内容,增加功能,修改人,修改日期等,以便查找或别人接替。3.2.5.7二次开发只能在系统软件的副本上进行。
3.2.5.8对软件的任何修改都必须有文字记载,并与修改前后的软件副本一起并人软件技术档案,妥善保存。
3.2.5.9对软件的修改必须保证不降低系统的安全性。3.3输入输出控制。3.3.1明确系统各环节工作人员的责任:
3.3.1.1系统各程序设计人员与操作人员必须分离。
3.3.1.2重要事务处理项目,必须规定由合法文件的法定人提交。3.3.1.3修改文件必须规定批准和执行的手续。
3. 3.1.4工作期间至少应有两人在机房值班,以防止非法使用计算机。3.3.1.5保存控制台打印记录。
3.3.2制定统一的数据格式并尽可能使用统一编码。
3.3.3操作控制:
3.3.3.1对操作人员制定有关处理输人数据的操作制度和规程。
3.3.3.2必须建立一个整齐、清洁、安静符合生理卫生要求的操作环境,以减少操作失误。
3.3.3.3严格规定媒体管理制度,以防止媒体中数据的破坏和损失。如:磁带在保管、传递及安装时的要求,卡片、磁盘、胶片、纸带的管理规程等。3.3.3.4向操作人员提供完整的操作指南,以便掌握有关作业安排,作业优先级分配,建立和控制作业,规定场所安全措施和作业运行等的合理规程。3.3.3.5需要保存的数据文件必须有完备的记录,存人符合要求的媒体库中。3.3.3.6充分利用作业统计功能提供的信息,如:调查完成某个特定功能所需的时间,比较实际机器工作时间与预定时间的差异,判别实际的作业资源需求所预定需求的差异。
3.3.3.7处理机要数据的终端室各终端,可以考虑用屏风隔离,以防各用户互看屏幕内容。
3.3.4数据在投入使用前,必须确保其准确可靠,可采用各种方法进行检验。如:标号检查、顺序检查、极限校验、运算验证、记录数核对等。
3.3.5输出控制:
3.3.5.1数据处理部门的输出控制应有专人负责。
3.3.5.2输出文件必须有可读的密级标志,如:秘密、机密、绝密等宇样或颜色标志。
3.3.5.3等级标志必须与相应文件在整个处理环节中同时生存。
3.3.5.4输出文件在发到用户之前,应由数据处理部门进行审核。3.3.5.5输出文件的发放应有完备手续。
3.3.6可以设置独立于用户和数据处理部门两者的管理小组,以监督和指导进入或离开数据处理中心的数据。
3.4联机处理
3.4.1联机系统应该确定系统安全管理员,对系统安全负责。
3.4.2用户识别:
3.4.2.1必须充分利用系统提供的技术手段。如:用户授权表,存取控制矩阵等。
(l)由于计算机识别用户的最常用的方法是口令,所以必须对口令的产生、登记、更换期限实行严格管理。
(2)研究和采用多种口令密码方式,如:单一密码、可变或随机密码、函数型密码等。
(3)口令应加密存贮。
(4)系统能跟踪各种非法请求并记录某些文件的使用情况。
(5)根据系统的位置,若错误的口令被连续地使用若干次后,系统应采取相应措施,如封锁那个终端,记录所用终端及用户名,并立即报警。
(6)教育用户必须遵循口令的使用规则。
(7)系统应能识别终端,以查出非法用户的位置。
3.4.2.2证件识别,可使用磁条、金属结构或微型芯片制成的卡式证件对用户进行识别。这种识别方式可供有条件的部门使用。
3.4.2.3特征识别,采用专门设备检验用户具有的物理特征。如指纹、掌形、声纹、视网膜等。这种识别方式价格昂贵,一般用于机要核心部门。
3.4.3需要保护的数据和软件必须加有标志,在整个生存期,标志应和数据或软件结合在一起,不能丢失。特别是在复制、转移、输出打印时,不能丢失。3.4.4计算机通信线路安全问题:
3.4.4.I通信线路应远离强电磁场辐射源,最好埋于地下或采用金属套管。3.4.4.2通信线路最好铺设或租用专线。
3.4.4.3定期测试信号强度,以确定是否有非法装置接人线路。
3.4.4.4定期检查接线盒及其他易被人接近的线路部位。
3.4.5加密:
3.4.5.1传输需要保密的数据,应该加密保护。
3.4.5.2需长期保存的机要文件,应加密后保存。
3.4.5.3系统应建立完善的密钥产生、管理和分配系统。
3.4.5.4所有数据应由数据主管部门负责划分密级,密级确定后交数据处理部门进行分类处理。
3.4.5.5根据数据的密级和保密时效的长短,选择相应强度的密码算法,既不能强度太高,过多增加系统开销,又不要强度太低,起不到保密效果。3.4.5.6不要扩大加密的范围。对于可加密可不加密的数据,不要加密。3.4.5.7对于密钥管理人员要尽可能地缩小范围,并严格审查。
3.4.5.8定期对工作人员进行保密教育。
3.4.6当系统密级发生变化,特别是密级降低时,应用叠写的方法清除全部磁存贮器,用停电的方法清除非磁存贮器。
3.4.7计算机系统必须有完整的日志记录。
3.4.7.1重要计算机日志应记录:
(l)每次成功的使用:记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修改前后的数据值。
(2)用户每次越权存取的尝试:记录节点名、用户名、终端名、时间、欲越权存取的数据及操作类型、存取失败的原因。
(3)每次不成功的用户身份:记录节点名、用户名、终端名、时间。
3.4.7.2操作员对越权存取庞通过控制台进行干预。
3.4.7.3打印出的日志应完整而连续,不得拼接。
3.4.7.4重要的日志应由安全负责人签名,规定保存期限。
3.4.8对特定的终端设备,应限定操作人员。特定终端设备指:可对重要数据进行存取的、有控制台功能的、系统管理员所用的终端等。限定操作人员的方法有:采用口令、识别码等资格认定或设置终端设备的钥匙等。
3.5网络安全
3.5.1网络安全比单机系统或联机系统更为重要。如果没有必要的安全措施,网络不能正式投入使用。
3.5.2重要部门的计算机网络应设立全网管理中心,由专人实施对全网的统一管理、监督与控制,不经网络主管领导同意,任何人不得变更网络拓扑、网络配置及网络参数。
3.5.3网络安全可从实际出发,分阶段、分层次逐步完善。应首先考虑采用存贮加密、传输加密、存取控制、数字签名及验证等安全措施。
3.5.4以公用数据网作为通信子网的各重要部门的计算机网络,应设置闭合用户组等限制非法外来或外出访问措施,确保网络安全。
四、安全监督
4.1应急计划与备份
4.1.1系统安全人员必须详细列出影响系统正常工作的各种可能出现的紧急情况。如火灾、水灾、意外停电、外部攻击、误操作等。
4.1.2必须制定万一发生意外时的应急计划。
4.1.3应急计划必须确定所要采取的具体步骤、确定每个步骤的内容。4.1.4与执行应急计划有关人员的姓名、住址、电话号码以及有关职能部门(如消防、公安等有关部门)的联系方法应放在明显、易取的地方或贴在墙上。4.1.5应付紧急情况的具体步骤也应贴在墙上。如:如何使用备份设备、紧急情况下关机步骤等。
4.1.6应定期进行应急计划实施演习,保证每个系统值班人员都能正确实施应急计划。
4.1.7除了必须备份的基本数据文件。如:操作系统、数据库管理系统、应用程序等以外,各单位必须根据自己的实际情况定出需备份的数据文件。
4.1.8必须在机房附近存放一套备份文件的副本,以便紧急情况下能迅速取出。4.1.9重要的实时系统在建立时就应考虑设备备份。如:CPU备份,主机备份,系统备份等。
4.1.9.1备份系统应安装在主机房有一定距离的备份机房。
4.1.9.2备份机房应具有与主机房相同的安全标准与措施。
4.1.9.3备份系统必须定期进行实际运行,以检验备份系统的可靠性。4.1.10在对数据完整性要求较高的场合,必须采取严格的数据备份措施,以保证在发生意外时数据的可靠恢复。
4.1.10.1数据库转贮。应根据本单位情况确定转贮周期。
4.1.10.2日志文件。日志必须双副本,即保存在盘、带上的联机日志与档案日志。
4.1.10.3对于较长的作业,要考虑在其中间设置检查点、重新启动人口、恢
复与备份。
4.2审计
4.2.1在对计算机安全要求较高的场合,必须建立审计制度,配备专职审计人员。
4.2.2审计人员应该是精通业务,对计算机系统有较好的掌握又有一定实际工作经验的高级技术人员。
4.2.3在系统设计阶段就应有审计人员参加,以评价系统设计是否满足安全要求。
4.2.4在系统设计中增加安全控制以后,要重新评价系统,以保证系统功能不退化。
4.2.5系统安全控制包括以下几方面:
4.2.5.1实体控制:防止天灾、人为事故以及电气和机械支持系统的失效。4.2.5.2系统控制:涉及系统的逻辑和实体结构以及有关硬、软件的保护措施。
4.2.5.3管理控制:有关人员、文件资料的处理、存贮等类似事务的安全制度及有关规定。4.2.6系统运行状态下的审计应包括:
4.2.6.1数据输人阶段。由于多数问题是因数据输入时的错误造成的,放这个阶段应作为重点进行调查。
4.2.6.2数据的处理过程。选择一个处理过程,对其每个环节进行跟踪检查,以便发现非法行为。
4.2.6.3计算机程序的检查。必须保存所有程序的完整技术说明文件及其拷贝,以便必要时对重要的程序审查程序代码。
4.2.6.4远程通信环节。由于租用邮电通信线路,数据传送过程中被截取的可能性难以避免,所以必须对加密手段进行认真研究,并通过测试防止对通信系统的渗透。
4.2.6.5输出的用途及利用。
4.2.6.6系统的管理环节。如:岗位责任制的划分与分离状况、用户、程序员、操作员是否有越权行为等。
4.2.7审计方法主要有以下两种:
4.2.7.1检查性审计。对正常运行的系统的某一部分进行抽样检查。如:抽样打印某部分文件,寻找错误或矛盾。将已知预期结果的一批数据送人系统进行处理,核对结果。追踪检查某一交易的所有环节并进行核对等。
4.2.7.2攻击性审计。由审计人员采用各种非法分子可能采取的手段及可能出现的意外情况对系统进行渗透,或破坏的试验,分析成功的可能性及所需的条件,找出系统的薄弱环节及其相应的对策。
4.2.8审计工作应该长期不间断地进行,以对非法行为形成一种威慑力量。4.2.9重要的计算机系统应定期与公安机关的计算机监察部门共同进行安全检查。
4.3风险分析
4.3.1组织专门小组定期对系统进行风险分析。
4.3.2工作小组成员应由与系统有关的各方面的专家组成。
4.3.3风险分析包括:
4.3.3.1硬件资源的破坏及丢失。
4.3.3.2数据与程序文件的破坏与丢失。
4.3.3.3数据的失窃。
4.3.3.4对实现系统功能的不利影响。
4.3.3.5对系统资源的非法使用。
4.3.4风险分析应尽可能具体,有些可能的损失应绘出预计的定量值。4.3.5分析结果必须包括相应的预防措施。如:大多数损失源于操作错误,那么就应该对业务培训、思想教育、技术措施、人事管理等有关规定或计划做出必要的调整。
4.3.6并非每一个有风险的脆弱性的部位都需要保护。若保护措施的代价高于可能出现的风险损失,这些措施应该放弃。
4.3.7保护措施的可靠程度只需使系统变得对渗透者是非常困难或代价昂贵,以致胜过可能给渗透者带来的利益即可。
4.3.8分析的过程与结果应该保密,以免招致对系统弱点的非法利用。
公司交通安全管理制度示范文本
公司交通安全管理制度示 范文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
公司交通安全管理制度示范文本 使用指引:此管理制度资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1、综合行政部要逐台建立机动车辆安全技术管理档 案,其内容包括:(1)车辆出厂的技术文件和产品合格 证,使用、维护、修理和自检记录;(2)安全技术检验报 告,车辆事故记录等。 2、出车前要认真检查车辆,不准开带病车、超速车和 疲劳车,车辆管理人员要按时安排车辆进行维护保养。 3、车辆必须保持技术状况良好,车容、车貌整洁。 4、出车前、后的车辆必须进行例保项目检查。 5、车辆换季保养必须按冬夏季节规定更换机油。 6、加强车辆的维护、保养、验收,在验收中如发现车 辆存在问题,应及时报修。 7、车辆二保、三保、大修时,由用车部门负责向综合
行政部报计划,批复后送指定修理厂修理,修好后由用车部门与综合行政部车管人员负责验收。 8、车辆在修理过程中,如须更换超过规定的配件必须提前向综合行政部申请计划,批复后方可更换。 9、车辆发生故障或在路上抛锚时,要及时与综合行政部取得联系,并准确说明故障原因,须修理部位及抛锚地点,以便及时安排得到处理。 10、车辆年检或保险时由综合行政部负责年检和保险。 11、车辆报废由综合行政部办理。 12、车辆城区夜间停放必须按公司指定地点停放,外出车辆夜间停放时必须停放在正规停车场内。 13、工程车辆使用部门要建立有关车辆的各类技术档案、台账(单车油耗、停车费、过路过桥费、车辆安全检查、安全学习、安全教育、安全行车)及审核,报送公司
DCS系统安全防护规定
DCS系统安全防护规定 (试行) 为了保证甲醇分公司DCS系统的安全稳定运行,特制定本规定。 1、综述: 分散控制系统DCS( distributed control system的简称)是以微处理器及微型机为基础,融算机技术、数据通信技术、C RT屏幕显示技术和自动控制技术为一体的计算机控制系统。它对生产过程进行集中操作管理和分散控制。 DCS系统已成为控制的中枢神经系统,是装置的大脑,装置中各设备的运行状态,设备参数的监视和控制都要通过DCS系统来实现的。正因为DCS系统在生产中举足轻重的作用,它的安全稳定运行就关系着生产的安全稳定。 DCS是由控制器、I/O模件、操作站、通讯网络、图形及遍程软件、历史站等组成。 2、DCS系统的工作环境 2.1 温湿度环境要求 环境条件是保证DCS系统能够长期正常运转的前提,严格控制机柜间和中控室的环境条件,做好消防、、通风及照明等工作。尤其是通风和空调,中央空调时出风口的不能正对机柜或D
CS其他电子设备,以免冷凝水渗透到设备内造成危害。DCS系统所在的房间的温度、湿度及洁净度要求一般是: 温度要求:夏季23±2℃,冬季20±2℃,温度变化率小于5℃/h。 相对湿度:45%~60%。 洁净度要求:尘埃粒度≥0.5μ,平均尘埃浓度≤3500粒/升。 机柜间和中控室内应有监视室内温度和湿度的仪表,以便时时监控DCS系统的工作环境。 2.2 接地要求 DCS接地系统设计关系到系统的安全性、抗干扰能力的强弱及通讯系统畅通。 2.2.1 DCS工作接地必须有单独的接地系统,接地点要与避雷接地点距离大于4米,与其它设备接地点距离大于3米。 2.2.2 DCS接地电阻要求不同,在接地连线后需要实测工作接地电阻和安全接地电阻等符合技术要求的数据。 2.2.3进DCS系统的屏蔽线接地应属于DCS系统的工作接地,不能接入保护接地中,另外屏蔽线接地只能在一点接地。
信息安全工作计划
医院****年信息安全工作计划 2014年将是我院加快发展步伐的重要的一年,为进一步加快数字化医院建设,更好的为医院信息化建设服务,加强信息安全工作,计划如下: 一、不定期对院信息系统的安全工作进行检查,加强信息系统安全管理工作,防患于未然,确保信息系统安全、稳定运行。 二、加强患者信息管理,确保患者信在本院就医信息不泄露。 三、对信息系统核心数据作好备份工作。 四、配合相关科室日常工作,确保机房核心设备安全、稳定运行。 四、配合相关人员作好医院网站信息发布维护工作。 五、定期加强对我院临床全体工作人员进行计算机操作技能及信息系统安全问题培训,保证临床各科业务的正常开展。 六、做好各种统计报表的上报工作,及时、准确的上报各种统计报表。 七、完成领导交办的其它各项工作任务。 2014-3-20篇二:网络安全工作计划 上户镇杜尔比村小学网络安全活动 计划 围绕学校2013年工作重点,坚持科学发展观,充分发挥学校网络的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创教学示范学校,办优质教育,特制订以下计划: 一、网络管理与建设 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 二、网站建设 加强学校校园网网站建设和应用力度,使其服务于教学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好学校网络。 三、信息技术使用与培训工作 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。篇三:2011信息安全工作计划 福州市烟草公司罗源分公司 2011年信息安全工作计划 2011年罗源烟草根据省、市局信息化工作会议精神,以安全、服务为宗旨,紧紧围绕“卷进烟上水平”的基本方针和战略任务,进一步明确目标,落实责任,加强信息安全工作,为信息化建设上水平打好基础。 一、加强考核,落实责任 结合质量管理体系建设,建立健全信息化管理和考核制度,进一步优化流程,明确责任,与各部门重点涉密岗位签订《信息安全及保密责任书》。加大考核力度,将计算机应用及运维
系统安全管理制度
系统安全管理制度 为进一步规范公司管理,防范企业涉密资料以及涉密数据外泄,经过公司研究决定,从即日起,规范相关关键信息、账户的管理。公司根据现在公司的管理需求,统一收回所有公司信息管理账号,集中管理,专人保管。各个部门如要使用可填写账户使用申请单。 具体管理办法如下: 第一章总则 第一条为加强公司用户账号管理,规范用户账号的使用,提高信息系统使用安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息管理中心根据系统拥有部门提交的《岗位权限对照表》增加系统岗位权限控制。第六条用户账号申请、审批及设置由不同人员负责。 第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任,并不能是系统操作用户。 1、超级管理员:负责按照领导审定的《信息系统权限申请表》(附件二)进入系统管理员的授权管理。 2、系统管理员:负责按照领导审定的授权进行录入,并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐,定期向系统管理监督备案。 3、系统管理监督员:负责对录入的数据和授权进行监督,并建立用户权限台帐,定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。 4、普通用户:负责对系统进行业务层面的操作。
系统安全操作规程通用版
操作规程编号:YTO-FS-PD419 系统安全操作规程通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
系统安全操作规程通用版 使用提示:本操作规程文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 1、上班前四小时内不准喝酒,正确穿戴好劳保用品,严格遵守劳动纪律。 2、设备运转前及运转中必须确认风、油、水、气是否符合标准,检查传动部件是否良好,各阀门是否正常。 3、开机前必须检查各人孔门是否关闭,机内无漏物,方可关闭人孔门,下属设备无故障方可开机。 4、停机检修检查时,应和中控人员取得联系,必须通知电工切断高压电源,将转换开关置于“闭锁”位置;慢转磨机时确认各油泵是否工作正常,并同各现场作业负责人取得联系,确认安全,磨内无人,方可慢转。 5、进入设备内部检查必须两人以上,并配备低压照明或手电筒,并在设备控制盘上挂上“禁止合闸”牌。 6、巡检时不要接触设备运转部位,确保巡检通道畅通无障碍物。 7、斗提跳停后,必须确认斗提物料量是否超过正常值,如超过正常值,打开斗提下部放料,具备慢转条件的必须慢转,在其正常后方可开主电机。
2018卫生系统安全生产工作计划
2018卫生系统安全生产工作计划 为认真贯彻落实中央、省、市各项安全生产工作要求,坚持“安全第一、预防为主”的安全生产工作方针,进一步做好我市卫生系统安全生产各项工作,确保实现安全生产目标,特制定XX年吴川市卫生系统安全生产工作计划。 一、工作目标 (一)全系统不发生重大安全生产责任事故。 (二)医疗事故、重大影响医疗纠纷发生率较上年度下降,控制处理及时率100%。 (三)特种设备定检率100%,凭证运行率100%,特殊工种操作人员培训率100%,持证率100%。 (四)依法开展职业病防治工作,急性职业中毒死亡人数为0;职业中毒发病人数为0,不发生重大职业中毒死亡事故;以厂矿为单位,有职业危害的厂矿企业工业卫生监测覆盖率达100%,接触有害因素作业职工健康体检率达50%。 二、工作措施 (一)进一步提高对安全生产工作重要性的认识。安全生产工作关系广大群众的生命财产安全,关系社会稳定,是建设和谐社会的迫切需要。各单位要充分认识到做好安全生产工作的极端重要性,采取各种有力措施,切实加强安全生产工作,确保广大干部职工和服务对象的生命财产安全。 (二)进一步加强对安全生产工作的组织领导。各单位要把安全生产工作摆上重要议事日程,纳入精神文明建设总体规划,做到年初有计划,年终有总结;要把安全生产工作列入党政主要领导和分管领导年度工作目标和述职报告的重要内容,列入干部职工考核的重要指标;要成立安全生产工作领导小组,做到主要领导负总
责,分管领导牵头负责,有具体经办人员;要与单位各科室签订安全生产责任状,做到一级抓一级,层层抓落实;每季度要召开一次安全生产工作例会,安排部署安全生产工作,分析、研究和解决存在的安全生产问题;每季度要开展一次以压力容器、水电、易燃易爆物品、毒麻药品、生物疫苗、房屋设施、建筑工地、消防通道等为重点的安全生产工作检查,及时发现和整改存在的隐患。 (三)进一步健全和落实各项安全管理制度。各单位要结合实际,健全、完善、落实安全生产领导责任制、安全生产例会制、安全生产检查事故隐患整改制、安全生产审批制、安全生产事故紧急处理预案等“五项”制度,健全、完善、落实门诊、住院、财务、保密、车辆、防火防盗、毒麻药品、放射物品、高压容器、建筑工地、实验室等方面的管理制度,采取有力措施,定人定岗,明确岗位责任制,制定奖惩措施。 (四)进一步加强安全生产的宣传教育和学习培训。各单位要把“安全意识淡薄”作为一项重要安全隐患来抓。要加大宣传教育力度,积极组织开展安全生产相关法律、法规、政策和基础知识的全员培训,做到人人过关,形成“人人知晓、人人重视、人人参与、时刻防范”的安全生产工作局面。各单位每年要开展2 次以上的安全生产培训教育,尤其要重视对新入岗的职工、临时工及合同工的培训教育,并建立培训档案。 (五)进一步做好各项安全生产工作。 1、加强对医疗检查、治疗仪器设备,氧气瓶、高压氧仓、锅炉、消毒压力锅等压力容器、压力管道,配电室、电梯等水、电、气设备,易燃易爆、剧毒化学物品、放射源、毒麻药品、生物制品等的安全管理,认真落实岗位责任制,操作人员持证上岗,严格执行保管、使用、登记、检查、维护等各项规定,及时排查各类事故隐患。 2、加强消防安全管理。各单位要特别重视消防安全工作,要认真学习贯彻《中华人民共和国消防法》,健全和完善消防安全管理制度,对全体干部职工进行
交通安全管理办法(标准版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 交通安全管理办法(标准版) Safety management is an important part of production management. Safety and production are in the implementation process
交通安全管理办法(标准版) 第一章车辆安全管理 第一条凡大队所属的机动车辆应建立完整的技术档案(台帐)。 第二条凡大队新车落户、外籍车辆转入及办理机动车辆变更、过户、转籍手续时,必须严格执行国家有关交通安全管理规定,同时必须报分公司安全环保部备案。 第三条凡属大队的机动车辆,必须证件号牌齐全,车容、车貌整洁。执行公务的车辆,出厂区大门时必须持单位调度签发的行车路单、派车单位签证,明确行车路线,否则按跑私车处理。 第四条凡属特种设备的操作手必须执行“三定”(定人、定机、定岗位),未经大队审查允许,禁止随意换人。 第五条车辆使用管理单位对在册使用的机动车辆,应建立检验维护保养制度和“三检”制度(即出车前、行车中、回厂后)。 第六条执行长途运输任务(指出大庆地区)的车辆运输或集体
会议、接待外出,必须执行逐级审批制度,凡未经批准和未办理“长途车审批单”者,不准出车。长途车出大庆在省内及出省车辆由分公司主管安全领导审批。 第七条各小队位机动车辆必须按要求配备消防灭火器材和警示标牌。 第八条车库和停车场应建立安全管理制度,车库内和停车场严禁堆放杂物及易燃易爆品。 第九条节假期间车辆管理。节假日期间,运行车辆要严格执行“节日通行证”制度,非运行车辆执行“三交一封”制度。 第十条车速控制管理。根据我们大队的工作性质,对车辆行驶速度做全面管理控制。 ㈠、所有施工车辆在中区道路行驶最高速度为60公里/小时,商业繁华区域施工行车为30公里/小时,厂内行车为15公里/小时。 ㈡、车辆行进到各厂、矿区域、居民区域最高速度为40公里/小时。 ㈢、车辆行进到交叉路口时,驾驶人要降低车速,注意观察、
软件系统安全规范
一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。 2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。 2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机要信息的系统,接触系统的所有工作人员必须按机要人员的标准进行审查。
接地系统安全管理规程标准版本
文件编号:RHD-QB-K8604 (操作规程范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 接地系统安全管理规程 标准版本
接地系统安全管理规程标准版本操作指导:该操作规程文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 接地系统是指在故障情况下可能出现危险对地电压的导电部分同大地紧密地连接起来的系统整体结构。它是一种防止间接电击的保护性措施,关系到人身安全、防火防爆、设备安全等。接地系统类型很多,主要有防止人身间接电击以及电气火灾、线路损坏的故障接地、重复接地、防止过电压的接地、等电位接地、防静电接地、电磁屏蔽接地、检修接地以及维持系统安全运行的工作接地等。低压配电系统主要有TN系统、TT系统、IT系统三种接地制式,保护性接地装置与其相连接的保护线(保护导体),按现行标准以文字符号“PE”表示。这三种电源系统在
运行中有时发生漏电、感应或故障接地、过电压等事故,容易引起人身触电伤亡和电气火灾与爆炸事故。电气系统及电气设备在运行、维护、检修时或者在发生故障情况下,为了保证安全应进行保护性接地。对于有些高压输电变配电设备装置以及发电设备等,为了满足设备在运行上的需要或当发生事故时使继电保护装置动作而必须将电气回路中性点接地。 要确保接地系统装置正常、安全,管理工作应包括以下内容: 1.接地制式、接地装置连接要规范 电源系统接地制式不同,安装规范要求不同。同一台发电机,同一台变压器供电网路中,不应采用两种不同接地制式的保护方法。 TN系统的装置或设备外露可导电部分严禁用作PEN线。PEN线严禁接入开关设备,不得断股或断
信息系统安全操作规程
信息系统安全操作规程(维护人员) 1、信息设备严禁非法关机,严禁在未关机的情况下直接断开电源开关。 2、信息设备开机后,检查各功能指示正常,系统无报警提示;否则应查找故障原因,直至故障排除。 3、系统设置严格遵循各信息系统操作说明,禁止不安说明操作;当与操作说明有出入,需要咨询相关供应商技术支持人员确认后方可操作。 4、禁止删除需要保留的信息,需要删除某项关键信息或数据时,必须得到许可,必要时进行信息备份。 5、禁止在未经许可的情况下修改或透露信息系统中的信息和数据。 6、发生信息系统故障,有可能影响公司正常运营时,应立即层层上报至最高领导,并提出可行的意见和措施。 7、当发生非正常停电事故时,因立即采取措施,在UPS供电时限内确保信息系统正常关机。 8、各信息系统所在的机房,严格控制温湿度,确保降温除湿设备正常运行。 9、机房内设备严禁非专业人员操作,必须操作时,应在专业人员指示并监护下进行。
信息系统安全操作规程(通则)(应用人员) 1.新员工上岗前,应仔细阅读本岗位信息系统操作说明,严禁未经 培训上岗操作。 2.岗位配备的个人云桌面,禁止私自下载安装应用软件,确实需要 安装的,须经信息维护人员测试认证通过后方可安装。 3.当发现使用的信息系统有问题时,需先自行检查电源和网络接口 是否正常,然后再找相关信息系统维护人员处理。 4.信息系统报错时,使用人员应保留报错信息,并提供给维护人员 进行正确维护。 5.禁止将信息系统登入密码随意告诉他人,禁止使用他人账号登入 操作,必要时,需征得相关领导同意。 6.离开岗位10分钟以上者,需锁定屏幕; 7.出差人员利用公网接入办公时,需确保设备安全,并禁止打开含 病毒网页。个人便携设备被盗时,应立即联系公司信息化管理部锁定账号,以防信息泄露。
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
交通安全管理办法标准范本
管理制度编号:LX-FS-A20434 交通安全管理办法标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
交通安全管理办法标准范本 使用说明:本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 第一章车辆安全管理 第一条凡大队所属的机动车辆应建立完整的技术档案(台帐)。 第二条凡大队新车落户、外籍车辆转入及办理机动车辆变更、过户、转籍手续时,必须严格执行国家有关交通安全管理规定,同时必须报分公司安全环保部备案。 第三条凡属大队的机动车辆,必须证件号牌齐全,车容、车貌整洁。执行公务的车辆,出厂区大门时必须持单位调度签发的行车路单、派车单位签证,
明确行车路线,否则按跑私车处理。 第四条凡属特种设备的操作手必须执行“三定”(定人、定机、定岗位),未经大队审查允许,禁止随意换人。 第五条车辆使用管理单位对在册使用的机动车辆,应建立检验维护保养制度和“三检”制度(即出车前、行车中、回厂后)。 第六条执行长途运输任务(指出大庆地区)的车辆运输或集体会议、接待外出,必须执行逐级审批制度,凡未经批准和未办理“长途车审批单”者,不准出车。长途车出大庆在省内及出省车辆由分公司主管安全领导审批。 第七条各小队位机动车辆必须按要求配备消防灭火器材和警示标牌。 第八条车库和停车场应建立安全管理制度,车
系统安全管理制度
系统安全管理制度中国科学院沈阳应用生态研究所
前言 本制度旨在加强中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全管理工作。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门:信息中心 本制度主要起草人:岳倩 本制度起草日期:2016/01/19
系统安全管理制度 1范围 本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 本制度适用于沈阳生态所开展信息系统安全管理工作。 2术语和定义 信息系统:指包括操作系统、应用系统和数据库管理系统。 3职责 3.1系统管理员 1)负责应用系统的安装、维护和系统及数据备份; 2)根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全 配置; 3)根据应用系统运行的实际情况,制定应急处理预案,提交信息管理部门 审定。 3.2安全管理员 1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作; 2)定期检查应用系统的用户权限设置以及系统安全配置,与应用系统安全 策略的符合性; 3)定期审查应用系统的审计记录,发现安全问题及时报告信息管理部门。4安全策略 旨在加强信息系统的运行管理,提高系统的安全性、可靠性,依照完善的管理制度,科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。 5信息系统管理 5.1操作系统 1)操作系统管理员账户的授权、审批
●操作系统管理员和操作系统安全员账户的授权由所在部门填写 《操作系统账户授权审批表》,经部门领导批准后设置; ●操作系统管理员和操作系统安全员人员变更后,必须及时更改账 户设置。 2)其他账户的授权、审批 ●其他账户的授权由使用人填写《操作系统账户授权审批表》,经 信息管理部门领导批准后,由操作系统管理员进行设置; ●操作系统管理员和操作系统安全员根据业务需求和系统安全分 析制订系统的访问控制策略,控制分配信息系统、文件及服务的访问权限; ●外单位人员需要使用审计管理系统时, 须经信息管理部门领导 同意, 填写《外单位人员操作系统账户授权审批表》,报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户; ●严禁任何人将自己的用户账户提供给外单位人员使用。 3)口令的复杂性、安全性要求和检查 ●系统账户的口令长度设置至少为8位,口令必须从小写字符 (a-zA-Z)、大写字符(A-Z)、数字(0-9)、符号(~!@#$%^&*()_<>)中至少选择两种进行组合设置; ●系统账户的口令须定期更改,每次更新的口令不得与旧的口令相 同,操作系统应设置相应的口令规则; ●系统用户的账号、口令、权限等禁止告知其他人员; ●须根据系统的安全要求对操作系统密码策略进行设置和调整,以 确保口令符合要求。 4)系统维护和应急处理记录 ●应对系统安装、设置更改、账号变更、备份等系统维护工作进行 记录,以备查阅; ●应对系统异常和系统故障的时间、现象、应急处理方法及结果作 详细的记录。
单位内部的消防、交通安全管理制度(最新版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 单位内部的消防、交通安全管理 制度(最新版)
单位内部的消防、交通安全管理制度(最新版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 一、防火器材的管理 消防器材要妥善保管,对消防器材定期进行检查,以免发生重大问题,如果因人为的原因使消防器材损坏或丢失的应对责任人进行相应的经济处罚。 二、消防器材的使用 要熟练掌握和使用消防器材,使其达到灭火功能。使用完毕后,应及时送到主管部门,进行更换以备再用,严禁在没有火情时动用消防器材,一旦发现对直接责任单位和负责人进行严厉的处罚。 三、院内明火管理 凡是因生产、生活临时动用明火或一般情况下不准动用名火的地方动用明火,消防管理人员和动用明火的工作人员可在动用明火前、中间、之后必须进行检查,以防火患成灾。 四、督促整改火险隐患的手段 1、对于涉及问题复杂不易解决的火险隐患可通过主管部门召开有
信息系统安全措施细则
信息系统安全措施细则 撰写人:___________ 部门:___________
信息系统安全措施细则 总则 第一条为加强医院网络管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息系统的安全,现根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合本医院实际,特制订本措施。 第二条计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条医院办公室下设信息中心,专门负责本医院范围内的计算机信息系统安全及网络管理工作。 第一章网络安全措施 第四条遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动及色情信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动,严格控制和防范计算机病毒的侵入。 第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网(需入网的电脑需打报告)。各计算机终端用户应定期对计算 第 2 页共 2 页
机系统、杀毒软件等进行升级和更新,并定期进行病毒清查,不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 第六条禁止未授权用户接入医院计算机网络及访问网络中的资源,禁止未授权用户使用BT、迅雷等占用大量带宽的下载工具。 第七条任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据,不得利用非法手段复制、截收、篡改计算机信息系统中的数据。 第八条医院员工禁止利用扫描、监听、伪装等工具对网络和服务器进行恶意攻击,禁止非法侵入他人网络和服务器系统,禁止利用计算机和网络干扰他人正常工作的行为。 第九条计算机各终端用户应保管好自己的用户帐号和密码。严禁随意向他人泄露、借用自己的帐号和密码;严禁不以真实身份登录系统。计算机使用者更应定期更改密码、使用复杂密码。 第十条IP地址为计算机网络的重要资源,计算机各终端用户应在信息中心的规划下使用这些资源,不得擅自更改。另外,某些系统服务对网络产生影响,计算机各终端用户应在信息中心的指导下使用,禁止随意开启计算机中的系统服务,保证计算机网络畅通运行。医院各部门科室原则上只能使用一台电脑上外网,根据部门内部需要,由部门负责人统一调配。若有业务需求需要增加时,由业务部门上报办公室审批,并报信息中心处理。 第二章设备安全措施 第 2 页共 2 页
2019年年度安全工作计划表
2019年年度安全工作计划表年度安全工作计划篇一 一、指导思想: 认真贯彻实施国家安全生产法律法规、集团《关于印发年安全环保工作要点的通知》[]号文)以及上级部门相关安全生产规定,坚持安全为主、预防为主及综合治理的方针。强化监管,深化整治,夯实基础,细化责任,严格执行。以法制化、标准化、规范化、系统化的方式推进安全生产,进一步完善职业健康安全管理体系,不断提高企业本质安全水平,建立安全生产长效机制,确保企业长周期安全运行。 二、控制目标: 无因工死亡事故;无重大泄漏、中毒事故;无重大火灾或爆炸事故;无重大特种设备事故;无负主要责任的重大交通事故或公共安全事故;无重伤事故; 一般事故造成的直接经济损失≤40元/百万元产值(现价) 千人轻伤率控制在0.5‰(月均)以下。 三、工作要点: (一)通过技术进步促进安全生产。提高本质安全水平。 1进一步完善工艺措施安全性以及极限操作的评估机制。抓好平稳操作,逐渐树立系统地平衡操作的观念,并系统地进行改进。 2继续探索化学反应模式的系统改进。提高化学反应的安全性,优化工艺过程,减少生产过程中的危险因素,不断提高本质安全水平。
3抓好苯胺、聚碳扩产等建设项目安全“三同时”工作。确保项目建设、运行安全。 4继续深化以消灭危险源为目标。尽可能消除或减少危险源,实现化工过程放热过程和用热过程集成联动,将化学反应热和工艺余热回收利用,完善全厂热交换网络,进一步优化热量的梯级利用。 5设备管理部门对企业特种设备(锅炉、压力容器、压力管道、起重机械等)及其安全附件按期进行检验。对检验为有缺陷的设备要及时停用或降级监护使用,并有计划地更换相应的设备或管线。 6继续抓好危险化学品的管理。进一步完善重大危险源的监控措施。增设醒目的安全标识。加强厂区道路整治,确保危化品运输安全。 7加强现场围堰的完善及规范管理。 (二)推进安全标准化工作。落实安全责任,强化安全管理,并保障有效实施。 1进一步完善安全生产的目标责任制管理。落实到每个岗位、每个人。 2实施全过程风险管理。完善风险评价组织。切实落实各项风险控制措施,对重大风险要制定风险削减计划并予以落实(过程改进)确保作业活动的风险在可承受范围内。组织职业健康安全管理体系的评审,实现管理承诺,保持体系持续合规、有效运行。 3认真开展安全标准化工作。按时完成、改进各项工作,争取在一季度实现达标验收。
公司数据安全管理规范
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
交通安全管理制度汇编
交通安全管理制度 第一章总则 第一条为了加强局及所属单位的机动车(含厂内机动车)、驾驶员(含厂内驾驶、操作人员)的安全管理(以下简称交通安全),积极预防和减少道路、厂内交通事故(以下简称交通事故)的发生,保护人身和国有资产的安全以及企业其他合法权益,促进和保障全局生产施工的顺利进行,根据《中华人民共和国道路交通安全法》(以下简称交通安全法)、《中华人民共和国道路交通安全法实施条例》(以下简称实施条例)和有关法律法规的规定,制定本制度。 第二条局交通安全管理工作坚持“安全第一,预防为主”的方针及“谁主管谁负责、谁用车谁管理,谁的人谁教育”的原则。 第三条各单位应认真依照交通安全法律法规及本制度,建立健全本单位交通安全管理的各项制度,逐级签订交通安全责任书(包括与每位驾驶员订立交通安全行车协议书),层层落实安全责任。
第四条各单位应依法加强本单位人员交通安全教育,普及交通安全知识,增强“遵纪守法、安全第一”的安全意识,自觉遵守交通安全法律法规和管理规章。对违反交通安全法律法规及本制度的行为,任何人都有劝阻、制止和控告的权利。 第五条凡局属各单位(含外包队)、全体职工(包括临时工),均应执行本制度。 第二章机构设置与职责 第六条局成立交通安全委员会,负责交通安全管理工作。交通安全委员会下设办公室,具体工作由保卫部负责。 第七条各单位各级主要行政负责人是同级交通安全工作的第一责任人。 第八条各单位应明确负责交通安全管理部门(以下简称交管部门),交通安全专、兼职管理人员,具体负责本单位驾驶人员(含操作员)、机动车(含厂内机动车)及内部汽车维修等交通安全管理工作。
第九条局领导职责: 1.局长是全局交通安全管理工作第一责任人,委托主管领导具体负责交通安全责任制的落实,设立主管部门,配备专(兼)职的安全干部和安全员,落实交通安全管理经费。 2.接受市安委会和公安交通管理部门的检查、监督,签订安全责任书。 第十条主管领导职责: 1.具体负责交通安全责任制的组织实施,领导交通安全委员会;逐级落实交通安全责任制,实行目标管理。 2.负责召开全局性工作会议,传达贯彻市安委会和交通管理部门的会议、文件精神。 3.听取保卫部工作汇报,协调重大活动的安排和重大交通事故的处理。 4.督促、指导保卫部、安全干部认真执行岗位责任制,全面落实各项安全责任制度和保证措施。
【推荐】软件系统安全规范
软件系统安全规范 一、引言 1.1目的 随着计算机应用的广泛普及,计算机安全已成为衡量计算机系统性能的一个重要指标。 计算机系统安全包含两部分内容,一是保证系统正常运行,避免各种非故意的错误与损坏;二是防止系统及数据被非法利用或破坏。两者虽有很大不同,但又相互联系,无论从管理上还是从技术上都难以截然分开,因此,计算机系统安全是一个综合性的系统工程。 本规范对涉及计算机系统安、全的各主要环节做了具体的说明,以便计算机系统的设计、安装、运行及监察部门有一个衡量系统安全的依据。 1.2范围 本规范是一份指导性文件,适用于国家各部门的计算机系统。 在弓I用本规范时,要根据各单位的实际情况,选择适当的范围,不强求全面采用。 二、安全组织与管理 2.1安全机构 2.1.1单位最高领导必须主管计算机安全工作。
2.1.2建立安全组织: 2.1.2.1安全组织由单位主要领导人领导,不能隶属于计算机运行或应用部门。 2.1.2.2安全组织由管理、系统分析、软件、硬件、保卫、审计、人事、通信等有关方面人员组成。 2.1.2.3安全负责人负责安全组织的具体工作。 2.1.2.4安全组织的任务是根据本单位的实际情况定期做风险分析,提出相应的对策并监督实施。 2.1.3安全负责人制: 2.1.3.I确定安全负责人对本单位的计算机安全负全部责任。2.1.3.2只有安全负责人或其指定的专人才有权存取和修改系统授权表及系统特权口令。 2.1.3.3安全负责人要审阅每天的违章报告,控制台操作记录、系统日志、系统报警记录、系统活动统计、警卫报告、加班报表及其他与安全有关的材料。2.1.3.4安全负责人负责制定安全培训计划。 2.1.3.5若终端分布在不同地点,则各地都应有地区安全负责人,可设专职,也可以兼任,并接受中心安全负责人的领导。 2.1.3.6各部门发现违章行为,应向中心安全负责人报告,系统中发现违章行为要通知各地有关安全负责人。 2.1.4计算机系统的建设应与计算机安全工作同步进行。 2.2人事管理 2.2.1人员审查:必须根据计算机系统所定的密级确定审查标准。如:处理机
安全工作计划4篇
安全工作计划4篇 本文目录安全作业计划收费站安全作业计划幼儿园班安全教育作业计划出售部安全作业计划模板一、安全作业辅导思维 继续履行“安全榜首、防备为主、综合办理”的政策,以履行安全职责制为主线,以继续进步安全出产规范化办理水平为重要内容,强化安全办理系统有用作业,加强危险办理,构筑健康安全环境,打造调和安全文明,建立健全安全作业长效机制,完结严峻人身、设备事端为零的政策。 二、首要作业及办法 (一)清晰安全出产职责制,强化安全作业职责系统。 1、项目部仔细总结前两年安全作业经历教训,清晰各单位是安全的职责主体,各队、班组一把手是安全作业的榜首职责人,有必要坚持“管出产有必要管安全”和“谁主管、谁担任”的准则,仔细履行安全出产职责制; 2、在分级担任、层层履行一把手担任制的根底上,施行政策办理,按环节、按职责清晰安全出产职责,建立起横向到边、纵向究竟,全员、全方位、全进程的安全职责系统,保证全面完结年度安全政策; 3、继续深化健全安全作业的监督系统,严厉进程,重视成果,使项目部的安全查看、危险整改、事端查询等作业愈加科学规范;
4、坚持安全出产“一票否决”的准则。 (二)有用作业安全办理系统,继续改善作业绩效。 在新的一年,项目部仍要牢牢把握安全办理作业规范化这个政策,继续改善,安全办理系统作业要依照“规范量化”要求,以规范、准则、程序为根底,完善项目部系统文件,继续改善系统作业绩效。在作业进程中,要要点做好以下几方面作业: 1、仔细学习研讨公司系统文件,依据公司系统规范,参照项目部不同层面、不同岗位的职责(功能),结合实践,清晰细化项目部各单位安全办理系统作业要点施控要素与详细作业规范,保证系统作业作业落到实处; 2、仔细学习、测验各种行之有用的安全办理办法,作为系统作业的首要内容,不断探索经历,完善项目部的安全办理作业系统; 3、依据项目部实践,详尽展开危险源动态辩识点评,办理计划拟定与施行、作业操控,事端应急救援预案的完善作业; 4、依照公司安全办理系统文件要求,对职工的教育练习、危险源辨认、危险整改、事端查询处理等各环节归入系统作业,施行规范办理; 5、总结安全办理系统作业经历与缺乏,活跃学习国内外先进经历,不断完善安全办理系统。