时间:2023-05-31 15:07:48
序论:在您撰写安全管理体系建设时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
(一)注重相关组织与责任体系建设1.逐步建立了严密而明确的组织体系。美国煤矿安全生产的组织体系框架大体上包括政府和煤矿企业两部分,主要表现为政府监督监察机构体系、煤矿企业内部的组织分工职责体系。首先,在“执法”领域,美国煤矿安全生产监督机构强调其独立性,并在机制上防止检查人员与矿主、地方政府形成共同利益同盟。1910年美国在内政部下设立矿业局,但调查人员缺乏执法权力。1977年,美国对《矿山安全和卫生法》进行重大修订,建立了独立的安全监察部门———矿山安全和卫生署,由劳工部助理部长任局长,对所有矿业生产进行全面和严格的监察。监督局下设11个地区监察处和65个矿区办事处,由国会与立法事务办公室和信息与公共事务办公室这两大事务办公室领导和协调部署工作,继而细分为煤矿安全与健康监察司和金属与非金属矿安全与健康监察司这两个职能部门继续统筹和分配相应工作。在煤矿安全与健康监察司的组织机构划分下,美国设置的11个地区的事故调查由副司长负责,主管地区的监察业务。其次,在煤矿生产企业内部也有十分明确的组织管理体系。煤矿企业的管理机构设置一般为垂直管理结构,具有指挥与命令统一、控制及时、工作效率高等特点。组织管理体系在总体上划分为矿长、副矿长、矿井办事员、矿井总领班四个主要层级,在副矿长之下设置了各个职能部门的主管:维修主管、采煤总工程师、主任会计师等,专门领导和协调该部门下的作业活动。采煤一线的管理人员是采煤班组的领班,是该班组的关键人物,领班必须对他所在的班组的工作、人员培养、安全和行为负责。2.建立了以矿主为中心的追责体系。在美国,煤矿安全事故一般不追究政府的责任,因为地方政府不负责直接生产,主要是追究矿主的责任。各级政府的职能部门只是依据有关法律对企业进行监督监管,煤矿安全监察员与煤矿没有任何隶属关系。1913年成立的劳工部,安全生产管理是其主要职责之一。换言之,美国煤矿安全生产责任体系中,政府只是监察监督的作用,而真正应该为安全事故“买单”的是煤炭企业。例如每个煤矿要与两个以上的救护队签订救护协议,煤矿发生事故由矿主组织抢救,必要时也可向当地警察求救。一旦发生煤矿安全生产事故,美国煤矿企业需承担责任。美国煤矿安全部门执法非常严格,矿主也必须遵守煤矿安全管理法律,严格按照安全操作规程办事,从而确保了煤矿生产安全。美国煤矿安全部门对唯利是图、违反规定生产的矿主惩罚严厉。针对不会导致重大人员伤亡的一般性违反规定行为,政府督察员每次每项罚款可达5.5万美元。曾经违反规定并承诺改正、但不守信用的矿主则将被加重处罚,可能引起伤亡事故和危害矿工健康的严重违规行为将被追究刑事责任。
(二)重视事故灾难的预防与应急教育据美国劳工部发表的各行业事故统计数字,美国的煤矿业已成为相当安全的行业,煤矿事故率低于金属、建筑、运输等20多个行业。美国煤矿行业由最初的高死亡率到0.03%的低死亡率,其中一个重要的原因是新技术的推广、《矿业安全和卫生法》以及相关配套规章的实施,同时,重视煤矿安全培训是美国实现安全生产的重要环节。美国20世纪70年代前后的事故调查报告和安全检查手册显示,美国煤矿85%的事故是因“工作人员的不安全行为”所致,仅15%的事故产生于不安全的设备和环境。所以,对煤矿人员的安全培训具有极其重要的作用。美国煤矿安全应急教育与预防主要有以下几个方面:1.注重对煤矿工作人员的岗前培训,提高管理实效。《联邦矿山安全与健康法》第115节明确规定,新矿工没有地下采矿经验应接受不少于40小时的培训,新矿工没有地表采矿经验应接受不少于24小时的训练,每年所有矿工应不止一次地接受不少于8小时的学习培训。这样,用可操作性的法律来提高工作人员操作行为的安全性,增强工作人员的忧患意识。在美国,所有矿工在上岗之前要接受培训,上岗后,每年还要接受再培训。如果发现矿工未按要求受到安全培训,劳工部部长或授权代表必须签发命令,要求该矿工立即撤出煤矿,直到接受法律规定的培训为止。美国所有煤矿都必须制订矿工培训计划,安排必要的培训内容并保存培训资格证明。煤矿工作人员不光是指矿工,还包括煤矿经营者和管理者。矿山安全监察员必须具有5年以上实际采矿经验,并要在国家矿山健康与安全学院接受培训。根据安全监察员的水平和需要,分别对其进行初级培训(基础知识和技能培训)、高级培训(提高业务水平,精通相关技术)和定期培训。“安全与生产并非矛盾”已经成为美国的行业目标,这对美国提高煤矿安全水平至关重要。在这个目标的引导下,美国的煤矿企业和矿工工会都十分重视工人的安全技术培训。对于接受脱产培训的矿工,给予其与在岗日标准工资相等的培训期工资。此外,煤矿企业还与工会联合成立了煤矿工人培训教育基金,由矿方按照全矿职工实际工作每工时0.08美元的标准提取资金;该基金每年筹资约2000万美元,用于资助矿工接受继续教育和培训进修。为了进一步普及安全培训,矿山安全与健康管理局(MSHA)还启动了一项新的教育方案———现场培训服务,旨在通过充分利用各种资源,帮助各地区的矿山实施安全与健康计划,达到预防安全事故的目的。现场培训服务的内容主要是为矿山提供培训资料,帮助制定和实施安全方案,编辑教育材料,帮助各矿山制定适宜的培训计划以满足其特殊需求,等等。现场培训服务承担更多的是信息、咨询、指导等服务功能。2.预防第一,建设井下紧急避险设施。2008年12月31日,MSHA《地下煤矿避难所(救生舱)最终规定》要求矿山经营者将井下避难所纳入应急反应方案(ERP)。2009年12月前所有煤矿井下必须建设避难所,保证所有人员在井下均有避险位置,并对避险设施的设置、功能和维修管理作出具体规定,额定防护时间提高到96小时。美国在2007年12月煤矿井下已经开始使用避难所(救生舱)。美国煤矿井下的紧急避险设施主要有救生舱和避难硐室。救生舱一般为舱体式结构,配备必要的设备设施和食物,既可固定设置,也可随采掘工程而移动。有钢结构硬体式和可充气软体式。硬体式救生舱可容纳6~24人,具备过渡舱,配备气动呼吸空气系统。软体式救生舱容量10~36人,在3~5分钟内起动充气,软体材料具备阻燃、隔热、抗静电、高强度等特性。避难硐室在矿井巷道两侧地层中直接挖掘或利用已有巷道建造而成,布置在主巷或逃生路线上,配备维持人员生存所必需的相关设备设施和食物等。救生舱至少为每人提供1.4平方米的地面空间和0.85~1.70立方米的立体空间;设置供氧、内外环境监测、废气清除等系统,防护时间不低于96小时;配备双向通信、照明、排泄物处理、急救等设备物品及维修工具和灭火器;存储组件或给养的容器应密封、防水、防火,醒目标注到期日期及使用说明。3.高素质的应急救援队伍与强制性工伤保险制度,为矿难提供安全保障。除了对煤矿工作人员进行严格的培训,美国的煤矿事故应急救援还有一支高素质的队伍,有一套规范的运作程序,拉得出、救得快、保障有力。按规定,每个煤矿要与两个以上的救援队签订救护协议。煤矿发生事故由矿主组织抢救,必要时也可向当地警察求救。一支救护队下井救护,另一支待命。任何矿山救护队不得建在距矿井2小时路程以外的地方。同时,美国执行强制性工伤保险制度,工伤保险具有高度的强制性,法律强制雇主必须对雇工的工伤事故负责,美国有99%的工人受到联邦或州劳工赔偿法的保护。
(三)建立安全生产管理的评估标准美国劳工部矿山健康安全管理局(MSHA)对美国矿业(煤矿/非煤)安全事故保存有全面翔实的统计数据,该数据不仅涵盖了所有事故相关的信息,同时还包括了煤炭生产状况及人员的相关信息。评估标准具体,分类清晰、系统、全面、详尽。美国煤矿事故数据统计的内容包括事故时间、事故地区、事故地点、事故分类标准、事故分级、事故范围、事故报告。其中,事故时间除了年度事故和月事故,还统计日事故;事故地点包括地面、采煤面、掘进头、上下山大巷、井筒;事故分类标准非常具体,是按照事故所在地区、开采类型、月份、作业者及承包商、伤害类型、伤亡员工工种;事故分级为死亡、造成工作日损失的非死亡事故、无工作日损失的轻微事故四个等级;事故报告中要明确伤亡人数、事故成因、发生机制、伤害类型。美国煤矿事故计量指标体系中:生产指标有两个,煤矿作业次数和作业时间;事故伤亡分类指标中,死亡事故率和死亡人数属于死亡指标,造成工作日损失的伤害事故率与其受伤人数、无工作日损失的伤害事故率与其受伤人数这四个指标归为伤害指标;还有总量指标,包括人员伤亡总数和总体事故率。煤矿事故数据统计内容和计量指标涉及的信息不仅是事故伤亡人数和经济损失,还包括事故发生的原因、工作条件、开采类型及作业人员工种等相关的重要内容。这些信息越是全面具体,越能及时、全面、准确地研究可能引起事故的原因,并分析正在形成的各种趋势,进行综合研判,从而作出科学的评估,提出科学控制和预防煤矿事故发生的有效对策。
二、美国煤矿安全管理体系的特点
如今美国的煤矿安全生产管理水平处于世界领先地位,煤矿安全管理体系颇具特点:第一,美国的煤矿产量和死亡人数呈反比例关系,充分体现了美国煤矿安全生产的理念比较先进。保护所有矿工及所有人员的安全,并非以牺牲人员的生命安全为代价来获取企业利益。美国紧扣“矿工健康权和生命权的保护”这个安全管理核心来推进标准体系建设,循序渐进,在此基础上建立并完善配套法规体系,提高执法力度,建立的安全管理体系严密并且比较实用。第二,在责任体系建设中,政府和煤炭企业责任明晰化是其最显著的特点。政府只履行管理和监督的职责,如果发生煤矿安全生产事故,煤炭企业将承担事故的全部责任。建立以矿主为中心的追责体系,抓住了责任处罚的主要主体,抓住了重点对象。煤矿安全管理责任主体有了指向性,而且强调煤矿安全生产监督机构的独立性,并在机制上防止检查人员与矿主、地方政府形成共同利益同盟。这是非常有先见之明的。第三,美国高度重视法制化建设,陆续颁布和完善《联邦矿山安全与健康法》等多部重要法律法规。政府和煤炭企业根据出台的法律法规,各自行使权力和履行义务。虽然世界各国在此方面都建立了相应的法律制度,但均没有美国的法律具体和完善。第四,美国十分注重培训需求管理。在培训方面有比较完备的要求和规定,如必须使矿工有明确的技术操作素质和安全急救意识等才能进入煤矿工作,这些举措可以利于后继的煤矿安全生产活动的开展,强调预防第一,有效规避了人为矿难的发生。
三、美国煤矿安全管理体系建设的启示
根据上述分析,美国煤矿安全管理体系比较成熟,对我国有如下启示:
(一)重视法律的可操作性,逐步完善我国煤矿安全管理法规中国是世界上煤炭产量最高的国家,中国也是世界上煤矿安全事故发生率最高的国家之一。立法是煤矿安全管理的最基本、最管用的方法与手段。中国适用于煤矿的法律法规,除《矿山安全法》、《煤炭法》外,还包括国务院颁发的有关矿山安全生产的行政法规以及各省(区、直辖市)人大颁布的有关的地方性法规、国务院劳动行政主管部门和煤炭企业的主管部门及其下属省级政府主管部门下达的有关安全生产的行政规章,以及适用于煤矿行业的安全生产标准规范《煤矿安全规程》、《煤矿救护规程》等。《矿山安全法》作为我国煤矿安全管理的基本法相对美国的《联邦矿山安全与健康法》,可操作性比较差。如美国第303节的第2款规定:“所有生产作业区的通风风流必须符合以下规定,氧气含量不低于19.5%(体积),二氧化碳含量不大于0.5%(体积)……任何煤矿空气的最低数量在每个工作面应达到三千立方英尺每一分钟。”而我国的《矿山安全法》第十七条:“矿山企业必须对作业场所中的有毒有害物质和井下空气含量进行检测,保证符合安全标准。”这样的笼统规定对有毒有害物质没有明确是什么,更没有提到其浓度或密度控制在什么标准范围内,以及井下空气含量应符合什么标准。立法应充分体现“以人为本”的理念,重视矿山职工的生命安全和健康权利保护,有毒有害物质、含氧量应该增加具体的数值标准,以职工的生命健康安全为核心。虽然在《煤矿安全规程》第三十条第十一项第二款:“冻结站必须用不燃性材料建筑,都应有通风装置。应经常测定站内空气中的氨气,氨的浓度不得超过0.004%。”这样明确的标准利于执行和监督,这是该规程在操作性规定方面的优点。但从总体来说,《矿山安全法》及其各相关法律法规其可操作性仍有待增强,因此我们应重视法规的可操作性,积极学美国的经验将宏观的规定、措施、程序细致化、具体化,要将权威、具体、可操作的安全标准、技术标准写入基本法中,如《矿山安全法》仅仅是规定职工要进行安全教育、培训后才能上岗作业,更应继续添加岗前培训时间的长度,在职员工定期培训的时间,次数等的规定,操作过程中才能强制执行这些标准,有效增加员工安全操作的系数。
(二)注重相关组织与责任体系建设,加强监察力度我国作为世界上的几大采煤大国之一,在煤矿安全生产各方面的体系建设依然存在不足。美国煤矿事故发生率得到了有效的控制,得益于注重组织体系和责任体系的建设。从我国的国情出发,借鉴美国的成功经验,可以从以下方面逐步去完善我国煤矿安全管理的组织和责任体系建设:第一,明确责任,加强对中央到地方相关的管理组织机构建设。现今我国对煤炭的管理机构主要有国家能源局、中国煤炭工业协会、安全生产监督局等,尽管相应的组织管理机构不少,但是缺乏一个比较系统的组织对煤矿生产的各方面进行管理,从而导致煤矿生产乱象迭生。因此我国在管理机构设置上应注重整合部门机构,建立和完善监管煤矿产业的统一的机构,合理地进行分工与监管,防止出现部门多却难以监管的现象。美国对煤矿安全生产进行管理的主要是监察局,下设11个地区监察处和65个矿区办事处,在监察局里还有明确的各部门层级划分。从中央到地方实现了高效的纵向管理。部门机构臃肿和职责不明晰是我国存在的普遍问题,因此完善煤矿安全生产组织机构的建设尤为重要,应确定安全生产监督管理机构和执法人员的权力范围、职责、行使权力的条件、程序和目的,抓住源头、明确主要职能部门的权力边界与责任是应对安全生产问题的关键。第二,建立和完善煤矿生产单位的组织管理。美国的煤矿企业内部具有明确的职位分工和职责,因此可以极大地提高生产效率并且便于管理。在我国,煤矿生产乱象迭生,有的采矿工地不仅没有专门的组织管理部门,甚至存在着矿工工人临时招聘、不经培训随便上岗等乱象。此类问题不解决将会对工人们的人身安全极为不利,也无法保证煤矿有序生产。第三,加大煤矿安全生产监察力度。煤矿安全监察员要深入煤矿现场,紧紧盯住那些高瓦斯容易出现事故的矿井,以及安全生产基础差的矿井,及时发现问题和解决问题,把事故消灭在萌芽状态。对存在重大事故隐患的矿井,当场下达《停产整顿通知单》,限时整改。对不具备基本安全生产条件的小煤矿,坚决予以关闭。第四,建立煤矿违规行政处罚制度。在我国发生煤矿生产事故后,相关的监察负责人才会来到现场进行勘查,对事前的监察工作并不重视,使煤矿安全生产的监督、监察环节流于形式。我国煤矿生产的主要负责人承担的责任范围不明晰,处罚力度不够严厉,因此不少开采煤矿的单位会冒极大的风险以污染环境或者牺牲工人的利益来获取利润,造成了小煤矿、黑煤矿一直存在。我国应该建立严格的处罚制度,完善责任追究制度,加大惩治处罚力度,实行行业禁入制度,让矿主不敢轻易越轨煤矿安全管理红线。
(三)通过应急教育与预防演练,不断提高处理突发事故灾难的能力对比我国煤矿现状与美国煤矿,可以发现,很大的区别在于美国政府一直强调煤矿安全监察管理机构的独立性,美国煤矿的成功之处在于垂直的煤矿安全监管体制框架,轮岗式的监管人事制度,并在机制上防止监察人员与矿主、地方政府形成共同利益同盟。美国煤矿是把安全放在第一位,而在我国,由于利益驱使,大多数煤矿企业更注重的是利益而不是矿工的安全。我国煤矿现仍存在很多的不足,我们应该对美国煤矿安全管理经验加以学习,首先,要提升素质、规范管理。切实加强队伍自身建设,要督促救援队伍加强制度建设,明确人员职责、规范工作程序。进一步强化煤矿生产安全事故应急预案的管理和演练,煤矿企业要把应急演练与应急预案相结合,提高从业人员突发事件现象处置自救能力和企业应急救援能力。其次,要积极应用新技术。引进新型、高效实用的装备,不断优化应急救援队伍装备结构,加大煤矿救援技术研究和培训。最后,要平战结合、强化检查。煤矿救援队伍应遵循“险时搞救援,平时搞防范”的原则,对于一切有可能发生的安全事故应防范于未然。
在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。本文分析了终端安全管理体系应包含的内容,阐述了传统分散式终端安全管理存在的问题,结合作者的工作实践经验,对一体化终端安全管理体系的建设,提出了自己的思路和见解。
关键词:
终端安全;一体化;体系建设
随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。
1典型的终端安全管理体系应包括的内容
1.1防病毒及终端入侵防护
包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。
1.2补丁状态检查及分发
包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。
1.3移动存储管理
防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。
1.4终端准入管理
实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。
1.5非法外联监控
用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。
1.6主机监控审计
对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。
2传统分散式终端安全管理存在的问题
(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。
(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。
(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。
(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。
(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。
3一体化终端安全管理体系的建设思路
一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。
4结语
要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。
参考文献:
[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.
[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.
[3]王义申.终端安全管理系统在企事业单位内网应用的分析[J].计算机安全,2007(7):63~65.
关键词:民航;安全管理;管理体系;建设
民航作为社会经济和技术高度发展下的一个重要标志,相比于其他的运输方式,运行速度更快、机能性更好,地区跨度大,可以到达其他运输难以到达的地方,但同样民航建设造价高、耗能大、技术复杂、运输能力小,受自然因素影响更大。作为当前一种广为推广的运输方式,民航仍伴随着一定的安全风险,安全系数仍是民航事业发展的核心。近年来,在技术日新月异的发展、设备不断优化升级、安全意识逐渐提高的背景下,我国的民航安全水平有了显著的改善和提高,民航安全管理体系的建设也趋于规范化、科学化、合理化。但就总体而言,面对纷繁复杂的安全风险,民航安全管理体系建设还存在一些不稳定的因素,影响和制约了民航安全管理体系的发展和完善,安全问题依然是民航建设的重要课题,对此,下文就我国民航安全管理体系建设的相关方面进行具体的分析和说明。
一、我国民航安全管理体系的基本内涵
民航安全管理体系旨在维护民航的安全,作为一种措施体系,坚持以国家民航发展和国家安全政策为依据,强调对民航发展的安全性建设,制定民航安全方针和目标,减少民航风险性因素,保障民航事业安全、稳定的发展。民航安全管理体系建设涉及的内容包括:民航安全理论、安全法规准则、安全管理信息库、安全监督、安全文化、安全管理技术等方面,将安全意识和安全技术贯彻和落实到民航事业的各个环节中,构建完善、健全的安全管理体系,使其处于一个最优的状态。一方面,利用安全管理体系能更快地发现民航运输中存在的安全风险和安全隐患,及时控制和扼制风险。另一方面,提高了对风险的识别、风险评估和风险控制能力,使民航安全管理体系作用切实地反馈到民航发展中,进一步完善和推动民航安全管理体系的建设,使其处于一个良性循环的发展状态。
二、我国民航安全管理体系建设的事实背景
近年来,随着人们物质生活水平的不断提高,对民航的选择性更大,民航事业的发展取得了显著的成效,在交通运输业中所占据的比例和起到的影响力也越来越大。但从客观事实上来看,民航相对其他的交通运输业更具有风险性,事故危害性更大,影响波及面积也更大,不仅是国内,甚至波及国际,具有高风险性、突发性、国际性,关注度极高、死亡率也极高的特征,不仅造成严重的生命、财产损失,而且还会影响国际关系的稳定,对整个运输环境的安全性产生怀疑。导致部分人相比于民航的快速性和舒适性,更愿意选择比较传统、安全性能更高的运输方式。在国民生产力不断提升、人们安全意识不断提高的背景下,民众对国航运输安全性、舒适性、便捷性等方面提出了更高的标准和要求,同样这也是民航在未来发展中不断寻求突破和改善的地方,是民航能够真正普及,成为一种大众化的交通运输形式的核心内容。因而,强调对民航安全管理体系的建设,有效改进航空系统的安全系数,提高民航风险预警、识别、控制、管理成为当前民航事业寻求突破和发展的核心层面。在民航运输发展初级阶段,对风险缺乏一定的预警性和预见性,往往都是在风险形成后对事故特征进行分析,找出原因,吸取经验,提高安全警觉性,加以改善,以避免安全事故的再次发生。在这个阶段,对民航安全的管理更多的是偏向于技术和设备方面,是基于硬性方面的考虑,而忽略了管理的柔性,对事故隐患分析不透彻、不全面。
20世纪90年代,这一时期正是我国改革开放以来飞速发展的阶段,国民经济水平有了显著的改善和提高,交通运输业取得了质的飞跃,民航行业内部也基本形成了比较系统、完善、规范的运行规章和监督监管机制,飞机运行体系和管理体系双向发展,进一步提高了航运质量,降低了事故率,但在管理水平、健全的法规体系等方面仍存在一些缺陷,造成一定的风险因素。在此基础上,管理体系在长期的发展,不断兼容、不断攻破矛盾下,日益成熟,不断完善,积极吸取优秀的成功经验,在民航全面发展中推行安全管理体系建设。
三、我国民航安全管理体系建设探讨
民航安全管理体系的建设不是一蹴而就的,而是需要长期坚持和自始至终地贯彻和落实的,作为一项系统性、长期性和艰巨性的任务,既是民航发展中的核心内容,也是一个巨大的挑战。那么,如何在有效的时期内,完善民航安全管理体系建设,降低民航运行风险,提高运行质量水平呢?对此,下面就进行具体探讨:
(1)正视当前我国民航安全管理水平现状。民航安全管理体系的建设必须是在现有的基础上实施的,是遵循当前民航发展的基本特征,明确当前民航安全管理的基本水平,只有这样才能有针对性地采取措施,进行对症下药,为制定行之有效的安全管理体系作出有效的铺垫。我国的民航安全管理体系的建设经历了一个基本的发展过程,由对空勤人员适应环境的心理、生理方面的研究到认识到人文因素的影响,强调对飞行员和机务人专业技能和素质的培养,形成一个管理框架。到当前,我国的民航安全管理体系建设基本已经全面步入正轨,并且都具有很高的完成度和完成效率,将安全管理体系建设的各个方面能具体地管理落实、操作执行到各个环节中,加强每一个环节人员、规章程序、技术应用等方面的培训和应用,以更大限度地发挥安全管理体系在民航发展中的作用和价值。
(2)发挥安全管理体系建设的兼容性和统筹性。民航安全管理体系的建设并不是单指哪一个体系的安全管理,而是多方相互交融、相互作用的。如:安全管理体系、质量管理体系、保安管理体系等都是民航建设中的一部分,任何一个体系的安全问题都可以造成整个民航的安全事故,因为要正确地认识各个体系之间的关系,实现兼容性的发展,既保证各个体系的安全性也能有效发挥各个体系各自的作用。而且任何体系的最终目的都是为民航安全建设服务的,在建设宗旨上是整合为一体的,也就是说安全管理体系的建设要明确目标,具有统一的发展思路,发挥其兼容性和统筹性的作用,也推进安全管理体系全面、深入地开展。
(3)构建良好的安全文化。“意识”是行为的先驱,而文化则是“意识”内涵化的表现,当前,我国民航安全管理体系建设都基本处于一个开放式和多元化的形式,改变了以往“关门造车”的模式。一方面,改变了企业故步自封的态度,加强各企业之间的相互交流和相互合作,便于企业更快地掌握发展动态,积极地吸收先进的管理经验和管理制度,实现企业安全管理体系建设的优化。另一方面,树立企业安全意识,使企业在应对市场竞争和挑战下,能够坚持与时俱进的发展理念,在企业之间相互监督的条件下,将安全意识和安全体系建设切实地落实到具体实践中,实现企业之间的良好竞争。同样企业要积极引进安全文化人员,将“安全第一”贯穿始终,在潜移默化中,形成良好的安全文化。
(4)建立健全的法律法规体系。健全的法律法规体系的建设为安全管理体系的建设提供了有力的保障,是使职工能够明确自身职责、自觉遵纪守法、接受管理和规范行为的一个重要的手段。有效提高了安全管理体系建设的效率,使管理做到有法可依、有迹可循,为民航安全管理水平的提升提供坚实的后盾。
参考文献:
[1]孙佳,高洪江.我国民航安全管理体系建设与实施分析[J].中国铁路,2012.
关键词:民航 安全管理体系 体系选择 建议
中图分类号:V328 文献标识码:A 文章编号:1672-3791(2014)04(a)-0230-01
民航安全是民航行业生命赖以存在和发展的基础,是维护民航乘客利益的核心。民航业在安全上没有小问题,一旦发生问题,通常是大问题,其影响波及的面积不仅是国内,甚至也会波及到国际上,损失也往往是惨重的。因此,民航安全管理体系建设是我国民航业发展的基础和核心建设。如何通过持续的风险预警、风险识别配合事先的风险控制、事后的风险管理将风险降到最低,这已经成为决定我国民航业乃至世界民航业的安全管理体系建设的关键所在。
1 我国民航安全管理体系建设的现状
在讨论我国民航安全管理体系建设的深层次问题之前,笔者认为有必要先阐释和澄清一些相关概念,以便更好地认识我国民航安全管理体系建设发展到今天的整体状况。换句话说,理清这些相关概念,是建立民航安全管理体系的基础性工作。
“民航安全管理体系”(safe management system ,简称为SMS)的本质是成立、建设一个系统的、全面的、完整的、清楚的安全风险管理以及安全基础运行的系统,它是由美国联邦航空管理局FAA在1996年对其自身的安全管理体系从传统向现代改革时提出的一个民航安全管理方面的模型,并得到国际民航组织(International Civil Aviation Organization,简称为ICAO)的大力倡导。由“国际标准化组织”(简称为ISO)颁布的ISO 9000质量标准体系则是一套由ISO和IAF在2008年8月20日联合的适用于全球最广范围的质量管理体系标准,它拥有一整套完备的有关质量的术语、体系规范、程序规范、技术规范,自成体系。而且更重要的是,该套质量管理体系标准可以全面地适用于安全管理的实践操作层面。而在民航安全管理体系上ISO 9000质量标准体系大力推荐的是质量管理体系(Quality Management System,简称为QMS)该安全管理体系中最主要的就是八项原则,即“以顾客为关注焦点、领导作用、全员参与、过程方法、管理的系统方法、持续改进、基于事实的决策方法、与供方互利关系”。在这八项基本原则中,最重要的就是“以顾客为关注焦点”以及“持续改进”这两个根本原则。从以上八项基本原则可以看出,QMS体系主要将重心放在“人”上。
安全管理理论发展到现代已经发生了巨大的改变,最有效的提高一个系统的整体安全管理水平的方式是在一个系统的安全思想的统筹下进行分析,即要保证系统的每一个阶段都是安全的,每一个阶段都必须将其潜在的危险降到最低,这才是建设我国民航业卓越的安全管理体系的根本所在。
2 构建并贯彻合理的安全目标和指标体系
民航安全管理体系建设不是一蹴而就的事情,而是一项系统性的、长期性的、艰巨性的任务。随着SMS和QMS双体系的不断发展,国际上对民航业的要求越来越多、越来越高、越来越细。中国为了应对这一挑战,应该适时制定一套完整的安全目标,并开发配套的指标体系,紧随国际民航安全管理体系建设发展的脚步,及时地、持续地更新自身管理体系,力图将挑战变成机遇,以赶上甚至超越国际一流水平。
首先在领导层面,应进行全面的初步安全评估,合理规划风险控制,拟定合理的安全目标和各项体系指标,构建一套适合企业自身的SMS方案。其次,不能纸上谈兵,关键还要严格执行安全管理方案,将安全目标、风险管理落到实处。例如,设置安全风险预警阀值,实现对整个系统的动态、实时监控,保证安全指标信息的及时采集、传递、分析和交流,确保安全管理文件的准确性和可行性。最后,但也是最重要的一点,应完善安全管理体系中的应急处理系统,一旦发生安全问题,可以立即形成有效的应急方案,全面调度一切可利用的资源,其他各个部门迅速响应、配合,将时间的后果控制在最小的影响范围内。
3 以人为本,建设成熟的机务队伍
民航安全管理体系建设是民航业的生命所在,而民航安全管理最核心的运作单位还是“人”,因此,我国民航业在安全管理上还应大力培养高素质的机务队伍。
从实践层面看,机务人员往往最先发现安全问题,并第一时间地分析问题、处理问题,他们是站在民航业安全管理体系的最前线的战士,因此,建设一支成熟的机务队伍对于建设我国民航安全管理体系至关重要。具体而言,应提升企业、甚至是整个产业的安全文化素养,尤其是在机务人员的具体培训中,应当贯彻安全理念,将安全指标作为每一个机务人员的考核标准。其次,对飞机进行可控性维修,绝不守株待兔,而是主动出击,发现问题、解决问题。严格的领导和组织各项机务工作,不放过任何一个细节。事前要组织严格缜密的预先检查,进行过程中要开展全方位的严格的过程监督,事后更要无缝衔接严格的反馈程序和后续跟进事项。
4 结语
中国加入世界贸易组织之后,作为经济发展先头兵的我国民航业越来越得到社会、政府的关注,而大众对我国民航业越来越高的期待也意味着对我国民航安全管理体系进一步建设和完善的急切呼唤。在民航安全的哲学中,一个好的过程不仅重要,相应地产生一个好的结果更加重要。可以说,在民航安全管理上,就是“以成败论英雄”。只有“严”字打头,严格指挥、严格把关、严格用人、严格检查、严格操作,真正贯彻安全管理体系中的规章制度,在一言一行、一铆一钉中实践“安全第一”的理念,真正把安全作为航空的第一要事,才能将我国民航安全管理体系建设带上一个新的高度。
参考文献
[1] ICAO安全管理手册(SMM)[G].国际民航组织,Doc 9859 AN/460(第一版),2006.
[2] 张建平.空管安全管理体系与质量管理体系的差异分析[J].北京:空中交通管理,2007(4):40-43.
[3] 向维,李明,吴超,等.航空不安全事件人为因素分析R-S-TER模型的构建与应用研究[J].中国安全科学学报,2009(19):152-159.
关键词:信息化;信息安全;安全管理
1企业信息安全现状
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
9结语
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
关键词:医院信息标准化建设;网络安全;管理体系
由于信息化技术的日益发展,很多医疗信息系统都在发展过程中进行了优化,大大推动了医疗诊断技术水平的提升,使诊断工作更为精细化,有效提升了员工绩效水平和医疗工作的整体品质。与此同时,其复杂性也在日益提高,使得医院安全问题凸显,同时面临多种恶意软件入侵,对医院网络产生了重大的负面影响。因此,在技术水平达标的同时,还需要人工操作来确保网络的安全。2018年4月,国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》,提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”,发展在线医疗,提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导,遵循“一个中心、三个防护”防护工程的基本理念,从安全信息管理服务中心体系建设工作开始,并初步构建了医院网络安全三级防护管理体系,以有效迎接新网络时代的安全管理挑战,确保“互联网健康”,医院安全信息化体系建设稳步健康有序发展。
1医院信息标准化建设中网络安全管理体系建设的重要原因探析
患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外,信息化体系建设还可以有效提高医务人员的日常工作效率,降低医务人员的劳动强度,为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看,医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平,密切各直属科室之间的协作关系,为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件,降低医院的商业保险和运营成本,提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去,医院率先采取了“被动防御”安全战略,并针对安全网络威胁不断采取了安全防护控制措施,缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低,对安全威胁的监测反应慢,难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展,各种新信息技术的不断推广和医院互联网服务的不断普及,医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。
2医院信息标准化建设中网络安全管理体系建设遇到的问题
2.1缺乏统一标准和依据
医院信息化建设具有高度的系统性和复杂性,需要各部门密切配合,对医院进行统一规划,明确每一步的建设目标。但是,从医院信息化建设的现状来看,对医院的实际发展缺乏重视,在投入之前没有充分考虑到医院的长远发展目标。另外,信息化建设没有统一的规则,影响了信息化建设的工作,对新项目的实施也有一定的影响,造成了资源的浪费。
2.2网络安全性较低
医院的网络安全的问题往往是高度复杂动态的,将对医院领导和安全系统运营人员产生重要直接影响。此外,还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题,但由于医疗软件技术能力较差、技术水平不过关等因素,并没有有效地解决这些网络安全上的问题。
3网络安全管理体系建设原则
从医院建设安全网络管理信息中心的总体目标要求出发,在国家标准2.0级网络防护的技术指导下,结合自身医院网络安全管理工作实践经验,医院首先明确了以下网络安全管理原则:①安全管理与网络技术支持并重,同时合理规划医院建设安全管理体系和网络技术支持能力,用安全管理体系建设指导网络技术支持能力体系建设,用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限,整合安全人力资源,提高安全管理效率,注重员工建立准确识别和有效消除快速安全网络威胁的管理能力;通过集中的人力资源综合管理和权力控制,分散对上级行政部门权力的管理限制,以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则,医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。
4网络安全管理体系建设标准
建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求,结合医院自身的安全管理经验,并将实施能力作为重要标准考虑在内,建立2.0级安全管理体系框架,以确保管理体系的管理方向和可行性。为便于实施,医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求,确定医院总体上的网络安全保障政策和发展策略,在此基础上研究构建公立医院第三级安全网络管理体系,定义全球安全要求,并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量,更新和调整物理安全要求、政策和政策,以应用于特定领域。二级安全操作和维护系统,规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求,并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范,以便于确保操作人员的实际操作管理效果能够满足您的预期,并减少故障和其他行为造成的潜在安全风险。例如,确定您的服务器安全技术增强(windowsserversecuritymanual)的项目操作步骤和项目实施经验效果,并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求,并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录,为了减少操作和维护人员的工作量,提高时尚管理的效率,节省纸张,医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性:第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理,根据实际需要进行制定,具有较强的基本相关性和实际适用性,确保一级管理体系的基本灵活性和实际适应性;第三方操作手册特别注重管理细节和长期实施,可根据长期实施管理效果反复迭替换代,这些都是我们确保一级管理体系长期实施管理效果的最终重要目的;四级注册表格针对医院在建立管理体系时,特别注重对人员安全风险的管理和控制,建立持续改进管理体系的能力。成立了“网络和信息安全委员会”,作为主要决策机构。根据网络标准2.0要求,管理员职位分为3个职能:系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为,并初步确定合同员工的安全和财产保密管理责任;同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求,建立促进管理体系建设持续完善改进的长效机制,确保稳定性,实施安全管理体系的灵活性和能力,并明确各级修订和审查体系文件的要求。
5网络安全技术能力建设
在安全维护管理体系中心建设的基础上,医院已经开始研究建设安全技术管理能力,以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域,安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此,建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务,为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务,以及足够的自我保护能力,以确保自身在网络中的安全,避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力,医院在现有网管区域的基础上,采用以下方式完成安全管理建设技术能力。
5.1终端网络保护
前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接,负责从敏感区的核心节点发送数据,仅易受攻击。因此,通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫,并在它们已经进入安全下一阶段之前预先阻止。
5.2区域网络运维安全设计
(1)建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞,检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估,实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险,并提供强有力的网络技术支持。(2)创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析,管理者不仅可以通过搜索和实时分析日常网络使用中的记录,正确维护日志数据,定义日志审核设备,方便员工随时查看,并随时跨平台监控整个数据中心的安全状态。(3)建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统,可以实时部署专门的高标准风险流量检测分析平台,准确快速收集用户流量,进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为,挖掘这些可能使其隐藏的潜在危险,提供会话进程的所有数据审计处理能力,并不断提高其进程追踪和对攻击源的预测能力。
5.3整合现有安全资源
医院将在保障自身安全和区域安全管理的基础上,转移现有的保障功能,包括资源,非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外,通过研究在服务区内设立专用安全通道和具体的基础设施安全设施,优化全市安全设施功能整合,注重安全设施综合利用,减少不必要的安全设备,提高安全设备维护和安全系统运行效率,完成对全市现有安全防护体系的综合优化。
5.4优化集中控制
在完善现行安全监管制度的基础上,该院先后研发了航站楼和门诊部的安全监控和安全管理系统,为弥补医院现有综合门诊终端保障体系的不足,对医院基础设施进行集中控制和建设,以及医院管理系统的现有背景操作和系统维护,抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此,集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。
6医院构建网络安全管理体系
为有效适应未来最严峻的网络安全发展形势,医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成:综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构,确定了医院事件预警分类管理标准,并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定:为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保,使医院应急系统人员在统一系统的技术指导下,能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点,对信息网络保护系统进行了升级,提高了风险信息的准确性,与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关,建立安全网络。然后,在发展安全管理能力的基础上,围绕“响应性”完善安全运行体系建设,提高响应速度和应对网络安全威胁的能力。在技术上,尝试将连接机制引入安全体系,开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系,紧跟医院信息“医疗卫生互联网”建设步伐在网络时代,促进了医院网络安全建设的发展。
参考文献:
[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.
[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.
[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.
[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.
[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.
[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.
[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.
[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.
[9]张宇.医院信息化建设改革实证研究[D].南昌:南昌大学,2012.
