序論:在您撰寫安全管理體系建設(shè)時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度�����。
第1篇
(一)注重相關(guān)組織與責(zé)任體系建設(shè)1.逐步建立了嚴(yán)密而明確的組織體系��。美國煤礦安全生產(chǎn)的組織體系框架大體上包括政府和煤礦企業(yè)兩部分����,主要表現(xiàn)為政府監(jiān)督監(jiān)察機(jī)構(gòu)體系�����、煤礦企業(yè)內(nèi)部的組織分工職責(zé)體系�����。首先����,在“執(zhí)法”領(lǐng)域,美國煤礦安全生產(chǎn)監(jiān)督機(jī)構(gòu)強(qiáng)調(diào)其獨(dú)立性��,并在機(jī)制上防止檢查人員與礦主�、地方政府形成共同利益同盟。1910年美國在內(nèi)政部下設(shè)立礦業(yè)局�,但調(diào)查人員缺乏執(zhí)法權(quán)力。1977年����,美國對《礦山安全和衛(wèi)生法》進(jìn)行重大修訂����,建立了獨(dú)立的安全監(jiān)察部門———礦山安全和衛(wèi)生署�����,由勞工部助理部長任局長�,對所有礦業(yè)生產(chǎn)進(jìn)行全面和嚴(yán)格的監(jiān)察。監(jiān)督局下設(shè)11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處�����,由國會與立法事務(wù)辦公室和信息與公共事務(wù)辦公室這兩大事務(wù)辦公室領(lǐng)導(dǎo)和協(xié)調(diào)部署工作����,繼而細(xì)分為煤礦安全與健康監(jiān)察司和金屬與非金屬礦安全與健康監(jiān)察司這兩個職能部門繼續(xù)統(tǒng)籌和分配相應(yīng)工作。在煤礦安全與健康監(jiān)察司的組織機(jī)構(gòu)劃分下���,美國設(shè)置的11個地區(qū)的事故調(diào)查由副司長負(fù)責(zé)����,主管地區(qū)的監(jiān)察業(yè)務(wù)�����。其次,在煤礦生產(chǎn)企業(yè)內(nèi)部也有十分明確的組織管理體系����。煤礦企業(yè)的管理機(jī)構(gòu)設(shè)置一般為垂直管理結(jié)構(gòu),具有指揮與命令統(tǒng)一���、控制及時、工作效率高等特點(diǎn)����。組織管理體系在總體上劃分為礦長、副礦長�����、礦井辦事員�����、礦井總領(lǐng)班四個主要層級�,在副礦長之下設(shè)置了各個職能部門的主管:維修主管、采煤總工程師�、主任會計師等���,專門領(lǐng)導(dǎo)和協(xié)調(diào)該部門下的作業(yè)活動。采煤一線的管理人員是采煤班組的領(lǐng)班���,是該班組的關(guān)鍵人物��,領(lǐng)班必須對他所在的班組的工作���、人員培養(yǎng)、安全和行為負(fù)責(zé)��。2.建立了以礦主為中心的追責(zé)體系�����。在美國�����,煤礦安全事故一般不追究政府的責(zé)任�����,因?yàn)榈胤秸回?fù)責(zé)直接生產(chǎn)�����,主要是追究礦主的責(zé)任。各級政府的職能部門只是依據(jù)有關(guān)法律對企業(yè)進(jìn)行監(jiān)督監(jiān)管����,煤礦安全監(jiān)察員與煤礦沒有任何隸屬關(guān)系。1913年成立的勞工部��,安全生產(chǎn)管理是其主要職責(zé)之一����。換言之,美國煤礦安全生產(chǎn)責(zé)任體系中���,政府只是監(jiān)察監(jiān)督的作用,而真正應(yīng)該為安全事故“買單”的是煤炭企業(yè)�。例如每個煤礦要與兩個以上的救護(hù)隊簽訂救護(hù)協(xié)議,煤礦發(fā)生事故由礦主組織搶救��,必要時也可向當(dāng)?shù)鼐烨缶?。一旦發(fā)生煤礦安全生產(chǎn)事故,美國煤礦企業(yè)需承擔(dān)責(zé)任���。美國煤礦安全部門執(zhí)法非常嚴(yán)格�����,礦主也必須遵守煤礦安全管理法律���,嚴(yán)格按照安全操作規(guī)程辦事�����,從而確保了煤礦生產(chǎn)安全�。美國煤礦安全部門對唯利是圖��、違反規(guī)定生產(chǎn)的礦主懲罰嚴(yán)厲���。針對不會導(dǎo)致重大人員傷亡的一般性違反規(guī)定行為���,政府督察員每次每項(xiàng)罰款可達(dá)5.5萬美元。曾經(jīng)違反規(guī)定并承諾改正����、但不守信用的礦主則將被加重處罰�,可能引起傷亡事故和危害礦工健康的嚴(yán)重違規(guī)行為將被追究刑事責(zé)任。
(二)重視事故災(zāi)難的預(yù)防與應(yīng)急教育據(jù)美國勞工部發(fā)表的各行業(yè)事故統(tǒng)計數(shù)字���,美國的煤礦業(yè)已成為相當(dāng)安全的行業(yè),煤礦事故率低于金屬�、建筑、運(yùn)輸?shù)?0多個行業(yè)�����。美國煤礦行業(yè)由最初的高死亡率到0.03%的低死亡率��,其中一個重要的原因是新技術(shù)的推廣���、《礦業(yè)安全和衛(wèi)生法》以及相關(guān)配套規(guī)章的實(shí)施�,同時����,重視煤礦安全培訓(xùn)是美國實(shí)現(xiàn)安全生產(chǎn)的重要環(huán)節(jié)。美國20世紀(jì)70年代前后的事故調(diào)查報告和安全檢查手冊顯示�����,美國煤礦85%的事故是因“工作人員的不安全行為”所致���,僅15%的事故產(chǎn)生于不安全的設(shè)備和環(huán)境。所以���,對煤礦人員的安全培訓(xùn)具有極其重要的作用�����。美國煤礦安全應(yīng)急教育與預(yù)防主要有以下幾個方面:1.注重對煤礦工作人員的崗前培訓(xùn)�,提高管理實(shí)效?��!堵?lián)邦礦山安全與健康法》第115節(jié)明確規(guī)定����,新礦工沒有地下采礦經(jīng)驗(yàn)應(yīng)接受不少于40小時的培訓(xùn)���,新礦工沒有地表采礦經(jīng)驗(yàn)應(yīng)接受不少于24小時的訓(xùn)練���,每年所有礦工應(yīng)不止一次地接受不少于8小時的學(xué)習(xí)培訓(xùn)。這樣���,用可操作性的法律來提高工作人員操作行為的安全性�����,增強(qiáng)工作人員的憂患意識���。在美國����,所有礦工在上崗之前要接受培訓(xùn)����,上崗后,每年還要接受再培訓(xùn)����。如果發(fā)現(xiàn)礦工未按要求受到安全培訓(xùn),勞工部部長或授權(quán)代表必須簽發(fā)命令��,要求該礦工立即撤出煤礦���,直到接受法律規(guī)定的培訓(xùn)為止��。美國所有煤礦都必須制訂礦工培訓(xùn)計劃���,安排必要的培訓(xùn)內(nèi)容并保存培訓(xùn)資格證明���。煤礦工作人員不光是指礦工��,還包括煤礦經(jīng)營者和管理者����。礦山安全監(jiān)察員必須具有5年以上實(shí)際采礦經(jīng)驗(yàn),并要在國家礦山健康與安全學(xué)院接受培訓(xùn)���。根據(jù)安全監(jiān)察員的水平和需要���,分別對其進(jìn)行初級培訓(xùn)(基礎(chǔ)知識和技能培訓(xùn))、高級培訓(xùn)(提高業(yè)務(wù)水平���,精通相關(guān)技術(shù))和定期培訓(xùn)��?���!鞍踩c生產(chǎn)并非矛盾”已經(jīng)成為美國的行業(yè)目標(biāo)�,這對美國提高煤礦安全水平至關(guān)重要。在這個目標(biāo)的引導(dǎo)下�����,美國的煤礦企業(yè)和礦工工會都十分重視工人的安全技術(shù)培訓(xùn)。對于接受脫產(chǎn)培訓(xùn)的礦工�,給予其與在崗日標(biāo)準(zhǔn)工資相等的培訓(xùn)期工資。此外�,煤礦企業(yè)還與工會聯(lián)合成立了煤礦工人培訓(xùn)教育基金,由礦方按照全礦職工實(shí)際工作每工時0.08美元的標(biāo)準(zhǔn)提取資金���;該基金每年籌資約2000萬美元���,用于資助礦工接受繼續(xù)教育和培訓(xùn)進(jìn)修。為了進(jìn)一步普及安全培訓(xùn)�,礦山安全與健康管理局(MSHA)還啟動了一項(xiàng)新的教育方案———現(xiàn)場培訓(xùn)服務(wù),旨在通過充分利用各種資源���,幫助各地區(qū)的礦山實(shí)施安全與健康計劃��,達(dá)到預(yù)防安全事故的目的?�,F(xiàn)場培訓(xùn)服務(wù)的內(nèi)容主要是為礦山提供培訓(xùn)資料��,幫助制定和實(shí)施安全方案���,編輯教育材料,幫助各礦山制定適宜的培訓(xùn)計劃以滿足其特殊需求���,等等?�,F(xiàn)場培訓(xùn)服務(wù)承擔(dān)更多的是信息����、咨詢�、指導(dǎo)等服務(wù)功能。2.預(yù)防第一�����,建設(shè)井下緊急避險設(shè)施�����。2008年12月31日����,MSHA《地下煤礦避難所(救生艙)最終規(guī)定》要求礦山經(jīng)營者將井下避難所納入應(yīng)急反應(yīng)方案(ERP)。2009年12月前所有煤礦井下必須建設(shè)避難所����,保證所有人員在井下均有避險位置,并對避險設(shè)施的設(shè)置��、功能和維修管理作出具體規(guī)定,額定防護(hù)時間提高到96小時����。美國在2007年12月煤礦井下已經(jīng)開始使用避難所(救生艙)。美國煤礦井下的緊急避險設(shè)施主要有救生艙和避難硐室�����。救生艙一般為艙體式結(jié)構(gòu)�����,配備必要的設(shè)備設(shè)施和食物�,既可固定設(shè)置,也可隨采掘工程而移動��。有鋼結(jié)構(gòu)硬體式和可充氣軟體式�。硬體式救生艙可容納6~24人,具備過渡艙���,配備氣動呼吸空氣系統(tǒng)��。軟體式救生艙容量10~36人�����,在3~5分鐘內(nèi)起動充氣�,軟體材料具備阻燃、隔熱��、抗靜電��、高強(qiáng)度等特性���。避難硐室在礦井巷道兩側(cè)地層中直接挖掘或利用已有巷道建造而成,布置在主巷或逃生路線上��,配備維持人員生存所必需的相關(guān)設(shè)備設(shè)施和食物等����。救生艙至少為每人提供1.4平方米的地面空間和0.85~1.70立方米的立體空間;設(shè)置供氧���、內(nèi)外環(huán)境監(jiān)測����、廢氣清除等系統(tǒng)����,防護(hù)時間不低于96小時����;配備雙向通信�����、照明�、排泄物處理、急救等設(shè)備物品及維修工具和滅火器���;存儲組件或給養(yǎng)的容器應(yīng)密封�����、防水����、防火��,醒目標(biāo)注到期日期及使用說明����。3.高素質(zhì)的應(yīng)急救援隊伍與強(qiáng)制性工傷保險制度,為礦難提供安全保障���。除了對煤礦工作人員進(jìn)行嚴(yán)格的培訓(xùn)�����,美國的煤礦事故應(yīng)急救援還有一支高素質(zhì)的隊伍���,有一套規(guī)范的運(yùn)作程序�,拉得出�����、救得快��、保障有力�����。按規(guī)定��,每個煤礦要與兩個以上的救援隊簽訂救護(hù)協(xié)議����。煤礦發(fā)生事故由礦主組織搶救��,必要時也可向當(dāng)?shù)鼐烨缶取R恢Ь茸o(hù)隊下井救護(hù)��,另一支待命��。任何礦山救護(hù)隊不得建在距礦井2小時路程以外的地方����。同時,美國執(zhí)行強(qiáng)制性工傷保險制度�����,工傷保險具有高度的強(qiáng)制性��,法律強(qiáng)制雇主必須對雇工的工傷事故負(fù)責(zé)�,美國有99%的工人受到聯(lián)邦或州勞工賠償法的保護(hù)。
(三)建立安全生產(chǎn)管理的評估標(biāo)準(zhǔn)美國勞工部礦山健康安全管理局(MSHA)對美國礦業(yè)(煤礦/非煤)安全事故保存有全面翔實(shí)的統(tǒng)計數(shù)據(jù)���,該數(shù)據(jù)不僅涵蓋了所有事故相關(guān)的信息���,同時還包括了煤炭生產(chǎn)狀況及人員的相關(guān)信息。評估標(biāo)準(zhǔn)具體�����,分類清晰、系統(tǒng)�����、全面��、詳盡�����。美國煤礦事故數(shù)據(jù)統(tǒng)計的內(nèi)容包括事故時間���、事故地區(qū)、事故地點(diǎn)���、事故分類標(biāo)準(zhǔn)����、事故分級��、事故范圍����、事故報告�。其中�,事故時間除了年度事故和月事故,還統(tǒng)計日事故�����;事故地點(diǎn)包括地面�����、采煤面����、掘進(jìn)頭、上下山大巷�����、井筒�����;事故分類標(biāo)準(zhǔn)非常具體����,是按照事故所在地區(qū)�、開采類型��、月份���、作業(yè)者及承包商�、傷害類型����、傷亡員工工種;事故分級為死亡���、造成工作日損失的非死亡事故����、無工作日損失的輕微事故四個等級�;事故報告中要明確傷亡人數(shù)�、事故成因、發(fā)生機(jī)制��、傷害類型�����。美國煤礦事故計量指標(biāo)體系中:生產(chǎn)指標(biāo)有兩個,煤礦作業(yè)次數(shù)和作業(yè)時間���;事故傷亡分類指標(biāo)中�����,死亡事故率和死亡人數(shù)屬于死亡指標(biāo)�����,造成工作日損失的傷害事故率與其受傷人數(shù)����、無工作日損失的傷害事故率與其受傷人數(shù)這四個指標(biāo)歸為傷害指標(biāo)�;還有總量指標(biāo),包括人員傷亡總數(shù)和總體事故率�。煤礦事故數(shù)據(jù)統(tǒng)計內(nèi)容和計量指標(biāo)涉及的信息不僅是事故傷亡人數(shù)和經(jīng)濟(jì)損失,還包括事故發(fā)生的原因����、工作條件、開采類型及作業(yè)人員工種等相關(guān)的重要內(nèi)容�。這些信息越是全面具體����,越能及時����、全面、準(zhǔn)確地研究可能引起事故的原因�,并分析正在形成的各種趨勢,進(jìn)行綜合研判���,從而作出科學(xué)的評估��,提出科學(xué)控制和預(yù)防煤礦事故發(fā)生的有效對策�。
二����、美國煤礦安全管理體系的特點(diǎn)
如今美國的煤礦安全生產(chǎn)管理水平處于世界領(lǐng)先地位,煤礦安全管理體系頗具特點(diǎn):第一����,美國的煤礦產(chǎn)量和死亡人數(shù)呈反比例關(guān)系,充分體現(xiàn)了美國煤礦安全生產(chǎn)的理念比較先進(jìn)��。保護(hù)所有礦工及所有人員的安全�����,并非以犧牲人員的生命安全為代價來獲取企業(yè)利益��。美國緊扣“礦工健康權(quán)和生命權(quán)的保護(hù)”這個安全管理核心來推進(jìn)標(biāo)準(zhǔn)體系建設(shè)��,循序漸進(jìn)�����,在此基礎(chǔ)上建立并完善配套法規(guī)體系�,提高執(zhí)法力度,建立的安全管理體系嚴(yán)密并且比較實(shí)用����。第二,在責(zé)任體系建設(shè)中�����,政府和煤炭企業(yè)責(zé)任明晰化是其最顯著的特點(diǎn)����。政府只履行管理和監(jiān)督的職責(zé),如果發(fā)生煤礦安全生產(chǎn)事故���,煤炭企業(yè)將承擔(dān)事故的全部責(zé)任�。建立以礦主為中心的追責(zé)體系,抓住了責(zé)任處罰的主要主體��,抓住了重點(diǎn)對象�。煤礦安全管理責(zé)任主體有了指向性,而且強(qiáng)調(diào)煤礦安全生產(chǎn)監(jiān)督機(jī)構(gòu)的獨(dú)立性��,并在機(jī)制上防止檢查人員與礦主���、地方政府形成共同利益同盟����。這是非常有先見之明的�。第三,美國高度重視法制化建設(shè)����,陸續(xù)頒布和完善《聯(lián)邦礦山安全與健康法》等多部重要法律法規(guī)。政府和煤炭企業(yè)根據(jù)出臺的法律法規(guī)�,各自行使權(quán)力和履行義務(wù)。雖然世界各國在此方面都建立了相應(yīng)的法律制度�����,但均沒有美國的法律具體和完善。第四���,美國十分注重培訓(xùn)需求管理。在培訓(xùn)方面有比較完備的要求和規(guī)定�����,如必須使礦工有明確的技術(shù)操作素質(zhì)和安全急救意識等才能進(jìn)入煤礦工作���,這些舉措可以利于后繼的煤礦安全生產(chǎn)活動的開展��,強(qiáng)調(diào)預(yù)防第一�����,有效規(guī)避了人為礦難的發(fā)生���。
三、美國煤礦安全管理體系建設(shè)的啟示
根據(jù)上述分析�����,美國煤礦安全管理體系比較成熟�����,對我國有如下啟示:
(一)重視法律的可操作性,逐步完善我國煤礦安全管理法規(guī)中國是世界上煤炭產(chǎn)量最高的國家�����,中國也是世界上煤礦安全事故發(fā)生率最高的國家之一�����。立法是煤礦安全管理的最基本�����、最管用的方法與手段����。中國適用于煤礦的法律法規(guī),除《礦山安全法》���、《煤炭法》外���,還包括國務(wù)院頒發(fā)的有關(guān)礦山安全生產(chǎn)的行政法規(guī)以及各省(區(qū)、直轄市)人大頒布的有關(guān)的地方性法規(guī)���、國務(wù)院勞動行政主管部門和煤炭企業(yè)的主管部門及其下屬省級政府主管部門下達(dá)的有關(guān)安全生產(chǎn)的行政規(guī)章���,以及適用于煤礦行業(yè)的安全生產(chǎn)標(biāo)準(zhǔn)規(guī)范《煤礦安全規(guī)程》、《煤礦救護(hù)規(guī)程》等���。《礦山安全法》作為我國煤礦安全管理的基本法相對美國的《聯(lián)邦礦山安全與健康法》��,可操作性比較差���。如美國第303節(jié)的第2款規(guī)定:“所有生產(chǎn)作業(yè)區(qū)的通風(fēng)風(fēng)流必須符合以下規(guī)定���,氧氣含量不低于19.5%(體積),二氧化碳含量不大于0.5%(體積)……任何煤礦空氣的最低數(shù)量在每個工作面應(yīng)達(dá)到三千立方英尺每一分鐘����。”而我國的《礦山安全法》第十七條:“礦山企業(yè)必須對作業(yè)場所中的有毒有害物質(zhì)和井下空氣含量進(jìn)行檢測��,保證符合安全標(biāo)準(zhǔn)��。”這樣的籠統(tǒng)規(guī)定對有毒有害物質(zhì)沒有明確是什么����,更沒有提到其濃度或密度控制在什么標(biāo)準(zhǔn)范圍內(nèi),以及井下空氣含量應(yīng)符合什么標(biāo)準(zhǔn)���。立法應(yīng)充分體現(xiàn)“以人為本”的理念�,重視礦山職工的生命安全和健康權(quán)利保護(hù)���,有毒有害物質(zhì)���、含氧量應(yīng)該增加具體的數(shù)值標(biāo)準(zhǔn),以職工的生命健康安全為核心��。雖然在《煤礦安全規(guī)程》第三十條第十一項(xiàng)第二款:“凍結(jié)站必須用不燃性材料建筑����,都應(yīng)有通風(fēng)裝置。應(yīng)經(jīng)常測定站內(nèi)空氣中的氨氣����,氨的濃度不得超過0.004%?��!边@樣明確的標(biāo)準(zhǔn)利于執(zhí)行和監(jiān)督����,這是該規(guī)程在操作性規(guī)定方面的優(yōu)點(diǎn)。但從總體來說�,《礦山安全法》及其各相關(guān)法律法規(guī)其可操作性仍有待增強(qiáng),因此我們應(yīng)重視法規(guī)的可操作性���,積極學(xué)美國的經(jīng)驗(yàn)將宏觀的規(guī)定�、措施�����、程序細(xì)致化�����、具體化���,要將權(quán)威、具體�����、可操作的安全標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)寫入基本法中����,如《礦山安全法》僅僅是規(guī)定職工要進(jìn)行安全教育、培訓(xùn)后才能上崗作業(yè)�,更應(yīng)繼續(xù)添加崗前培訓(xùn)時間的長度,在職員工定期培訓(xùn)的時間��,次數(shù)等的規(guī)定����,操作過程中才能強(qiáng)制執(zhí)行這些標(biāo)準(zhǔn),有效增加員工安全操作的系數(shù)����。
(二)注重相關(guān)組織與責(zé)任體系建設(shè),加強(qiáng)監(jiān)察力度我國作為世界上的幾大采煤大國之一�����,在煤礦安全生產(chǎn)各方面的體系建設(shè)依然存在不足����。美國煤礦事故發(fā)生率得到了有效的控制,得益于注重組織體系和責(zé)任體系的建設(shè)�����。從我國的國情出發(fā),借鑒美國的成功經(jīng)驗(yàn)��,可以從以下方面逐步去完善我國煤礦安全管理的組織和責(zé)任體系建設(shè):第一��,明確責(zé)任�,加強(qiáng)對中央到地方相關(guān)的管理組織機(jī)構(gòu)建設(shè)。現(xiàn)今我國對煤炭的管理機(jī)構(gòu)主要有國家能源局��、中國煤炭工業(yè)協(xié)會��、安全生產(chǎn)監(jiān)督局等���,盡管相應(yīng)的組織管理機(jī)構(gòu)不少�,但是缺乏一個比較系統(tǒng)的組織對煤礦生產(chǎn)的各方面進(jìn)行管理�����,從而導(dǎo)致煤礦生產(chǎn)亂象迭生�。因此我國在管理機(jī)構(gòu)設(shè)置上應(yīng)注重整合部門機(jī)構(gòu)�����,建立和完善監(jiān)管煤礦產(chǎn)業(yè)的統(tǒng)一的機(jī)構(gòu),合理地進(jìn)行分工與監(jiān)管����,防止出現(xiàn)部門多卻難以監(jiān)管的現(xiàn)象。美國對煤礦安全生產(chǎn)進(jìn)行管理的主要是監(jiān)察局�����,下設(shè)11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處��,在監(jiān)察局里還有明確的各部門層級劃分����。從中央到地方實(shí)現(xiàn)了高效的縱向管理。部門機(jī)構(gòu)臃腫和職責(zé)不明晰是我國存在的普遍問題���,因此完善煤礦安全生產(chǎn)組織機(jī)構(gòu)的建設(shè)尤為重要����,應(yīng)確定安全生產(chǎn)監(jiān)督管理機(jī)構(gòu)和執(zhí)法人員的權(quán)力范圍���、職責(zé)�����、行使權(quán)力的條件�、程序和目的,抓住源頭�、明確主要職能部門的權(quán)力邊界與責(zé)任是應(yīng)對安全生產(chǎn)問題的關(guān)鍵。第二���,建立和完善煤礦生產(chǎn)單位的組織管理��。美國的煤礦企業(yè)內(nèi)部具有明確的職位分工和職責(zé)��,因此可以極大地提高生產(chǎn)效率并且便于管理�����。在我國�����,煤礦生產(chǎn)亂象迭生�,有的采礦工地不僅沒有專門的組織管理部門����,甚至存在著礦工工人臨時招聘���、不經(jīng)培訓(xùn)隨便上崗等亂象���。此類問題不解決將會對工人們的人身安全極為不利��,也無法保證煤礦有序生產(chǎn)�。第三����,加大煤礦安全生產(chǎn)監(jiān)察力度。煤礦安全監(jiān)察員要深入煤礦現(xiàn)場�,緊緊盯住那些高瓦斯容易出現(xiàn)事故的礦井,以及安全生產(chǎn)基礎(chǔ)差的礦井�,及時發(fā)現(xiàn)問題和解決問題,把事故消滅在萌芽狀態(tài)���。對存在重大事故隱患的礦井���,當(dāng)場下達(dá)《停產(chǎn)整頓通知單》,限時整改��。對不具備基本安全生產(chǎn)條件的小煤礦�,堅決予以關(guān)閉。第四���,建立煤礦違規(guī)行政處罰制度����。在我國發(fā)生煤礦生產(chǎn)事故后,相關(guān)的監(jiān)察負(fù)責(zé)人才會來到現(xiàn)場進(jìn)行勘查����,對事前的監(jiān)察工作并不重視,使煤礦安全生產(chǎn)的監(jiān)督��、監(jiān)察環(huán)節(jié)流于形式���。我國煤礦生產(chǎn)的主要負(fù)責(zé)人承擔(dān)的責(zé)任范圍不明晰����,處罰力度不夠嚴(yán)厲��,因此不少開采煤礦的單位會冒極大的風(fēng)險以污染環(huán)境或者犧牲工人的利益來獲取利潤�����,造成了小煤礦�、黑煤礦一直存在�。我國應(yīng)該建立嚴(yán)格的處罰制度�����,完善責(zé)任追究制度�����,加大懲治處罰力度�����,實(shí)行行業(yè)禁入制度��,讓礦主不敢輕易越軌煤礦安全管理紅線����。
(三)通過應(yīng)急教育與預(yù)防演練����,不斷提高處理突發(fā)事故災(zāi)難的能力對比我國煤礦現(xiàn)狀與美國煤礦,可以發(fā)現(xiàn)����,很大的區(qū)別在于美國政府一直強(qiáng)調(diào)煤礦安全監(jiān)察管理機(jī)構(gòu)的獨(dú)立性,美國煤礦的成功之處在于垂直的煤礦安全監(jiān)管體制框架,輪崗式的監(jiān)管人事制度�,并在機(jī)制上防止監(jiān)察人員與礦主、地方政府形成共同利益同盟�����。美國煤礦是把安全放在第一位����,而在我國,由于利益驅(qū)使�,大多數(shù)煤礦企業(yè)更注重的是利益而不是礦工的安全。我國煤礦現(xiàn)仍存在很多的不足�,我們應(yīng)該對美國煤礦安全管理經(jīng)驗(yàn)加以學(xué)習(xí),首先�����,要提升素質(zhì)����、規(guī)范管理。切實(shí)加強(qiáng)隊伍自身建設(shè)�,要督促救援隊伍加強(qiáng)制度建設(shè),明確人員職責(zé)�����、規(guī)范工作程序。進(jìn)一步強(qiáng)化煤礦生產(chǎn)安全事故應(yīng)急預(yù)案的管理和演練�,煤礦企業(yè)要把應(yīng)急演練與應(yīng)急預(yù)案相結(jié)合����,提高從業(yè)人員突發(fā)事件現(xiàn)象處置自救能力和企業(yè)應(yīng)急救援能力。其次�,要積極應(yīng)用新技術(shù)。引進(jìn)新型�����、高效實(shí)用的裝備����,不斷優(yōu)化應(yīng)急救援隊伍裝備結(jié)構(gòu),加大煤礦救援技術(shù)研究和培訓(xùn)����。最后,要平戰(zhàn)結(jié)合�、強(qiáng)化檢查。煤礦救援隊伍應(yīng)遵循“險時搞救援����,平時搞防范”的原則��,對于一切有可能發(fā)生的安全事故應(yīng)防范于未然�。
第2篇
在進(jìn)行信息安全體系建設(shè)時�,應(yīng)對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系����。本文分析了終端安全管理體系應(yīng)包含的內(nèi)容,闡述了傳統(tǒng)分散式終端安全管理存在的問題�����,結(jié)合作者的工作實(shí)踐經(jīng)驗(yàn)����,對一體化終端安全管理體系的建設(shè),提出了自己的思路和見解�。
關(guān)鍵詞:
終端安全;一體化�;體系建設(shè)
隨著信息化建設(shè)不斷發(fā)展,信息安全的重要性日益顯露出來�,在信息安全保護(hù)實(shí)踐中,各單位往往對數(shù)據(jù)集中的后臺服務(wù)器投入精力較多�����,對來自終端的威脅重視不足。信息安全事件調(diào)查經(jīng)驗(yàn)表明�,多數(shù)信息安全事件的突破口來自終端,因此在進(jìn)行信息安全體系建設(shè)時���,應(yīng)對來自終端的威脅給予足夠的重視�,建立有效的終端安全管理體系����。
1典型的終端安全管理體系應(yīng)包括的內(nèi)容
1.1防病毒及終端入侵防護(hù)
包括對全網(wǎng)病毒����、木馬、蠕蟲����、流氓軟件、間諜軟件等惡意代碼的識別��、查殺�,對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實(shí)現(xiàn)����。
1.2補(bǔ)丁狀態(tài)檢查及分發(fā)
包括檢查是否已安裝操作系統(tǒng)相應(yīng)的補(bǔ)丁����,各類防護(hù)特征庫是否保持更新��,能夠自動推送安裝補(bǔ)丁和特征庫等���。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng)�����,并自動執(zhí)行后臺腳本實(shí)現(xiàn)�����。
1.3移動存儲管理
防止內(nèi)部濫用移動介質(zhì)��,杜絕內(nèi)外部移動介質(zhì)在內(nèi)外網(wǎng)交叉使用�,并通過特殊加密技術(shù)保證移動介質(zhì)在非授權(quán)環(huán)境下不能被讀取��。此類功能主要通過向操作系統(tǒng)底層驅(qū)動注入代碼和數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)����。
1.4終端準(zhǔn)入管理
實(shí)現(xiàn)對網(wǎng)絡(luò)接入終端的安全準(zhǔn)入管理與控制����,確保接入網(wǎng)絡(luò)終端已安裝要求的防護(hù)系統(tǒng)�,且符合安全策略要求,有效杜絕非法外來終端私自接入網(wǎng)絡(luò)�。此類功能可以基于交換機(jī)端口進(jìn)行控制或使用安全網(wǎng)關(guān)進(jìn)行控制。
1.5非法外聯(lián)監(jiān)控
用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡(luò)用戶非法建立通路連接互聯(lián)網(wǎng)或非授權(quán)網(wǎng)絡(luò)的行為��,以此防止引入安全風(fēng)險或?qū)е滦畔⑿姑?�。此類功能通常做法是定期檢查與某個互聯(lián)網(wǎng)地址或非授權(quán)網(wǎng)絡(luò)的連通性����,若有連通便會觸發(fā)監(jiān)控報警�。
1.6主機(jī)監(jiān)控審計
對終端用戶的操作行為進(jìn)行管控與審計,對安裝的軟件實(shí)行黑白名單管理��,當(dāng)用戶的操作違反安全策略時����,能夠自動禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序���,根據(jù)設(shè)定的操作策略和軟件清單執(zhí)行���。
2傳統(tǒng)分散式終端安全管理存在的問題
(1)產(chǎn)生兼容性問題����。不同的終端安全防護(hù)產(chǎn)品均需要操作系統(tǒng)權(quán)限并向底層驅(qū)動注入代碼實(shí)現(xiàn)檢測����,各產(chǎn)品之間的操作沖突、導(dǎo)致兼容性問題已是常見現(xiàn)象��,即使能夠和平共存也會造成增加系統(tǒng)資源開銷���,拖累系統(tǒng)變慢等一系列問題����。
(2)缺乏統(tǒng)一管理�����。在終端上安裝使用多種安全防護(hù)產(chǎn)品�����,缺乏全局性安全管控,容易形成信息孤島���,不利于開展諸如安全數(shù)據(jù)的收集�、匯總�、統(tǒng)計等關(guān)聯(lián)分析工作,無法系統(tǒng)性展示終端安全全貌�。
(3)防護(hù)效果打折扣。不同的終端安全防護(hù)產(chǎn)品在功能上各有側(cè)重�����,組合在一起并不一定能全面覆蓋用戶的安全需求�,由于底層機(jī)制的類同和兼容性沖突等原因,經(jīng)常出現(xiàn)安全防護(hù)的真空地帶��,產(chǎn)生1+1<2的現(xiàn)象����,使防護(hù)效果大打折扣�����。
(4)運(yùn)行維護(hù)成本高�。多種終端安全防護(hù)產(chǎn)品同時使用,需同時與多個廠商采購維保服務(wù)���,周期長投入大�����,運(yùn)行上需要維護(hù)多套不同的策略表����,從不同的來源更新補(bǔ)丁包、特征庫等���,都給運(yùn)維增加了不小的工作量����。
(5)難以滿足自主可控的要求�����。出于國家安全戰(zhàn)略的需要�,終端安全防護(hù)產(chǎn)品應(yīng)盡可能滿足自主可控的要求。分散部署不同的終端安全防護(hù)產(chǎn)品���,大多是基于歷史原因分批分步建設(shè)形成的��,存在一定的不可控安全風(fēng)險�。
3一體化終端安全管理體系的建設(shè)思路
一體化終端安全管理體系的建設(shè),應(yīng)遵循“功能集中�、統(tǒng)一建設(shè)”的原則,結(jié)合單位已有的終端安全防護(hù)現(xiàn)狀�,采用“整合式替代、替代后實(shí)現(xiàn)一體化管理”的思路開展���。替代過程中�����,應(yīng)充分考慮安全設(shè)備國產(chǎn)化的要求��,既實(shí)現(xiàn)終端安全防護(hù)各項(xiàng)功能�,又可在統(tǒng)一平臺下管理終端資產(chǎn)��、終端信息�����、終端安全防護(hù)系統(tǒng)等�,實(shí)現(xiàn)終端一體化安全管理�。終端一體化安全管理可極大地提高運(yùn)維效率,增強(qiáng)終端類安全事件聯(lián)動,提高終端安全事件預(yù)警發(fā)現(xiàn)和處置能力���,最終提高單位的信息安全管理水平���。具體實(shí)施過程中,應(yīng)以“資源整合�、統(tǒng)一管理、分級部署����、基準(zhǔn)策略、量體裁衣��、人力集約”為主要工作目標(biāo)�����,最大程度整合單位現(xiàn)有軟硬件資源����、技術(shù)人才資源,節(jié)約資源��、資金����、人力成本��,集成各類終端管理功能�,邏輯上實(shí)行統(tǒng)一管理����,總部制定基準(zhǔn)策略,各地分支機(jī)構(gòu)針對自己的情況�����,定制適合本轄區(qū)情況的安全策略�����,預(yù)留一定擴(kuò)展空間���,供各級機(jī)構(gòu)在統(tǒng)一終端管理平臺下的本地化處理�。建議分四個步驟進(jìn)行:①率先落實(shí)國產(chǎn)化替代���,一體化終端安全管理體系建設(shè)不再考慮國外產(chǎn)品�,實(shí)現(xiàn)完全國產(chǎn)自主可控���,這一點(diǎn)無論是在技術(shù)上還是在市場上都已不存在問題�����。②整合現(xiàn)有終端安全防護(hù)系統(tǒng)的功能�,在實(shí)現(xiàn)病毒防治��、補(bǔ)丁分發(fā)�����、非法外聯(lián)監(jiān)控�、準(zhǔn)入控制、移動介質(zhì)管控�����、安全策略管理等功能的基礎(chǔ)上����,實(shí)現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動。③增加資產(chǎn)管理����、操作審計等功能���,并實(shí)現(xiàn)一體化關(guān)聯(lián)和統(tǒng)一展現(xiàn),進(jìn)一步完善系統(tǒng)的管理功能���,能夠進(jìn)行終端狀態(tài)���、終端信息、安全事件等信息的展示�、分析和處理,實(shí)現(xiàn)對安全事件的及時發(fā)現(xiàn)����、告警和處置,及時消除安全事件對終端的影響�����。④在系統(tǒng)建設(shè)的基礎(chǔ)上實(shí)現(xiàn)科學(xué)安全管理�,通過對終端安全狀態(tài)的統(tǒng)一定量評估,實(shí)現(xiàn)對各部門�����、各分支機(jī)構(gòu)的終端安全態(tài)勢評估��,掌握終端安全管理的薄弱環(huán)節(jié),為信息安全管理工作的整改完善提供數(shù)據(jù)支撐�。在功能方面:一體化終端安全管理體系應(yīng)主要包括但不限于防病毒管理、終端入侵檢測防護(hù)管理��、補(bǔ)丁分發(fā)管理���、移動介質(zhì)管理、非法外聯(lián)管理�、終端準(zhǔn)入管理、主機(jī)監(jiān)控審計管理�����、終端信息管理��、安全策略管理�����、終端運(yùn)行狀態(tài)統(tǒng)計管理���、安全事件管理�、運(yùn)行報表管理��、考核指標(biāo)管理、系統(tǒng)管理等功能�����。實(shí)現(xiàn)終端安全防護(hù)系統(tǒng)的一體化管理和安全防護(hù)系統(tǒng)的資源整合����,實(shí)現(xiàn)安全防護(hù)策略的統(tǒng)一管理,建立全面�、集中、統(tǒng)一的終端安全管理體系���。在管理方面:實(shí)現(xiàn)與終端安全管理制度相適應(yīng)的安全管理要求��,實(shí)現(xiàn)總部與各分支機(jī)構(gòu)終端信息的統(tǒng)一集中管理�����,實(shí)現(xiàn)終端安全控制策略的統(tǒng)一配置�、自動篩查��、告警和展現(xiàn)����,實(shí)現(xiàn)定期安全類報表的自動生成和展現(xiàn)����,實(shí)現(xiàn)安全管理人員的統(tǒng)一工作平臺�。
4結(jié)語
要實(shí)現(xiàn)對信息安全閉環(huán)式管理,僅僅重視信息系統(tǒng)服務(wù)端的保護(hù)是不夠的�����,必須重視對每個入網(wǎng)終端的安全管理��。一體化終端安全管理體系的建設(shè)�����,從技術(shù)上采取了多種手段強(qiáng)化終端的安全防護(hù)和管理�,為強(qiáng)化單位的信息安全管理提供了必要的手段��。同時��,我們也必須認(rèn)識到����,終端安全管理體系的建設(shè)不是說建好系統(tǒng)就萬事大吉了,對一個單位的信息安全管理而言,永遠(yuǎn)是“三分技術(shù)���,七分管理”�。再好的技術(shù)手段��,也只有和管理制度相結(jié)合���,并加以強(qiáng)力執(zhí)行���,才能達(dá)到預(yù)定的安全目標(biāo)。
參考文獻(xiàn):
[1]孟粉霞���,王越���,雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程,2013(8):70~71.
[2]田永飛.一體化終端安全管理系統(tǒng)應(yīng)用初探[J].金融科技時代�,2015(12):45~47.
[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計算機(jī)安全,2007(7):63~65.
第3篇
關(guān)鍵詞:民航���;安全管理�����;管理體系���;建設(shè)
民航作為社會經(jīng)濟(jì)和技術(shù)高度發(fā)展下的一個重要標(biāo)志�����,相比于其他的運(yùn)輸方式���,運(yùn)行速度更快、機(jī)能性更好��,地區(qū)跨度大��,可以到達(dá)其他運(yùn)輸難以到達(dá)的地方��,但同樣民航建設(shè)造價高��、耗能大���、技術(shù)復(fù)雜、運(yùn)輸能力小����,受自然因素影響更大。作為當(dāng)前一種廣為推廣的運(yùn)輸方式,民航仍伴隨著一定的安全風(fēng)險�,安全系數(shù)仍是民航事業(yè)發(fā)展的核心。近年來�,在技術(shù)日新月異的發(fā)展、設(shè)備不斷優(yōu)化升級�����、安全意識逐漸提高的背景下��,我國的民航安全水平有了顯著的改善和提高����,民航安全管理體系的建設(shè)也趨于規(guī)范化、科學(xué)化�、合理化。但就總體而言��,面對紛繁復(fù)雜的安全風(fēng)險���,民航安全管理體系建設(shè)還存在一些不穩(wěn)定的因素���,影響和制約了民航安全管理體系的發(fā)展和完善,安全問題依然是民航建設(shè)的重要課題����,對此���,下文就我國民航安全管理體系建設(shè)的相關(guān)方面進(jìn)行具體的分析和說明。
一�����、我國民航安全管理體系的基本內(nèi)涵
民航安全管理體系旨在維護(hù)民航的安全�,作為一種措施體系,堅持以國家民航發(fā)展和國家安全政策為依據(jù)�����,強(qiáng)調(diào)對民航發(fā)展的安全性建設(shè)���,制定民航安全方針和目標(biāo)���,減少民航風(fēng)險性因素�,保障民航事業(yè)安全、穩(wěn)定的發(fā)展���。民航安全管理體系建設(shè)涉及的內(nèi)容包括:民航安全理論����、安全法規(guī)準(zhǔn)則、安全管理信息庫����、安全監(jiān)督、安全文化��、安全管理技術(shù)等方面�����,將安全意識和安全技術(shù)貫徹和落實(shí)到民航事業(yè)的各個環(huán)節(jié)中��,構(gòu)建完善��、健全的安全管理體系���,使其處于一個最優(yōu)的狀態(tài)�����。一方面�,利用安全管理體系能更快地發(fā)現(xiàn)民航運(yùn)輸中存在的安全風(fēng)險和安全隱患����,及時控制和扼制風(fēng)險����。另一方面����,提高了對風(fēng)險的識別、風(fēng)險評估和風(fēng)險控制能力��,使民航安全管理體系作用切實(shí)地反饋到民航發(fā)展中��,進(jìn)一步完善和推動民航安全管理體系的建設(shè)����,使其處于一個良性循環(huán)的發(fā)展?fàn)顟B(tài)。
二����、我國民航安全管理體系建設(shè)的事實(shí)背景
近年來,隨著人們物質(zhì)生活水平的不斷提高�,對民航的選擇性更大,民航事業(yè)的發(fā)展取得了顯著的成效�,在交通運(yùn)輸業(yè)中所占據(jù)的比例和起到的影響力也越來越大�。但從客觀事實(shí)上來看�,民航相對其他的交通運(yùn)輸業(yè)更具有風(fēng)險性���,事故危害性更大���,影響波及面積也更大,不僅是國內(nèi)�����,甚至波及國際����,具有高風(fēng)險性、突發(fā)性��、國際性�,關(guān)注度極高、死亡率也極高的特征���,不僅造成嚴(yán)重的生命�����、財產(chǎn)損失���,而且還會影響國際關(guān)系的穩(wěn)定�����,對整個運(yùn)輸環(huán)境的安全性產(chǎn)生懷疑��。導(dǎo)致部分人相比于民航的快速性和舒適性�,更愿意選擇比較傳統(tǒng)�����、安全性能更高的運(yùn)輸方式�。在國民生產(chǎn)力不斷提升、人們安全意識不斷提高的背景下�,民眾對國航運(yùn)輸安全性、舒適性�����、便捷性等方面提出了更高的標(biāo)準(zhǔn)和要求���,同樣這也是民航在未來發(fā)展中不斷尋求突破和改善的地方���,是民航能夠真正普及���,成為一種大眾化的交通運(yùn)輸形式的核心內(nèi)容�����。因而��,強(qiáng)調(diào)對民航安全管理體系的建設(shè)�,有效改進(jìn)航空系統(tǒng)的安全系數(shù),提高民航風(fēng)險預(yù)警��、識別��、控制��、管理成為當(dāng)前民航事業(yè)尋求突破和發(fā)展的核心層面�����。在民航運(yùn)輸發(fā)展初級階段��,對風(fēng)險缺乏一定的預(yù)警性和預(yù)見性����,往往都是在風(fēng)險形成后對事故特征進(jìn)行分析��,找出原因�����,吸取經(jīng)驗(yàn)����,提高安全警覺性����,加以改善,以避免安全事故的再次發(fā)生�。在這個階段,對民航安全的管理更多的是偏向于技術(shù)和設(shè)備方面���,是基于硬性方面的考慮��,而忽略了管理的柔性�����,對事故隱患分析不透徹���、不全面�����。
20世紀(jì)90年代�,這一時期正是我國改革開放以來飛速發(fā)展的階段���,國民經(jīng)濟(jì)水平有了顯著的改善和提高,交通運(yùn)輸業(yè)取得了質(zhì)的飛躍����,民航行業(yè)內(nèi)部也基本形成了比較系統(tǒng)、完善��、規(guī)范的運(yùn)行規(guī)章和監(jiān)督監(jiān)管機(jī)制���,飛機(jī)運(yùn)行體系和管理體系雙向發(fā)展�����,進(jìn)一步提高了航運(yùn)質(zhì)量����,降低了事故率,但在管理水平���、健全的法規(guī)體系等方面仍存在一些缺陷�����,造成一定的風(fēng)險因素��。在此基礎(chǔ)上���,管理體系在長期的發(fā)展,不斷兼容�、不斷攻破矛盾下,日益成熟���,不斷完善���,積極吸取優(yōu)秀的成功經(jīng)驗(yàn),在民航全面發(fā)展中推行安全管理體系建設(shè)��。
三��、我國民航安全管理體系建設(shè)探討
民航安全管理體系的建設(shè)不是一蹴而就的���,而是需要長期堅持和自始至終地貫徹和落實(shí)的��,作為一項(xiàng)系統(tǒng)性�、長期性和艱巨性的任務(wù),既是民航發(fā)展中的核心內(nèi)容�,也是一個巨大的挑戰(zhàn)。那么�,如何在有效的時期內(nèi),完善民航安全管理體系建設(shè)�����,降低民航運(yùn)行風(fēng)險�����,提高運(yùn)行質(zhì)量水平呢����?對此�,下面就進(jìn)行具體探討:
(1)正視當(dāng)前我國民航安全管理水平現(xiàn)狀。民航安全管理體系的建設(shè)必須是在現(xiàn)有的基礎(chǔ)上實(shí)施的���,是遵循當(dāng)前民航發(fā)展的基本特征��,明確當(dāng)前民航安全管理的基本水平����,只有這樣才能有針對性地采取措施,進(jìn)行對癥下藥�,為制定行之有效的安全管理體系作出有效的鋪墊。我國的民航安全管理體系的建設(shè)經(jīng)歷了一個基本的發(fā)展過程���,由對空勤人員適應(yīng)環(huán)境的心理��、生理方面的研究到認(rèn)識到人文因素的影響���,強(qiáng)調(diào)對飛行員和機(jī)務(wù)人專業(yè)技能和素質(zhì)的培養(yǎng),形成一個管理框架�。到當(dāng)前,我國的民航安全管理體系建設(shè)基本已經(jīng)全面步入正軌�,并且都具有很高的完成度和完成效率,將安全管理體系建設(shè)的各個方面能具體地管理落實(shí)��、操作執(zhí)行到各個環(huán)節(jié)中�����,加強(qiáng)每一個環(huán)節(jié)人員���、規(guī)章程序����、技術(shù)應(yīng)用等方面的培訓(xùn)和應(yīng)用,以更大限度地發(fā)揮安全管理體系在民航發(fā)展中的作用和價值����。
(2)發(fā)揮安全管理體系建設(shè)的兼容性和統(tǒng)籌性。民航安全管理體系的建設(shè)并不是單指哪一個體系的安全管理��,而是多方相互交融�、相互作用的。如:安全管理體系���、質(zhì)量管理體系、保安管理體系等都是民航建設(shè)中的一部分�����,任何一個體系的安全問題都可以造成整個民航的安全事故�����,因?yàn)橐_地認(rèn)識各個體系之間的關(guān)系����,實(shí)現(xiàn)兼容性的發(fā)展����,既保證各個體系的安全性也能有效發(fā)揮各個體系各自的作用�����。而且任何體系的最終目的都是為民航安全建設(shè)服務(wù)的��,在建設(shè)宗旨上是整合為一體的���,也就是說安全管理體系的建設(shè)要明確目標(biāo)�����,具有統(tǒng)一的發(fā)展思路���,發(fā)揮其兼容性和統(tǒng)籌性的作用,也推進(jìn)安全管理體系全面���、深入地開展���。
(3)構(gòu)建良好的安全文化���。“意識”是行為的先驅(qū)��,而文化則是“意識”內(nèi)涵化的表現(xiàn)��,當(dāng)前����,我國民航安全管理體系建設(shè)都基本處于一個開放式和多元化的形式,改變了以往“關(guān)門造車”的模式�����。一方面���,改變了企業(yè)故步自封的態(tài)度�,加強(qiáng)各企業(yè)之間的相互交流和相互合作�,便于企業(yè)更快地掌握發(fā)展動態(tài)�����,積極地吸收先進(jìn)的管理經(jīng)驗(yàn)和管理制度���,實(shí)現(xiàn)企業(yè)安全管理體系建設(shè)的優(yōu)化�����。另一方面���,樹立企業(yè)安全意識��,使企業(yè)在應(yīng)對市場競爭和挑戰(zhàn)下��,能夠堅持與時俱進(jìn)的發(fā)展理念���,在企業(yè)之間相互監(jiān)督的條件下,將安全意識和安全體系建設(shè)切實(shí)地落實(shí)到具體實(shí)踐中���,實(shí)現(xiàn)企業(yè)之間的良好競爭��。同樣企業(yè)要積極引進(jìn)安全文化人員���,將“安全第一”貫穿始終,在潛移默化中�,形成良好的安全文化。
(4)建立健全的法律法規(guī)體系。健全的法律法規(guī)體系的建設(shè)為安全管理體系的建設(shè)提供了有力的保障��,是使職工能夠明確自身職責(zé)�����、自覺遵紀(jì)守法�����、接受管理和規(guī)范行為的一個重要的手段���。有效提高了安全管理體系建設(shè)的效率�����,使管理做到有法可依��、有跡可循���,為民航安全管理水平的提升提供堅實(shí)的后盾。
參考文獻(xiàn):
[1]孫佳�����,高洪江.我國民航安全管理體系建設(shè)與實(shí)施分析[J].中國鐵路��,2012.
第4篇
關(guān)鍵詞:民航 安全管理體系 體系選擇 建議
中圖分類號:V328 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2014)04(a)-0230-01
民航安全是民航行業(yè)生命賴以存在和發(fā)展的基礎(chǔ)�����,是維護(hù)民航乘客利益的核心���。民航業(yè)在安全上沒有小問題�����,一旦發(fā)生問題��,通常是大問題���,其影響波及的面積不僅是國內(nèi),甚至也會波及到國際上�����,損失也往往是慘重的��。因此�����,民航安全管理體系建設(shè)是我國民航業(yè)發(fā)展的基礎(chǔ)和核心建設(shè)。如何通過持續(xù)的風(fēng)險預(yù)警�����、風(fēng)險識別配合事先的風(fēng)險控制�、事后的風(fēng)險管理將風(fēng)險降到最低,這已經(jīng)成為決定我國民航業(yè)乃至世界民航業(yè)的安全管理體系建設(shè)的關(guān)鍵所在����。
1 我國民航安全管理體系建設(shè)的現(xiàn)狀
在討論我國民航安全管理體系建設(shè)的深層次問題之前,筆者認(rèn)為有必要先闡釋和澄清一些相關(guān)概念��,以便更好地認(rèn)識我國民航安全管理體系建設(shè)發(fā)展到今天的整體狀況�。換句話說,理清這些相關(guān)概念����,是建立民航安全管理體系的基礎(chǔ)性工作。
“民航安全管理體系”(safe management system ��,簡稱為SMS)的本質(zhì)是成立����、建設(shè)一個系統(tǒng)的��、全面的�、完整的���、清楚的安全風(fēng)險管理以及安全基礎(chǔ)運(yùn)行的系統(tǒng),它是由美國聯(lián)邦航空管理局FAA在1996年對其自身的安全管理體系從傳統(tǒng)向現(xiàn)代改革時提出的一個民航安全管理方面的模型����,并得到國際民航組織(International Civil Aviation Organization,簡稱為ICAO)的大力倡導(dǎo)�。由“國際標(biāo)準(zhǔn)化組織”(簡稱為ISO)頒布的ISO 9000質(zhì)量標(biāo)準(zhǔn)體系則是一套由ISO和IAF在2008年8月20日聯(lián)合的適用于全球最廣范圍的質(zhì)量管理體系標(biāo)準(zhǔn),它擁有一整套完備的有關(guān)質(zhì)量的術(shù)語����、體系規(guī)范、程序規(guī)范�����、技術(shù)規(guī)范�����,自成體系��。而且更重要的是,該套質(zhì)量管理體系標(biāo)準(zhǔn)可以全面地適用于安全管理的實(shí)踐操作層面��。而在民航安全管理體系上ISO 9000質(zhì)量標(biāo)準(zhǔn)體系大力推薦的是質(zhì)量管理體系(Quality Management System���,簡稱為QMS)該安全管理體系中最主要的就是八項(xiàng)原則�,即“以顧客為關(guān)注焦點(diǎn)���、領(lǐng)導(dǎo)作用�����、全員參與�、過程方法���、管理的系統(tǒng)方法��、持續(xù)改進(jìn)����、基于事實(shí)的決策方法�、與供方互利關(guān)系”。在這八項(xiàng)基本原則中�,最重要的就是“以顧客為關(guān)注焦點(diǎn)”以及“持續(xù)改進(jìn)”這兩個根本原則�。從以上八項(xiàng)基本原則可以看出��,QMS體系主要將重心放在“人”上���。
安全管理理論發(fā)展到現(xiàn)代已經(jīng)發(fā)生了巨大的改變�����,最有效的提高一個系統(tǒng)的整體安全管理水平的方式是在一個系統(tǒng)的安全思想的統(tǒng)籌下進(jìn)行分析,即要保證系統(tǒng)的每一個階段都是安全的�����,每一個階段都必須將其潛在的危險降到最低����,這才是建設(shè)我國民航業(yè)卓越的安全管理體系的根本所在。
2 構(gòu)建并貫徹合理的安全目標(biāo)和指標(biāo)體系
民航安全管理體系建設(shè)不是一蹴而就的事情�,而是一項(xiàng)系統(tǒng)性的、長期性的�����、艱巨性的任務(wù)��。隨著SMS和QMS雙體系的不斷發(fā)展,國際上對民航業(yè)的要求越來越多�、越來越高、越來越細(xì)���。中國為了應(yīng)對這一挑戰(zhàn)����,應(yīng)該適時制定一套完整的安全目標(biāo)�,并開發(fā)配套的指標(biāo)體系,緊隨國際民航安全管理體系建設(shè)發(fā)展的腳步�,及時地、持續(xù)地更新自身管理體系���,力圖將挑戰(zhàn)變成機(jī)遇����,以趕上甚至超越國際一流水平����。
首先在領(lǐng)導(dǎo)層面,應(yīng)進(jìn)行全面的初步安全評估�����,合理規(guī)劃風(fēng)險控制,擬定合理的安全目標(biāo)和各項(xiàng)體系指標(biāo)�,構(gòu)建一套適合企業(yè)自身的SMS方案。其次���,不能紙上談兵��,關(guān)鍵還要嚴(yán)格執(zhí)行安全管理方案�,將安全目標(biāo)���、風(fēng)險管理落到實(shí)處���。例如��,設(shè)置安全風(fēng)險預(yù)警閥值�,實(shí)現(xiàn)對整個系統(tǒng)的動態(tài)、實(shí)時監(jiān)控����,保證安全指標(biāo)信息的及時采集、傳遞���、分析和交流����,確保安全管理文件的準(zhǔn)確性和可行性。最后�����,但也是最重要的一點(diǎn)�,應(yīng)完善安全管理體系中的應(yīng)急處理系統(tǒng),一旦發(fā)生安全問題��,可以立即形成有效的應(yīng)急方案����,全面調(diào)度一切可利用的資源,其他各個部門迅速響應(yīng)�����、配合�,將時間的后果控制在最小的影響范圍內(nèi)。
3 以人為本����,建設(shè)成熟的機(jī)務(wù)隊伍
民航安全管理體系建設(shè)是民航業(yè)的生命所在,而民航安全管理最核心的運(yùn)作單位還是“人”,因此�,我國民航業(yè)在安全管理上還應(yīng)大力培養(yǎng)高素質(zhì)的機(jī)務(wù)隊伍。
從實(shí)踐層面看��,機(jī)務(wù)人員往往最先發(fā)現(xiàn)安全問題����,并第一時間地分析問題、處理問題����,他們是站在民航業(yè)安全管理體系的最前線的戰(zhàn)士,因此����,建設(shè)一支成熟的機(jī)務(wù)隊伍對于建設(shè)我國民航安全管理體系至關(guān)重要。具體而言���,應(yīng)提升企業(yè)、甚至是整個產(chǎn)業(yè)的安全文化素養(yǎng)��,尤其是在機(jī)務(wù)人員的具體培訓(xùn)中����,應(yīng)當(dāng)貫徹安全理念,將安全指標(biāo)作為每一個機(jī)務(wù)人員的考核標(biāo)準(zhǔn)。其次��,對飛機(jī)進(jìn)行可控性維修��,絕不守株待兔��,而是主動出擊��,發(fā)現(xiàn)問題�����、解決問題����。嚴(yán)格的領(lǐng)導(dǎo)和組織各項(xiàng)機(jī)務(wù)工作,不放過任何一個細(xì)節(jié)�����。事前要組織嚴(yán)格縝密的預(yù)先檢查��,進(jìn)行過程中要開展全方位的嚴(yán)格的過程監(jiān)督�,事后更要無縫銜接嚴(yán)格的反饋程序和后續(xù)跟進(jìn)事項(xiàng)。
4 結(jié)語
中國加入世界貿(mào)易組織之后���,作為經(jīng)濟(jì)發(fā)展先頭兵的我國民航業(yè)越來越得到社會���、政府的關(guān)注�����,而大眾對我國民航業(yè)越來越高的期待也意味著對我國民航安全管理體系進(jìn)一步建設(shè)和完善的急切呼喚����。在民航安全的哲學(xué)中��,一個好的過程不僅重要�����,相應(yīng)地產(chǎn)生一個好的結(jié)果更加重要��?�?梢哉f�����,在民航安全管理上�����,就是“以成敗論英雄”���。只有“嚴(yán)”字打頭����,嚴(yán)格指揮��、嚴(yán)格把關(guān)��、嚴(yán)格用人�����、嚴(yán)格檢查�����、嚴(yán)格操作���,真正貫徹安全管理體系中的規(guī)章制度��,在一言一行��、一鉚一釘中實(shí)踐“安全第一”的理念����,真正把安全作為航空的第一要事,才能將我國民航安全管理體系建設(shè)帶上一個新的高度����。
參考文獻(xiàn)
[1] ICAO安全管理手冊(SMM)[G].國際民航組織,Doc 9859 AN/460(第一版)���,2006.
[2] 張建平.空管安全管理體系與質(zhì)量管理體系的差異分析[J].北京:空中交通管理�,2007(4):40-43.
[3] 向維��,李明���,吳超�����,等.航空不安全事件人為因素分析R-S-TER模型的構(gòu)建與應(yīng)用研究[J].中國安全科學(xué)學(xué)報�����,2009(19):152-159.
第5篇
關(guān)鍵詞:信息化�����;信息安全��;安全管理
1企業(yè)信息安全現(xiàn)狀
近幾年���,隨著行業(yè)信息化建設(shè)逐步深入,伴隨著OA辦公自動化�、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用����,與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,企業(yè)也逐步認(rèn)識到信息安全的重要性�����,企業(yè)員工的安全意識也都得到逐步提高���。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度���,并通過這幾年信息安全檢查工作,促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高��。由于企業(yè)信息安全意識不斷提高,企業(yè)不斷加大信息安全方面的投入��,如建立標(biāo)準(zhǔn)化的機(jī)房���、購買與部署各類信息安全軟件和設(shè)備等�。但是木馬��、病毒�����、垃圾郵件��、間諜軟件�、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機(jī)技術(shù)的發(fā)展不斷更新��,攻擊手段也越發(fā)隱蔽和多樣化����。企業(yè)不僅要應(yīng)對外部的攻擊,也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅�����,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題�����,還需要借助管理手段來保障�。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識�����,一味注重“技術(shù)”的作用�����,忽略“管理”的重要性�����,就很難發(fā)揮信息安全技術(shù)的作用�,無法把企業(yè)的各項(xiàng)信息安全措施落到實(shí)處,企業(yè)的信息安全也就無從談起��。只有切實(shí)發(fā)揮管理作用��,企業(yè)的信息安全才能得到有效保障。
2企業(yè)信息安全體系架構(gòu)
在談到信息安全時�,大多數(shù)剛接觸的人都比較疑惑,都說保障信息安全十分重要����,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)���。2.1信息����。對企業(yè)來說��,信息是一種無形資產(chǎn)�����,具有一定商業(yè)價值�����,以電子�����、影像、話語等多種形式存在��,必須進(jìn)行保護(hù)�����。2.2信息安全���。主要是指防止信息泄露����、被篡改����、被損壞或被非法辨識與控制�,避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)��。在保障企業(yè)信息安全過程中�����,信息安全技術(shù)是保障信息安全的重要手段�。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系�����,進(jìn)一步細(xì)分則涉及安全運(yùn)維方面�����。2.3.1信息安全技術(shù)體系作用���。主要是指通過部署信息安全產(chǎn)品��,合理制定安全策略���,實(shí)現(xiàn)防止信息泄露、被篡改����、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實(shí)現(xiàn)信息安全的工具平臺����,如防火墻類產(chǎn)品、防攻擊類產(chǎn)品���、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等��,而信息安全技術(shù)則是指實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)���。2.3.2信息安全管理體系作用�����。完善信息安全組織機(jī)構(gòu)����、制度�����,細(xì)化職責(zé)分工����,制定執(zhí)行標(biāo)準(zhǔn)����,確保日常管理、檢查等制度有效執(zhí)行����,最大程度發(fā)揮信息安全技術(shù)體系作用�����,確保信息安全相關(guān)保護(hù)措施有效執(zhí)行��。通過上文簡單介紹�����,對信息安全以及信息安全系統(tǒng)有了大概了解����?��?梢钥闯鰡渭兘柚夹g(shù)或管理無法保障企業(yè)信息安全����,因此�,建立企業(yè)信息安全管理體系的重要性也就不言而喻。
3信息安全管理體系概念
3.1信息安全管理��。運(yùn)用技術(shù)�����、管理手段,做好信息安全工作整體規(guī)劃�����、組織��、協(xié)調(diào)與控制�,確保實(shí)現(xiàn)信息安全目標(biāo)。3.2管理體系���。體系是指相互關(guān)聯(lián)和相互作用的一組要素�����,而管理體系則是建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系���。3.3信息安全管理體系(ISMS)��。在一定組織范圍內(nèi)建立�、完成信息安全方針和目標(biāo),采取或運(yùn)用方法的體系�����。作為管理活動最終結(jié)果,包含方針���、原則�����、目標(biāo)���、方法、過程�、核查表等眾多要素。3.4建立信息安全管理體系的目的��。作為企業(yè)總管理體系的一個子體系����,目的是建立、實(shí)施�����、運(yùn)行���、監(jiān)視��、評審���、保持和改進(jìn)信息安全��。3.5信息安全管理體系涉及的要素���。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工����,確保信息安全工作組織與落實(shí)。3.5.2信息安全管理體系文件�。編制信息安全管理體系的方針、過程����、程序和其他必需的文件等。3.5.3資源��。提供體系運(yùn)轉(zhuǎn)所需的資金��、設(shè)備與人員等����。
4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用
在建立企業(yè)的信息安全管理體系之前,如果沒有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu)����,那么建立體系所需要的資源(資金、人員等)就無法得到保障����,企業(yè)的信息安全制度和策略也就無法貫徹落實(shí),企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用�����。因此��,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu)����,機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機(jī)構(gòu)�。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次,是本單位信息安全工作的最高管理機(jī)構(gòu)���。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé)����,對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批��,并為企業(yè)信息安全工作提供各類必要資源�����。4.2管理機(jī)構(gòu)��。處于安全組織機(jī)構(gòu)的第二個層次���,在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下���,主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作�����,此類工作大部分都由企業(yè)的信息化部門承擔(dān)��。4.3執(zhí)行機(jī)構(gòu)��。處于信息安全組織機(jī)構(gòu)的第三個層次,在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下����,負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù)��,通過具體技術(shù)手段落實(shí)安全策略��,消除安全風(fēng)險��,以及發(fā)生安全事件后的具體響應(yīng)和處理�,執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。
5信息安全管理體系的建立
ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中���,已明確了信息安全管理體系建立的10項(xiàng)強(qiáng)制性要求和步驟�。企業(yè)應(yīng)結(jié)合自身實(shí)際情況���,遵照這些內(nèi)容和步驟�,建立自己的信息安全管理體系�,并形成相應(yīng)的體系文件。5.1建立的步驟�����。(1)結(jié)合企業(yè)實(shí)際,明確體系邊界與范圍��,并編制體系范圍文件�����。(2)明確體系策略���,構(gòu)建目標(biāo)框架�、風(fēng)險評價的準(zhǔn)則等�,形成方針文件。(3)確定風(fēng)險評估方法�����。(4)識別信息安全風(fēng)險����,主要包括信息安全資產(chǎn)、責(zé)任����、威脅以及造成的后果等。(5)進(jìn)行安全風(fēng)險分析評價��,編制評估報告,確定信息安全資產(chǎn)保護(hù)清單�����。(6)明確安全保護(hù)措施���,編制風(fēng)險處理計劃。(7)制定工作目標(biāo)����、措施。(8)管理者審核���、批準(zhǔn)所有殘余風(fēng)險���。(9)經(jīng)管理層授權(quán)實(shí)施和運(yùn)行安全體系。(10)準(zhǔn)備適用性聲明���。以上步驟解釋不詳盡之處��,參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分�����。5.2信息安全管理體系涉及的文件�。文件作為體系的主要元素,必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致�,同時也要結(jié)合企業(yè)實(shí)際,確保員工遵照要求嚴(yán)格執(zhí)行��。而且也要符合企業(yè)的實(shí)際情況和信息安全需要�����。在實(shí)際工作中����,企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針��、程序與記錄三類����。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件���、網(wǎng)絡(luò)����、軟件、訪問控制等�����;程序類主要是指“過程文件”�����,涉及輸入�、處理與輸出三個環(huán)節(jié),結(jié)果常以“記錄”形式出現(xiàn)���;記錄類主要是記錄程序文件結(jié)果,常以是表格形式出現(xiàn)��。至于適用性聲明文件�����,企業(yè)應(yīng)結(jié)合自身情況�,參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A,有選擇性地作出聲明���,并形成聲明文件�。5.2.2體系必須具備的文件。主要包括方針����、風(fēng)險評估、處理���、文件控制�����、記錄控制�����、內(nèi)部審核���、糾正與預(yù)防、控制措施有效性測量���、管理評審與適用性聲明等�。5.2.3任意性文件����。企業(yè)可以針對自身業(yè)務(wù)��、管理與信息系統(tǒng)等情況�,制定自己獨(dú)有的信息方針�、程序類文件。5.2.4文件的符合性����。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實(shí)際要求�����,保證與企業(yè)其他體系文件協(xié)調(diào)一致���,避免沖突,同時在文字描述準(zhǔn)確且無二義��。
6體系實(shí)施與運(yùn)行
主要包括策略控制措施�����、過程和程序���,涉及制定和實(shí)施風(fēng)險處理計劃�����、選擇控制措施與驗(yàn)證有效性���、安全教育培訓(xùn)����、運(yùn)行管理����、資源管理以及安全事件應(yīng)急處理等。
7體系的監(jiān)視與評審
主要指對照策略����、目標(biāo)與實(shí)際運(yùn)行情況,監(jiān)控與評審運(yùn)行狀態(tài)���,主要涉及有效性評審����、控制措施測試驗(yàn)證�、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié)���,并根據(jù)評審結(jié)果編制與完善安全計劃���。
8體系的保持和改進(jìn)
主要是依據(jù)監(jiān)視與評審結(jié)果,有針對性地持續(xù)改進(jìn)���。主要包括改進(jìn)措施��、制定完善措施����、整改總結(jié)等�,同時需相關(guān)方進(jìn)行溝通,確保達(dá)到預(yù)計改進(jìn)標(biāo)準(zhǔn)�。
9結(jié)語
第6篇
關(guān)鍵詞:企業(yè)信息化;信息安全管理體系����;信息安全保障
1 企業(yè)信息安全需求與目標(biāo)
近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展���,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)���。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè)�,公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用��;從企業(yè)信息安全現(xiàn)狀分析�����,公司IT部門主管深深意識到�,盡管從自身情況來看,在信息安全方面已經(jīng)做了很多工作���,如部署了防火墻����、SSL VPN���、入侵檢測系統(tǒng)����、入侵防御系統(tǒng)��、防病毒系統(tǒng)�、文檔加密��、終端安全管理系統(tǒng)等���。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅,無法產(chǎn)生協(xié)同效應(yīng)����,距離國際同行業(yè)企業(yè)還存在一定的差距。
公司通過可行性研究及論證���,決定借助外力����,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn)���,以科研項(xiàng)目方式���,通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距����,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系���。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng)�,建立一個有責(zé)(職責(zé))�����、有序(秩序)�����、有效(效率)的信息安全管理體系����,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失����,提供客戶滿意度,獲取更多的管理支持����。在行業(yè)內(nèi)樹立標(biāo)桿和示范,提升企業(yè)形象�,贏取客戶信任,增強(qiáng)競爭力��。同時,使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)��。
2 企業(yè)信息安全管理體系建設(shè)過程
凡事預(yù)則立����,不預(yù)則廢。對于信息安全管理建設(shè)的工作也先由計劃開始��。信息安全管理體系建設(shè)分為四個階段:實(shí)施安全風(fēng)險評估��、規(guī)劃體系建設(shè)方案�、建立信息安全管理體系、體系運(yùn)行及改進(jìn)����。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全�����,確保信息安全的持續(xù)發(fā)展���。本文結(jié)合作者經(jīng)驗(yàn)�,重點(diǎn)論述上述幾個方面的內(nèi)容��。
2.1 確立范圍
首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分���。從機(jī)構(gòu)層次上,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個部門��,其包括總部�、事業(yè)部、制造本部����、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu)��,包括供應(yīng)商���、中間業(yè)務(wù)合作伙伴���、及其他合作伙伴等。
從系統(tǒng)層次上�,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施�。包括機(jī)房環(huán)境、門禁�����、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì)����,設(shè)備和軟件;服務(wù)器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器�、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)���、數(shù)據(jù)庫�、中間件和Web系統(tǒng)等軟件平臺系統(tǒng)��;應(yīng)用系統(tǒng):支撐業(yè)務(wù)��、辦公和管理應(yīng)用的應(yīng)用系統(tǒng)�����;數(shù)據(jù):整個信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù)����;安全管理:包括安全策略、規(guī)章制度、人員組織��、開發(fā)安全���、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)����、安全審計等�����。
2.2 安全風(fēng)險評估
企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問�、利用和篡改��,為企業(yè)員工提供安全���、可信的服務(wù)�����,保證信息系統(tǒng)的可用性���、完整性和保密性。
本次進(jìn)行的安全評估,主要包括兩方面的內(nèi)容:
2.2.1 企業(yè)安全管理類的評估
通過企業(yè)的安全控制現(xiàn)狀調(diào)查����、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對��,以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”�����,檢查企業(yè)在安全控制層面上存在的弱點(diǎn)����,從而為安全措施的選擇提供依據(jù)。
評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面�,包括信息安全策略、安全組織��、資產(chǎn)分類與控制��、人員安全�、物理和環(huán)境安全、通信和操作管理��、訪問控制���、系統(tǒng)開發(fā)與維護(hù)�����、安全事件管理�����、業(yè)務(wù)連續(xù)性管理�����、符合性�。
2.2.2 企業(yè)安全技術(shù)類評估
基于資產(chǎn)安全等級的分類�����,通過對信息設(shè)備進(jìn)行的安全掃描�、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備��、服務(wù)器系統(tǒng)�����、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)����,為安全加固提供依據(jù)。
針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估���。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法�����,在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅�、弱點(diǎn)進(jìn)行識別�,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)�����。
提到安全評估���,一定要有方法論����。我們以ISO27001為核心���,并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn)����,同時結(jié)合企業(yè)自身的特點(diǎn),建立風(fēng)險評估模型:
在風(fēng)險評估模型中�����,主要包含信息資產(chǎn)�、弱點(diǎn)、威脅和風(fēng)險四個要素���。每個要素有各自的屬性����,信息資產(chǎn)的屬性是資產(chǎn)價值���,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度�����,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度����,風(fēng)險的屬性是風(fēng)險級別的高低�。風(fēng)險評估采用定性的風(fēng)險評估方法��,通過分級別的方式進(jìn)行賦值�����。
2.3 規(guī)劃體系建設(shè)方案
企業(yè)信息安全問題根源分布在技術(shù)���、人員和管理等多個層面���,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施�,才能確保信息安全。
規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上���,對企業(yè)中存在的安全風(fēng)險提出安全建議��,增強(qiáng)系統(tǒng)的安全性和抗攻擊性�。
在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施���,建立安全組織����,技術(shù)上進(jìn)行安全審計、內(nèi)外網(wǎng)隔離的改造�����、安全產(chǎn)品的部署����,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)��,通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè)�����,將企業(yè)建設(shè)成為一個注重管理�,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)��。
2.4 企業(yè)信息安全體系建設(shè)
企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上����,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)���、保護(hù)(Protect)�����、檢測(Detect)����、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack)����,體系應(yīng)該兼顧攘外和安內(nèi)的功能。
安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善�;二是涉及到信息安全技術(shù)。首先�����,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針��、安全技術(shù)策略和安全管理策略等���。安全總體方針涉及安全組織機(jī)構(gòu)�、安全管理制度�����、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度�����。安全技術(shù)策略涉及信息域的劃分��、業(yè)務(wù)應(yīng)用的安全等級����、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理��、系統(tǒng)分級�����、網(wǎng)絡(luò)互聯(lián)���、容災(zāi)備份����、集中監(jiān)控等方面的要求。
其次��,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)�、網(wǎng)絡(luò)安全技術(shù)�、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù)�����,以及安全基礎(chǔ)設(shè)施平臺����;同時按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)�。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術(shù)包括:
2.5 體系運(yùn)行及改進(jìn)
信息安全管理體系文件編制完成以后�����,由公司企劃部門組織按照文件的控制要求進(jìn)行審核�����。結(jié)合公司實(shí)際���,在體系文件編制階段����,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系,如質(zhì)量��、環(huán)境保護(hù)等體系文件�,改歸并的歸并。該修訂審核的再繼續(xù)修訂審核�����。最終歷經(jīng)幾個月的努力�,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此�,信息安全管理體系將進(jìn)入運(yùn)行階段。
有人說����,信息系統(tǒng)的成功靠的是“三分技術(shù),七分管理�,十二分執(zhí)行”?��!皥?zhí)行”是要需要在實(shí)踐中去體會��、總結(jié)與提高����。對于信息系統(tǒng)安全管理體系建設(shè)更是如此!在此期間��,以IT部門牽頭�����,加強(qiáng)宣傳力度�,組織了若干次不同層面的宣導(dǎo)培訓(xùn)��,充分發(fā)揮體系本身的各項(xiàng)功能��,及時發(fā)現(xiàn)存在的問題����,找出問題根源,采取糾正措施����,并按照更改控制程序要求對體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的�。
3 總結(jié)
總結(jié)項(xiàng)目�,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)�����。當(dāng)然�,體系建設(shè)過程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定�����,員工的認(rèn)知及接受程度還有待提高�,體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度�����、審核效果存在差距等等����。最終,在公司各部門的共同努力下�,體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委(CNAS)的雙重檢驗(yàn),并通過嚴(yán)格的體系審核����。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn)���,提升公司信息安全管理的水平,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐���。
[參考文獻(xiàn)]
[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社����,2003.7.
第7篇
關(guān)鍵詞:醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)�����;網(wǎng)絡(luò)安全�;管理體系
由于信息化技術(shù)的日益發(fā)展���,很多醫(yī)療信息系統(tǒng)都在發(fā)展過程中進(jìn)行了優(yōu)化����,大大推動了醫(yī)療診斷技術(shù)水平的提升���,使診斷工作更為精細(xì)化���,有效提升了員工績效水平和醫(yī)療工作的整體品質(zhì)�����。與此同時�����,其復(fù)雜性也在日益提高����,使得醫(yī)院安全問題凸顯�����,同時面臨多種惡意軟件入侵�����,對醫(yī)院網(wǎng)絡(luò)產(chǎn)生了重大的負(fù)面影響��。因此����,在技術(shù)水平達(dá)標(biāo)的同時,還需要人工操作來確保網(wǎng)絡(luò)的安全�����。2018年4月,國務(wù)院印發(fā)《國務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》��,提出各類醫(yī)療機(jī)構(gòu)今年要逐步完善和繼續(xù)完善“互聯(lián)網(wǎng)醫(yī)療衛(wèi)生體系”���,發(fā)展在線醫(yī)療�����,提高醫(yī)院管理水平�����。通過《國務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》宣告了“互聯(lián)網(wǎng)醫(yī)療健康”安全時代的正式到來。以國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護(hù)工程為指導(dǎo)���,遵循“一個中心�����、三個防護(hù)”防護(hù)工程的基本理念�����,從安全信息管理服務(wù)中心體系建設(shè)工作開始�����,并初步構(gòu)建了醫(yī)院網(wǎng)絡(luò)安全三級防護(hù)管理體系�,以有效迎接新網(wǎng)絡(luò)時代的安全管理挑戰(zhàn),確?!盎ヂ?lián)網(wǎng)健康”,醫(yī)院安全信息化體系建設(shè)穩(wěn)步健康有序發(fā)展�����。
1醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)的重要原因探析
患者只需在線注冊�、就診、付款�����、入住和離開醫(yī)院即可完成醫(yī)療流程����。此外,信息化體系建設(shè)還可以有效提高醫(yī)務(wù)人員的日常工作效率����,降低醫(yī)務(wù)人員的勞動強(qiáng)度�,為患者及時提供便捷高質(zhì)量的基本醫(yī)療健康服務(wù)���。從各級醫(yī)院的財務(wù)角度看�,醫(yī)院財務(wù)信息化體系建設(shè)不僅可以有效提高各級醫(yī)院財務(wù)管理水平�����,密切各直屬科室之間的協(xié)作關(guān)系��,為加強(qiáng)醫(yī)院醫(yī)務(wù)檔案管理進(jìn)行信息化���、財務(wù)管理和物資管理工作創(chuàng)造條件��,降低醫(yī)院的商業(yè)保險和運(yùn)營成本����,提高醫(yī)院的整體效益��。網(wǎng)絡(luò)安全管理體系主要是廣泛指負(fù)責(zé)管理網(wǎng)絡(luò)系統(tǒng)安全管理策略�、安全動態(tài)計算網(wǎng)絡(luò)環(huán)境����、安全網(wǎng)絡(luò)區(qū)域活動限制和安全網(wǎng)絡(luò)通信等網(wǎng)絡(luò)安全防護(hù)機(jī)制的管理平臺或服務(wù)區(qū)域�����。過去�,醫(yī)院率先采取了“被動防御”安全戰(zhàn)略�����,并針對安全網(wǎng)絡(luò)威脅不斷采取了安全防護(hù)控制措施�����,缺乏安全統(tǒng)一規(guī)劃和安全集中管理�。安全信息資源綜合使用管理效率低,對安全威脅的監(jiān)測反應(yīng)慢����,難以建立形成有效的安全威脅防護(hù)管理體系。隨著我國醫(yī)院安全信息化體系建設(shè)的不斷發(fā)展��,各種新信息技術(shù)的不斷推廣和醫(yī)院互聯(lián)網(wǎng)服務(wù)的不斷普及�,醫(yī)院必然需要自主開發(fā)一套能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)健康管理時代的網(wǎng)絡(luò)安全管理系統(tǒng)。
2醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)遇到的問題
2.1缺乏統(tǒng)一標(biāo)準(zhǔn)和依據(jù)
醫(yī)院信息化建設(shè)具有高度的系統(tǒng)性和復(fù)雜性����,需要各部門密切配合����,對醫(yī)院進(jìn)行統(tǒng)一規(guī)劃����,明確每一步的建設(shè)目標(biāo)。但是�,從醫(yī)院信息化建設(shè)的現(xiàn)狀來看,對醫(yī)院的實(shí)際發(fā)展缺乏重視�����,在投入之前沒有充分考慮到醫(yī)院的長遠(yuǎn)發(fā)展目標(biāo)�。另外,信息化建設(shè)沒有統(tǒng)一的規(guī)則�����,影響了信息化建設(shè)的工作�,對新項(xiàng)目的實(shí)施也有一定的影響,造成了資源的浪費(fèi)���。
2.2網(wǎng)絡(luò)安全性較低
醫(yī)院的網(wǎng)絡(luò)安全的問題往往是高度復(fù)雜動態(tài)的,將對醫(yī)院領(lǐng)導(dǎo)和安全系統(tǒng)運(yùn)營人員產(chǎn)生重要直接影響。此外��,還有一些新型網(wǎng)絡(luò)安全病毒和一些黑客在網(wǎng)絡(luò)安全應(yīng)用方面的潛在問題�。雖然很多大型醫(yī)院都已經(jīng)采取了一些相應(yīng)的技術(shù)措施手段來徹底解決這些安全問題,但由于醫(yī)療軟件技術(shù)能力較差����、技術(shù)水平不過關(guān)等因素,并沒有有效地解決這些網(wǎng)絡(luò)安全上的問題�����。
3網(wǎng)絡(luò)安全管理體系建設(shè)原則
從醫(yī)院建設(shè)安全網(wǎng)絡(luò)管理信息中心的總體目標(biāo)要求出發(fā)�,在國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護(hù)的技術(shù)指導(dǎo)下,結(jié)合自身醫(yī)院網(wǎng)絡(luò)安全管理工作實(shí)踐經(jīng)驗(yàn)����,醫(yī)院首先明確了以下網(wǎng)絡(luò)安全管理原則:①安全管理與網(wǎng)絡(luò)技術(shù)支持并重,同時合理規(guī)劃醫(yī)院建設(shè)安全管理體系和網(wǎng)絡(luò)技術(shù)支持能力��,用安全管理體系建設(shè)指導(dǎo)網(wǎng)絡(luò)技術(shù)支持能力體系建設(shè)�,用網(wǎng)絡(luò)技術(shù)支持能力建設(shè)確保安全管理體系的有效實(shí)施。②集中控制安全能力和分散安全管理權(quán)限�����,整合安全人力資源,提高安全管理效率�����,注重員工建立準(zhǔn)確識別和有效消除快速安全網(wǎng)絡(luò)威脅的管理能力����;通過集中的人力資源綜合管理和權(quán)力控制,分散對上級行政部門權(quán)力的管理限制�,以及通過依靠集中審計行政能力控制來有效降低醫(yī)院員工違法越權(quán)的安全風(fēng)險?��;谏鲜霭踩瓌t�����,醫(yī)院已已經(jīng)開始對公司現(xiàn)有的醫(yī)院網(wǎng)絡(luò)安全保障管理能力系統(tǒng)和網(wǎng)絡(luò)技術(shù)支持管理能力體系進(jìn)行不斷改造和升級完善����。
4網(wǎng)絡(luò)安全管理體系建設(shè)標(biāo)準(zhǔn)
建立安全管理中心的前提是醫(yī)院應(yīng)有一套合法��、兼容���、可行的安全管理體系��。通過驗(yàn)證基本2.0級防護(hù)要求�����,結(jié)合醫(yī)院自身的安全管理經(jīng)驗(yàn)��,并將實(shí)施能力作為重要標(biāo)準(zhǔn)考慮在內(nèi)�,建立2.0級安全管理體系框架��,以確保管理體系的管理方向和可行性����。為便于實(shí)施,醫(yī)院將管理體系文件分為4個層次��。一級安全文件根據(jù)有關(guān)國家安全法律法規(guī)����、相關(guān)安全行業(yè)政策法規(guī)和公立醫(yī)院安全管理要求,確定醫(yī)院總體上的網(wǎng)絡(luò)安全保障政策和發(fā)展策略���,在此基礎(chǔ)上研究構(gòu)建公立醫(yī)院第三級安全網(wǎng)絡(luò)管理體系���,定義全球安全要求���,并在安保管理、人員管理��、資產(chǎn)管理��、安保大樓管理和維護(hù)以及應(yīng)急支持管理的組織中建立安全標(biāo)準(zhǔn)���。輔助文檔中的信息總量�,更新和調(diào)整物理安全要求����、政策和政策,以應(yīng)用于特定領(lǐng)域�����。二級安全操作和維護(hù)系統(tǒng)�����,規(guī)定了適用于文件安全系統(tǒng)維護(hù)和維護(hù)管理第一級操作和操作的安全要求�,并規(guī)定了操作和禁止規(guī)則。三級規(guī)范文件要求是具體的企業(yè)工作人員操作管理規(guī)范���,以便于確保操作人員的實(shí)際操作管理效果能夠滿足您的預(yù)期���,并減少故障和其他行為造成的潛在安全風(fēng)險�。例如���,確定您的服務(wù)器安全技術(shù)增強(qiáng)(windowsserversecuritymanual)的項(xiàng)目操作步驟和項(xiàng)目實(shí)施經(jīng)驗(yàn)效果,并及時制定技術(shù)要求以便于確保您的服務(wù)器安全滿足特定項(xiàng)目安全要求�����,并制定安全增強(qiáng)管理體系安全增強(qiáng)基礎(chǔ)的各項(xiàng)相關(guān)技術(shù)要求��。四級文件是用于數(shù)據(jù)篩選�、跟蹤和分析的安全操作管理記錄,為了減少操作和維護(hù)人員的工作量��,提高時尚管理的效率�,節(jié)省紙張,醫(yī)院開始嘗試非常規(guī)檢查表�。四層文件管理體系四級文件管理體系有效提高了人民醫(yī)院安全生產(chǎn)管理體系的工作靈活性和市場適應(yīng)性:第一層體系決定了整體網(wǎng)絡(luò)安全政策和策略以及其他體系制定的方向。二級管理體系手冊側(cè)重于對個別具體管理問題的有效管理��,根據(jù)實(shí)際需要進(jìn)行制定���,具有較強(qiáng)的基本相關(guān)性和實(shí)際適用性�����,確保一級管理體系的基本靈活性和實(shí)際適應(yīng)性�;第三方操作手冊特別注重管理細(xì)節(jié)和長期實(shí)施,可根據(jù)長期實(shí)施管理效果反復(fù)迭替換代���,這些都是我們確保一級管理體系長期實(shí)施管理效果的最終重要目的�����;四級注冊表格針對醫(yī)院在建立管理體系時��,特別注重對人員安全風(fēng)險的管理和控制���,建立持續(xù)改進(jìn)管理體系的能力。成立了“網(wǎng)絡(luò)和信息安全委員會”��,作為主要決策機(jī)構(gòu)����。根據(jù)網(wǎng)絡(luò)標(biāo)準(zhǔn)2.0要求,管理員職位分為3個職能:系統(tǒng)管理員、審核管理員和安全管理員���。醫(yī)院和外部員工通過一系列系統(tǒng)文件進(jìn)行標(biāo)準(zhǔn)化��。合同檢查員工的安全日常行為�,并初步確定合同員工的安全和財產(chǎn)保密管理責(zé)任�;同時提出關(guān)于修訂企業(yè)管理體系目標(biāo)評審和上層建筑管理要求的具體要求,建立促進(jìn)管理體系建設(shè)持續(xù)完善改進(jìn)的長效機(jī)制��,確保穩(wěn)定性��,實(shí)施安全管理體系的靈活性和能力���,并明確各級修訂和審查體系文件的要求。
5網(wǎng)絡(luò)安全技術(shù)能力建設(shè)
在安全維護(hù)管理體系中心建設(shè)的基礎(chǔ)上�,醫(yī)院已經(jīng)開始研究建設(shè)安全技術(shù)管理能力,以便于滿足安全維護(hù)管理系統(tǒng)中心的要求��。醫(yī)院作為一個安全系統(tǒng)管理區(qū)域��,安全維護(hù)管理系統(tǒng)中心負(fù)責(zé)系統(tǒng)的安全管理操作����、維護(hù)和監(jiān)督管理。因此,建立安全維護(hù)管理體系中心的主要目標(biāo)是建立一個完全具有高度完善集中控制管理能力的安全維護(hù)管理域��。安全維護(hù)管理區(qū)域主應(yīng)負(fù)責(zé)執(zhí)行包括收集和管理綜合安全管理數(shù)據(jù)����、運(yùn)行安全設(shè)備以及安全維護(hù)和監(jiān)督管理整個醫(yī)院網(wǎng)絡(luò)的安全任務(wù),為整個醫(yī)院網(wǎng)絡(luò)過程提供必要的醫(yī)院網(wǎng)絡(luò)安全基礎(chǔ)硬件設(shè)施和安全維護(hù)服務(wù)����,以及足夠的自我保護(hù)能力,以確保自身在網(wǎng)絡(luò)中的安全����,避免對重要的安全、審計和管理服務(wù)造成損害�����。由于原有醫(yī)院網(wǎng)管區(qū)域具有一定的集中控制能力���,醫(yī)院在現(xiàn)有網(wǎng)管區(qū)域的基礎(chǔ)上�����,采用以下方式完成安全管理建設(shè)技術(shù)能力����。
5.1終端網(wǎng)絡(luò)保護(hù)
前端計算機(jī)通信系統(tǒng)的網(wǎng)絡(luò)終端擔(dān)保是整個網(wǎng)絡(luò)敏感區(qū)域的一個核心。其終端主要是連接內(nèi)聯(lián)網(wǎng)和連接外聯(lián)網(wǎng)之間的網(wǎng)絡(luò)連接�,負(fù)責(zé)從敏感區(qū)的核心節(jié)點(diǎn)發(fā)送數(shù)據(jù),僅易受攻擊���。因此���,通常可以為每個主機(jī)66學(xué)術(shù)論壇/AcademicForum系統(tǒng)部署一個安全網(wǎng)絡(luò)管理文件系統(tǒng)�。為了提高主機(jī)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全級別?�?梢詮母旧蠈碜跃W(wǎng)絡(luò)連接終端的安全攻擊進(jìn)行免疫�,并在它們已經(jīng)進(jìn)入安全下一階段之前預(yù)先阻止。
5.2區(qū)域網(wǎng)絡(luò)運(yùn)維安全設(shè)計
(1)建立檢測網(wǎng)絡(luò)安全漏洞的系統(tǒng)���。通過自動部署互聯(lián)網(wǎng)絡(luò)檢測安全漏洞,檢測中心系統(tǒng)人員可以24h時間掃描和自動檢測指定區(qū)域內(nèi)的互聯(lián)網(wǎng)��。對系統(tǒng)性能進(jìn)行安全特性評估��,實(shí)現(xiàn)技術(shù)�、管理、安全防護(hù)的有效集成。為全球用戶同時使用各種區(qū)域性的網(wǎng)絡(luò)服務(wù)降低安全風(fēng)險���,并提供強(qiáng)有力的網(wǎng)絡(luò)技術(shù)支持���。(2)創(chuàng)建審核和運(yùn)維系統(tǒng)。通過對網(wǎng)絡(luò)安全管理設(shè)備����、網(wǎng)絡(luò)安全管理設(shè)備、應(yīng)用管理系統(tǒng)�、安全事件等網(wǎng)絡(luò)日志相關(guān)信息數(shù)據(jù)進(jìn)行全面的網(wǎng)絡(luò)日志相關(guān)信息分析收集和日志相關(guān)性信息分析,管理者不僅可以通過搜索和實(shí)時分析日常網(wǎng)絡(luò)使用中的記錄��,正確維護(hù)日志數(shù)據(jù)����,定義日志審核設(shè)備,方便員工隨時查看�����,并隨時跨平臺監(jiān)控整個數(shù)據(jù)中心的安全狀態(tài)�����。(3)建立完整的微觀分析和深度流量跟蹤系統(tǒng)。通過自動建立完整的用戶微觀數(shù)據(jù)分析和用戶深度風(fēng)險流量檢測跟蹤分析系統(tǒng)�,可以實(shí)時部署專門的高標(biāo)準(zhǔn)風(fēng)險流量檢測分析平臺,準(zhǔn)確快速收集用戶流量��,進(jìn)行深度恢復(fù)和全面分析����。為了在大量會話流量中快速發(fā)現(xiàn)這些隱藏的整個會話進(jìn)程行為,挖掘這些可能使其隱藏的潛在危險�����,提供會話進(jìn)程的所有數(shù)據(jù)審計處理能力��,并不斷提高其進(jìn)程追蹤和對攻擊源的預(yù)測能力�。
5.3整合現(xiàn)有安全資源
醫(yī)院將在保障自身安全和區(qū)域安全管理的基礎(chǔ)上,轉(zhuǎn)移現(xiàn)有的保障功能����,包括資源,非病毒系統(tǒng)���、維持和平行動管理系統(tǒng)和安全系統(tǒng)納入安全管理領(lǐng)域。此外�����,通過研究在服務(wù)區(qū)內(nèi)設(shè)立專用安全通道和具體的基礎(chǔ)設(shè)施安全設(shè)施,優(yōu)化全市安全設(shè)施功能整合����,注重安全設(shè)施綜合利用,減少不必要的安全設(shè)備�,提高安全設(shè)備維護(hù)和安全系統(tǒng)運(yùn)行效率,完成對全市現(xiàn)有安全防護(hù)體系的綜合優(yōu)化�。
5.4優(yōu)化集中控制
在完善現(xiàn)行安全監(jiān)管制度的基礎(chǔ)上,該院先后研發(fā)了航站樓和門診部的安全監(jiān)控和安全管理系統(tǒng)�,為彌補(bǔ)醫(yī)院現(xiàn)有綜合門診終端保障體系的不足,對醫(yī)院基礎(chǔ)設(shè)施進(jìn)行集中控制和建設(shè)�����,以及醫(yī)院管理系統(tǒng)的現(xiàn)有背景操作和系統(tǒng)維護(hù)���,抗病毒防御系統(tǒng)與醫(yī)院客戶犯罪風(fēng)險檢查系統(tǒng)密切配合�����。因此����,集中審計和宣傳系統(tǒng)完成了建立集中管理和維護(hù)系統(tǒng)進(jìn)行審計和宣傳的任務(wù)。預(yù)防和控制覆蓋整個醫(yī)院網(wǎng)絡(luò)的信息資源���。
6醫(yī)院構(gòu)建網(wǎng)絡(luò)安全管理體系
為有效適應(yīng)未來最嚴(yán)峻的網(wǎng)絡(luò)安全發(fā)展形勢�����,醫(yī)院還對各級應(yīng)急保障體系進(jìn)行了修訂����。新的應(yīng)急支持系統(tǒng)由兩部分組成:綜合計劃和專項(xiàng)計劃�����?���?傮w實(shí)施計劃詳細(xì)規(guī)定了醫(yī)院應(yīng)急救援支持的主要組織職能結(jié)構(gòu),確定了醫(yī)院事件預(yù)警分類管理標(biāo)準(zhǔn)�,并詳細(xì)規(guī)定了事件預(yù)警和應(yīng)急響應(yīng)工作程序、物資供應(yīng)支持���、培訓(xùn)和其他一般工作規(guī)定:為特定類型的緊急情況和醫(yī)院系統(tǒng)的關(guān)鍵系統(tǒng)制定詳細(xì)的應(yīng)急和應(yīng)急方案服務(wù)按照“目標(biāo)選擇����、非目標(biāo)選擇��、綜合規(guī)劃”的醫(yī)院應(yīng)急救援管理機(jī)制可以確保��,使醫(yī)院應(yīng)急系統(tǒng)人員在統(tǒng)一系統(tǒng)的技術(shù)指導(dǎo)下����,能夠有效應(yīng)對網(wǎng)絡(luò)上的各種突發(fā)事件。以安全網(wǎng)絡(luò)管理中心為工作起點(diǎn)��,對信息網(wǎng)絡(luò)保護(hù)系統(tǒng)進(jìn)行了升級��,提高了風(fēng)險信息的準(zhǔn)確性���,與公立醫(yī)院安全信息網(wǎng)絡(luò)資源管理�����、網(wǎng)絡(luò)資源安全風(fēng)險管理及威脅有關(guān)��,建立安全網(wǎng)絡(luò)��。然后����,在發(fā)展安全管理能力的基礎(chǔ)上,圍繞“響應(yīng)性”完善安全運(yùn)行體系建設(shè)���,提高響應(yīng)速度和應(yīng)對網(wǎng)絡(luò)安全威脅的能力��。在技術(shù)上�����,嘗試將連接機(jī)制引入安全體系�����,開發(fā)建設(shè)“主動防護(hù)���、動態(tài)防護(hù)、全局防護(hù)�、精確防護(hù)”的網(wǎng)絡(luò)安全防護(hù)體系,緊跟醫(yī)院信息“醫(yī)療衛(wèi)生互聯(lián)網(wǎng)”建設(shè)步伐在網(wǎng)絡(luò)時代����,促進(jìn)了醫(yī)院網(wǎng)絡(luò)安全建設(shè)的發(fā)展。
參考文獻(xiàn):
[1]胡列倫,李倩.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)研究[J].中國寬帶,2021(07):31.
[2]龔克.分析醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)方案設(shè)計[J].數(shù)碼設(shè)計(上),2021,10(06):18.
[3]詹振坤.醫(yī)院信息化建設(shè)中計算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)工作思考[J].無線互聯(lián)科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫(yī)院網(wǎng)絡(luò)安全信息化的建設(shè)路徑探索[J].大眾標(biāo)準(zhǔn)化,2021(11):182-184.
[5]廖文韜.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全體系建構(gòu)[J].電腦編程技巧與維護(hù),2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現(xiàn)代醫(yī)院管理制度下的醫(yī)院信息化建設(shè)推進(jìn)機(jī)制探討[J].現(xiàn)代醫(yī)院,2018,18(03):368-371.
[7]姜濤.寧夏醫(yī)科大學(xué)總醫(yī)院醫(yī)院集團(tuán)信息化建設(shè)優(yōu)化[D].銀川:寧夏大學(xué),2014.
[8]謝言.國家扶貧開發(fā)工作重點(diǎn)縣中醫(yī)醫(yī)院信息化建設(shè)現(xiàn)狀調(diào)查及影響因素分析[D].武漢:湖北中醫(yī)藥大學(xué),2013.
[9]張宇.醫(yī)院信息化建設(shè)改革實(shí)證研究[D].南昌:南昌大學(xué),2012.
