中文久久久字幕|亚洲精品成人 在线|视频精品5区|韩国国产一区

歡迎來到優(yōu)發(fā)表網(wǎng),期刊支持:400-888-9411 訂閱咨詢:400-888-1571股權(quán)代碼(211862)

購物車(0)

期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

安全管理體系建設(shè)范文

時間:2023-05-31 15:07:48

序論:在您撰寫安全管理體系建設(shè)時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

安全管理體系建設(shè)

第1篇

(一)注重相關(guān)組織與責(zé)任體系建設(shè)1.逐步建立了嚴(yán)密而明確的組織體系。美國煤礦安全生產(chǎn)的組織體系框架大體上包括政府和煤礦企業(yè)兩部分,主要表現(xiàn)為政府監(jiān)督監(jiān)察機(jī)構(gòu)體系、煤礦企業(yè)內(nèi)部的組織分工職責(zé)體系。首先,在“執(zhí)法”領(lǐng)域,美國煤礦安全生產(chǎn)監(jiān)督機(jī)構(gòu)強(qiáng)調(diào)其獨(dú)立性,并在機(jī)制上防止檢查人員與礦主、地方政府形成共同利益同盟。1910年美國在內(nèi)政部下設(shè)立礦業(yè)局,但調(diào)查人員缺乏執(zhí)法權(quán)力。1977年,美國對《礦山安全和衛(wèi)生法》進(jìn)行重大修訂,建立了獨(dú)立的安全監(jiān)察部門———礦山安全和衛(wèi)生署,由勞工部助理部長任局長,對所有礦業(yè)生產(chǎn)進(jìn)行全面和嚴(yán)格的監(jiān)察。監(jiān)督局下設(shè)11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處,由國會與立法事務(wù)辦公室和信息與公共事務(wù)辦公室這兩大事務(wù)辦公室領(lǐng)導(dǎo)和協(xié)調(diào)部署工作,繼而細(xì)分為煤礦安全與健康監(jiān)察司和金屬與非金屬礦安全與健康監(jiān)察司這兩個職能部門繼續(xù)統(tǒng)籌和分配相應(yīng)工作。在煤礦安全與健康監(jiān)察司的組織機(jī)構(gòu)劃分下,美國設(shè)置的11個地區(qū)的事故調(diào)查由副司長負(fù)責(zé),主管地區(qū)的監(jiān)察業(yè)務(wù)。其次,在煤礦生產(chǎn)企業(yè)內(nèi)部也有十分明確的組織管理體系。煤礦企業(yè)的管理機(jī)構(gòu)設(shè)置一般為垂直管理結(jié)構(gòu),具有指揮與命令統(tǒng)一、控制及時、工作效率高等特點(diǎn)。組織管理體系在總體上劃分為礦長、副礦長、礦井辦事員、礦井總領(lǐng)班四個主要層級,在副礦長之下設(shè)置了各個職能部門的主管:維修主管、采煤總工程師、主任會計師等,專門領(lǐng)導(dǎo)和協(xié)調(diào)該部門下的作業(yè)活動。采煤一線的管理人員是采煤班組的領(lǐng)班,是該班組的關(guān)鍵人物,領(lǐng)班必須對他所在的班組的工作、人員培養(yǎng)、安全和行為負(fù)責(zé)。2.建立了以礦主為中心的追責(zé)體系。在美國,煤礦安全事故一般不追究政府的責(zé)任,因?yàn)榈胤秸回?fù)責(zé)直接生產(chǎn),主要是追究礦主的責(zé)任。各級政府的職能部門只是依據(jù)有關(guān)法律對企業(yè)進(jìn)行監(jiān)督監(jiān)管,煤礦安全監(jiān)察員與煤礦沒有任何隸屬關(guān)系。1913年成立的勞工部,安全生產(chǎn)管理是其主要職責(zé)之一。換言之,美國煤礦安全生產(chǎn)責(zé)任體系中,政府只是監(jiān)察監(jiān)督的作用,而真正應(yīng)該為安全事故“買單”的是煤炭企業(yè)。例如每個煤礦要與兩個以上的救護(hù)隊簽訂救護(hù)協(xié)議,煤礦發(fā)生事故由礦主組織搶救,必要時也可向當(dāng)?shù)鼐烨缶?。一旦發(fā)生煤礦安全生產(chǎn)事故,美國煤礦企業(yè)需承擔(dān)責(zé)任。美國煤礦安全部門執(zhí)法非常嚴(yán)格,礦主也必須遵守煤礦安全管理法律,嚴(yán)格按照安全操作規(guī)程辦事,從而確保了煤礦生產(chǎn)安全。美國煤礦安全部門對唯利是圖、違反規(guī)定生產(chǎn)的礦主懲罰嚴(yán)厲。針對不會導(dǎo)致重大人員傷亡的一般性違反規(guī)定行為,政府督察員每次每項(xiàng)罰款可達(dá)5.5萬美元。曾經(jīng)違反規(guī)定并承諾改正、但不守信用的礦主則將被加重處罰,可能引起傷亡事故和危害礦工健康的嚴(yán)重違規(guī)行為將被追究刑事責(zé)任。

(二)重視事故災(zāi)難的預(yù)防與應(yīng)急教育據(jù)美國勞工部發(fā)表的各行業(yè)事故統(tǒng)計數(shù)字,美國的煤礦業(yè)已成為相當(dāng)安全的行業(yè),煤礦事故率低于金屬、建筑、運(yùn)輸?shù)?0多個行業(yè)。美國煤礦行業(yè)由最初的高死亡率到0.03%的低死亡率,其中一個重要的原因是新技術(shù)的推廣、《礦業(yè)安全和衛(wèi)生法》以及相關(guān)配套規(guī)章的實(shí)施,同時,重視煤礦安全培訓(xùn)是美國實(shí)現(xiàn)安全生產(chǎn)的重要環(huán)節(jié)。美國20世紀(jì)70年代前后的事故調(diào)查報告和安全檢查手冊顯示,美國煤礦85%的事故是因“工作人員的不安全行為”所致,僅15%的事故產(chǎn)生于不安全的設(shè)備和環(huán)境。所以,對煤礦人員的安全培訓(xùn)具有極其重要的作用。美國煤礦安全應(yīng)急教育與預(yù)防主要有以下幾個方面:1.注重對煤礦工作人員的崗前培訓(xùn),提高管理實(shí)效?!堵?lián)邦礦山安全與健康法》第115節(jié)明確規(guī)定,新礦工沒有地下采礦經(jīng)驗(yàn)應(yīng)接受不少于40小時的培訓(xùn),新礦工沒有地表采礦經(jīng)驗(yàn)應(yīng)接受不少于24小時的訓(xùn)練,每年所有礦工應(yīng)不止一次地接受不少于8小時的學(xué)習(xí)培訓(xùn)。這樣,用可操作性的法律來提高工作人員操作行為的安全性,增強(qiáng)工作人員的憂患意識。在美國,所有礦工在上崗之前要接受培訓(xùn),上崗后,每年還要接受再培訓(xùn)。如果發(fā)現(xiàn)礦工未按要求受到安全培訓(xùn),勞工部部長或授權(quán)代表必須簽發(fā)命令,要求該礦工立即撤出煤礦,直到接受法律規(guī)定的培訓(xùn)為止。美國所有煤礦都必須制訂礦工培訓(xùn)計劃,安排必要的培訓(xùn)內(nèi)容并保存培訓(xùn)資格證明。煤礦工作人員不光是指礦工,還包括煤礦經(jīng)營者和管理者。礦山安全監(jiān)察員必須具有5年以上實(shí)際采礦經(jīng)驗(yàn),并要在國家礦山健康與安全學(xué)院接受培訓(xùn)。根據(jù)安全監(jiān)察員的水平和需要,分別對其進(jìn)行初級培訓(xùn)(基礎(chǔ)知識和技能培訓(xùn))、高級培訓(xùn)(提高業(yè)務(wù)水平,精通相關(guān)技術(shù))和定期培訓(xùn)?!鞍踩c生產(chǎn)并非矛盾”已經(jīng)成為美國的行業(yè)目標(biāo),這對美國提高煤礦安全水平至關(guān)重要。在這個目標(biāo)的引導(dǎo)下,美國的煤礦企業(yè)和礦工工會都十分重視工人的安全技術(shù)培訓(xùn)。對于接受脫產(chǎn)培訓(xùn)的礦工,給予其與在崗日標(biāo)準(zhǔn)工資相等的培訓(xùn)期工資。此外,煤礦企業(yè)還與工會聯(lián)合成立了煤礦工人培訓(xùn)教育基金,由礦方按照全礦職工實(shí)際工作每工時0.08美元的標(biāo)準(zhǔn)提取資金;該基金每年籌資約2000萬美元,用于資助礦工接受繼續(xù)教育和培訓(xùn)進(jìn)修。為了進(jìn)一步普及安全培訓(xùn),礦山安全與健康管理局(MSHA)還啟動了一項(xiàng)新的教育方案———現(xiàn)場培訓(xùn)服務(wù),旨在通過充分利用各種資源,幫助各地區(qū)的礦山實(shí)施安全與健康計劃,達(dá)到預(yù)防安全事故的目的?,F(xiàn)場培訓(xùn)服務(wù)的內(nèi)容主要是為礦山提供培訓(xùn)資料,幫助制定和實(shí)施安全方案,編輯教育材料,幫助各礦山制定適宜的培訓(xùn)計劃以滿足其特殊需求,等等?,F(xiàn)場培訓(xùn)服務(wù)承擔(dān)更多的是信息、咨詢、指導(dǎo)等服務(wù)功能。2.預(yù)防第一,建設(shè)井下緊急避險設(shè)施。2008年12月31日,MSHA《地下煤礦避難所(救生艙)最終規(guī)定》要求礦山經(jīng)營者將井下避難所納入應(yīng)急反應(yīng)方案(ERP)。2009年12月前所有煤礦井下必須建設(shè)避難所,保證所有人員在井下均有避險位置,并對避險設(shè)施的設(shè)置、功能和維修管理作出具體規(guī)定,額定防護(hù)時間提高到96小時。美國在2007年12月煤礦井下已經(jīng)開始使用避難所(救生艙)。美國煤礦井下的緊急避險設(shè)施主要有救生艙和避難硐室。救生艙一般為艙體式結(jié)構(gòu),配備必要的設(shè)備設(shè)施和食物,既可固定設(shè)置,也可隨采掘工程而移動。有鋼結(jié)構(gòu)硬體式和可充氣軟體式。硬體式救生艙可容納6~24人,具備過渡艙,配備氣動呼吸空氣系統(tǒng)。軟體式救生艙容量10~36人,在3~5分鐘內(nèi)起動充氣,軟體材料具備阻燃、隔熱、抗靜電、高強(qiáng)度等特性。避難硐室在礦井巷道兩側(cè)地層中直接挖掘或利用已有巷道建造而成,布置在主巷或逃生路線上,配備維持人員生存所必需的相關(guān)設(shè)備設(shè)施和食物等。救生艙至少為每人提供1.4平方米的地面空間和0.85~1.70立方米的立體空間;設(shè)置供氧、內(nèi)外環(huán)境監(jiān)測、廢氣清除等系統(tǒng),防護(hù)時間不低于96小時;配備雙向通信、照明、排泄物處理、急救等設(shè)備物品及維修工具和滅火器;存儲組件或給養(yǎng)的容器應(yīng)密封、防水、防火,醒目標(biāo)注到期日期及使用說明。3.高素質(zhì)的應(yīng)急救援隊伍與強(qiáng)制性工傷保險制度,為礦難提供安全保障。除了對煤礦工作人員進(jìn)行嚴(yán)格的培訓(xùn),美國的煤礦事故應(yīng)急救援還有一支高素質(zhì)的隊伍,有一套規(guī)范的運(yùn)作程序,拉得出、救得快、保障有力。按規(guī)定,每個煤礦要與兩個以上的救援隊簽訂救護(hù)協(xié)議。煤礦發(fā)生事故由礦主組織搶救,必要時也可向當(dāng)?shù)鼐烨缶取R恢Ь茸o(hù)隊下井救護(hù),另一支待命。任何礦山救護(hù)隊不得建在距礦井2小時路程以外的地方。同時,美國執(zhí)行強(qiáng)制性工傷保險制度,工傷保險具有高度的強(qiáng)制性,法律強(qiáng)制雇主必須對雇工的工傷事故負(fù)責(zé),美國有99%的工人受到聯(lián)邦或州勞工賠償法的保護(hù)。

(三)建立安全生產(chǎn)管理的評估標(biāo)準(zhǔn)美國勞工部礦山健康安全管理局(MSHA)對美國礦業(yè)(煤礦/非煤)安全事故保存有全面翔實(shí)的統(tǒng)計數(shù)據(jù),該數(shù)據(jù)不僅涵蓋了所有事故相關(guān)的信息,同時還包括了煤炭生產(chǎn)狀況及人員的相關(guān)信息。評估標(biāo)準(zhǔn)具體,分類清晰、系統(tǒng)、全面、詳盡。美國煤礦事故數(shù)據(jù)統(tǒng)計的內(nèi)容包括事故時間、事故地區(qū)、事故地點(diǎn)、事故分類標(biāo)準(zhǔn)、事故分級、事故范圍、事故報告。其中,事故時間除了年度事故和月事故,還統(tǒng)計日事故;事故地點(diǎn)包括地面、采煤面、掘進(jìn)頭、上下山大巷、井筒;事故分類標(biāo)準(zhǔn)非常具體,是按照事故所在地區(qū)、開采類型、月份、作業(yè)者及承包商、傷害類型、傷亡員工工種;事故分級為死亡、造成工作日損失的非死亡事故、無工作日損失的輕微事故四個等級;事故報告中要明確傷亡人數(shù)、事故成因、發(fā)生機(jī)制、傷害類型。美國煤礦事故計量指標(biāo)體系中:生產(chǎn)指標(biāo)有兩個,煤礦作業(yè)次數(shù)和作業(yè)時間;事故傷亡分類指標(biāo)中,死亡事故率和死亡人數(shù)屬于死亡指標(biāo),造成工作日損失的傷害事故率與其受傷人數(shù)、無工作日損失的傷害事故率與其受傷人數(shù)這四個指標(biāo)歸為傷害指標(biāo);還有總量指標(biāo),包括人員傷亡總數(shù)和總體事故率。煤礦事故數(shù)據(jù)統(tǒng)計內(nèi)容和計量指標(biāo)涉及的信息不僅是事故傷亡人數(shù)和經(jīng)濟(jì)損失,還包括事故發(fā)生的原因、工作條件、開采類型及作業(yè)人員工種等相關(guān)的重要內(nèi)容。這些信息越是全面具體,越能及時、全面、準(zhǔn)確地研究可能引起事故的原因,并分析正在形成的各種趨勢,進(jìn)行綜合研判,從而作出科學(xué)的評估,提出科學(xué)控制和預(yù)防煤礦事故發(fā)生的有效對策。

二、美國煤礦安全管理體系的特點(diǎn)

如今美國的煤礦安全生產(chǎn)管理水平處于世界領(lǐng)先地位,煤礦安全管理體系頗具特點(diǎn):第一,美國的煤礦產(chǎn)量和死亡人數(shù)呈反比例關(guān)系,充分體現(xiàn)了美國煤礦安全生產(chǎn)的理念比較先進(jìn)。保護(hù)所有礦工及所有人員的安全,并非以犧牲人員的生命安全為代價來獲取企業(yè)利益。美國緊扣“礦工健康權(quán)和生命權(quán)的保護(hù)”這個安全管理核心來推進(jìn)標(biāo)準(zhǔn)體系建設(shè),循序漸進(jìn),在此基礎(chǔ)上建立并完善配套法規(guī)體系,提高執(zhí)法力度,建立的安全管理體系嚴(yán)密并且比較實(shí)用。第二,在責(zé)任體系建設(shè)中,政府和煤炭企業(yè)責(zé)任明晰化是其最顯著的特點(diǎn)。政府只履行管理和監(jiān)督的職責(zé),如果發(fā)生煤礦安全生產(chǎn)事故,煤炭企業(yè)將承擔(dān)事故的全部責(zé)任。建立以礦主為中心的追責(zé)體系,抓住了責(zé)任處罰的主要主體,抓住了重點(diǎn)對象。煤礦安全管理責(zé)任主體有了指向性,而且強(qiáng)調(diào)煤礦安全生產(chǎn)監(jiān)督機(jī)構(gòu)的獨(dú)立性,并在機(jī)制上防止檢查人員與礦主、地方政府形成共同利益同盟。這是非常有先見之明的。第三,美國高度重視法制化建設(shè),陸續(xù)頒布和完善《聯(lián)邦礦山安全與健康法》等多部重要法律法規(guī)。政府和煤炭企業(yè)根據(jù)出臺的法律法規(guī),各自行使權(quán)力和履行義務(wù)。雖然世界各國在此方面都建立了相應(yīng)的法律制度,但均沒有美國的法律具體和完善。第四,美國十分注重培訓(xùn)需求管理。在培訓(xùn)方面有比較完備的要求和規(guī)定,如必須使礦工有明確的技術(shù)操作素質(zhì)和安全急救意識等才能進(jìn)入煤礦工作,這些舉措可以利于后繼的煤礦安全生產(chǎn)活動的開展,強(qiáng)調(diào)預(yù)防第一,有效規(guī)避了人為礦難的發(fā)生。

三、美國煤礦安全管理體系建設(shè)的啟示

根據(jù)上述分析,美國煤礦安全管理體系比較成熟,對我國有如下啟示:

(一)重視法律的可操作性,逐步完善我國煤礦安全管理法規(guī)中國是世界上煤炭產(chǎn)量最高的國家,中國也是世界上煤礦安全事故發(fā)生率最高的國家之一。立法是煤礦安全管理的最基本、最管用的方法與手段。中國適用于煤礦的法律法規(guī),除《礦山安全法》、《煤炭法》外,還包括國務(wù)院頒發(fā)的有關(guān)礦山安全生產(chǎn)的行政法規(guī)以及各省(區(qū)、直轄市)人大頒布的有關(guān)的地方性法規(guī)、國務(wù)院勞動行政主管部門和煤炭企業(yè)的主管部門及其下屬省級政府主管部門下達(dá)的有關(guān)安全生產(chǎn)的行政規(guī)章,以及適用于煤礦行業(yè)的安全生產(chǎn)標(biāo)準(zhǔn)規(guī)范《煤礦安全規(guī)程》、《煤礦救護(hù)規(guī)程》等。《礦山安全法》作為我國煤礦安全管理的基本法相對美國的《聯(lián)邦礦山安全與健康法》,可操作性比較差。如美國第303節(jié)的第2款規(guī)定:“所有生產(chǎn)作業(yè)區(qū)的通風(fēng)風(fēng)流必須符合以下規(guī)定,氧氣含量不低于19.5%(體積),二氧化碳含量不大于0.5%(體積)……任何煤礦空氣的最低數(shù)量在每個工作面應(yīng)達(dá)到三千立方英尺每一分鐘。”而我國的《礦山安全法》第十七條:“礦山企業(yè)必須對作業(yè)場所中的有毒有害物質(zhì)和井下空氣含量進(jìn)行檢測,保證符合安全標(biāo)準(zhǔn)。”這樣的籠統(tǒng)規(guī)定對有毒有害物質(zhì)沒有明確是什么,更沒有提到其濃度或密度控制在什么標(biāo)準(zhǔn)范圍內(nèi),以及井下空氣含量應(yīng)符合什么標(biāo)準(zhǔn)。立法應(yīng)充分體現(xiàn)“以人為本”的理念,重視礦山職工的生命安全和健康權(quán)利保護(hù),有毒有害物質(zhì)、含氧量應(yīng)該增加具體的數(shù)值標(biāo)準(zhǔn),以職工的生命健康安全為核心。雖然在《煤礦安全規(guī)程》第三十條第十一項(xiàng)第二款:“凍結(jié)站必須用不燃性材料建筑,都應(yīng)有通風(fēng)裝置。應(yīng)經(jīng)常測定站內(nèi)空氣中的氨氣,氨的濃度不得超過0.004%?!边@樣明確的標(biāo)準(zhǔn)利于執(zhí)行和監(jiān)督,這是該規(guī)程在操作性規(guī)定方面的優(yōu)點(diǎn)。但從總體來說,《礦山安全法》及其各相關(guān)法律法規(guī)其可操作性仍有待增強(qiáng),因此我們應(yīng)重視法規(guī)的可操作性,積極學(xué)美國的經(jīng)驗(yàn)將宏觀的規(guī)定、措施、程序細(xì)致化、具體化,要將權(quán)威、具體、可操作的安全標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)寫入基本法中,如《礦山安全法》僅僅是規(guī)定職工要進(jìn)行安全教育、培訓(xùn)后才能上崗作業(yè),更應(yīng)繼續(xù)添加崗前培訓(xùn)時間的長度,在職員工定期培訓(xùn)的時間,次數(shù)等的規(guī)定,操作過程中才能強(qiáng)制執(zhí)行這些標(biāo)準(zhǔn),有效增加員工安全操作的系數(shù)。

(二)注重相關(guān)組織與責(zé)任體系建設(shè),加強(qiáng)監(jiān)察力度我國作為世界上的幾大采煤大國之一,在煤礦安全生產(chǎn)各方面的體系建設(shè)依然存在不足。美國煤礦事故發(fā)生率得到了有效的控制,得益于注重組織體系和責(zé)任體系的建設(shè)。從我國的國情出發(fā),借鑒美國的成功經(jīng)驗(yàn),可以從以下方面逐步去完善我國煤礦安全管理的組織和責(zé)任體系建設(shè):第一,明確責(zé)任,加強(qiáng)對中央到地方相關(guān)的管理組織機(jī)構(gòu)建設(shè)。現(xiàn)今我國對煤炭的管理機(jī)構(gòu)主要有國家能源局、中國煤炭工業(yè)協(xié)會、安全生產(chǎn)監(jiān)督局等,盡管相應(yīng)的組織管理機(jī)構(gòu)不少,但是缺乏一個比較系統(tǒng)的組織對煤礦生產(chǎn)的各方面進(jìn)行管理,從而導(dǎo)致煤礦生產(chǎn)亂象迭生。因此我國在管理機(jī)構(gòu)設(shè)置上應(yīng)注重整合部門機(jī)構(gòu),建立和完善監(jiān)管煤礦產(chǎn)業(yè)的統(tǒng)一的機(jī)構(gòu),合理地進(jìn)行分工與監(jiān)管,防止出現(xiàn)部門多卻難以監(jiān)管的現(xiàn)象。美國對煤礦安全生產(chǎn)進(jìn)行管理的主要是監(jiān)察局,下設(shè)11個地區(qū)監(jiān)察處和65個礦區(qū)辦事處,在監(jiān)察局里還有明確的各部門層級劃分。從中央到地方實(shí)現(xiàn)了高效的縱向管理。部門機(jī)構(gòu)臃腫和職責(zé)不明晰是我國存在的普遍問題,因此完善煤礦安全生產(chǎn)組織機(jī)構(gòu)的建設(shè)尤為重要,應(yīng)確定安全生產(chǎn)監(jiān)督管理機(jī)構(gòu)和執(zhí)法人員的權(quán)力范圍、職責(zé)、行使權(quán)力的條件、程序和目的,抓住源頭、明確主要職能部門的權(quán)力邊界與責(zé)任是應(yīng)對安全生產(chǎn)問題的關(guān)鍵。第二,建立和完善煤礦生產(chǎn)單位的組織管理。美國的煤礦企業(yè)內(nèi)部具有明確的職位分工和職責(zé),因此可以極大地提高生產(chǎn)效率并且便于管理。在我國,煤礦生產(chǎn)亂象迭生,有的采礦工地不僅沒有專門的組織管理部門,甚至存在著礦工工人臨時招聘、不經(jīng)培訓(xùn)隨便上崗等亂象。此類問題不解決將會對工人們的人身安全極為不利,也無法保證煤礦有序生產(chǎn)。第三,加大煤礦安全生產(chǎn)監(jiān)察力度。煤礦安全監(jiān)察員要深入煤礦現(xiàn)場,緊緊盯住那些高瓦斯容易出現(xiàn)事故的礦井,以及安全生產(chǎn)基礎(chǔ)差的礦井,及時發(fā)現(xiàn)問題和解決問題,把事故消滅在萌芽狀態(tài)。對存在重大事故隱患的礦井,當(dāng)場下達(dá)《停產(chǎn)整頓通知單》,限時整改。對不具備基本安全生產(chǎn)條件的小煤礦,堅決予以關(guān)閉。第四,建立煤礦違規(guī)行政處罰制度。在我國發(fā)生煤礦生產(chǎn)事故后,相關(guān)的監(jiān)察負(fù)責(zé)人才會來到現(xiàn)場進(jìn)行勘查,對事前的監(jiān)察工作并不重視,使煤礦安全生產(chǎn)的監(jiān)督、監(jiān)察環(huán)節(jié)流于形式。我國煤礦生產(chǎn)的主要負(fù)責(zé)人承擔(dān)的責(zé)任范圍不明晰,處罰力度不夠嚴(yán)厲,因此不少開采煤礦的單位會冒極大的風(fēng)險以污染環(huán)境或者犧牲工人的利益來獲取利潤,造成了小煤礦、黑煤礦一直存在。我國應(yīng)該建立嚴(yán)格的處罰制度,完善責(zé)任追究制度,加大懲治處罰力度,實(shí)行行業(yè)禁入制度,讓礦主不敢輕易越軌煤礦安全管理紅線。

(三)通過應(yīng)急教育與預(yù)防演練,不斷提高處理突發(fā)事故災(zāi)難的能力對比我國煤礦現(xiàn)狀與美國煤礦,可以發(fā)現(xiàn),很大的區(qū)別在于美國政府一直強(qiáng)調(diào)煤礦安全監(jiān)察管理機(jī)構(gòu)的獨(dú)立性,美國煤礦的成功之處在于垂直的煤礦安全監(jiān)管體制框架,輪崗式的監(jiān)管人事制度,并在機(jī)制上防止監(jiān)察人員與礦主、地方政府形成共同利益同盟。美國煤礦是把安全放在第一位,而在我國,由于利益驅(qū)使,大多數(shù)煤礦企業(yè)更注重的是利益而不是礦工的安全。我國煤礦現(xiàn)仍存在很多的不足,我們應(yīng)該對美國煤礦安全管理經(jīng)驗(yàn)加以學(xué)習(xí),首先,要提升素質(zhì)、規(guī)范管理。切實(shí)加強(qiáng)隊伍自身建設(shè),要督促救援隊伍加強(qiáng)制度建設(shè),明確人員職責(zé)、規(guī)范工作程序。進(jìn)一步強(qiáng)化煤礦生產(chǎn)安全事故應(yīng)急預(yù)案的管理和演練,煤礦企業(yè)要把應(yīng)急演練與應(yīng)急預(yù)案相結(jié)合,提高從業(yè)人員突發(fā)事件現(xiàn)象處置自救能力和企業(yè)應(yīng)急救援能力。其次,要積極應(yīng)用新技術(shù)。引進(jìn)新型、高效實(shí)用的裝備,不斷優(yōu)化應(yīng)急救援隊伍裝備結(jié)構(gòu),加大煤礦救援技術(shù)研究和培訓(xùn)。最后,要平戰(zhàn)結(jié)合、強(qiáng)化檢查。煤礦救援隊伍應(yīng)遵循“險時搞救援,平時搞防范”的原則,對于一切有可能發(fā)生的安全事故應(yīng)防范于未然。

第2篇

在進(jìn)行信息安全體系建設(shè)時,應(yīng)對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系。本文分析了終端安全管理體系應(yīng)包含的內(nèi)容,闡述了傳統(tǒng)分散式終端安全管理存在的問題,結(jié)合作者的工作實(shí)踐經(jīng)驗(yàn),對一體化終端安全管理體系的建設(shè),提出了自己的思路和見解。

關(guān)鍵詞:

終端安全;一體化;體系建設(shè)

隨著信息化建設(shè)不斷發(fā)展,信息安全的重要性日益顯露出來,在信息安全保護(hù)實(shí)踐中,各單位往往對數(shù)據(jù)集中的后臺服務(wù)器投入精力較多,對來自終端的威脅重視不足。信息安全事件調(diào)查經(jīng)驗(yàn)表明,多數(shù)信息安全事件的突破口來自終端,因此在進(jìn)行信息安全體系建設(shè)時,應(yīng)對來自終端的威脅給予足夠的重視,建立有效的終端安全管理體系。

1典型的終端安全管理體系應(yīng)包括的內(nèi)容

1.1防病毒及終端入侵防護(hù)

包括對全網(wǎng)病毒、木馬、蠕蟲、流氓軟件、間諜軟件等惡意代碼的識別、查殺,對可疑行為的阻斷和告警。此類功能主要是基于代碼檢測引擎和特征庫實(shí)現(xiàn)。

1.2補(bǔ)丁狀態(tài)檢查及分發(fā)

包括檢查是否已安裝操作系統(tǒng)相應(yīng)的補(bǔ)丁,各類防護(hù)特征庫是否保持更新,能夠自動推送安裝補(bǔ)丁和特征庫等。此類功能主要通過安全軟件讀取系統(tǒng)注冊表及掃描特定位置文件系統(tǒng),并自動執(zhí)行后臺腳本實(shí)現(xiàn)。

1.3移動存儲管理

防止內(nèi)部濫用移動介質(zhì),杜絕內(nèi)外部移動介質(zhì)在內(nèi)外網(wǎng)交叉使用,并通過特殊加密技術(shù)保證移動介質(zhì)在非授權(quán)環(huán)境下不能被讀取。此類功能主要通過向操作系統(tǒng)底層驅(qū)動注入代碼和數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)。

1.4終端準(zhǔn)入管理

實(shí)現(xiàn)對網(wǎng)絡(luò)接入終端的安全準(zhǔn)入管理與控制,確保接入網(wǎng)絡(luò)終端已安裝要求的防護(hù)系統(tǒng),且符合安全策略要求,有效杜絕非法外來終端私自接入網(wǎng)絡(luò)。此類功能可以基于交換機(jī)端口進(jìn)行控制或使用安全網(wǎng)關(guān)進(jìn)行控制。

1.5非法外聯(lián)監(jiān)控

用于發(fā)現(xiàn)和阻止內(nèi)部網(wǎng)絡(luò)用戶非法建立通路連接互聯(lián)網(wǎng)或非授權(quán)網(wǎng)絡(luò)的行為,以此防止引入安全風(fēng)險或?qū)е滦畔⑿姑?。此類功能通常做法是定期檢查與某個互聯(lián)網(wǎng)地址或非授權(quán)網(wǎng)絡(luò)的連通性,若有連通便會觸發(fā)監(jiān)控報警。

1.6主機(jī)監(jiān)控審計

對終端用戶的操作行為進(jìn)行管控與審計,對安裝的軟件實(shí)行黑白名單管理,當(dāng)用戶的操作違反安全策略時,能夠自動禁止或記錄違規(guī)日志。此類功能一般需在終端駐留程序,根據(jù)設(shè)定的操作策略和軟件清單執(zhí)行。

2傳統(tǒng)分散式終端安全管理存在的問題

(1)產(chǎn)生兼容性問題。不同的終端安全防護(hù)產(chǎn)品均需要操作系統(tǒng)權(quán)限并向底層驅(qū)動注入代碼實(shí)現(xiàn)檢測,各產(chǎn)品之間的操作沖突、導(dǎo)致兼容性問題已是常見現(xiàn)象,即使能夠和平共存也會造成增加系統(tǒng)資源開銷,拖累系統(tǒng)變慢等一系列問題。

(2)缺乏統(tǒng)一管理。在終端上安裝使用多種安全防護(hù)產(chǎn)品,缺乏全局性安全管控,容易形成信息孤島,不利于開展諸如安全數(shù)據(jù)的收集、匯總、統(tǒng)計等關(guān)聯(lián)分析工作,無法系統(tǒng)性展示終端安全全貌。

(3)防護(hù)效果打折扣。不同的終端安全防護(hù)產(chǎn)品在功能上各有側(cè)重,組合在一起并不一定能全面覆蓋用戶的安全需求,由于底層機(jī)制的類同和兼容性沖突等原因,經(jīng)常出現(xiàn)安全防護(hù)的真空地帶,產(chǎn)生1+1<2的現(xiàn)象,使防護(hù)效果大打折扣。

(4)運(yùn)行維護(hù)成本高。多種終端安全防護(hù)產(chǎn)品同時使用,需同時與多個廠商采購維保服務(wù),周期長投入大,運(yùn)行上需要維護(hù)多套不同的策略表,從不同的來源更新補(bǔ)丁包、特征庫等,都給運(yùn)維增加了不小的工作量。

(5)難以滿足自主可控的要求。出于國家安全戰(zhàn)略的需要,終端安全防護(hù)產(chǎn)品應(yīng)盡可能滿足自主可控的要求。分散部署不同的終端安全防護(hù)產(chǎn)品,大多是基于歷史原因分批分步建設(shè)形成的,存在一定的不可控安全風(fēng)險。

3一體化終端安全管理體系的建設(shè)思路

一體化終端安全管理體系的建設(shè),應(yīng)遵循“功能集中、統(tǒng)一建設(shè)”的原則,結(jié)合單位已有的終端安全防護(hù)現(xiàn)狀,采用“整合式替代、替代后實(shí)現(xiàn)一體化管理”的思路開展。替代過程中,應(yīng)充分考慮安全設(shè)備國產(chǎn)化的要求,既實(shí)現(xiàn)終端安全防護(hù)各項(xiàng)功能,又可在統(tǒng)一平臺下管理終端資產(chǎn)、終端信息、終端安全防護(hù)系統(tǒng)等,實(shí)現(xiàn)終端一體化安全管理。終端一體化安全管理可極大地提高運(yùn)維效率,增強(qiáng)終端類安全事件聯(lián)動,提高終端安全事件預(yù)警發(fā)現(xiàn)和處置能力,最終提高單位的信息安全管理水平。具體實(shí)施過程中,應(yīng)以“資源整合、統(tǒng)一管理、分級部署、基準(zhǔn)策略、量體裁衣、人力集約”為主要工作目標(biāo),最大程度整合單位現(xiàn)有軟硬件資源、技術(shù)人才資源,節(jié)約資源、資金、人力成本,集成各類終端管理功能,邏輯上實(shí)行統(tǒng)一管理,總部制定基準(zhǔn)策略,各地分支機(jī)構(gòu)針對自己的情況,定制適合本轄區(qū)情況的安全策略,預(yù)留一定擴(kuò)展空間,供各級機(jī)構(gòu)在統(tǒng)一終端管理平臺下的本地化處理。建議分四個步驟進(jìn)行:①率先落實(shí)國產(chǎn)化替代,一體化終端安全管理體系建設(shè)不再考慮國外產(chǎn)品,實(shí)現(xiàn)完全國產(chǎn)自主可控,這一點(diǎn)無論是在技術(shù)上還是在市場上都已不存在問題。②整合現(xiàn)有終端安全防護(hù)系統(tǒng)的功能,在實(shí)現(xiàn)病毒防治、補(bǔ)丁分發(fā)、非法外聯(lián)監(jiān)控、準(zhǔn)入控制、移動介質(zhì)管控、安全策略管理等功能的基礎(chǔ)上,實(shí)現(xiàn)各功能模塊的數(shù)據(jù)整合與聯(lián)動。③增加資產(chǎn)管理、操作審計等功能,并實(shí)現(xiàn)一體化關(guān)聯(lián)和統(tǒng)一展現(xiàn),進(jìn)一步完善系統(tǒng)的管理功能,能夠進(jìn)行終端狀態(tài)、終端信息、安全事件等信息的展示、分析和處理,實(shí)現(xiàn)對安全事件的及時發(fā)現(xiàn)、告警和處置,及時消除安全事件對終端的影響。④在系統(tǒng)建設(shè)的基礎(chǔ)上實(shí)現(xiàn)科學(xué)安全管理,通過對終端安全狀態(tài)的統(tǒng)一定量評估,實(shí)現(xiàn)對各部門、各分支機(jī)構(gòu)的終端安全態(tài)勢評估,掌握終端安全管理的薄弱環(huán)節(jié),為信息安全管理工作的整改完善提供數(shù)據(jù)支撐。在功能方面:一體化終端安全管理體系應(yīng)主要包括但不限于防病毒管理、終端入侵檢測防護(hù)管理、補(bǔ)丁分發(fā)管理、移動介質(zhì)管理、非法外聯(lián)管理、終端準(zhǔn)入管理、主機(jī)監(jiān)控審計管理、終端信息管理、安全策略管理、終端運(yùn)行狀態(tài)統(tǒng)計管理、安全事件管理、運(yùn)行報表管理、考核指標(biāo)管理、系統(tǒng)管理等功能。實(shí)現(xiàn)終端安全防護(hù)系統(tǒng)的一體化管理和安全防護(hù)系統(tǒng)的資源整合,實(shí)現(xiàn)安全防護(hù)策略的統(tǒng)一管理,建立全面、集中、統(tǒng)一的終端安全管理體系。在管理方面:實(shí)現(xiàn)與終端安全管理制度相適應(yīng)的安全管理要求,實(shí)現(xiàn)總部與各分支機(jī)構(gòu)終端信息的統(tǒng)一集中管理,實(shí)現(xiàn)終端安全控制策略的統(tǒng)一配置、自動篩查、告警和展現(xiàn),實(shí)現(xiàn)定期安全類報表的自動生成和展現(xiàn),實(shí)現(xiàn)安全管理人員的統(tǒng)一工作平臺。

4結(jié)語

要實(shí)現(xiàn)對信息安全閉環(huán)式管理,僅僅重視信息系統(tǒng)服務(wù)端的保護(hù)是不夠的,必須重視對每個入網(wǎng)終端的安全管理。一體化終端安全管理體系的建設(shè),從技術(shù)上采取了多種手段強(qiáng)化終端的安全防護(hù)和管理,為強(qiáng)化單位的信息安全管理提供了必要的手段。同時,我們也必須認(rèn)識到,終端安全管理體系的建設(shè)不是說建好系統(tǒng)就萬事大吉了,對一個單位的信息安全管理而言,永遠(yuǎn)是“三分技術(shù),七分管理”。再好的技術(shù)手段,也只有和管理制度相結(jié)合,并加以強(qiáng)力執(zhí)行,才能達(dá)到預(yù)定的安全目標(biāo)。

參考文獻(xiàn):

[1]孟粉霞,王越,雷磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程,2013(8):70~71.

[2]田永飛.一體化終端安全管理系統(tǒng)應(yīng)用初探[J].金融科技時代,2015(12):45~47.

[3]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計算機(jī)安全,2007(7):63~65.

第3篇

關(guān)鍵詞:民航;安全管理;管理體系;建設(shè)

民航作為社會經(jīng)濟(jì)和技術(shù)高度發(fā)展下的一個重要標(biāo)志,相比于其他的運(yùn)輸方式,運(yùn)行速度更快、機(jī)能性更好,地區(qū)跨度大,可以到達(dá)其他運(yùn)輸難以到達(dá)的地方,但同樣民航建設(shè)造價高、耗能大、技術(shù)復(fù)雜、運(yùn)輸能力小,受自然因素影響更大。作為當(dāng)前一種廣為推廣的運(yùn)輸方式,民航仍伴隨著一定的安全風(fēng)險,安全系數(shù)仍是民航事業(yè)發(fā)展的核心。近年來,在技術(shù)日新月異的發(fā)展、設(shè)備不斷優(yōu)化升級、安全意識逐漸提高的背景下,我國的民航安全水平有了顯著的改善和提高,民航安全管理體系的建設(shè)也趨于規(guī)范化、科學(xué)化、合理化。但就總體而言,面對紛繁復(fù)雜的安全風(fēng)險,民航安全管理體系建設(shè)還存在一些不穩(wěn)定的因素,影響和制約了民航安全管理體系的發(fā)展和完善,安全問題依然是民航建設(shè)的重要課題,對此,下文就我國民航安全管理體系建設(shè)的相關(guān)方面進(jìn)行具體的分析和說明。

一、我國民航安全管理體系的基本內(nèi)涵

民航安全管理體系旨在維護(hù)民航的安全,作為一種措施體系,堅持以國家民航發(fā)展和國家安全政策為依據(jù),強(qiáng)調(diào)對民航發(fā)展的安全性建設(shè),制定民航安全方針和目標(biāo),減少民航風(fēng)險性因素,保障民航事業(yè)安全、穩(wěn)定的發(fā)展。民航安全管理體系建設(shè)涉及的內(nèi)容包括:民航安全理論、安全法規(guī)準(zhǔn)則、安全管理信息庫、安全監(jiān)督、安全文化、安全管理技術(shù)等方面,將安全意識和安全技術(shù)貫徹和落實(shí)到民航事業(yè)的各個環(huán)節(jié)中,構(gòu)建完善、健全的安全管理體系,使其處于一個最優(yōu)的狀態(tài)。一方面,利用安全管理體系能更快地發(fā)現(xiàn)民航運(yùn)輸中存在的安全風(fēng)險和安全隱患,及時控制和扼制風(fēng)險。另一方面,提高了對風(fēng)險的識別、風(fēng)險評估和風(fēng)險控制能力,使民航安全管理體系作用切實(shí)地反饋到民航發(fā)展中,進(jìn)一步完善和推動民航安全管理體系的建設(shè),使其處于一個良性循環(huán)的發(fā)展?fàn)顟B(tài)。

二、我國民航安全管理體系建設(shè)的事實(shí)背景

近年來,隨著人們物質(zhì)生活水平的不斷提高,對民航的選擇性更大,民航事業(yè)的發(fā)展取得了顯著的成效,在交通運(yùn)輸業(yè)中所占據(jù)的比例和起到的影響力也越來越大。但從客觀事實(shí)上來看,民航相對其他的交通運(yùn)輸業(yè)更具有風(fēng)險性,事故危害性更大,影響波及面積也更大,不僅是國內(nèi),甚至波及國際,具有高風(fēng)險性、突發(fā)性、國際性,關(guān)注度極高、死亡率也極高的特征,不僅造成嚴(yán)重的生命、財產(chǎn)損失,而且還會影響國際關(guān)系的穩(wěn)定,對整個運(yùn)輸環(huán)境的安全性產(chǎn)生懷疑。導(dǎo)致部分人相比于民航的快速性和舒適性,更愿意選擇比較傳統(tǒng)、安全性能更高的運(yùn)輸方式。在國民生產(chǎn)力不斷提升、人們安全意識不斷提高的背景下,民眾對國航運(yùn)輸安全性、舒適性、便捷性等方面提出了更高的標(biāo)準(zhǔn)和要求,同樣這也是民航在未來發(fā)展中不斷尋求突破和改善的地方,是民航能夠真正普及,成為一種大眾化的交通運(yùn)輸形式的核心內(nèi)容。因而,強(qiáng)調(diào)對民航安全管理體系的建設(shè),有效改進(jìn)航空系統(tǒng)的安全系數(shù),提高民航風(fēng)險預(yù)警、識別、控制、管理成為當(dāng)前民航事業(yè)尋求突破和發(fā)展的核心層面。在民航運(yùn)輸發(fā)展初級階段,對風(fēng)險缺乏一定的預(yù)警性和預(yù)見性,往往都是在風(fēng)險形成后對事故特征進(jìn)行分析,找出原因,吸取經(jīng)驗(yàn),提高安全警覺性,加以改善,以避免安全事故的再次發(fā)生。在這個階段,對民航安全的管理更多的是偏向于技術(shù)和設(shè)備方面,是基于硬性方面的考慮,而忽略了管理的柔性,對事故隱患分析不透徹、不全面。

20世紀(jì)90年代,這一時期正是我國改革開放以來飛速發(fā)展的階段,國民經(jīng)濟(jì)水平有了顯著的改善和提高,交通運(yùn)輸業(yè)取得了質(zhì)的飛躍,民航行業(yè)內(nèi)部也基本形成了比較系統(tǒng)、完善、規(guī)范的運(yùn)行規(guī)章和監(jiān)督監(jiān)管機(jī)制,飛機(jī)運(yùn)行體系和管理體系雙向發(fā)展,進(jìn)一步提高了航運(yùn)質(zhì)量,降低了事故率,但在管理水平、健全的法規(guī)體系等方面仍存在一些缺陷,造成一定的風(fēng)險因素。在此基礎(chǔ)上,管理體系在長期的發(fā)展,不斷兼容、不斷攻破矛盾下,日益成熟,不斷完善,積極吸取優(yōu)秀的成功經(jīng)驗(yàn),在民航全面發(fā)展中推行安全管理體系建設(shè)。

三、我國民航安全管理體系建設(shè)探討

民航安全管理體系的建設(shè)不是一蹴而就的,而是需要長期堅持和自始至終地貫徹和落實(shí)的,作為一項(xiàng)系統(tǒng)性、長期性和艱巨性的任務(wù),既是民航發(fā)展中的核心內(nèi)容,也是一個巨大的挑戰(zhàn)。那么,如何在有效的時期內(nèi),完善民航安全管理體系建設(shè),降低民航運(yùn)行風(fēng)險,提高運(yùn)行質(zhì)量水平呢?對此,下面就進(jìn)行具體探討:

(1)正視當(dāng)前我國民航安全管理水平現(xiàn)狀。民航安全管理體系的建設(shè)必須是在現(xiàn)有的基礎(chǔ)上實(shí)施的,是遵循當(dāng)前民航發(fā)展的基本特征,明確當(dāng)前民航安全管理的基本水平,只有這樣才能有針對性地采取措施,進(jìn)行對癥下藥,為制定行之有效的安全管理體系作出有效的鋪墊。我國的民航安全管理體系的建設(shè)經(jīng)歷了一個基本的發(fā)展過程,由對空勤人員適應(yīng)環(huán)境的心理、生理方面的研究到認(rèn)識到人文因素的影響,強(qiáng)調(diào)對飛行員和機(jī)務(wù)人專業(yè)技能和素質(zhì)的培養(yǎng),形成一個管理框架。到當(dāng)前,我國的民航安全管理體系建設(shè)基本已經(jīng)全面步入正軌,并且都具有很高的完成度和完成效率,將安全管理體系建設(shè)的各個方面能具體地管理落實(shí)、操作執(zhí)行到各個環(huán)節(jié)中,加強(qiáng)每一個環(huán)節(jié)人員、規(guī)章程序、技術(shù)應(yīng)用等方面的培訓(xùn)和應(yīng)用,以更大限度地發(fā)揮安全管理體系在民航發(fā)展中的作用和價值。

(2)發(fā)揮安全管理體系建設(shè)的兼容性和統(tǒng)籌性。民航安全管理體系的建設(shè)并不是單指哪一個體系的安全管理,而是多方相互交融、相互作用的。如:安全管理體系、質(zhì)量管理體系、保安管理體系等都是民航建設(shè)中的一部分,任何一個體系的安全問題都可以造成整個民航的安全事故,因?yàn)橐_地認(rèn)識各個體系之間的關(guān)系,實(shí)現(xiàn)兼容性的發(fā)展,既保證各個體系的安全性也能有效發(fā)揮各個體系各自的作用。而且任何體系的最終目的都是為民航安全建設(shè)服務(wù)的,在建設(shè)宗旨上是整合為一體的,也就是說安全管理體系的建設(shè)要明確目標(biāo),具有統(tǒng)一的發(fā)展思路,發(fā)揮其兼容性和統(tǒng)籌性的作用,也推進(jìn)安全管理體系全面、深入地開展。

(3)構(gòu)建良好的安全文化。“意識”是行為的先驅(qū),而文化則是“意識”內(nèi)涵化的表現(xiàn),當(dāng)前,我國民航安全管理體系建設(shè)都基本處于一個開放式和多元化的形式,改變了以往“關(guān)門造車”的模式。一方面,改變了企業(yè)故步自封的態(tài)度,加強(qiáng)各企業(yè)之間的相互交流和相互合作,便于企業(yè)更快地掌握發(fā)展動態(tài),積極地吸收先進(jìn)的管理經(jīng)驗(yàn)和管理制度,實(shí)現(xiàn)企業(yè)安全管理體系建設(shè)的優(yōu)化。另一方面,樹立企業(yè)安全意識,使企業(yè)在應(yīng)對市場競爭和挑戰(zhàn)下,能夠堅持與時俱進(jìn)的發(fā)展理念,在企業(yè)之間相互監(jiān)督的條件下,將安全意識和安全體系建設(shè)切實(shí)地落實(shí)到具體實(shí)踐中,實(shí)現(xiàn)企業(yè)之間的良好競爭。同樣企業(yè)要積極引進(jìn)安全文化人員,將“安全第一”貫穿始終,在潛移默化中,形成良好的安全文化。

(4)建立健全的法律法規(guī)體系。健全的法律法規(guī)體系的建設(shè)為安全管理體系的建設(shè)提供了有力的保障,是使職工能夠明確自身職責(zé)、自覺遵紀(jì)守法、接受管理和規(guī)范行為的一個重要的手段。有效提高了安全管理體系建設(shè)的效率,使管理做到有法可依、有跡可循,為民航安全管理水平的提升提供堅實(shí)的后盾。

參考文獻(xiàn):

[1]孫佳,高洪江.我國民航安全管理體系建設(shè)與實(shí)施分析[J].中國鐵路,2012.

第4篇

關(guān)鍵詞:民航 安全管理體系 體系選擇 建議

中圖分類號:V328 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2014)04(a)-0230-01

民航安全是民航行業(yè)生命賴以存在和發(fā)展的基礎(chǔ),是維護(hù)民航乘客利益的核心。民航業(yè)在安全上沒有小問題,一旦發(fā)生問題,通常是大問題,其影響波及的面積不僅是國內(nèi),甚至也會波及到國際上,損失也往往是慘重的。因此,民航安全管理體系建設(shè)是我國民航業(yè)發(fā)展的基礎(chǔ)和核心建設(shè)。如何通過持續(xù)的風(fēng)險預(yù)警、風(fēng)險識別配合事先的風(fēng)險控制、事后的風(fēng)險管理將風(fēng)險降到最低,這已經(jīng)成為決定我國民航業(yè)乃至世界民航業(yè)的安全管理體系建設(shè)的關(guān)鍵所在。

1 我國民航安全管理體系建設(shè)的現(xiàn)狀

在討論我國民航安全管理體系建設(shè)的深層次問題之前,筆者認(rèn)為有必要先闡釋和澄清一些相關(guān)概念,以便更好地認(rèn)識我國民航安全管理體系建設(shè)發(fā)展到今天的整體狀況。換句話說,理清這些相關(guān)概念,是建立民航安全管理體系的基礎(chǔ)性工作。

“民航安全管理體系”(safe management system ,簡稱為SMS)的本質(zhì)是成立、建設(shè)一個系統(tǒng)的、全面的、完整的、清楚的安全風(fēng)險管理以及安全基礎(chǔ)運(yùn)行的系統(tǒng),它是由美國聯(lián)邦航空管理局FAA在1996年對其自身的安全管理體系從傳統(tǒng)向現(xiàn)代改革時提出的一個民航安全管理方面的模型,并得到國際民航組織(International Civil Aviation Organization,簡稱為ICAO)的大力倡導(dǎo)。由“國際標(biāo)準(zhǔn)化組織”(簡稱為ISO)頒布的ISO 9000質(zhì)量標(biāo)準(zhǔn)體系則是一套由ISO和IAF在2008年8月20日聯(lián)合的適用于全球最廣范圍的質(zhì)量管理體系標(biāo)準(zhǔn),它擁有一整套完備的有關(guān)質(zhì)量的術(shù)語、體系規(guī)范、程序規(guī)范、技術(shù)規(guī)范,自成體系。而且更重要的是,該套質(zhì)量管理體系標(biāo)準(zhǔn)可以全面地適用于安全管理的實(shí)踐操作層面。而在民航安全管理體系上ISO 9000質(zhì)量標(biāo)準(zhǔn)體系大力推薦的是質(zhì)量管理體系(Quality Management System,簡稱為QMS)該安全管理體系中最主要的就是八項(xiàng)原則,即“以顧客為關(guān)注焦點(diǎn)、領(lǐng)導(dǎo)作用、全員參與、過程方法、管理的系統(tǒng)方法、持續(xù)改進(jìn)、基于事實(shí)的決策方法、與供方互利關(guān)系”。在這八項(xiàng)基本原則中,最重要的就是“以顧客為關(guān)注焦點(diǎn)”以及“持續(xù)改進(jìn)”這兩個根本原則。從以上八項(xiàng)基本原則可以看出,QMS體系主要將重心放在“人”上。

安全管理理論發(fā)展到現(xiàn)代已經(jīng)發(fā)生了巨大的改變,最有效的提高一個系統(tǒng)的整體安全管理水平的方式是在一個系統(tǒng)的安全思想的統(tǒng)籌下進(jìn)行分析,即要保證系統(tǒng)的每一個階段都是安全的,每一個階段都必須將其潛在的危險降到最低,這才是建設(shè)我國民航業(yè)卓越的安全管理體系的根本所在。

2 構(gòu)建并貫徹合理的安全目標(biāo)和指標(biāo)體系

民航安全管理體系建設(shè)不是一蹴而就的事情,而是一項(xiàng)系統(tǒng)性的、長期性的、艱巨性的任務(wù)。隨著SMS和QMS雙體系的不斷發(fā)展,國際上對民航業(yè)的要求越來越多、越來越高、越來越細(xì)。中國為了應(yīng)對這一挑戰(zhàn),應(yīng)該適時制定一套完整的安全目標(biāo),并開發(fā)配套的指標(biāo)體系,緊隨國際民航安全管理體系建設(shè)發(fā)展的腳步,及時地、持續(xù)地更新自身管理體系,力圖將挑戰(zhàn)變成機(jī)遇,以趕上甚至超越國際一流水平。

首先在領(lǐng)導(dǎo)層面,應(yīng)進(jìn)行全面的初步安全評估,合理規(guī)劃風(fēng)險控制,擬定合理的安全目標(biāo)和各項(xiàng)體系指標(biāo),構(gòu)建一套適合企業(yè)自身的SMS方案。其次,不能紙上談兵,關(guān)鍵還要嚴(yán)格執(zhí)行安全管理方案,將安全目標(biāo)、風(fēng)險管理落到實(shí)處。例如,設(shè)置安全風(fēng)險預(yù)警閥值,實(shí)現(xiàn)對整個系統(tǒng)的動態(tài)、實(shí)時監(jiān)控,保證安全指標(biāo)信息的及時采集、傳遞、分析和交流,確保安全管理文件的準(zhǔn)確性和可行性。最后,但也是最重要的一點(diǎn),應(yīng)完善安全管理體系中的應(yīng)急處理系統(tǒng),一旦發(fā)生安全問題,可以立即形成有效的應(yīng)急方案,全面調(diào)度一切可利用的資源,其他各個部門迅速響應(yīng)、配合,將時間的后果控制在最小的影響范圍內(nèi)。

3 以人為本,建設(shè)成熟的機(jī)務(wù)隊伍

民航安全管理體系建設(shè)是民航業(yè)的生命所在,而民航安全管理最核心的運(yùn)作單位還是“人”,因此,我國民航業(yè)在安全管理上還應(yīng)大力培養(yǎng)高素質(zhì)的機(jī)務(wù)隊伍。

從實(shí)踐層面看,機(jī)務(wù)人員往往最先發(fā)現(xiàn)安全問題,并第一時間地分析問題、處理問題,他們是站在民航業(yè)安全管理體系的最前線的戰(zhàn)士,因此,建設(shè)一支成熟的機(jī)務(wù)隊伍對于建設(shè)我國民航安全管理體系至關(guān)重要。具體而言,應(yīng)提升企業(yè)、甚至是整個產(chǎn)業(yè)的安全文化素養(yǎng),尤其是在機(jī)務(wù)人員的具體培訓(xùn)中,應(yīng)當(dāng)貫徹安全理念,將安全指標(biāo)作為每一個機(jī)務(wù)人員的考核標(biāo)準(zhǔn)。其次,對飛機(jī)進(jìn)行可控性維修,絕不守株待兔,而是主動出擊,發(fā)現(xiàn)問題、解決問題。嚴(yán)格的領(lǐng)導(dǎo)和組織各項(xiàng)機(jī)務(wù)工作,不放過任何一個細(xì)節(jié)。事前要組織嚴(yán)格縝密的預(yù)先檢查,進(jìn)行過程中要開展全方位的嚴(yán)格的過程監(jiān)督,事后更要無縫銜接嚴(yán)格的反饋程序和后續(xù)跟進(jìn)事項(xiàng)。

4 結(jié)語

中國加入世界貿(mào)易組織之后,作為經(jīng)濟(jì)發(fā)展先頭兵的我國民航業(yè)越來越得到社會、政府的關(guān)注,而大眾對我國民航業(yè)越來越高的期待也意味著對我國民航安全管理體系進(jìn)一步建設(shè)和完善的急切呼喚。在民航安全的哲學(xué)中,一個好的過程不僅重要,相應(yīng)地產(chǎn)生一個好的結(jié)果更加重要??梢哉f,在民航安全管理上,就是“以成敗論英雄”。只有“嚴(yán)”字打頭,嚴(yán)格指揮、嚴(yán)格把關(guān)、嚴(yán)格用人、嚴(yán)格檢查、嚴(yán)格操作,真正貫徹安全管理體系中的規(guī)章制度,在一言一行、一鉚一釘中實(shí)踐“安全第一”的理念,真正把安全作為航空的第一要事,才能將我國民航安全管理體系建設(shè)帶上一個新的高度。

參考文獻(xiàn)

[1] ICAO安全管理手冊(SMM)[G].國際民航組織,Doc 9859 AN/460(第一版),2006.

[2] 張建平.空管安全管理體系與質(zhì)量管理體系的差異分析[J].北京:空中交通管理,2007(4):40-43.

[3] 向維,李明,吳超,等.航空不安全事件人為因素分析R-S-TER模型的構(gòu)建與應(yīng)用研究[J].中國安全科學(xué)學(xué)報,2009(19):152-159.

第5篇

關(guān)鍵詞:信息化;信息安全;安全管理

1企業(yè)信息安全現(xiàn)狀

近幾年,隨著行業(yè)信息化建設(shè)逐步深入,伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用,與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高,企業(yè)也逐步認(rèn)識到信息安全的重要性,企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度,并通過這幾年信息安全檢查工作,促進(jìn)企業(yè)的信息安全水平得到了進(jìn)一步提高。由于企業(yè)信息安全意識不斷提高,企業(yè)不斷加大信息安全方面的投入,如建立標(biāo)準(zhǔn)化的機(jī)房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機(jī)技術(shù)的發(fā)展不斷更新,攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊,也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅,安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題,還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風(fēng)險導(dǎo)向意識,一味注重“技術(shù)”的作用,忽略“管理”的重要性,就很難發(fā)揮信息安全技術(shù)的作用,無法把企業(yè)的各項(xiàng)信息安全措施落到實(shí)處,企業(yè)的信息安全也就無從談起。只有切實(shí)發(fā)揮管理作用,企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時,大多數(shù)剛接觸的人都比較疑惑,都說保障信息安全十分重要,那到底什么是信息安全呢?下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說,信息是一種無形資產(chǎn),具有一定商業(yè)價值,以電子、影像、話語等多種形式存在,必須進(jìn)行保護(hù)。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制,避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中,信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析,不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系,進(jìn)一步細(xì)分則涉及安全運(yùn)維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品,合理制定安全策略,實(shí)現(xiàn)防止信息泄露、被篡改、被損壞等安全目標(biāo)。信息安全產(chǎn)品主要是指實(shí)現(xiàn)信息安全的工具平臺,如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等,而信息安全技術(shù)則是指實(shí)現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機(jī)構(gòu)、制度,細(xì)化職責(zé)分工,制定執(zhí)行標(biāo)準(zhǔn),確保日常管理、檢查等制度有效執(zhí)行,最大程度發(fā)揮信息安全技術(shù)體系作用,確保信息安全相關(guān)保護(hù)措施有效執(zhí)行。通過上文簡單介紹,對信息安全以及信息安全系統(tǒng)有了大概了解??梢钥闯鰡渭兘柚夹g(shù)或管理無法保障企業(yè)信息安全,因此,建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運(yùn)用技術(shù)、管理手段,做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制,確保實(shí)現(xiàn)信息安全目標(biāo)。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素,而管理體系則是建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系。3.3信息安全管理體系(ISMS)。在一定組織范圍內(nèi)建立、完成信息安全方針和目標(biāo),采取或運(yùn)用方法的體系。作為管理活動最終結(jié)果,包含方針、原則、目標(biāo)、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系,目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機(jī)構(gòu)。明確職責(zé)分工,確保信息安全工作組織與落實(shí)。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運(yùn)轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機(jī)構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前,如果沒有設(shè)置相應(yīng)的信息安全組織機(jī)構(gòu),那么建立體系所需要的資源(資金、人員等)就無法得到保障,企業(yè)的信息安全制度和策略也就無法貫徹落實(shí),企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此,企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機(jī)構(gòu),機(jī)構(gòu)設(shè)置可以根據(jù)職責(zé)分為三個層次。4.1信息安全決策機(jī)構(gòu)。信息安全決策機(jī)構(gòu)處于安全組織機(jī)構(gòu)的第一個層次,是本單位信息安全工作的最高管理機(jī)構(gòu)。應(yīng)以單位主要領(lǐng)導(dǎo)負(fù)責(zé),對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進(jìn)行審批,并為企業(yè)信息安全工作提供各類必要資源。4.2管理機(jī)構(gòu)。處于安全組織機(jī)構(gòu)的第二個層次,在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下,主要負(fù)責(zé)企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓(xùn)等工作,此類工作大部分都由企業(yè)的信息化部門承擔(dān)。4.3執(zhí)行機(jī)構(gòu)。處于信息安全組織機(jī)構(gòu)的第三個層次,在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)體系的有效運(yùn)行及日常維護(hù),通過具體技術(shù)手段落實(shí)安全策略,消除安全風(fēng)險,以及發(fā)生安全事件后的具體響應(yīng)和處理,執(zhí)行機(jī)構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標(biāo)準(zhǔn)的“建立ISMS”章節(jié)中,已明確了信息安全管理體系建立的10項(xiàng)強(qiáng)制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實(shí)際情況,遵照這些內(nèi)容和步驟,建立自己的信息安全管理體系,并形成相應(yīng)的體系文件。5.1建立的步驟。(1)結(jié)合企業(yè)實(shí)際,明確體系邊界與范圍,并編制體系范圍文件。(2)明確體系策略,構(gòu)建目標(biāo)框架、風(fēng)險評價的準(zhǔn)則等,形成方針文件。(3)確定風(fēng)險評估方法。(4)識別信息安全風(fēng)險,主要包括信息安全資產(chǎn)、責(zé)任、威脅以及造成的后果等。(5)進(jìn)行安全風(fēng)險分析評價,編制評估報告,確定信息安全資產(chǎn)保護(hù)清單。(6)明確安全保護(hù)措施,編制風(fēng)險處理計劃。(7)制定工作目標(biāo)、措施。(8)管理者審核、批準(zhǔn)所有殘余風(fēng)險。(9)經(jīng)管理層授權(quán)實(shí)施和運(yùn)行安全體系。(10)準(zhǔn)備適用性聲明。以上步驟解釋不詳盡之處,參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素,必須與ISO/IEC27001:2005標(biāo)準(zhǔn)保持一致,同時也要結(jié)合企業(yè)實(shí)際,確保員工遵照要求嚴(yán)格執(zhí)行。而且也要符合企業(yè)的實(shí)際情況和信息安全需要。在實(shí)際工作中,企業(yè)員工應(yīng)按照文件要求嚴(yán)格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針,涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等;程序類主要是指“過程文件”,涉及輸入、處理與輸出三個環(huán)節(jié),結(jié)果常以“記錄”形式出現(xiàn);記錄類主要是記錄程序文件結(jié)果,常以是表格形式出現(xiàn)。至于適用性聲明文件,企業(yè)應(yīng)結(jié)合自身情況,參照ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄A,有選擇性地作出聲明,并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風(fēng)險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預(yù)防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況,制定自己獨(dú)有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標(biāo)準(zhǔn)以及企業(yè)實(shí)際要求,保證與企業(yè)其他體系文件協(xié)調(diào)一致,避免沖突,同時在文字描述準(zhǔn)確且無二義。

6體系實(shí)施與運(yùn)行

主要包括策略控制措施、過程和程序,涉及制定和實(shí)施風(fēng)險處理計劃、選擇控制措施與驗(yàn)證有效性、安全教育培訓(xùn)、運(yùn)行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標(biāo)與實(shí)際運(yùn)行情況,監(jiān)控與評審運(yùn)行狀態(tài),主要涉及有效性評審、控制措施測試驗(yàn)證、風(fēng)險評估、內(nèi)部審核、管理評審等環(huán)節(jié),并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進(jìn)

主要是依據(jù)監(jiān)視與評審結(jié)果,有針對性地持續(xù)改進(jìn)。主要包括改進(jìn)措施、制定完善措施、整改總結(jié)等,同時需相關(guān)方進(jìn)行溝通,確保達(dá)到預(yù)計改進(jìn)標(biāo)準(zhǔn)。

9結(jié)語

第6篇

關(guān)鍵詞:企業(yè)信息化;信息安全管理體系;信息安全保障

1 企業(yè)信息安全需求與目標(biāo)

近年來隨著企業(yè)信息系統(tǒng)建設(shè)的不斷發(fā)展,企業(yè)的信息化安全也面臨著前所未有的挑戰(zhàn)。作為中國高速列車產(chǎn)業(yè)化制造基地和城軌地鐵車輛定點(diǎn)制造企業(yè),公司的發(fā)展對高速動車行業(yè)產(chǎn)生著舉足輕重的作用;從企業(yè)信息安全現(xiàn)狀分析,公司IT部門主管深深意識到,盡管從自身情況來看,在信息安全方面已經(jīng)做了很多工作,如部署了防火墻、SSL VPN、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、文檔加密、終端安全管理系統(tǒng)等。但是安全系統(tǒng)更多的在于防堵來自某個方面的安全威脅,無法產(chǎn)生協(xié)同效應(yīng),距離國際同行業(yè)企業(yè)還存在一定的差距。

公司通過可行性研究及論證,決定借助外力,通過知名的咨詢公司協(xié)助企業(yè)發(fā)現(xiàn)存在的信息安全不足點(diǎn),以科研項(xiàng)目方式,通過研究國家安全標(biāo)準(zhǔn)體系及國家對央企和上市企業(yè)的信息化安全要求,分析企業(yè)目前的現(xiàn)狀和國際標(biāo)準(zhǔn)ISO27001之間的差距,繼而完善企業(yè)信息安全體系的規(guī)劃與設(shè)計,最終建立一套適合企業(yè)現(xiàn)狀的信息安全標(biāo)準(zhǔn)和管理體系。目標(biāo)是使公司信息安全從管理到技術(shù)均得到全面加強(qiáng),建立一個有責(zé)(職責(zé))、有序(秩序)、有效(效率)的信息安全管理體系,預(yù)防信息安全事件的發(fā)生,確保更小的業(yè)務(wù)損失,提供客戶滿意度,獲取更多的管理支持。在行業(yè)內(nèi)樹立標(biāo)桿和示范,提升企業(yè)形象,贏取客戶信任,增強(qiáng)競爭力。同時,使信息安全體系通過信息安全管理體系通過ISO 27001認(rèn)證標(biāo)準(zhǔn)。

2 企業(yè)信息安全管理體系建設(shè)過程

凡事預(yù)則立,不預(yù)則廢。對于信息安全管理建設(shè)的工作也先由計劃開始。信息安全管理體系建設(shè)分為四個階段:實(shí)施安全風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息安全管理體系、體系運(yùn)行及改進(jìn)。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保護(hù)企業(yè)信息系統(tǒng)的安全,確保信息安全的持續(xù)發(fā)展。本文結(jié)合作者經(jīng)驗(yàn),重點(diǎn)論述上述幾個方面的內(nèi)容。

2.1 確立范圍

首先是確立項(xiàng)目范圍,從機(jī)構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上,可以考慮內(nèi)部機(jī)構(gòu):需要覆蓋公司的各個部門,其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu):則包括公司信息系統(tǒng)相連的外部機(jī)構(gòu),包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。

從系統(tǒng)層次上,可按照物理環(huán)境:即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng):構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì),設(shè)備和軟件;服務(wù)器平臺系統(tǒng):支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應(yīng)用系統(tǒng):支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù):整個信息系統(tǒng)中傳輸以及存儲的數(shù)據(jù);安全管理:包括安全策略、規(guī)章制度、人員組織、開發(fā)安全、項(xiàng)目安全管理和系統(tǒng)管理人員在日常運(yùn)維過程中的安全合規(guī)、安全審計等。

2.2 安全風(fēng)險評估

企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改,為企業(yè)員工提供安全、可信的服務(wù),保證信息系統(tǒng)的可用性、完整性和保密性。

本次進(jìn)行的安全評估,主要包括兩方面的內(nèi)容:

2.2.1 企業(yè)安全管理類的評估

通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對,以及在行業(yè)的經(jīng)驗(yàn)上進(jìn)行“差距分析”,檢查企業(yè)在安全控制層面上存在的弱點(diǎn),從而為安全措施的選擇提供依據(jù)。

評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面,包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

2.2.2 企業(yè)安全技術(shù)類評估

基于資產(chǎn)安全等級的分類,通過對信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn),為安全加固提供依據(jù)。

針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法,在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識別,分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距,為后期改造提供依據(jù)。

提到安全評估,一定要有方法論。我們以ISO27001為核心,并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn),同時結(jié)合企業(yè)自身的特點(diǎn),建立風(fēng)險評估模型:

在風(fēng)險評估模型中,主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險四個要素。每個要素有各自的屬性,信息資產(chǎn)的屬性是資產(chǎn)價值,弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下,被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度,威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度,風(fēng)險的屬性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法,通過分級別的方式進(jìn)行賦值。

2.3 規(guī)劃體系建設(shè)方案

企業(yè)信息安全問題根源分布在技術(shù)、人員和管理等多個層面,須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系,并最終落實(shí)到管理措施和技術(shù)措施,才能確保信息安全。

規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上,對企業(yè)中存在的安全風(fēng)險提出安全建議,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。

在未來1-2年內(nèi)通過信息安全體系制的建立與實(shí)施,建立安全組織,技術(shù)上進(jìn)行安全審計、內(nèi)外網(wǎng)隔離的改造、安全產(chǎn)品的部署,實(shí)現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi),通過完善的信息安全體系和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項(xiàng)目的建設(shè),將企業(yè)建設(shè)成為一個注重管理,預(yù)防為主,防治結(jié)合的先進(jìn)型企業(yè)。

2.4 企業(yè)信息安全體系建設(shè)

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎(chǔ)上,建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力:即預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù)(Recover)和反擊(Counter-attack),體系應(yīng)該兼顧攘外和安內(nèi)的功能。

安全體系的建設(shè)一是涉及安全管理制度建設(shè)完善;二是涉及到信息安全技術(shù)。首先,針對安全管理制度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體安全方針、安全技術(shù)策略和安全管理策略等。安全總體方針涉及安全組織機(jī)構(gòu)、安全管理制度、人員安全管理、安全運(yùn)行維護(hù)等方面的安全制度。安全技術(shù)策略涉及信息域的劃分、業(yè)務(wù)應(yīng)用的安全等級、安全保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。

其次,信息安全技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、系統(tǒng)安全技術(shù)、應(yīng)用安全技術(shù),以及安全基礎(chǔ)設(shè)施平臺;同時按照安全技術(shù)所提供的功能又可劃分為預(yù)防保護(hù)類、檢測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的安全技術(shù)以及未來信息系統(tǒng)發(fā)展的要求,規(guī)劃信息安全技術(shù)包括:

2.5 體系運(yùn)行及改進(jìn)

信息安全管理體系文件編制完成以后,由公司企劃部門組織按照文件的控制要求進(jìn)行審核。結(jié)合公司實(shí)際,在體系文件編制階段,將該標(biāo)準(zhǔn)與公司的現(xiàn)有其他體系,如質(zhì)量、環(huán)境保護(hù)等體系文件,改歸并的歸并。該修訂審核的再繼續(xù)修訂審核。最終歷經(jīng)幾個月的努力,批準(zhǔn)并實(shí)施了信息安全管理系統(tǒng)的文檔。至此,信息安全管理體系將進(jìn)入運(yùn)行階段。

有人說,信息系統(tǒng)的成功靠的是“三分技術(shù),七分管理,十二分執(zhí)行”?!皥?zhí)行”是要需要在實(shí)踐中去體會、總結(jié)與提高。對于信息系統(tǒng)安全管理體系建設(shè)更是如此!在此期間,以IT部門牽頭,加強(qiáng)宣傳力度,組織了若干次不同層面的宣導(dǎo)培訓(xùn),充分發(fā)揮體系本身的各項(xiàng)功能,及時發(fā)現(xiàn)存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。

3 總結(jié)

總結(jié)項(xiàng)目,建立健全的信息安全管理制度是進(jìn)行安全管理的基礎(chǔ)。當(dāng)然,體系建設(shè)過程中還存在不足,如崗位原有職責(zé)與現(xiàn)有安全職責(zé)的界定,員工的認(rèn)知及接受程度還有待提高,體系在各部門領(lǐng)導(dǎo)重視程度、執(zhí)行力度、審核效果存在差距等等。最終,在公司各部門的共同努力下,體系經(jīng)歷了來自國際知名品牌認(rèn)證公司DNV及中國認(rèn)可委(CNAS)的雙重檢驗(yàn),并通過嚴(yán)格的體系審核。確認(rèn)了公司在信息安全管理體系達(dá)到國內(nèi)和國際信息安全管理標(biāo)準(zhǔn),提升公司信息安全管理的水平,從而為企業(yè)向國際化發(fā)展與合作提供有力支撐。

[參考文獻(xiàn)]

[1]沈昌祥.《信息系統(tǒng)安全導(dǎo)論》.電子工業(yè)出版社,2003.7.

第7篇

關(guān)鍵詞:醫(yī)院信息標(biāo)準(zhǔn)化建設(shè);網(wǎng)絡(luò)安全;管理體系

由于信息化技術(shù)的日益發(fā)展,很多醫(yī)療信息系統(tǒng)都在發(fā)展過程中進(jìn)行了優(yōu)化,大大推動了醫(yī)療診斷技術(shù)水平的提升,使診斷工作更為精細(xì)化,有效提升了員工績效水平和醫(yī)療工作的整體品質(zhì)。與此同時,其復(fù)雜性也在日益提高,使得醫(yī)院安全問題凸顯,同時面臨多種惡意軟件入侵,對醫(yī)院網(wǎng)絡(luò)產(chǎn)生了重大的負(fù)面影響。因此,在技術(shù)水平達(dá)標(biāo)的同時,還需要人工操作來確保網(wǎng)絡(luò)的安全。2018年4月,國務(wù)院印發(fā)《國務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》,提出各類醫(yī)療機(jī)構(gòu)今年要逐步完善和繼續(xù)完善“互聯(lián)網(wǎng)醫(yī)療衛(wèi)生體系”,發(fā)展在線醫(yī)療,提高醫(yī)院管理水平。通過《國務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》宣告了“互聯(lián)網(wǎng)醫(yī)療健康”安全時代的正式到來。以國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護(hù)工程為指導(dǎo),遵循“一個中心、三個防護(hù)”防護(hù)工程的基本理念,從安全信息管理服務(wù)中心體系建設(shè)工作開始,并初步構(gòu)建了醫(yī)院網(wǎng)絡(luò)安全三級防護(hù)管理體系,以有效迎接新網(wǎng)絡(luò)時代的安全管理挑戰(zhàn),確?!盎ヂ?lián)網(wǎng)健康”,醫(yī)院安全信息化體系建設(shè)穩(wěn)步健康有序發(fā)展。

1醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)的重要原因探析

患者只需在線注冊、就診、付款、入住和離開醫(yī)院即可完成醫(yī)療流程。此外,信息化體系建設(shè)還可以有效提高醫(yī)務(wù)人員的日常工作效率,降低醫(yī)務(wù)人員的勞動強(qiáng)度,為患者及時提供便捷高質(zhì)量的基本醫(yī)療健康服務(wù)。從各級醫(yī)院的財務(wù)角度看,醫(yī)院財務(wù)信息化體系建設(shè)不僅可以有效提高各級醫(yī)院財務(wù)管理水平,密切各直屬科室之間的協(xié)作關(guān)系,為加強(qiáng)醫(yī)院醫(yī)務(wù)檔案管理進(jìn)行信息化、財務(wù)管理和物資管理工作創(chuàng)造條件,降低醫(yī)院的商業(yè)保險和運(yùn)營成本,提高醫(yī)院的整體效益。網(wǎng)絡(luò)安全管理體系主要是廣泛指負(fù)責(zé)管理網(wǎng)絡(luò)系統(tǒng)安全管理策略、安全動態(tài)計算網(wǎng)絡(luò)環(huán)境、安全網(wǎng)絡(luò)區(qū)域活動限制和安全網(wǎng)絡(luò)通信等網(wǎng)絡(luò)安全防護(hù)機(jī)制的管理平臺或服務(wù)區(qū)域。過去,醫(yī)院率先采取了“被動防御”安全戰(zhàn)略,并針對安全網(wǎng)絡(luò)威脅不斷采取了安全防護(hù)控制措施,缺乏安全統(tǒng)一規(guī)劃和安全集中管理。安全信息資源綜合使用管理效率低,對安全威脅的監(jiān)測反應(yīng)慢,難以建立形成有效的安全威脅防護(hù)管理體系。隨著我國醫(yī)院安全信息化體系建設(shè)的不斷發(fā)展,各種新信息技術(shù)的不斷推廣和醫(yī)院互聯(lián)網(wǎng)服務(wù)的不斷普及,醫(yī)院必然需要自主開發(fā)一套能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)健康管理時代的網(wǎng)絡(luò)安全管理系統(tǒng)。

2醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)遇到的問題

2.1缺乏統(tǒng)一標(biāo)準(zhǔn)和依據(jù)

醫(yī)院信息化建設(shè)具有高度的系統(tǒng)性和復(fù)雜性,需要各部門密切配合,對醫(yī)院進(jìn)行統(tǒng)一規(guī)劃,明確每一步的建設(shè)目標(biāo)。但是,從醫(yī)院信息化建設(shè)的現(xiàn)狀來看,對醫(yī)院的實(shí)際發(fā)展缺乏重視,在投入之前沒有充分考慮到醫(yī)院的長遠(yuǎn)發(fā)展目標(biāo)。另外,信息化建設(shè)沒有統(tǒng)一的規(guī)則,影響了信息化建設(shè)的工作,對新項(xiàng)目的實(shí)施也有一定的影響,造成了資源的浪費(fèi)。

2.2網(wǎng)絡(luò)安全性較低

醫(yī)院的網(wǎng)絡(luò)安全的問題往往是高度復(fù)雜動態(tài)的,將對醫(yī)院領(lǐng)導(dǎo)和安全系統(tǒng)運(yùn)營人員產(chǎn)生重要直接影響。此外,還有一些新型網(wǎng)絡(luò)安全病毒和一些黑客在網(wǎng)絡(luò)安全應(yīng)用方面的潛在問題。雖然很多大型醫(yī)院都已經(jīng)采取了一些相應(yīng)的技術(shù)措施手段來徹底解決這些安全問題,但由于醫(yī)療軟件技術(shù)能力較差、技術(shù)水平不過關(guān)等因素,并沒有有效地解決這些網(wǎng)絡(luò)安全上的問題。

3網(wǎng)絡(luò)安全管理體系建設(shè)原則

從醫(yī)院建設(shè)安全網(wǎng)絡(luò)管理信息中心的總體目標(biāo)要求出發(fā),在國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護(hù)的技術(shù)指導(dǎo)下,結(jié)合自身醫(yī)院網(wǎng)絡(luò)安全管理工作實(shí)踐經(jīng)驗(yàn),醫(yī)院首先明確了以下網(wǎng)絡(luò)安全管理原則:①安全管理與網(wǎng)絡(luò)技術(shù)支持并重,同時合理規(guī)劃醫(yī)院建設(shè)安全管理體系和網(wǎng)絡(luò)技術(shù)支持能力,用安全管理體系建設(shè)指導(dǎo)網(wǎng)絡(luò)技術(shù)支持能力體系建設(shè),用網(wǎng)絡(luò)技術(shù)支持能力建設(shè)確保安全管理體系的有效實(shí)施。②集中控制安全能力和分散安全管理權(quán)限,整合安全人力資源,提高安全管理效率,注重員工建立準(zhǔn)確識別和有效消除快速安全網(wǎng)絡(luò)威脅的管理能力;通過集中的人力資源綜合管理和權(quán)力控制,分散對上級行政部門權(quán)力的管理限制,以及通過依靠集中審計行政能力控制來有效降低醫(yī)院員工違法越權(quán)的安全風(fēng)險?;谏鲜霭踩瓌t,醫(yī)院已已經(jīng)開始對公司現(xiàn)有的醫(yī)院網(wǎng)絡(luò)安全保障管理能力系統(tǒng)和網(wǎng)絡(luò)技術(shù)支持管理能力體系進(jìn)行不斷改造和升級完善。

4網(wǎng)絡(luò)安全管理體系建設(shè)標(biāo)準(zhǔn)

建立安全管理中心的前提是醫(yī)院應(yīng)有一套合法、兼容、可行的安全管理體系。通過驗(yàn)證基本2.0級防護(hù)要求,結(jié)合醫(yī)院自身的安全管理經(jīng)驗(yàn),并將實(shí)施能力作為重要標(biāo)準(zhǔn)考慮在內(nèi),建立2.0級安全管理體系框架,以確保管理體系的管理方向和可行性。為便于實(shí)施,醫(yī)院將管理體系文件分為4個層次。一級安全文件根據(jù)有關(guān)國家安全法律法規(guī)、相關(guān)安全行業(yè)政策法規(guī)和公立醫(yī)院安全管理要求,確定醫(yī)院總體上的網(wǎng)絡(luò)安全保障政策和發(fā)展策略,在此基礎(chǔ)上研究構(gòu)建公立醫(yī)院第三級安全網(wǎng)絡(luò)管理體系,定義全球安全要求,并在安保管理、人員管理、資產(chǎn)管理、安保大樓管理和維護(hù)以及應(yīng)急支持管理的組織中建立安全標(biāo)準(zhǔn)。輔助文檔中的信息總量,更新和調(diào)整物理安全要求、政策和政策,以應(yīng)用于特定領(lǐng)域。二級安全操作和維護(hù)系統(tǒng),規(guī)定了適用于文件安全系統(tǒng)維護(hù)和維護(hù)管理第一級操作和操作的安全要求,并規(guī)定了操作和禁止規(guī)則。三級規(guī)范文件要求是具體的企業(yè)工作人員操作管理規(guī)范,以便于確保操作人員的實(shí)際操作管理效果能夠滿足您的預(yù)期,并減少故障和其他行為造成的潛在安全風(fēng)險。例如,確定您的服務(wù)器安全技術(shù)增強(qiáng)(windowsserversecuritymanual)的項(xiàng)目操作步驟和項(xiàng)目實(shí)施經(jīng)驗(yàn)效果,并及時制定技術(shù)要求以便于確保您的服務(wù)器安全滿足特定項(xiàng)目安全要求,并制定安全增強(qiáng)管理體系安全增強(qiáng)基礎(chǔ)的各項(xiàng)相關(guān)技術(shù)要求。四級文件是用于數(shù)據(jù)篩選、跟蹤和分析的安全操作管理記錄,為了減少操作和維護(hù)人員的工作量,提高時尚管理的效率,節(jié)省紙張,醫(yī)院開始嘗試非常規(guī)檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫(yī)院安全生產(chǎn)管理體系的工作靈活性和市場適應(yīng)性:第一層體系決定了整體網(wǎng)絡(luò)安全政策和策略以及其他體系制定的方向。二級管理體系手冊側(cè)重于對個別具體管理問題的有效管理,根據(jù)實(shí)際需要進(jìn)行制定,具有較強(qiáng)的基本相關(guān)性和實(shí)際適用性,確保一級管理體系的基本靈活性和實(shí)際適應(yīng)性;第三方操作手冊特別注重管理細(xì)節(jié)和長期實(shí)施,可根據(jù)長期實(shí)施管理效果反復(fù)迭替換代,這些都是我們確保一級管理體系長期實(shí)施管理效果的最終重要目的;四級注冊表格針對醫(yī)院在建立管理體系時,特別注重對人員安全風(fēng)險的管理和控制,建立持續(xù)改進(jìn)管理體系的能力。成立了“網(wǎng)絡(luò)和信息安全委員會”,作為主要決策機(jī)構(gòu)。根據(jù)網(wǎng)絡(luò)標(biāo)準(zhǔn)2.0要求,管理員職位分為3個職能:系統(tǒng)管理員、審核管理員和安全管理員。醫(yī)院和外部員工通過一系列系統(tǒng)文件進(jìn)行標(biāo)準(zhǔn)化。合同檢查員工的安全日常行為,并初步確定合同員工的安全和財產(chǎn)保密管理責(zé)任;同時提出關(guān)于修訂企業(yè)管理體系目標(biāo)評審和上層建筑管理要求的具體要求,建立促進(jìn)管理體系建設(shè)持續(xù)完善改進(jìn)的長效機(jī)制,確保穩(wěn)定性,實(shí)施安全管理體系的靈活性和能力,并明確各級修訂和審查體系文件的要求。

5網(wǎng)絡(luò)安全技術(shù)能力建設(shè)

在安全維護(hù)管理體系中心建設(shè)的基礎(chǔ)上,醫(yī)院已經(jīng)開始研究建設(shè)安全技術(shù)管理能力,以便于滿足安全維護(hù)管理系統(tǒng)中心的要求。醫(yī)院作為一個安全系統(tǒng)管理區(qū)域,安全維護(hù)管理系統(tǒng)中心負(fù)責(zé)系統(tǒng)的安全管理操作、維護(hù)和監(jiān)督管理。因此,建立安全維護(hù)管理體系中心的主要目標(biāo)是建立一個完全具有高度完善集中控制管理能力的安全維護(hù)管理域。安全維護(hù)管理區(qū)域主應(yīng)負(fù)責(zé)執(zhí)行包括收集和管理綜合安全管理數(shù)據(jù)、運(yùn)行安全設(shè)備以及安全維護(hù)和監(jiān)督管理整個醫(yī)院網(wǎng)絡(luò)的安全任務(wù),為整個醫(yī)院網(wǎng)絡(luò)過程提供必要的醫(yī)院網(wǎng)絡(luò)安全基礎(chǔ)硬件設(shè)施和安全維護(hù)服務(wù),以及足夠的自我保護(hù)能力,以確保自身在網(wǎng)絡(luò)中的安全,避免對重要的安全、審計和管理服務(wù)造成損害。由于原有醫(yī)院網(wǎng)管區(qū)域具有一定的集中控制能力,醫(yī)院在現(xiàn)有網(wǎng)管區(qū)域的基礎(chǔ)上,采用以下方式完成安全管理建設(shè)技術(shù)能力。

5.1終端網(wǎng)絡(luò)保護(hù)

前端計算機(jī)通信系統(tǒng)的網(wǎng)絡(luò)終端擔(dān)保是整個網(wǎng)絡(luò)敏感區(qū)域的一個核心。其終端主要是連接內(nèi)聯(lián)網(wǎng)和連接外聯(lián)網(wǎng)之間的網(wǎng)絡(luò)連接,負(fù)責(zé)從敏感區(qū)的核心節(jié)點(diǎn)發(fā)送數(shù)據(jù),僅易受攻擊。因此,通常可以為每個主機(jī)66學(xué)術(shù)論壇/AcademicForum系統(tǒng)部署一個安全網(wǎng)絡(luò)管理文件系統(tǒng)。為了提高主機(jī)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全級別??梢詮母旧蠈碜跃W(wǎng)絡(luò)連接終端的安全攻擊進(jìn)行免疫,并在它們已經(jīng)進(jìn)入安全下一階段之前預(yù)先阻止。

5.2區(qū)域網(wǎng)絡(luò)運(yùn)維安全設(shè)計

(1)建立檢測網(wǎng)絡(luò)安全漏洞的系統(tǒng)。通過自動部署互聯(lián)網(wǎng)絡(luò)檢測安全漏洞,檢測中心系統(tǒng)人員可以24h時間掃描和自動檢測指定區(qū)域內(nèi)的互聯(lián)網(wǎng)。對系統(tǒng)性能進(jìn)行安全特性評估,實(shí)現(xiàn)技術(shù)、管理、安全防護(hù)的有效集成。為全球用戶同時使用各種區(qū)域性的網(wǎng)絡(luò)服務(wù)降低安全風(fēng)險,并提供強(qiáng)有力的網(wǎng)絡(luò)技術(shù)支持。(2)創(chuàng)建審核和運(yùn)維系統(tǒng)。通過對網(wǎng)絡(luò)安全管理設(shè)備、網(wǎng)絡(luò)安全管理設(shè)備、應(yīng)用管理系統(tǒng)、安全事件等網(wǎng)絡(luò)日志相關(guān)信息數(shù)據(jù)進(jìn)行全面的網(wǎng)絡(luò)日志相關(guān)信息分析收集和日志相關(guān)性信息分析,管理者不僅可以通過搜索和實(shí)時分析日常網(wǎng)絡(luò)使用中的記錄,正確維護(hù)日志數(shù)據(jù),定義日志審核設(shè)備,方便員工隨時查看,并隨時跨平臺監(jiān)控整個數(shù)據(jù)中心的安全狀態(tài)。(3)建立完整的微觀分析和深度流量跟蹤系統(tǒng)。通過自動建立完整的用戶微觀數(shù)據(jù)分析和用戶深度風(fēng)險流量檢測跟蹤分析系統(tǒng),可以實(shí)時部署專門的高標(biāo)準(zhǔn)風(fēng)險流量檢測分析平臺,準(zhǔn)確快速收集用戶流量,進(jìn)行深度恢復(fù)和全面分析。為了在大量會話流量中快速發(fā)現(xiàn)這些隱藏的整個會話進(jìn)程行為,挖掘這些可能使其隱藏的潛在危險,提供會話進(jìn)程的所有數(shù)據(jù)審計處理能力,并不斷提高其進(jìn)程追蹤和對攻擊源的預(yù)測能力。

5.3整合現(xiàn)有安全資源

醫(yī)院將在保障自身安全和區(qū)域安全管理的基礎(chǔ)上,轉(zhuǎn)移現(xiàn)有的保障功能,包括資源,非病毒系統(tǒng)、維持和平行動管理系統(tǒng)和安全系統(tǒng)納入安全管理領(lǐng)域。此外,通過研究在服務(wù)區(qū)內(nèi)設(shè)立專用安全通道和具體的基礎(chǔ)設(shè)施安全設(shè)施,優(yōu)化全市安全設(shè)施功能整合,注重安全設(shè)施綜合利用,減少不必要的安全設(shè)備,提高安全設(shè)備維護(hù)和安全系統(tǒng)運(yùn)行效率,完成對全市現(xiàn)有安全防護(hù)體系的綜合優(yōu)化。

5.4優(yōu)化集中控制

在完善現(xiàn)行安全監(jiān)管制度的基礎(chǔ)上,該院先后研發(fā)了航站樓和門診部的安全監(jiān)控和安全管理系統(tǒng),為彌補(bǔ)醫(yī)院現(xiàn)有綜合門診終端保障體系的不足,對醫(yī)院基礎(chǔ)設(shè)施進(jìn)行集中控制和建設(shè),以及醫(yī)院管理系統(tǒng)的現(xiàn)有背景操作和系統(tǒng)維護(hù),抗病毒防御系統(tǒng)與醫(yī)院客戶犯罪風(fēng)險檢查系統(tǒng)密切配合。因此,集中審計和宣傳系統(tǒng)完成了建立集中管理和維護(hù)系統(tǒng)進(jìn)行審計和宣傳的任務(wù)。預(yù)防和控制覆蓋整個醫(yī)院網(wǎng)絡(luò)的信息資源。

6醫(yī)院構(gòu)建網(wǎng)絡(luò)安全管理體系

為有效適應(yīng)未來最嚴(yán)峻的網(wǎng)絡(luò)安全發(fā)展形勢,醫(yī)院還對各級應(yīng)急保障體系進(jìn)行了修訂。新的應(yīng)急支持系統(tǒng)由兩部分組成:綜合計劃和專項(xiàng)計劃??傮w實(shí)施計劃詳細(xì)規(guī)定了醫(yī)院應(yīng)急救援支持的主要組織職能結(jié)構(gòu),確定了醫(yī)院事件預(yù)警分類管理標(biāo)準(zhǔn),并詳細(xì)規(guī)定了事件預(yù)警和應(yīng)急響應(yīng)工作程序、物資供應(yīng)支持、培訓(xùn)和其他一般工作規(guī)定:為特定類型的緊急情況和醫(yī)院系統(tǒng)的關(guān)鍵系統(tǒng)制定詳細(xì)的應(yīng)急和應(yīng)急方案服務(wù)按照“目標(biāo)選擇、非目標(biāo)選擇、綜合規(guī)劃”的醫(yī)院應(yīng)急救援管理機(jī)制可以確保,使醫(yī)院應(yīng)急系統(tǒng)人員在統(tǒng)一系統(tǒng)的技術(shù)指導(dǎo)下,能夠有效應(yīng)對網(wǎng)絡(luò)上的各種突發(fā)事件。以安全網(wǎng)絡(luò)管理中心為工作起點(diǎn),對信息網(wǎng)絡(luò)保護(hù)系統(tǒng)進(jìn)行了升級,提高了風(fēng)險信息的準(zhǔn)確性,與公立醫(yī)院安全信息網(wǎng)絡(luò)資源管理、網(wǎng)絡(luò)資源安全風(fēng)險管理及威脅有關(guān),建立安全網(wǎng)絡(luò)。然后,在發(fā)展安全管理能力的基礎(chǔ)上,圍繞“響應(yīng)性”完善安全運(yùn)行體系建設(shè),提高響應(yīng)速度和應(yīng)對網(wǎng)絡(luò)安全威脅的能力。在技術(shù)上,嘗試將連接機(jī)制引入安全體系,開發(fā)建設(shè)“主動防護(hù)、動態(tài)防護(hù)、全局防護(hù)、精確防護(hù)”的網(wǎng)絡(luò)安全防護(hù)體系,緊跟醫(yī)院信息“醫(yī)療衛(wèi)生互聯(lián)網(wǎng)”建設(shè)步伐在網(wǎng)絡(luò)時代,促進(jìn)了醫(yī)院網(wǎng)絡(luò)安全建設(shè)的發(fā)展。

參考文獻(xiàn):

[1]胡列倫,李倩.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)研究[J].中國寬帶,2021(07):31.

[2]龔克.分析醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)方案設(shè)計[J].數(shù)碼設(shè)計(上),2021,10(06):18.

[3]詹振坤.醫(yī)院信息化建設(shè)中計算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)工作思考[J].無線互聯(lián)科技,2021,18(10):25-26.

[4]巫新玲,李文俠.人工智能下醫(yī)院網(wǎng)絡(luò)安全信息化的建設(shè)路徑探索[J].大眾標(biāo)準(zhǔn)化,2021(11):182-184.

[5]廖文韜.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全體系建構(gòu)[J].電腦編程技巧與維護(hù),2021(07):163-164.

[6]劉小洲,黃桂新,張武軍,等.現(xiàn)代醫(yī)院管理制度下的醫(yī)院信息化建設(shè)推進(jìn)機(jī)制探討[J].現(xiàn)代醫(yī)院,2018,18(03):368-371.

[7]姜濤.寧夏醫(yī)科大學(xué)總醫(yī)院醫(yī)院集團(tuán)信息化建設(shè)優(yōu)化[D].銀川:寧夏大學(xué),2014.

[8]謝言.國家扶貧開發(fā)工作重點(diǎn)縣中醫(yī)醫(yī)院信息化建設(shè)現(xiàn)狀調(diào)查及影響因素分析[D].武漢:湖北中醫(yī)藥大學(xué),2013.

[9]張宇.醫(yī)院信息化建設(shè)改革實(shí)證研究[D].南昌:南昌大學(xué),2012.