购物车(0)
安全管理体系建设模板(10篇)
时间:2023-05-17 16:51:53
导言:作为写作爱好者,不可错过为您精心挑选的10篇安全管理体系建设,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
关键词:
终端安全;一体化;体系建设
随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。
1典型的终端安全管理体系应包括的内容
1.1防病毒及终端入侵防护
包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。
1.2补丁状态检查及分发
包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。
1.3移动存储管理
防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。
1.4终端准入管理
实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。
1.5非法外联监控
用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。
1.6主机监控审计
对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。
2传统分散式终端安全管理存在的问题
(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。
(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。
(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。
(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。
(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。
3一体化终端安全管理体系的建设思路
一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。
4结语
要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。
参考文献:
[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.
[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.
篇2
由于信息化技术的日益发展,很多医疗信息系统都在发展过程中进行了优化,大大推动了医疗诊断技术水平的提升,使诊断工作更为精细化,有效提升了员工绩效水平和医疗工作的整体品质。与此同时,其复杂性也在日益提高,使得医院安全问题凸显,同时面临多种恶意软件入侵,对医院网络产生了重大的负面影响。因此,在技术水平达标的同时,还需要人工操作来确保网络的安全。2018年4月,国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》,提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”,发展在线医疗,提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导,遵循“一个中心、三个防护”防护工程的基本理念,从安全信息管理服务中心体系建设工作开始,并初步构建了医院网络安全三级防护管理体系,以有效迎接新网络时代的安全管理挑战,确保“互联网健康”,医院安全信息化体系建设稳步健康有序发展。
1医院信息标准化建设中网络安全管理体系建设的重要原因探析
患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外,信息化体系建设还可以有效提高医务人员的日常工作效率,降低医务人员的劳动强度,为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看,医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平,密切各直属科室之间的协作关系,为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件,降低医院的商业保险和运营成本,提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去,医院率先采取了“被动防御”安全战略,并针对安全网络威胁不断采取了安全防护控制措施,缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低,对安全威胁的监测反应慢,难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展,各种新信息技术的不断推广和医院互联网服务的不断普及,医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。
2医院信息标准化建设中网络安全管理体系建设遇到的问题
2.1缺乏统一标准和依据
医院信息化建设具有高度的系统性和复杂性,需要各部门密切配合,对医院进行统一规划,明确每一步的建设目标。但是,从医院信息化建设的现状来看,对医院的实际发展缺乏重视,在投入之前没有充分考虑到医院的长远发展目标。另外,信息化建设没有统一的规则,影响了信息化建设的工作,对新项目的实施也有一定的影响,造成了资源的浪费。
2.2网络安全性较低
医院的网络安全的问题往往是高度复杂动态的,将对医院领导和安全系统运营人员产生重要直接影响。此外,还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题,但由于医疗软件技术能力较差、技术水平不过关等因素,并没有有效地解决这些网络安全上的问题。
3网络安全管理体系建设原则
从医院建设安全网络管理信息中心的总体目标要求出发,在国家标准2.0级网络防护的技术指导下,结合自身医院网络安全管理工作实践经验,医院首先明确了以下网络安全管理原则:①安全管理与网络技术支持并重,同时合理规划医院建设安全管理体系和网络技术支持能力,用安全管理体系建设指导网络技术支持能力体系建设,用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限,整合安全人力资源,提高安全管理效率,注重员工建立准确识别和有效消除快速安全网络威胁的管理能力;通过集中的人力资源综合管理和权力控制,分散对上级行政部门权力的管理限制,以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则,医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。
4网络安全管理体系建设标准
建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求,结合医院自身的安全管理经验,并将实施能力作为重要标准考虑在内,建立2.0级安全管理体系框架,以确保管理体系的管理方向和可行性。为便于实施,医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求,确定医院总体上的网络安全保障政策和发展策略,在此基础上研究构建公立医院第三级安全网络管理体系,定义全球安全要求,并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量,更新和调整物理安全要求、政策和政策,以应用于特定领域。二级安全操作和维护系统,规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求,并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范,以便于确保操作人员的实际操作管理效果能够满足您的预期,并减少故障和其他行为造成的潜在安全风险。例如,确定您的服务器安全技术增强(windowsserversecuritymanual)的项目操作步骤和项目实施经验效果,并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求,并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录,为了减少操作和维护人员的工作量,提高时尚管理的效率,节省纸张,医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性:第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理,根据实际需要进行制定,具有较强的基本相关性和实际适用性,确保一级管理体系的基本灵活性和实际适应性;第三方操作手册特别注重管理细节和长期实施,可根据长期实施管理效果反复迭替换代,这些都是我们确保一级管理体系长期实施管理效果的最终重要目的;四级注册表格针对医院在建立管理体系时,特别注重对人员安全风险的管理和控制,建立持续改进管理体系的能力。成立了“网络和信息安全委员会”,作为主要决策机构。根据网络标准2.0要求,管理员职位分为3个职能:系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为,并初步确定合同员工的安全和财产保密管理责任;同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求,建立促进管理体系建设持续完善改进的长效机制,确保稳定性,实施安全管理体系的灵活性和能力,并明确各级修订和审查体系文件的要求。
5网络安全技术能力建设
在安全维护管理体系中心建设的基础上,医院已经开始研究建设安全技术管理能力,以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域,安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此,建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务,为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务,以及足够的自我保护能力,以确保自身在网络中的安全,避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力,医院在现有网管区域的基础上,采用以下方式完成安全管理建设技术能力。
5.1终端网络保护
前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接,负责从敏感区的核心节点发送数据,仅易受攻击。因此,通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫,并在它们已经进入安全下一阶段之前预先阻止。
5.2区域网络运维安全设计
(1)建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞,检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估,实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险,并提供强有力的网络技术支持。(2)创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析,管理者不仅可以通过搜索和实时分析日常网络使用中的记录,正确维护日志数据,定义日志审核设备,方便员工随时查看,并随时跨平台监控整个数据中心的安全状态。(3)建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统,可以实时部署专门的高标准风险流量检测分析平台,准确快速收集用户流量,进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为,挖掘这些可能使其隐藏的潜在危险,提供会话进程的所有数据审计处理能力,并不断提高其进程追踪和对攻击源的预测能力。
5.3整合现有安全资源
医院将在保障自身安全和区域安全管理的基础上,转移现有的保障功能,包括资源,非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外,通过研究在服务区内设立专用安全通道和具体的基础设施安全设施,优化全市安全设施功能整合,注重安全设施综合利用,减少不必要的安全设备,提高安全设备维护和安全系统运行效率,完成对全市现有安全防护体系的综合优化。
5.4优化集中控制
在完善现行安全监管制度的基础上,该院先后研发了航站楼和门诊部的安全监控和安全管理系统,为弥补医院现有综合门诊终端保障体系的不足,对医院基础设施进行集中控制和建设,以及医院管理系统的现有背景操作和系统维护,抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此,集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。
6医院构建网络安全管理体系
为有效适应未来最严峻的网络安全发展形势,医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成:综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构,确定了医院事件预警分类管理标准,并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定:为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保,使医院应急系统人员在统一系统的技术指导下,能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点,对信息网络保护系统进行了升级,提高了风险信息的准确性,与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关,建立安全网络。然后,在发展安全管理能力的基础上,围绕“响应性”完善安全运行体系建设,提高响应速度和应对网络安全威胁的能力。在技术上,尝试将连接机制引入安全体系,开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系,紧跟医院信息“医疗卫生互联网”建设步伐在网络时代,促进了医院网络安全建设的发展。
参考文献:
[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.
[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.
[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.
[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.
[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.
[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.
[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.
[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.
篇3
从上世纪八十年代至今,信息技术因其独特的优势在银行业的地位发生了巨大的变化。在银行业应用信息技术之初,只是被作为提高银行工作效率的手段,随着信息技术的不断发展与进步,当前其已经成为银行系统中不可或缺的工具。可以说信息技术的发展促进了银行管理模式的变化,并且直接影响到银行的业务流程[1]。由于银行对信息技术的依赖程度越来越高,银行信息系统的运行安全与银行业的安全以及国家金融稳定密切相关,因此做好银行信息安全管理是保障国家金融稳定运行的重要措施。目前我国银行的信息技术水平与规模得到了不断提高,但在信息安全管理方面存在一些不足,这就需要构建银行信息安全管理体系,对银行的各项信息进行全面的管理,有效避免风险的发生。
1.银行信息安全管理中出现的问题
各种信息技术设备在银行业的广泛应用,虽然有效提升了银行的工作效率与服务质量,但是也逐渐暴露出各种信息安全管理问题,主要表现在以下几个方面。
1.1 信息安全管理体系不健全
我国很多银行在安全管理方面存在各种问题,其中最为普遍的就是信息安全管理体系不健全。这些银行的起步较晚,信息技术的应用范围相对狭窄,在风险评估与等级保护等方面有待完善,并且信息安全的实施策略、标准以及质量控制等还没有达到国际标准。同时部分银行制定的信息安全策略不够完善,尤其表现在信息资产的管理以及业务管理等方面,极大增加了信息系统的安全隐患,而一些银行的信息安全管理工作流于形式,根本没有建立全面而长效的信息安全管理机制。
1.2 运维监控与预警系统存在问题
我国的一些银行还没有建立有效的运维监控与预警系统,或者在银行的硬件设施与业务系统方面存在一些缺陷,无法对银行的重要设备以及周围的环境进行实时监测。部分银行在风险预警监控方面的自动化程度有待提高,而在对突发事件、意外事件等进行预警与监测时人工检测占据了大部分比例,这样就很难保障银行风险预警监控的可靠性与及时性。
1.3 银行工作人员导致的风险
当前很多银行的管理人员并没有加强对员工安全意识的定期强制性培训,员工普遍缺乏安全意识,在工作过程中不能很好地保障银行的信息安全,在出现问题后也无法及时发现,这就导致银行潜在的风险增加。一些银行员工由于缺乏安全意识,可能会将私人的优盘等设备接入银行的信息系统中,导致病毒入侵,直接威胁到银行的信息安全。同时目前银行还普遍缺乏风险管理专业人才,无法做到对风险的专业化管理[2]。
1.4 信息技术的监控与审计不完善
当前部分银行在信息技术的监控与设计方面有待加强。首先审计问题的整改落实不到位,银行在通过审计发现问题后没有及时查处,或者查处的力度不够,缺乏长效的监督;大多采用经济处罚,遇到侵犯领导利益的事件就大事化了或隐瞒事实。其次,银行审计的广度、深度还不够,并且审核的周期与间隔较长,部分基层银行甚至完全不开展信息技术审计工作。一些银行虽然开展了审计工作,但审计缺乏深度,很难识别深层次的安全隐患[3]。
2.加强银行信息安全管理的重要性
银行加强信息安全的主要目的就是为了保障信息化的持续稳定发展,信息安全不仅属于技术问题,也属于管理问题。从信息技术层面来看,当前我们使用的很多操作系统存在一定的安全漏洞,开发商会针对发现的漏洞设计相应的补丁程序,这就需要定期更新系统。例如,运用主机热备份以及灾难备份的方式,可以有效保障信息的安全运行。同时一些软件开放人员在编程设计过程中留有“后门”,如果这些“后门”被不法分子知道,就会将该部分作为攻击目标,进而影响到信息系统的安全。当前大部分的黑客攻击等都是由于系统“漏洞”引起的,因此银行在应用软件过程中应该尽量避免留有“漏洞”。
此外,随着我国信息化技术的不断发展,信息系统的安全管理也被纳入国家的重点项目中。与世界上的部分发达国家相比,我国的信息安全管理工作起步较晚,但是发展较快,并且对系统风险认识的不断深化促进了信息安全管理的发展。对于银行而言,信息安全是至关重要的问题,这是因为任何一个环节出现问题,都会对整个系统的发展带来影响,甚至导致全局性的失误。例如,银行传统的信贷、柜台等业务已经有多年的信息安全管理经验,而信用卡作为一种新型的业务,它连接了多个方面的利益关系,其中涉及到发卡行、特约商户以及持卡人之间的关系,因此信息安全就成为重中之重。在银行开展各项业务过程中,信息和数据是基础[4]。此外,从客户的角度来看,银行在给客户提供服务时,必须保障提供信息的准确性、可靠性与安全性。由此可见,银行加强信息安全管理是十分必要的。
3.构建银行信息安全管理体系的思考
二十一世纪属于信息网络时代,我们生活中的大部分工作与事物都会用到信息技术,而在应用信息技术过程中也伴随着一些信息安全问题。根据银行安全管理中出现的问题,并结合银行业的未来发展规划,我们应该构建一个健全、高效的银行信息安全管理体系。
3.1 建设信息安全管理技术体系
在整个银行信息安全管理体系建设中,先进的技术是其中最为重要的部分,运用先进的信息技术能够有效避免出现安全事件。我们使用较多的信息技术有身份识别、系统防火墙、防病毒技术等,同时也可以使用漏洞扫描、边界防护等技术,通过多种安全防护技术来加强信息安全管理。
在使用防火墙技术时通常是将其设置在网络的边界上,以此对外界进行隔离,对信息安全管理系统进行安全强化[5]。病毒是信息网络中最为常见的安全问题,如果出现网络病毒将给银行带来巨大的经济损失,这个时候我们就需要对重要文件进行实时备份,并且及时更新病毒数据库。此外,在信息安全管理系统中充分应用身份识别技术,即用户在登陆系统提交信息后,系统将严格识别操作者的身份,必要时会控制操作者的操作活动。
3.2 建设信息安全管理体系
所谓“三分技术七分管理”,银行信息安全管理体系中的管理体系起到控制各种活动的作用。首先设置文档化的管理体系,它包括制度建设与人员管理两个部分。从银行的制度、政策、操作流程等多个方面进行监督,对各个角色在信息系统中的活动进行监控。在信息安全管理系统中制定科学完备的管理制度,可以为信息安全提供基本保障,各大银行都应该积极制定并完善自身的信息安全管理制度,如制定并按时更新《信息安全管理办法》等,切实保障信息系统的安全运行。
信息安全管理系统的重要职责就是对操作人员进行管理,在人才选拔过程中应该严格按照银行的聘用制度操作,不能单靠关系。在用人方面应该对员工的行为进行严格监督,加强员工的安全意识培训,避免由于员工的疏忽、私欲等导致银行信息系统被破坏。同时建立科学合理的银行人事任用制度,保证内部员工能够按照相关规范完成信息系统的管理工作,并及时让技术人员掌握最新的技术。通过建设信息安全管理体系,让银行运行过程中的各项程序、日常维护、监控等操作符合规范,以此保障信息系统的稳定可靠运行。
为了提高银行信息系统的安全性,管理人员也需要对已经识别的安全信息进行正确应用,定期检测系统中的安全事件并及时解决,实时监视信息安全管理系统的运行情况,查看技术以及管理方面的控制措施是否合理。对信息系统的监控是一个长期的过程,监控的过程应该密切联系信息系统的周期,监控程序应该能够对与安全相关的结果进行改进,以提高信息系统的安全性。通过信息安全管理系统的构建,让银行业务数据的完整性、准确性与真实性得以保障;让信息系统、网络系统以及其它应用系统的安全性得以保障;让与信息系统相关的设备、环境与存储介质的安全性得以保障。
4.结语
银行在应用先进信息技术提高银行工作效率并方便大众的同时,也应该加强对信息安全的管理,从技术和管理层面构建完善、高效的信息安全管理体系,避免重要信息的泄露,以此有效降低安全事故的发生率,营造良好安全的银行服务环境。
参考文献
[1]赵小东.数据集中模式下银行业信息系统灾备体系的研究与应用[D].山西财经大学,2011.
[2]王阳.基于IS027001的风险评估系统的设计与实现[D].大连理工大学,2010.
[3]王令朝.创建铁路信息安全管理及其标准体系的探讨[J].铁道技术监督,2010,38(07).
篇4
关键词:
终端安全;一体化;体系建设
随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。
1典型的终端安全管理体系应包括的内容
1.1防病毒及终端入侵
防护包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。
1.2补丁状态检查及分发
包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。
1.3移动存储管理
防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。
1.4终端准入管理
实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。
1.5非法外联监控
用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。
1.6主机监控审计
对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。
2传统分散式终端安全管理存在的问题
(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。
(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。
(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。
(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。
(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。
3一体化终端安全管理体系的建设思路
一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。
4结语
要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。
参考文献:
[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.
[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.
篇5
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
篇6
中图分类号:TU201.5 文献标识码:A 文章编号:1009-914X(2015)17-0137-01
职业健康安全管理体系属于国际范畴的管理标准,其具有较高的指导性、通用性以及权威性。职业健康安全管理体系的建立能有效减少企业安全事故的发生,改善企业安全生产管理状况。职业健康安全管理体系的建立能保障企业在市场环境中的可持续发展。职业健康安全管理体系的倡导理念为“持续改进、预防为主”,企业需要在这个竞争激烈的市场环境中得以生存和发展就必须建立完善的职业健康安全管理体系。对于我国的电力施工企业而言,由于其具有较高的技术性和复杂性,并且存在较高的安全风险,因此,电力施工企业建立职业健康安全管理体系是非常必要的。
一、电力施工企业安全管理体系的现状分析
现有电力施工企业的安全管理是条块分开的,没有建立系统性的安全管理体系,其管理框架缺乏动态循环和完整性。电力施工企业的安全管理对法律法规缺乏合理的应用,并且没有结合自身实际情况进行持续改进。职业健康安全管理体系的要求是企业应在安全管理条例中充分应用法律法规及其他行业标准要求,这些条例需要及时更新和下达,并要求企业在运行过程中对目标、方针、管理方案等进行全面改进。而现有的电力施工企业却只是简单的进行现场安全检查、整改等,远没有达到职业健康安全体系的要求标准。现有的电力施工企业对职业的危害性缺乏足够重视。职业危害的概念为一切危及到劳动者健康的因素,这些因素在生产过程、作业环境及劳动过程均会存在。现有的电力施工企业的安全管理核心为预防工伤事故,忽略了职业危害性。现有的电力施工企业在风险评价、控制及预防措施等管理方面有所欠缺,没有形成完善的风险控制管理体系。没有良好的相关文件查询途径,各类文件缺乏明确的保存期限。电力施工企业对于职业健康安全管理工作缺乏良好的衔接,遇到问题只是单纯的解决问题,没有进行管理评审。
二、电力施工企业如何建设职业健康安全管理体系
虽然电力施工企业现有的安全管理制度存在一些不足,但仍具有有效性。因此,电力施工企业只需要结合职业健康安全管理体系对现有的安全管理制度进行完善就可达到系统化、规范化、文件化的管理体系标准。
(一)做好各体系手册、文件的衔接
企业在建立职业健康安全管理体系时会经过质量、环境、计量体系的三方认证,因而,各体系之间会生成手册、程序文件、管理记录。那么,如何在这三者之间达到良好衔接呢?首先,对各体系进行全面的分析,对各类文件进行调整,对相互兼顾却又存在区别的文件进行编制。职业健康安全管理体系中所涉及到的表格数量较多,如员工职业健康体系表、工伤表等,在对这些表格进行记录编号时,应对有职业健康安全记录表编号的表格进行保留,并纳入职业健康安全管理体系中,针对与职业健康安全相关但无记录编号的可另行赋予编号,这样一来,职业健康安全体系中的每个记录表均有唯一的编号,达到提高检查验证效果的目的。这种多手册、文件和记录的衔接不仅提高了工作效率,而且对多体系进行了整合。
(二)加强风险控制
风险控制是整个职业健康安全管理体系的核心,风险控制主要包括危害辨识、风险评价。电力施工企业需要加强对作业活动中的危害辨识,对每种危害进行风险评价,并确定可承受风险范围。对于在可承受范围外的危害应进行风险控制。首先,组织人员进行健康安全管理体系知识培训,人员包括领导干部、管理干部、联络员等重要岗位员工,并对体系方针、目标及相关知识采取多种方式进行宣传,如电视、广播、网络、会议等。组织员工对职业危害进行辨识,并完成危害因素基础调查表的填写。控制风险的具体步骤为划分作业活动、危害辨识、确定风险。在确定风险完成后由安全管理人员对风险的级别进行确认,并制定相应的措施及对策。电力施工企业通过每月进行安全检查、专业检查等方式对体系的建立计划起到督促作用。企业须对各种存在及潜在问题进行归类整理,并公布在局域网上,潜在问题主要是由外审一、二阶段、内审、管理评审等开出的。责任单位和相关单位可依据这些问题及时整改体系。
(三)加强分级管理
由于电力施工企业其管理的层次较多,在建立职业健康安全管理体系时应根据生产和办公区域不同,制定职业安全健康管理职责,对各部门的管理采取分级控制和分层管理。
1、文件管理
对文件的批准、颁布、方法、使用、更改均应按照《文件管理程序》的要求执行。企业可根据单位岗位要求对岗位安全操作规程进行起草,起草文件需要报职业安全健康管理部门审核。应用电子网络管理受控文件,受控文件的领用和签收须按规定进行。为保证文件的最少化、有效性和充分性,凡是涉及职业安全健康的资料和文件一律需报安全健康管理部门备案。
2、分级控制不可承受风险
电力施工企业要根据自身的风险承受能力以及管理水平,将不可承受的风险进行准确辨识,并做好风险的控制。评价不可承受风险的标准为有可能造成重伤、中度或中度以上的事故,加强抗风险能力的原则为集中精力结合现有资料控制好重大危险因素。对不可承受风险进行分级,主要有公司级和厂级,分级后分重点采取应对措施。重大危险源如满足《重大危险源辨识》条件的危险源,应制定应急救援预案,对预案进行有组织地演练。
3、工程项目中应用职业健康安全管理方案
工程项目中建立职业健康安全管理方案的依据为职业健康安全的方针和目标,方案的首选项目为环境作业条件差、污染大的项目。建设项目标准为职业安全健康“三同时”,分工标准以职责和职能而定,具体的组织实施由工程项目组负责。在电力工程项目新建、改建、扩建中应用职业健康安全管理方案能有效遏制职业危害,从源头上减少职业危害。
(四)加强体系的内审员的建设
内审员在职业健康安全管理体系中起着重要作用,加强内审员的建设和管理是提高职业健康安全管理体系的根本。内审员的主要职责为组织内部审核,企业应该为内审员提工更高的平台,不断促进其业务能力的发展。企业在与职业健康管理体系相关的部门中挑选人员进行体系基本知识培训,并对他们往健康工作联络方向培养,鼓励该部分人员参加内审资格证书考试。内审员可参与的工作内容为初试评审、组织协调单位危害辨识、学习风险评价方法。应确保内审员有更多的学习实践机会,并安排内审员担任外审组向导,其主要职责为记录、引导、观摩和学习。组织内审员在组织结束后进行讲评,公布问题和不足,以待后期的整改和借鉴。
(五)将企业文化整合到职业健康安全管理体系中
电力施工企业的职业健康安全管理体系的建设离不开企业文化的支持,企业文化能有效促进企业的发展,企业职业健康安全管理体系同样也体现了企业的管理水平和企业文化水平。因此电力施工企业应加强企业文化的建立,加强人性化管理,确保企业文化与职业健康安全管理体系的共同进步。
三、结语
目前我国电力施工企业由于正处于改革发展阶段,在职业健康安全管理体系的建设方面还不够完善;电力施工企业应建设职业健康安全管理体系,从而达到长期稳定的发展。
参考文献
[1]柳智泉,叶大林.职业健康安全管理体系的建立与实施[J].职业技术,2012,(10):54.
篇7
中图分类号:F913.33 文献标识码:A DOI:10.11974/nyyjs.20170632227
重庆市已经构建了2个部级农业环境以及农产品安全质量相关检测机构,11个市级农产品以及农业生产资料相关检测机构和9个区县级农产品相应质量安全检测站,可以给农产品质量安全相关管理工作提供比较全面的数据资料,可是质量安全管理效率依然有待提升。
1 体系建设研究具体内容
站在系统角度进行分析,对于农产品质量安全具体管理体系建设来说,其主要研究内容包含下列方面。
1.1 分析农产品质量安全具体管理体系理论
深入分析并且考察农产品质量安全相应管理系统的具体结构、主体和该系统运作所具有的复杂性,详细分析农产品质量安全具体管理体系所处研究背景、产生的意义以及价值。对农产品质量安全相应管理体系的具体理论研究,重点是调查研究农产品质量安全相关管理对象[1]。
1.2 处理农产品质量安全具体管理体系构建中存在的问题
应该依据重庆市农产品安全具体管理体系构建现状、产生的问题、问题出现根源和有效解决方法深入开展研究工作,并且提出合理处理问题的对策以及措施。尤其对于不法分子造成的投机取巧、产品弄虚作假、刻意哄抬价格以及鱼目混珠等现象,应该采取有效的打击手段和相应制度性管理措施。
1.3 农产品质量安全有效管理体系建设的相应措施
比较我国农产品质量安全具体管理体系以及国外有效体系,找出我国具体管理体系存在的不足之处[2]。结合重庆区域农产品质量安全具体管理体系构建实际情况,分析其中需要改进的地方,从而使农产品质量安全具体管理体系更加完善。
2 明确体系建设具体指导思想以及目标
通过过去的不断实践,现阶段我国农产品质量检测、认证以及标准化体系具体框架已经基本上形成,给农产品质量安全具体管理体系的体制建设带来了基础以及前提条件,可是依据实践效果可知,我国和西方发达国家相比依然存在较大差距:运行管理比较落后、缺乏检测能力以及人员素质水平较低等。
2.1 指导思想
对于农产品质量安全来说,不仅应该保证生产质量,还需要严格的监管,检验检测方法是确保农产品质量安全的一个主要支撑[3]。针对农产品具体质检体系的构建以及管理,一定要遵循公益这一原则,采取依法推进以及规范建设手段提升体系运行管理实际水平,依据科学规划、有效布局、公正为民以及技术优先方针,显著提升这一质量监管体系所具有的服务能力。
2.2 构建目标
应该科学有效地推进农产品合理质检体系的构建,对运行保障、项目以及机构管理和团队建设进行不断的强化,增强技术能力,保证检测结果具有足够的可靠性,为当地农业发展以及农产品安全提供服务,大力推行合法资质的有效认定,提高体系运行管理水平,构建比较完善的农产品标准化生产体系、具体市场准人体系、科学质量检测体系以及农产品质量安全具体监管体系等。
3 建议
3.1 建立差异化分层次具体质量安全体系构建政策
目前,农产品质量安全相关体系慢慢产生了一种分层次发展趋势,对于基础性以及高端性农产品来说,其采取的生产方式、实际消费方式以及销售方式均具有非常大的差别[4]。所以,需要依据其不同特征建立差异化具体支持政策。生产基础性农产品的时候,为了确保其质量安全,当地政府必须承担主要责任,建设支持无公害相应农产品生产基地,并且对农民合作社里面的治理结构进行不断的完善,与合作社规范化以及标准化发展保持一致,大力扶持无公害农产品的市场营销以及农超对接。在生产相应高端性农产品的时候,当地政府要将引导作用有效发挥出来,制定发展规划,奖励那些创建绿色无公害农产品品牌的企业,并且提供一定投融资支持,比如财政投资参股、贷款担保以及J款贴息等。
3.2 制定可行性比较高的绿色无公害农业发展规划
当地政府必须基于目前产业发展规划合理衔接的条件下,结合本地土壤、水质以及空气环境条件与农产业实际情况合理规划绿色无公害农业有效发展 [5]。选择条件比较适宜的位置规划发展相应绿色无公害农产品生产基地,条件允许的情况下,需要打破行政区划开展规划工作,大力扶持本地规划区里面的龙头企业,并给予一定的奖励,正确引导绿色无公害农产品生产基地里面的农户把那些承包地利用租赁以及入股方式移交给龙头企业,从而有效提高绿色无公害农产品生产基地所具有的规范化以及集约化程度。
3.3 建立农产品产业链具体整合机制
整合农产品整个生产、加工以及销售过程能够对农产品安全质量起到有效控制作用。建立农户、农业合作社以及无公害农产品生产基地整个产业链具体整合机制,必须对合作社以及村级集体经济之间的关系进行有效处理,大力支持以及鼓励跨区域、复合型以及多功能合作社的有效发展。针对绿色无公害农产品,可以将龙头企业当做主体,开展产业链整合工作[6]。主动引进实力比较强的龙头企业来有效打造绿色无公害农产品产业链,并且支持企业在农产品产业链前端有效控制品种,在其中端有效控制生产以及加工过程,在其后端有效控制产品销售市场,保证农产品从生产环节一直至销售环节都足够安全。
3.4 不断提高农产品相应质量安全技术
不断提升公益性农技具体推广服务体系确保农产品质量安全所具有的服务能力以及服务强度,构建专门满足生产者实际需求的合理农技服务机制。大力扶持本地龙头企业对相应绿色无公害农产品生产技术的有效改造升级以及科研攻关工作,对绿色农产品生产以及认证技术规范进行不断的完善,使其更加细化,促进其和国际标准相符。
3.5 对管理体系构建中政府合理购买服务机制进行探索
应该选择达到标准要求的相应合作社以及龙头企业进行合作,并且签订农产品质量相应委托检验检测具体协议,委托其有效检测某一片区里面的农产品质量。当地政府应该提供检测需要的机器设备以及技术指标,严格监管合作社以及龙头企业产生的行为,并且支持中介机构以及第3方企业对农产品质量安全具体追溯系统进行研究。其中前期让当地政府出资委托相应企业追溯其中一些农产品质量安全,等到后期的时候就引导和别的企业之间的商业合作,并提供有效质量追溯服务。
4 结束语
安全管理体系的有效构建能够推动我国农业的进一步发展,给人民健康带来保障,是使我国社会以及经济实现和谐稳定发展目标的关键。所以,我国各个地区应该结合当地农产品质量安全实际情况,构建可靠性比较强的管理以及检测体系,并且对其进行不断的完善,以此来让绿色农产品生产以及认证技术规范,尽量和国际标准接轨。
参考文献
[1]张冬青.RFID技术在构建我国农产品质量安全管理体系中的应用和困境[J].学术交流,2011(5):130-132.
[2]王可山,李秉龙.中国农产品质量安全管理体系现状、问题与建议[J].调研世界,2010(6):7-9,13.
[3]周宁生,苏生平,冯咏芳,等.乡镇农产品质量安全管理体系创建之我见[J].上海蔬菜,2011(5):9-10.
[4]戴萍,卢伟伟.农产品质量安全管理体系存在问题和对策[J].北京农业,2014(36):291-292.
篇8
一、建立数据化的安全管理基础
我国航空的迅猛发展使得空中交通安全管理不可能再继续以前依靠感性、管理者个人经验进行决策的管理模式,而必须向大数据量管理、IT技术支持的现代管理发展。我国航空运输总周转量由1978年世界的第37位上升到2009年的第2位,至今依然是仅次于美国的航空大国,而且根据民航总局的预测:2007一2015年航空运输总周转量的年增长速度为11%。在如此高速发展之下,只有依靠数据化的管理模式才可以提供效率和可靠性更高的安全决策依据,进行运行可靠性的评估和分析,及时预测航空安全趋势并提出针对性强的安全预警。基于数据的安全管理实际上就是以安全管理相关数据的采集、分析和使用为基本框架,充分利用IT技术开发和使用数据资源,进行理性决策的安全管理模式,它将彻底改造以往以感性和经验决策的安全管理模式。基于数据的安全管理以相关数据的采集、分析为基础,并利用数据易复制、传递和进行数据库管理、统计分析的特点,让相关数据渗透到安全管理的全过程,如为安全管理提供决策依据、监控安全运行、评估安全管理的实施效果。基于数据的安全管理实际上就是科学管理思想应用于安全管理的前提和基础。
二、合理配置和管理班组资源
空管运行的基本单位是班组或管制扇区,在大型空中交通管制中心的运行现场往往是数十个管制扇区、上百名管制员同时运行,管制员己不是空管运行的基本单位,一个空管班组对运行中的空管安全负责。当一个班组开始提供空中交通服务时,空中航行安全就只能依靠班组中的所有成员的团结协作来保证,只有充分发挥班组成员的主观能动性,对班组资源进行有效地管理,才能从整体上提升管制团队的保障能力,实现持续稳定的空管安全。如果空管行业只建立班组而不注重班组资源管理,那么显示班组整体水平的往往不是班组里能力最强的管制员,而是最差的管制员,这就是著名的木桶理论。不同的人知识和技能不尽相同,对同样的情况可能做出不同的判断。长时间工作,管制员难免疏漏之处,处置特情也有可能顾此失彼。但是好的班组成员之间会相互提醒、扬长避短、相互弥补、相互监督,从而有效地抵御运行中的风险,这样的“木桶”才能盛更多的水。安全系于整体,整体基于个体。只有充分发挥班组资源的潜能,才能保持持续安全的状态。班组成员(一线管制员)是管制工作中最活跃的因素,管制员素质以及班组资源整合的优劣,决定了工作的质量和管制服务的水平。这就涉及到班组劳动组织优化的问题。即根据管制工作中的软硬件设施、管制环境等相关因素、合理地配置劳力,使管制员与管制员之间,管制员与软硬件之间、管制员与管制环境之间达到最佳组合。所谓人尽其才,物尽其用,从而高效的完成安全生产任务。
(1)优化班组的劳动组织
班组人数设置适当,不宜过多或过少。人员过少,工作负荷过重,班组人员易感到劳动强度过大而力不从心,工作差错的发生率提高,对保证安全不利。人员过多,则劳动者在工作时间不能达到最佳工作负荷,造成人力资源的浪费。班组人员的结构应合理配置。管制员与管制员之间在管制水平、技能、阅历、年龄、性格、体能等各方面存在差异,所以在人员结构的安排上,应慎重考虑,使之合理,班组内部人员在各因素中要达到互补和支持。工作应协调,责任应明确。班组各成员就像茫茫大海中一叶孤舟上的水手,只有心往一处想,劲往一处使,才能达到安全的彼岸。班组最忌讳的是成员之间相互猜忌、挑剔和拆台。班组要鼓励同舟共济的品质以期打造一支具有强大凝聚力的管制团队。还要建立一套责任分工和风险共担的双重机制。班组人员配置应相对固定。经过优化后的班组,成员之间历经长期磨合而形成的沟通顺畅、配合默契、关系融洽的人文环境对于保障安全是十分有利的,若无特别需要,不要随便打乱班组人员配置,不要轻易更换班组成员。
(2)重视班组内部沟通
沟通是成员之间加深了解的途径,也是协作配合的基础。沟通之于班组,好比血液循环之于生命。沟通也是确保成员之间信息共享和集体决策的基础。管制员之间的沟通包括态度、情感、思想、观念、意图的交流。在沟通中还应注意时效性。空中交通管制是一项讲究实效性的工作,信息实时更新,局势瞬息万变,须知任何信息的滞后都可能导致严重的后果。
三、构建完善的民航风险管理体系
近年来,我国航空运输呈现出的持续高速发展,国内外形势的变化,民航的各种突发事件,凸显出空中交通服务保障能力的瓶颈效应。要解决这些安全隐患,提高安全管理水平,民航空管必须从传统的经验管理转向系统的安全风险管理。根据现代风险管理学的思想,只有系统地分析识别管制指挥过程中所存在的各种危险源(风险因素),分析其对管制运行的影响,构建系统的风险控制方法,才能从根本上降低管制指挥过程中的运行风险。我国民航在长期的管理中形成了自己的一套工作方法和工作程序,基本保障了我国民航的正常运行,但是航空业高速发展的现实向我们提出了新的挑战,如何完善民航的风险管理体系,如何能更科学更有效地应对各种风险因素,化解各种矛盾,预防控制民航的各类突发事件,增强风险意识,提高防范和应对风险的能力,提高民航的风险管理水平,完善风险管理体系正成为民航发展中面临的紧迫而重要的课题。完善风险管理体系建设的基木途径和方法有:
(1)定期开展风险评估
缺乏预警和风险评估机制是民航空管局目前存在的一个问题,由于不少单位缺乏常设性的突发事件应急管理综合协调机构,对各种突发事件在发生前,缺乏定期和全面系统的风险因素(危险源)分析。近年来,针对民航己经发生的各类突发事件,各地空管局都制定了各种突发事件应急预案,但这其中相当数量的预案都是上行下效,缺乏针对木单位本部门全而系统风险因素(危险源)的分析评估,对各类风险发生时候呈现的状态没有比较深入细致的分析研究,对风险因素的本质性缺乏科学的评判。定期开展风险因素(危险源)分析,进行风险评估,可以有效地预防风险发生。
(2)制定的突发事件应对计划和预案
与相关的法律、法规以及应急保障资源的规划、建设和综合管理机制等方面有待进一步协调尽管我们国家法制建设取得了长足的进步和发展,许多法律得以颁布和完善,但是,由于民航体制的改革,空管的独立,许多原来的法律法规都已经不能适应新的形势需要,加强相关法制建设,完善各类制度成为完善空管风险管理体系的一项基本性工程。因此,我们在开展构建适合自身的安全管理体系时,要更新和完善运行手册,管理手册和程序文件。
结论
现代航空运输在装备技术方面的复杂性,运行条件的多变性和整体要求的严格性都居运输业之首,要进一步提高安全水平,单靠装备技术的进步是不够的。我国民航的安全水平与世界发达国家相比仍然存在着巨大的差距,除技术、设施落后以外,规章制度不健全,规范化意识淡漠,管理粗放,军民航空域协调等都是急待解决的问题,安全运行管理是现代民用航空管理的核心组成部分。它作用于“人一机一环境一管理”系统的每一个环节,对于空中交通管制部门而言,安全运行管理是保障部门运行正常的前提条件;对于民航当局而言,安全运行管理是推动国家民航业持续、健康发展的根本手段。
篇9
当前,随着我国高速公路事业得到蓬勃发展,特别是高速公路网的形成,其安全管理的广度、深度、难度都在日渐增大。安徽省高速公路控股集团池州管理处管辖G50沪渝高速池州段、S27安东高速和G35济广高速池州段,总里程162公里。路段内高边坡、特大桥、长大隧道众多,管养难度大,安全管理的任务也因此更重。管理处自2006年11月份组建运行以来,始络将安全管理工作视为头等大事,出实招、办实事、求实效,安全态势持续健康平稳;自2007年始,连续5年被池州市人民政府授予市级“安全生产先进单位”;2011年度成为安徽省首批“安全文化建设示范企业”命名单位。回顾多年来取得的安全绩效,值得总结和探讨的地方很多,笔者深有感触,应从以下几个方面着重加强:
1.建设安全文化,提高安全本质水平
安全文化是社会主义文化的重要组成部分,安全文化建设也是提升企业安全管理水平、实现企业本质安全的重要途径。结合营运安全管理实际,将企业发展愿景和安全管理的理念、取向渗透到营运管理的各个环节,以员工为本、以发展为基、以安全为重,通过培育理念文化、完善制度文化、打造视听文化、创新管理文化、丰富载体文化,使职工在耳濡目染中受到安全教育。通过多方位、多角度的系列活动,面向社会、面向员工、面向司乘、面向沿线群众,大力传播安全文化知识、安全法律法规,推进安全文化、安全理念、安全法律和安全知识的深植、固化,强夯本质安全。
2.加大安全设施的投入,提高安全管理绩效
为保障车辆安全行驶,加强对高速公路护栏、桥梁护栏、隔离设施、防眩设施、视线诱导设施、照明设施及交通标志、标线等安全附属设施的管理及维护,确保完好率;在长大隧道、长大纵坡、转弯路段、事故多发点增设减速震荡标线、安全行车标志牌、太阳能爆闪灯,隧道入口反光标牌,以警示驾驶人员安全行车。此外,还修建方便冬季司乘防滑自救的储料池,改造桥头跳车和桥面伸缩缝,完善隧道照明系统、扩建隧道消防蓄水池,新增隧道区上下行互通线,不断完善道路硬件设施建设,降低交通事故发生率。在冰雪等恶劣天气发生时,不计成本,利用科技力量、机械力量,快速进行道路抗雪除冰工作,全力改善不利路况,预防重特大事故发生,提高安全管理率。
3.重视特殊天气、特别路段的安全管理工作
大雨、大雾、大风、大雪、雷电、冰冻等恶劣气候对高速公路安全畅通影响巨大,极易发生恶性生产安全事故。因此,一要信息互通、报告及时。相邻经营单位要密切配合,共同防范;一旦出现恶劣天气,科学安排警力提供第一手资料。二要强化管控、多措并举。通过就近分流以及路况实时信息等方式及时疏散因雾雪等恶劣天气造成的大量车辆滞留;对恶劣天气下重点路段和危险区域进行巡查;三要根据天气对道路影响程度,适时采取间断放行、控制车速、分流车辆和封闭高速公路的交通管制措施,严管大型客车、“三超”车、运输危险化学品等车辆。四要强化协作、配合到位。通过各负其职,层层联动,做到调度有序、快速救援、及时处置,最大限度的减少人员的伤亡和财产损失。
4.进一步完善应急管理体系,健全应急处置机制
首先强化应急预案管理。对重大危险源和重点工作岗位都有专项应急预案或现场处置方案,应急预案的制定要有相关的专家参与,提高科学性和合理性;其次,落实应急预案演练。要建立应急演练制度,以演带练,做到快速响应、快速救援、快速处置;针对发现的问题及时修订预案、完善应急措施。三是加强应急救援保障体系建设。做好应急装备、物资的储备,并做好日常维护管理,并视需要购置相应的应急救援技术装备;加强人员应急培训,提高各级管理人员和全体员工的应急意识和应急能力。最后,进一步完善联动机制,对雾、冰、雪等自然灾害或安全事故,协调各方面的关系,充分发挥联动机制一体化的优越性,共同应对、共同防范。
5.做好事前防范工作,杜绝安全隐患
安全预防是管理上的最大效益。牢固树立预防为主、预防在先的意识,由注重事后查处向注重事前防范转变,由事后的被动经验管理向事前主动预防管理转变,由被动整改向主动抓管理、抓基层、抓基础转变,切实推动安全管理工作重点下移、关口前移,加强事前防范,提高工作的前瞻性。首先,抓源头防范,从落实责任、健全机制、强化措施入手,严把源头关,切实做好各项预防工作,从源头上消除事故隐患;其次,抓过程管控,将安全生产管理工作融入到日常营运管理工作当中,把握安全生产的进度,针对出现的安全管理问题开展全面的评估,并使其常态化、规范化和制度化,确保安全生产“可控、在控和能控”;最后,抓重大危险源控制,加强对关键环节、重点部位、重点设备及重大危险源等专项排查及整改工作,杜绝安全事故隐患。
6.积极探索实践,构建安全共管体系
针对高速公路营运安全管理中出现的新情况、新特点,要不断探索高速公路安全管理模式。建立路警、路地、路养安全共管和应急联动机制,充分发挥了交警、路政、消防、医疗、养护、施救、地方政府等各方合力,促进安全共管体系不断在探索中完善;聘请沿线乡镇分管负责人为路段长,建立“路地共管”安全网络,延伸高速公路安全监管网络,及时化解了高速公路营运管理和沿线群众生产生活之间的矛盾;拓展跨区域性管理协作渠道,与相邻高速经营单位签订了涉及运营管理、安全管控等合作协议,全面提高道路运营管控能力,确保相邻路段的安全有序;深化与高速交警、高速路政、路段养护、清障施救的“五方联动”应急工作机制,坚持信息资源共享,长期开展勤务联动,增强预警演练和培训,充分发挥各部门职能优势,打造“平安高速”。
篇10
中图分类号:F272.9 文献标识码:A 文章编号:1009-914X(2014)45-0152-01
0 引言
任家庄煤矿位于宁夏灵武市东北约20 km的毛乌素沙漠的边缘,是横城矿区开发建设的第一对现代化矿井,设计生产能力240万吨/年。矿井采用斜井开拓方式,服务年限54.9年,主采煤层为三、五、九层煤。目前我矿生产的特点是生产工艺复杂,参与生产的设备种类多、工种多、联合作业多,点多面广,安全管理难度大。传统煤矿安全管理主要依靠事故经验教训,管理跟着事故跑,主要采取行政推动、会议布置、集中整治等手段,管理无程序无标准,缺乏前瞻性和计划性,常常是“一个问题没解决,更多的问题冒出来”,管理顾此失彼,处于“救火式”的被动局面。2014年,我矿探索并推行的煤矿风险预控管理体系,有效地提升了煤矿安全管理水平,促进了我矿的安全发展。
1 风险预控管理体系根本特征和意义
煤矿本质安全管理体系强调以危险源辨识和风险评估为基础,以风险预控为核心,以不安全行为管控为重点,通过对煤矿安全生产过程中存在的危险源采取有效的消除、减少、稀释和隔离等措施,从而实现“人、机、环、管”的最佳匹配,力求将煤矿风险降低和保持在可容忍水平。
2 风险预控管理体系推进过程中存在的主要问题
2.1 部分领导安全管理体系化意识淡薄,风险预控管理体系推进人员缺乏专业培训。
在我矿风险预控管理体系建设和推进中存在着领导安全管理体系化意识差,对风险预控管理体系工作了解重视程度不够深入,没有把风险预控管理体系作为提高本单位安全管理水平的手段和措施,依旧依赖于传统的安全管理方式,对风险预控管理体系工作人员培训力度不够,对风险预控管理体系工作的投入不足,影响了体系的有效贯彻和实施。
2.2 风险预控管理体系不够完善。
风险预控管理体系是一个动态工程,在体系建立过程中,个别存在部分的评价考核体系中和各小项所制定的标准存在矛盾或管理环节接叉不清,存在管理工作重复交叉,职责权限不清等现象。单凭综采考核标准部分就未能体现独有的特色,如工程质量考核、文明生产标准不统一等。本质安全管理信息系统止步于通过录入安全检查查处的危险源和人员不安全行为,并按照本质安全考核管理办法给定的运算系数和公式给出一个考核分值的简单功能。现有功能设置达不到考核管理体系自身要求,系统的维护和系统中基础信息修改的功能设置完全达不到安全管理人员的需求,且现有功能仍然存在很大的缺陷,相关安全信息基础资料的统计仍需用人工的方式来完成。
2.3 专业检查种类繁多。
风险预控管理体系中的两大元素生产过程现场控制和机电管理,每月集团公司专门成立了专业考核组进行检查考核、我矿风险预控管理体系每月分一次检查考核、质量标准化3次检查互相重复。我矿相关业务部门在接受上级公司的专业考核组检查的同时还承担本安体系检查考核的准备工作,且通常以专业检查为主,以本安检查为辅,分化了集中推进本质安全管理体系的精力,无形中对本安体系的推进和落地产生了阻碍。
2.4 风险预控管理流于形式主义。
本安体系在建立和贯标过程中主要依靠“第三方”暨本安体系研究小组,搞的是“运动战”一阵风,人员专业性不强,虽然投入了较大的人力和物力,但没有真正从改进和提高我矿基础管理工作入手。目前的风险预控管理体系,仅仅是靠某几个职能部室和某几个人进行日常的运转,PDCA持续改进的循环模式形不成闭环,其它环节存在执行不力的现象。在本安体系推进工作并没有落实到安全管理的核心级,没有直接落实到班组这一级别层面,没有实现全员参与,科、队级管理和班组级落实方面存在“两张皮”或者“无作为”的现象,导致风险预控运行效果不理想。
3 完善本质安全管理体系建设,推进我矿本质安全管理体系落地的措施和建议
3.1 发挥领导作用,确定我矿安全管理目标
煤矿领导应决定建立风险预控管理体系所需达到的程度和目标,充分考虑内部管理需要、外部需要,各方面的结合等因素,以及是否需要外部确认,外部确认立足达到的等级,如本安一级,二级,国家级质量标准化等;提供本安体系完善和推进本安体系落地所需要的资源,做好内外信息沟通。我矿在安全管理目标确定以后,将安全目标逐层分解至科队级和班组级,科队和班组分别根据矿、队级分解后的目标再次加以分解,对能量化的进行量化,不能量化的确定时间、节点、工期。矿安全管理科负责对分解后的安全目标执行情况进行跟踪验证,最终将实现全矿安全目标的责任主体落实至每一位员工,并通过践行积极、健康、文明、向上的矿安全文化,凝聚每一位员工的向心力,最终实现矿安全目标。
3.2 完善组织构架,落实安全生产责任
煤矿在采用和推进风险预控管理体系时,应确定一个完整的组织构架,确定风险预控管理体系化所需的各种职能。由于风险预控管理体系化是一项长期的持续工作,在组建结构时应充分考虑体系化组织结构的长期性、人员的稳定性,人员的综合素质与能力。确保由有一定安全管理基础和专业能力的人员担任相关职务,否则很难正确指导风险预控管理体系建设完善和推进工作,甚至是误导。
矿长作为安全生产第一责任人,在组建安全管理委员会的同时,应考虑到风险预控管理体系是目前国内符合煤矿安全生产实际安全管理理论集大成者,坚持推进和贯彻落实本质安全管理系统是一项长期任务,应设立专业科室,并配备足够的具有安全工程专业知识的人员,专职负责风险预控考核管理工作。
3.3 强化“分级管理、分线负责”的工作思路,持续推进“六化”考核。
我矿应该强化“分级管理、分线负责”的工作思路,明确和界定安全管理机构和业务主管部门的安全生产工作职责,持续推进“六化”考核,持续稳定地推进安全主体责任的落地。
按照“层次分明、各有侧重”的原则,明确矿、队、班组安全管理工作职责和工作重点。从上到下形成一级抓一级,一级对一级负责,安全责任逐级传递的“分级管理”工作机制。
六化检查考核具体为:一、检查人员全员化,充分体现全员参与的思想。二、检查内容制度化,将考核评分标准按专业分成四个考评表。每月矿领导级别考核人员分专业组,进行检查考核。职能科室考核按生产单位分专业组,做到检查、录入、整改、复查、消警的全过程闭环管理。三、检查手段多样化,既检查现场隐患,又审查内业资料,既人工检查,又利用各类设备、仪器精确检测,既有对待设备的静态检查,又有跟踪作业循环,查看联合作业执行情况的动态检查。四、检查时间动态化,既包括日常检查、月定期检查、季节性检查、特殊天气检查、夜间检查、节假日检查,又有消防器材、危险化学品等在特殊时期的专项检查。五、检查层次多元化,每次检查都要联合生产、安全、机电、技术各专业人员。参与成员包括矿领导、职能科室负责人、生产单位队长、专业技术人员、安监员等。六、检查岗位流程化,每次检查必须严格检查岗位工种标准作业流程,现场实操与手指口述结合,目的是严防“知道做不到”的问题发生。
