第一篇:2信息安全檢查與審計(jì)管理制度
xxxx網(wǎng)絡(luò)中心
信息安全檢查與審計(jì)管理制度
第一章 總則
第一條 為了加強(qiáng)xxxx網(wǎng)絡(luò)中心(以下簡(jiǎn)稱“網(wǎng)絡(luò)中心”)信息安全檢查與審計(jì)工作管理,確保信息安全管理符合國(guó)家有關(guān)要求,特制訂本制度。
第二條 本規(guī)定適用于xxxx網(wǎng)絡(luò)中心。
第二章 安全檢查
第三條 信息安全檢查包括各業(yè)務(wù)處室自查和信息安全部門定期執(zhí)行的安全檢查。
第四條 各業(yè)務(wù)處室的自查內(nèi)容應(yīng)包括業(yè)務(wù)系統(tǒng)日常運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況,自查工作應(yīng)保留自查結(jié)果。自查應(yīng)至少一個(gè)季度組織一次。
第五條 信息安全部門執(zhí)行的安全檢查內(nèi)容應(yīng)包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況和業(yè)務(wù)處室自查結(jié)果抽查等。安全檢查應(yīng)至少半年組織一次。
第六條 自查和安全檢查均應(yīng)在檢查之前形成檢查表,自查檢查表應(yīng)經(jīng)過(guò)業(yè)務(wù)處室領(lǐng)導(dǎo)審核通過(guò),安全檢查表應(yīng)經(jīng)過(guò)信息安全工作小組審核通過(guò)。
第七條 應(yīng)嚴(yán)格按照檢查表實(shí)施檢查,檢查完畢,記錄下所有檢查結(jié)果,檢查記錄需經(jīng)各業(yè)務(wù)處室領(lǐng)導(dǎo)簽字認(rèn)可。
第 1
頁(yè) 第八條 應(yīng)對(duì)檢查記錄進(jìn)行歸檔,只有授權(quán)人員可以訪問(wèn)閱讀
第九條 應(yīng)對(duì)檢查結(jié)果進(jìn)行匯總分析,形成安全檢查報(bào)告,檢查報(bào)告應(yīng)對(duì)問(wèn)題進(jìn)行分析,提出解決建議。
第十條 應(yīng)制定措施防止安全檢查結(jié)果的非授權(quán)散布,只對(duì)經(jīng)過(guò)授權(quán)的人員通報(bào)安全檢查結(jié)果。
第十一條 各業(yè)務(wù)處室應(yīng)閱讀并理解安全檢查報(bào)告,在信息安全處的指導(dǎo)下對(duì)出現(xiàn)的問(wèn)題進(jìn)行整改。信息安全處應(yīng)對(duì)整改過(guò)程進(jìn)行監(jiān)督,并將整改結(jié)果報(bào)送信息安全工作小組。
第三章 安全審計(jì)
第十二條 安全審計(jì)作為整體審計(jì)工作的一個(gè)部份,依據(jù)審計(jì)工作相關(guān)管理辦法開(kāi)展安全審計(jì)工作。
第十三條 安全審計(jì)人員的配備應(yīng)根據(jù)實(shí)際情況,采用如下方法的一種,原則上應(yīng)以審計(jì)部門培養(yǎng)自身獨(dú)立的安全審計(jì)人員為主,其他手段為輔。
1、由審計(jì)部門獨(dú)立完成,使用審計(jì)部門具備相應(yīng)技能的人員完成審計(jì)工作;
2、由審計(jì)部門和信息中心共同完成,信息中心指派熟悉技術(shù)的人員配合審計(jì)部門完成審計(jì)工作,本情形需注意審計(jì)獨(dú)立的原則,進(jìn)行交叉審計(jì);
3、聘請(qǐng)外部專業(yè)審計(jì)單位完成審計(jì)工作 第十四條 安全審計(jì)的內(nèi)容主要包括:
第 2
頁(yè)
1、相關(guān)法律法規(guī)的符合情況;
2、管理部門的相關(guān)管理要求的符合情況;
3、現(xiàn)有安全技術(shù)措施的有效性;
4、安全配置與安全策略的一致性;
5、安全管理制度的執(zhí)行情況;
6、安全檢查和自查的檢查結(jié)果及檢查報(bào)告;
7、日志信息是否完整記錄;
8、各類重要記錄是否免受損失、破壞或偽造篡改;
9、檢查系統(tǒng)是否存在漏洞;
10、檢查數(shù)據(jù)是否具備安全保障措施。
第十五條 安全審計(jì)工作應(yīng)具有獨(dú)立性,避免有舞弊的情況發(fā)生。
第十六條 安全審計(jì)的方式分為:
1、全面審計(jì):即審計(jì)內(nèi)容覆蓋安全管理范圍內(nèi)的所有部門,以及所有信息安全控制措施要求的檢查。
2、專項(xiàng)審計(jì):即審計(jì)內(nèi)容只涉及部分部門,或部分信息安全控制措施要求的檢查。
第十七條 無(wú)論是采用全面審計(jì)還是專項(xiàng)審計(jì)方式,安全審計(jì)應(yīng)每一年對(duì)所有的部門,以及所有的信息安全控制措施要求至少進(jìn)行過(guò)一次審計(jì)。
第十八條 被審計(jì)方應(yīng)積極配合信息安全審計(jì)工作,應(yīng)對(duì)審計(jì)結(jié)果進(jìn)行確認(rèn)。
第 3
頁(yè) 第十九條 安全審計(jì)工作中發(fā)現(xiàn)的不符合事項(xiàng)應(yīng)按照審計(jì)管理相關(guān)制度要求進(jìn)行改進(jìn)。審計(jì)部門應(yīng)將改進(jìn)過(guò)程和結(jié)果通告給信息安全工作小組。
第四章 附則
第二十條 本制度的解釋權(quán)歸xxxx網(wǎng)絡(luò)中心。
第二十一條 本制度自發(fā)布之日起生效。
第 4
頁(yè)
第二篇:信息系統(tǒng)安全審計(jì)管理制度
信息系統(tǒng)安全審計(jì)管理制度
第一章 工作職責(zé)安排
第一條 安全審計(jì)員的職責(zé)是: 1.制定信息安全審計(jì)的范圍和日程; 2.管理具體的審計(jì)過(guò)程;
3.分析審計(jì)結(jié)果并提出對(duì)信息安全管理體系的改進(jìn)意見(jiàn);
4.召開(kāi)審計(jì)啟動(dòng)會(huì)議和審計(jì)總結(jié)會(huì)議; 5.向主管領(lǐng)導(dǎo)匯報(bào)審計(jì)的結(jié)果及建議; 6.為相關(guān)人員提供審計(jì)培訓(xùn)。
第二條 評(píng)審員由審計(jì)負(fù)責(zé)人指派,協(xié)助主評(píng)審員進(jìn)行評(píng)審,其職責(zé)是:
1.準(zhǔn)備審計(jì)清單; 2.實(shí)施審計(jì)過(guò)程; 3.完成審計(jì)報(bào)告;
4.提交糾正和預(yù)防措施建議; 5.審查糾正和預(yù)防措施的執(zhí)行情況。第三條 受審員來(lái)自相關(guān)部門,其職責(zé)是: 1.配合評(píng)審員的審計(jì)工作; 2.落實(shí)糾正和預(yù)防措施; 3.提交糾正和預(yù)防措施的實(shí)施報(bào)告。
第二章 審計(jì)計(jì)劃的制訂
第四條 審計(jì)計(jì)劃應(yīng)包括以下內(nèi)容: 1.審計(jì)的目的; 2.審計(jì)的范圍; 3.審計(jì)的準(zhǔn)則; 4.審計(jì)的時(shí)間;
5.主要參與人員及分工情況。第五條 制定審計(jì)計(jì)劃應(yīng)考慮以下因素: 1.每年應(yīng)進(jìn)行至少一次涵蓋所有部門的審計(jì); 2.當(dāng)進(jìn)行重大變更后(如架構(gòu)、業(yè)務(wù)方向等),需要進(jìn)行一次涵蓋所有部門的審計(jì)。
第三章 安全審計(jì)實(shí)施
第六條 審計(jì)的準(zhǔn)備:
1.評(píng)審員需事先了解審計(jì)范圍相關(guān)的安全策略、標(biāo)準(zhǔn)和程序;
2.準(zhǔn)備審計(jì)清單,其內(nèi)容主要包括: 1)需要訪問(wèn)的人員和調(diào)查的問(wèn)題; 2)需要查看的文檔和記錄(包括日志); 3)需要現(xiàn)場(chǎng)查看的安全控制措施。
第七條 在進(jìn)行實(shí)際審計(jì)前,召開(kāi)啟動(dòng)會(huì)議,其內(nèi)容主要包括:
1.評(píng)審員與受審員一起確認(rèn)審計(jì)計(jì)劃和所采用的審計(jì)方式,如在審計(jì)的內(nèi)容上有異議,受審員應(yīng)提出聲明(例如:限制可訪問(wèn)的人員、可調(diào)查的系統(tǒng)等); 2.向受審員說(shuō)明審計(jì)通過(guò)抽查的方式來(lái)進(jìn)行。第八條 審計(jì)方式包括面談、現(xiàn)場(chǎng)檢查、文檔的審查、記錄(包括日志)的審查。
第九條 評(píng)審員應(yīng)詳細(xì)記錄審計(jì)過(guò)程的所有相關(guān)信息。在審計(jì)記錄中應(yīng)包含下列信息:
1.審計(jì)的時(shí)間;
2.被審計(jì)的部門和人員; 3.審計(jì)的主題 ; 4.觀察到的違規(guī)現(xiàn)象;
5.相關(guān)的文檔和記錄,比如操作手冊(cè)、備份記錄、操作員日志、軟件許可證、培訓(xùn)記錄等; 6.審計(jì)參考的文檔,比如策略、標(biāo)準(zhǔn)和程序等; 7.參考所涉及的標(biāo)準(zhǔn)條款; 8.審計(jì)結(jié)果的初步總結(jié)。
第十條 如懷疑與相關(guān)安全標(biāo)準(zhǔn)有不符合項(xiàng)的情況,審計(jì)員應(yīng)記錄所觀察到的詳細(xì)信息(如在何處、何時(shí),所涉及的人員、事項(xiàng),和具體的情況等)并描述其為什么不符合。關(guān)于不符合的情況應(yīng)與受審員達(dá)成共識(shí)。
第十一條 在每項(xiàng)審計(jì)結(jié)束時(shí)應(yīng)準(zhǔn)備審計(jì)報(bào)告,審計(jì)報(bào)告應(yīng)包括:
1.審計(jì)的范圍;
2.審計(jì)所覆蓋的安全領(lǐng)域; 3.審計(jì)結(jié)果的總結(jié);
4.不符合項(xiàng),不符合項(xiàng)的具體描述和相關(guān)證據(jù); 5.糾正和預(yù)防措施的建議。
第十二條 不符合項(xiàng)是指與等級(jí)保護(hù)基本要求不一致的情況。產(chǎn)生不符合項(xiàng)可能是由于與相關(guān)的規(guī)定不一致,包括:
1.等級(jí)保護(hù)基本要求; 2.信息安全策略; 3.相關(guān)標(biāo)準(zhǔn)和程序; 4.相關(guān)法律條款; 5.本單位的相關(guān)規(guī)定;
6.任何其它在客戶合同中規(guī)定的要求。
第十三條 不符合項(xiàng)可以細(xì)分為“主要”或“次要”。如果所發(fā)現(xiàn)的不符合項(xiàng)屬于下列任何一種情況,此不符合項(xiàng)應(yīng)被分類為 “主要”的:
1.會(huì)導(dǎo)致系統(tǒng)、程序或控制措施整體失效; 2.操作過(guò)程沒(méi)有形成標(biāo)準(zhǔn)的文檔;
3.累計(jì)多個(gè)同一類型的“次要”不符合項(xiàng); 4.對(duì)信息安全管理體系的未授權(quán)變更。
如果所發(fā)現(xiàn)的不符合項(xiàng)屬于個(gè)別事件,此不符合項(xiàng)將被分類為 “次要”的,例如:
1.未標(biāo)識(shí)信息安全分類的文檔; 2.沒(méi)有被管理層審閱的事故報(bào)告; 3.不完整的變更記錄; 4.不完整的機(jī)房進(jìn)出記錄。
第十四條 造成不符合項(xiàng)的原因可以分為以下幾種: 1.其文檔化的標(biāo)準(zhǔn)和程序與信息安全策略不一致; 2.實(shí)際的操作與文檔化的標(biāo)準(zhǔn)和程序要求不一致; 3.實(shí)際的操作沒(méi)有達(dá)到預(yù)期效果。
第四章 安全審計(jì)匯報(bào)
第十五條 召開(kāi)審計(jì)總結(jié)會(huì)議。應(yīng)總結(jié)匯報(bào)以下內(nèi)容: 1.審計(jì)的目標(biāo)和范圍; 2.審計(jì)的時(shí)間; 3.參與審計(jì)的人員;
4.審計(jì)報(bào)告(包括糾正和預(yù)防措施的建議); 5.提交審計(jì)報(bào)告的副本供受審員參考。第十六條 在總結(jié)會(huì)議上,受審員應(yīng)闡述任何疑問(wèn)。
第五章 糾正和預(yù)防措施
第十七條 糾正和預(yù)防措施應(yīng)該包括問(wèn)題描述、根本原因、應(yīng)急措施(可選)、糾正措施以及預(yù)防措施。
第十八條 受審員必須制定糾正和預(yù)防措施的實(shí)施計(jì)劃。
第十九條 受審員應(yīng)在規(guī)定時(shí)間內(nèi)向評(píng)審員提交糾正和預(yù)防措施的實(shí)施報(bào)告。
第六章 審計(jì)糾正和預(yù)防措施的實(shí)施狀況
第二十條 評(píng)審員應(yīng)在受審員提交報(bào)告的3個(gè)月內(nèi),審計(jì)糾正和預(yù)防措施的實(shí)施狀況。
第二十一條 審計(jì)糾正和預(yù)防措施應(yīng)包括:面談、現(xiàn)場(chǎng)檢查、文檔的審查以及記錄(包括日志)的審查。
第二十二條 評(píng)審員根據(jù)受審員提交的糾正和預(yù)防措施實(shí)施報(bào)告,收集、記錄和審查相關(guān)證據(jù)。
第七章 審計(jì)結(jié)果的審閱
第二十三條 安全審計(jì)員應(yīng)審閱和分析所有審計(jì)結(jié)果。第二十四條 受審員的領(lǐng)導(dǎo)在審閱審計(jì)結(jié)果時(shí),應(yīng)分析的事件包括審計(jì)計(jì)劃、此次審計(jì)結(jié)果和上次審計(jì)結(jié)果的比較、糾正和預(yù)防措施。
第八章 附 則
第二十五條 本制度由某某單位負(fù)責(zé)解釋。第二十六條 本制度自發(fā)布之日起生效執(zhí)行。
第三篇:淺談安全審計(jì)與安全檢查的區(qū)別
淺談安全審計(jì)與安全檢查的區(qū)別
隨著中國(guó)民航的高速發(fā)展安全管理正在向科學(xué)化、規(guī)范化、系統(tǒng)化轉(zhuǎn)變,行業(yè)安全水平有了很大提高,但安全保障能力與行業(yè)快速發(fā)展還不相適應(yīng),安全基礎(chǔ)相對(duì)薄弱,安全管理體系處在完善之中。為此,從2006 年起民航總局決定,對(duì)民航企事業(yè)單位實(shí)施安全審計(jì),目的是全面掌握民航企事業(yè)單位安全運(yùn)行狀況,督促并指導(dǎo)其建立和完善安全管理體系和長(zhǎng)效機(jī)制,提升行業(yè)安全運(yùn)行整體水平。與此同時(shí)各大航空公司、機(jī)場(chǎng)根據(jù)要求在做好安全檢查的同時(shí)積極開(kāi)展安全審計(jì),并將安全審計(jì)編入SMS手冊(cè)中。
本人有幸參加過(guò)幾次審計(jì)工作及相關(guān)的培訓(xùn),通過(guò)幾次的培訓(xùn)發(fā)現(xiàn)被審計(jì)單位和員工往往將安全審計(jì)與安全檢查混在一起,分不清兩者的差別,在此有必要對(duì)安全審計(jì)與安全檢查的區(qū)別進(jìn)行闡述,以便對(duì)今后的安全管理工作及接受外部的審計(jì)提供幫助。安全審計(jì)與安全檢查兩者之間大致有7個(gè)方面的不同。
一、性質(zhì)上不同
安全審計(jì)是一種安全監(jiān)督,企業(yè)內(nèi)部的安全審計(jì)它是根據(jù)企業(yè)的利益(具體為有關(guān)法律、法規(guī)、方針、政策及審計(jì)標(biāo)準(zhǔn)等),由獨(dú)立于企業(yè)下屬各部門之外的企業(yè)指定公認(rèn)的審計(jì)人員,對(duì)各部門的安全管理,進(jìn)行審核與稽察,作出評(píng)價(jià),肯定成績(jī),揭發(fā)弊端,挖掘潛力,達(dá)到改善安全管理水平,提高企業(yè)效益的目的。
安全檢查是安全審計(jì)過(guò)程中的所采用的一種手段,是實(shí)現(xiàn)各監(jiān)督職能的工作過(guò)程或程序的一部分,是進(jìn)行監(jiān)督方式的具體體現(xiàn);是根
據(jù)企業(yè)制定的各項(xiàng)制度及公認(rèn)原則對(duì)被檢查單位的操作、運(yùn)行情況進(jìn)行正確性、合理性和合法性的檢查。
二、職能上的區(qū)別
審計(jì)的職能可概括為監(jiān)督、評(píng)價(jià)及見(jiàn)證,具體為:(1)監(jiān)督職能。是審計(jì)的主要職能,它具有相對(duì)的獨(dú)立性和權(quán)威性,可以依據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)審計(jì)對(duì)象進(jìn)行各種形式的監(jiān)督檢查。(2)評(píng)價(jià)職能。評(píng)價(jià)就是在監(jiān)督檢查的基礎(chǔ)上,經(jīng)充分調(diào)查研究和分析,以確證事實(shí),依據(jù)審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)作出客觀、公正、符合社會(huì)意志的“兩點(diǎn)論”的評(píng)價(jià),既肯定成績(jī),又實(shí)事求是地提出問(wèn)題,且作出恰當(dāng)?shù)慕ㄗh。(3)見(jiàn)證職能。不論國(guó)家審計(jì)、內(nèi)部審計(jì),還是社會(huì)審計(jì),都要進(jìn)行見(jiàn)證,以使被審單位以見(jiàn)證的形式獲得其它部門公認(rèn)。檢查的職能是通過(guò)安全管理本身對(duì)安全工作進(jìn)行監(jiān)督、評(píng)價(jià)具體為:(1)檢查安全生產(chǎn)的規(guī)范性,(2)檢查安全資料的真實(shí)性(工作記錄、安全教育紀(jì)錄、培訓(xùn)檔案等),(3)評(píng)價(jià)安全工作的質(zhì)量及人員的水準(zhǔn)。
三、目的上的區(qū)別
安全審計(jì)的目的具有安全檢查目的所沒(méi)有的有效性,是防錯(cuò)查弊,加強(qiáng)控制和管理,提高安全管理水平,正如民航總局副局長(zhǎng)王昌順曾經(jīng)所說(shuō)的航空安全審計(jì)的目的:“一是全面掌握被審計(jì)方安全運(yùn)行狀況;二是查找被審計(jì)方安全管理上存在的問(wèn)題,督促并指導(dǎo)其進(jìn)行安全整改;三是督促并指導(dǎo)被審計(jì)方建立和完善安全管理體系和長(zhǎng)效機(jī)制;四是通過(guò)審計(jì),發(fā)現(xiàn)監(jiān)管薄弱環(huán)節(jié),完善民航規(guī)章標(biāo)準(zhǔn),提高監(jiān)管工作水平。”而安全檢查的目的主要是為提高(促進(jìn))安全生產(chǎn)
中的行為和安全事項(xiàng)的合法性、合理性和合規(guī)性,提高安全工作質(zhì)量。
四、產(chǎn)生的效益上的區(qū)別
審計(jì)的效益與檢查的效益雖都可分為直接效益和間接效益,但其內(nèi)涵是不同的。審計(jì)效益中的直接效益可分為:(1)促進(jìn)被審單位的健全發(fā)展,(2)鞏固企業(yè)的安全基礎(chǔ),(3)增強(qiáng)企業(yè)的安全信用,(4)保護(hù)所有者的利益。而檢查產(chǎn)生的效益中的直接效益為:(1)確保國(guó)家財(cái)產(chǎn)和人民生命安全,(2)完善安全制度及內(nèi)部控制制度,(3)增強(qiáng)企業(yè)安全基礎(chǔ),(4)揭露一定范圍內(nèi)的不安全行為,提高安全工作質(zhì)量。另在產(chǎn)生的效益中的間接效益來(lái)看:審計(jì)的間接效益有(1)教育意義,(2)防止作用,通過(guò)審計(jì)監(jiān)督、評(píng)價(jià)和見(jiàn)證,促使各單位一切以規(guī)章制度為依據(jù),減少弊錯(cuò),起警鐘作用。而安全檢查中的間接效益為(1)教育作用,使各企業(yè)以安全規(guī)章制度為依據(jù)開(kāi)展安全生產(chǎn)活動(dòng),(2)防止作用,通過(guò)檢查,促使各單位的安全工作準(zhǔn)確、真實(shí)、全面地反映安全生產(chǎn)活動(dòng),減少違反安全準(zhǔn)則及制度的行為。
五、評(píng)價(jià)標(biāo)準(zhǔn)上的區(qū)別
企業(yè)內(nèi)部審計(jì)總的來(lái)說(shuō)是以審計(jì)準(zhǔn)則及企業(yè)利益為評(píng)價(jià)標(biāo)準(zhǔn),立足于整個(gè)企業(yè),而檢查往往是以各所屬職能部門的利益為評(píng)價(jià)標(biāo)準(zhǔn),一定程度上立足于本部門。
六、范圍上的區(qū)別
審計(jì)范圍廣泛,它可以系統(tǒng)地組織對(duì)整個(gè)與安全工作相關(guān)的活動(dòng)包括安全檢查活動(dòng)實(shí)行全部或部分的審核稽察,評(píng)價(jià)及見(jiàn)證其合法性、合規(guī)性、合理性及有效性,超越出安全檢查的范圍,因?yàn)榘踩珯z
查只能對(duì)安全生產(chǎn)工作及實(shí)際操作,特別是其資料的合法性、合理性和真實(shí)性進(jìn)衍檢查監(jiān)督,但并不能保證企業(yè)單位有較大的改善,體現(xiàn)不出有效性,約束力不夠。
七、進(jìn)行時(shí)間上的區(qū)別
審計(jì)對(duì)被審單位不僅包括事后審計(jì),而且包括事前、事中審計(jì),以查明效率及效果。檢查一般均為事后,以防再犯。
安全管理工作的好壞,是提高經(jīng)濟(jì)效益的關(guān)鍵。通過(guò)審計(jì),可以使被審計(jì)單位強(qiáng)化管理意識(shí),增強(qiáng)效益觀念,從而提高管理水平、管理效率和人員素質(zhì),促進(jìn)企業(yè)提高效益。
通過(guò)集團(tuán)、公司近兩年的審計(jì)工作,充分看到了安全審計(jì)帶來(lái)的好處,它提高了安全系統(tǒng)整體的高度,優(yōu)化整體結(jié)構(gòu),從根本上改進(jìn)組織、加強(qiáng)了管理、提高了效率。通過(guò)審計(jì)檢查了公司安全管理制度的可行性和有效性。總之,隨著民航系統(tǒng)SMS安全管理體系正式啟動(dòng),航空安全審計(jì)工作將繼續(xù)下去,安全審計(jì)要比日常監(jiān)管更強(qiáng)勢(shì)、更集中、更全面,對(duì)強(qiáng)化公司安全管理、提高效益發(fā)揮更加有效的作用。
王強(qiáng)
第四篇:信息安全與保密管理制度
信息安全與保密管理制度
一、組織機(jī)構(gòu)及職責(zé)
成立信息安全和保密管理工作領(lǐng)導(dǎo)小組,負(fù)責(zé)局內(nèi)信息安全和保密管理工作。組長(zhǎng)由李榮春副局長(zhǎng)擔(dān)任。副組長(zhǎng)由陳旺玉副局長(zhǎng)、江祖斌總規(guī)劃師、湯陳健紀(jì)檢組組長(zhǎng)、魏鼎副調(diào)研員、陳幼祥副調(diào)研員辦公室主任擔(dān)任。成員由各相關(guān)科室負(fù)責(zé)人組成。
領(lǐng)導(dǎo)小組下設(shè)信息安全和保密辦公室,掛靠局辦公室,由陳幼祥同志兼任主任,同時(shí)抽調(diào)鄭宜美、薛贊釗、丁伏容、丁婷、陳錦斌等5位同志為信息安全和保密辦公室成員,負(fù)責(zé)信息安全和保密工作日常運(yùn)作與聯(lián)絡(luò)。
二、人員管理
(一)重要崗位信息安全和保密責(zé)任
1、對(duì)重要崗位指定專人負(fù)責(zé)接入網(wǎng)絡(luò)的安全管理,并對(duì)上網(wǎng)信息進(jìn)行保密檢查,切實(shí)做好保密防范工作。
2、重要崗位中的涉密信息不得在與國(guó)際網(wǎng)絡(luò)聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)中存儲(chǔ),處理和傳輸,嚴(yán)格做到“涉密不上網(wǎng),上網(wǎng)不涉密”。
3、重要崗位工作人員要加強(qiáng)網(wǎng)絡(luò)監(jiān)控,若發(fā)現(xiàn)計(jì)算機(jī)或網(wǎng)絡(luò)遭到大規(guī)模的攻擊,要及時(shí)向局領(lǐng)導(dǎo)匯報(bào),并依據(jù)有關(guān)規(guī)定處理。如發(fā)現(xiàn)資料泄露的情況,在采取應(yīng)急措施的同時(shí),應(yīng)及時(shí)將情況上報(bào)市網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組和局領(lǐng)導(dǎo)。
4、重要崗位的重要資料要做好備份,以防止資料遺失、損毀。
5、重要崗位工作人員要遵守局信息儲(chǔ)存、清除和備份的制度,定期開(kāi)展信息安全檢查,及時(shí)更新系統(tǒng)漏洞補(bǔ)丁,升級(jí)殺毒軟件。
6、信息安全和保密辦公室要組織各科室加強(qiáng)機(jī)關(guān)重要崗位的信息安全和保密管理情況的監(jiān)督,定期進(jìn)行檢查,提高泄密隱患發(fā)現(xiàn)能力和泄密事件處置能力,共同做好信息安全和保密工作。
(二)人員離崗離職時(shí)信息安全管理規(guī)定
機(jī)關(guān)工作人員離崗離職,有關(guān)科室應(yīng)即時(shí)取消其計(jì)算機(jī)涉密信息系統(tǒng)訪問(wèn)授權(quán),收回計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備等相關(guān)物品。
三、信息安全、保密管理
(一)計(jì)算機(jī)及軟件備案管理制度
1、購(gòu)買計(jì)算機(jī)及相關(guān)公文處理設(shè)備須由局辦公室統(tǒng)一組織購(gòu)買或接受捐贈(zèng),并由信息安全和保密辦公室對(duì)計(jì)算機(jī)及相關(guān)設(shè)備的有關(guān)信息參數(shù)登記備案后統(tǒng)一發(fā)放。
2、信息安全和保密辦公室要建立完整的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備技術(shù)檔案,定期對(duì)計(jì)算機(jī)及軟件安裝情況進(jìn)行檢查和登記備案。
3、計(jì)算機(jī)要安裝正版信息安全防護(hù)軟件,及時(shí)升級(jí)更新操作系統(tǒng)漏洞補(bǔ)丁與信息安全軟件。
4、拒絕使用來(lái)歷不明的軟件和光盤。凡需引入使用的軟件,均須首先防止病毒傳染。
(二)計(jì)算機(jī)安全使用與保密管理規(guī)定
1、計(jì)算機(jī)信息系統(tǒng)應(yīng)當(dāng)按照國(guó)家保密法標(biāo)準(zhǔn)和國(guó)家信息安全等級(jí)保護(hù)的要求實(shí)行分類分級(jí)管理,并與保密設(shè)施同步規(guī)劃、同步建設(shè)。
2、辦公用計(jì)算機(jī)局域網(wǎng)分為內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)運(yùn)行政府OA系統(tǒng)軟件,專用于公文的處理和交換,屬涉密網(wǎng);外網(wǎng)專用于各部門和個(gè)人瀏覽國(guó)際互聯(lián)網(wǎng),屬非涉密網(wǎng)。內(nèi)、外網(wǎng)采用雙線路,實(shí)行物理隔離。
3、測(cè)繪院(籌)用于存儲(chǔ)測(cè)繪資料、檔案等電子資料的計(jì)算機(jī)必須與內(nèi)、外網(wǎng)(含政府專網(wǎng))實(shí)行物理隔離,不得聯(lián)入任何網(wǎng)絡(luò)。
4、涉及機(jī)關(guān)工作秘密的信息(以下簡(jiǎn)稱涉密信息)應(yīng)當(dāng)在規(guī)定的涉密信息系統(tǒng)中處理。嚴(yán)禁
同一計(jì)算機(jī)既上互聯(lián)網(wǎng)又處理涉密信息
5、未經(jīng)申報(bào)同意,局機(jī)關(guān)所有辦公計(jì)算機(jī)不得修改上網(wǎng)IP地址、網(wǎng)關(guān)、DNS服務(wù)器、子網(wǎng)掩碼等設(shè)置。
6、嚴(yán)禁使用含有無(wú)線網(wǎng)卡、無(wú)線鼠標(biāo)、無(wú)線鍵盤等具有無(wú)線互聯(lián)功能的設(shè)備處理涉密信息。
7、嚴(yán)禁將辦公計(jì)算機(jī)帶到與工作無(wú)關(guān)的場(chǎng)所,確因工作需要需攜帶有涉密信息的手提電腦外出的,必須做好備案登記,并確保涉密信息安全。
(三)用戶密碼安全保密管理規(guī)定
1、用戶密碼管理的范圍是指涉密計(jì)算機(jī)所使用的密碼。
2、涉密計(jì)算機(jī)設(shè)置的密碼長(zhǎng)度要大于等于5個(gè)字符,密碼要定期更換。
3、涉密計(jì)算機(jī)需要設(shè)置操作系統(tǒng)開(kāi)機(jī)登錄和屏幕保護(hù)等多個(gè)密碼保護(hù)方式。
(四)涉密移動(dòng)存儲(chǔ)設(shè)備的使用管理
1、涉密移動(dòng)存儲(chǔ)設(shè)備由信息安全和保密辦公室負(fù)責(zé)登記備案后,由各科室負(fù)責(zé)人負(fù)責(zé)管理,做到專人專用。
2、嚴(yán)禁涉密移動(dòng)存儲(chǔ)設(shè)備在內(nèi)、外網(wǎng)之間交叉使用。
3、移動(dòng)存儲(chǔ)設(shè)備在接入本部門計(jì)算機(jī)信息系統(tǒng)之前,應(yīng)查殺病毒、木馬等惡意代碼。
4、嚴(yán)禁將涉密存儲(chǔ)設(shè)備帶到與工作無(wú)關(guān)的場(chǎng)所。
(五)數(shù)據(jù)復(fù)制操作管理規(guī)定
1、將互聯(lián)網(wǎng)上的信息復(fù)制到內(nèi)網(wǎng)時(shí),應(yīng)采取嚴(yán)格的技術(shù)防護(hù)措施,查殺病毒、木馬等惡意代碼,嚴(yán)防病毒等傳播。
2、使用移動(dòng)存儲(chǔ)設(shè)備從內(nèi)網(wǎng)向外網(wǎng)復(fù)制數(shù)據(jù)時(shí),應(yīng)當(dāng)采取嚴(yán)格的保密措施,防止泄密。
3、復(fù)制和傳遞密級(jí)電子文檔,應(yīng)當(dāng)嚴(yán)格按照復(fù)制和傳遞同等密級(jí)紙質(zhì)文件的有關(guān)規(guī)定辦理。不得在外網(wǎng)傳遞、轉(zhuǎn)發(fā)或抄送涉密信息。
4、各科室因工作需要向外網(wǎng)公開(kāi)內(nèi)部信息資料時(shí),必須由該科室負(fù)責(zé)人審核、有關(guān)領(lǐng)導(dǎo)同意后交由相關(guān)負(fù)責(zé)人統(tǒng)一發(fā)布。
(六)計(jì)算機(jī)、存儲(chǔ)介質(zhì)、及相關(guān)設(shè)備維修、維護(hù)、報(bào)廢、銷毀管理規(guī)定
1、計(jì)算機(jī)、存儲(chǔ)介質(zhì)及相關(guān)設(shè)備維修、維護(hù)、報(bào)廢、銷毀由信息安全和保密辦公室負(fù)責(zé),按保密要求實(shí)行定點(diǎn)維修。需外請(qǐng)維修的,要派專人全程監(jiān)督;需外送維修的,應(yīng)由信息安全和保密辦公室拆除信息存儲(chǔ)部件,以防止存儲(chǔ)資料泄密。
2、辦公計(jì)算機(jī)、存儲(chǔ)介質(zhì)及相關(guān)設(shè)備在變更用途時(shí),必須進(jìn)行嚴(yán)格的消磁技術(shù)處理。
3、機(jī)關(guān)使用的計(jì)算機(jī)、存儲(chǔ)介質(zhì)及相關(guān)設(shè)備報(bào)廢、銷毀時(shí),應(yīng)拆除存儲(chǔ)部件,由信息安全和保密辦公室按有關(guān)要求統(tǒng)一銷毀,同時(shí)作好備案登。
(七)上網(wǎng)發(fā)布信息保密規(guī)定
1、局網(wǎng)站信息內(nèi)容的更新由信息安全和保密辦公室工作人員完成。凡上網(wǎng)的信息,上網(wǎng)前必須經(jīng)過(guò)保密審查,報(bào)分管領(lǐng)導(dǎo)審批,嚴(yán)格按照“誰(shuí)主管,誰(shuí)負(fù)責(zé)”,“誰(shuí)主辦,誰(shuí)負(fù)責(zé)”的原則,落實(shí)責(zé)任制,明確責(zé)任人和職責(zé)。
2、凡以提供網(wǎng)上信息服務(wù)為目的而采集的信息,除在其它新聞媒體上已公開(kāi)發(fā)表的,組織者在上網(wǎng)發(fā)布前,應(yīng)當(dāng)征得提供信息單位的同意。凡對(duì)網(wǎng)上信息進(jìn)行擴(kuò)充或更新,應(yīng)當(dāng)認(rèn)真執(zhí)行信息保密審核制度。
3、涉密人員在其它場(chǎng)所上國(guó)際互聯(lián)網(wǎng)時(shí),要提高保密意識(shí),不得在聊天室、電子公告系統(tǒng)、網(wǎng)絡(luò)新聞上發(fā)布、談?wù)摵蛡鞑?guó)家秘密信息。
4、使用電子函件或其他方式進(jìn)行網(wǎng)上信息交流時(shí),應(yīng)當(dāng)遵守國(guó)家保密規(guī)定,不得利用電子函件傳遞、轉(zhuǎn)發(fā)或抄送國(guó)家秘密信息。
四、應(yīng)急管理
(一)應(yīng)急措施
1、網(wǎng)站出現(xiàn)非法信息的應(yīng)急處理。發(fā)現(xiàn)我局網(wǎng)站出現(xiàn)非法信息時(shí),發(fā)現(xiàn)人應(yīng)第一時(shí)間向網(wǎng)站管理員報(bào)告。網(wǎng)站管理員應(yīng)迅速清除非法信息,做好記錄,同時(shí)向領(lǐng)導(dǎo)匯報(bào)情況。如認(rèn)為事態(tài)嚴(yán)重,應(yīng)向公安部門報(bào)警。
2、網(wǎng)站無(wú)法正常打開(kāi)的應(yīng)急處理。發(fā)現(xiàn)我局網(wǎng)站不能正常打開(kāi)時(shí),發(fā)現(xiàn)人應(yīng)第一時(shí)間向網(wǎng)站管理員報(bào)告。若故障無(wú)法處理,應(yīng)立即通知網(wǎng)站建設(shè)方處理。待故障處理完成并經(jīng)過(guò)測(cè)試后,恢復(fù)系統(tǒng)的正常運(yùn)行。
3、黑客入侵的應(yīng)急處理。當(dāng)發(fā)現(xiàn)我局網(wǎng)站有網(wǎng)頁(yè)內(nèi)容被篡改,或發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí),應(yīng)立即通知服務(wù)方將網(wǎng)站服務(wù)器從網(wǎng)絡(luò)中隔離出來(lái),并向領(lǐng)導(dǎo)報(bào)告。若系統(tǒng)已被破壞,應(yīng)立即通知網(wǎng)站建設(shè)方恢復(fù)與重建系統(tǒng)。如認(rèn)為事態(tài)嚴(yán)重,應(yīng)向公安部門報(bào)警。
4、網(wǎng)站程序遭破壞性攻擊的應(yīng)急處理。網(wǎng)站應(yīng)做好備份工作,并將備份保存在安全的地方。一旦網(wǎng)站遭到破壞性攻擊,應(yīng)立即向領(lǐng)導(dǎo)報(bào)告,同時(shí)通知網(wǎng)站建設(shè)方。網(wǎng)站建設(shè)方負(fù)責(zé)檢查系統(tǒng)日志等資料,確定攻擊來(lái)源,恢復(fù)系統(tǒng)和數(shù)據(jù)。如認(rèn)為事態(tài)嚴(yán)重,應(yīng)向公安部門報(bào)警。
5、網(wǎng)站數(shù)據(jù)庫(kù)崩潰的應(yīng)急處理。網(wǎng)站建設(shè)方每月至少備份一次網(wǎng)站數(shù)據(jù),并將備份保存在安全的地方。一旦數(shù)據(jù)庫(kù)崩潰,立即通知網(wǎng)站建設(shè)方負(fù)責(zé)進(jìn)行數(shù)據(jù)恢復(fù)。
(二)應(yīng)急管理的后期處置
在應(yīng)急處置工作結(jié)束后,要迅速采取有效措施,盡快查明原因,對(duì)事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評(píng)估,認(rèn)真制定恢復(fù)重建計(jì)劃,并迅速組織實(shí)施。
五、責(zé)任追究
信息安全和保密辦公室要加強(qiáng)本局信息安全和保密管理情況的監(jiān)督,定期開(kāi)展檢查,發(fā)現(xiàn)問(wèn)題及時(shí)糾正。計(jì)算機(jī)信息系統(tǒng)使用、管理人員違反本制度,情節(jié)較輕的,應(yīng)予以批評(píng)教育;情節(jié)嚴(yán)重,造成安全和泄密隱患的,按有關(guān)規(guī)定處理。違反本制度泄漏國(guó)家秘密的,按照有關(guān)規(guī)定給予處分;構(gòu)成犯罪的,依法追究刑事責(zé)任.
第五篇:集裝箱安全檢查與管理制度
集裝箱安全檢查與管理制度
標(biāo)準(zhǔn)號(hào):WIG39-2005
1. 目的為了加強(qiáng)貨柜裝柜的安全管理,明確工作流程。
2. 適用范圍
適用于工廠的貨柜檢查和貨柜裝卸、跟蹤管理。
3. 定義
無(wú)
4.職責(zé)
4.1保安負(fù)責(zé)對(duì)貨柜檢查和裝柜記錄和管理,倉(cāng)庫(kù)和保安共同配合裝柜,封條及安全拖柜。
5.工作程序
5.1入廠裝柜的登記和檢查
工廠廠倉(cāng)庫(kù)同事負(fù)責(zé)對(duì)到廠的貨柜進(jìn)行安全檢查,包括:貨柜是否經(jīng)過(guò)改裝,藏暗格(檢查改裝的七個(gè)檢查點(diǎn):柜頂、貨柜天花板、貨柜門、柜地板、柜下部、左邊柜墻、右邊柜墻、后部柜墻),貨柜是否能關(guān)好,有無(wú)漏水,貨柜是否干凈,是否適合裝本公司產(chǎn)品,貨柜是否攜帶易燃易爆物品,柜內(nèi)是否有異物;倉(cāng)庫(kù)搬運(yùn)隊(duì)在裝柜時(shí)負(fù)責(zé)對(duì)以上事項(xiàng)進(jìn)行復(fù)查。
1、檢查部位:
? 前板
? 左側(cè)/右側(cè)
? 底板/頂板/箱頂
? 內(nèi)/外門、鉸鏈
? 底架外部/下方
2、隱蔽間隔:
檢查有無(wú)新刷油漆、焦木或填充劑的味道。
檢查有無(wú)新刷油漆的痕跡、焊接烙印或者箱板質(zhì)地差異。
3、結(jié)構(gòu):
3.1檢查前后角柱有無(wú)裂縫。
3.2檢查箱板是否有打孔、切割、磨損或開(kāi)裂;是否丟失松脫零件或緊固件
3.3進(jìn)行內(nèi)部漏光測(cè)試:檢查有無(wú)因門封缺損、孔洞、焊接破損、地板損壞或分離、緊 固件松脫或丟失造成的光線滲透。此檢查在箱門完全緊閉的情況下從內(nèi)部進(jìn)行。
3.4在門的末端檢查鎖條,包括托架、導(dǎo)桿以及凸輪,查看有礙箱門操作或關(guān)牢的缺損,例如折曲、彎曲、凹陷等。
3.5在下層結(jié)構(gòu),檢查橫向構(gòu)件、外伸叉架和附件是否有洞。
3.6在下層結(jié)構(gòu),檢查底板、箱板或板條是否破損、開(kāi)裂或斷開(kāi)。
3.7如果發(fā)現(xiàn)集裝箱有任何異常,管理人員必須在放行貨物前進(jìn)行復(fù)查。-
3.8如果集裝箱沒(méi)有清空,或者結(jié)構(gòu)不安全,必須要求使用新集裝箱,不得使用有 問(wèn)題的集裝箱運(yùn)輸貨物。
3.9廠方人員在離開(kāi)集運(yùn)人/航運(yùn)公司倉(cāng)庫(kù)返回工廠之前,應(yīng)要求未裝貨的集裝箱 密封。廠方應(yīng)核實(shí)封條(數(shù)目)與原來(lái)使用的封條(數(shù)目)相同。
4、承運(yùn)人倡議計(jì)劃的集裝箱檢查指南: 4.1偽造前板:檢查一般干貨貨箱的前板時(shí),可以看到角板及標(biāo)牌和前板之間的皺折。在查獲的偽造前板上發(fā)現(xiàn),走私者也制造了角板,但是偽造前板與標(biāo)牌是齊平的。偽造前板可能與正規(guī)前板使用相同類型的波紋金屬。檢查人員需要查找改造的痕跡:新刷油漆、集裝箱內(nèi)外壁的焊接烙印、箱板質(zhì)地差異或者欠缺皺折;新刷油漆、焦木或者填充劑的氣味。
4.2偽造底板:未經(jīng)改造集裝箱的底板通常與前門框架齊平。如果底板突出于框架平面或者看起來(lái)很新、不平整,或者朝集裝箱前板向上傾斜,則很可能是偽造底板。另一種檢測(cè)偽造底板的方法是:進(jìn)入集裝箱后,觸摸集裝箱的頂部,然后走向前板。如果底板經(jīng)過(guò)改造,可以明顯感到高度的變化,或用手碰觸頂板難易程度的變化。
4.3偽造頂板:頂板的偽造可能是在內(nèi)部,也可能是在外部。外部偽造頂板或箱頂,可 以通過(guò)觀察角板頂部和箱頂之間的距離來(lái)檢測(cè)。通常,箱頂稍低或者與角板頂部齊平。如果箱頂高于角板,則很有可能是偽造箱頂。內(nèi)部構(gòu)造的偽造頂板可以通過(guò)觸摸頂板來(lái)檢測(cè)。如果存在偽造頂板或者底板,應(yīng)可以感覺(jué)到高度變化或碰觸箱頂難易程度的變化。其它要留意的痕跡包括:新刷油漆、模糊角板、焊接烙印等。
4.4集裝箱框架:被利用以隱藏走私貨的集裝箱框架是最難檢測(cè)的。在缺乏其它跡象的 情況下,唯一的方法是在框架上鉆孔進(jìn)行探測(cè)。
5.1.如發(fā)現(xiàn)安全隱患,立即報(bào)告上級(jí)主管,由主管通知相關(guān)人員協(xié)調(diào)安排更換貨柜,以免影響正常出柜。
5.1.1倉(cāng)庫(kù)同事必須做好貨柜安全檢查記錄,每周匯總給倉(cāng)庫(kù)主管進(jìn)行保管、分類,并且每月存檔。
5.2裝卸柜區(qū)域管理
5.2.1工廠必須指定裝卸區(qū)域,確保貨柜處于有效監(jiān)控管理之中。
5.2.2出貨區(qū),裝卸貨區(qū)要安排保安定時(shí)進(jìn)行巡邏檢查,阻止無(wú)關(guān)人員進(jìn)入裝卸區(qū)。
5.2.3裝卸工人必須工牌,以便保安識(shí)別,非裝卸工人不得進(jìn)入貨柜,特殊需要必須有主管經(jīng)理審批。
5.2.4晚上保安要加強(qiáng)在廠貨柜的巡邏,禁止無(wú)關(guān)人員進(jìn)入貨柜。
5.2.5裝柜期間,貨柜司機(jī)不得在裝柜區(qū)等待,必須在公司指定的休息室休息,等封條上好后才可進(jìn)入拖柜。
5.3貨柜裝卸管理
5.3.1正在裝柜的貨柜必須安排保安監(jiān)督,并做好記錄,內(nèi)容包括:裝柜起止時(shí)間,拖車車號(hào),貨柜上封條是否和出貨文件上相同,發(fā)現(xiàn)異常及時(shí)上報(bào)廠部;如在出現(xiàn)貨物溢、短裝或者其他異常情況,要及時(shí)報(bào)告,尋求解決方法解決。
5.3.2成品倉(cāng)管員負(fù)責(zé)對(duì)裝好成品的貨柜上好封條(必須使用符合或者超出現(xiàn)行的安全封條標(biāo)準(zhǔn)),保安做好監(jiān)督、核對(duì)、登記。
5.3.3成品倉(cāng)倉(cāng)管員負(fù)責(zé)核對(duì)出貨文件。
5.3.4保安在檢查監(jiān)督過(guò)程中如有發(fā)現(xiàn)存在違法行為,應(yīng)立即通知公司管理部門及執(zhí)法部門: 報(bào)警電話:110;港口鎮(zhèn)派出所舉報(bào)電話:(0760)8848 8110。
5.4貨柜出廠及沿路跟蹤管理
5.4.1貨柜司機(jī)進(jìn)廠進(jìn)行拖柜,保安必須詳細(xì)檢查拖柜司機(jī)的有效證件,登記拖柜司機(jī)的姓名、電話號(hào)碼、公司名稱,登記司機(jī)所托貨柜的型號(hào)、拖車車號(hào)、出廠時(shí)間。
5.4.2貨柜拖柜離開(kāi)工廠,由船務(wù)員根據(jù)司機(jī)電話司機(jī)路線及路途安全進(jìn)行詢問(wèn),保證貨柜安全到達(dá)碼頭。
5.5貨柜調(diào)度
廠部要加強(qiáng)與公司船務(wù)的溝通,如有貨柜更換,提前或推遲出柜,要通知相關(guān)部門,每周要制定出貨計(jì)劃。
5.6廠部負(fù)責(zé)每月檢查貨柜安全檢查管理執(zhí)行情況。
6、貨柜出入跟蹤、安檢及裝柜記錄表。
編制:
審核:
批準(zhǔn):
點(diǎn)擊咨詢 