發(fā)布時間:2023-02-27 11:11:18
序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的信息安全整改方案樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀。
一、工作目標
通過深入開展此次專項活動,確保全市重要信息系統(tǒng)能夠全面進行準確定級和審核備案;全面組織等級測評和風(fēng)險評估;全面開展監(jiān)督檢查和建設(shè)整改;全面落實管理制度和安全責(zé)任,努力實現(xiàn)我市信息安全等級保護工作規(guī)范化、制度化、常態(tài)化的管理目標,不斷提高重要信息系統(tǒng)安全防范能力和應(yīng)急處置能力,為建國周年慶典活動創(chuàng)造一個良好的網(wǎng)絡(luò)環(huán)境。
二、工作任務(wù)
(一)全面進行準確定級和審核備案。各部門、各單位要參照國家機關(guān)、中央企事業(yè)單位及省直機關(guān)、省屬企事業(yè)單位已審核的信息系統(tǒng)安全保護等級,對本單位信息系統(tǒng)全面進行定級和審核備案。對于已經(jīng)定級、備案的系統(tǒng),凡符合上級國家機關(guān)、企事業(yè)單位安全保護等級的,可不再重新定級和審核備案,否則均要重新定級和審核備案;對于尚未定級和審核備案的系統(tǒng),都要比照上級部門信息系統(tǒng)安全保護等級逐一進行定級備案。其中,安全保護等級確定為一級的信息系統(tǒng),公安機關(guān)應(yīng)做好登記工作。安全保護等級確定為二級以上的信息系統(tǒng),各信息系統(tǒng)運營使用單位要在公安機關(guān)辦理審核備案手續(xù),填寫《信息安全等級保護備案表》,實行審核備案管理。全市重要信息系統(tǒng)定級和審核備案率要達到100%。
(二)全面組織等級測評和風(fēng)險評估。關(guān)系到我市國計民生或影響面較大的二級信息系統(tǒng)和三級以上(含三級)的重要信息系統(tǒng)都要按照《信息安全等級保護管理辦法》及省發(fā)改委、省公安廳、省國家保密局《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》要求,全面開展等級測評及風(fēng)險評估工作。其初次測評及風(fēng)險評估率應(yīng)達到61%以上(其他尚未開展初次測評的系統(tǒng)應(yīng)于年上半年完成)。
(三)全面開展監(jiān)督檢查和建設(shè)整改。關(guān)系到我市國計民生或影響面較大的二級信息系統(tǒng)和三級以上(含三級)的重要信息系統(tǒng)都要按照《公安機關(guān)信息安全等級保護檢查工作規(guī)范》規(guī)定的檢查內(nèi)容、檢查項目、檢查要求等,全面組織開展安全等級保護監(jiān)督檢查和限期整改工作,其監(jiān)督檢查率應(yīng)達到100%,限期整改率應(yīng)達到80%以上。其他被定為二級(含二級)以下的信息系統(tǒng),可由信息系統(tǒng)運營使用單位進行自查和整改。
三、工作步驟
(一)定級與備案階段(8月18日至9月15日)。市專項活動領(lǐng)導(dǎo)小組在8月31日前進行組織動員和工作部署,開展信息系統(tǒng)普查,全面摸清底數(shù),掌握基本情況,確定定級對象。9月15日前,各重要信息系統(tǒng)運營使用單位要對照上級國家機關(guān)、企事業(yè)單位已審核備案的信息系統(tǒng)安全保護等級,對應(yīng)確定本單位信息系統(tǒng)安全保護等級,并做好申報備案。對審核符合安全保護等級要求的,由市專項活動領(lǐng)導(dǎo)小組頒發(fā)信息安全等級保護備案證明。凡審核定級不準的,應(yīng)重新評審確定,為等級測評和檢查整改奠定基礎(chǔ)。
(二)測評與檢查階段(9月15日至11月30日)。市專項活動領(lǐng)導(dǎo)小組將對關(guān)系我市國計民生的二級信息系統(tǒng)及三級以上(含三級)信息系統(tǒng)開展安全等級測評和風(fēng)險評估。市專項活動領(lǐng)導(dǎo)小組督促、指導(dǎo)各單位積極做好信息安全等級保護和監(jiān)督檢查工作。各重要信息系統(tǒng)運營使用單位要按照國家《信息安全等級保護管理辦法》和省發(fā)改委、省公安廳、省國家保密局《轉(zhuǎn)發(fā)國家有關(guān)部門關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》精神,提前做好人員、技術(shù)、經(jīng)費等各項準備工作,按時完成信息系統(tǒng)等級測評和風(fēng)險評估。
(三)總結(jié)與整改階段(12月1日至12月31日)。市專項活動領(lǐng)導(dǎo)小組根據(jù)信息系統(tǒng)安全等級測評和風(fēng)險評估中發(fā)現(xiàn)的安全隱患和問題,向運營使用單位下發(fā)《整改通知書》,要求該單位限期對安全設(shè)施、技術(shù)措施、管理制度、安全產(chǎn)品、管理人員等方面存在的問題進行全面整改。各單位要制定相應(yīng)的建設(shè)整改方案,認真搞好安全隱患的整改工作。
四、工作要求
(一)統(tǒng)一思想認識,切實加強領(lǐng)導(dǎo)。各地各有關(guān)部門要充分認識當(dāng)前重要信息系統(tǒng)安全面臨的嚴峻形勢,進一步增強做好信息安全等級保護工作的責(zé)任感和緊迫感,務(wù)必把此項工作作為事關(guān)國家安全和社會穩(wěn)定,特別是國慶61周年安全保衛(wèi)的一項重要政治任務(wù),納入議事日程,擺在應(yīng)有位置。為切實加強領(lǐng)導(dǎo),成立荊州市深入開展全市重要信息系統(tǒng)安全等級保護管理專項活動領(lǐng)導(dǎo)小組(名單附后),領(lǐng)導(dǎo)小組在本次專項活動完成后,繼續(xù)擔(dān)負我市重要信息等級保護工作的組織領(lǐng)導(dǎo)職責(zé)。要建立健全信息安全等級保護協(xié)調(diào)領(lǐng)導(dǎo)體制和工作機制,精心組織實施信息安全等級保護管理工作。各地各有關(guān)部門分管領(lǐng)導(dǎo)要親自掛帥指揮,按照“誰主管,誰負責(zé),誰使用,誰負責(zé)”的原則,成立領(lǐng)導(dǎo)小組,建立工作專班,確立聯(lián)絡(luò)人員,迅速行動、全力以赴,大張旗鼓地組織開展等級保護工作。
(二)深入動員部署,精心組織實施。各重要信息系統(tǒng)運營使用單位要制定好本單位信息系統(tǒng)安全等級保護工作實施方案,準確定級,并將相關(guān)資料上報市專項活動領(lǐng)導(dǎo)小組辦公室。在定級完成后,要積極做好測評準備工作,在人力、財力上給予充分保障。對檢測出來的問題要及時向主管領(lǐng)導(dǎo)和上級部門報告,立即整改,把專項活動的各項要求落到實處。
關(guān)鍵詞 等級保護;安全;定級;測評
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)99-0208-02
1 背景
隨著醫(yī)院信息化的迅猛發(fā)展,醫(yī)院信息系統(tǒng)已經(jīng)深入到醫(yī)療工作的各個環(huán)節(jié)之中,信息系統(tǒng)的安全一旦受到威脅將會嚴重影響到醫(yī)療活動的順利開展,因此該工作受到了醫(yī)院越來越高的重視。
信息安全等級保護是國家出臺的針對信息安全分級保護的制度,其最終目的就是保護重要的信息系統(tǒng)的安全,提高信息系統(tǒng)的防護能力和應(yīng)急水平。
為了信息安全等級保護制度能夠更好的在各醫(yī)院得到有效的落實,國家有關(guān)部門針對醫(yī)療行業(yè)的實際現(xiàn)狀印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》的通知衛(wèi)辦發(fā)[2011] 85 號,此文件在信息安全保護和醫(yī)療行業(yè)信息安全管理之間起到承接橋梁的作用。根據(jù)文件精神,醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全保護等級原則上不低于第三級。
2 醫(yī)院信息安全等級保護建設(shè)流程
2.1 信息系統(tǒng)定級
信息系統(tǒng)定級主要考慮兩個方面,一是業(yè)務(wù)信息受到破壞時的客觀對象是誰,二是對于客觀對象的損壞程度如何。兩方面結(jié)合根據(jù)表1來制定本單位的具體哪個信息系統(tǒng)應(yīng)該定位第幾級。
針對醫(yī)院,一般門診量都比較大,當(dāng)在早晨掛號、就診等高峰的時候就會有大量的患者排隊,如果一旦發(fā)生系統(tǒng)癱瘓就會造成大面積患者排隊,很容易引發(fā)。因此,定義為對“社會秩序、公共利益”造成“嚴重損害”,即信息安全等級保護定級為第三級。涉及的信息系統(tǒng)即與掛號、就診等門診患者密切相關(guān)的系統(tǒng)。
2.2 信息系統(tǒng)評審與備案
按照等級保護管理辦法和定級指南要求,在完成對本單位信息系統(tǒng)的自主定級后需要將業(yè)務(wù)系統(tǒng)自主定級結(jié)果提交衛(wèi)生部審批。在定級審批過程中,衛(wèi)生部組織專家進行評審,并出具《審批意見》。
完成評審后,醫(yī)院需要填寫《信息系統(tǒng)安全等級保護備案表》和《信息系統(tǒng)安全等級保護定級報告》,備案表與報告范例可在“中國信息安全等級保護網(wǎng)”進行下載。最后醫(yī)院持評審意見、備案表、定級報告到所在地管轄區(qū)的市級以上公安機關(guān)辦理備案手續(xù),在拿到備案回執(zhí)和審核結(jié)果通知后完成定級備案。
2.3 信息系統(tǒng)安全建設(shè)與整改
在完成備案后需要開始對信息系統(tǒng)進行合規(guī)性建設(shè)與整改,主要分為以下幾個步驟完成。
2.3.1 等級保護差距分析
等級保護的要求整體分為技術(shù)與管理兩個方面,而技術(shù)又可以分為SAG三類,主要包括:
業(yè)務(wù)信息安全類(S類):關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改,比如在傳輸患者數(shù)據(jù)及費用數(shù)據(jù)是否進行了加密傳輸,在傳輸過程中如果出現(xiàn)異常能否及時發(fā)現(xiàn)等。
系統(tǒng)服務(wù)安全類(A類):關(guān)注的是保護系統(tǒng)連續(xù)正常的運行,比如機房的電力方面、服務(wù)器的負載方面、HIS系統(tǒng)的容錯性與資源控制,是否支持單機掛號、就診、收費、取藥,能夠在系統(tǒng)服務(wù)器癱瘓的情況下保存現(xiàn)有數(shù)據(jù),并繼續(xù)開展診療活動,再有就是災(zāi)備的建設(shè)情況,是否可在系統(tǒng)癱瘓的情況下進行快速恢復(fù)。
通用安全保護類(G類):大多數(shù)技術(shù)類安全要求都屬于此類,屬于基礎(chǔ)類,如機房的物理安全,網(wǎng)絡(luò)及主機的訪問控制與審計、信息系統(tǒng)的審計等。
管理方面三級等級保護執(zhí)行的是管理G3的要求,控制項為154項,醫(yī)院需要根據(jù)自己的管理制度與控制項進行逐一比對,列出不符合項。
技術(shù)方面三級等級保護可進行選擇性執(zhí)行,主要分為 G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G類必須達到三級,A類和S類選擇一個達到三級即可。醫(yī)院可以根據(jù)自身的實際情況選擇一個標準進行差距分析,最嚴格的G3S3A3控制項共計136項。
根據(jù)管理、技術(shù)共計290個控制項醫(yī)院可進行自行評定得出與等級保護三級的差距分析。
2.3.2 安全需求分析
當(dāng)前,醫(yī)院對于信息安全的關(guān)注點主要集中在業(yè)務(wù)連續(xù)性與數(shù)據(jù)隱私保護方面,因此可根據(jù)差距分析結(jié)果結(jié)合醫(yī)院實際安全需求進行集中分析,使信息安全的建設(shè)工作可以滿足實際的臨床需求,這樣才能使資源有效利用,避免資金投入的浪費。
2.3.3 安全建設(shè)/整改方案
在明確需求后就要進行整體的方案設(shè)計,在設(shè)計過程中,要提出總體規(guī)劃(近期、遠期)和詳細設(shè)計方案,將其細分為不同的子項目,逐一進行完善,最后應(yīng)組織專家對方案進行評審。
2.3.4 方案實施
完成方案制定與評審后及進入實施階段,實施過程中應(yīng)注意管理和技術(shù)并重的原則,將技術(shù)措施和管理措施有機結(jié)合。簡歷信息系統(tǒng)綜合防護體系,提高信息系統(tǒng)整體安全保護能力。
2.4 開展等級測評
信息系統(tǒng)建設(shè)完成后,可以著手進行等級保護測評工作,測評需要找公安局認可,具有“DICP”認證的測評機構(gòu),機構(gòu)名稱可以在“中國信息安全等級保護網(wǎng)”進行查詢,測評機構(gòu)測評周期一般為一個月。等級保護測評的主要流程。
2.4.1 測評準備階段
這個階段主要是測評公司于醫(yī)院進行前期的溝通階段,醫(yī)院需要向測評機構(gòu)介紹本單位的大致醫(yī)療流程,介紹數(shù)據(jù)流的輸出過程,介紹系統(tǒng)的拓撲結(jié)構(gòu)、設(shè)備的使用情況等,隨后測評機構(gòu)會根據(jù)醫(yī)院提供的相關(guān)信息準備相關(guān)的測評工具及表單。
2.4.2 測評方案制定階段
此階段測評機構(gòu)會定制測評指標、測評工具接入點,并對測評的內(nèi)容進行確定,編制測評方案書。隨后與醫(yī)院進行溝通,確定現(xiàn)場測評的時間以及現(xiàn)場測評的主要內(nèi)容和流程。
2.4.3 現(xiàn)場測評階段
此階段測評機構(gòu)會進駐醫(yī)院大約一周左右,主要對上文提到的管理與技術(shù)共計290個控制項進行逐一測評,此階段與醫(yī)院關(guān)系密切,需要逐一測評時雙方要約定好時間,不能影響醫(yī)院業(yè)務(wù)的正常開展,比如做漏洞掃描等需要占用服務(wù)器資源的操作時盡量選擇下班等非業(yè)務(wù)高峰期進行。測評工具的接入前要進行充分測試,保證其對現(xiàn)有業(yè)務(wù)不會造成任何影響。在此階段醫(yī)院的網(wǎng)絡(luò)工程師、系統(tǒng)工程師、審計工程師需要在場進行配合。
2.4.4 分析與報告編制階段
完成現(xiàn)場測評后,測評機構(gòu)會整理所有的單項測評結(jié)果,并對其進行分項判定,會對醫(yī)院的整體結(jié)果進行分析,最后給出測評報告,告知醫(yī)院存在的風(fēng)險點、整改建議和測評結(jié)果。
測評結(jié)果是標準醫(yī)院是否通過測評的主要依據(jù),根據(jù)等級保護相關(guān)要求,測評結(jié)果分為:不符合、部分符合、全部符合,其中不符合為沒有通過測評,部分符合和全部符合為通過測評。根據(jù)醫(yī)院的逐項測評數(shù)據(jù),290個控制項除必須達到的項目外,達到80%以上符合的即可通過測評。
2.5 做好自查與配合監(jiān)管部門檢查
根據(jù)等級保護制度要求,當(dāng)信息系統(tǒng)定級為第三級時,每年至少進行一次等級保護自查,并且監(jiān)管部門每年至少來醫(yī)院現(xiàn)場檢查一次。因此該項工作是一個長期工作,必須常抓不懈。
2.5.1 等級保護自查
目前公安局已開發(fā)出信息安全等級保護自查工具,醫(yī)院可以利用工具進行自查,工具主要需要填寫醫(yī)院的信息安全組織機構(gòu)、資產(chǎn)信息、制度信息等基礎(chǔ)信息,然后再進行各備案系統(tǒng)的自查,自查過程需要關(guān)聯(lián)之前填寫的資產(chǎn)和制度信息。完成后提交當(dāng)?shù)毓膊块T。
2.5.2 監(jiān)督檢查
監(jiān)管部門多數(shù)為當(dāng)?shù)厥袑俟膊块T,公安部門每年定期對三級系統(tǒng)進行上門檢查,檢查依據(jù)主要是自查工具中提供的拓撲、自查以及管理文檔,檢查時間一般為半天,檢查完成后公安部門會對檢查結(jié)果進行評定,并對下一步安全工作給出建設(shè)性指導(dǎo)意見。
3 等級保護建設(shè)總結(jié)
信息安全等級保護建設(shè)可從合規(guī)性和系統(tǒng)內(nèi)需驅(qū)動兩方面考慮,并要定期檢驗建設(shè)的合規(guī)性、合理性。
合規(guī)性是指在政策要求指導(dǎo)下構(gòu)建醫(yī)院完整的信息安全體系。要落實國家等級保護標準;響應(yīng)衛(wèi)生部推進等級保護建設(shè)工作的指導(dǎo)精神;通過國家等級保護測評;為醫(yī)療行業(yè)信息安全體系建設(shè)以及等級保護建設(shè)方面起到試點示范效應(yīng)。
系統(tǒng)內(nèi)需驅(qū)動是指結(jié)合業(yè)務(wù)發(fā)展,進行系統(tǒng)化建設(shè),切實提高自身信息安全防護水平。實現(xiàn)主動防御外部入侵威脅,防范內(nèi)部不規(guī)范操作帶來危害影響;降低日常信息化管理工作難度,提高對復(fù)雜、異構(gòu)信息系統(tǒng)的運管效率,做到“有法可依,有技可行”;對已建、新建和擬建的信息系統(tǒng)進行合理規(guī)劃,規(guī)范建設(shè)。
醫(yī)院信息安全建設(shè),要切合自身條件特點,分批分期循序建設(shè),保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運行,以適應(yīng)醫(yī)院不斷擴展的業(yè)務(wù)應(yīng)用和管理需求,這才是信息安全等級保護建設(shè)的重要意義所在。
參考文獻
[1]信息系統(tǒng)安全保護定級指南.
(一)健全組織管理體系,建立科技風(fēng)險管理三道防線。安徽省分行成立由行長任組長、分管副行長及各部門負責(zé)人參加的信息化建設(shè)領(lǐng)導(dǎo)小組及信息安全應(yīng)急領(lǐng)導(dǎo)小組,制定議事程序,確立工作步驟,審議信息科技重大決策事項及信息科技風(fēng)險管理、信息安全管理工作。領(lǐng)導(dǎo)小組每季度召開一次會議,對信息化建設(shè)工作進行決策、安排和部署。立足于可持續(xù)發(fā)展戰(zhàn)略,安徽省分行提出了“全面風(fēng)險管理、全程風(fēng)險管理、全員風(fēng)險管理”的管理目標,建立了信息科技風(fēng)險管理的三道防線。第一道防線由信息科技部門組成,負責(zé)生產(chǎn)運行、應(yīng)用研發(fā)、科技管理、信息安全等工作。第二道防線成立由信息科技部門和風(fēng)險管理部門牽頭,其他部門共同參與的風(fēng)險管控平臺。依托風(fēng)險管控平臺,通過檢查、評測和監(jiān)控及時發(fā)現(xiàn)科技工作中的風(fēng)險隱患,組織召開風(fēng)險例會,研究制定整改措施、整改方案,結(jié)合工作實際制定信息科技風(fēng)險管理制度和規(guī)范。第三道防線由內(nèi)部審計部門組成,主要職責(zé)是對信息科技工作進行專項審計。
(二)推動制度體系建設(shè),構(gòu)筑安全生產(chǎn)生命線。多年來,安徽省分行每年都對信息科技制度和技術(shù)規(guī)范進行修訂,對現(xiàn)有信息科技制度體系進行評估,對信息科技制度體系架構(gòu)進行梳理,逐步建立了制度、實施細則及技術(shù)規(guī)范三層架構(gòu)的制度體系。形成了《信息科技制度匯編》,共包括38個科技管理辦法、16個實施細則、9項技術(shù)規(guī)范,在全行范圍內(nèi)印發(fā)執(zhí)行,有效指導(dǎo)了信息化建設(shè)和風(fēng)險管理工作的開展。為了保持制度的嚴肅性,使基層分支行操作人員嚴格執(zhí)行制度,省分行加強制度執(zhí)行力建設(shè),采取檢查、監(jiān)控及違規(guī)積分等措施,確保制度落地,形成人人“重制度,守制度”良好工作氛圍。
(三)完善技術(shù)體系建設(shè),提升技術(shù)防范能力1.建設(shè)高標準機房。2009年到2011年期間,率先啟動省、市、縣三級機房達標工程改造,共投入2000萬元用于轄內(nèi)66個機構(gòu)機房的建設(shè)和改造,機構(gòu)覆蓋面達到90%以上。機房建設(shè)突出了“高可用、高可靠、易管理、前瞻性”的理念,對供電、防雷、消防、空調(diào)、裝飾系統(tǒng)進行了全面改造,為信息系統(tǒng)安全運行提供了可靠的物理保障。2.健全后備供電保障體系。2012年,利用有限的固定資產(chǎn)指標,為全轄所有市級分行配置了功率在20KVA以上的UPS,為60個縣支行配置了10KVA的UPS;在3個新建辦公樓機構(gòu)建設(shè)了市電雙回路供電、7個行自備發(fā)電機;11個行與電力公司、電信或聯(lián)通等公司簽訂應(yīng)急供電協(xié)議。形成了UPS、發(fā)電機、雙回路供電、移動發(fā)電車等多重供電安全保障。3.建立功能完善的監(jiān)控系統(tǒng)。省、市分行統(tǒng)一建立了機房預(yù)警監(jiān)控系統(tǒng)(包括網(wǎng)絡(luò)預(yù)警監(jiān)控系統(tǒng)和機房動力環(huán)境監(jiān)控系統(tǒng)),實現(xiàn)對機房物理環(huán)境、重要設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)鏈路、業(yè)務(wù)系統(tǒng)進行實時監(jiān)測及預(yù)警。系統(tǒng)采用分級監(jiān)控方式,本級行不僅可以監(jiān)控自身機房及信息系統(tǒng)運行情況,還可以實時監(jiān)控到轄內(nèi)行情況,實現(xiàn)科技風(fēng)險監(jiān)測的縱橫結(jié)合,提升風(fēng)險預(yù)警與防控能力。4.構(gòu)建高效安全的網(wǎng)絡(luò)體系。基層行成立不久,就實現(xiàn)了分網(wǎng)運行,根據(jù)業(yè)務(wù)種類、服務(wù)范圍等分為生產(chǎn)網(wǎng)、辦公網(wǎng)和監(jiān)控網(wǎng),針對不同的網(wǎng)絡(luò)采用不同的安全控制策略;在網(wǎng)絡(luò)線路上,采用三家運營商多線路、互為熱備方式實現(xiàn)網(wǎng)絡(luò)通訊的高可靠性;結(jié)合不同的應(yīng)用分別采取了防火墻、入侵檢測、內(nèi)外網(wǎng)隔離等技術(shù)防范手段,確保網(wǎng)絡(luò)安全。5.部署防病毒系統(tǒng)。部署了覆蓋全行的計算機病毒防治系統(tǒng),支持防病毒軟件的統(tǒng)一管理和升級,有效防止病毒轉(zhuǎn)播與蔓延。6.建立省分行級的異地災(zāi)備中心。通過在異地機房內(nèi)架設(shè)EMC存儲,使用現(xiàn)有網(wǎng)絡(luò)在非工作時段進行數(shù)據(jù)復(fù)制,解決了重要數(shù)據(jù)異地災(zāi)備問題。同時在存儲中劃分一定的空間供二級分行使用,也解決了二級分行重要數(shù)據(jù)異地存儲的難題。經(jīng)過演練測試驗證,災(zāi)備系統(tǒng)運行穩(wěn)定,能夠有效地保障數(shù)據(jù)安全。
(四)加強信息系統(tǒng)應(yīng)急管理,保持業(yè)務(wù)連續(xù)性省分行嚴格按照《中國農(nóng)業(yè)發(fā)展銀行信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法》要求,成立相應(yīng)組織,切實履行職責(zé),在全轄范圍內(nèi)每年都組織一次應(yīng)急演練。2013年僅在網(wǎng)絡(luò)應(yīng)急演練中,就模擬了6個場景,模擬突發(fā)網(wǎng)絡(luò)故障情況108種,驗證演練數(shù)據(jù)1638項。通過把演練工作做實做細,使得一些潛在的隱患得以暴露,強化了各級行對突發(fā)事件的響應(yīng)和處置能力。此外還以應(yīng)急演練為抓手,引入PDCA(策劃-實施-檢查-改進)持續(xù)改進機制,不斷完善應(yīng)急預(yù)案及應(yīng)急物資儲備。在演練策劃階段,針對已有的和潛在的信息科技風(fēng)險因素進行充分的評估,有重點地制定演練方案;實施階段實時跟蹤監(jiān)測各類信息科技風(fēng)險因素的產(chǎn)生和變化,適時調(diào)整信息科技風(fēng)險應(yīng)對策略和措施;檢查階段對演練情況展開具體分析,對業(yè)務(wù)具體造成的影響、潛在風(fēng)險、變化情況等進行收集整理,作為修訂完善應(yīng)急預(yù)案的依據(jù);在改進階段及時修正、完善應(yīng)急演練預(yù)案。通過對應(yīng)急演練持續(xù)改進,大大降低了信息科技風(fēng)險事件的影響和損失,有效維持業(yè)務(wù)的不間斷運營。
二、基層行信息科技風(fēng)險管理工作面臨的挑戰(zhàn)
(一)信息科技風(fēng)險管理意識及能力尚需提高。一是部分基層行領(lǐng)導(dǎo)存在重業(yè)務(wù)發(fā)展重業(yè)務(wù)風(fēng)險防范,輕信息科技建設(shè)輕信息科技風(fēng)險防范的現(xiàn)象,致使科技風(fēng)險管理不到位。二是一線操作人員風(fēng)險意識淡薄,認為信息科技風(fēng)險是信息科技部門的事,與己無關(guān)。對移動存儲設(shè)備使用、IC卡管理、密碼管理等安全管理規(guī)定置若罔聞,非常容易產(chǎn)生操作風(fēng)險。三是信息科技人員缺乏科技風(fēng)險管理方面專業(yè)系統(tǒng)的培訓(xùn),風(fēng)險管理知識及經(jīng)驗不足,風(fēng)險識別、風(fēng)險評估、風(fēng)險處置能力不強。
(二)信息科技風(fēng)險管理制度還需完善。一是信息科技管理制度還不夠完善。比如現(xiàn)有的制度在電子設(shè)備采購、管理、報廢等方面進行了規(guī)范,但在設(shè)備選型、設(shè)備更換、固定資產(chǎn)指標使用等方面缺乏統(tǒng)一規(guī)定,部分機構(gòu)出現(xiàn)設(shè)備老化、設(shè)備帶病工作、設(shè)備兼容性差等情況。二是內(nèi)部管控制度不健全。目前對信息科技風(fēng)險審計能力不足,缺乏信息科技風(fēng)險的有效監(jiān)管。審計部門只對信息科技資產(chǎn)進行審計,缺乏必要的技術(shù)力量和技術(shù)方法對信息科技風(fēng)險及信息科技人員行為進行審計。信息科技部門既是運動員,又是裁判員,不能形成有效的制衡機制。三是制度執(zhí)行不到位。由于基層行信息科技人員不足,技術(shù)力量薄弱,科技部門重要崗位缺乏備份人員,內(nèi)部崗位之間缺乏制約,影響某些規(guī)章制度有效落實。
(三)信息安全技術(shù)保障體系需進一步提升。一是技術(shù)安全標準和技術(shù)規(guī)范不夠全面,在風(fēng)險預(yù)警、評估、處置等方面存在漏洞。二是在終端安全、網(wǎng)絡(luò)準入控制、網(wǎng)絡(luò)分區(qū)等方面技術(shù)手段不足,既增加人力維護成本,又極易產(chǎn)生信息科技安全隱患。三是IT服務(wù)外包需進一步規(guī)范,在外包合同簽訂、外包人員管理、服務(wù)質(zhì)量的監(jiān)督等方面需加強監(jiān)管,在努力提高服務(wù)水平的同時,最大限度地保護信息安全。
三、基層行信息科技風(fēng)險治理展望
(一)加強內(nèi)控制度建設(shè),鞏固三道防線。內(nèi)控管理是一項長期而重要的工作,基層行應(yīng)緊密結(jié)合現(xiàn)有業(yè)務(wù)流程,以完善管理機制、建立健全制度體系為主線,不斷優(yōu)化現(xiàn)有信息系統(tǒng),提高信息系統(tǒng)基礎(chǔ)設(shè)施的服務(wù)保障能力。信息科技風(fēng)險雖然體現(xiàn)在信息系統(tǒng)的運行操作環(huán)節(jié),但往往涉及業(yè)務(wù)流程和操作模式的合理性、業(yè)務(wù)需求的質(zhì)量等眾多方面,防范信息科技風(fēng)險必須綜合考慮業(yè)務(wù)需求制定、項目實施、軟件開發(fā)、基礎(chǔ)設(shè)施建設(shè)、運行維護管理等不同環(huán)節(jié)的各種因素,由業(yè)務(wù)主管部門、科技管理部門和審計部門協(xié)同工作,才能起到事半功倍的效果。各基層行首先應(yīng)充分認識信息科技安全的緊迫性和重要性,明確信息科技風(fēng)險管理目標,落實信息科技風(fēng)險管理責(zé)任制,將信息科技風(fēng)險納入自身的總體風(fēng)險框架,筑起第一道“思想”防線;其次,在加強信息安全監(jiān)督、自查力度的同時,還應(yīng)定期組織轄內(nèi)信息科技風(fēng)險的專項檢查,對于日常經(jīng)營管理和生產(chǎn)運行中發(fā)現(xiàn)的操作風(fēng)險隱患,建立信息系統(tǒng)風(fēng)險持續(xù)跟進機制,及時消除風(fēng)險隱患,堅守第二道“監(jiān)查”防線;此外,還應(yīng)明確業(yè)務(wù)部門責(zé)任,將科技風(fēng)險管理納入到業(yè)務(wù)部門日常管理,設(shè)立專門的IT審計團隊,培養(yǎng)專業(yè)的IT審計人才,對信息科技風(fēng)險進行評估,督促整改,構(gòu)建“以查帶審,以審促查”的第三道防線。
(二)重在預(yù)防,完善信息風(fēng)險防控體系。一是建立信息風(fēng)險監(jiān)控平臺,通過對現(xiàn)有各類生產(chǎn)系統(tǒng)、監(jiān)控系統(tǒng)中的可疑數(shù)據(jù)進行跟蹤與分析,從而有效地對信息科技風(fēng)險進行預(yù)警、評估、處置。平臺采用實時預(yù)警和T+1分析相結(jié)合的方式,對于風(fēng)險程度高、要求響應(yīng)速度快的風(fēng)險點,依托短信平臺、郵件系統(tǒng)在最短時間內(nèi)給出預(yù)警;對于日常操作和行為信息,采用T+1分析的方式,通過事后追查、責(zé)任落實來規(guī)避風(fēng)險。二是完善信息科技風(fēng)險評估制度,嚴格控制對應(yīng)用項目外包、軟硬件產(chǎn)品和相關(guān)服務(wù)外包的風(fēng)險,建立對外包服務(wù)商、產(chǎn)品供應(yīng)商的信息科技風(fēng)險的評估機制,實現(xiàn)對第三方全過程的跟蹤管理,防范外包服務(wù)的實施風(fēng)險。三是實施風(fēng)險管理的全覆蓋。將全省人員按照省、市、縣三級組織實施分級管理,一級管一級,實現(xiàn)從上到下、從省到縣的逐級有序結(jié)構(gòu),使科技工作風(fēng)險管控的觸角延伸到每一個人、每一臺計算機、每一項業(yè)務(wù)。
(三)強化保障體系,持續(xù)推動業(yè)務(wù)連續(xù)性管理。首先,應(yīng)嚴格執(zhí)行機房值班制度,每日巡查機房,確保將安全隱患消滅于萌芽之中。其次,還應(yīng)加強后備電源、備品備件的管理,落實各二級分行機房的第二供電保障渠道,有條件的行采用雙回路供電,沒有改造條件的自備發(fā)電機,對重要設(shè)備還應(yīng)采取熱備或冷備的方式,消除單點故障隱患。再次,研發(fā)推廣桌面(終端)安全系統(tǒng),包含內(nèi)網(wǎng)準入、補丁分發(fā)、病毒庫升級和主動防御等功能,從源頭防范,確保網(wǎng)絡(luò)安全。此外,還必須未雨綢繆,及時修訂應(yīng)急預(yù)案,做好業(yè)務(wù)連續(xù)性規(guī)劃、業(yè)務(wù)恢復(fù)機制、風(fēng)險化解和轉(zhuǎn)移措施、數(shù)據(jù)備份方案等多方面的工作,并加強災(zāi)備演練,以保障在突如其來的災(zāi)難性事故面前能從容應(yīng)對,迅速恢復(fù)生產(chǎn),盡可能降低事故造成的損失。
一、規(guī)范行政決策行為,提升依法決策能力
建立健全會前學(xué)法制度。各單位要認真落實好辦公會議會前學(xué)法制度,堅持把合法性作為行政決策的基本要求,提高運用法治思維和法治方式深化改革、推動發(fā)展、化解矛盾、維護穩(wěn)定的能力。各單位每月至少要堅持1次會前學(xué)法,學(xué)后要于次月5日前將學(xué)法內(nèi)容上報區(qū)政府法制辦。建立法律顧問制度。各鄉(xiāng)鎮(zhèn)人民政府和民政、人社、交通、農(nóng)牧、水務(wù)、計生、藥監(jiān)、工商、質(zhì)監(jiān)、城管、國土等執(zhí)法任務(wù)重的區(qū)級執(zhí)法部門要于6月底前建立法律顧問制度。在作出重大決策和出臺重要政策等方面要充分發(fā)揮法律顧問的作用。建立健全行政決策機制。完善行政決策和程序,明確決策范圍、權(quán)限,健全決策機制,把部門論證、公眾參與、民主協(xié)商、專家論證、專業(yè)機構(gòu)測評、成本效益分析、風(fēng)險評估、合法性審查和集體討論作為重大決策的必經(jīng)程序,將決策行為置于法治框架內(nèi);建立健全行政決策監(jiān)督和責(zé)任追究制度,堅決制止和糾正超越法定權(quán)限、違反法定程序的決策行為。嚴格執(zhí)行規(guī)范性文件備案審查規(guī)定,各單位制定的規(guī)范性文件要在頒布后15日內(nèi)報區(qū)政府備案。(責(zé)任單位:區(qū)政府法制辦、區(qū)政府其他部門,各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處)
二、規(guī)范行政權(quán)力運行,提升權(quán)力公開透明
各單位要進一步做好行政權(quán)力的清理規(guī)范工作,強化行政職權(quán)目錄動態(tài)管理,進一步完善行政權(quán)力運行平臺建設(shè)。應(yīng)當(dāng)納入平臺運行的行政權(quán)力,不得在網(wǎng)外運行,要把權(quán)力關(guān)進法律和制度的籠子。區(qū)政務(wù)服務(wù)中心要牽頭將行政審批系統(tǒng)納入行政權(quán)力運行平臺,實現(xiàn)所有行政權(quán)力在一個統(tǒng)一的平臺上依據(jù)清楚、運行透明、監(jiān)察到位。行政機關(guān)法定職責(zé)不得隨意委托;無規(guī)章以上依據(jù)的權(quán)力事項要重新核定。加大監(jiān)督檢查力度,對行政權(quán)力應(yīng)當(dāng)納入而未納入平臺運行的實行問責(zé)。(責(zé)任單位:區(qū)監(jiān)察局、區(qū)政府法制辦、區(qū)委編辦、區(qū)政務(wù)服務(wù)中心、區(qū)政府其他部門)
三、規(guī)范行政執(zhí)法行為,提升依法行政水平
深化行政執(zhí)法體制改革,整合執(zhí)法主體,下沉執(zhí)法重心,在文化、農(nóng)業(yè)、城市管理等領(lǐng)域和鄉(xiāng)鎮(zhèn)推行綜合執(zhí)法。嚴格執(zhí)行《省規(guī)范行政執(zhí)法自由裁量權(quán)規(guī)定》,建立行政執(zhí)法自由裁量權(quán)基準制度,嚴格規(guī)范行政執(zhí)法自由裁量權(quán)行使,細化量化行政執(zhí)法裁量標準,避免執(zhí)法隨意性和不公平。加強行政執(zhí)法人員管理,落實行政執(zhí)法人員資格管理和持證上崗制度,堅決杜絕不具備行政執(zhí)法資格的人員行使執(zhí)法權(quán),對聘用履行行政執(zhí)法職責(zé)的合同工、臨時工進行清理。嚴格依法執(zhí)法,落實行政執(zhí)法責(zé)任制,切實做到嚴格規(guī)范公正文明執(zhí)法,加大食品藥品、農(nóng)產(chǎn)品質(zhì)量、環(huán)境保護、安全生產(chǎn)、勞動保障、社會治安、公民信息安全等領(lǐng)域的執(zhí)法力度。完善罰沒管理制度,嚴格遵守“罰繳分離”和罰沒物品依法處理規(guī)定,杜絕將行政執(zhí)法人員福利待遇與罰沒收入掛鉤。區(qū)政府法制辦要牽頭加強對各執(zhí)法部門進行執(zhí)法行風(fēng)評議和執(zhí)法檢查。(責(zé)任單位:區(qū)委編辦、區(qū)政府法制辦、區(qū)文建委、區(qū)農(nóng)牧林業(yè)局、其他區(qū)級行政執(zhí)法部門,各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處)
四、規(guī)范矛盾糾紛化解,提升行政糾錯力度
著力加強行政復(fù)議工作。充分發(fā)揮行政復(fù)議在解決矛盾糾紛中的作用,努力將行政爭議化解在初發(fā)階段和行政程序中。行政復(fù)議機構(gòu)要進一步鞏固行政復(fù)議規(guī)范化建設(shè)成果,改革完善行政復(fù)議體制,創(chuàng)新案件審理機制,暢通行政復(fù)議渠道,加大糾錯力度,按照“有錯必糾”的原則撤銷違法或不當(dāng)具體行政行為。著力加強行政調(diào)解工作。把行政調(diào)解作為各單位的重要職責(zé),充分發(fā)揮行政調(diào)解在解決社會矛盾糾紛中的重要作用,運用法治思維和法治方式積極、有序化解各類行政爭議。建立完善行政調(diào)解與人民調(diào)解、司法調(diào)解相銜接的大調(diào)解聯(lián)動機制,實現(xiàn)各類調(diào)解主體的有效互動。各單位每月25日前要將行政調(diào)解情況上報區(qū)政府法制辦。(責(zé)任單位:區(qū)政府法制辦,區(qū)政府各部門,各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處)
五、規(guī)范審批服務(wù)事項,提升便民服務(wù)水平
繼續(xù)做好行政審批事項清理,重點清理行政審批項目子項和非行政許可審批事項,凡是市場能有效調(diào)節(jié)的經(jīng)濟活動,一律依法取消審批。嚴格控制各類年檢、年審和注冊,清理減少行政事業(yè)性收費,規(guī)范中介服務(wù)行為。加強行政審批后續(xù)監(jiān)管,積極推進行政管理重心由事前審批向事中事后監(jiān)管轉(zhuǎn)移。制定公共資源集中交易制度和服務(wù)標準,推進政務(wù)服務(wù)和公共資源交易集中、規(guī)范、高效運行。制定深化行政審批制度改革意見,對有關(guān)工作作出具體安排。(責(zé)任單位:區(qū)政務(wù)服務(wù)中心、區(qū)公共資源交易中心、區(qū)政府其他部門,各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處)
六、規(guī)范政府信息公開,提升政府公信力
推進行政審批、公共資源交易等十大領(lǐng)域的信息公開。將環(huán)境保護、農(nóng)牧、工商、質(zhì)監(jiān)、食品藥品、文化新聞出版等領(lǐng)域的行政處罰案件信息作為政府信息公開的重要內(nèi)容,除涉及國家秘密、商業(yè)秘密和個人隱私外,行政執(zhí)法部門在作出行政處罰決定之日起30日內(nèi),在政府網(wǎng)站依法公開案件信息,包括違法違規(guī)的主要事實、處罰種類、依據(jù)和結(jié)果等。積極探索利用政務(wù)微博、微信等新媒體,及時各類權(quán)威政務(wù)信息、開展互動交流、提供在線服務(wù)。(區(qū)政府信息公開辦,區(qū)政府其他部門,各鄉(xiāng)鎮(zhèn)人民政府、街道辦事處)
七、查找整改突出問題,提升行政執(zhí)法形象
各行政執(zhí)法部門要結(jié)合黨的群眾路線教育實踐活動,通過自查和公開征集意見的方式,梳理2—3件涉及公眾利益、群眾反映強烈的突出問題,制定整改方案,明確整改內(nèi)容、目標、時限等,并公開向社會承諾,接受社會監(jiān)督、取信于民,讓廣大人民群眾感受到法治進步帶來的變化,對整改不力的予以問責(zé)。各執(zhí)法部門于5月30日前將整改方案報區(qū)政府法制辦。(責(zé)任單位:區(qū)政府法制辦,區(qū)級行政執(zhí)法部門)
關(guān)鍵詞:證券行業(yè)信息安全網(wǎng)絡(luò)安全體系
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴大,社會影響力不斷增強.成為國民經(jīng)濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進,市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強,交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關(guān)重要。
1證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標準體系方面
健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標準。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標準化邁進。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標準互通性和協(xié)調(diào)性不強,部分規(guī)范和標準的可執(zhí)行性差;三是部分規(guī)范和標準已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運行機制,切實提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照ISO/IEC27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。
1.3IT治理方面
整個證券業(yè)處于高度信息化的背景下,IT治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性,良好的IT治理有助于增強公司靈活性和創(chuàng)新能力,規(guī)避IT風(fēng)險。通過建立IT治理機制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理IT問題,自我評估IT管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lT治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的IT治理存在的問題:一是IT資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是IT治理缺乏明確的概念描述和參數(shù)指標;是lT治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運行。但細追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護能力有待加強;四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進;五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5IT人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)IT隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計,2008年初,在整個證券行業(yè)中,103家證券公司共有IT人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達到了行業(yè)協(xié)會的IT治理工作指引中“IT工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的IT隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任,IT隊伍建設(shè)是行業(yè)信息安全IT作的根本保障。但是,IT人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強。
2采取的對策和措施
2.1進一步完善法規(guī)和標準體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標準體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實。
2.2深入開展證券行業(yè)IT治理工作
2.2.1提高IT治理意識
中國證券業(yè)協(xié)會要進一步加強IT治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的IT治理培訓(xùn),將IT治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的IT治理意識,提高他們IT治理的積極性。
2.2.2通過設(shè)立IT治理試點形成以點帶面的示范效應(yīng)
根據(jù)IT治理模型的不同特點,建議證券公司在決策層使用CISR模型,通過成立lT治理委員會,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以COBIT模型、ITFL模型等其他模型為補充,規(guī)范信息技術(shù)部門的各項控制和管理流程。同時,證監(jiān)會指定一批證券公司和基金公司作為lT試點單位,進行IT治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施IT治理的優(yōu)秀范例,以點帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標準積極落實信息安全等級保護
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵.應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制,統(tǒng)一部署、組織行業(yè)的等級保護丁作,為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求,對照標準逐條落實。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機構(gòu)進行督促。
2.4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平
2.4.1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃
等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理,確保其符合國家、行業(yè)技術(shù)標準。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試,進行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上交易方面,采取電子簽名或數(shù)字認證等高強度認證方式,加強訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強網(wǎng)站保護,提高對惡意代碼的防護能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進行安全意識考核,從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實推進行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機結(jié)合。
2.6抓好人才隊伍建設(shè)
證券行業(yè)要采取切實可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強lT人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系,對信息技術(shù)人員進行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進技術(shù)人才結(jié)構(gòu)的涮整和完善。
【關(guān)鍵詞】獨立學(xué)院;實驗室;安全;管理體系
【Abstract】Laboratory is the base for training compound application talents with certain practical ability and innovation ability. Safety of laboratory is important for the security and stability of colleges. The characteristics and safety problems of laboratory in independent colleges is analyzed in this paper. Some suggestions for establishing laboratory safety management system in independent colleges are put forward.
【Key words】Independent college; Laboratory; Safety; Management system
0 引言
實驗室是高校教學(xué)科研的重要基地,是對學(xué)生實施綜合素質(zhì)教育、人才培養(yǎng)和科技創(chuàng)新的重要場所,也是高校安全事故高發(fā)場所,實驗室的安全管理是實驗室正常運行的基本保證[1]。為貫徹“強化意識、安全第一、綜合治理、預(yù)防為主”的安全工作方針,牢固樹立“隱患險于明火,防范勝于救災(zāi),責(zé)任重于泰山”的實驗室安全工作意識,保證實驗教學(xué)工作的順利進行,確保師生員工的人身安全及實驗室財產(chǎn)安全,防止實驗室安全事故的發(fā)生,建立并完善的實驗室安全管理體系刻不容緩。
1 獨立學(xué)院實驗室安全管理的特點
相對于其它各類高校來說,獨立學(xué)院的實驗室安全工作具有以下特點:
1.1 實驗室建設(shè)缺乏科學(xué)合理的中長期規(guī)劃[2]
獨立學(xué)院興起于本世紀初,經(jīng)過十幾年的高速發(fā)展,到2014年,全國獨立學(xué)院已達322所(2015年有50所獨立學(xué)院轉(zhuǎn)型,現(xiàn)有272所)。由于辦學(xué)主體的資金投入不能一步到位,只能隨著學(xué)生人數(shù)的增加,不斷地增加教學(xué)用房,并對已建的教學(xué)用房逐年進行調(diào)整,重新分配,已建成的實驗室很可能就需進行搬遷、擴建。又因新增的專業(yè)存在一定的不可預(yù)見性,難于對全校實驗室規(guī)模、布局進行科學(xué)的中長期規(guī)劃,一些教學(xué)用房不得不改建成實驗室,形成一定的安全隱患。隨著學(xué)校規(guī)模的不斷擴大,專業(yè)的持續(xù)增多,學(xué)校實驗室及儀器設(shè)備的數(shù)量、種類、實驗項目、實驗人數(shù)均在增加,各種實驗室安全隱患也隨之增大[3]。
1.2 實驗室安全管理體系不夠健全
由于建校時間較短,規(guī)模不斷變化,專業(yè)持續(xù)增加等原因,獨立學(xué)院的實驗室安全管理體系大多尚未成型,還處在不斷摸索過程中。
1.3 獨立學(xué)院實驗室以教學(xué)型實驗室為主
大多數(shù)獨立學(xué)院定位為教學(xué)型學(xué)校,致力于培訓(xùn)應(yīng)用型人才,對科研方面的投入相對較少,一般僅存在一些教學(xué)型科研任務(wù),因此,獨立學(xué)院的實驗室中安全隱患類型相對較少,可以對實驗室存在的絕大多數(shù)安全隱患進行安全評估,實驗室安全事故可預(yù)防性較高。
1.4 實驗室專業(yè)技術(shù)人員師資力量匱乏,一方面是由于新建的學(xué)校缺乏積累沉淀,高端人材數(shù)量相對較少。另一方面是因為在相當(dāng)長的時間內(nèi)學(xué)校的科研條件無法與老牌學(xué)校相比,導(dǎo)致學(xué)校難于留住高級人才、人材流動性較大。
1.5 學(xué)生的安全知識缺乏,安全意識不強
受限于招生批次及分數(shù)線水平,學(xué)生的整體素質(zhì)相對較低,動手能力較弱。
1.6 由于學(xué)校創(chuàng)辦時間較短,實驗室房屋、設(shè)備、線路老化等類安全隱患相對較少
由于存在上述特點,獨立學(xué)院的實驗室安全管理體系存在一定的特殊性,本文擬根據(jù)北京理工大學(xué)珠海學(xué)院的實驗室安全管理的實踐情況,就獨立學(xué)院實驗室安全管理體系的建立提出一些個人看法。
2 建立并完善有獨立學(xué)院特色的實驗室安全管理體系
實驗室安全管理體系是一項系統(tǒng)工程。實驗室安全管理體系從屬于學(xué)校的校園安全大系統(tǒng),但由于實驗室的性質(zhì)和特點,具有相對獨立的特點。實驗室安全管理體系必須遵循高校實驗室安全工作的客觀規(guī)律和基本原則,對教學(xué)和科研實驗活動中涉及到安全問題的各要素、各環(huán)節(jié)等進行全面系統(tǒng)的總體設(shè)計和構(gòu)建。體系包括組織機構(gòu)、制度保障、技術(shù)防范、教育培訓(xùn)、檢查整改、應(yīng)急預(yù)案等多方面內(nèi)容[4-5]。
2.1 機構(gòu)與職責(zé)
根據(jù)我校的現(xiàn)狀,建立“學(xué)校―專業(yè)學(xué)院―實驗中心―實驗室房間(機臺)安全責(zé)任人”四級安全管理構(gòu)架,根據(jù)“誰使用、誰負責(zé),誰主管、誰負責(zé)”的原則,逐級分層落實責(zé)任制,明確各級機構(gòu)安全責(zé)任,實行實驗室安全管理責(zé)任制[6]。形成校、院、實驗室群策群防、齊抓共管的良好局面。
學(xué)校建立校級層面的實驗室安全工作委員會,行使全校實驗室安全管理職責(zé)。實驗室安全工作委員會由校長牽頭,后勤保衛(wèi)處、條件裝備部(注:實驗室管理部門)、人事處、資產(chǎn)與預(yù)算管理處、法規(guī)與招投標處、財務(wù)處等職能部門、各專業(yè)學(xué)院主要領(lǐng)導(dǎo)為成員。實驗室安全工作委員會的主要職責(zé)包括:
(1)負責(zé)學(xué)校實驗室安全建設(shè)與管理工作的統(tǒng)籌管理,檢查監(jiān)督有關(guān)規(guī)章制度的落實;
(2)組織制定學(xué)校實驗室安全建設(shè)與管理規(guī)章制度和安全事故應(yīng)急預(yù)案;
(3)組織開展實驗室安全教育和業(yè)務(wù)培訓(xùn),組織定期安全檢查和應(yīng)急演練;
(4)對學(xué)校實驗室的安全建設(shè)與管理工作進行考核;
(5)受理全校實驗室安全事件報告,配合有關(guān)部門做好實驗室安全事故的調(diào)查、處置工作。
實驗室安全工作委員會下設(shè)實驗室安全專家組,從專業(yè)角度協(xié)助并督促各職能部門及二級學(xué)院履行實驗室安全管理職責(zé)。
各職能部門的具體分工為:
(1)后勤保衛(wèi)處作為學(xué)校消防安全管理歸口職能部門及學(xué)校水電的主管部門,負責(zé)實驗室的消防安全、用水用電安全、防盜防竊防蟲害、房屋安全等管理,負責(zé)消防安全培訓(xùn),組織實施安全月活動,定期進行消防安全檢查及用電安全檢查,發(fā)現(xiàn)隱患及時指導(dǎo)整改。
(2)條件裝備部是負責(zé)實驗室技術(shù)安全管理。制訂實驗室日常運行的相關(guān)規(guī)章制度,審核實驗室建設(shè)項目及實驗項目,督促各學(xué)院、實驗中心落實危險設(shè)備及重大儀器設(shè)備的相關(guān)安全操作規(guī)程,監(jiān)督各部門危險化學(xué)品的使用,督促落實各實驗室或機臺安全責(zé)任人,評估各實驗室中可能存在的危險源、并負責(zé)技術(shù)安全措施的落實,負責(zé)學(xué)生的實驗室安全知識培訓(xùn),定期進行實驗室安全檢查,發(fā)現(xiàn)隱患督促整改。
(3)其它職能部門分別負責(zé)與其工作范圍有關(guān)的實驗室安全工作的落實。
各專業(yè)學(xué)院成立院級實驗室安全領(lǐng)導(dǎo)小組,負責(zé)本部門安全工作的部署和落實。
實驗中心設(shè)安全員,負責(zé)本實驗中心所有安全相關(guān)工作。
各實驗室房間或機臺確定明確的安全責(zé)任人,對房間或機臺的安全直接負責(zé)。
實驗室安全工作委員會與各二級學(xué)院、各二級學(xué)院與實驗中心(室)、實驗中心(室)與各房間安全責(zé)任人簽訂安全責(zé)任書,明確各級安全責(zé)任人的職責(zé),強化責(zé)任意識和責(zé)任追究,做到層層落實,責(zé)任到人。
2.2 實驗室安全管理主要內(nèi)容
實驗室安全涉及面非常廣泛[7],與學(xué)校開設(shè)的專業(yè)和擁有的實驗室類型有關(guān)。我校實驗室安全管理工作主要包括以下方面:
2.2.1 實驗室建設(shè)項目及新增實驗項目安全審核工作
建立了實驗室建設(shè)與改造項目安全審核制度。對新建、擴建、改造實驗場所建立審核流程,嚴格按照國家有關(guān)安全和環(huán)保規(guī)范要求進行設(shè)計、施工,落實“三同時”制度,完工項目需經(jīng)安全驗收合格后方可投入使用。
對存在安全危險因素的實驗項目進行審核、評估,必要時邀請校外專家給予指導(dǎo),使其具備相應(yīng)的安全設(shè)施、技術(shù)防范措施、特殊資質(zhì)等條件,并在項目開設(shè)后進行重點監(jiān)管。
2.2.2 實驗室化學(xué)品安全管理
對實驗室使用的化學(xué)品及廢棄物,建立從申購、領(lǐng)用、使用、回收、銷毀的全過程記錄和控制制度,嚴格分庫、分類存放,強化各環(huán)節(jié)的管理,堵塞漏洞,嚴防丟失、被盜和非法使用。定期檢查物品臺帳,確保賬賬相符、賬實相符。
對于劇毒化學(xué)品和其他高危物品,嚴格落實了“雙人收發(fā)、雙人記賬、雙人雙鎖、雙人領(lǐng)取、雙人使用”的管理制度。
2.2.3 實驗室儀器設(shè)備與操作的安全管理
建立了實驗室儀器設(shè)備管理制度,落實專人做好實驗室儀器設(shè)備的維護、保養(yǎng)工作,保證儀器設(shè)備安全運行。對具有危險性和安全隱患的設(shè)備如機械加工設(shè)備、高溫高壓設(shè)備等采取了嚴密的安全防范措施,制訂了相應(yīng)的安全操作規(guī)程。實驗室儀器設(shè)備操作人員接受了業(yè)務(wù)和安全培訓(xùn),了解了儀器設(shè)備的性能特點、熟練掌握操作方法和操作技巧,嚴格按照操作規(guī)程開展實驗教學(xué)和科研工作。特種設(shè)備的操作人員應(yīng)按國家及行業(yè)相關(guān)規(guī)定持證上崗。
2.2.4 實驗室水電的安全管理
按相關(guān)規(guī)范安裝用電、用水設(shè)施和設(shè)備,定期對實驗室的電源、水源等進行檢查,排查安全隱患,落實整改措施。
2.2.5 實驗室安全設(shè)施的管理
學(xué)校根據(jù)實驗室類別、潛在危險因素等配置了大量消防器材、煙霧報警、監(jiān)控系統(tǒng)、應(yīng)急噴淋、洗眼裝置、危險氣體報警、通風(fēng)系統(tǒng)、防護罩、警戒隔離等安全設(shè)施,并指定專人負責(zé)管理。安全設(shè)施定期檢查,做好設(shè)備更新、維護保養(yǎng)和檢修工作。
2.2.6 實驗室的消防安全管理
我校所有實驗室均配備了相應(yīng)的滅火器材,落實了消防器材管理職責(zé)和措施,保證消防器材定點存放,性能良好。聘請了專業(yè)的維修公司對學(xué)校的消防設(shè)施進行維護。疏散通道、安全出口、消防車通道等保持暢通,禁止堆放雜物。實驗室管理人員分批接受消防安全知識和相關(guān)技能培訓(xùn),熟悉本崗位的防火要求,掌握所配滅火器的使用方法,保證安全教學(xué)。通過先進入消防體驗中心進行體驗等措施學(xué)校對進入實驗室的人員(學(xué)生)開展了防火安全教育。
實驗室安全管理還應(yīng)包括生物安全、輻射安全、科研項目的安全、信息安全等方面[8],我校目前的專業(yè)設(shè)置和實驗室規(guī)劃中,上述方面未涉及。
2.3 實驗室安全管理制度
科學(xué)規(guī)范的安全管理制度是實驗室正常、高效運轉(zhuǎn)的有力保障,是各項措施得以貫徹、落實、執(zhí)行的前提和基礎(chǔ)。按照國家的相關(guān)法律法規(guī)、技術(shù)標準和業(yè)務(wù)規(guī)范,根據(jù)本校實驗室設(shè)置情況和存在的危險源的類型,建立健全管理制度,是實驗室安全管理的基本任務(wù)之一。
我校的實驗室安全管理制度主要包括:項目和人員的準入制度,危險品管理制度,易制管理制度,儀器設(shè)備管理制度、特種設(shè)備管理制度,安全員制度,安全培訓(xùn)制度,安全檢查制度,應(yīng)急預(yù)案和事故報告制度,安全獎懲制度等。
除此之外,我校還編制了實驗室安全手冊,監(jiān)督各學(xué)院、實驗中心制訂了重點儀器設(shè)備的安全操作規(guī)程。設(shè)備的安全操作規(guī)程已上墻或放在可隨時取閱的地方。
隨著新實驗室的建立,實驗室危險源不斷增加,需進一步加強實驗室危險源的辨識工作,及時制訂及完善相應(yīng)的管理制度及安全操作規(guī)程,使實驗室安全管理工作規(guī)范化、制度化、標準化。
2.4 實驗室安全技術(shù)措施
學(xué)校要注重對實驗室安全建設(shè)的投入,從硬件上保證消除安全隱患。首先,在實驗室規(guī)劃設(shè)計時,確保實驗室基礎(chǔ)設(shè)施符合實驗室使用要求,如水電線路和容量和布局、通風(fēng)要求,設(shè)備布局、安防系統(tǒng)等[9]。另外學(xué)校設(shè)立有實驗室安全專項經(jīng)費,保證各項安全技術(shù)措施落實到位。我校實驗室安全技術(shù)措施主要包括:
(1)消防器材配備充足:除各建筑物自帶的消防設(shè)施外,我校所有實驗室均根據(jù)室內(nèi)易燃物種類另配了滅火器,部分實驗室配備了防火毯、消防桶等;
(2)廢棄物集中處理:化工實驗室廢棄物分類收集、集中處理,化學(xué)實驗室的廢水經(jīng)廢水處理系統(tǒng)處理后排放。
(3)安全標識種類齊全:除各樓內(nèi)消防逃生標志外,實驗室內(nèi)危險源處張貼有化學(xué)危險品標識、機械安全標識、用電安全標識等安全標識,時刻提醒師生注意防護。
(4)防護裝備齊全有效:包括個人防護用品及公用防護用品,如化工實驗室的防護眼鏡、防毒面具、通風(fēng)柜、柜、氣瓶柜、長袖工作服,機械裝置的安全罩、安全連鎖裝置等。
(5)監(jiān)控設(shè)備全面覆蓋:所有實驗室均處于監(jiān)控設(shè)備覆蓋范圍,部分實驗室安裝有防盜門窗,保證實驗室財產(chǎn)安全,并隨時監(jiān)測實驗室情況,發(fā)現(xiàn)異常及時處理[10]。
(6)應(yīng)急裝備有備無患:如化工實驗室的緊急沖洗裝置、洗眼器、醫(yī)藥箱等。
另外,在進行實驗項目設(shè)計進,學(xué)校要求各學(xué)院盡量利用替代品減少危險源,如用無毒物代替有毒物,低毒物代替高毒物,從根源上減少安全隱患。
2.5 實驗室安全宣傳教育及培訓(xùn)
學(xué)校重視安全教育工作,按照“全員、全程、全面”的教育思想,結(jié)合實驗室特點,進行專業(yè)性的安全教育活動,開展各種預(yù)案演練、急救知識培訓(xùn)與操作等活動,開展形式多樣的安全教育活動,營造濃厚的實驗室安全校園文化氛圍,提高師生員工安全意識和安全技能[11-12]。
學(xué)校要求所有新生均需進入我校與珠海市合作共建的消防體驗中心接受安全教育。組織學(xué)生學(xué)習(xí)實驗室安全手冊,讓學(xué)生熟悉實驗室工作時的各種注意事項,實驗室的環(huán)境,預(yù)習(xí)實驗內(nèi)容,掌握設(shè)備操作規(guī)程、了解所接觸的實驗設(shè)備、化學(xué)藥品的性能。對第一次進入實驗室的學(xué)生均進行培訓(xùn),實行準入制度[13-14],采用網(wǎng)上培訓(xùn)考試系統(tǒng)、書面考試和實際操作等方式對實驗人員進行培訓(xùn)考核。實驗人員考試合格后,方可進入實驗室參與實驗教學(xué)和科研活動。實驗中心對學(xué)生介紹實驗樓內(nèi)部建筑結(jié)構(gòu),實驗樓內(nèi)各種滅火器的類型及放置位置,介紹實驗樓內(nèi)各種電氣設(shè)備、機械設(shè)備儀器等的管理人員及聯(lián)系電話,緊急情況下的聯(lián)系人及電話等,讓學(xué)生清楚地了解出現(xiàn)事故時盡快離開現(xiàn)場的逃生方法等。通過上述措施,堅決防止實驗室安全事故的發(fā)生,確保學(xué)校的安全穩(wěn)定。
2.6 安全檢查及整改
我校每學(xué)期至少進行一次實驗室安全聯(lián)合檢查,條件裝備部每學(xué)期進行4-5次安全檢查(包括開學(xué)檢查、節(jié)假日前檢查、不定期檢查等),二級學(xué)院每月至少進行一次實驗室安全檢查。檢查的主要內(nèi)容包括:安全教育及培訓(xùn)情況,制度及責(zé)任制落實情況,安全檔案建立健全情況,安全設(shè)施、器材配置及有效情況,安全隱患和隱患整改情況等。
在定期、不定期檢查的基礎(chǔ)上,對發(fā)現(xiàn)的安全問題和隱患進行梳理,我校均及時采取措施進行了整改并跟進督查整改情況。對不能及時消除的安全隱患,隱患單位及時向?qū)W校報告,提出整改方案,由學(xué)校確定整改措施、期限以及負責(zé)整改的部門、人員,并落實整改資金。
2.7 實驗室安全應(yīng)急預(yù)案
學(xué)校制訂了實驗室安全應(yīng)急預(yù)案。預(yù)案規(guī)定實驗室發(fā)生事故時,應(yīng)立即啟動應(yīng)急機制,及時妥善做好應(yīng)急處置工作,防止事態(tài)擴大和蔓延。發(fā)生較大險情時,應(yīng)立即報警,并逐級報告事故信息,不得隱瞞不報或拖延上報。發(fā)生實驗室事故后,實驗室所在單位應(yīng)當(dāng)配合相關(guān)職能機構(gòu),迅速查明事故原因,分清責(zé)任,寫明事故調(diào)查報告,及時落實整改措施,做到“四不放過”。
2.8 實驗室安全評估及防范
鑒于我校實驗室主要均為教學(xué)型實驗室,實驗室進行的教學(xué)活動處于可控狀態(tài),條件裝備部定期統(tǒng)計各實驗室開設(shè)實驗項目情況,了解實驗室使用儀器及易耗品的種類和數(shù)量,分析設(shè)備、耗材和工藝中可能出現(xiàn)的安全隱患,對開設(shè)的實驗項目的安全狀態(tài)均進行安全評估,建立實驗室安全臺賬,采取相應(yīng)的技術(shù)防范措施。同時在日常安全管理中對重點部位加強監(jiān)控及檢查,以防范實驗室安全事故的發(fā)生。
3 結(jié)束語
創(chuàng)造安全、和諧的實驗環(huán)境,提供良好的教學(xué)、科研條件,確保學(xué)校廣大師生的生命安全,保護學(xué)校的財產(chǎn)不受損失,是實驗室安全工作的最終目標[15]。高校實驗室安全管理涉及的內(nèi)容很多、范圍很廣,實驗室安全管理體系的建設(shè)是確保對實驗室安全運行的前提和基礎(chǔ),是實驗室安全工作者的共同任務(wù)。由于實驗室安全管理體系是一個復(fù)雜的動態(tài)系統(tǒng),需要在各職能部門和專業(yè)學(xué)院協(xié)同努力下不斷發(fā)展和完善,才能真正建立實驗室安全管理工作的長效機制,安全管理體系的良好運行依賴于制度和組織機構(gòu),更依賴于各級單位及全體師生的安全意識和對安全工作的理解與遵守。
【參考文獻】
[1]李五一.高等學(xué)校實驗室安全概論[M].杭州:浙江攝影出版社,2006.
[2]曹傳堂.淺談獨立學(xué)院實驗室建設(shè)[J].管理觀察,2010,31:109-111.
[3]萬長建.高校快速發(fā)展期實驗室建設(shè)與管理的若干問題[J].實驗室研究與探索,2008,27(9):133-135.
[4]付國慶,張玲,石玉琴.中外高校實驗室安全管理體系比較[J].西北醫(yī)學(xué)教育,2013,21(5):900-902.
[5]葉秉良,汪進前,李五一,等.高校實驗室安全管理體系構(gòu)建與實踐[J].實驗室研究與探索,2011,30(8):419-422.
[6]溫光浩,周勤,陳敬德.高校實驗室安全管理之思考[J].實驗技術(shù)與管理,2012,29(12):5-8.
[7]徐東華,朱小東.理工類高等院校實驗室安全管理體系建設(shè)研究[J].現(xiàn)代計算機,2012,03:42-44.
[8]郭恩棉.高校實驗室安全管理改革探索[J].經(jīng)濟研究導(dǎo)刊,2013,19:201-202.
[9]郭敏杰,胡新,王.高等藥學(xué)院校實驗室安全管理探究[J].實驗技術(shù)與管理,2012,29(2):177-179.
[10]程琳琳,王旭,譚海燕.實驗室安全管理及強化管理策略[J].熱帶農(nóng)業(yè)工程,2013,37(4):25-29.
[11]廖秀萍,陳紀鑫,許業(yè)河.轉(zhuǎn)變理念 開拓創(chuàng)新 積極推進高校實驗室安全管理建設(shè)[J].實驗室研究與探索,2010,29(8):349-351.
[12]聞星火,李明.加強安全教育是保障高校實驗室安全的關(guān)鍵[J].實驗技術(shù)與管理,2007,24(9):8-11.
[13]孫立權(quán),范強銳,陸捷.加強高等學(xué)校實驗室安全管理的幾點思考[J].現(xiàn)代科學(xué)儀器,2008,(2):126-128.
一、總體思路
認真貫徹落實縣聯(lián)社工作會議精神,以完善制約和監(jiān)督機制,強化科技安全防范為宗旨;加快科技建設(shè),不斷普及科技應(yīng)用水平,實現(xiàn)全轄業(yè)務(wù)電子信息化、辦公自動化、操作規(guī)范化;整合信息資源,在金融服務(wù)創(chuàng)新方面求突破,不斷拓展業(yè)務(wù)品種,以優(yōu)異的科技手段有力支撐我縣聯(lián)社持續(xù)的科學(xué)發(fā)展。
二、工作目標
1、嚴格內(nèi)部管理,確保計算機全年安全運行無事故。
2、加大系統(tǒng)運行維護力度,確保系統(tǒng)平衡高效運行。
3、優(yōu)化用卡環(huán)境,做活中間業(yè)務(wù),提高業(yè)務(wù)競爭力。
4、增強科技人員技術(shù)本領(lǐng),有效提升部門形象。
5、強化業(yè)務(wù)技能培訓(xùn),提高一線人員操作水平。
6、強化網(wǎng)站更新,施行oa系統(tǒng),提升聯(lián)社形象。
7、加大設(shè)備保障力度,確保基層正常營業(yè)。
8、補充管理制度,加強檢查輔導(dǎo),提高科技管理水平。
9、采取有力措施,切實防范計算機突發(fā)風(fēng)險。
10、積極探索新業(yè)務(wù),努力拓展業(yè)務(wù)品種。
三、主要工作措施
為實現(xiàn)以上目標,我部將采取以下措施,精心組織、逐步開展。
1、完善制度,規(guī)范聯(lián)社科技管理流程。
為確保聯(lián)社科技信息安全穩(wěn)定運行,我部將繼續(xù)完善和補充聯(lián)社的科技管理制度,對聯(lián)社金融科技的發(fā)展、建設(shè)、服務(wù)、管理等工作進行全面細化、規(guī)范。準備建立《電子設(shè)設(shè)管理辦法》、《科技檔案管理辦法》、《計算機系統(tǒng)故障處理辦法》、《局域網(wǎng)管理辦法》、《聯(lián)社中心機房管理辦法》、《科技機構(gòu)及崗位設(shè)置辦法》等制度。進一步完善聯(lián)社內(nèi)控管理,建立有效的督促約束機制,規(guī)范電子設(shè)備、科技檔案、局域網(wǎng)、中心機房的管理,進一步明確科技人員的崗位職責(zé),有效防范制度管理風(fēng)險。
2、注重實效,推動各項制度落實到位。
在制度建設(shè)時注重做好以下三個方面的工作,首先要仔細研究,字斟句酌,確保有法可依、有章可循。其次要充份調(diào)研,民主討論,確保切合實際、方便操作。最后狠抓落實,推動實施,確保得到執(zhí)行到位。一是組織培訓(xùn)和學(xué)習(xí),在制度出臺之后立即組織相關(guān)人員進行培訓(xùn)和學(xué)習(xí);二是組織檢查和輔導(dǎo),實行定期輔導(dǎo)和不定期檢查,輔導(dǎo)時貫徹“量、質(zhì)”方針,即輔導(dǎo)每月不少于一次,每次不少于一天,力求足“量”;輔導(dǎo)結(jié)果要達到讓被輔導(dǎo)對象完全理解、熟練操作,力求足“質(zhì)”。檢查時貫徹“全、(細、深、實、糾”五字方針,即:檢查內(nèi)容面面俱到;檢查過程深入細致,一絲不茍;發(fā)現(xiàn)線索,一查到底,堅決不搞下不為例;對發(fā)現(xiàn)的問題,有證有據(jù);查處的問題及時督促改正。通過檢查輔導(dǎo),將制度規(guī)定及時傳達到基層業(yè)務(wù)一線,普及科技應(yīng)用水平,有效防范操作風(fēng)險。
3、防患未然,強化突發(fā)事件處置預(yù)案。
在增強抗擊計算機突發(fā)性事件能力方面,我部將做好以下五項工作。一是硬件備份,對縣中心與基層和省中心網(wǎng)絡(luò)實行電信、聯(lián)通2m光纖雙備份,計劃對聯(lián)社中心機房核心的7206路由器進行備份,對報表系統(tǒng)、信貸系統(tǒng)、中間業(yè)務(wù)系統(tǒng)的服務(wù)器進行備份,配備若干臺備用主機和安裝好程序的硬盤,對聯(lián)社中心機房和各信用社實行ups熱備份;二是實時監(jiān)控,首先實施內(nèi)、外網(wǎng)的物理分離,其次在所有系統(tǒng)安裝防火墻和殺毒軟件,最后在聯(lián)社中心機房明確專人,在業(yè)務(wù)高峰期隨時監(jiān)控主機cpu、內(nèi)存、交換空間、頁面調(diào)度、i/o的負荷情況,發(fā)現(xiàn)瓶頸環(huán)節(jié)及時主動處理;三是外部溝通,與省中心、電信部門做好溝通,在故障自身不能解決時,能夠迅速得到幫助;四是做好物防,計劃對聯(lián)社中心機房、各信用社機房深化改造,努力達到安全合格標準,堅決達到防火、防潮、防靜電、防雷擊的要求;五是長期備戰(zhàn),我部所有人員將繼續(xù)執(zhí)行24小時工作制度,對全轄系統(tǒng)故障隨叫隨到,并在最短的時間內(nèi)處置完畢。通過多種措施,能夠有郊防范突發(fā)意外風(fēng)險。
4、盡心竭力,精心維護保養(yǎng)硬件設(shè)備。
在終端、辦公電腦,特別是打印機、監(jiān)控等硬件設(shè)備維護方面我部將做好以下四項工作。一是主動維護、定期保養(yǎng)基層業(yè)務(wù)設(shè)備,以損壞頻率較高的打印機為重點,按使用單位、型號、購置日期登記臺賬,詳細掌握每臺設(shè)備動態(tài)情況,按新舊程度進行每季不少于一次的主動上門保養(yǎng),延長使用壽命,有損壞的立即調(diào)劑更換,集中修理,對已超過使用壽命沒有修理價值的,及時淘汰更新,對因業(yè)務(wù)發(fā)展需要增加設(shè)備的單位,做到上門安裝到位。二是積極協(xié)助監(jiān)察保衛(wèi)部做好監(jiān)控設(shè)備的維護工作,對故障立即督促維保單位進行排除,對達不到安全保衛(wèi)要求的,立即提出切實可行的整改方案。三是做好聯(lián)社機關(guān)辦公設(shè)備的維護工作,對機關(guān)各部門辦公設(shè)備的保障做到隨叫隨修。四是嚴格考核,開展設(shè)備管理競賽活動,對能合規(guī)使用的先進單位進行獎勵,對因不按規(guī)定使用設(shè)備的人員進行經(jīng)濟處罰,造成損壞的,堅決要求當(dāng)事人進行現(xiàn)金賠償。通過優(yōu)質(zhì)維保,堅決保證不發(fā)生因硬件損壞影響正常辦理業(yè)務(wù)的情況。
5、嚴謹務(wù)實,強化二級管理中心管理職能。
在核心業(yè)務(wù)系統(tǒng)管理和提高一線柜員操作能力方面,我部將做好以下四項工作,一是進一步提高維護速度,對合規(guī)的賬務(wù)修改、業(yè)務(wù)需求,按照流程到達我部后,保證在5分鐘之內(nèi)處理完畢。二是進一步提高業(yè)務(wù)指導(dǎo)能力,對基層的業(yè)務(wù)咨詢做到耐心細致,并舉一反三的進行解釋指導(dǎo),對每次的程序升級及時下發(fā)書面通知,傳達升級精神,同時每季下發(fā)一份綜合業(yè)務(wù)系統(tǒng)運行簡報,對新業(yè)務(wù)介紹、新問題注意事項進行全縣通報。三是進一步提高業(yè)務(wù)培訓(xùn)力度,計劃在每個季度舉辦一期一線柜面青年員工操作實用技能培訓(xùn)班,推行漢字五筆輸入、規(guī)范輸入指法,實現(xiàn)數(shù)字小鍵盤和英文大鍵盤的盲打輸入,切實提高柜面人員業(yè)務(wù)辦理速度。四是進一步提高系統(tǒng)操作監(jiān)督力度,從機房管理入手,直至操作號、密碼、授權(quán)卡使用和加班監(jiān)督、機構(gòu)簽退管理等相互制約制度的執(zhí)行,進行全方面的監(jiān)督,切實履行崗位職責(zé)。
6、推陳出新,優(yōu)化開發(fā)中間業(yè)務(wù)外掛程序。
在中間業(yè)務(wù)程序開發(fā)、維護方面我部將努力做到人無我有、人有我新、人新我優(yōu)。一是對財政集中支付、國稅代扣、代收交通罰款程序進一步優(yōu)化,不斷提高穩(wěn)定性,同時將根據(jù)財政、國稅、公安等客戶的需求,對程序進一步升級改造,不斷提高適用性。二是進一步簡化工資程序,簡便操作過程,方便基層操作。三是適時開發(fā)各類程序,將根據(jù)業(yè)務(wù)發(fā)展需要,自主開發(fā)適應(yīng)性、針對性強的程序。通過優(yōu)化開發(fā)各類程序,為業(yè)務(wù)創(chuàng)新提供強有力的技術(shù)支持。
7、循序漸進,安裝推廣自助銀行和pos機。
在優(yōu)化用卡環(huán)境,有效推廣圓鼎卡,有力搶占市場份額方面,我部將做好以下六項工作,一是迅速安裝atm,對已購置的atm計劃在1月底前安裝到位,使得atm基本履蓋全部網(wǎng)點。二是主動協(xié)助業(yè)務(wù)拓展部,開展駐城商鋪pos消費刷卡機的安裝,今年計劃在人民路、新建路繁華地段的商鋪至少安裝20臺。三是適時開展卡積分活動,準備在春節(jié)期間開展圓鼎卡刷卡消費積分獎勵活動,提高圓鼎卡的使用頻率。四是大力開辦無人自動銀行,以為客戶提供晝夜存取款、賬務(wù)查詢、轉(zhuǎn)賬、自動繳費服務(wù)的自助場所,逐步取代效益低的網(wǎng)點。五是加大培訓(xùn)和維護力度,對基層操作人員定期進行培訓(xùn),經(jīng)常督促維保單位進行日常保養(yǎng),保證atm良好的使用狀態(tài)。六是搞好宣傳,計劃利用現(xiàn)有自助銀行的空間,進行全縣統(tǒng)一模式的廣告宣傳。通過有效推廣使用圓鼎卡,有效增加卡業(yè)務(wù)手續(xù)費收入。
8、提高效率,實現(xiàn)自動無紙化網(wǎng)絡(luò)辦公。
在提高全縣辦公水平和現(xiàn)代化辦公能力,進一步提升聯(lián)社對外形象方面我部將做到,一是加大網(wǎng)站更新力度,今年我部將與聯(lián)社辦公室繼續(xù)共同維護聯(lián)社網(wǎng)站,及時刷新主頁,開辦信合論壇,力求辦成象信合369一樣高點擊率的網(wǎng)站,從多方面提升聯(lián)社形象。二是開發(fā)使用oa系統(tǒng),實行辦公自動化,實現(xiàn)公文流轉(zhuǎn)、數(shù)據(jù)采集、三戶經(jīng)濟檔案、報表傳送、信息通知、業(yè)務(wù)咨詢、制度匯編、財產(chǎn)保管、物資領(lǐng)用、任務(wù)進度、考核兌現(xiàn)、檢查通報、人事教育、企業(yè)文化建設(shè)、黨務(wù)建設(shè)、紀檢監(jiān)察、工作請示等全部網(wǎng)絡(luò)共享。通過實現(xiàn)辦公網(wǎng)絡(luò)化,進一步促進提高整個聯(lián)社部門的辦事效率。
9、不甘人后,積極摸索現(xiàn)代銀行科技思路。
隨著十七大的順利閉幕,我國經(jīng)濟社會發(fā)展進入新的階段,金融業(yè)的重要地位和作用更加突出。但隨著外資銀行攜帶的新金融工具、業(yè)務(wù)品種、營銷理念和新服務(wù)手段進入中國市場,金融機構(gòu)之間的競爭日趨激烈,農(nóng)村信用社傳統(tǒng)的金融產(chǎn)品和服務(wù)手段,越來越無法適應(yīng)發(fā)展的新要求。因此,金融創(chuàng)新勢在必行,只有不斷創(chuàng)新才能持續(xù)健康發(fā)展,才能提高我聯(lián)社的競爭力。在金融創(chuàng)新中科技創(chuàng)新是保障、是基礎(chǔ),所以我部將做到一是加強自身學(xué)習(xí),本著缺什么補什么,干什么學(xué)什么,將來需要什么、現(xiàn)在準備什么的原則,開展學(xué)習(xí)競賽活動,做到有計劃、有筆記、有體會、有進步,提高科技人員的業(yè)務(wù)本領(lǐng)。二是探索新業(yè)務(wù)、做好理論準備,在項目評估、公司理財、信息咨詢、代保管、國際業(yè)務(wù)、貸記信用卡、基金代銷與托管、代客理財、企業(yè)年金、賬戶管理、網(wǎng)上銀行、vip客戶服務(wù)、債券代銷等方面做好科技準備。
