安全检查管理制度
- 格式:doc
- 大小:189.00 KB
- 文档页数:24
第一章安全检查管理制度1.总则1)为保证安全方针和目标的实现,促进安全检查的规范化、制度化,保证检查质量,有效预防和减少安全事件的发生,制定本规定。
2)安全检查必须坚持以下原则,做到领导与员工相结合,检查与整改相结合,定期对安全管理工作进行检查、考核。
a)分级负责原则。
信息安全领导小组负责对本单位的安全检查工作,信息科技管理员负责本部门的安全检查工作,安全管理员负责各岗位的安全检查工作。
b)注重实效、狠抓落实原则。
安全检查应深入工作现场,切忌走过场和搞形式主义。
c)谁检查、谁签字、谁负责原则。
安全检查人员要认真履行检查职责,对自己的检查行为负责。
3)本规定适用于金报集团网络中心机房的安全检查工作。
2.检查内容1)安全检查的主要任务是进行风险识别,查找不安全因素和行为,提出消除或控制不安全因素的方法和纠正不安全行为的措施。
单位的安全检查应有明确的目的、要求、内容和具体计划。
2)安全检查内容主要包括:a)查思想:检查各级领导对安全管理工作的认识;是否真正关心职工的安全和健康;是否认真贯彻安全工作的方针、政策和各项法规制度。
b)查管理:检查各级领导是否把安全管理工作摆到重要议事日程;领导对安全工作是否分工负责;机构、人员、经费是否健全和到位; 各类档案台帐资料是否齐全;干部员工的安全教育培训是否落实,对专业技术人员是否培训、考核、持证上岗;安全应急预案有否建立并演练。
c)查制度:检查各项安全管理制度是否建立健全并得到贯彻落实;各级安全生产责任制是否全面落实;岗位安全操作规程是否完善。
d)查环境:深入工作现场对机房物理环境、信息系统软硬件情况、安全防护情况、人员操作行为等是否符合安全工作要求进行检查。
e)查隐患:检查有无实行安全隐患的识别与治理;检查是否对各种安全隐患下达整改通知书,明确整改措施和时限,对重大安全隐患进行跟踪督办。
f)查整改:对查出的安全隐患整改情况进行复查,并下达整改反馈意见,对整改不及时、不彻底或整改不力的个人或部门进行相应处理。
g)查事件处理:检查各类安全事件和隐患是否按规定及时报告,认真调查,严格处理。
3.形式与方法1)单位检查应定期或不定期地开展,检查的形式有:a)综合性检查:单位级综合检查每年不少于1次,部门级检查每月不少于1次。
b)日常检查:安全管理员每天对信息系统运维情况进行检查,及时掌握安全动态,发现不安全因素,及时进行整改。
2)安全检查的一般方法是:c)听取汇报:听取有关人员关于安全工作情况汇报,向被检查单位(部门)有关人员询问有关的安全工作情况。
d)现场检查:检查人员到现场实地检查安全管理工作情况和各种安全隐患,查看各种安全资料、台帐等基础工作。
e)综合评议:检查组对检查情况进行汇总评议,形成检查意见,做出综合评价,并进行意见反馈,提出要求。
4.组织实施单位的安全检查根据不同规模、范围和要求分别由单位、部门、安全管理员具体实施。
a)单位级安全检查:定期综合性检查、节前检查、专业性检查由信息安全领导小组负责组织,各部门参与,按要求周期进行。
b)部门级安全检查:由金报集团网络中心负责人定期组织实施。
c)岗位安全检查:由安全管理员定期实施。
5.程序与要求1)单位的安全检查应有明确的目的、要求、内容和具体计划。
安全检查的一般程序是:依照检查计划(范围、时间、要求等),落实检查人员,下发检查通知,组织安全自查,听取汇报,进行现场检查,检查情况汇总,检查意见反馈,必要时发书面检查通报,检查情况复查等步骤进行,也可以根据检查内容和范围,结合工作需要和实际情况,简化检查程序。
2)安全检查的要求:a)要建立健全群众性的安全检查网络,把安全生产责任落到实处,把安全岗位责任人自查落到实处。
b)安全检查一般不得影响被检查部门、人员的正常工作,各部门、人员,应积极配合各级组织的安全检查活动,任何部门和个人不得妨碍和干扰正常的安全检查活动。
c)各种检查均应编制相应的《信息系统安全检查表》,见附件一,逐项检查,并与责任制挂钩,对在检查中发现的不安全问题,及时纠正。
3)对于检查中发现的安全隐患,应根据“谁存在安全隐患,谁负责整改落实”和“四定”(定整改项目、定整改内容、定整改时间、定整改责任人)原则,能立即整改的立即整改;难以立即整改的要采取防范、监控措施,落实责任部门,限期整改。
整改期限内,要采取有效的防范措施,进行专人监控,明确责任,坚决杜绝各类事故的发生。
隐患整改后,相关责任部门或单位应填写整改落实情况报告表,向有关单位和部门报告事故隐患整改工作落实情况。
附件一:信息系统安全检查表信息系统安全检查表编号:检查人:第二章授权和审批管理制度1)个人有办公用品需求的计算机与机房耗材类需求,报XXXX,由XXXX定期汇总并填写《物品采购审批表》,见附见一。
经领导同意后统一采购;其中列入政府采购目录的,按政府采购的规定执行。
2)对设备的申请、领用、归还,须向XXXX提出书面申请,XXXX对申请材料进行必要审查,审核通过后发放设备;领用物品需填写《物品领取登记单》,见附件二,由领用人填表并签字。
3)接入信息系统的设备,经XXXX组织验收、检测合格后,方可安装运行,XXXX对信息系统的所有设备建立档案。
4)当来访者要求对机房区域进行访问时,应事先向XXXX提出申请,并填写《外部人员访问申请授权表》,见附件三。
在获得进入许可后,由网络中心的工作人员全程陪同访问。
5)日常变更申请人识别具体的变更需求(如模块调整、数据修改、硬件维护、网络维护、网络结构变更、终端网络需求变更(如Hub的接入)及其他),由变更申请人填写《变更申请表》,见附件四,交给变更审批人进行审批。
相应的变更审批人对变更申请进行审核,如判断此变更属于日常变更,由日常变更审批人审批后自行组织实施;如属于重大技术变更,则提交信息系统安全领导小组审批。
并填写《变更记录表》,见附件五。
6)无线网络由网络中心进行统一部署和管理,其他科室不得擅自接入,特殊需要时,需向办公室提出申请,经领导同意后由网络中心负责接入并及时回收。
7)业务科室在进行系统改造或项目建设时,应向单位领导递交完善的实施细化方案、实施计划(包括人员、时间安排等),并抄送其他科室一份,其他科室应认真考虑并给予积极配合,认为可能影响系统正常运行的,应及时提出反馈意见。
最后,经领导审定同意后,才能实施。
8)服务器等设备是机房的重要设备,必须按要求放置在机房指定机柜内,不得擅自配置、移动、更换,更不能挪作它用。
服务器物理位置一经确定,不得随意变更。
如需变更,由项目主管填写《变更申请表》。
9)根据系统建设需要将服务器连入或断开网络,变更服务器用途,应用系统重大升级,变更密码,改变目录等,由项目主管填写《变更申请表》,经主机系统负责人(管理员)确认后方可变更。
附见一:物品采购审批表物品采购申请表编号:附见二:物品领取登记单物品领取登记单编号:附件三:外部人员访问申请授权外部人员访问申请授权表编号:附件四:变更申请表变更申请表编号:附件五:系统变更记录表系统变更记录表编号:附件六:安全管理制度评审记录表安全管理制度评审记录表编号:第三章设备安全管理制度1. 总则为加强对设备的维护管理,规范设备的采购、使用、管理、报废行为,制定本规定。
2. 设备购置1)对部分数量价值较大、关键性的电脑设备采用招投标方式进行购置。
设备选型坚持选择性能价格比优良,市场占有率高,售后服务好的国际主流产品及国内品牌产品;2)选用的计算机设备必须经过技术论证,符合国家有关标准或规范,满足可靠性和兼容性要求,每类设备选择2-3个品牌;3)计算机设备在购置须满足以下几方面要求:先进性、可扩充性、兼容性、充分可用、较好的性能价格比、良好的售后服务;4)服务器、交换机等关键设备应备有充足的备件(相应的备份措施);5)服务器、交换机等关键设备的购置须制定规范的合同(协议)书,根据管理权限审批;6)设备购置合同是经济活动中的法律依据,合同的制定须遵守经济合同法的条款及有关规定,合同(协议)的签订必须由两人以上经办并经主管领导批准。
合同(协议)要建档备案;7)设备购置合同(协议)应包括以下内容:设备名称、型号、配置标准、产地、单位、数量、单价、合计金额、交货时间、地点、验收标准、付款时间、运保费、保修期限、维修服务、技术支持、培训及违约责任等内容。
合同中需要详细明确的条款和内容可用协议方式补充说明;8)购置计算机设备时,一般不得交纳定金、支付预付款;9)合同执行过程中,如果发生违约或纠纷,按照谁购买谁负责的原则进行妥善处理;10)设备购置手续必须完整,由专人负责项目实施,对项目进行全程管理,验收完成要及时建立设备管理台帐。
3. 设备使用1)计算机设备的使用实行专人负责制,每台设备都应设有保管人,保管人由使用人担当,公用设备的保管人由单位具体指定,使用人对设备丢失或因不当使用造成的损坏负责,计算机设备的使用须严格遵照有关操作规程;2)未经网络中心同意,严禁改变计算机设备的硬件配置;3)设备使用中出现故障时,不得自行修理,应将设备故障及时报告网络中心,由其负责设备的维修工作。
4)出现故障的设备应经过网络中心审批同意后方可带出办公环境或机房进行维修。
4. 设备管理1)金报集团应设立计算机设备管理员,负责计算机设备的实物管理;2)计算机设备管理员负责为每一台设备及时录入固定资产系统,建立设备管理档案;3)设备管理员变更时,应及时盘点资产并向接替人员办理移交手续;4)计算机设备因配置变更导致账面值变化时,设备管理员应及时办理变更登记;5)计算机维修按我局资产管理制度规定流程审批。
统一采购的关键设备由网络中心统一组织维修,计算机的维修情况,应予以记录;6)计算机设备外借,须经本单位主管领导签字批准,同时在档案卡中予以记录;7)每年年底,应进行本单位计算机设备的盘点工作,并记录盘点台帐;5. 设备报废1)计算机设备的报废应依据财务管理办法及有关规定,严格按照规定的权限及程序进行2)有下列情形之一的计算机设备可提出报废申请:a)折旧期已满,帐面已提足折旧费的计算机设备,其主要部件损坏或一次性修复费用超过目前市场同档次产品价格30%;b)因过频使用自然磨损造成设备部件同步老化,硬件设备发生频率(有维修记录),无法继续使用;c)因雷击、火烧、爆炸、水、腐蚀、摔压等事故造成设备严重损坏,无法修复或一次性修复费用超过目前市场同类档次产品价格50%;d)因技术进步,原有设备明显落后,功能过低不能满足业务需求,不宜或无法继续使用;3)计算机设备报废要由使用部门提出报废申请,经网络中心鉴定,及财务等有关部门审批。
第四章系统安全管理制度1.总则本策略适用于系统管理员等使用。
本策略建立了系统层的规划、建设、运行、变更、废弃等各阶段的安全保障要求。