第一篇:分公司各相关部门网络与信息安全职责(最终版)
市分公司网络与信息安全相关部门职责
业务能力管理部
1、对口省分信息安全管理部,负责市分公司网络与信息安全的归口管理、牵头、组织及相关协调工作。
2、负责制订并落实市分公司网络与信息安全总体工作目标、年度及月度工作计划、相关工作总结等。
3、组织落实省分和上级部门的网络与信息安全各项管理制度、规范和要求,结合本地情况对省分下发的各类管理制度提出实施细则并具体组织落实。
4、负责牵头市分公司信息安全的组织、协调工作,制订并落实市分信息安全工作目标、工作计划、相关工作总结等。
5、配合完成垃圾短信治理,负责短信套餐管理、公众渠道的日常管控及违规处罚。
6、负责用户实名制的管理,对公众渠道的日常管控、检查、考核及违规处罚。
7、负责互联网业务推广渠道中信息内容安全工作的落实。
8、组织本地各单位落实用户信息保护各项要求、完善用户信息保护措施,组织开展本地相关检查、督促整改。具体负责落实市场销售过程中用户信息保护工作,负责用户登记资料管理、代理商管理、互联网电子商务业务过程等涉及用户信息保护的相关工作。
9、负责组织及开展市分网络与信息安全的教育培训工作。
10、负责组织制订市分信息安全应急预案,组织应急预案的培训及实施演练。
11、负责组织落实省分和上级部门要求的互联网净化网络环境等正面宣传引导相关工作。
12、贯彻落实集团公司及省公司的内网信息安全要求,负责本单位的信息化系统主机及数据安全、IT承载网安全以及终端安全工作,包括:
(1)负责牵头组织省内内网信息安全工程在本单位的实施和推广。(2)负责定期进行内网安全检查,预防内网信息安全隐患,对内网信息安全事故组织实施应急处理。
(3)负责内网信息安全工作的本地技术支撑和维护管理。
(4)负责内网信息系统中相关用户信息保护,并协调相关支撑工作。
网络公司综合维护部
1、负责落实市分公司网络安全相关工作,制订并落实市分网络安全工作目标、工作计划、相关工作总结等。
2、组织网络公司各专业开展网络与信息安全的日常维护、检查与监督工作。
3、做好IP地址备案,配合相关部门做好未备案网站或非法网站及时封堵工作。
4、负责组织制订市分网络安全应急预案,组织应急预案的培训及实施演练。
5、配合完成各类网络与信息安全事件的应急处置。
6、落实重要节日和重大活动的通信保障工作。
7、配合综合部规范信息查询和安全设备接入,依法依规配合政府部门工作。
8、负责市分网络安全教育培训工作。
集团客户事业部
一、网站备案:
1、负责集客互联网接入客户的非经营性网站的现场备案。
2、负责集客互联网专线未备案网站的处理。
3、定期对网站备案信息进行拨测、抽验、更新,并对网站备案相关考核指标负责。
二、垃圾短信处理:
1、对垃圾短信做好日常监控,将被省分、市分通报的垃圾短信及时告知市分相关产品经理进行处置。
2、督促及跟踪产品经理、客户经理对垃圾短信的核查,对于违规严重的直接对其关停处理。
三、IDC信息源入网安全:
1、负责核实用户入网资质和条件是否符合公司相关业务管理要求。
2、负责与用户签订《信息源入网安全责任书》。
3、发现信息安全问题后及时通知后台处理,并与用户沟通,妥善处理后续工作,督促用户进行整改。
四、实名制主要工作
1、负责下发和落实省分实名制工作相关要求,并定期通报和扣罚。
2、负责每月对新增用户实行实名制核查。每月抽取一定量的身份证进行国证通认证,核查真实性,同时随机抽取号码查验资料准确性。
3、负责下发各类返档方式使用方法及组织测试,返档方式变更相关通知,执行中相关问题的解决。
4、负责对不合规客户的资料整改(包括新增用户、全量用户)。
5、负责渠道实名登记的签约、培训、检查、考核及问责。
6、负责客户信息安全保障,包括签署用户信息保护协议、工号域权管理、信息提取流程管理及证件复印件专项办理承诺等。
7、负责集团(含中小企业)用户信息保护及管理,以及行业应用、ICT、IDC、云计算等业务的用户信息安全保护及管理,完善用户信息保护措施。
客户服务部
1、负责本部门工号(主要是客服代表、投诉处理人员、客服经理等人员使用的各类系统工号)的日常管理及稽核,编制工号稽核月报表。已开通系统工号人员离职或岗位调整,应及时提交工号申请进行工号及权限的失效和变更。
2、按照《电信和互联网用户个人信息保护规定》,负责本部门客服人员的用户个人信息保护培训及管理,确保客服人员在给用户提供服务或是处理用户投诉时,对知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或非法向他人提供。
3、建立分公司客户服务预警机制,及时发布可能导致大量客户投诉事件的预警提示信息,及时告知客户并提请相关单位及领导关注并及时采取措施加以控制解决,避免客户投诉事件的发展或升级。
4、负责垃圾短信等相关客户投诉管理、流程优化及数据月度统计分析工作。
第二篇:网络信息安全职责
网络信息安全职责
第一条 总经理安全职责
总经理是公司网络信息安全第一责任人,对企业的网络信息安全全面负责:
1、认真贯彻执行国家网络信息安全政策、法令和上级指示,把信息网络安全工作列入企业的管理的重要议事日程。要亲自主持重要的网络信息安全工作会议,批阅上级有关网络信息安全方面的文件,签发有关网络信息安全工作的重大决定。
2、负责落实各级网络信息安全生产责任制。督促检查各部门负责人抓好安全生产工作。
3、健全信息安全管理机构,充实网络信息安全技术管理人员。定期听取安全监察部门的工作汇报,及时研究解决或审批有关网络信息安全中的重大问题。
4、加强对网络信息安全活动的领导,决定网络信息安全方面的重要奖惩。
5、组织信息安全保密工作方针政策和法律法规在公司的贯彻执行。
6、组织落实安全保密工作责任,防范泄密事件和治安事件发生。
第二条 副总经理安全职责
副总经理是公司网络安全的直接责任人。要按谁主管谁负责的原则,对分管部门内的网络信息安全负责:
1、负责分管部门的网络安全教育与考核工作。
2、组织分管部门对网络信息安全事故的调查处理,并及时向总经理汇报。
3、贯彻执行国家信息安全保密工作的方针政策和法律法规,结合实际,组织开展安全保密工作;
4、督促信息安全保密工作部门切实履行职责。第三条 部门经理安全职责
1、贯彻执行公司网络信息安全制度和要求,全面负责本部门网络信息安全。
2、组织职工学习并贯彻执行公司网络信息安全规章制度和计算机安全技术操作规程,教育职工遵纪守法。
3、负责部门网络信息安全检查,发现不安全因素及时上报。
4、督促检查本部门信息安全保密制度和措施的落实,消除隐患,防范泄密事件和治安案件的发生。
5、协调处理安全保密工作中存在的问题。第四条 部门安全员职责
1、部门安全员应搞好本部门中交换机,网线,计算机电源等硬件设施的检查维护工作,使其经常保持完好和正常运行,督促教育员工正确合理使用计算机网络。
2、对新员工进行网络信息安全与信息保密安全教育。
3、严格执行网络信息安全各项规章制度,对违规使用计算机有权制止,并及时报告。
4、发生事故时,及时了解情况,维护好现场,并向领导报告。第五条 计算机使用人员安全职责
1、认真学习和严格遵守各项网络信息安全制度,对本人使用的计算机网络安全负直接责任。
2、不得利用办公计算机制作、复制、查阅、传播和存储国家法律法规和有关规定所禁止的信息内容,以及从事与日常办公和业务工作无关的事项。
3、严格按照相关规定使用和处理办公计算机存储的所有信息,要及时对办公计算机存储的信息进行清理,删除无用信息。
4、未经信息化工作部门同意,不得对办公计算机进行系统格式化或重新安装操作系统,不得变更软硬件配置。严禁安装上网设备,运行代理软件、服务器软件。第六条 信息管理员安全职责
1、制订网络安全管理,机房管理,信息发布管理等各项网络信息安全管理制度。
2、保证公司内网干路通畅。
3、评估现有网络攻击,统计内网病毒感染情况,对网内所有计算机进行防病毒部署。
4、对服务器进行补丁更新,漏洞堵塞,对服务器密码进行定期更换。
5、做好信息中心机房的硬件安全保障工作,注意防火、防水,保证网络核心设备与服务器的安全。
6、保持与电信运营商良好联系和沟通,确保行业网通道畅通,信息传递及时顺畅。
第三篇:各部门安全职责
一、安全生产管理委员会职责
为抓好公司的安全管理工作,公司特成立由公司总经理陈晓纲任主任,办公室主任罗志平、安装队队长姚远任副主任,技安科副科长谭朝伟、各部门负责人吕洪、魏霞、王渠怀、李怀军、邓霞、段宏、马先跃、陈兴辉为成员的安全管理委员会(简称安委会),安委会办公室设在办公室。
公司安委会独立开展日常安全工作,行使规定的管理职责,接受上级安全部门提供的支持、服务和指导监督。
1、公司安委会的职责
(1)定期分析公司安全管理形势,部署和组织各部门贯彻落实国家、集团关于安全管理的方针、政策。研究、探讨改善公司在各种不同领域的风险管理措施,包括职业安全健康管理、消防安全管理、保安管理、环保管理、生产安全管理、管网安全管理、客户服务安全管理等事宜。
(2)研究、协调和解决安全管理中的重大问题。包括:监察管理方案是否足够及有效执行,研究事件、事故统计和趋势,研究分析并报告不安全和不健康的环境和惯性工作方法,并建议改善措施等。(3)参加重、特大事故应急救援工作。评估隐患及安排消除隐患措施的执行,签批安全事故处理、人员奖惩的意见。
(4)总结员工的培训是否足够和有效;检查总结安全工作和安全宣传是否足够;组织推广安全活动,例如:演讲比赛、展览、电影播放等。
(5)审定公司安全工作计划(含安全培训计划),审核安全技术措施费用。提供与外界的联系,从而获得外界对上述各项管理的意见。在某些情况下,委员会可考虑进行巡察,评估工作的有效性及培训是否足够。
(6)协助健全、完善和审批公司的各项安全管理规章制度。
2、安委会会议
(1)会议要求: 委员会应对成员资格做出严格书面规定,有书面的安委会会议制度,说明安委会职权范围及会议程序。此外,应制定会议规则,包括委员会表决的程序,以及制定若干正式规范,以支持主任的权力,确保安委会召开会议时讨论贴题,以及强调会议和决议的重要性。
(2)讨论事项:会议必须预先计划,讨论的议题要列在议程上,议程内容应在会议前发出,会议上只应讨论公司内的风险、安全和环保事宜。
(3)会议频密程度:委员会的会议频密程度取决于工作量、复杂性及公司内的危险性质。无论什么情况下,公司确保委员会最少每一个月举行一次会议。委员会的工作计划应预先编排。
(4)会议记录:公司应保存委员会的会议记录,以及会议所作出的决议、提交的建议及改善行动的进度报告,这些记录应该保存5年以上。
(5)决议及建议:委员会的决议及建议须通知所有员工。(6)会议应检讨员工工作场所的安全及健康,使之不断得到改善。公司鼓励员工积极参与委员会的工作。
(7)公司应执行委员会所建议的所有措施,并应制定有关制度来确保委员会的决定及建议行动有效地传达到负责执行的人员,根据需要可明确监督执行人,以了解建议的实施情况。
3、公司安委会每月定期组织一次安全生产大检查,对查出的隐患由公司安全部门督促整改。
二、总经理(安委会主任)的职责
(1)全面负责本公司的安全生产工作,认真贯彻执行国家、集团有关安全管理的方针、政策、法规、制度,将安全工作列入公司管理重要议事日程,每月亲自主持召开一次安全管理工作会议,参加公司组织的一次安全大检查,及时消除安全事故隐患。
(2)负责落实本公司各级安全管理责任制,督促检查同级副职及各职能部门负责人安全管理工作的执行情况。
(3)建立健全安全管理组织体系,配置专(兼)职安全管理员,定期听取安全管理部门的工作汇报,及时研究解决或审批有关安全管理中的重大问题。
(4)审批公司安全规章制度、安全技术规程和重大安全技术措施,落实安全技术措施费用。
(5)按照事故处理的“四不放过”原则,组织对事故的调查处理。
(6)部署各项安全活动,审定安全管理的经济奖惩意见,保证本单位安全生产管理投入的有效实施。
(7)组织制定并实施本单位的生产安全事故应急救援预案。(8)及时、如实报告生产安全事故。
(9)定期向公司员工代表大会通报安全管理工作情况,主动接受主管部门的工作监督。
三、安全主管领导(安委会副主任)的职责
(1)在总经理(安委会主任)领导下,主管安全工作的领导负责本公司的全面安全管理工作,主持公司安委会日常工作及主管技安科的工作,及时研究解决有关安全管理中的重大问题。
(2)组织制订公司安全管理规章制度、安全技术规程和编制安全技术措施计划,并组织落实。
(3)审核事故处理意见、安全技术措施费用,提出安全管理的经济奖惩意见。
(4)组织开展各类安全活动,推广总结安全运营先进经验。(5)组织公司安全大检查,落实重大事故隐患的整改。(6)定期组织召开安全会议,分析公司安全管理工作动态,及时解决安全运营中存在的问题。
(7)督促有关部门开展安全教育、培训工作,提高员工、用户的安全意识。
四、公司其他领导(安委会成员)的职责
(1)在总经理(安委会主任、副主任)领导下,负责分管范围内的安全管理工作,每月参加公司组织的安全会议、安全检查。
(2)负责督促公司各项安全管理制度在分管范围内的贯彻落实。(3)及时解决分管范围内的安全管理中的重大问题。(4)组织分管范围内的安全检查,落实事故隐患的整改。(5)定期组织召开分管范围内的安全会议,分析安全工作动态,及时解决安全运营中存在的问题。
(6)督促分管部门开展安全教育、培训工作,提高员工的安全意识。
(7)各安委会成员具体职责 安装队负责人(安委会成员)职责
1、在总经理(安委会主任、副主任)领导下,负责分管工程、物质供应部的安全生产管理工作,每月参加公司组织的安全工作会议,每季度安委会会议、安全检查。
2、负责工程、物供在各领域中招投标工作的领导,严把招投标工作的有效性和可操作性。
3、负责督促指导工程、物供部门建立各项安全生产管理制度、流程,并监督按制度流程贯彻落实。
4、定期召开分管部门内的安全工作会议,分析生产中的安全形势,及时解决安全生产中存在的安全隐患。
5、督促分管部门积极开展安全教育、培训工作,要求部门按照责任制目标分解到班组、个人,提高全员安全意识。
6、积极主动解决分管部门内在安全生产管理中发生的重大问题,对影响较大或给公司带来负面影响的要及时向总经理(安委会主任)报告。
7、在总经理(安委会主任)不在期间要主动接替胜任总经理工作职责,带领支部一班人完成各项工作任务。
办公室负责人(安委会成员)职责
1、在总经理(安委会主任、副主任)领导下,负责总经办、人力资源、党群等工作,要结合当地社情、民情,有针对性的搞好员工政治思想教育,端正思想,开展各项文化活动,增强凝聚力。
2、负责制定公司各部门岗位、安全培训取证的学习,落实科学化、合规化,正规化建设。
3、带领员工认真贯彻上级各项政治任务,正面引导员工提高思想觉悟,热爱祖国,热爱共产党,热爱华润集团。
4、加强人力资源管理,注重新进员工招聘,培育和选拔,建立人才备用和干部任用管理机制,避免人才流失和老龄化,激发员工工作积极性。
5、抓好计划生育,搞好党群工作,监控无计划生育,无群体事件和刑事案件发生。
6、积极参加安全工作会议,定期分析分管部门的安全形势,有针对性抓好防范,预防工作。
7、指导监督落实各项上报、下传贯彻执行指令工作。
8、做好企业保密工作,严格档案管理制度不泄露。
9、完成总经理(安委会主任)给予的临时性工作。营销部负责人(安委会成员)职责
1、在总经理(安委会主任、副主任)领导下,负责分管市场客户方面的安全生产管理工作,每月参加公司组织的安全工作会议,每季度安委会会议、安全检查。
2、负责对市场、客户工作的总体规划、协调市场调研,公司正常发展途径和客户发展及满意度调查,杜绝客户群体上访或其它群体事件发生。
3、负责督促指导市场、客户服务部建立各项安全生产管理制度、流程,并监督按制度、流程工程落实。
4、定期召开分管部门内的安全工作会议,分析生产中的安全形势,及时解决安全生产中存在的安全隐患。
5、督促分管部门积极开展安全教育、培训工作,要求部门按照责任制目标分解到班组、个人,提高全员安全意识。
6、积极主动解决分管部门内在安全生产管理中发生的重大问题,对影响较大或给公司带来负面影响的要及时向总经理(安委会主任)报告。
7、对经营区域的管理严格监护,不能有失控,在本市经营的其它单位,能采取措施收编的尽可能收回。
8、完成总经理(安委会主任)给予的临时性工作。财务科负责人(安委会成员)职责
1、在总经理(安委会主任、副主任)领导下,负责分管财务部和后勤保障中的安全管理工作,每月参加公司组织的安全工作会议,每季度安委会会议、安全检查。
2、负责督促指导财务部建立各项安全生产管理制
度、流程、指导性的要求各部门按财务部制度办事,并监督工程落实。
3、参加公司各部门的安全生产设备投入、经费开支等方面、招投标会议,并负责审核各类经济费用支出、纳入公司经济活动进行分析汇总。
4、监督指导财务部按要求提取安全资金存放、落实专款专用,并监督安全资金使用情况。
5、督促分管部门积极开展安全教育、培训工作,要求部门按照责任制目标分解到班组、个人,提高全员安全意识。
6、定期编制运营计划和总结统计运营情况,公司资金的收入、支出执行情况和现状,将总结统计的情况向总经理(安委会主任)汇报
7、完成总经理(安委会主任)给予的临时性工作。
五、办公室(安委会办公室)工作职责
1、认真贯彻执行国家和地方政府及公司安委会有关安全管理方针、政策、法律、规章和制度,贯彻执行各项安全管理的标准和指令,在公司总经理(安委会主任)、分管领导(安委会副主任)和安委会的领导下,负责本公司全面的安全技术管理工作。负责协助公司安全管理层对安全管理工作进行规划,完善安全工作体系,牵头制定公司安全管理制度和操作规程,监督检查公司安全工作方针的履行。
2、负责对职工进行安全生产知识的宣传教育;组织开展对全体员工进行三级安全教育,做好对特种作业人员的培训和安全技术知识考核,组织开展各种安全活动和安全检查。
3、组织编制安全技术措施计划,提出安全技术措施方案,并监督检查执行情况。
4、组织参加安全生产大检查,协助有关单位对查出的问题制订防范和整改措施,并检查落实整改情况。
5、经常进行现场检查,发现问题及时解决,遇有特别紧急的不安全情况时,有权停止供气,并立即上报公司进行处理。
6、参加新建、改建、扩建及大修工程的设计审查,竣工验收,提出并监督使其符合安全技术要求。
7、负责组织安全事故的调查与处理和工伤的鉴定工作,建议改善措施以防止类似事故再次发生。负责各类事故的汇总、统计和上报,并建立健全事故档案,编制事故案例汇编。
8、负责组织编制事故应急预案,建立事故应急抢修、抢险队伍,落实抢修、抢险机具的配置,定期组织应急预案演练。
六、技安科负责人(安委会成员)的职责
(1)监督检查、指导协调公司各部门和各级基层单位的安全管理工作。
(2)组织安全检查和专项督查。
(3)组织召开安全会议,督促、检查安全会议决定事项的贯彻落实情况。
(4)组织开展安全活动,提高全员安全意识。
(5)制定公司安全管理发展规划,定期分析和预测公司安全管理形势,研究、协调和解决安全管理中的问题。
(6)负责发布公司安全管理信息;负责公司生产安全伤亡事故统计;组织、协调事故的调查处理工作;组织安全生产应急救援预案的编制和安全生产应急救援体系建设;组织指挥安全生产应急救援演习;协调重大安全事故应急救援工作。
(7)组织实施对安全生产条件和有关设备进行检测检验、安全评价、安全培训、安全咨询等工作,并进行监督检查。
(8)组织、指导公司的安全管理宣传教育工作,负责组织安全生产管理人员、特种作业人员、主要经营管理者参加政府部门举办的安全培训、考核工作;监督检查各基层单位安全培训工作。
(9)负责应急救援设备及劳动防护用品配备的监督管理工作,负责消防器材的配备工作。
(10)在新建、改建、扩建等基建项目(工程)的设计、施工和投运时,参与安全(消防)、卫生设施的审查、验收。
(11)审核公司各岗位安全技术操作规程和安全技术措施项目。(12)参加事故调查处理,监督落实防范措施,并对事故责任者提出处理意见。
(13)负责停气动火、登高、进入有限空间等危险作业的审核,监督危险作业各项安全措施的落实。
(14)制定、月度安全工作计划,认真组织实施。(15)负责安全工作的总结、评比,行使安全奖惩建议权。(16)组织《安全管理目标责任书》的签订工作。(17)监督各部门认真做好消防保卫、车辆安全管理工作。(18)负责贯彻落实治安保卫制度,健全各级治安保卫组织,加强重点要害部位的管理,做好企业内部的治安保卫工作。
(19)负责监督有关部门做好易燃、易爆物品的管理,认真做好存放地点的保卫工作。
(20)负责各类重、特大安全事故的现场保卫工作。参加有关安全事故的调查、处理、统计上报的工作。
(21)负责保卫队伍的管理工作。负责公司重大活动的治安保卫工作。负责监督、协调防盗措施的落实。
七、其他各职能部门负责人(安委会成员)的职责
(1)在总经理(安委会主任、副主任)领导下,负责分管范围内的安全管理工作,每月参加公司组织的安全会议、安全检查。
(2)负责公司各项安全工作方针、制度、措施及程序的执行。(3)协助找出危险,以及评估和控制风险。
(4)组织制定和落实本部门安全管理规章制度、应急预案和操作规程,督促、检查本部门安全管理工作,及时消除事故隐患。
(5)确保就安全与健康事项进行有效的咨询。(6)协助调查导致有人死亡或受伤的事故。
(7)按规定组织本部门人员进行安全教育培训和预案演练。(8)及时了解与反馈安全管理人员或员工的安全建议。(9)及时了解最新的安全与健康法律与法规。
(10)定期向公司管理层呈交有关安全与健康表现的统计数字及报告。
八、安装队的安全职责
(1)严格贯彻执行国家颁发的《建设安装工程安全技术规程》及其相关安全规定,制定或审查建筑安装施工的安全措施,并监督检查执行情况。保证国家安全生产法规和公司规章制度在本部门贯彻执行,把安全生产工作列入议事日程,做到“五同时”。
(2)组织制定、实施本部门安全生产管理规定、安全技术操作规程和安全技术措施计划,进行不定期检查落实。
(3)组织对新进人员、转岗人员(包括实习、代培人员)进行部门安全教育,对员工进行经常性的安全思想、安全知识和安全技术教育;组织开展岗位技术练兵,并定期组织安全技术考核;组织并参加每周一次的安全会议,及时解决本部门安全问题。
(4)组织部门安全检查,落实隐患整改,保证生产设备、管线及其附属设备、安全装备、消防设施、防护器材等处于完好状态,并教育员工加强维护,正确使用,监督施工各项安全措施的贯彻落实。
(5)及时组织应急救援本部门发生的安全事故,并按规定上报事故,注意保护事故现场。
(6)按规定对带气、动火、登高、进入有限空间等危险作业进行报批,落实作业安全措施。
(7)参加建设项目的设计审查,保证设计符合安全防火和工业卫生要求,认真执行工程施工质量验收标准,严格执行“三同时”规定、国家安全技术规范和华润燃气集团技术标准、安全管理规定。
(8)负责安全技术措施项目的推广,积极推行采用先进技术和安全装备。
(9)在编制或修订技术标准、操作规程、工艺技术指标时必须符合安全生产要求,并经常检查执行情况。
(10)负责组织工艺技术方面的安全检查,及时改进技术上存在的缺陷。保证工程项目的施工质量,特别是隐蔽工程的质量,使新建项目不留隐患。
(11)组织工程、运营管理部门加强对生产操作人员的技术标准学习,严格执行工艺操作规程,确保质量与安全。
(12)负责与外来施工队签订安全协议,组织外来施工队伍的安全教育,发生事故时,按协议书的原则进行处理。参加安全事故的调查处理。在规定权限内协助负责施工质量事故、工程安全事故的调查、处理、统计上报工作。
(13)负责监督管理工程施工设备的检测、检验工作,确保正常有效。保证本部门的安全消防,及重点部位保卫工作的落实。
九、管网科的安全职责
(1)贯彻国家有关安全生产方针、规章制度和设备检修、维护、保养的安全规程和规定;遵照安全生产管理制度,做到生产和安全“五同时”。
(2)组织制定和实施本部门安全生产管理规定、安全技术操作规程和安全技术措施计划。
(3)负责对本部门的机械、电器(气)、动力、仪表等设备、设施进行维护管理;组织对安全阀、防静(雷)电装置、电气、高压管件、管道及其附属设备、消防设施等设备、设施进行定期检查、校验。
(4)对运营中出现的不安全因素、险情及时处理;对事故处理要果断,防止事态扩大,保护好事故现场,及时上报事故。
(5)积极配合上级和公司的安全巡查和抽查,组织本部门日常安全检查,掌握安全运营动态,对查出的有关问题应有计划地及时整改,按时完成安全技术措施计划和事故隐患整改工作。
(6)组织员工参加安全培训或考试,按规定进行部门和岗位的安全教育,定期组织召开部门安全例会,提高部门员工整体安全素质。
(7)强化重点要害部位的安全管理,制定输配站等场站的事故抢救预案和消防预案,定期组织进行抢险演练和消防演习。
(8)保证本部门的安全消防及重点部位保卫工作的落实。参加安全事故的调查处理,负责本部门事故的统计上报。
十、财务科的安全职责
(1)在编制公司的生产、基建、技改、安全等计划时,应将安全技术措施项目作为重点项目纳入计划。
(2)严格控制安全措施计划费用,不得挪作其它使用。(3)在编制运营计划和总结统计运营情况时,必须同时计划和统计安全运营工作,并经常检查执行情况。
(4)负责审核各类事故的处理费用支出,纳入公司经济活动分析汇总。
(5)保证本部门的安全消防及重点部位保卫工作的落实。(6)采取防范措施,确保资金、资料安全。
十一、库房的安全职责
(1)建立原材料检验制度和检测手段,严格把住原材料质量关。(2)加强易燃、易爆、剧毒化学危险品管理,严格执行物资发放制度,保证帐、物、卡的一致。
(3)按计划保证供应安全技术措施项目所需的设备、材料。(4)严格出入库制度和物资存放管理制度,建立防火、防洪、防盗、破坏预案(措施),配备消防器材和防护设施。(5)保证本部门的消防安全及重点部位保卫工作的落实。
十二、办公室的安全职责
(1)充分利用报刊、广播、电影、电视、板报、标语等宣传工具,及时宣传国家和集团公司的安全生产方针、政策、法令、以及上级有关安全生产的指示精神和规定。
(2)配合有关部门,搞好安全生产的宣传报道工作,宣传、推广安全生产的先进经验,表扬好人好事。(3)参加公司组织的安全检查、安全会议。
(4)定期采购劳保用品,负责各类劳保用品的管理和发放,并监督使用部门合理配置。
(5)认真做好车辆的维护保养工作,确保安全行驶,协同做好交通安全管理及各类交通事故的调查、处理、统计、上报工作。(6)认真贯彻、执行国家安全生产、劳动保护的方针政策、法令、法规。重视员工培养,善用精神激励,营造有利于员工身心健康发展的平台和环境。
(7)对新进人员及时进行企业规章制度、劳动纪律的教育。会同公司技安科门对新岗位的员工进行公司级安全教育,未经安全教育合格达标的人员不得分配上岗。
(8)严格控制加班加点,做到劳逸结合。根据员工禁忌症的实际情况,做好员工的工作分配和调整。
(9)负责制定劳动保护用品、清凉饮料及从事有毒有害工种人员保健食品的发放标准,并督促按时、按标准发放。(10)参与事故的调查处理和因工伤残鉴定工作。
(12)负责举办各种类型的专业技术业务培训班,对工人进行专业技术教育,使之不断提高劳动技能。
(13)保证本部门的安全消防及重点部位保卫工作的落实。
十三、营销部的安全职责
(1)每两年免费为客户入户安全检查一次。(2)客户热线电话要保持24小时畅通,有人值守。
(3)接到客户的抢险抢修要在规定的时间内到达现场,确因工 作忙而不能及时去的要说明情况和原因,并指派其他人员前去处理。
(4)遇客户反映分表与总表之间发生输差较大时,应迅速前去查找原因,避免因泄漏产生燃爆事故。(5)加大违章私拉乱接的检查,落实隐患整改措施。(6)加强对华润燃气的宣传。
(7)组织部门员工安全培训及考核,重点做好入户安检员工岗位培训,提高部门员工的综合素质。
(8)组织制定部门的安全检查计划。参加安全事故的调查处理,负责本部门事故的统计上报。
(9)强化重点要害部位、密闭空间的安全管理,编写部门的事故应急预案,定期组织应急、抢救预案演练实施。
第四篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第五篇:税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职责
《税务系统网络与信息安全管理岗位及其职责》
编制说明
《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。
但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。
本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职
责
(试行稿)
国家税务总局信息中心 二〇〇四年十月
税务系统网络与信息安全管理岗位及其职责
目录
一、税务系统网络与信息安全管理角色与职责.....................................1 1.1 信息安全领导小组.....................................................1 1.2 信息安全管理部门.....................................................2 1.3 具体执行管理角色.....................................................3 安全管理员............................................................3 主机系统管理员........................................................3 网络管理员............................................................4 数据库管理员..........................................................4 应用管理员............................................................4 安全审计员............................................................5 病毒防护员............................................................5 密钥管理员(包括证书管理员、证书操作员)..............................5 资产管理员............................................................5 安全保卫员(机房安全员)..............................................5 安全协调人员..........................................................5 人事管理人员..........................................................5 安全法律顾问..........................................................6
二、税务系统网络与信息安全管理岗位及设置原则.................................6 2.1 信息安全管理岗位.....................................................6 安全管理员岗位........................................................6 网络系统管理员岗位....................................................6 应用管理员岗位........................................................6 2.2 安全岗位设置原则.....................................................7 多人负责原则..........................................................7 任期有限原则..........................................................7 职责分离原则..........................................................7 工作分开原则..........................................................7 权限随岗原则..........................................................7
税务系统网络与信息安全管理岗位及其职责
一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全
第1页
税务系统网络与信息安全管理岗位及其职责
工作报告;负责全国税务系统重大安全事故查处与汇报工作。
2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第2页
税务系统网络与信息安全管理岗位及其职责
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。安全管理员
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; 为安全审计员提供完整、准确的主机系统运行活动的日志记录; 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
第3页
税务系统网络与信息安全管理岗位及其职责
编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞; 协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核; 数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作; 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报; 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员
对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
第4页
税务系统网络与信息安全管理岗位及其职责
安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
协助安全管理员制定病毒防范操作规程; 负责执行和监督整个系统全面的杀毒工作;
定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作; 实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员
协助安全主管确定某个职位是否需要进行安全背景调查;
第5页
税务系统网络与信息安全管理岗位及其职责
还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问
负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统网络与信息安全管理岗位及设置原则
2.1 信息安全管理岗位
根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况,设置多个安全管理员岗位。网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置多个网络系统管理员岗位。应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况,设置多个应用管理员岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
第6页
税务系统网络与信息安全管理岗位及其职责
2.2 安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。任期有限原则
决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。权限随岗原则
权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离岗失权。
第7页
点击咨询 