第一篇:小水电站安全评估标准及安全评估指引
小水电站安全评估标准及安全评估指引
1前 言
大坝安全定期检查是政府行使大坝安全监察的一项重要制度,也是确保大坝安全运行的重要举措。大坝安全监察中心(以下简称“大坝中心”)从1987年开始,有计划、有步骤地对我国电力系统的水电站大坝安全开展首轮定期检查工作,到1998年为止共完成了96座水电站大坝的定期检查工作;通过首轮定期检查,基本上掌握了80年代前投入运行的水电站大坝的安全状况,查明了影响水电站大坝安全的一些缺陷和隐患,解决了一些多年来悬而未决的重大问题,查出了一些病坝、险坝,推动了大坝补强加固、监测系统更新改造等工作;同时,通过定期检查,增强了水电站运行管理人员的大坝安全意识,提高了管理水平和业务素质,为大坝安全管理打下了比较坚实的基础。第二轮大坝安全定期检查工作从1997年开始,规划安排了131座大坝,到目前为止共有121座大坝开展了二轮定期检查工作,已经完成的有105座,16座正在进行,第二轮定期检查工作计划于2005年结束。
目前,第二轮定期检查已接近尾声,第三轮定期检查工作正在酝酿策划中,并计划于2005年启动;现正值《水电站大坝运行安全管理规定》(以下简称《规定》)颁布之际,正确理解《规定》的要求,对做好大坝安全第三轮定期检查工作以及大坝安全管理工作,是十分重要的。
2大坝安全定期检查规划
首轮、第二轮定期检查规划,主要依据当时各大坝主管单位所辖水电站大坝的定期检查计划,经大坝中心平衡后,制订该轮定期检查规划。规划定期检查的大坝为已注册或正在办理注册的大坝。第三轮大坝安全定期检查规划,是在上轮规划基础上制定,并以此制定年度计划,明确各水电站开始启动大坝安全定期检查的时间,并按此计划督促水电站运行单位及时开展大坝安全定期检查工作。
关于定期检查频次和时间要求,《规定》第十九条明确规定:定期检查一般每五年进行一次,检查时间一般不超过一年。新建工程的第一次定期检查,在工程竣工安全鉴定完成五年后进行。
3大坝安全定期检查要点
每轮大坝安全定期检查都有其明确的检查要点,首轮定期检查强调全面性,二轮定期检查突出金属结构检测、水下检查及监测系统评价等。三轮定期检查的要点已在国家电力监管委员会的《关于组织开展第三轮水电站大坝安全定期检查工作的通知》(电监安全200439号文)中明确,既要全面检查,也要突出重点。全面检查不同于首轮定检,首轮定检是由于大多数大坝在70年代之前完建,面临技术规范不完善、施工技术较落后、材料短缺、档案资料不全等问题,因此有必要采取全面的设计复核、施工复查和运行检查,而三轮定检的全面检查则是对结构运行性态的检查、对比,同时确认外部荷载、规程规范的变化和影响程度;突出重点则是强调特殊性,针对不同的大坝、不同的问题做重点检查,而不象二轮定检强调金属结构检测和水下检查那样具有普遍性,应该说二轮定检强调的重点正是首轮定检未能顾得上的;因此可以说首轮和二轮定检形成了大坝的基本安全档案,为今后的检查提供了参照物。而三轮及其以后的定检就是一种标准化、程序化、制度化的工作,具有一定的共性。三轮定检的要点关键在于分析评价大坝的运行性态。通过定期检查,真正达到提高大坝安全状况和运行维护管理水平,确保水电站大坝安全运行。
4大坝安全定期检查组织形式
首轮大坝安全定期检查由水电站大坝主管单位组织;第二轮大坝安全定期检查有水电站大坝主管单位组织的形式,也有大坝中心组织的形式。对于第三轮定检,《规定》 第十九条明确规定:“定期检查由大坝中心负责。大坝中心可以委托水电站大坝主管单位组织实施定期检查”。大型或重要大坝的 定期检查由大坝中心组织,中型水电站大坝的定期检查,由水电站大坝主管单位向大坝中心提出申请,经大坝中心同意批复后,按规划和计划实施。
大坝中心组织定期检查,应当组成专家组。专家组根据水电站大坝的具体情况,确定专项检查项目和内容。水电站运行单位组织具有相应资质的单位进行专项检查,并向大坝中心提交有关专项检查情况的专题报告。大坝中心对专题报告进行审查,并根据水电站大坝实际运行情况,对水电站大坝的结构性态和安全状况进行综合分析,评定水电站大坝安全等级,提出定期检查报告,形成定期检查审查意见报电监会备案。
委托大坝主管单位组织的定检,改变不了大坝中心负责定检的性质,大坝中心同样面临监督、指导的任务。大坝中心将在运行单位配合工作要求、专家组组成、专项检查内容、专题承担单位选择、专家组报告大纲等方面进行监督和指导,大坝主管单位在上述几个方面应提前函报大坝中心,大坝中心如有不同意见会及时反馈。专家组向水电站大坝主管单位提出定期检查报告,由主管单位转报大坝中心。
《规定》 第二十条规定:特种检查由水电站运行单位提出,大坝中心组织实施。
当发生特大洪水、强烈地震或者发现可能影响水电站大坝安全的异常情况,水电站运行单位应当向大坝中心提出特种检查申请。大坝中心接到申请后,应当及时组织专家组确定检查项目和内容。对需要进行专项检查的项目,由水电站运行单位组织具有相应资质的单位进行专项检查,并向大坝中心提交有关专项检查情况的专题报告。大坝中心综合检查情况,提出特种检查报告。水电站运行单位应当根据特种检查报告进行整改。
5大坝安全定期检查专家组
大坝安全定期检查工作,是一项政策性、技术性很强的工作,因此,充分依靠专家的智慧是保证大坝安全定期检查质量的基础。通常根据工程规模,专家组一般由5~9人组成。与工程设计、施工、监理、运行管理有关的单位的专家一般不得超过1/3,这是基于评价的公正性来考虑的。为了保持大坝安全定期检查工作的连续性,专家组中尽可能要有一名参加过上次定期检查(或安全鉴定)的成员。专家组成员不仅要求有精湛的专业技术,还要求熟悉大坝安全管理的有关法规和规定,并熟悉大坝安全定期检查工作程序。专家组的组成要结合定期检查要点和工程特点,由各专业的专家组成。
专家组根据定期检查要点和水电站大坝的具体情况,确定专项检查项目和内容。对提交的专题报告进行审查,并根据水电站大坝实际运行情况,对水电站大坝的结构性态和安全状况进行综合分析,评定水电站大坝安全等级,提出定期检查报告。不论定检由谁组织,专家组的工作都对大坝中心负责。
为了确保大坝安全定期检查质量,大坝中心在总结前两轮大坝安全定期检查经验的基础上,准备成立大坝安全专家库,对库内专家进行大坝安全管理法规和规定的宣传,并组织专家研究讨论大坝安全定期检查的工作经验。对具体某一水电站大坝的定期检查,其专家成员中要求有规定数量的库内专家组成。
6水电站大坝安全等级评定
专家组提出定期检查报告后,大坝中心审查专家组提出的定期检查报告,必要时对有关的专题报告复审,评定水电站大坝安全等级,形成定期检查审查意见报电监会备案。
大坝中心每年将定期或不定期向电监会上报定期检查审查意见,在收到电监会回复后,大坝中心将定期检查审查意见批复各水电站大坝主管单位。
大坝安全定期检查时间跨度定义:以成立专家组并召开第一次专家组会议开始,至水电站大坝主管单位收到大坝中心对定期检查的审查意见时为结束。
水电站大坝主管单位在收到大坝中心对定期检查的审查意见后,应对照审查意见,组织有关单位认真落实审查意见中的各项意见和建议,必要时召开专家咨询会议,对已发现的异常情况或者存在的隐患、缺陷,提出补救措施和改进意见,落实单位和资金,及时整改和处理。
对定期检查评定为病坝、险坝的,应当限期除险加固、改造和维修,在评定为正常坝之前,应当改变运行方式或者限制运行条件。对重要大坝和存在重大缺陷和安全隐患的大坝,要进行大坝险情评估和制定大坝安全紧急行动计划。除险加固、改造和维修工程完成后,应当进行专项评价,评价除险加固、改造和维修工程的效果,是否具备正常坝的条件。如果具备正常坝的条件,涉及水电站大坝安全等级的变更,大坝中心应当将专项评价意见报电监会备案。
7其 它
为了及时评定水电站大坝安全等级,对由水电站大坝主管单位组织定期检查的大坝,水电站主管单位应在专家组工作结束后一个月内将专家组的定期检查报告、各专题报告和主管单位的意见一并上报大坝中心。
《规定》 第二十三条规定:从事水电站大坝安全定期检查和特种检查的相关技术服务单位,应当具备相应的资质和资格。大坝中心将定期公布具有相应资格的技术服务单位。
《规定》 第三条规定:本规定适用于电力系统投入运行的大、中型水电站大坝。小型水电站大坝可参考执行。■
第二篇:小水电站安全生产管理浅析
浅谈农村小水电站安全生产管理 莆田市萩芦溪水电管理处 安办
摘 要:总结20多年的工作经验,阐述了农村小水电站安全生产管理需要注意的几个事项,应该采取的措施和方法。关键词:水电站 安全生产 管理
安全生产是水电站的生命线,抓好安全生产,减少人身伤亡、设备损坏事故是电站管理的首要任务。笔者根据近几年的工作经验,谈谈电站安全生产管理的几点看法。
一、安全教育要到位
牢固树立安全意识是保证电站安全生产的基础。青天河电站近几年一直把安全工作放在首位,把安全教育工作做到位,把职工从被动的“要我讲安全”转移到“我要讲安全”,其具体做法是:正面教育,通过树立先进典型,以先进事迹为榜样,使职工自觉增加安全责任心,反面教育,以常见事故案例为教材,使职工牢记血的教训,时刻引以为戒;奖励教育,对工作中认真负责、遵章守纪、制止“三违”行为、及时发现和排除事故隐患、避免人身伤亡和设备损坏事故发生的有功人员,大力宣传、表彰,并给予重奖、重用;处罚教育,对因工作失职,自由散漫,或由于“三违”造成事故者,严格按有关制度进行处罚,使职工感到罚得心痛,触及灵魂。
二、技术培训要到位
1.对新职工进行岗前培训、跟班见习
其具体内容包括:学习设备构造、原理、性能、技术状况、操作技术要领、安全技术规程、规范等,见习期满后,经考试合格后,方可上岗。
2.定期开展全员技术培训 充分利用运行班、零点班、四点班休息时间,组织全体职工进行集中学习。由主管技术的副处长授课,从基础理论学起,结合电站实际情况,有理、有节地授课,使职工都能够从机组构造、性能和工作原理等方面加深对技术的学习掌握。每年进行两次闭卷考试,考试分三个层次:班员、主值班员、班长。每个层次命题不一样,要求也不一样。班员前2名可以晋升主值班员、主值班员前2名可以晋升班长、班长前2名进行奖励。相应地,班长后2名降为主值班员、上值班员后2名降为班员、班员后2名重新眼班学习,学习期满经考试合格后重新上岗。考试成绩直接和工资挂钩,极大地促进了职工学习技术的积极性。
三、生产设备管理要到位
生产设备是电站的主要生产工具,要保证安全生产,提高经济效益,就需要现代的管理技术,维护好生产设备,保证生产设备安全、高效运行。
1.建立健全设备台帐
其做法是对每台机组建立技术档案,记录机组安装时的技术参数,运行中发生过哪些异常、故障或事故,是什么原因造成的,当时是怎样处理的,更换过哪些零部件,机组的维修期限,以及每次大修后的试验记录,随时对设备的运行状况进行查询和分析,做到心中有数。对备品备件准备充足,并及时补齐,做到检修时能快速方便地更换。
2.全体职工参与设备管理
每件设备都有人专门负责,要求职工对所管理设备的结构、性能、工作原理必须掌握,熟悉常见故障及处理,加强正常巡视、维护。每月每班必须把当月设备运行缺陷报管理处。
3.建立良好的反馈制度
每月定期召开一次运行分析会议,由各班长参加,共同研究分析问题的症结所在,找出解决问题的办法。共同分析各班上月上报的设备缺陷,落实检修班,检查维护,并做好记录。实行销号制,有条件解决的,及时销号;一时得不到解决的,记录在案,并积极创造条件,缺陷解决后再销号。
四、巡视检查要到位
经常性巡视检查是小水电安全运行的关键。我们制定了内容详细的巡视检查项目,包括永磁机、励磁机、发电机、水轮机、调速器、自动盘、蝶阀室、集水井、空压机、主控室各控制屏、高压开关、主变、电缆、蓄电池、升压站、整流柜,要求每小时进行1次巡视检查,每4个小时进行1次全面检查,并做记录,发现问题及时处理,处理不了的要采取尽可能措施避免事态扩大,并及时上报。根据经验,做好巡视检查必须做到:心到,就是全身心地投入,做到心中有数、对设备状况和性能及工作原理熟悉掌握;脚到,该跑到的地方一定要跑到,不能靠想象、推理来代替检查,只有脚到才能查清、查实、查细;手到,有些地方需要用手触模,去感受温度,去加油除尘,不要怕脏手,不要怕麻烦,并要对检查出的问题认真记录,及时处理;眼到,一定要仔细观察,发现细微处变化,耳到,一切机械设备运行时都有正常声音,要了解这些声音,并能从声音中听出异常,及时分析处理,防止事故发生;鼻到,一切设备有异味情况时,往往能闻到;嘴到,对检查中发现的问题要及时记录,并逐级上报。
五、督查到位
加强监督检查是实现安全生产的重要环节,一个电站如果只有安全生产管理制度和措施是不够的,必须进行严肃认真的监督检查,促进工作的落实。我们的做法是每月组织由处长带队、各班长参加的检查组,对各班组从安全生产、操作规程、劳动质量、组织纪律、设备环境卫生等方面进行检查,实行百分制考核,检查考核记录作为各 3 班组评比和年终评优评先的重要依据。要求每位处长每月到生产一线检查指导工作不少于15次,并要进行夜间督查。通过检查及时发现不安全因素和设备缺陷,提高职工安全意识,保证安全生产。
六、结束语
安全生产是一项系统工程,需要领导重视,全体职工参与,笔者认为只要做到以上五个方面就能最大限度地避免和控制人身伤亡及设备损坏事故的发生,实现电站安全生产,增产增效。
第三篇:电子银行安全评估指引
【发布单位】中国银行业监督管理委员会 【发布文号】
【发布日期】2006-02-07 【生效日期】2006-03-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
电子银行安全评估指引
第一章 总 则
第一条第一条 为加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性,依据《 电子银行业务管理办法》的有关规定,制定本指引。
第二条第二条 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
第三条第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。
第四条第四条 金融机构可以利用外部专业化的评估机构对电子银行进行安全评估,也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
第五条第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施。
第六条第六条 金融机构的电子银行安全评估,应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章 安全评估机构
第七条第七条 承担金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二)制定了系统、全面的评估手册或评估指导文件,评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等;
(三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四)中国银监会规定的其他从事电子银行安全评估应当具备的条件。
第九条第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件:
(一)必须独立于电子银行业务系统开发部门、运营部门和管理部门;
(二)未直接参与过有关电子银行设备的选购工作。
第十条第十条 中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前,可以向中国银监会申请对其资质进行认定。
第十一条第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时,有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时,安全评估机构的选择标准应不低于第八条、第九条规定的条件要求,并应按照《电子银行业务管理办法》的有关规定,报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定,在开展电子银行安全评估活动时,都应遵守有关电子银行安全评估实施和管理的规定。
第十二条第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作,评定时间应提前1个月公告。
第十三条第十三条 申请资质认定的电子银行安全评估机构,应在中国银监会公告规定的时限内提交以下材料(一式七份):
(一)电子银行安全评估资质认定申请报告;
(二)机构介绍;
(三)安全评估业务管理框架、管理制度、操作规程等;
(四)评估手册或评估指导文件;
(五)主要评估人员简历;
(六)中国银监会要求提供的其他文件、资料。
第十四条第十四条 中国银监会收到安全评估机构资质认定申请完整材料后,组织有关专家和监管人员对申请材料进行评议,采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
第十五条第十五条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出认定。
第十六条第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》,仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其他活动。
第十七条第十七条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资质认定的有效期限为2年。
经评议不符合认定资质的,评估机构可在下一重新申请资质认定。
第十八条第十八条 在资质认定的有效期限内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一)评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二)评估工作质量低下,评估活动出现重要遗漏的;
(三)未按要求提交评估报告,或评估报告中存在不实表述的;
(四)将《电子银行安全评估机构资质认定意见书》用于宣传和其他经营活动的;
(五)存在其他严重不尽职行为的。
第十九条第十九条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请,金融机构不应再委托该评估机构进行安全评估:
(一)与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告的;
(二)在评估过程中弄虚作假,编造安全评估报告的;
(三)泄漏被评估机构机密信息,或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的,中国银监会将依法对相关机构和责任人进行处罚。
第二十条第二十条 中国银监会认可的电子银行安全评估机构,以及有关资质认定、撤销等信息,仅向开展电子银行业务的各金融机构通报,不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息,影响有关机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十一条第二十一条 金融机构可以在中国银监会认定的评估机构范围内,自主选择电子银行安全评估机构。
第二十二条第二十二条 电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构,以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构,电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
所在国家或地区没有相关法律要求的,金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条第二十三条 金融机构应与聘用的电子银行安全评估机构签订书面服务协议,在服务协议中,必须含有明确的保密条 款和保密责任。
金融机构选择内部部门作为评估机构时,应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条第二十四条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行安全状况。
第三章 安全评估的实施
第二十五条第二十五条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十六条第二十六条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条第二十七条 电子银行安全评估至少应包括以下内容:
(一)安全策略;
(二)内控制度建设;
(三)风险管理状况;
(四)系统安全性;
(五)电子银行业务运行连续性计划;
(六)电子银行业务运行应急计划;
(七)电子银行风险预警体系;
(八)其他重要安全环节和机制的管理。
第二十八条第二十八条 电子银行安全策略的评估,至少应包括以下内容:
(一)安全策略制定的流程与合理性;
(二)系统设计与开发的安全策略;
(三)系统测试与验收的安全策略;
(四)系统运行与维护的安全策略;
(五)系统备份与应急的安全策略;
(六)客户信息安全策略。
评估机构对金融机构安全策略的评估,不仅要评估安全策略、规章制度和程序是否存在,还要评估这些制度是否得到贯彻执行,是否及时更新,是否全面覆盖电子银行业务系统。
第二十九条第二十九条 电子银行内控制度的评估,应至少包括以下内容:
(一)内部控制体系总体建设的科学性与适宜性;
(二)董事会和高级管理层在电子银行安全和风险管理体系中的职责,以及相关部门职责和责任的合理性;
(三)安全监控机制的建设与运行情况;
(四)内部审计制度的建设与运行情况。
第三十条第三十条 电子银行风险管理状况的评估,应至少包括以下内容:
(一)电子银行风险管理架构的适应性和合理性;
(二)董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况;
(三)电子银行管理机构职责设置的合理性及对相关风险的管控能力;
(四)管理人员配备与培训情况;
(五)电子银行风险管理的规章制度与操作规定、程序等的执行情况;
(六)电子银行业务的主要风险及管理状况;
(七)业务外包管理制度建设与管理状况。
第三十一条第三十一条 电子银行系统安全性的评估,应至少包括以下内容:
(一)物理安全;
(二)数据通讯安全;
(三)应用系统安全;
(四)密钥管理;
(五)客户信息认证与保密;
(六)入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十二条第三十二条 电子银行业务运行连续性计划的评估,应至少包括以下内容:
(一)保障业务连续运营的设备和系统能力;
(二)保证业务连续运营的制度安排和执行情况。
第三十三条第三十三条 电子银行业务运行应急计划的评估,应至少包括以下内容:
(一)电子银行应急制度建设与执行情况;
(二)电子银行应急设施设备配备情况;
(三)定期、持续性检测与演练情况;
(四)应对意外事故或外部攻击的能力。
第三十四条第三十四条 评估机构应制定本机构电子银行安全评定标准,在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出被评估机构电子银行的风险等级。
第三十五条第三十五条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
第三十六条第三十六条 评估报告应至少包括以下内容:
(一)评估的时间、范围及其他协议中重要的约定;
(二)评估的总体框架、程序、主要方法及主要评估人员介绍;
(三)不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四)评估内容与评估活动描述;
(五)评估结论;
(六)对被评估机构电子银行安全管理的建议;
(七)其他需要说明的问题;
(八)主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(九)评估工作流程记录表(可作为附件);
(十)评估机构参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。
第三十七条第三十七条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十八条第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估。
第三十九条第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立即组织安全评估:
(一)由于安全漏洞导致系统被攻击瘫痪,修复运行的;
(二)电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;
(三)电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;
(四)基于电子银行安全管理需要立即评估的。
第四十条第四十条 金融机构对电子银行外部安全评估机构的选聘,应由金融机构的董事会或高级管理层负责。
第四十一条第四十一条 已实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务不需单独进行安全评估,在总行(公司)的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
第四十二条第四十二条 未实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的,分支机构的电子银行系统应在总行(公司)的统一管理和指导下,按照有关规定进行安全评估。
第四十三条第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构,其境外总行(公司)已经进行了安全评估且符合本指引有关规定的,其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照本指引的有关要求,向监管部门报送安全评估报告。
第四十四条第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构,或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估不符合本指引有关规定的,应按规定开展电子银行安全评估工作。
第四十五条第四十五条 电子银行安全评估工作,确需由多个评估机构共同承担或实施时,金融机构应确定一个主要的评估机构协调总体评估工作,负责总体评估报告的编制。
金融机构将电子银行系统委托给不同的评估机构进行安全评估,应当明确每个评估机构安全评估的范围,并保证全面覆盖了应评估的事项,没有遗漏。
第四十六条第四十六条 金融机构应在签署评估协议后两周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十七条第四十七条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十八条第四十八条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十九条第四十九条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制:
(一)评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二)调阅的文件资料应在指定的场所阅读,不得带出指定场所;
(三)复制的文件或数据一般也不应带出工作场所,如确需带出的,必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等,并由相关负责人签字确认;
(四)评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五)评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第五十条第五十条 金融机构在收到评估机构评估报告的1个月内,应将评估报告报送中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第五十一条第五十一条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第五十二条第五十二条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第五十三条第五十三条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估,金融机构应予以配合。
第五十四条第五十四条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十五条第五十五条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。
第五章 附则
第五十六条第五十六条 本指引由中国银监会负责解释。
第五十七条第五十七条 本指引自2006年3月1日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
第四篇:小水电站安全生产责任制(最终版)
泰顺县翁山水库灌区安全生产责任制
安全生产责任制就是对各级领导、各个部门、各类人员所规定的在他们各自职责范围内对安全生产应负责任的制度。
一、厂长(经理)安全生产职责
厂长(经理)是企业安全生产的第一负责人,对本企业安全生产负全面负责:
1.认真贯彻执行国家安全生产方针、政策、法律、法规,把安全工作列入企业管理的重要议事日程,亲自主持重要的安全生产工作会议,批阅上级有关安全方面的文件,签发有关安全工作的重大决定; 2.负责落实各级安全生产责任制,督促检查同级副职和基层部门行政正职抓好安全生产工作;
3.健全安全管理机构,充实专职安全生产管理人员,定期听取安全生产管理人员的工作汇报,及时研究解决或审批有关安全生产中的重大问题;
4.组织审定并批准企业安全规章制度、安全技术规程和重大的安全技术措施,解决安全措施费用;
5.按规定和事故处理的“三不放过”原则,组织对事故的调查处理;
6.加强对各项安全活动的领导,决定安全生产方面的重要奖惩。
二、副厂长(副经理)安全生产职责
副厂长(副经理)在厂长(经理)的领导下,对分管业务范围内的安全生产负责。
1.贯彻“五同时”的原则,即在计划、布置、检查、总结、评比生产工作的同时,计划、布置、检查、总结、评比安全工作;监督检查分管部门对安全生产各项规章制度执行情况,及时纠正失职和违章行为;
2.组织制订、修订分管部门的安全生产规章制度、安全技术规程和编制安全技术措施计划,并认真组织实施;
3.组织分管业务范围内的安全生产大检查,落实重大事故隐患的整改;
4.组织分管部门开展安全生产竞赛活动,总结推广安全生产工作的先进经验,奖励先进单位和个人;
5.负责分管部门的安全生产教育与考核工作;
6.规定职责范围内的组织事故的调查处理,并及时向厂长报告; 6.定期召开分管部门安全生产工作会议,分析安全生产动态,及时解决安全生产中存在的问题。
三、车间主任、副主任安全生产职责
车间主任对本单位安全生产全面负责。
1.保证国家安全生产法规和企业规章制度在本车间贯彻执行,把安全生产工作列入议事日程,做到“五同时”;
2.组织制订并实施车间安全生产管理规定,安全技术操作规程和安全技术措施计划;
3.组织对新工人(包括实习、代培人员)进行车间安全教育和班组安全教育,对职工进行经常性的安全思想、安全知识和安全技术教
育;开展岗位技术练兵,并定期组织安全技术考核;组织并参加每周一次的班组安全活动日,及时处理工人提出的意见;
4.组织全车间安全检查,落实隐患整改,保证生产设备、安全装备、消防设施、防护器材和急救器具等处于完好状态,并教育职工加强维护,正确使用;
5.及时报告本车间发生的事故,注意保护现场;
6.建立本车间安全管理网,配备合格的安全技术人员,充分发挥车间和班组安全人员的作用。副主任对分管业务的安全工作负责。
1.在车间主任的领导下,负责车间的安全生产工作,协助车间主任贯彻上级安全生产的指示和规定,并检查督促执行。2.负责或参与制订车间有关安全生产管理制度和安全技术操作规程,并检查执行情况;
3.负责编制车间安全技术措施计划和隐患整改方案,并负责及时上报和检查落实;
4.做好职工的安全思想、安全技术教育与考核工作,负责新工人(包括实习、代培人员)的二级安全教育,督促检查班组、岗位三级安全教育;
5.参加车间大修、春检方案的制定、审查,使之符合安全技术要求,落实设备检修的安全措施;
6.每天要深入检查,及时发现隐患,制止违章作业。
五、班组长安全生产职责
1.贯彻执行企业和车间对安全生产的规定和要求,全面负责本班组的安全生产;
2.组织职工学习并贯彻执行企业、车间各项安全生产规章制度和安全技术操作规程,教育职工遵纪守法,制止违章行为; 3.组织并参加安全活动,坚持班前讲安全、班中检查安全、班后总结安全;
4.负责对新工人(包括实习、代培人员)进行岗位安全教育; 5.负责班组安全检查,发现不安全因素及时组织力量消除,并报告上级;发生事故立即报告,并组织抢救,保护好现场,做好详细记录;
6.搞好生产设备、安全装备、消防设施的检查维护工作,使其经常保持完好和正常运行;督促教育职工合理使用劳动保护用品、用具,正确使用灭火器材。
六、工人安全生产职责
1.认真学习和严格遵守各项规章制度,不违反劳动纪律,不违章作业,对本岗位的安全生产负直接责任;
2.精心操作,严格执行工艺纪律,做好各项记录。交接班必须交接安全情况;
3.正确分析、判断和处理各种事故隐患,把事故消灭在萌牙状态,如发生事故,要正确处理,及时、如实地向上级报告,并保护现
场,作好详细记录;
4.按时认真进行巡回检查,发现异常情况及时处理和报告; 5.正确操作,精心维护设备,保持作业环境整洁,搞好文明生产;
6.上岗必须按规定着装,妥善保管和正确使用各种安全器具和灭火器材;
7.积极参加各种安全活动;
8.有权拒绝违章作业的指令,对他人违章作业加以劝阻和制止。
七、厂安全员安全职责
1.认真贯彻执行国家及上级安全生产方针、政策、法令、法规、指示,在厂长和安全生产委员会的领导下负责企业的安全生产工作; 2.负责对职工进行安全思想和安全技术知识教育,对新对新工人(包括实习、代培人员)进行厂级安全教育,组织对特种专业人员的安全技术培训和考核,组织开展各种安全活动,监督劳动保护使用落实;
3.组织制订、修订本企业安全生产管理制度和安全技术规程,编制安全技术措施计划,提出安全技术措施方案,并检查执行情况; 4.组织参加安全大检查,贯彻事故隐患整改制度,协助和督促有关部门对查出的隐患制订防范措施,检查隐患整改工作; 5.参加设备大修、春检、检修、设备改造等方案制定、审查、竣工验收、试运行工作,使其符合安全技术要求;
6.负责锅炉、压力容器安全工作;
7.深入现场检查,解决有关安全问题,纠正违章指挥、违章作业,遇有危及安全生产的紧急情况,有权令其停止作业,并立即报告有关领导处理;
8.监督检查安全用火管理制度的执行情况;
9.负责各类事故的汇总统计上报工作,并建立、健全事故档案。按规定参加事故的调查、处理工作;
10.负责对企业各单位的安全考核评比工作,会同工会认真开展安全生产竞争活动,总结交流安全生产先进经验,积极推广安全生产科研成果、先进技术及现代安全管理方法;
11.检查督促有关部门和单位搞好安全装备的维护保养和管理工作;
12.建立健全安全生产管理网,指导基层安全生产工作,加强安全生产基础建设,定期召开安全专业人员会议,不断提高基层安全员的技术素质。
八、生技科安全职责
1.及时传达、贯彻;执行有关安全生产的指标,坚持生产与安全的“五同时”;
2.贯彻国家、上级部门关于设备检修、改造、维护保养及施工方面的安全规程和规定,做好安全发电生产; 3.负责制定安全发电生产计划;
4.负责制订和修改各类机械设备、电气设备的操作规程、和管理制度,;负责组织对生产设备状况,安全设施等进行定期检查,消除隐患;
5.在制订或审订有关设备改造方案和编制设备检修计划时,应有相应的安全卫生措施内容,并确保实施;
6.组织厂内安全大检查,对检查出的有关问题要有计划地及时解决,按期完成安全技术措施计划和事故隐患整改项目; 7.负责全厂安全技术培训和考核。
8.组织开展安全技术研究工作,积极采用先进技术和安全装备。
9.在保证安全的前提下组织指挥生产,发现违反安全生产制度和安全技术规程,应及时制止,严禁违章指挥;
10.在生产中出现不安全因素、险情及事故时,要果断正确处理,防止事态扩大,并通知有关主管部门共同处理,认真做好记录。11.参加建设项目的设计审查,保证落实“三同时”; 12.严格贯彻执行国家颁发的《建筑安装工程安全技术规程》及其他有关安全规定,制订或审查建筑安装施工的安全措施,并检查监督执行情况;
13.做好基建与生产的联系、配合、交接工作,防止事故发生; 14.负责组织对外包工及外来基建队伍的安全教育,发生事故后按规定进行处理;
15.保证工程项目的施工质量,使新建项目不留隐患; 16.在规定权限内负责施工质量事故的调查、处理、统计、上报。
九、办公室安全生产职责
1.根据厂部的安全目标计划,组织制定实现企业安全目标计划的具体措施,及时传达上级颁发的有关安全生产的文件、通知、指示,送领导阅批和下达各有关部门贯彻落实。
2、做好有关安全生产方面文件的催办,督促有关部门及时处理。
3、负责企业安全生产工作总结、事故报告、事故统计报表等安全资料、文件的整理归档、保管,并随时提供查阅,协助办理安全、科技刊物的征订工作。
4、参加安全分析会,组织安全检查活动,负责落实上级有关保护电力设施和消防安全的法规规定。
5、认真贯彻执行“预防为主、防消结合”的消防工作方针,协助保卫科建立完善消防组织制度,参与消防检查工作,建立健全各级防火责任制,督促落实防火措施,做好防火知识培训教育,组织防火安全大检查,对本企业防火工作负监督责任。
6、认真贯彻执行消防监督条例和爆炸物品的储运、保管和使用等有关规定,对重大隐患加强管理,督促有关单位及时消除。
7.管理好易燃易爆剧毒化学危险品,严格发放制度; 8.按计划及时供应安全技术措施项目所需的设备、材料; 9.负责各类劳动防护用品的采购、保管并按标准发放; 10.加强对购入设备、配件及有关原材料的质量管理,使其安全可靠性能符合企业要求;
11.认真执行上级有关交通安全的规定,做好机动车辆的年检和驾驶员的年审、安全教育和考核工作;
12.认真做好车辆维修保养工作,确保安全行驶。
十、人事劳资科安全生产职责
1.对新入厂人员(包括实习、代培人员、病假超过六个月的复工人员)及时组织安全教育,经考核合格后方可分配到车间。会同安全部门组织对职工的安全技术教育及特种作业人员的培训、考核工作; 2.把安全工作业绩纳入干部晋升、职工晋级和奖励考核内容; 3.临时用工协议书中应有安全方面的条文,并会同有关部门执行;
4.新工人进入生产岗位前应做好体检工作,分配时应执行有关职业禁忌症和女工保护的规定;
5.严格控制加班加点,注意劳逸结合;
6.特种作业和要害部位操作人员的安排,应相对稳定;
7.参加劳动鉴定工作,会同工会等有关部门做好伤亡事故的善后处理工作;
8.参与重大的工伤、生产、设备、火警等事故的调查分析,对责任者提出处理意见,并负责办理;
十一、保卫科安全生产职责
1.健全安全保卫制度,认真做好要害部门安全生产的保卫工作; 2.负责企业内炸药、雷管、剧毒物品的管理和审批; 3.掌握企业主要生产过程的火灾特点,经常深入基层监督检查火源、火险及灭火设施的管理,督促落实火险隐患的整改,确保消防设施完备和消防道路通畅。
十四、财务科安全生产责任
1.在编制检查生产费用计划、基本建设工程费用计划的同时,编制检查安全技术措施计划,认真贯彻国务院关于企业安全措施经费在固定资产、改造资金中提取10%—15%的规定,专款专用,定期核算;
2.保证劳动保护用品、各种安全器具和职工安全生产加班加点的开支;
3.保证设备技术改造、大修、春检、维护资金,保证防汛资金,保证企业安全生产实际需要的经费。
十五、工会安全生产职责
1.贯彻国家及总工会有关安全卫生的方针、政策,并监督认真执行,对忽视安全生产和违反劳动保护的现象及时提出批评和建议,督促和配合有关部门及时改进;
2.监督劳动保护费用的使用情况,对有碍安全生产、危害职工安全健康和违反安全操作规程的行为有权抵制、纠正和控告; 3.做好安全生产宣传教育工作,教育职工自觉遵纪守法,执行安全生产各项规程、规定,支持厂长对安全生产做出突出贡献的单位和个人给予表彰和奖励,对违反安全生产规定的单位和个人给予批评和惩罚;
4.参加企业有关安全生产规章制度制订; 5.协助行政搞好班组的安全建设;
6.会同有关部门认真开展安全生产合理化建议活动; 7.关心职工劳动条件的改善,保护职工在劳动中的安全与健康;
8.发动和依靠广大职工群众有效地搞好安全生产;
9.参加安全生产检查和对新装置、新工程的“三同时”监督,参加事故的调查处理;
10.工会是企业安全生产委员会的成员,工会也要把安全生产列入职工代表大会的议题。
泰顺县翁山水库灌区 二O一一年三月十日
第五篇:服务器安全评估标准
服务器安全评估标准
国外标准
国外对于计算机安全问题的评估标准较多,比较著名的是1983年美国国防部提出的《可信计算机评估标准》TCSEC(Trusted Computer System Evaluation Criteria),又称桔皮书。TCSEC根据以下几个方面进行安全性评估:
(1)安全策略:必须有一个明确的、确定的由系统实施的安全策略;
(2)识别:必须惟一而可靠地识别每个主体,以便检查主体/客体的访问请求;
(3)标记:必须给每个客体(目标)作一个“标号”,指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;
(4)可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;
(5)保障措施:系统必须含实施安全性的机制并能评价其有效性;
(6)连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
根据以上六条要求,“可信计算机系统评估准则”将计算机系统的可信程度(安全等级)划分成四大类(D、C、B、A),七个小类(D、C1、C2、B1、B2、B3、A)。具体标准内容如表2.3所示。表2.3 安全评估标准
类 别 名 称 主 要 特 征
A1 可验证的安全设计 形式化的最高级描述和验证,形式化的隐秘通道分析,非形式化的代码一致性证明
B3 安全域机制 安全内核,高抗渗透能力
B2 结构化安全保护 设计系统必须有一个合理的总体设计方案,面向安全的体系结构,遵循最小授权原则,较好的抗渗透能力,访问控制应对所有的主体和客体进行保护,对系统进行隐蔽通道分析
B1 标号安全控制 除了C2级的安全需求外,增加安全策略模型,数据标号(安全和属性),托管访问控制
C2 受控的访问控制 存取控制以用户为单位,广泛的审计。如Unix、Windows NT等
C1 选择的安全保护 有选择的存取控制,用户与数据分离,数据的保护以用户组为单位
D 最小保护 保护措施很少,没有安全功能。如DOS、Windows等
(1)D级。D级是最低的安全保护等级。这个级别的操作系统就像一个门户大开的房子,任何人可以自由进出,是完全不可信的。对于硬件来说,是没有任何保护措施,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户就可以进入系统,不受任何限制就可以访问他人的数据文件。属于D级的操作系统有:DOS、Windows 3.x、Apple的Macintosh System7.1。
(2)C级。C级有两个安全子级别:C1和C2。
① C1级。又称选择性安全保护系统,这在Unix系统中比较典型。这种级别的系统对硬件有某种程度的保护,即每个用户都有账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权。但硬件受到损害的可能性仍然存在。
C1级支持对文件进行权限设置,如读(read)、写(write)、执行(execute)等权限。文件的拥有者和超级用户(root)可以改动文件中的访问属性,从而对不同的用户给予不同的访问权,例如,让文件拥有者有读、写和执行的权力,给同组用户读和执行的权力,而给其他用户以读权限。另外,许多日常的管理工作由根用户(root)来完成,如创建新的组和新的用户。根用户(root)拥有很大的权力,如同Windows NT中的Administrator用户。所以它的口令一定要保存好,不要
多人共享。
C1级保护的不足之处在于根用户(root)的设置。如果某个用户以根用户进入系统,他就可以将系统中的数据任意移走,可以控制系统配置,获取比系统管理员允许的更高权限,如改变和控制用户名。因此,从某种意义上来讲,在拥有C1级的操作系统中,硬件受到损害的可能性仍然存在。
② C2级。除了C1包含的特征外,C2级别还包含有访问控制环境。该环境具有进一步限制用户执行某些命令或访问某些文件的权限,而且还加入了身份验证级别。另外,系统对发生的事件加以审计,并写入日志当中,如何时开机,哪个用户在什么时候从哪儿登录等等,这样通过查看日志,就可以发现入侵的痕迹,如多次登录失败,也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动,审计还加有身份验证,这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。
使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问分级目录。另一方面,用户权限可以以个人为单位授权用户对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下,那么用户也将自动得到访问这些信息的权限。
能够达到C2级的常见操作系统有:Unix系统、XENIX、Novell3.x或更高版本、Windows NT。
(3)B级。B级中有三个子级别:B1级、B2级和B3级。
① B1级。即标志安全保护。它是支持多级安全(比如秘密和绝密)的第一个级别,这个级别说明一个处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限。
一般而言,政府机构和防御系统承包商们是B1级计算机系统的主要拥有者。
② B2级。又称结构保护,要求计算机系统中所有的对象都加标签,而且给设备(磁盘,磁带和终端)分配单个或多个安全级别。这是较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。
③ B3级。又称安全区域保护。它使用安装硬件的方式来加强安全区域保护。例如,内存管理硬件用于保护安全区域免遭无授权访问或其他安全区域对象的修改。该级别要求用户通过一条可信任途径连接到系统上。
(4)A级。又称验证设计,这是当前的最高级别,包括了严格的设计,控制和验证过程。与前面提到的各级别一样,这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的,而且必须进行秘密通道和可信任分布的分析。这里,可信任分布的含义是,硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统。
在上述七个级别中,B1级和B2级的级差最大,因为只有B2、B3和A级,才是真正的安全等级,它们至少经得起程度不同的严格测试和攻击。目前,我国普遍应用的计算机,其操作系统大都是引进国外的属于C1级和C2级产品。因此,开发我国自己的高级别的安全操作系统和数据库的任务迫在眉睫,当然其开发工作也是十分艰巨的。
计算机操作系统的评价准则的建立不仅对于评价、监察已经运行的计算机系统的安全具有指导意义,而且对于研究、设计、制造和使用计算机系统,确保其安全性具有十分重要的意义。
国内标准
公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已经正式颁布,并于2001年1月1日起实施。该准则将信息系统安全分为5个等级:
l 自主保护级
l 系统审计保护级
l 安全标记保护级
l 结构化保护级
l 访问验证保护级
主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径和可信恢复等,这些指标涵盖了不同级别的安全要求。
另外还有《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》(GB/T 9387.2 1995)、《信息处理数据加密实体鉴别机制第I部分:一般模型》(GB 15834.1-1995)、《信息技术设备的安全》(GB 4943-1995)等
点击咨询 