第一篇:什么是信息安全服务
信息安全服务
目录
什么是信息安全服务 信息安全服务的作用
选择信息安全服务的基本的法则 对信息安全服务商的基本要求 信息安全服务商的面临的问题 我国信息安全服务的重点发展方向 什么是信息安全服务 信息安全服务的作用
选择信息安全服务的基本的法则 对信息安全服务商的基本要求 信息安全服务商的面临的问题 我国信息安全服务的重点发展方向 展开
编辑本段什么是信息安全服务
信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。
编辑本段信息安全服务的作用
目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。
必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。
编辑本段选择信息安全服务的基本的法则
1、谨慎选择厂商和服务内容
用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。
2、引导与监控安全服务进程
在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。
3、善于放大安全服务的效力
信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对it部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。
编辑本段对信息安全服务商的基本要求
信息安全的特点决定了对信息安全服务商有较高的要求,我们将之分为管理要求、技术要求和高级要求,其中管理原则和技术原则主要基于实践应急反应层面,高级要求主要针对安全管理、安全策略和发展层面。管理要求
* 信息安全要求建立一个24小时不间断反应。
* 能够建立一个针对不同攻击的正确行动方案。
* 能够保证及时、快速反应系统。
* 能够提供规范和详细的对自身和对客户培训体系。
*、贴近被服务体系和对客户零干扰目标。技术要求
* 拥有一定的监控技术,能够方便、简单、易操作地安装到所有接入设备和系统中。
* 监控设备不会影响和干扰已有的安全设备和软件的正常使用性能,并且不会引入新的安全隐患。
* 监控设备应当具有升级能力,并且能够进行方便的升级。
* 具有监控数据分析与处理技术。
* 具有知识库或专家库支持应急事件决策技术。
* 具有系统容灾与恢复的技术。高级要求
* 先进原则:全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。
* 全面原则:掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。
* 高手原则:有掌握最新的信息安全实践技术和防范技术,遇到特发情况能够解决问题的高手或专家存在。
* 团队原则:团队有明确分工和侧重点,基本人员全部掌握一般的服务方法和解决普遍性问题。
编辑本段信息安全服务商的面临的问题
国内每个信息服务商都有自己的生存方式,站在用户的角度考虑,认为有两个问题不能回避:
1、服务能力建设。
安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍,这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动,但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展,服务人员不能发现、解决用户的实际问题,更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际,遭遇用户的集体遗弃将会是致命的。
2、观念更新。
信息安全服务商如果要赢得用户的认可,就必须具备两个基本观念:一个是信息安全是为信息化服务的,不能离开对用户信息化脉搏的把握。从“安全就是防火墙”,到“安全三大件”,到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似乎在中国实行困难后,安全服务惨淡的困守在网络安全、主机安全这两个孤岛上,随着信息化基础设施的渐入尾声,这两个领域能为用户带来的价值日渐式微。应用的安全日益成为用户关注的重点,身份认证、信息防扩散、电子签章、电子交易等成为一个个热点领域,安全服务商需要革新观念,将服务进一步专业化和细化,才能在有所作为,打破目前安全服务市场的同质化局面。另一个基本观念是每个用户的安全需求是个性化的,没有放之四海皆准的定律,经验的积累和再利用是必要的,但必须创造性地使用。
编辑本段我国信息安全服务的重点发展方向
通过对国家标准、政策法规的研究与知识的积累;通过对各行业特点及业务流程特点的研究及工程经验的总结分析;通过对新技术的研究与运用;通过对市场发展动态的统计分析,预计我国未来安全服务市场将会有广阔的发展前景。与此同时,通过对安全服务市场发展趋动因素的分析,安全服务体系将包括安全咨询、等级测评、风险评估、安全审计、运维管理、安全培训等几个重点方向,用户更需要的是有针对性的、个性化的、模块化的、可供用户任意选择的、周全的安全服务体系。安全咨询服务
安全咨询服务的发展趋势将向行业化的方向发展,针对性更强,咨询服务内容更细。具体会体现在政府、银行、企业等几个重点领域。咨询服务的内容将以行业特点为核心,从技术、运维、管理、策略等方面提供具有针对性的安全技术与管理咨询服务。
例如:针对企业提供信息安全管理体系ISMS建设咨询、IT服务管理体系ITSM建设咨询与企业IT内审咨询;针对国家政府信息化建设提供等级保护建设相关咨询服务,包括政务系统定级、系统规划、系统建设及运维管理的咨询等。等级测评服务
针对国家政务信息系统的等级测评服务将会向自动化的方向快速发展。利用新技术开发自动化的等级测评工具,以降低测评难度、加快测评速度、提高测评准确性。利用自动化的专业等级测评系统对政务信息系统进行等级测评是未来技术的发展方向也是等级测评服务的发展方向。风险评估服务
风险评估服务可帮助用户了解自身网络信息系统的安全状况:通过资产重要性分析明确需要重点保护的资产信息;通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题。
由于风险评估的流程复杂、技术难度大、历时久、周期长等问题,严重困扰着行业用户风险评估工作的实施。因此,开展针对性强、自动化、模块化的风险评估工具是未来风险评估服务发展的主要方向。它可以降低风险评估的难度,提升风险评估的效率,保障风险评估的准确性,更便于用户实施网络信息系统的自评估工作,降低风险管理成本。安全审计服务
安全审计服务将严格以安全政策或标准为基础,用于测定现行保护措施整体状况,同时检验是否妥善执行现有的保护措施。安全审计的目的在于了解现有环境是否已根据既定的安全策略得到妥善的保护。安全审计服务可能使用安全审计工具和不同的审核手段,以找出安全问题漏洞,因此安全审计需要多种技术作为支持。安全审计是需要反复进行的检查程序,以确保适当的安全措施已切实执行。因此,安全审计的进行次数会比安全风险评估的周期性更强,是风险评估服务的有效补充。
信息系统安全审计服务可协助用户确保系统安全策略运行在有效控制措施之下。从技术、管理和人员等多个方面,帮助客户加强内部控制,建立合规性机制,应对合规性审查,预计安全审计服务是未来信息安全服务行业发展的重点方向。运维管理服务
应急响应是运维管理中的典型服务之一,可有效降低用户因突发安全事件造成的损失,可有效帮助用户及时准确定位安全事件并对安全事件进行处置,降低用户损失。应急响应主要针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件。目前,运维管理服务已逐渐将应急响应和系统维护、安全加固、安全检查等工作融为一体。
运维管理服务将保持快速增长的发展态势,2005年市场整体规模已达到23.32亿元。运维管理服务已成为推动市场增长的强劲动力。2005-2009年,中国运维管理服务市场的年均复合增长率将达到20.3%。2009年的整体市场规模将接近80亿元。针对广阔的市场前景,驻地安全运维服务、周期性巡检服务、渗透评估服务、安全加固服务将成为安全运维管理服务的重点方向。安全培训服务
随着信息安全行业的发展,越来越多的企业开始注重企业员工的安全意识培训与网络运维服务人员的安全技术培训。据相关报告,我国74.9%的企业把“信息化人才培训”列为工作重点,企业在实施安全解决方案的同时,其中的一个重点将是帮助企业培训员工树立必要的安全观念。安全培训可使企业员工提高安全意识,增强安全技能与突发安全事件的应对能力,保障信息系统的安全。针对用户需求,向用户提供适合自身特点的模块化的专向安全服务培训将是未来培训服务业发展的重点方向。
第二篇:什么是信息安全
信息安全的演变
信息---》信息技术---》信息安全 信息通俗的说:
有意义有价值的资料,表现形式多种多样:语音,图像,图片,流媒体,数据信息技术就是对其进行加工处理的方法。机密性,可靠性,完整性,保护,监测,反应,恢复。保护的过程性和周期性。
信息安全的现实需求及意义
1.个人安全
网络钓鱼,支付的安全问题,木马 解决方式:一个系统一级的安全防护 2.企业安全
企业的信息安全是一个很复杂的体系结构工程。遵循“木桶原理”(1)木马/黑客/病毒(2)系统漏洞(3)犯罪取证(4)电子商务安全
企业要具有较强的网络安全防护能力,企业内部要有安全的完善的安全管理机制,并且要定期的巡查,并要注意电子商务安全。计算机的取证技术及痕迹跟踪技术,系统日志中的异常行为和异常现象进行查看。做到“拿不掉,看不到,赖不掉”看不到就是有加密与解密技术并不是通过明文的方式将信息储存在电脑中。3.国家信息安全
(1)充分研究网络攻击技术(2)全面掌握网络防范技术
例如:强身份认证技术,基于生物特征的生物认证技术(3)建立健全完备的应急响应机制 攻得进,守得住,打不垮
信息安全防护体系
当今网络表现出来的特点:
接入方式多样化,联网对象广泛,安全形势严峻 安全防御阶段:
事前防御:网络隔离,访问控制,实时监测
实时监测:病毒检测,入侵监控,系统/用户行为监测 事后响应:报警、急救、取证、问责、修复、加固 保护阶段:加密解密,身份认证,访问控制,放火墙,操作系统安全 监测阶段:入侵监测,漏洞检测 反应阶段:电子取证,入侵追踪 恢复阶段;数据恢复,系统恢复 信息技术前景展望:
计算能力:量子计算,DNA计算
计算与应用模式:云计算(数据隔离,隐私保护),物联网(安全体系,信息控制,隐私保护)
信息对抗:信息战,电子对抗(包含内容有:信息战理论研究,新型电子对抗技术研究,新型网络对抗技术研究)通信技术:下一代互联网,未来网络
第三篇:信息安全风险评估服务
1、风险评估概述
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状
2.1信息安全风险评估在美国的发展
第一阶段(60-70年代)以计算机为对象的信息保密阶段
1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。特点:
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。
第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展
● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题
● 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组
● 2004● 2005年,国家信息中心《风险评估指南》,《风险管理指南》 年全国风险评估试点
● 在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿
● 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作
● 2015年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要
● 2017年7月,《中华人民共和国网络安全法》颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。
3、风险评估要素关系模型
4、风险评估流程
● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理
5、风险评估原则
● 符合性原则 ● 标准性原则 ● 规范性原则
● 可控性原则 ● 保密性原则
● 整体性原则 ● 重点突出原则 ● 最小影响原则
6、评估依据的标准和规范
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 《电力监控系统安全防护规定》(发改委14号令)
《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)
GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》
ISO/IEC 27001:2005《信息安全管理体系标准》
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
《电力行业信息安全等级保护基本要求》(电监信息[2012]62号) 《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)
《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)
7、风险评估的发展方向
8.1风险评估行业发展方向
从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。
历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。
信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。
国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。
8.2公司自身的发展方向
就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与度。据河南同样类型的企业,其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。
第四篇:客户服务信息安全保密制度
XX中心客户服务信息安全保密制度
1.严格执行公司制定的各项保密制度,增强保密观念,不得随意增删、泄漏、更改相关客户资料、档案。
2.各种涉及公司内部的资料、文件及数据(包括各项上报的分析报表)等由专人管理,未经同意,任何人不得任意查看。3.因工作、业务需要,将公司内部资料提供给公司以外人员时,应上报分管领导,经批准后方可执行,并采取相应的保密措施。4.不得向无关人员泄露有关公司客户活动计划、方案、经费等信息。
5.员工在办理离职手续前,须交回属于公司的全部资料、客户数据等才能给予离职手续办理。
6.不得利用服务平台进行与公司无关的商业活动。
7.对泄密者公司将追究其法律责任,并在其档案中注明其因职业道德问题脱离本公司。
第五篇:什么是安全信息
更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
什么是安全信息
所谓安全信息指的是在劳动生产中起安全作用的信息集合。它包括很多方面,比如警示信息、上级命令等等诸多方面对安全生产工作起到影响作用的信息总称。安全信息是安全活动所依赖的资源,安全信息是反映人类安全事物和安全活动之间的差异及其变化的一种形式。安全科学是一门新兴的交叉学科。安全科学的发展,离不开信息科学技术的应用。安全管理就是借助大量的安全信息进行管理,其现代化水平决定信息科学技术在安全管理中的应用程度。只有充分地发挥和利用信息科学技术,才能使安全管理工作在社会生产现代化的进程中发挥积极的作用。在日常生产活动中,各种安全标志、安全信号就是信息,各种伤亡事故的统计分析也是信息。掌握了准确的信息,就能进行正确的决策,提高企业的安全生产管理水平,更好地为企业服务。
安全信息的功能
(1)安全信息是企业编制安全管理方案的依据企业在编制安全管理方案,确定目标值和保证措施时,需要有大量可靠的信息作为依据。例如,既要有安全生产方针、政策、法规和上级安全指示、要求等指令性信息,又要有企业内部历年来安全工作经验教训、各项安全目标实现的数据,以及通过事故预测获知生产安危等信息,作为安全决策的依据,这样才能编制出符合实际的安全目标和保证措施。(2)安全信息具有间接预防事故的功能 安全生产过程是一个极其复杂的系统,不仅同静态的人、机、环境有联系,而且同动态中人、机、环境结合的生产实践活动有联系,同时又与安全管理效果有关。如何对其进行有效的安全组织、协调和控制,主要是通过安全指令性信息(如安全生产方针、政策、法规,安全工作计划和领导指示、要求),统一生产现场员工的安全操作和安全生产行为,促进生产实践规律运动,以此预防事故的发生,这样安全信息就具有了间接预防事故的功能。
(3)安全信息具有间接控制事故的功能 在生产实践活动中,员工的各种异常行为,工具、设备等物质的各种异常状态等大量的不良生产信息,均是导致事故发生的因素。企业管理人员通过安全信息的管理方式,获知了不利安全生产的异常信息之后,通过采取安全教育、安全工程技术、安全管理手段等,改变了人的异常行为、物的异常状态,使之达到安全生产的客观要求,这样安全信息就具有了间接控制事故的功能。
安全信息的分类
依据不同的原则,安全信息可有不同的分类方式。
从信息的形态来划分,安全信息划分为:一次安全信息和二次安全信息。
(1)一次安全信息指生产和生活过程中的人、机、环境客观安全性,以及发生事故后的现场。
(2)二次安全信息包括安全法规、条例、政策、标准,安全科学理论、技术文献,企业安全规划、总结、分析报告等。安全信息流技术首先要认识生产和生活中的人一人信息流,人一机信息流,人一环境信息流,机一环境信息流等。安全信息动力技术涉及系统网络管理、工程技术的检验,规范化和标准化的科学管理方法等方面的内容。从应用的角度,安全信息可划分为如下三种类型。(1)生产安全状态信息
包括:①生产安全信息,如从事生产活动人员的安全意识、安全技术水平,以及遵章守纪等更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
安全行为;投产使用工具、设备(包括安全技术装备)的完好程度,以及在使用中的安全状态;生产能源、材料及生产环境等,符合安全生产客观要求的各种良好状态;各生产单位、生产人员及主要生产设备连续安全生产的时间;安全生产的先进单位、先进个人数量,以及安全生产的经验等。②生产异常信息,如从事生产实践活动人员,进行的违章指挥、违章作业等违背生产规定的各种异常行为;投产使用的非标准、超载运行的设备,以及有其他缺陷的各种工具、设备的异常状态;生产能源、生产用料和生产环境中的物质,不符合安全生产要求的各种异常状态;没有制定安全技术措施的生产工程、生产项目等无章可循的生产活动;违章人员、生产隐患及安全工作问题的数量等。③生产事故信息,如发生事故的单位和事故人员的姓名、性别、年龄、工种、工级等情况;事故发生的时间、地点、人物、原因、经过,以及事故造成的危害;参加事故抢救的人员、经过,以及采取的应急措施;事故调查、讨论、分析经过和事故原因、责任、处理情况,以及防范措施;事故类别、性质、等级,以及各类事故的数量等。(2)安全活动信息
安全活动信息来源于安全管理实践,具有反映安全工作情况的作用。具体包括以下几点。①安全组织领导信息。主要有安全生产方针、政策、法规和上级安全指示、要求及贯彻落实情况;安全生产责任制的建立、健全及贯彻执行情况;安全会议制度的建立及实际活动情况;安全组织保证体系的建立,安全机构人员的配备,及其作用发挥的情况;安全工作计划的编制、执行,以及安全竞赛、评比、总结表彰情况等。②安全教育信息。主要有各级领导干部、各类人员的思想动向及存在的问题;安全宣传形式的确立及应用情况;安全教育的方法、内容,受教育的人数、时间;安全教育的成果,考试人员的数量、成绩;安全档案、卡片的及时建立及应用情况等。③安全检查信息。主要有安全检查的组织领导,检查的时间、方法、内容;查出的安全工作问题和生产隐患的数量、内容;隐患整改的数量、内容和违章等问题的处理;没有整改和限期整改的隐患及待处理的其他问题等。④安全指标信息。具有各类事故的预计控制率,实际发生率及查处率;职工安全教育率、合格率、违章率及查处率;隐患检出率、整改率,安全措施项目完成率;安全技术装备率、尘毒危害治理率;设备定试率、定检率、完好率等。(3)安全指令性信息
安全指令性信息来源于安全生产与安全管理,具有指导安全工作和安全生产的作用。其主要内容如下。①安全生产方针、政策、法规和上级主管部门及领导的安全指示、要求。②安全工作计划的各项指标。③安全工作计划的安全措施计划。④企业现行的各种安全法规。⑤隐患整改通知书、违章处理通知书等。
安全信息应用的方式、方法
依据安全信息所具有的反映安全事物和活动差异及其变化的功能,从中获知人们对物的本质安全程度、人的安全素质、管理对安全工作的重视程度、安全教育与安全检查的效果、安全法规的执行和安全技术装备使用的情况,以及生产实践中存在的隐患、发生事故的情况等状况,用于指导安全管理,消除隐患,改进安全生产状况,达到预防、控制事故发生的目的。
(1)安全信息应用的方式
安全信息应用方式是指依据安全管理的需求,运用安全管理规律和安全管理技术确立的对安全信息进行应用管理的形式。大致有如下九种。安全管理记录,如安全会议记录,安全调度记录,安全教育记录,安全检查记录,违章记录,隐患记录,事故记录,事故调查记录,事故讨论分析记录等;安全管理报表,如事故速报表,事故月报表,安全管理工作月报表等;安全管理登记表,如伤亡事故登记表,非伤亡事故登记表,重大隐患整改表,违章人员控制更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
表等;安全管理台账,如事故统计台账,职工安全管理统计台账,隐患统计台账,安全天数管理台账等;安全管理图表,如安全组织体系图、事故动态图和安全工作周期表等;安全管理卡片,如职工安全卡,安检人员卡,尘毒危害人员卡,工伤职工卡,新工人卡等;安全管理档案,如职工安全档案、事故档案、安全法规档案、计划总结档案、隐患管理档案、违章人员管理档案、安全文件档案、安全宣传教育档案、尘毒危害治理档案、安全措施工程档案、安全技术设备档案等;安全管理通知书,如隐患整改通知书,违章处理通知书等;安全宣传信息,如安全简报、安全板报、安全广播、安全标志、安全天数显示板、安全宣传教育室等。
(2)安全信息应用的方法
安全信息既来源于安全工作和生产实践活动,又反作用于安全工作和生产实践活动,促进安全管理目的的实现。因此,对安全信息的管理,要抓住安全信息在安全工作和生产实践中流动这个中心环节,使之成为沟通安全管理的信息流。安全信息的应用方法,是以收集、加工、储存和反馈这四个有序联系的环节为主,促使安全信息在企业安全管理中流通。
(3)安全信息的收集方法
①利用各种渠道收集安全生产方针、政策、法规和上级的安全指示、要求等。②利用各种渠道收集国内外安全管理情报,如安全管理、安全技术方面着作、论文,安全生产的经验、教训等方面的资料。③通过安全工作汇报、安全工作计划、安全工作总结,安全检查人员、职工群众反映情况等形式收集安全信息。④通过开展各种不同形式的安全检查并利用安全检查记录,收集安全检查信息。⑤利用安全技术装备,收集设备在运行中的安全运行、异常运行及事故信息。⑥利用安全会议记录、安全调度记录和安全教育记录,收集日常安全工作和安全生产信息。⑦利用事故登记、事故调查记录和事故讨论分析记录,收集事故信息。⑧利用违章登记,违章人员控制表,收集与掌握人的异常信息。⑨利用安全管理月报表、事故月报表,定期综合收集安全工作和安全生产信息。
(4)安全信息的加工
安全信息的加工,是提供规律信息,指导安全科学管理的重要环节。对信息进行加工处理,就是把大量的原始信息进行筛选、分类、排列、比较和计算,聚同分异、去伪存真,使之系统化、条理化,以便储存和使用。具体的加工分以下几个方面。①利用事故统计台账,对事故的类别、等级、数量、频率、危害等进行综合分析,进而掌握事故的动向。②利用隐患统计台账,对隐患的数量、等级、整改率、转化率进行综合统计分析,进而发现隐患,‘掌握导致事故发生的情况,并将其整改使之消除。③利用职工安全统计台账,对职工的结构、安全培训、违章人员、发生事故等情况进行综合统计分析,进而掌握职工的安全动态。④利用安全天数管理台账,对事故改变安全局面,影响安全天数的事故单位、事故时间、类别、等级,以及过去连续安全生产天数等,进行定期累计,从中掌握企业的安全动态。
(5)安全信息的储存
安全信息的储存方法,除可利用各种安全管理记录、各种报表进行临时简易储存外,还可以利用如下信息管理形式进行定项、定期储存。①利用安全管理台账,既可以对安全信息进行处理,又可以对安全信息进行积累储存待用。②利用安全管理卡片,可以对安全管理人员、工伤职工、特种作业人员、新工人、尘毒危害人员的自然情况和动态变化,进行简易储存待用。③利用安全管理档案,可以对安全信息进行综合、分类储存。④也可以运用电子计算机,对安全信息进行加工处理和储存。更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
(6)安全信息的反馈
安全信息的反馈,具有指导安全管理,改进安全工作和改变生产异常的作用。反馈的方式主要有两种:一是直接向信息源反馈;二是加工处理后集中反馈。①通过领导讲话、指示、要求和安全工作计划、安全技术措施计划、安全法规的贯彻执行,对安全信息进行集中反馈。②利用各种安全宣传教育形式,对安全信息进行间接反馈。③利用各种管理图表,反映安全管理规律,安全工作进度和事故动态。④发现人的异常行为、物的异常状态等生产异常信息,当即提出处理意见,直接向信息源进行反馈。⑤利用违章处理通知书和隐患整改通知书,对违章人员和发现的隐患提出处理意见,也是对安全信息的一种反馈。
安全信息的质量与价值
信息质量是指信息所具有的使用价值。信息的使用价值,是由收集信息的及时性,掌握信息的准确性和使用信息的适用性所构成的。信息的价值取决于如下几方面。(1)信息的及时性
信息的及时性指收集和使用信息的时间所具有的使用价值。如果不能及时地收集、使用应收集、使用的信息,错过了收集和使用的时间,信息就失去了应有的作用。这是因为,生产实践活动处在不断发展变化之中,生产中的安全与事故不仅同生产活动方式联系在一起,而且也同人们的管理方式联系在一起。例如,人们在进行安全管理中,如果能够做到及时地发现并及时纠正劳动者在生产中的异常行为,消除设备的异常状态,这样就能有效地抑制事故的发生。反之如果不能及时发现劳动者的异常行为和设备的异常状态,不能及时地纠正劳动者的异常行为和消除设备的异常状态,迟早要导致事故的发生。由此可见,安全信息的使用价值与信息的及时收集和使用联系在一起,因此安全信息的及时性,属于信息管理质量的范畴。(2)信息的准确性
信息的准确性,是指真实的、完整的安全信息所具有的全部使用价值。收集到的安全信息如果不真实或不完整,会影响信息的使用效果,有的可能失去应有的使用价值,有的可能失去部分使用价值,甚至导致领导者做出不符合实际的使用决策,贻误了安全管理工作。例如,有一名高空作业人员没有按规定系安全带,原因是没有安全带,领导就决定让他进行高空作业。在收集此信息时,如果只收集到高空作业人员没有系安全带的违章作业行为,没有掌握到领导违章指挥的事实,这样在使用高空作业人员没有系安全带这个信息时,就会导致由于对信息掌握的不全面而影响信息使用的全部价值。其结果只解决了高空作业人员的违章作业问题,而没有解决领导者的违章指挥问题。(3)信息的适用性
信息的适用性,是指适用的安全信息所具有的使用价值。在应用安全信息加强安全管理中,收集掌握的安全信息,有的是储存的,可以直接使用的;有的是需加工后使用的;有的是储存待用的;也有的是无用的。其中,由于人们的需求和使用的时间、使用的方式、使用的对象不同,这样安全信息的适用性就决定了信息的使用价值。只有适用的安全信息才有使用价值。因此,在应用安全信息中,除要注意收集、选择直接能应用的信息外,还要学会加工处理信息,使它具有使用价值,才能更好地发挥信息的作用。(4)安全信息流
保证安全信息流的合理、高效状态是信息发挥其价值的前提。安全生产过程的信息流形态有人一人信息流(作业过程员工间的有效、可靠配合);人一机信息流(机器、设备、工具的有效控制和操作);人一环境信息流(人对环境的感知),机一环境信息流(高效的自动控制等)。
安全信息的处理技术 更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
安全信息的处理技术:安全管理信息系统
20世纪80年代以来,随着现代安全科学管理理论和安全工程技术,以及微机软、硬件技术的发展,在工业安全生产领域应用计算机作为安全生产辅助管理和事故信息处理的手段,得到了国内外许多企业和部门的重视。这一技术正不断得到推广应用。国外很多专业领域,如航空工业系统、化工工业系统,以及像美国国家职业安全卫生管理部门、国际劳工组织等机构,都建立了自己的安全工程技术数据库和开发了符合自己综合管理需要的系统。在国内,很多工业行业也都开发有适合自己行业使用的各种管理系统。如原劳动部门开发了劳动法规数据库和安全信息处理系统;航空、冶金、煤炭、化工、石油天然气等行业,都开发了事故管理系统、安全仿真培训系统等。近几年来,国内各行业都在大力推行安全科学管理理论,有的行业开展了事故预测活动和安全评价技术的应用研究,并且在一定范围内获得了成功。国家有关部门已将此项技术列入“九五”期间的发展规划。1999年底在国家经贸委安全生产局的主持下,国家事故中心开发推广网上事故信息管理,在政府首先使用计算机网络技术进行事故信息的系统管理。目前,国内许多企业、部门及研究院、所正在积极进行这方面的研制和推广工作。在安全信息技术方面,开发了很多实用软件,如“事故信息管理与分析系统”、“安全生产综合信息管理系统”、“职业安全健康法规、标准数据库系统”、“石油勘探开发安全生产多媒体培训系统”、“建筑安全生产多媒体培训系统”、“故障树分析系统(FTA)”、“安全评价系统”、“安全工程电子课件系统教材”、“危险源预控与应急信息系统”等。对安全信息技术方面的发展趋势进行全面分析,把现代的计算机技术与安全科学管理技术有机地结合;把安全系统管理和事故分析预测、预警、辅助决策相结合;利用多媒体技术和仿真演示技术提高安全教育和培训的功能认识和效果,将会大大促进现代企业安全管理、安全教育的发展,提高事故预防能力和安全生产保障水平。
更多广州企业管理培训资料请访问:http://www.xiexiebang.com/qymanage/
点击咨询 