第一篇:华为 全球技术服务部安全生产手册 V2.0
8987887.doc
文档密级:内部公开
华为技术有限公司全球技术服务部
华为技函【2008】53号
【内部公开】 【一般】
全球技术服务部安全生产手册V2.0
(2008年9月30日第一次修订稿)1 目的
为加强客户设备信息安全工作,规范员工的服务行为,提高员工的信息安全意识,保证客户设备的信息安全,特制定本手册(以下简称“本手册”)。2 适用范围
本手册适用于全球技术服务部工程业务、基础服务、管理服务等所有技术服务活动中涉及客户设备信息安全的行为。3 客户设备信息安全准则
3.1 不得恶意收集客户设备的重要信息(如网络拓扑结构,IP地址、设备口令、最终用户帐户信息等),不得泄漏客户设备的重要信息,所持有的客户设备信息须在工作完成后及时删除和销毁。
3.2经客户许可持有的客户设备信息文档(如数据文件、算法程序、外购件配臵信息、设备序列号、设备条码等),未经许可不得扩散,并在工作完成后及时删除和销毁。该许可必须是可追溯的记录(例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。
3.3未经客户许可,不得擅自操作客户设备,该许可必须是可追溯的记录(例如传2007-08-28
华为机密,未经许可不得扩散
第1页, 共8页
8987887.doc
文档密级:内部公开
真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。3.4在操作客户设备过程中,不得利用客户网络从事与工作无关的事情,如玩网络游戏、登录与工作无关的网站。
3.5在操作客户设备过程中,禁止随意将个人便携设备、存储介质(包括但不限于可擦写光盘、U盘、移动硬盘等)接入客户设备,如果必须接入,所接入设备和介质必须经过最新病毒库的检测,确保没有携带病毒、木马等程序。
3.6
在操作客户设备过程中,禁止使用服务器和维护终端连接互联网;如果必须连接,应做好安全防护措施(例如安装防火墙、VLAN隔离、安装防病毒软件、更新系统补丁、系统加固等)。一旦操作过程中设备感染病毒,应当立即把被感染设备隔离,进行杀毒处理后再连接到相应网络。
3.7
未经客户许可,不得在任何客户设备上安装和使用其他软件和工具,如果必须安装务必要向客户讲解安装软件和工具可能给设备带来的危害。该许可必须是可追溯的记录(例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。
3.8
在操作客户设备过程中,未经客户许可,不得修改客户设备程序、配臵文件、数据以及日志等。该许可必须是可追溯的记录(例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。
3.9 提醒客户定期更新设备所有密码,并保证密码的复杂度,并定期对设备帐号进行清理,清除不用的帐号。4 客户设备信息安全要求
4.1 工程业务的客户设备信息安全要求
2007-08-28
华为机密,未经许可不得扩散 第2页, 共8页
8987887.doc
文档密级:内部公开
4.1.1 网络规划报告、基站工程参数表、网规参数设计报告、网络优化报告和日常的网络质量分析和监控报告都涉及客户组网和网络信息,不得泄密。
4.1.2 站点勘测设计中的输入、输出文件(如客户网络组网方案、站点设备配臵、勘测报告、设计图纸等信息),涉及客户组网和网络信息,不得泄密。4.1.3 在设备安装阶段,工程师不得在非客户设备上安装使用客户购买的操作系统、数据库等软件,不得将客户购买设备序列号、相关软件license信息用于非本项目用途。
4.1.4 在设备安装过程中,应及时在已安装的服务器和终端设备上设臵管理员密码,并保证密码的复杂度。禁止在服务器和终端设备上安装、执行与工作无关的任何其他软件。
4.1.5 调测阶段,从客户处获得的设备对接信息和调测信息,不得泄密。4.1.6 调测阶段建立的一切远程登录环境所涉及的登录信息在调测结束后必须修改或者删除,并经客户签字确认。
4.1.7 在调测阶段,未经客户允许不得随意增设测试帐户信息和帐户业务功能。4.1.8 调测阶段建立的测试帐户信息、余额修改信息等,仅在客户要求保留并签字确认后方可保留。
4.1.9 调测阶段生成的验收手册,包含客户的业务特性、计费信息等机密信息,不得泄密。
4.1.10
验收阶段输出的相关文件(如系统上线信息、系统遗留问题、商用时间等),涉及客户商业机密,不得泄密。
4.1.11 工程移交之前,须统一修改调试用密码后再提交给客户。移交清单中需包括2007-08-28
华为机密,未经许可不得扩散 第3页, 共8页
8987887.doc
文档密级:内部公开
密码的移交内容,并要求客户自行修改密码后签字确认。4.2 技术支持业务的客户设备信息安全要求
4.2.1 在GCRMS系统中创建问题单或处理问题单时,禁止填写客户业务帐号和密码信息。
4.2.2 总部指导一线工程师现场处理时,所涉及的系统密码等重要信息应通过电话或加密邮件方式通知对方,禁止采用传真方式。
4.2.3 工程师进行现场服务时,必须经过用户同意并要求客户陪同,应使用客户给予的临时帐号和密码,禁止使用系统超级密码和口令。不能超过用户预先审批过的操作范围,如有额外操作,需经客户同意才能实施。
4.2.4 远程服务前必须提交远程服务申请,在申请获得客户批准后,服务工程师应要求客户以电话或加密邮件的方式提供接入设备的信息(如登录名、登录密码,登录地址,拨入号码等)。
4.2.5 在客户批准远程服务申请后,我司使用的远程维护软件应得到客户的许可。该许可必须是可追溯的记录(例如传真、录音、EMAIL、通知、现场服务确认、确认的会议纪要等方式之一)。
4.2.6 远程维护和升级结束后,所创建的远程服务环境应及时删除,并通知客户及时关闭设备侧的远程服务环境。同时,要求客户在服务报告中签字确认是否已经更改口令。
4.2.7 现场服务时,严禁泄漏客户模拟升级数据,如需发送给相关人员,必须加密。升级过程中,需指定数据的管理责任人,升级结束后应及时删除。
4.2.8 现场服务结束后,应清理本次服务过程中所有增加的临时性工作内容(如删2007-08-28
华为机密,未经许可不得扩散 第4页, 共8页
8987887.doc
文档密级:内部公开
除过程数据,取消登录帐号等),如果由于后续工作需要,某些临时性工作内容需要保留,必须获得用户的书面批准。
4.2.9 现场服务结束后,需客户在服务报告中签字确认是否已经更改登录口令。5 责任与奖惩
5.1 奖惩原则
5.1.1 根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级。5.1.2 对于一次违反多条本手册人员,按最严重的违规等级处罚;
5.1.3 对于一年内两次或两次以上违反本手册人员,在该次违规等级基础上加重一级处罚;
5.1.4 对于举报人员,公司将负责保护其个人资料不对外公开。5.2 违规和处罚等级
5.2.1 三级违规:对于违反本手册,性质较轻,没有造成安全事故或客户投诉的,通报批评,责令书面检查,罚款100-1000元。违规行为举例(包括但不限于): 5.2.1.1 设备正式移交客户前或完成技术服务后,未正式要求客户自行修改帐号、密码,或未与客户正式签字确认“修改帐号、密码”事宜。5.2.1.2 设备正式移交客户时或完成技术服务后,未清除测试账户、测试数据、远程接入配臵等。5.2.1.3 未经客户正式许可,擅自建立远程接入环境;远程服务结束后,未及时取消远程接入环境。5.2.1.4 未经客户正式许可,私自持有客户重要保密信息(商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息)。
2007-08-28
华为机密,未经许可不得扩散 第5页, 共8页
8987887.doc
文档密级:内部公开
5.2.1.5 信息。5.2.2 未经许可,私自以明文方式记录、传播本人持有的客户设备帐号、密码二级违规:对于蓄意收集客户设备帐号、密码信息,或违反本手册,性质严重,造成安全事故或客户投诉的,严重警告,责令书面检查,降薪500-1000 元。违规行为举例(包括但不限于): 5.2.2.1 私自在客户设备上设臵帐号、密码,或修改帐号权限范围,未导致安全事故或客户投诉。5.2.2.2 未经许可,私自获取他人所持有的帐号、密码,或私自扩大本人可持有帐号权限。5.2.2.3 蓄意窃取客户或最终用户帐号、密码,但未给客户以及最终用户造成经济或名誉损失。5.2.2.4 泄漏客户重要保密信息(商业、技术、合同、业务规划、组网信息、设备帐号、密码、最终用户信息),给客户造成名誉或经济损失。5.2.2.5 5.2.3 擅自传播、修改最终用户个人信息,造成最终用户名誉或经济损失。一级违规:对盗窃客户财物,有意盗窃、泄露客户、最终用户保密信息,或蓄意破坏客户通信设备、计算机系统,性质恶劣,造成客户、公司严重损失的,给予辞退、开除、公示的处理,记入个人人事档案,并要求赔偿相应损失。对于触犯中国法律或所在国法律的,移交相应国家司法机关依法处理。违规行为举例(包括但不限于): 5.2.3.1 5.2.3.2 私自在客户设备上配臵充值卡、帐号信息,盗取客户财物。
蓄意盗取客户或最终用户保密信息,给客户、最终用户造成重大名誉损2007-08-28
华为机密,未经许可不得扩散 第6页, 共8页
8987887.doc
文档密级:内部公开
失或经济损失。5.2.3.3 蓄意破坏客户通讯设备、计算机系统的硬件、软件、数据配臵等,造成通信中断或通信故障。5.3 奖励等级 5.3.1 三级:对长期遵守安全生产手册,对客户设备信息安全工作提出了合理化建议,主动堵塞客户设备信息安全漏洞的人员,可申报年度专项奖 5.3.2 二级:对举报他人的违规行为或及时向公司反馈安全隐患的人员,给予1000-5000 元的奖励并记关键事件。5.3.3 一级:对及时制止他人的违规行为或及时避免了严重损害客户、公司利益事件,并为客户和公司挽回重大损失的人员,根据具体情况给予重奖,并记关键事件。6 管理者责任
对在客户设备信息安全管理制度和措施上贯彻、监控不力、失职的主管,或所辖部门、区域发生客户设备信息安全事故的,相关主管承担管理责任:
6.1所辖部门、区域发生一级违规,对直接管理者降级、降薪,对领导者罚款、通报批评,并记关键事件;
6.2所辖部门、区域发生二级违规,对直接管理者罚款、通报批评,对领导者通报批评,并记关键事件。7 奖惩部门
7.1 对于二、三级违规人员,由员工关系所在地的HR部门发文处罚。
7.2对于一级违规人员,由员工关系所在地HR部门提出处理意见,提交公司人力资2007-08-28
华为机密,未经许可不得扩散 第7页, 共8页
8987887.doc
文档密级:内部公开
源部批准发文处罚。
7.3 对于满足奖励条件人员,由员工关系所在地HR部门直接给予奖励。8 手册的解释和修订
8.1 本修订文件自签发之日起生效。同时,将2007年9月4日签发的华为技函【2007】36号《全球技术服务部安全生产手册V1.0》予以作废。
8.2 本手册由全球技术服务部信息安全管理办公室每年审视一次,如有修订,将发布更新文件。本手册的解释权归全球技术服务部信息安全管理办公室。
全球技术服务部
二〇〇八年十月十五日
发至:全球技术服务部各部门、各地区部交付与服务副总裁、各代表处交付与服务副代表
华为技术有限公司全球技术服务部
二〇〇八年十月十五日
2007-08-28
华为机密,未经许可不得扩散 第8页, 共8页
第二篇:华为信息安全手册
华为新员工入职时信息安全保密手册
一、新员工入职信息安全须知
新员工入职后,在信息安全方面有哪些注意事项? 接受“信息安全与保密意识”培训;
每年应至少参加一次信息安全网上考试; 办理员工卡;
签署劳动合同(含保密职责); 根据部门和岗位的需要签署保密协议。
员工入职后,需要办理员工卡,员工卡的意义和用途是什么?
工卡是公司员工的身份证明,所有进入华为公司的人员,在公司期间一律要正确佩戴相应的卡证。工卡还有考勤、门禁验证等作用。工卡不仅关系到公司形象及安全,还关系到员工本人的切身利益,一定要妥善保管。
公司信息安全方面的规定都有哪些?在哪里可以查到信息安全的有关管理规定?
网络安全部在参考国际安全标准BS7799和在顾问的帮助下,制订了一套比较完整的信息安全方面的管理规定,其中与普通员工关系密切的有《信息保密 管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖 惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《供应商/合作商接待管理办法》、《外部人员信息安全管理规定》、《会议信息 安全管理规定》和《帐号和口令标准》等。这些管理规定都汇总在《信息安全策略、标准和管理规定》(即《信息安全白皮书》)中,并且在不断的修改和完善之中。
在“IS Portal”上您可以查到公司信息安全相关的所有信息,如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。
各体系细化的信息安全管理规定,可咨询本体系的信息安全专员。
作为一名普通员工,应该如何做才能够符合公司信息安全要求?
积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。
有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。
二、计算机的安全 口令设置
公司规定的口令设置最低标准是什么,每次更换口令,都不容易记住新口令,该怎么办? 普通用户(公司一般员工均为普通用户)设置口令的最低标准主要有以下几条:
(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符
另外,一个好的口令除了符合口令的最低标准外,最好还应包含大小写字母和特殊的字符。
设置简单的口令不安全,而复杂的口令又不容易记住。建议您用自己心中的一句话的拼音或英语语句的首个字母组合作为密码。如:就“我想去看2008奥运会” 这一自己心中愿望的话,可以设置密码为WXqk2008ayh,或者用其他某段容易记住的字符串,稍加改造作为口令,如一个换过特殊字符的网站地址等,这 样的口令非
常好记,也非常难猜。
如果没有设置口令会带来哪些危害?
对系统不设口令就像银行存折没有密码一样,是非常危险的。
(1)如果不设开机口令,那么他人可轻松启动或重新启动系统,从而操作您的计算机,还可通过在CMOS中给机器设置开机口令,让您无法使用计算机;
(2)便携机若不设硬盘口令,那么只要将您的硬盘接到别的计算机中,硬盘上所有资料就会一览无余的呈现出来;
(3)如果不设屏幕保护口令,当您离开时,其他人可以轻易的进入、使用您的计算机,将您的文件删除或发送出去;
(4)共享文件夹时如果不设口令,任何能够和您计算机相连的人不需授权,均可拿走你共享的资料。
软件安装
为了保证计算机安全,在第一次使用计算机时有哪几项安全措施需要立即完成?(1)需要首先加入公司China域,登陆网址http://win2khelp.huawei.com/下载加入域的工具JoinDomain.exe。
(2)需要立即安装操作系统的安全补丁,可以从各地文件服务器指定路径下载,如总部路径为lg-fsRootSoftwareSystem$Patch。
(3)需要立即安装Symantec防病毒软件,可以从各地文件服务器指定路径下载,如总部路径为lg-fsRootSoftwareApplicationSystem ToolsSecurity$virus。
(4)需要马上设定屏幕保护程序,并启用密码保护,注意等待时间不能大于10分钟。(5)设置开机口令,操作系统(administrator)口令,如果是便携机还应设置硬盘口令。(6)设置Notes邮箱10分钟内自动锁定。
(7)需安装SPES、ACC,可登陆网址http://spes.huawei.com/下载安装最新版SPES客户端软件;可登陆http://acc.huawei.com/下载安装最新版ACC客户端软件。
以上措施完成后,请运行ACC进行自检,保证没有红色违规项。如有疑惑,可以咨询IT hotline(Tel:+86-755-28560160)
什么是非标准软件?要使用非标准软件,应如何申请?
非标软件是针对标准软件来定义的,对于公司普通员工来说,凡是IT桌面标准、研发工具标准之外的软件均属于非标软件,如游戏、不含在IT及研发标准 内的免费或自由软件、影响网络安全的工具软件等等。原则上非标软件不可以随便使用,若工作有需要,必须填写“IT资产申请”电子流,经审批后使用。对于涉 及安全的工具软件,还需填写“IS Authority Application”中的“网络安全软件申请”电子流。
我自己购买了一套软件,想安装在公司的计算机上,不知是否可以?
不可以。常用办公软件在公司文件服务器上都有相应的安装软件,比如IE、Lotus Notes、Office 等等,需要安装时可直接连到办公所在地文件服务器上安装。不要安装自己购买的软件,因为:(1)存在版权问题;
(2)购买的软件未经公司测试,不能保证可靠稳定运行和正常维护;
(3)更为严重的是,还可能因购买的软件中带有木马、病毒程序、软件留有后门等给公司网络安全带来隐患。
计算机维修/使用
计算机发生故障需要修理时,应该注意哪些事项?
员工应该要求维修人员尽量在公司内进行维修,并且监督整个维修过程。当维修人员需要将计算机带出公司维修时,为了防止泄密,一定要记得拆卸下硬盘,并存放在公司内的保密柜等安全的地方。
计算机使用方面应注意哪些事项?
(1)只有在因工作需要进行远程数据维护的时候,在保证物理上与公司的内部网络断开的情况下,经过部门二级主管和网络安全部批准后才能在办公区拨号上网。
(2)私自转借计算机可能造成泄密隐患,因此未经批准,员工不得转借计算机。
(3)对特殊存储设备及其介质(如USB)的使用,需要走“IS Authority Application”电子流申请。
(4)私自使用计算机进行刻录、扫描存在较大信息安全隐患,因此,刻录和扫描的需求须经审批后,由专人负责操作。
(5)公司配置给您的机器是公司的标准配置,未经批准,不得私自安装任何标准配置外的配件。
网络配置和使用
现在,也许你开始需要连入公司网络了。首先需要配置好网络,这时安全方面需要注意什么呢? 个人计算机的IP地址应设置为自动获取方式,不能擅自配置固定IP地址,否则可能引起网络冲突,影响公司网络的安全运行。
公司的网络标准协议为TCP/IP。公司办公网络不得启动除公司标准协议外的任何其他网络协议,如SPX/IPX、NETBIOS等。
禁止普通员工在公司办公网络严禁安装启动DNS、Wins、DHCP等网络服务。如果您的操作系统是WINDOWS SERVER或Unix等服务器操作系统,可要非常小心这一点呀!
网络设置好后,你就需要给您的计算机起一个名字,注意,可不能随便起,您知道计算机的命名规则吗?
公司的计算机非常多,为了便于管理和维护,公司要求计算机命名方式为:您的姓的第一位拼音字母 +工号。如果您管理多台计算机,请在工号后加A、B、C、D ….个人能够设置FTP、Wins等网络服务吗,为什么?
未经批准,不得私自设置www.xiexiebang.com)或信息安全问题受理电子流咨询或反馈。
管理者的责任
作为管理者,我在信息安全中的责任有哪些? 各级部门的一把手是本部门信息安全的第一责任人。
负责信息安全管理规定在本部门的推行和落实。
对本部门人员的违规事件承担领导责任。
各级主管应负责本部门哪些与信息安全相关的活动?
各级主管应负责本部门所有与信息安全相关的活动。具体有:确定各个资产、各个系统的管理员,使该管理员对该资产、系统的安全负责;在本部门内对员工 进行培训、教育和宣传,使本部门每个员工都遵守公司的信息安全策略、标准和管理规定,报告信息安全隐患、漏洞或事故,树立主动保护公司信息资产的意识。
员工出差
在出差时,若需携带保密资料,应注意哪些事项?
应注意如下事项:
(1)非因公外出时绝对不能携带绝密资料。
(2)因公外出只允许携带工作相关文档,携带外出的保密资料需首先通过审批,在离开公司时出示经过审批的有效凭证;
(3)出差前请确认出差目的地的网络情况,如果完全无法接入网络,请确认便携机上使用RMS加密的Office文档至少在本机上打开过一次。
(4)绝密级别的资料在出差期间必须随身携带,妥善保管;
(5)一般情况下,乘坐飞机、火车等公共交通工具时,含有保密信息的便携机等移动存储设备需随身携带,不能托运(但若与当地法律法规冲突,则以当地法律法规为准);
(6)从酒店外出时,如确实无法随身携带,应将便携机、保密文件存放在保密柜中,不要交酒店前台保管;(7)应做好访问控制的设置,如给便携机设置开机、屏保和硬盘口令等。
岗位调动
由于工作需要,在进行工作交接时,应注意哪些信息安全问题? 进行交接时,应注意做好以下几方面的工作:
(1)保密信息的移交和清理;
(2)应用系统帐号与权限的移交和清理;(3)归还办公室、机房等的钥匙。
员工调动部门后,如何处理与新岗位工作职责无关的文档?
在工作交接完毕后,应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档,删除或销毁的方式必须符合公司规定,如要使用碎纸机销毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息,一定要经过保密信息所有人批准。
信息安全奖惩规定
信息安全奖励分为几个等级?具体的奖励办法是什么? 根据对公司信息安全的贡献大小,共分为三个等级。
一等奖: 举报泄密、窃密或其他严重损害公司利益事件的人员,根据具体情况给予2000元以上的奖励,并记入关键事件库。对举报人员只奖励,不公布。
二等奖: 勇于制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患的人员,给予500-1000 元的奖励,并记入关键事件库。
三等奖: 长期遵守信息安全管理规定的,在信息安全管理中一贯良好的部门或个人给予100-500元奖励,并记入关键事件库。
信息安全违规可分为哪几个等级?
对于触犯国家法律的,公司会移交国家司法机关依法处理。此外,则根据违规行为的后果、性质以及
违规人的主观意愿,将违规行为分为如下四个等级:
一级:有意盗窃、泄露公司保密信息,或有意违反信息安全管理规定,性质严重造成重大损失。二级:有意违反信息安全管理规定,性质严重或造成损失。
三级:无意违反信息安全管理规定,造成公司损失;或者有意违反信息安全管理规定,但性质不严重且没有造成严重损失。
四级:违反信息安全管理规定,性质较轻,没有造成公司损失。
常见违规行为(1)常见四级违规 未经批准,安装非标准软件
未经批准,拷贝、保存工作无关的文档资料等 未经批准,在公司办公区域摄像、摄影 发送与工作无关文件(人数少,性质不严重)没有安装、运行公司规定的防病毒软件,或未设置集中管理
没有设置屏保口令、开机口令、共享口令、硬盘口令(便携机)、Administrator口令 接待客人时,未按规定进行陪同
(2)常见三级违规 未经批准,访问游戏站点
未经批准,拨号上Internet网
无意启动DHCP服务,影响公司网络正常运行 未经批准,转借信息系统帐号 未经批准,使用特殊存储设备 持有与本岗位无关的保密文档 非正当渠道获取或传递保密文档
未经批准,私自将公司保密文档或信息授予未经授权的任何其他人员(包括公司人员和非公司人员)系统管理员未按公司规定设置相关系统的安全配置标准
(3)常见二级违规 发送与工作无关连环邮件
访问不健康网站
系统管理员未经正常流程,私自授予系统权限 在公告栏发布与工作无关内容或造成泄密
未经允许,在各种媒体、公众场合发表与公司有关的评论或言论 未经批准,私自转借个人计算机 私自刻录文档 盗用他人帐号
非法收集大量与本岗位工作无关保密文档
(4)常见一级违规
未经批准,系统管理员查看、传播公司业务敏感数据
编制或运行黑客程序 编制或传播病毒程序 攻击公司网络和信息系统
窃取、盗卖公司保密信息
四、文档保密
信息保密相关的基本原则和定义
访问保密信息有哪些基本原则?如何理解这些原则?
有三项基本原则:最小授权原则、审批受控原则、工作相关原则。
(1)最小授权原则:就是授予的权限刚好满足员工的工作需要。
(2)审批受控原则:就是要严格控制信息的传递过程和扩散范围,保证做到“先审批,再获取;先登记,再传递”。(3)工作相关原则:要求每一位员工只能查阅与本人工作有关的文档,严禁员工私自收集、保存与自己工作无关的文档。
对公司来说,哪些信息属保密信息?
公司对于信息从保密性的维度分为两大类:公开信息和保密信息,既包括公司内部业务运作过程中产生的信息,也包括客户、供应商、国家政府机关等相关方提供给公司的信息。
(1)公开信息指可对公司外公开发布的信息,如:公司对外的相关宣传资料、产品介绍资料等。(2)保密信息指仅可在一定范围内发布的信息,如果泄漏,可能给公司或相关方造成损失和不良影响。
华为公司的保密信息是怎样进行密级划分的?
保密信息根据其价值、内容的敏感程度、影响及发放范围不同,划分为绝密、机密、秘密、内部公开等四个级别。
“绝密”信息是指包含公司最重要和最敏感的信息,关系公司未来发展的前途和命运,对公司根本利益有着决定性影响的保密信息。例如公司的预算方案、服务销售费用预算等文件。
“机密”信息是指包含公司的重要秘密,其泄露会使公司的安全和利益遭受严重损害的保密信息。例如,客户投资计划、第三方咨询报告、未发布的任命文件等。
“秘密”信息是指包含公司一般性信息,其泄露会使公司的安全和利益受到损害的保密信息。例如,供应商选择评估标准、部门审计报告、部门招聘计划等文件。
“内部公开”信息是指仅在公司内部或在公司某一部门内部公开,向外扩散有可能对公司的利益造成损害的保密信息。例如,用户操作手册、已发布的任命文件、一般部门的例会纪要、友商公开信息等。
谁是“信息所有人”?
公司按信息密级划分的信息所有人分别如下:
绝密信息所有人是信息所属一级部门及以上主管; 机密信息所有人是信息所属二级部门及以上主管;
内部公开、秘密信息所有人是信息所属三级部门及以上主管。
密级的标识和分类
什么时候需要确定文档的密级标识?
当您初步完成一篇文档,并准备将文档传递给主管或同事进行评审、修订时,这时就应确定文档的密级。
初步确定文档密级时,您可以先参考“信息资产密级管理”数据库中对同类文档的密级分类,可以根据同类文档的密级分类来初步确定文档的密级。如新拟制的文档在该数据库中找不到同类的文档供参考,您可根据文档涉及内容的价值、敏感程度确定一个初步的密级。
保密文档由拟制人初步判定其密级后,提交相应信息所有人进行密级确认。关于信息所有人的定义,请参考4.1.4节。
在日常工作中如何标识文档密级?
(1)对于Office文档,公司要求每位员工都使用公司提供的模板创建文档,创建后根据内容在页眉处添加正确的密级。
(2)对于打印资料,每一页都需要有明确的密级标识;
(3)对于装订的硬拷贝资料,需至少在开启前页、标题页和尾页上放置资料密级标签;(4)对于印刷的、手写的保密敏感信息需要在其某个醒目地方设置保密标签;(5)电子文档和纸件文档,均需注明“华为机密,未经许可不得扩散”或类似字样。
文档的使用和交流
公司内部文档传递中有哪些保密要求和注意事项?
公司规定,公司内部的所有绝密、机密和秘密级文档是要求加密的。对于内部公开级文档,各业务部门可根据实际业务情况决定是否需要加密。对于 Office类保密文档,需要使用RMS进行加密,在无法使用RMS加密的情况下,需使用WinRar压缩加密,机密以上文档必须采用双重加密(文档本身 加密+WinRar压缩加密),两个密码不能相同,密码设置须符合公司《帐号和口令标准》(特别对于销售与服务体系,密码位数必须大于10位,且由特殊字 符、大小写字母、数字混合组成。另外,密码第一位须为特殊字符。所设定的密码禁止使用短信或邮件传递,仅允许通过电话语音通知)。非Office类的保密 文档,需使用其它方式进行加密,例如winrar等。所设定的密码禁止使用短信或邮件传递,只能通过电话语音通知。传送含保密信息的纸件时,一定要用质量 好的信封等进行封装,并且只能发给收件人本人或其机要秘书,同时做好传送记录。
另外,不能使用手机短信发送机密或机密级以上的保密信息。
我可以将经过正常授权获得的保密文档提供给其他同事吗? 不可以。
公司规定,未经信息所有人批准,员工无权将自己所获得的保密信息再授权或提供给他人。因为经过授权后,您是信息的合法使用人,而不是信息所有人。经授权获得保密信息的人员也不能私下与他人交流该保密信息。
对不用的保密信息应如何销毁?
对作废的、或者已无权再接触的保密信息要删除和销毁,删除和销毁原始保密信息应征得相应主管同意。对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如下:
(1)纸件:含保密信息的纸件必须用碎纸机销毁,而不能直接扔垃圾箱或用手撕毁;含秘密级以上信息的纸件不能重复使用。
(2)电子件:删除后注意清空垃圾箱。
(3)存储有保密信息的存储介质:存储有保密信息的存储介质作废时,应采取不能恢复的物理性销毁:如将硬盘送到我司指定地方进行碾轧或消磁等;在计算机转 移给公司其他员工前,要对硬盘进行格式化;在计算机转移到公司之外(如超过规定使用年限的便携机转移给个人)前,要对硬盘进行低级格式化。
员工调动部门后,如何处理与新岗位工作职责无关的文档?
在工作交接完毕后,应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档,删除或销毁的方式必须符合公司规定,如要使用碎纸机销毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息,一定要经过保密信息所有人批准。
五、应用系统使用 Notes/Email/Proxy系统
我要用Notes发送秘密级以上(含秘密)邮件,需要采取哪些安全措施?
在发送秘密级以上信息时,为了防止泄密,员工必须采取邮件加密发送的方式,并设置回执(可以从自己收到的回执查看接收并阅读邮件的人)。
我是否可以发送群组邮件?如果业务需要向多人发送邮件,我应如何做? 按照公司规定,未经批准,员工不可以使用群组发送邮件。
在特殊情况下,由于工作需要发送群组邮件,员工必须首先确定群组的每个人都是自己要发送邮件的接收人,然后经过部门主管批准,才可以使用群组发送邮件。具体要求可参考《Notes 群组管理规定》。
使用Email发送保密邮件时,应该采取什么安全措施?
发往公司内部的Email保密邮件及其Office文档类保密附件,须使用RMS加密。发给公司外部人员的邮件,如客户、供应商等,可以不用RMS加密,但须使用其它方式加密,如Winrar或Office自带的加密功能,密码可单独通过电话等方式通知。
现在Email上的病毒越来越多,我应该采取哪些措施来预防呢?
在收到来历不明的邮件时,请不要打开,直接删除即可。因为目前大多数病毒和黑客软件就是通过邮件传播的。
一些病毒程序,甚至你没有打开邮件内容,只要把焦点移到邮件标题上就会执行,因此,请记住不要设置“自动预览/预览窗口”的功能。取消的方法是,在Outlook的“视图”菜单中点击“自动预览”取消此功能。
我经常收到一些广告邮件、无聊的垃圾邮件,如何防范垃圾邮件呢?
由于外面有人专门收集Email地址出售,所以您的Email地址可能被列入其他人的邮件列表,经常会收到别人发的广告邮件和其它垃圾邮件。为避免接收到这些垃圾邮件,用户可以在客户端设置禁止接收特定内容的Email(目前服务器端可以过滤部分垃圾邮件)。方法如下:
在Outlook中,先选中不想再接收发件人发送的邮件,然后选择菜单“动作”,在选项“垃圾邮件”中选择“将发件人添加到„阻止发件人名单‟”即可。
也可以转发垃圾邮件到antispam@huawei.com,由系统拦截。方法如下:
(1)Microsoft Outlook Express用户 a.选中收到的垃圾邮件。
b.单击右键,选择做为附件转发,您将会主题栏下看到一件附件。c.填写收件人:antispam@huawei.com。
d.发送邮件。如果提示主题为空,点击“确定”即可。
(2)Foxmail用户
在Foxmail中选中(可以按住Ctrl键多选)垃圾邮件,将其拖至桌面或一个文件夹,这些垃圾邮件会以一封一封邮件文件的形式保存的。然后,将这些保存的垃圾邮件作为附件发送到antispam@huawei.com。
(3)Outlook 反馈方式(以下方法才可以保留邮件头,有效更新规则):
a、在桌面新建一个Spam文件夹;
b、请您使用Ctrl选中多个垃圾邮件后,拖到Spam文件夹中; c、将这些spam文件夹打包成压缩包文件 spam.rar ;
d、将spam.rar作为附件通过Outlook反馈到antispam@huawei.com。
岗位变化后,能否继续使用以前申请的Proxy帐号?
通过邮件征得新部门主管(同申请时审批者级别)同意后,方可继续使用以前申请的Proxy帐号。访问外部网站应注意哪些问题?
公司为部分员工开通Proxy权限,目的是为员工从网上收集对工作有用资料、了解与工作有关的行业信息等提供方便。
在访问过程中,应注意:不能利用Proxy访问与工作无关的网站和内容,更不能从网上下载游戏、黑客工具
等内容。特别强调一点,不要通过Proxy访问个人外部邮箱。
我能否在公司内登录到外网邮箱(如网易、SOHU等)收发邮件? 公司禁止员工访问公司以外的邮箱。
七、物理安全 环境安全
秘书告诉我下班离开前做好“五关”,我想知道“五关”具体是指什么? 五关是指:关门、关窗、关空调、关灯、关计算机,做好“五关”是保证办公环境安全的基本要求之一。
办公安全
在办公桌面安全上我应该注意什么?
下班或离开办公桌10分钟以上,应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。
会议安全
在公司内部开会,需要注意哪些安全问题?
(1)开会前,需要确保选取的会议室和开会内容的安全级相匹配。例如:召开部门例会,可以选取部门公用会议室。
(2)会议结束后,要带走相关的会议资料,同时清理会议室场所(包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等),保证会议信息的保密不泄漏和会议室使用后的整洁。
什么情况下允许在公司外部开会?审批流程以及注意事项是什么?
如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下(比如时间和空间条件限制、会议与会者的情况限制等)才可以在公司外部场所召开会议,召开之前需要得到会议组织部门领导的批准。相关的注意事项是:
(1)会议召集人负责会议的信息安全。在会议前就应明确与会者名单;开会时确定与会者的身份及其参会资格,比如,要求与会者佩戴工卡并核对签到等;会议期间,会场的出入口应有专人看守;确认除主入口外,其他入口已经关闭或是有专人看守。
(2)每位与会者应自觉将会议资料保管好,不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里,更不能将保密资料随手丢到酒店的垃圾筐内。
(3)如果需要录音、录相或者拍照等,需要经过会议组织部门领导批准。
对于电话会议,还需要注意什么?
(1)召开电话会议时,电话会议的会议ID和密码等信息,一般情况下需要通过公司的信息系统(Notes系统、Email系统等)发送,不能通过手机短信方式发送。如果情况比较紧急或特殊,请通过点对点的电话方式告知。电话会议接入信息只能发送给相关的与会人员。
(2)接入电话会议的人员,应到专用会议室接入会议系统; 如条件限制需在开放办公区接入电话会议,应注意不要启用电话的免提功能。
(3)特别地,对于销售与服务体系,机密级以上的电话会议要求使用主叫呼出的安全电话会议系统(接入码285-60789)。使用其他2个系统(287-80999和285-60888)时,电话会议的会议ID和密码等信息,必须分不同的方式发送,密码只能通过电话语音通知,不能采用手机短信方 式发送;或可以采用附件方式通过邮件发送,附件必须为OFFICE文档的RMS授权加密方式。如果情况比较紧急或特殊,可通过点对点的电话方式告知。
网络安全 网络连接安全
所有计算机都必须安装SPES才能接入公司网络吗?Unix平台的机器怎么办?
所有需要接入公司网络访问公司应用的Windows平台的客户端设备都需要安装SPES,包括但不限于公司内部人员管理的客户端设备、外包人员使用设备、供应商提供测试设备、顾问或临时来访人员使用设备。非Windows平台的设备不需要安装,但需要申请固定IP并通过审批才能保证策略实施后正常接入公司网络。
个人能够设置FTP、Wins等网络服务吗,为什么?
未经批准,不得私自设置www.xiexiebang.com
ACC…………………………………… http://acc.huawei.com RMS……………………………… http://rmshelp.huawei.com Symantec AntiVirus……… http://szxav01-ss.huawei.com Anti-Spyware……………………… http://scan.huawei.com NC………………………………… http://nchelp.huawei.com
附录二:公司信息安全体系及职责说明 1公司信息安全监管委员会工作职责:
1.1审查和核准信息安全总体策略,对重大问题达成共识; 1.2审核批准重大的信息安全建设方案;
1.3在整个组织中增加对信息安全工作的领导力度; 1.4对紧急重大安全事故进行响应决策;
1.5提出信息安全总体要求和批准信息安全战略规划。
2公司信息安全管理办公室工作职责:
2.1负责组织制定公司的信息安全策略、标准和流程;
2.2负责组织信息安全策略、标准和流程在业务部门的推行工作; 2.3负责组织公司范围内的信息安全监控与审计; 2.4负责对公司的信息安全状况进行定期评估和风险分析; 2.5负责组织对跨业务部门的或重大的安全事故的调查; 2.6负责组织公司的信息安全培训和宣传。
附录三:信息安全案例汇编
(一)公司信息案例汇编 1私自转借工卡
【事件描述】2004年5月,深圳总部某安全岗值班员在对进出人员卡证佩戴情况进行检查时,发现一名佩戴华为正式工卡的人员与工卡上照片不符,当即求助相关部门对该工卡的真伪进行鉴别,同时要求当事人配合安全岗进行调查,并报行政管理部处理。
经查,该佩戴华为员工工卡的人员为固网产品线的外协文员,因自己的临时通行证没有在生产中心通行的权限,所以借用华为员工工卡通行。【违规等级】四级
【事件描述】2004年8月,公司某部门员工接待一名供应商进入研发区域,在接待过程中,该员工私自将工卡借给供应商,让其独自到机要室拷贝资料,供应商随身携带的U盘也未在门岗登记,直接被带入了研发办公区域。【违规等级】三级
【事件点评】工卡是公司员工的身份证明,只限于员工本人使用,是不允许私自转借的。它不仅关系到公司的形象和安全,而且还关系到员工本人的切身利益。另 外,临时出入公司的客户、供应商等人员,接待人员需要全程陪同。需要注意的是,在接待过程中,接待人员是要对来访人员的所有信息安全行为负责的!
2未升级防病毒软件造成网络瘫痪
【事件描述】2006年初,某员工到一外研所出差。该员工计算机安装的防病毒软件为Norton 7.6版本,且病毒库版本为05年9月,未及时升级到Symantec Antivirus 10企业版并实行集中管理,导致无法查出病毒。在外研所办公期间,由于该员工的便携机携带了病毒并且该病毒自动向网络发送大量数据包,数据流量大大超过日 常办公时的流量,导致外研所网络服务器CPU过载,网络瘫痪达1小时之久。给外研所的办公带来较大影响。【违规等级】三级
【事件点评】随着计算机技术的发展,病毒的种类越来越多,危害越来越大。据《InformationWeek》研究部和埃森哲咨询公司(Accenture)合作进行的第九“全球安全调查”显示,在所有受访者当中,有57%的美国公司在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的 攻击!这些数据足以提醒我们每位员工一定按照公司
要求,及时安装杀毒软件并执行集中管理,防止这类事故的再次出现。
3违规安装非标软件,影响公司网络
【事件描述】2003年5月,技术支援系统某员工未经批准,私自在其便携机中违规安装Sygate软件,结果在公司网上无意启动了DHCP服务,影响了公司网络的正常运行,使得该员工所在代表处的网络瘫痪达2个小时之久。【违规等级】三级
【事件描述】 2006年2月份,在信息安全例行检查中,发现供应链某业务部一位员工未经批准私自从外网下载了并安装了危及网络安全的违规软件Ethereal。【违规等级】四级
【事件点评】安装违规软件是公司员工最典型的信息安全违规行为之一。尽管公司一再重申相关规定,但仍有个别员工无视这些规定的存在。一些违规软件(如 Wingate, Sygate等)可能会影响公司网络正常运行,而诸如Ethereal、NetXray、Sniffer等软件则会危及公司的网络安全。请各位员工遵守公 司要求,安装符合公司标准的应用软件。
4违规使用USB 【事件描述】全球技服某员工未经允许,私自使用优盘拷贝便携机上的资料,准备复制到家中的私人电脑中,其中包括部分公司保密资料。此事随即被网络安全部查获。【违规等级】三级
【事件点评】公司明文规定,因工作需要使用USB是可以的,但需要申请。而未经批准,私自使用USB的话,一经发现,就会被严惩。
5私拆硬盘刻光盘
【事件描述】2006年4月27日,北研所某员工利用工作之便,在未经批准的情况下,私自撤除计算机封条,取出硬盘带到外面进行光盘刻录。【违规等级】一级,辞退
【事件点评】私自拆除硬盘,流失的文档包含着公司各位员工的血汗。我们辛辛苦苦才收获到这些粮食,切记不可让别人随随便便就偷走。各位员工如果发现有人盗窃公司信息资产,一定要挺身而出,保护大家的利益,也保护自己的利益。
6计算机密码管理不善造成泄密
【事件描述】2006年3月,供应链管理,离开工作岗位而又有外部人员在场的情况下,未手动锁定电脑,存在信息泄密的风险;第三方物流公司的两名员工趁我司员工不在场,多次私自使用公司电脑。【违规等级】四级
【事件描述】某员工在外出差期间,利用宾馆局域网上网,共享了存有公司保密文档的文件夹,但未设置共享口令。此事被宾馆其他人员发现,并及时向公司报告,避免了保密文档的外流。【违规等级】四级
【事件点评】幸好及时发现,没有给公司造成损失,否则三级违规就不可避免了!每位员工都应注意,在设置了计算机密码的同时,还千万不要忘记离开座位时及时 锁定电脑。设置了密码但没有启用密码锁定的电脑就如同于保密柜虽然配备了锁头但把锁头丢在一旁,对于盗贼而言,密码或锁头都如同虚设。另外还要注意,员工 在出差时如需通过网络传递电子件形式的保密资料必须加密后才能通过计算机网络进行传送,在传送时要设置回执,如因技术原因无法设置回执时,则应该做好传送 记录。现在很多宾馆都有上网的专线,员工在宾馆上网要注意取消计算机内所有的文件共享。通过宾馆的专线发送邮件时,一定要对发送的文件在本地进行加密后才 发送。计算机自身的安全防护措施也要配置好,比如安装个人防火墙软件、防病毒软件以及设置
Administrator和硬盘口令等等。
7保留违规文档并逃避检查
【事件描述】2002年11月,在信息安全例行检查中,发现研发某员工在工作已完成交接后,未删除过去工作中涉及到的大量保密文档,并以更改后缀的方式保留以逃避检查。【违规等级】三级
【事件点评】这种更改后缀,有意逃避信息安全检查的行为实在是比较恶劣,也体现了该员工的人品素质比较差。幸运的是没有给公司造成损失,否则信息安全一级 违规、辞退或司法机关处理也不为过。奉劝那些打公司注意的少数人,一定要保持清醒的头脑,想清楚仅因一时贪念而影响了个人前途是否值得?
8私自外发公司保密信息
【事件描述】2006年初,国际营销系统某海外机构某员工未经批准,通过多方渠道获取公司的一些产品价格清单通过E-Mail外发给外部人员,对公司业务产生重大影响。【违规等级】一级,辞退
【事件描述】2005年6月,全球技术服务部,违规将绝密文件发给没有与我方签订保密协议的第三方工程师。【违规等级】二级
【事件描述】2005年12月,内部服务管理部某员工未经公司批准,将项目招标文件及相关附件清单通过E-mail发送至个人外部邮箱。后来还发现此员工 多次私自通过E-mail将公司相关主管及秘书通讯录、我司认证的相关供应商信息以及工程文件发送至公司外部其朋友邮箱。【违规等级】二级
【事件描述】国内营销部员工刘某将公司电话号码查询数据库复制后,发往公司外部同学的邮箱,以方便其同学的夫人向公司员工进行房地产推销。【违规等级】三级
【事件点评】保密信息外泄占公司员工信息安全违规的一个很大比例。少数员工存在侥幸心理,为一时贪念就铤而走险,有意触犯公司的信息安全高压线,以为可以 逃脱公司的检查和审计,殊不知“法网恢恢,疏而不漏”。总有一天他们要为自己的贪婪付出惨痛代价。也存在很多员工,无意间就违反了公司的信息安全规定。归 根结底,这是由于安全意识低,安全知识匮乏等造成的。还请这些员工多多关注公司的信息安全制度流程,培养信息安全意识。针对上述的几个案例,特别强调以下 几点:
(1)在与合作方合作期间,接口部门千万不要忘记与他们签署保密协议。这是对公司负责,也是对员工个人工作负责。但即使是签署了保密协议,员工也不能随意将公司的保密文件发送给合作方,必须经过业务部门主管批准才可以。
(2)因工作需要发送涉密文档,须经过信息所有人批准之后才可外发,发送的时候要先给文档加密。(3)不仅公司的产品相关文档需要保密,公司的管理制度、业务流程、工作职责、部门结构以及电话号码信息等类文档,都是重要的信息资产,未经批准,都是禁止外发的。
9私自记录并使用他人Proxy帐号
【事件描述】2006年2月,研发某员工A在帮助员B工配置Proxy帐号时私自记下了该员工的帐号密码,并通过该帐号上传公司内部保密资料到外部邮箱,当即被公司网络安全部查获。【违规等级】二级
【事件点评】这种盗取他人帐号的行为足以显示员工A的人品素质存在问题。现在这个信息化社会里,非法使用他人帐号就相当于冒用他人身份。任何人都不会希望 别人用自己的身份去做坏事。所以,一方面,我们应该保护好自己的帐号,不要被他人盗用;另一方面,由人及己,也不要做擅自使用他人帐号这种不诚信的事。
10发送工作无关邮件
【事件1描述】02年3、4月间,部分员工在公司网上传播一篇工作无关的Notes邮件。经查明,先后有225人参与了该邮件的发送或转发。【违规等级】二级
【事件2描述】05年,某员工用一大群组发送内容为租房信息的Notes邮件。邮件发送后又有多人直接对所有收件人进行回复,导致多名员工收到多封工作无关邮件。【违规等级】三级
【事件3描述】06年2月,某员工利用Notes发送内容为含“2天内把该信息转发给20人,幸运就会降临;反之则有厄运降临”的连环垃圾邮件,导致邮件迅速在公司网络中传播。【违规等级】二级
【事件点评】某些利用公司网络资源发送的工作无关连环邮件,不但浪费公司的IT资源,也浪费收件人的时间。甚至有些工作无关邮件收件成员中包含了很多公司 海外网络条件比较差地区的海外员工,收这些垃圾邮件严重影响了他们的的正常工作。如果将这些浪费的资源和时间的成本转换为金钱,可是一个大数目。对公司来 说,也是一笔不小的浪费!还请每位员工专注本职工作,连环垃圾邮件切莫发。
11有意利用系统漏洞
【事件描述】公司某员工,于2006年将朋友发至其E-mail邮箱中的团购公告绕过正常审批程序直接在Notes数据库“行政服务之窗”上发布,为其朋友进行广告宣传,且故意虚构发布人信息。网络安全部于当天下午两点三十分收到员工举报,仅用半个小时便查明事件真相,随即对员工的非法操作行为进行 了处理。【违规等级】一级
【事件点评】这种有意利用公司IT系统漏洞的行为,无论产生的后果是否严重都是应该严惩的。作为公司的员工,我们应该保护公司的利益,一旦发现了流程或系统中存在的漏洞,应及时向有关部门反馈,进行弥补,断不可利用其为己牟利。
12私设论坛发表恶劣言论被除名
【事件描述】2005年10月,供应链某员工,利用工作时间登录公司内部Notes邮箱私设论坛,并多次发布极其恶劣的辱骂性话语。【违规等级】一级,辞退。
【事件点评】公司IT资源只能用于工作需要,利用公司网络资源私设论坛,并多次发布极其恶劣的辱骂性话语,不但浪费IT资源,还在公司范围内造成了极其恶劣的影响。
13门禁尾随不以为意,引狼入室埋下祸根
【事件描述】2004年12月,供应链管理部电装部某员工因当晚有培训,经由厂房三楼门禁进入实验楼。在刷开进入实验楼的门禁时,有一名佩戴临时通 行证(无门禁卡)的外协员工尾随其进入了实验楼办公区,该员工未在意,更未过问。在随后的一个小时内,该名外协员工在实验楼利用工具盗窃办公电脑软件标签 十余张。后经严密布控,嫌疑人于再次潜入作案时被当场抓获。【违规等级】三级
【事件点评】该员工安全意识薄弱,导致被窃贼利用。公司规定,非工作需要不得引领无权限人员进入非授权门禁区域。虽然该员工行为无意,但客观上为该外协员工盗窃电脑标签提供了便利,给公司造成的损失是他必须承担的。
14在办公区拨号上网处罚案例
【事件描述】技术支援部某员工,在驻外某研究所办公场所私自拨号上网。自2003年5月21日至6月20日,累计拨号上网看新闻等内容34次、301分钟,给公司的网络安全带来极大的隐患,也严重浪费了公
司的资源。【违规等级】三级
【事件点评】尽管公司三令五申:未经批准严禁在办公场所拨号上网,但仍有少数人置若罔闻。要知道在办公区拨号上网不仅浪费公司的资源、影响正常业务,更可 能将黑客、病毒、木马以及间谍软件通过网络传播到公司来,影响的不仅仅是一个员工,很有可能对公司某个区域的网络安全产生重大影响!
15私自将公司便携借给合作方使用
【事件描述】2006年1月,全球技术服务部某员工违规将便携机借给合作方员工使用,合作方员工利用上班时间上QQ传递工作所需文件;并且未经审批在机房使用移动存储设备给用户拷贝相关用户文档或版本文件; 【违规等级】二级
【事件点评】便携机上保存有很多工作相关的文档,自己可能司空见惯,觉得没什么大不了,可是其他人拿到可就不一定了,外界的信息战正打得轰轰烈烈呢。正所谓千里之堤,溃于蚁穴。大家都需要从细节做起,自觉保护信息和资料,打下来的粮食才能有保障。
16私自收集资料并外发
【事件描述】2005年6月,光网络某员工非法大量收集部门培训资料、典型案例和开发规范,更改文件名后,私自通过E-mail加密发送到外部邮箱。【违规等级】一级,辞退。
【事件点评】根据工作相关原则,非法收集大量文档本身就已经是被禁止的,而在发送之前更改文件名,则明显是动机不良,想要掩人耳目。如果真是因为工作所需,领导批准之后光明正大的发送不可以吗?文档流失出公司,受到损害的可是所有员工的利益。请千万要三思而后行啊!
17离职前盗取机密文档,离职后公开发售
【事件描述】某外研所员工两名员工A和B于2001年前后离职,在离职之前,两人串通,由A利用职务之便通过B的计算机USB口,将某产品代码利用 移动硬盘拷贝带出。当时,公司正开始启动计算机加封USB口并口的保密措施,外研所也是于2002年初对所有计算机进行端口加封的,两人正是利用了当时 USB口没加封这一安全漏洞。两人离职后,A将从公司带出的这些代码拷贝给了B。2003年B又重新应聘回公司工作,7月将这些代码在网站上发帖子进行了 出售,被公司员工发现举报,公安机关经侦查核实后将两人依法拘留
【违规等级】一级,辞退,并由司法机关依法追究其刑事责任。
【事件点评】“君子求财,取之有道”。象B这样通过损害公司和其他大多数员工利益,以谋求私利的做法,最终只能以他自毁前程的悲剧收场。A窃取公司代码,拷贝给B,后被B(未告之A)出卖,再次验证“伸手必捉”的古训。每个员工都与公司签署的保密协议,在办理离职手续时,也有相应的保密规定的约定。对于在 公司里获得的文档,在离职前必须全部移交,是绝对不允许带出公司的。这里包括任何形式的任何文档资料,即使是公司内部公开的培训资料、管理规定等,也是不 允许带出的。
(二)业界信息案例汇编
1宝洁和联合利华公司的情报纠纷事件
【事件描述】2001年初,宝洁公司和联合利华公司之间爆发了情报纠纷事件。
面对主要竞争对手联合利华的强烈质疑,宝洁公司公开承认,该公司员工通过一些不太光明正大的途径获取了联合利华的产品资料,而这80多份重要的机密文件中 居然有相当比例是宝洁的情报人员从联合利华扔出的“垃圾”里找到的。后来,宝洁公司归还了那些文件,并保证不会使用得来的情报,沸沸扬扬的“间谍案”就此 不了了之。
【事件点评】因为这些机密文件是从联合利华扔出的“垃圾”里找到的,所以联合利华无法起诉宝洁公司。任何关于侵犯商业秘密的案子,很重要的一点就是要提供 证据证明商业秘密的持有人对商业秘密采取了保密措施。联合利华扔到垃圾桶里的东西怎么能证明它采取了保密措施呢。所以。联合利华这是“打掉牙齿和血吞,有 苦说不出啊”。现在各个部门都有碎纸机,如果是包含机密信息的纸件,一定要用碎纸机碎掉,千万不要直接扔进垃圾桶里,不然,我们也会重蹈联合利华的覆辙 的。
2可口可乐秘方泄漏事件
【事件描述】美国联邦调查局(FBI)于2006年7月5日逮捕了3名涉嫌从可口可乐公司偷盗饮料配方、并尝试将其卖给可口可乐公司宿敌百事可乐的 疑犯。令人震惊的是,其中一名嫌疑人竟是亚特兰大可口可乐公司的高级行政助理若亚·威廉斯。据检察官透露,嫌犯之一迪姆松准备卖给百事可乐的机密信息是可 口可乐公司内部人士威廉斯提供的。
可口可乐公司的监视录像拍下了威廉斯盗取公司机密的情况。威廉斯在可口可乐公司总部翻阅大量文件,然后把一些文件装进袋子里,还拿走了一个贴有白色标签的 容器,容器中的液体看起来和可口可乐新产品的样本相似。可口可乐公司随后证实,威廉斯拿走的液体正是可口可乐公司正在研发的新产品。
【事件点评】虽然当今的竞争如此激烈,但盗取并售卖公司商业机密的人,也是不会被其他有良知的公司所接纳的,因为这是完全没有职业道德的表现。
据报道,跻身世界500强的大公司,几乎每一家都设有保护商业机密的部门,专门从事商业情报的保密工作。比如:通用电气和英特尔等公司,委派公司中最优秀 的人负责保密工作;摩托罗拉公司还从美国中央情报局挖来专业的情报人员,组建起公司的情报部门,以保护自己的商业机密;安永会计师事务所则组建了拥有25 名员工的竞争情报部。美国硅谷一直被誉为世界高科技的“风向标”。尖端科技蕴含着极高的商业价值,因此,防范商业间谍、保护公司核心机密就成了硅谷中每家 公司的头等大事。有报道说,几乎垄断了全球芯片市场的英特尔公司,甚至把前来采访的记者当成商业间谍严加防范,公司里处处都有保安人员“盯梢”以杜绝拍 照,除了企业大门口和餐厅等无关紧要的地方,其他任何地点都不准拍照。公司的所有员工,在进出时都要进行安检并验明证件。
3网络内外窃贼猖狂,各大公司防不胜防
【事件描述】2006年2月,安永会计师事务所一名职员放在车里的便携机被盗,电脑中存有公司3.8万名客户的个人资料。案发后,安永会计师事务所开始采取行动,对大约3万名员工的笔记本电脑资料进行加密保护。
2006年3月,美国信诚投资公司的一台便携机遭遇“网上窃贼”,致使惠普公司19.6万名员工的个人资料泄漏。此后,信诚投资公司加紧对公司员工的笔记本电脑资料进行加密。
2006年4月,安泰保险公司一名员工放在车里的便携机被盗,上面存有5.9万名客户的姓名、住址和身份证号码。案发后,安泰保险公司采取了一系列防范措 施,防止电脑资料泄漏。公司要求员工对电脑上文件和资料重新进行加密。公司对每一台电脑进行检查,确保电脑上的文件设置有必要的加密保护。此外,安泰保险 公司还对备份和保存资料用的外部存储器进行严格管理。
【事件点评】据一个美国公司的调查,从2005年2月到现在,约有8800万美国人曾遭遇身份证号码和其他个人隐私资料被窃取的风险。而随着越来越多的人 开始把资料保存在便于携带的便携机上,窃贼们也把目标对准了便携机。甚至就像上面案例里面的窃贼那样,直接从车里窃取便携机,真的是“一点技术含量都没 有”,但成功率无疑是加大了。随着资料失窃案的频频发生,一些窃贼甚至还开始在网络上兜售自己窃取的资料。我们公司在保护资料方面一直都有采取措施。像大部分公司一样,我们也要求员工对计算机上的资料都进行加密,这样就减少了因为网络窃贼窃取资料而造成泄密的 可能性。公司现在要求所有员工使用RMS对文档进行授权保护,也是出于这方面的考虑。这样一来,即使窃贼拿到了文档,只要他无法通过身份认证(通过
认证需 要将正确的域帐号和密码通过网络发送到公司的域服务器,并且还需要文档中已经给这个域帐号设置权限),也无法查看文档。
对于便携机,除要求对文档加密和操作系统、应用系统设置口令之外,还要求对硬盘口令进行设置,这样也降低了因便携机丢失而发生信息泄漏的可能性。另外,同安泰保险公司一样,我们公司对外部存储器的使用也是严格控制的。
信息安全无小事!只有大家一起来关注安全问题,防患于未然,才能更好的保护信息资产,保障所有员工的利益。
4恶意软件要当心
【事件描述】赛门铁克(Symantec)公司日前公布的半互联网安全威胁报告显示,黑客近来从传播病毒转向牟取钱财。2005年下半年,在排名前50例的黑客攻击事件中,有88%是以金钱为目的。这一比例比2005年上半年的77%有明显增加。
报告称,黑客牟财途径主要有两种:恶意软件和“钓鱼”骗局邮件。从2005年7月1日至12月31日,互联网上最流行的恶意软件的用途是收集个人电脑用户 机密信息,黑客窃取个人信息的目的在于“捞钱”。在排名前50位的攻击软件中,有80%是用于收集用户个人信息的,2005年上半年这一比例是74%。
赛门铁克公司自称能够跟踪世界1/4的电子邮件。2005年下半年,每119份电子邮件中就有一例是“钓鱼”骗局邮件,而在2005年上半年是125份邮 件发现一例。所谓“钓鱼”就是欺骗用户下载能够偷取密码和信用卡号码的软件。而黑客传播的新病毒和蠕虫数量比以往明显减少。针对微软公司视窗平台的新病毒和蠕虫数量在 2005年下半年下降了39%,2005年全年只出现5种比较严重的病毒和蠕虫,数量比2004年的减少了50%。【事件点评】网络安全部针对这一问题,提供了一项“在线扫描”的服务,大家在公司内网可以登录站点http://scan.huawei.com 来扫描自己的计算机看看有没有被植入恶意程序。使用中碰到任何问题,可以咨询IT热线(+86-755-28560160)。当您收到“钓鱼”骗局邮件(建立假冒网站或发送含有欺诈信息的电子邮件,以盗取网上银行、网上证券或其他电子商务用户的账户密码一类邮件)一定不要直接点击邮件内提供的网址,或者 对邮件进行回复,应该使用该金融中心的服务电话联系确认相关信息,也不要使用邮件中提供的联系电话进行联系。时刻保持警惕是防范被骗的最佳法宝。
(yiping编辑)
copyright◎2006中共苏州市委保密委员会办公室(苏州市国家保密工作局)建议用IE5.0以上 600*800以上分辨率浏览
联系方式: ypchen_chjs@163.com
您好!您是本站第
位访客!
第三篇:安全生产手册
安徽晋源建筑安装工程有限公司
安 全 生 产 手 册
目 录
一、“三不伤害”
4二、本职工作岗位
三、各尽其职(其责)
四、维护自己人身权利
五、电的知识
六、什么叫高处作业9
七、高处作业安全防护措施
八、什么叫“三宝、四口、五临边”
九、什么叫三级安全教育
十、建筑业文明施工
十一、为什么要保护安全防护设施
十二、施工现场“十不准” 十三、十项安全技术措施
十四、什么叫事故应急预案
3序 言
民工是我省改革开放和工业化城镇 化进军中涌现出来的一支新型劳动大军,在建筑业占主要组成部分。为此,我们
编这部手册的目的,就是要使广大建筑 民工能懂得安全生产中的应知应会,进 一步保护自己。
本手册我们在编制中,我们参照有 关国家法律、法规、条例的条文尽量做 到通俗易懂。
编者
友情提示
但愿这本手册能够使广大民工同 志们从中获得应知应会的知识,在工 作中发挥成效,与我们的企业团结奋 进、共同发展。
※※※※※※※
总编:曹新保 副总编:蔡桂英
编委:骆华、赵龙泽、朱新才、赵以成、卞缘缘
2一、“三不伤害”
爱护安全防护设施,就是爱护 自己。在每天的工作中做到:不伤 他人,不伤自己,不被他人伤害。因我们大多数劳动者,来自家庭的 主要成员,若有伤害。将会给自己
带来极大的痛苦,给家庭带来极 大的损失。
三、各尽其职(其责)
不要做自己岗以外的事,如:不 是电工不要操作接电线,不是机械操 作工,不要操作,凡是现场“禁止” 的事,都不要去做,否则对自己“百害无利”。安全生产,人人有责,仅管理 人员到每个岗位民工,各自都有各自 职责,如:某一工地一民工擅自开龙 门架,被安全部门罚款200元。想想 看,何苦?
6二、本职工作岗位
遵守规章制、劳动纪律,不违 章操作。千万不要认为以上是在约 束自己,切记:无论是规章制度和 操作规程,都是人们长期以实践经 验中,从血的教训中总结出来的。要想做到高高兴兴上班,平平安安
下班,每月能拿到自己应得的工资,就要遵章守纪,不违章。
四、维护自己人身权利
当施工现场出现较大隐患或 隐患未能排出对自己有伤害威胁 时,工人有权拒绝上岗,有权向 上一级领导机构举报。例:某一 工地,工长叫二名工人在一直径 2米,深5米的降水井边干活,二名工人要求工长把降水井防护 起来,否则不服从分配。7
五、电的知识
在我们日常生活、工作中,几 乎到处都要电。但电究竟是什么呢? 电分为正电和负电,正电和负电相 交时就会产生电流。当人体触电,电流通过人体与大地或导体,开成 闭合回路,这就叫触电。所以,我 们不是专业电工,就不要擅自去碰 它,更不要随意乱接电线。
8七、高处作业安全防护措施
1、凡是进行高处作业施工的,应有脚手架、平台、梯子、防护围栏、安全带、安全网等。
2、凡从事高处作业人员应接受安全教育,应有专门安全技术交底。
3、高处作业人员要经过体检,应为作业人员提供安全帽、安全带等安 全防护用品。
4、高处作业所用工具、材料严禁投掷。
5、高处作业应设可靠扶梯,作业人员不得沿着立杆与栏杆攀登。
6、雨雪天气应采取防滑措施,当风力在5级以上和雷电、暴雨、大雾 等气候,不得进行露天作业。
六、什么叫高处作业
凡在坠落高度离落地面2米以 上(含2米)有可能坠落的高处,均称为高处作业。高处作业分四个等级: 一级高处作业:2-5米 二级高处作业:5-15米 三级高处作业:15-30米 四级高处作业:30米以上。高处作业位置:建筑物临边,洞口以 及悬空作业场所。
9八、什么叫“三宝”“四口”“五临边”
一、“三宝”:安全帽、安全带、安全网
二、“四口”:楼梯口、电梯井口、预留 洞口、料台口
三、“五临边”:沟坑槽临边、楼梯临边平台或阳台临边、楼层临边、屋面临边。要求:进入工地必须带安全帽;高处悬
空作业必须系安全带,安全网由施 工企业按规范挂设。
“四口、五临边”必须按规范要求搭
设安全防护设施,无法搭设防护 的要系安全带。
1九、什么叫三级安全教育
1、公司级安全教育:
主要是施工行业的国家有关法 律、法规、规范标准及安全生产 基本知识,企业规章制度。
2、项目部级安全教育: 主要是安全技术及规章制度
3、班组级安全教育: 主要是安全技术操作规程及班 组劳动纪律。
2十一、为什么要保护安全防护设施
安全防护设施即是“四口、五临边”和建筑物周边的防护栏杆、安全网、脚 手架隔层竹芭及连墙件,机械防护棚、安全通道口防护棚以及各种警标牌。它 是用于施工现场安全防护和安全警示。任何人不得擅自拆除,若因工作需要拆 除,必须经项目负责人同意,方可拆除。1
4十、建筑业文明施工
随着建筑业的发展,要树立以 人为本的思想。在新形势下,要改 变工人的作业环境、卫生环境、居 住环境、娱乐环境。
作业环境:减少污染,施工场 所整洁、平坦。
卫生环境:食堂要有“五小” 设施。保障工人身体健康,要配备 保健药箱,厕所要水冲洗和专人打 扫。居住环境:宿舍要卫生整洁,有足够的生活空间。
学习环境:要有固定的学习场 所,有条件的要配备电视、DVD 及阅览室。
3十二、施工现场“十不准“
1、不戴好安全帽,不准进入施工现场;
2、不系安全带,不准悬空处作业;
3、不是机械操作工人,不准开机械设 备;
4、高处作业不准打打闹闹,不准从高 处抛掷杂物;
5、吊钩下不准站人;
6、龙门(井)架不准人上下;
7、不准穿高跟鞋、拖鞋或光脚进入现 场;
8、不准擅自拆卸施工现场的脚手架等 防护设施、安全标志和警告牌;
9、不准酒后上岗作业;
10、不准带小孩进入施工现场。
5十三、十项安全技术措施
1、要按规定使用“三宝“;
2、机械设备防护装置,一定要齐 全有效;
3、起重吊装设备必须有超高限位 器、停车器、断绳保险器等装置。各 种机械设备都不准“带病”通行,不 准超负荷作业,不准在运行中保养。
4、施工现场用电必须符合9、在建工程的楼梯口,预留洞 口、通道口、电梯井口等,必须用 栏杆或盖板加以防护;
10、施工现场道路畅通、材料、构件堆放整齐;场内悬崖、陡坎等 处所,应用篱笆、木板或铁丝网等 围设棚栏;施工现场安全标语和安 全色标的要求;场内危险地区夜间 要挂红灯示警。JGJ46-2005《施工现场临时用电安全技术规范》;
5、现场电动机械和手持电动工具必须分别设置二级和三级漏电保护。
6、脚手架及其搭设必须符合规程要求;
7、缆风绳设置及其装置必须符合规程要求;
8、高处作业严禁穿高跟鞋、硬底
和带钉易滑的鞋
十四、什么叫事故应急预案
因建筑行业是一种高危行业,所 以施工现场在组织施工的同时,要以 人为本,若现场发生事故,就要从最 大程度预防和减少人员伤亡作首要目 的。
事故应急预案由企业编制,组建 组织机构,配备相应的器材。现场项 目部和施工班分级响应配合演练,已 便于保障统一指挥、统一调备器材 和资金,统一组织人员共同疏散人员,共同组织求援。
第四篇:安全生产宣传教育手册
四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
安全生产宣传教育资料
四川能达建筑公司璧山县千层岩水厂
扩建工程项目部
四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
目录
安全生产宣传教育资料 第一章 安全生产常见违章行为 第二章 第三章 第四章
罚则
生产安全事故等级分类 生产安全事故隐患分类
四川能达建筑公司璧山县千层岩
水厂扩建工程项目部 四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
关于印发安全生产宣传教育资料的通知
项目部各班组:
为贯彻“安全第一,预防为主,综合治理”的方针,加强公司农民用工管理,从严惩治违章行为,预防各类责任事故的发生,建立反违章常态工作机制,保证公司安全生产,现将公司《安全生产宣传教育资料》印发给你们,请各班组长对职工认真贯彻执行。
特此通知
二○一三年八月六日四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
四川能达公司璧山千层岩水厂项目部
1.安全生产宣传教育资料
第一章 安全生产常见违章行为
一、行为违章(50条)
1.进入施工生产区域的人员不正确穿戴使用劳动防护用品。
2.作业人员随意解除、挪动已设置的安全措施或擅自穿、跨越安全围栏或超越安全警戒线。
3.在行人道口或人口密集区从事高处作业,工作地点的下面不设围栏、未设专人看守或其他安全措施。
4.高处作业不系安全带、安全带系在移动或不牢固的物件上、换位时失去安全带保护;高处作业人员不系安全绳、安全绳低挂高用。
5.高处作业不用绳索传递物品,随手上下抛掷器具、材料。6.施工现场临时搭建的建筑物不符合安全使用要求。
7.未对因建设工程施工可能造成损害的毗邻建筑物、构筑物和地下管线等采取专项防护措施。
8.施工现场的井、洞、坑、沟、口等危险处不设明显警示标志,未采取加盖板或设置围栏等防护措施。
9.临水、临空、临边等部位不设安全防护栏杆和挡脚板。
10.上下层垂直立体作业无隔离防护措施,或错开作业期间无专人监护。11.在高处平台、孔洞边缘倚坐或跨越栏杆。12.高边坡作业未在作业面上方设置防护设施。13.隧洞作业未采取必要的安全措施。
14.将运行中转动设备的防护罩打开;将手伸入运动中转动设备的遮拦内;戴手套或用抹布对转动部分进行清扫或进行其他工作。
15.空气压缩机房的维修平台和电动机地坑的周围无防护栏杆,或栏杆下部无防护网(板),地沟未铺设盖板;移动式空压机无防雨、防晒、隔离防拦等设施。
16.现场倒闸操作不戴绝缘手套,雷雨天气巡视或操作室外高压设备不穿绝缘靴。17.停电作业不验电接地或不按规定顺序装拆接地线、不按规定使用个人保安线。四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
18.在带电设备周围使用钢卷尺、皮卷尺和线尺(夹有金属丝者)进行测量工作。19.在带电设备周围使用金属梯子进行作业;在户外变电站和高压室内不按规定使 用和搬运梯子、管子等长物。
20.未经值班人员许可,擅自进入带电运行设备区域。21.水上作业不佩戴救生工具。
22.建设项目施工单位不严格按照安全设施的施工图纸和设计要求施工。23.作业人员不按照审批后的施工方案进行作业或随意变动施工方案;擅自扩大工作范围、工作内容。
24.开工前没有对所有作业人员进行安全技术交底、不明确 工作范围、安全措施不交代或交代不清,盲目开工。
25.专责监护人不认真履行监护职责,从事与监护无关的工作。
26.对基坑支护与降水、土方开挖与边坡防护、模板、起重吊装、脚手架、拆除、爆破等单项工程无专项施工方案和安全技术措施,或专项施工方案未完善编、审、批手续,或方案不符合强制性标准要求。
27.组立杆塔、撤杆、撤线或紧线前未按规定使用防倒杆装置等防倒杆措施或采取突然剪断导线、地线、拉线等方法撤杆撤线。
28.使用吊篮载人。
29.吊车起吊前未鸣笛示警或起重工作无专人指挥。30.起重时凭借栏杆、脚手架、瓷件等起吊物件。
31.在起吊或牵引过程中,受力钢丝绳周围、上下方、内角侧和起吊物下面,有人逗留和通过。吊运重物时从人头顶通过或吊臂下站人。
32.龙门吊、塔吊拆卸(安装)工程中未严格按照规定程序执行。33.在梯子上作业,无人扶梯子或梯子架设在不稳定的支持物上。
34.施工临时用电未严格执行“三相五线制”、线路敷设不整齐、绝缘不可靠、用其他金属丝代替熔断丝。
35.配电箱、开关箱及漏电保护开关的配置未实行“三级配电、两级保护”,配电箱内电器设置应按“一机、一闸、一漏”原
则设置。
36.配电箱、开关箱无防雨、防尘和防砸措施。
37.不按规定使用合格的安全工器具或超过检测周期的安全工器具进行作业。38.使用未经检验或检验不合格的特种设备。39.带电作业,不按规定使用绝缘工具。
40.使用电动工器具时未接入漏电保护装置、金属外壳不接地或接地不可靠、或不 四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
戴绝缘手套。
41.使用电动工具时将电源线直接插入插座孔或钩挂在闸刀开关上使用。42.爆破物、有害气体和液体存放处不设明显且符合国际标准的安全警示标志。43.对有爆炸和火灾危险的场所,未按危险场所等级选择相应的防爆型照明器。44.在易燃物品及重要设备上方进行焊接,下方无监护人,未采取防火等安全措施。45.在宿舍、办公室、休息室内存放易燃易爆物品,使用电炉。46.未履行有关手续即对有压力、带电、充油的容器及管道施焊。47.消防设施配备不足或使用已过期失效的消防器材。48.爆破作业时无专人指挥、无统一信号和专人警戒。49.特种作业人员不持证上岗或非特种作业人员进行特种作业。50.无证驾驶、酒后驾驶、客货混装。
二、装置违章(9条)
51.机器的传动部分没有装防护罩或其他防护设备,露出的轴端没有设护盖。52.高空作业搭设的脚手架不符合安全要求。
53.深沟、深坑四周无安全警戒线,夜间无警告红灯。
54.起重机械,如绞磨、汽车吊、卷扬机等无制动和逆止装置,或制动装置失灵、不灵敏。
55.易燃易爆区、重点防火区内的防火设施不全或符合规定要求。56.电器防误闭锁装置不全。
57.高低压线路对地、对建筑物等安全距离不够。58.电气设备外壳无接地。59.临时电源无漏电保护器。
三、管理违章(16条)
60.未建立和完善各级人员安全生产责任制,使各级人员安全管理职责不清、安全责任不明。
61.不建立健全安全生产管理制度和基础台帐。62.未按规定设置安全监督机构和配置安全员。63.未按规定落实安全生产措施、计划、资金。
64.未按规定配备符合国家标准和行业标准的安全防护装置、安全工器具和个人防护用品。
65.施工单位不为现场从事危险作业人员依法办理保险的凭证。
66.新进场人员未进行安全教育就上岗作业;或安排非特种作业人员进行特种作业 的。四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
67.临时工从事有危险的工作时,未派专人监护。68.违章指挥,强令工人冒险作业。
69.对排查出的安全隐患未制定整改计划或未落实整改治理措施。
70.使用无相应资质的单位在施工现场安装、拆卸施工起重机械和整体提升脚手架、模板等自升式架设设施。
71.对承包方未进行资质审查或违规进行工程发包。
72.承发包工程未依法签订安全协议,未明确双方应承担的安全责任。
73.建设工程中租用未经安全性能检测或者经检测不合格的机械设备和施工机具。74.在尚未竣工的建筑物内设置员工集体宿舍。
75.发生施工安全事故后,不按规定程序进行报告或不遵循“四不放过”原则组织开展事故调查及处理。
第二章 罚则
1.发生一般作业性、管理性、装置性违章行为,每次对违章者经济处罚50-300元; 2.发生严重作业性、管理性、装置性违章行为,每次对违章者经济处罚100-1000元。
3.对现场工作负责人(专责监护人)、作业队长、车间或部 门(以下简称“车间”)负责人及有关人员实行违章连带处罚: 3.1 对工作负责人(专责监护人)的连带责任的处罚:
作业队成员每发生一般违章行为1次,对工作负责人(专责监护人)经济处罚50元;作业队成员每发生严重违章行为1次,对工作负责人(专责监护人)经济处罚100元。
3.2 对作业队长的连带责任处罚:
作业队成员每发生一般违章行为1次,对作业队长经济处罚30元;作业队成员每发生严重违章行为1次,对班组长经济处罚60元。
第三章 生产安全事故等级分类
《生产安全事故报告和调查处理条例》将一般的生产事故分为以下四级:
1、特别重大事故:
是指造成30人以上死亡,或者100人以上重伤(包括急性工业中毒,下同),或者1亿元以上直接经济损失的事故; 四川能达公司璧山千层岩水厂项目部
安全生产宣传教育手册
2、重大事故:
是指造成10人以上30人以下死亡,或者50人以上100人以下重伤,或者5000万元以上1亿元以下直接经济损失的事故;
3、较大事故:
是指造成3人以上10人以下死亡,或者10人以上50人以下 重伤,或者1000万元以上5000万元以下直接经济损失的事故;
4、一般事故:
是指造成1人以上3人以下死亡,或者10人以下重伤,或者1000万元以下直接经济损失的事故;
第四章 生产安全事故隐患分类
事故隐患分为一般事故隐患和重大事故隐患。
一般事故隐患,是指危害和整改难度较小,发现后能够立即整改排除的隐患。重大事故隐患,是指危害和整改难度较大,应当全部或者局部停产停业,并经过一定时间整改治理方能排除的隐患,或者因外部因素影响致使生产经营单位自身难以排除的隐患。
对于一般事故隐患,由生产经营单位(车间、分厂、区队等)负责人或者有关人员立即组织整改。对于重大事故隐患,由生产经营单位主要负责人组织制定并实施事故隐患治理方案。
重大事故隐患治理方案应当包括以下内容:
1、治理的目标和任务;
2、采取的方法和措施;
3、经费和物资的落实;
4、负责治理的机构和人员;
5、治理的时限和要求;
6、安全措施和应急预案。
四川能达建筑工程有限公司璧山县
千层岩水厂扩建工程项目部
第五篇:安全生产宣传手册
寄
语
广大员工朋友们: 感谢你为项目部的建设和发展做出巨大贡献,我公司注重行业发展,更注重员工安全与健康,你是我公司的财富,也是我公司发展资源.你的安全不光关系到自身健康,关系到家庭幸福,更关系到我公司安全发展和项目部和谐进步。
安全责任重于泰山,安全是最大的效益.项目部将继续为广大员工创造安全科学的生产条件,也希望你牢固树立“四不伤害”的安全观,树立“一人安全、全家幸福的”的亲情观,快乐工作,在我公司发展中实现自己的人生价
值,珍惜美好的人生!这本《安全生产宣传手册》紧密结合项目部的实际,收集了部分安全文化知识,面向施工生产一线,面向全体员工,对于宣传普及安全文化知识、促进安全生产将会起到一定的积极作用。
第一部分
安全生产知识
一、安全生产方针:安全第一,预防为主,综合治理。
二、安全生产目标: 强化红线意识,实行党政同责;强化责任落实,严格分级考核;强化制度建设,夯实安全基础;强化体系建设,完善机构设置;足额配备人员,确保运行有效;强化事故报告,严禁瞒报谎报;强化安全教育,提高防
范技能;强化费用管理,保证安全投入;强化隐患排查,防范各类事故;强化应急管理,确保预案有效;强化环境保护,严防污染事件;强化分包管理,落实总包职责; 强化安全文化,发挥全员作用。
三、安全承诺。为实现安全生产目标,做如下承诺:
1、严格遵守和执行国家有关安全生产、环境保护和职业健康的法律法规和标准,实行安全标准化管理;
2、建立健全安全环保管理体系和管理制度,保证其有效运行,并不断对其进行完善;
3、强化全体员工的安全意识,最大限度的保证员工的安全和健康;
4、加大安全投入,加强生产工艺及设备的改进,防止火灾、爆炸、有毒和腐蚀性物质泄漏及伤亡事故的发生。
四、安全理念:安全生产、幸福生活
五、安全:从字意上理解,无危便是安,无损便是全,即:没有危险和损害便是安全;从广义上讲安全:则是预知危险和消除危险;从市场的角度讲安全:即是企业在整个市场过程中不发生死亡、职业病和设备财产损失的状况就称之为安全。
六、安全生产:为了使劳动过程在符合安全要求的物质条件和工作秩序下进行,防止伤亡事故、设备事故及各种灾害的发生,保障劳动者的安全健康和生产、劳动过程的正常进行而采取的各种措施和从事的一切活动。
七、职业危害:噪声、粉尘、毒害、辐射、高温。
八、安全生产“五字经”的内容:“五字经”指的是新、准、快、全、包。具体内容是:
1、安全意识求“新”;
2、反馈信息求“准”;
3、纠正“三违”求“快”;
4、观察问题求“
全”;
5、安全问题求“包”。
九、隐患整改制度中的“四不准”:
1、个人能解决的不准推给班组;
2、班组能解决的不准推给项目部;
3、项目部能解决的不准推给公司;
4、公司能解决的不准推给主管部门。
十、人身安全“十不准”:
1、不准不设好防护就开始作业。
2、不准不戴安全帽、不系安全带、不设安全网、不穿防护服作业。
3、不准未搭好脚手架、未放稳梯凳就作业。
4、不准携带笨重工具和材料登高作业。
5、不准无安全边坡或固壁支撑开挖基坑、沟槽。
6、不准使用安全装置不齐备的机械(电气)设备。
7、不准未取得合格证的人员从事特殊工种作业。
8、不准搭乘叉车代步。
9、不准在滚道下穿越。
10、不准不了望就穿越通道,坚持“一站、二看、三通过”,严禁抢越股道。
十一、定焊机安全
1、穿戴好规定的防护用品;
2、电焊机装有漏电保护器,保护接零牢固有效;
3、二次线端子有防护罩,焊把线接头少于3处;
4、不徒手更换电焊条。
十二、高空作业十不准:
1、高空作业没系安全带不准作业;
2、高空作业没戴安全帽不准作业;
3、高空作业没安装安全网不准作业;
4、高空作业不准赤臂作业;
5、高空作业不准穿硬底鞋(拖鞋)作业;
6、高空作业不准带病作业;
7、高空作业不准双层作业;
8、高空作业不准戏闹;
9、高空作业的脚手架不准用劣质材料;
10、高空作业的物料不准抛投。
十三、安全防护“四件宝”
1、安全帽:进入施工现场必须戴好安全帽,系好安全带;
2、安全带:高空作业必须系好安全带;
3、安全网:在建工程外侧用密目安全网封闭;
4、救生衣:水上作业必须穿好救生衣。
十四、现场“四口”安全有防护
1、坑井预留洞口有防护措施;
2、通道口有防护棚;
3、楼梯口、电梯井口有防护设施;
4、平台、临边等有防护栏。
十五、从业人员的权利和义务:
1、知情权,即生产经营单位的从业人员有权了解其作业场所和工作岗位存在的危险因素、防范措施及事故应急措施,有权对本单位的安全生产工作提出建议。
2、建议权,即从业人员有权对本单位安全生产工作提出建议;
3、批评权和检举、控告权,即从业人员有权对本单位生产管理工作中存在的问题提出批评、检举、控告;
4、拒绝权,即从业人员有权拒绝违章作业指挥和强令冒险作业。
5、紧急避险权,即从业人员发现直接危及人身安全的紧急情况时,有权停止作业或者在采取可能的应急措施后撤离作业场所。
6、依法向本单位提出要求赔偿的权利;
7、获得符合国家标准或者行业标准劳动防护用品的权利;
8、获得安全生产教育和培训的权利。
9、从业人员在作业过程中,应当严格遵守本单位的安全生产规章制度和操作规程,服从管理,正确佩带和使用劳动防护用品;
10、从业人员应当接受安全生产教育和培训,掌握本职工作所需的安全生产知识,提高安全生产技能,增强事故预防和应急处理能力。
11、从业人员发现事故隐患或其他不安全因素,应
当立即向现场安全生产管理人员或者本单位负责人报告;接到报告的人员应当及时予以处理。
十六、高处作业现场“三要素”
1、进入施工现场戴好系牢安全帽;
2、高空作业高挂抵用系好安全带;
3、高处不准往下乱丢工具和物件;
十七、员工在安全生产方面的四项义务:
1、遵章守纪、服从管理;
2、正确佩戴和使用防护用品;
3、提高培训,掌握安全生产技能;
4、发现事故隐患及时报告。
十八、施工生产应严格执行“三不准”、“四到位” 和把“五关”
三不准:无施工领导人不准施工,无安全技术措施不准施工,无施工组织措施不准施工。
四到位:领导到位;人员到位;技术到位;措施到位。
五关:业前准备关;施工防护关;执行条件关;检查整修保养关;防止机具材料侵限关。
十九、安全管理的方法:事前预防对策、事中应急救援对策、事后补救对策。
二十、作业人员要做到“四懂”、“四会”、“五清楚” 四懂:懂设备结构;懂设备性能;懂设备原理;懂规章制度。
四会:会使用;会维修;会排除故障;会标准化作业。
五清楚:作业时间清楚;地点清楚;内容清楚;安全措施清楚;技术标准清楚。
二十一、制定<<安全生产法>>的目的:
为了加强安全生产监督管理,防止和减少生产安全事故,保障人民群众生命和财产安全,促进经济发展。
二
十二、安全生产五要素:安全文化、安全法制、安全责任、安全科技、安全投入。
二十三、模板工程安全
1、在模板上运送混泥土应有稳定牢固的走道垫 板;
2、作业面孔洞及临边要有防护措施;
3、垂直作业上下有隔离防护措施;
4、立柱底部有垫板,立柱稳定;
5、大型模板存放应有防倾斜措施;
6、模板拆除时拆除区域应设置警戒线,并设专人 看护。
二十四、事故按性质的分类:
1、生产事故;
2、设备事故;
3、火灾事故;
4、爆炸事故;
5、工伤事故;
6、质量事故;
7、交通事故;
8、自然事故;
9、破坏事故。
二
十五、伤亡事故分类:
1、轻伤事故;
2、重伤事故;
3、死亡事故;
4、重大伤亡事故;
5、特别重大事故。
二十六、发生事故的主要原因:人的不安全行为和物的不安全状态,环境的因素和管理的缺陷。
二
十七、常用的灭火器:
1、手提式干粉灭火器:
(1)干粉灭火器适宜扑灭油类、可燃气体、电气设备等初起火灾。
(2)使用时,先打开保险销,一手握住喷管,对准火源,另一手拉动拉环,即可扑灭火源。
2、手提式泡沫灭火器
(1)泡沫灭火器适宜扑油类及一般物质的初起火灾。(2)使用时,用手握住灭火器的提环,平稳、快捷地提往火场,不要横扛、横拿.灭火时,一手握住提环,另一手握住简身的底边,将灭火器颠倒过来,喷嘴对准火源,用力摇晃几下,即可灭火。
二
十八、安全检查目的:查找安全隐患,发现不安全行为及潜在的危害,提出消除和控制安全隐患的方法和措施,并采取措施及时纠正,改善劳动条件,防止事故的发生。
二十九、安全培训目的:使广大人员了解安全知识,掌握安全技能,规范安全行为,提高安全意识,消除安全
隐患,避免事故发生,保证安全生产。
三
十、坚持做到“十不吊”
1、超过额定负荷不吊;
2、指挥信号不明,重量不明不吊;
3、吊索和附件捆绑不牢,不符合安全要求不吊;
4、吊车吊重物直接进行加工的不吊;
5、歪拉、斜吊不吊;
6、工件上站人或工件上浮放有活动物不吊。
7、氧气瓶、乙炔发生器等危险物品无安全措施不吊;
8、带棱角、刃口物件未垫好(防止钢丝绳磨断)不吊;
9、埋在地下的物件不拨、不吊;
10、非起重指挥人员指挥时不吊。
三
十一、配电箱安全要求
1、配电保证“一机、一闸、一箱、一漏”;
2、漏电保护器灵敏有效;
3、配电箱内多路配电有标志;
4、电闸箱有门、有锁、有防雨设施。
第二部分
安全文化知识
一、安全使命:构筑安全文化,建设和谐社会。
二、安全生产管理方针:安全第一,预防为主,综合治理。
三、安全价值观:拥有安全不等于拥有一切,但没有安全将失去一切。
四、安全责任观:安全责任重于泰山。
五、安全情理观:亲情、友情、爱情,安全动情;哲理、道理、管理,安全有理。
六、安全效益观:安全是效益的最大化。
七、安全成本观:安全成本不可欠,欠了必与事故见;安全投入不到位,其他投入都白费。
八、安全行为观:麻痹与麻烦同姓,侥幸和不幸同名;动作规范少一步,靠近事故一大步。
九、安全生产观:安全为了生产,生产必须安全。
十、安全家庭观:家庭是幸福的港湾,安全是家庭的靠山。
十一、安全文化“五要素”:
1、安全文化;
2、安全法治;
3、安全责任;
4、安全科技;
5、安全投入。
十二、安全文化的作用:
1、导向作用;
2、激励作用;
3、凝聚作用;
4、规范作用。
十三、安全文化管理方法:
1、警示活动;
2、演习活动;
3、宣传活动;
4、安全教育活动;
5、安全文艺活动;
6、安全综合性活动。
十四、安全文化建设四抓:
1、抓观念文化建设;
2、抓制度文化建设;
3、抓行为文化建设;
4、抓环境文化建设。
十五、安全生产五大原则:
1、生产与安全统一原则:谁主管谁负责,管生产必须管安全,搞技术必须管安全;
2、“三同时”原则:新建、改建、扩建的项目,其安全健康设施要与生产设施同时设计、同时施工、同时投入使用;
3、“五同时”原则:企业领导在计划、、布置、检查、总结、评比生产的同时,计划、布置、检查、总结、评比安全。
4、“三同步”原则:企业在考虑经济发展、进行机制改革、技术改造时,安全生产方面要同步规划、同步实施、同
步投产。
5、“四不放过”原则:发生事故后,要做到事故原因未查清楚不能放过;相关人员未受到教育不能放过;整改措施未落实不能放过;责任人员未收到追究不能放过。
十六、消防安全管理的要求:纵向到底,横向到边;管理到终端,落实到末梢。
十七、“三不伤害“原则:不伤害他人,不伤害自己,不被他人伤害。
十八、安全管理三个层次:人管人、制度管人、文化管人。十九、四查:查领导、查思想、查隐患、查制度。
二十、“四全”安全管理:
全员---从董事长到每个员工都要管安全 全面---从生产、经营、基建、后勤等都抓安全
全过程---每项工作的自始自终贯穿安全 全天候---每天24小时都要管安全
二十一、反三违:狠反违章指挥、违章操作、违反劳动纪律。
二十二、树立“人机环管”的系统观: 人---人的不安全行为;机---设备的不安全状态;环---不良的生产环境;管---管理的欠缺和漏洞。
二十三、安全文化四个重要的组成部分:
1、安全理念;
2、安全制度;
3、安全行为;
4、物质文化。
第三部分
安全常识篇
一、急救常识:
1、发生火灾时,应立即拨打火警电话119,应讲清街路门牌号,单位及着火部位,什么物品着火,火势大小,报警人的姓名和联系电话,并到路口等候消防车。
2、发现坏人袭击或发现有人偷盗时,要利用一切机会即时拨打匪警电话110,讲清自己的姓名,发生事故的地点及联系电话,还要将案情简要报告,报告犯罪分子的人数、面貌与衣着特征、作案手段、逃逸方向等,提供尽可能多的线索,保护好作案现场。
3、发现了危重病人或意外事故,都应拨打急救电话120,讲清楚病人的姓名、年龄、目前病情或伤害性质、受伤人数等情况、详细地址、联系电话以及等待救
护车的确切地点,最好把附近较明显的建筑物也报告出来,以利于救护车尽快到达。
4、一旦发生交通事故,应尽快抢救受伤人员和财产,并保护好现场,以利于交警对事故原因及责任的分析,然后迅速拨打交通事故报警电话122,讲清事故发生的时间、详细地点、车辆损坏和人员伤亡情况等。
5、一旦发现有人中暑,必须马上进行治疗,对先兆中暑和轻症中暑,应使患者迅速离开高温作业环境,到通风良好的地方安静休息,解开衣服,喝含盐饮料,必要时可针刺合谷、曲池、人中、百会等穴,如有头晕、恶心、呕吐或腹泻者,可服中药藿香正气水。对于重症中暑病人,必须马上送到医院进行治疗。
预祝:
各位工作愉快!
点击咨询 