發布時間:2023-08-21 17:13:20
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的應急管理保障體系與措施樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
0引言
目前鐵路車務系統安全保障尚不存在一個完整的體系,大多采用“出一事,定一軌”的管理模式,而這并不能全面、系統、有效地應對運輸現場出現的各種情況,“頭痛醫頭、腳痛醫腳”的管理模式始終處于跟在各類層出不窮、形式各異的事故后面疲于奔命的狀態。鐵路車務系統安全保障體系研究旨在構建鐵路車務系統安全保障體系研究框架,為下一步具體研究工作及管理措施制定提供參考。
1車務系統安全管理現狀分析
很多學者已經在鐵路運輸安全研究體系的建立[1],鐵路企業安全管理方法[2],高科技安全技術設備應用,救援保障體系的建立[3],高鐵安全評估體系等方面做了很多卓有成效的研究[4],但至今尚未能提出系統的完整的鐵路車務系統安全評估與卡控措施相結合的體系結構。目前車務系統主要采取事故后管理方法,按照系統安全工程理念應該采取事故前管理與事故后管理相結合的方法,把安全評價和安全管理貫穿于鐵路運輸生產的每一個環節。
2鐵路車務系統安全保障體系構建
車務系統安全管理要以消除和控制運輸生產中的不安全因素為目的。按照系統安全思想,安全是相對的,絕對的安全是不存在的,而所構成的矛盾雙方是安全與危險并不是安全與事故。所以評定企業的安全狀態,不應僅采取事故率這一單一指標。不同的行業,不同的生產環境所接受的經濟損失和人身傷亡率水平是不同的,因而衡量企業安全與否的標準也是不同的。綜上所述,這里把鐵路運輸安全定義為:鐵路運輸生產過程中,能將人身傷亡或經濟損失控制在可接受水平的狀態,亦即,安全意味著人身傷亡或經濟損失的可能性是可以接受的,若這種可能性超過了可接受的水平,即為不安全。這里把“可接受水平”稱之為“紅線”,即評價指標超過紅線則意味著系統處于危險狀態,必須采取相應的措施進行卡控。鐵路運輸車務系統安全保障體系如圖1所示。
3鐵路車務系統安全預防體系
鐵路運輸事故具有明顯的因果性和規律性,因此找出其根本原因加以預防和控制是完全可能的。由此看來,鐵路車務系統安全預防體系是整個鐵路車務系統安全保障體系中最重要的子系統。鐵路車務系統運輸安全預防理論及創新體系車務系統安全預防理論是整個安全預防體系的基礎,用于指導運輸安全預防“紅線”管理體系和安全技術體系。
(1)工種協同機理。鐵路行業與其他行業相比有其獨特性,具體來說,它是多工種聯合作業,多部門協同工作,指揮上高度集中,決定了鐵路安全管理的整體性。能否保證鐵路運輸的安全有效與工種之間的協同工作有著很大的關系。車務系統這一特點更加明顯,研究車務系統各工種之間的協調配合工作機制對鐵路運輸安全具有基礎指導作用。
(2)人因可靠性機理。海因里希曾經調查了美國的75000起工業傷害事故,發現占總數98%的事故是可以預防的,只有2%的事故超出人的能力所能達到的范圍,是不可以預防的,然而,在可預防的工業事故中,以人的不安全行為為主要原因的事故占88%,可見對于人因可靠性機理研究的重要性。對于車務系統而言,生產具有連續性、動態性的特點:24小時作業,全天候行車,周而復始,循環往復。這樣除了要研究溫度、濕度、風雨雪、照明、視野、噪聲、振動、通風換氣、色彩引起的人員失誤之外還要研究人體生物節律對行車安全的影響。
(3)事故機理。把歷年車務系統事故進行收集、整理、分析、研究,也就是充分開發利用“事故資源”,總結事故發生規律及其背后深層次原因,并建立事故數據分析數據庫,對今后安全管理理論及措施的制定都有著重要意義。
(4)安全管理創新機制。鐵路運輸生產過程在不斷地變化中,安全工作也要隨之不斷改進、創新,以適應現代化安全管理需求。如果管理者不能或沒有及時地適應變化,則將發生管理失誤;操作者不能或沒有及時地適應變化,則將發生操作失誤。
3.2鐵路車務系統運輸安全預防技術體系
鐵路車務系統運輸安全預防技術體系是為鐵路車務系統運輸安全預防“紅線”管理體系服務的,核心是如何開發一整套能夠準確科學地評價鐵路運輸系統是否處于安全范圍之內的安全評價方法,可以用于分析評價鐵路運輸作業過程,企業安全管理狀態的鐵路運輸安全評價方法,合理有效地預測鐵路運輸安全生產狀況并用于指導鐵路運輸企業的安全管理及規章的制定工作,這里把它作為下一步的主要研究內容。
3.3鐵路車務系統運輸安全預防“紅線”管理體系
3.3.1“紅線”管理體系理論來源
“紅線”管理體系源自ALARP(AsLowAsReasonablyPracticable,最低合理可行)原則,其含義是:鐵路車務系統是存在風險的,不可能通過預防措施來消除風險;而且,當系統的風險水平越低時,要進一步降低就越困難,其成本往往成指數曲線上升。因此,必須在鐵路車務系統的風險水平和成本之間折中,把車務系統風險水平控制在最低合理的范圍之內,以抓大防小為方針,重點控制高危險性事故。
3.3.2“紅線”管理內涵
(1)對鐵路車務系統進行定量風險評估,如果所評估出的風險指標在“紅線”之上,則落入不可容忍區。此時,必須采取措施把風險控制在“紅線”以下。
(2)如果所評出的風險指標在可忽略線之下,則落入可忽略區。該風險是可以接受的,無需再采取安全改進措施。
(3)如果所評出的風險指標在可忽略線和“紅線”之間,則落入可容忍區,此時的風險水平符合ALARP原則。此時需要進行安全措施投資成本風險分析,如果分析成果能夠證明進一步增加安全措施投資對工業系統的風險水平降低貢獻不大,則風險是可容忍的,即可以允許該風險的存在,以節省成本。
3.3.3鐵路車務系統“紅線”管理實施過程
(1)準備階段。針對鐵路車務系統,收集相關法律法規、技術標準及工程、系統的技術資料。對鐵路車務系統進行系統分析,重點分析各個工種的作業過程及聯系,工作中的主要問題,各個車間與科室的關系,各個車間的關系,職工的工作心態,作業效率分析,確定車站理論最大效率值來指導車務站段日常工作。研究調車組人員作業過程、作業動作,以安全高效為目標,引入生產流水線思想,把研究具體到調車人員的每一個具體動作。
(2)危險、有害因素識別與分析。分析車務站段歷年事故情況,根據鐵路運輸站段系統分析的情況,識別和分析危險、有害因素,確定危險、有害因素存在的部位、存在的方式、事故發生的途徑及其變化的規律。
(3)定性、定量評價。在危險、有害因素識別和分析的基礎上,這里把車務系統劃分為6個評價單元(包括調車作業單元、接發車作業單元、客運作業單元、貨檢作業單元、調度計劃單元和貨運作業單元),選擇合理的評價方法,對各個單元發生事故的可能性和嚴重程度進行定性、定量評價,最后匯總6個單元的評價結果,確定鐵路車務系統發生事故的可能性和嚴重程度。
(4)確定各個單元及車務系統總體“紅線”標準。依據行業法律法規,國內外同行業相關標準,確定各個單元的“紅線”標準及總體“紅線”標準,以判定各個單元及系統總體所處的安全狀態。
(5)形成安全評價結論及建議。簡要地列出主要危險、有害因素的評價結果,指出鐵路車務系統應重點防范的重大危險因素,在鐵路安全管理中抓住問題的主要矛盾及矛盾的主要方面,做到抓大防小,保證鐵路運輸系統安全穩定高效運行。根據定性、定量評價結果,提出消除或減弱危險、有害因素的技術和管理措施及建議。
4鐵路車務系統突發事件應急響應系統
在鐵路車務系統安全管理中,應以預防為主,但徹底消除事故或突發事件是不可能的。突發事件一旦發生,如何把損失和人員傷亡減到最少就成為工作中的重中之重。因此,做好車務系統突發事件應急預案的編制必不可少。筆者認為,應急預案的編制范圍應不僅僅針對事故處理和救援,對車務系統的一些影響鐵路運輸效率的突發事件也要做到未雨綢繆,例如,編組站的不暢通,新線路、車站開通運營后用可能出現的問題等。
4.1系統框架
運輸應急響應系統以地理信息系統(GIS)技術、GSM無線通訊技術、現場信息采集技術為支撐,以應急“紅線”管理體系為指導原則,整合車務系統多部門、多工種、多層次的已有系統和數據資源,實現對鐵路運輸緊急事件的實時響應和調度指揮。系統框架如圖2所示。
4.2關鍵技術
(1)地理信息系統。車務站段管轄車站較多,分布范圍較廣,而且救援行動是多工種、多部門的聯合行動,提前構建一套完整的車務站段管轄范圍內的GIS已成為解決安全與緊急救援難題的主要措施之一。該系統的建設和運行,將有效提高車務系統應急救援部門的技術裝備水平和管理能力。
(2)通信網絡實施平臺。隨著現代通信技術的發展,第三代移動通信系統將綜合衛星通訊、圖像傳輸等多種通訊系統功能,能夠實現現場事故信息采集、信息傳遞等多種功能,為鐵路信息基礎設施的建立和完善提供了技術支持和保障。
4.3應急“紅線”管理體系
應急“紅線”管理體系是根據突發事件造成的損失程度而確定響應級別的一種應急管理體系,損失越大響應級別越高。“紅線”由突發事件對企業造成人員、財產、企業效益損失程度及社會影響程度4種因素確定。
關鍵詞:供電企業;應急管理體系;安全生產
作者簡介:趙前程(1976-),男,山東費縣人,山東省費縣供電公司辦公室,工程師;左豐光(1975-),男,山東費縣人,山東省費縣供電公司辦公室,工程師。(山東?費縣?273400)
中圖分類號:F273?????文獻標識碼:A?????文章編號:1007-0079(2012)18-0097-02
安全生產工作必須遵循“安全第一,預防為主,綜合治理”的基本方針,其中“預防為主”最為關鍵和重要,在安全生產中發揮了越來越重要的作用。2010年10月,山東電力集團公司提出建設省、市、縣一體化應急管理體系,這是落實科學發展觀、構建和諧社會的必然要求,是保證電網安全穩定運行的重要條件,也是建設“一強三優”現代公司重要內容。費縣供電公司在充分利用信息網絡技術、計算機技術和多媒體技術的基礎上,堅持繼承創新,將應急管理信息、應急物資、應急隊伍等“橫向融合、縱向貫通”,高標準、高質量完成應急指揮中心建設。并且依托應急指揮中心,認真完善綜合和專項應急預案,采取靈活的現場處置方案,合理配置資源,形成了“指揮統一、功能齊全、運轉高效、保障有力”的應急管理體系。筆者現就應急管理體系建設中的一些成功實踐進行簡要論述。
一、應急體系建設經驗和做法
1.應急組織機構建設
為保障應急管理體系的有序、平穩、高效運轉,費縣供電公司成立了以經理任組長,其他班子成員任副組長的應急領導小組,實現對應急管理工作的領導。為更好地貫徹落實各項應急管理措施,開展應急合作、實現資源共享,應急領導小組下設應急管理辦公室(簡稱應急辦),分為安全應急辦公室、穩定應急辦公室和新聞應急辦公室,具體負責公司應急工作組織協調、綜合管理和監督職能。在應急領導小組的指導下,應急辦將應急管理體系劃分為應急組織機構、應急指揮中心、技術保障體系、物資保障體系、后勤保障體系五個部分(見圖1),為應急管理體系的建設奠定了堅實的基礎,提供了有力保障。
2.應急指揮中心建設
(1)前期籌備。為將應急指揮中心建成創新精品工程,費縣供電公司在認真學習《國家電網公司應急指揮中心建設規范》、考察山東電力集團公司應急指揮中心建設后,多次召開研討會,最終確定了總體規劃、分模塊實施、逐步推進、分期交付的方式進行,并經黨委會討論通過。
(2)建設過程。按照集中統籌、分區負責的模式,首先成立了工作小組,明確相關部門和人員職責。工作小組加強溝通協調,對所需設備進行集中招標采購,按工作分工專業安裝、調試,實行周調度、日匯報制度。2010年12月,應急指揮中心率先在山東電網內實現了省、市、縣三級應急指揮系統的聯動功能,獲得山東電力集團公司領導的高度認可和充分肯定,并代表縣公司作了先進典型匯報。
(3)應急指揮中心功能創新。應急指揮中心充分利用現有網絡資源和PTN專網,配備高清攝像頭、投影儀、液晶電視、視訊終端等設備,建成功能強大的應急指揮信息平臺。該平臺接入地方電視新聞、變電站視頻監控、電網調度信息、SG186安全生產管理、95598客戶服務、GPS車輛調度監控等系統,不但能夠獲取強大的電網潮流、負荷變化、車輛行駛等內部實時信息,而且通過采集地方電視新聞信號、日氣象衛星云圖,及時掌握社會突發事件新聞反響和災害性天氣地演變情況,獲取實時的外部公共信息,為指揮人員提供現場第一手音視頻資料和圖文信息。
應急指揮中心還將各供電所視頻系統創造性地接入該平臺,應急管理功能延伸至基層供電所。同時,自主研發了應急指揮桌面終端集控系統,網絡狀態實時檢測、子系統全面匯集、操作間主機遠程控制桌面工作站、桌面工作站間短消息實時發送等功能得到創新應用,實現了對突發事件的接報、預警、啟動、響應、結束的全過程管理,為應急指揮的快速啟動發揮了重要作用。
(4)應急規章制度制定。為加強對應急指揮中心的管理,應急辦先后編寫了《費縣供電公司應急管理工作規定》、《費縣供電公司應急指揮中心管理規定》、《應急值班管理辦法》等規章制度。
3.技術保障體系建設
技術保障體系是應急指揮系統的重要部分,也是保障應急指揮系統可靠、穩定運行的重要技術支撐。公司在高標準建成應急指揮中心這個“硬件”基礎上,不斷完善應急隊伍和應急預案。
(1)應急隊伍建設。根據專業性質,組建了變電、輸電、配電、醫療救護、應急供電五個專業共102人的應急救援隊伍,形成各專業應急救援隊伍各負其責、互為補充、積極參與的應急救援體系。
(2)應急預案編制。為了保證應急預案更具針對性、可操作性,公司成立預案編制小組,認真組織學習編制應急預案所需的相關法律、技術標準、編制導則、同行業事故案例分析等資料,全面實施安全穩定風險分析和評估。按照綜合預案、專項預案和現場處置方案分類編制要求,編寫了《費縣供電公司電網大面積停電應急處置預案》等25項應急預案,組織管理評審、編印與報備,下發到相關生產班組和專業技術人員。為了達到持續提高、不斷完善的目的,根據人員、機構和電網、設備等變化情況,我們對預案進行評估修訂,先后增補了《設備事故應急預案》、《突發公共衛生事件應急預案》等3項預案。
1我省林業信息化安全形勢嚴峻
我省林業系統信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調查結果看,有39%的單位發生過信息安全事件,說明我省林業系統網絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現。
1.1從發生信息安全事件的結構上看,超過半數的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重。而對于事件的覺察,36%是通過網絡管理員工作監測發現,22.7%是事后分析發現。這說明,我省林業網絡安全形勢總體上是好的,但也說明網絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防。
1.2從信息安全管理來看,有74%的單位制定了安全管理規章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業系統內大部門單位已經認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網絡與信息安全投入明顯不足。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網絡安全管理技術人員的培訓也只有46%的單位搞過。從業人員不足,安全培訓少,也是影響信息安全的一個重要因素。上述現狀,反映出我省林業系統網絡與信息安全意識淡薄,信息系統綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業網絡與信息安全工作面臨著更大的威脅和風險。
2我省林業系統信息安全保障思路及主要任務
省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩定、最安全的地區之一的明確目標和任務,切實加強網絡與信息安全保障工作是大力推進國民經濟和社會信息化的重要保障,是平安山東建設的重要內容。省政府印發的山東省國民經濟和社會信息化的十二五規劃,把信息安全保障體系作為主要內容之一。在此基礎上,林業信息化建設以全面提高網絡與信息安全的保障能力為己任,努力開創了我省信息化建設與信息安全保障體系相互適應、共同進步的新局面。
2.1信息安全保障工作的思路以科學發展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網絡信任體系、信息安全監控體系和應急保障體系建設,全面提高林業系統網絡與信息安全防護和應急事件處置能力,重點保障我省林業基礎信息網絡和重要信息系統安全;強化林業信息安全制度建設和人才隊伍建設,充分發揮各方面的積極性,協同構筑我省網絡與信息安全保障體系。
2.2信息安全保障工作的主要任務
2.2.1建立健全我省信息安全管理體制,充分發揮網絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業信息安全相關部門密切配合的良好機制。
2.2.2積極推進了信息風險評估和等級保護制度的建立。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據自己工作實施風險評估,并爭取在全省范圍內推廣。
2.2.3大力促進網絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業系統網絡信息安全建設的指導意見。
2.2.4加強信息安全應急處置體系建設,利用現有的專業隊伍和技術資源,規劃和建設林業數據備份中心,啟動建設信息化應急技術處理中心,逐步實現為我省林業網絡信息安全提供預警、評測等服務,按照“誰主管誰負責、誰運營誰負責”的要求,各部門出現問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發事件的原因。
2.2.5加強人才隊伍培養和建設。不定期的舉辦了面向工作人員提高安全意識、防范意識的培訓,對從事信息化的專業人員建立管理培訓的制度。
3加快我省林業信息安全保障體系建設進程的建議林業信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要。
3.1充分認識做好信息安全保障工作的重要意義。目前對信息安全問題不少人仍然缺乏全面的、深刻的認識,現有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統外部,忽略了系統內部的安全管理措施,安全保障缺乏循環、良性的提高,不能自主發現和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經濟發展、社會穩定的高度充分認識信息安全的重要性,增強緊迫感、責任感和自覺性。
3.2正確把握加強信息安全保障工作的總體要求。要堅持積極防御、綜合防范的方針,正確處理發展與安全的關系,堅持以發展求安全、以安全保發展,同時管理與技術并用,大力發展信息技術的同時,切實加強信息安全管理工作,努力從預防、監控、應急處理和打擊犯罪等環節在法律、管理、技術、人才各方面采取各種措施全面提升信息安全的防護水平。
3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網絡和重要信息系統的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統的大面積的出現問題。防止數據丟失和錯誤,避免對社會造成的損失。
關鍵詞:檔案信息;安全保障;體系;構建
今天是一個科技高速發展的時代,信息技術越來越發到,為人們的生活帶來了極大的便利性。社會發展朝著信息資源整合、共享的方向發展。隨著信息資源整合數字化的腳步不斷加快,信息網絡化逐漸普及,檔案信息化的進程不斷加快,數字檔案資源借助檔案信息系統管理程度不斷加深,檔案信息的安全性要求越來越高。因此,提高檔案信息風險控制能力,加強檔案信息安全管理水平,檔案信息資源的價值才能有效的發揮起來。
1 檔案信息安全保障體系建立的必要性
(一)檔案信息特點環境必要
檔案信息作為國家信息資源的重要組成部分,因其真實性等特點,需要不斷提高對檔案信息的重視程度,切實做好保護措施。今天,是信息化的時代,電子檔案的傳統特點隨著信息化的到來而受到質疑。加強檔案保護的呼聲日漸高漲,檔案信息安全已經從原本只做保管向安全保障的方向發展。對于檔案的保護工作在早期只在檔案保管與內容保密上,到了中期,發展為保密、完整以及可用,最后發展為完整、保密、可用、真實、可控、可申以及不可抵賴。
(二)檔案信息安全價值必要。
實現檔案信息價值可以依賴檔案信息安全保障體系的建立,其具備現實基礎的意義。為社會提供服務以及供公眾使用的檔案信息必須具備真實、完整、準確、有效才行,這就需要檔案工作的所有環節都要把防護工作做到位,提高安全思想意識,嚴格按照“預防第一,防治結合”的方針,制定有效的措施,確保檔案信息的真是可用,并最大化檔案信息的價值,充分發揮其作用。檔案信息安全保障體系的建立,對檔案管理事業的發展以及國家信息安全保障體系的建立起到重要的推動作用。
2 影響檔案信息安全的因素
(一)自然因素
自然界是檔案信息資源存在與運用的主要方面,因此,自然災害對檔案信息的危害極大,能夠直接造成檔案信息資源的安全隱患發生。
(二)環境因素
為檔案信息帶來安全隱患的因素還有環境條件的不符合,比如,控制檔案信息的網絡中心以及工作站會因為環境要求不達標,在成電源質量差、溫濕度不合適等現象,再加上空氣污染以及有害生物的作用下,很容易為檔案信息造成不利影響。
(三)技術因素
對于紙質檔案來說,紙張自身的耐久性與造紙技術有著極大的關聯性。新型載體檔案而言,決定檔案信息的安全因素是載體的質量、計算機技術等因素。比如網絡安全漏洞、計算機故障等,都會對信息安全帶來不利影響。
(四)社會因素
第一制約檔案信心安全的重要因素之一資金短缺。資金投入不足,很容易造成檔案信息安全軟、硬件設備的質量問題。第二,社會暴力等因素,也會為檔案信息資源造成安全問題。隨著我國互聯網的不斷發展,各種勢力都會利用互聯網進行危險活動,因此,很容易造成檔案信息的安全問題。
3 檔案信息安全管理保障體系
檔案信息安全管理體系管理占據重要地位,另外還需要技術的達標。檔案信息安全技術保障體系需要檔案信息安全管理體系做支撐。劇相關統計表明,信息被盜、信息泄露的根源在于內部管理的松懈,系統內部是計算機安全問題的根源,這些情況的發生主要是因為相關人員思想意識松懈以及管理體制的缺失造成。所以,信息安全技術系統建立之后,相應的管理制度也要緊隨其后,兩者相輔相成,切實將檔案信息安全保障體系落到實處。
(一)建立健全檔案信息安全管理制度
相應的安全管理制度是檔案信息安全管理與檔案信息工作落實到位的重要保障。因此,首先要做好統籌規劃工作,將“收、管、存、用”落實到位,制定科學有效的檔案信息安全管理方案。其次,相應的檔案信息安全管理部門要設置,專門監督檔案信息安全與保密管理工作,確保檔案信息系統各個方面的工作都落實到位。最后,相應的規章制度的建立,比如安全防范責任制、重要數據與文件管理制度、緊急備份與應急預案等。只有從制度上對安全工作進行約束與規范,才能提高安全管理工作,做好預防工作,將危害的損失降低到最小,切實將檔案信息安全體系作用發揮到最優。
(二)加強人員檔案信息安全培訓提高安全意識
檔案信息安全保障體系的核心是人,這不僅是檔案信息系統的擁有者,也是管理者與使用者。因此,培養專業的檔案信息人才,建設檔案信息安全管理隊伍,提高相關工作人員的檔案信息安全意識,對不同層面的人員做好安全管理工作培訓是建設檔案信息安全保障體系的關鍵。只有將人員素質提高了,檔案信息安全保障體系工作才能順利進行。
(三)制定n案信息安全標準規范
根據國內相關法律法規以及行業標準規范、嚴格按照業界管理,結合自身實際情況,構建檔案信息安全保障體系。現階段,國家檔案局以及編制好《檔案信息系統安全等級保護定級工作指南》,為指導各省級以上的檔案信息安全工作。但是,不可否認的是我國檔案信息安全保障體系還處在建設的初級階段,相比于信息安全保障體系的研究差距還很大,所以,在實施檔案信息安全保障體系的過程中,可以參考國內外信息安全保障體系的相應標準規范。只有制定科學有效的檔案信息安全標準與規范,檔案信息安全工作才能有規可循,建設過程中不必要的工作也會相應的減少,從而更好的規范與保障檔案信息安全。
我國信息資源的重要組成部分之一檔案信息資源,對我國未來信息資源的安全有著重要的影響。檔案管理工作的最基本也是最重要的任務就是檔案信息安全保障工作。構建檔案信息安全保障體系是發展的必然結果,而這也是一個不能缺少的體系。檔案信息安全保障體系的構建,需要從檔案信息安全的各個方面做好整體的計劃,結合管理與技術,結合不斷變化的環境需要制定具體的措施,同時還要根據檔案工作的形式做好時時的調整與改進工作。
參考文獻
[1]宋丹.基于信息安全風險評估機制的檔案信息安全保障體系建設研究[J].檔案時空,2013(12).
[2]顧倩倩.加強檔案安全保障體系建設確保事業單位檔案信息安全[J].才智, 2015(15).
狠抓落實。齊抓共管,切實加強檢查督促和考核。按照市委、市政府的決策部署。各司其職、科學合理地設定考核指標體系,建立目標考核和責任追究制度,每年年底對實施情況進行全面考評,嚴格獎懲。
一、指導思想和總體目標
一)緊緊圍繞“科學發展示范區、生態文明展示區、文化繁榮先行區、平安和諧優秀區”建設,指導思想。深入貫徹落實科學發展觀。著眼于解決人民群眾最關心、最直接、最現實的利益問題,立足市情,從薄弱處求突破,普及上求提高,通過實施項目帶動、加大資金爭取、健全保障制度,推動公共資源向落后地區、困難群眾、社會事業傾斜,有效解決民生方面的突出問題,全面推進基本公共服務均等化,促進社會公平。
二)努力實現“六個明顯提高”即:城鄉基礎教育水平明顯提高,總體目標。通過構建公共服務設施體系。基本公共衛生服務水平明顯提高,困難群眾最低生活保障水平明顯提高,公共文化服務水平明顯提高,公共安全保障水平明顯提高,基本住房保障水平明顯提高。
二、主要內容
一)構建覆蓋城鄉的教育均衡發展體系
小學適齡兒童入學率和升學率達99.8%初中畢業生升學率達83%高中毛入學率達75%基本普及學前教育和高中階段教育,1基本目標:2012年。高質量、高水平鞏固提高“普九”義務教育成果。全市公辦中小學基本實現規范化學校標準,完成覆蓋全市的基礎教育網絡化建設。2015年,建立相對完善的覆蓋城鄉的教育均衡發展體系。
加強基礎教育建設,2主要工作任務:按照政府主導、市場補充、合理配置原則。不斷改善農村學校和城鎮薄弱學校的辦學條件,促進教育規范化和均衡化發展。健全義務教育就學保障機制,落實城鄉義務教育免除學雜費政策。加強貧困家庭子女教育救助體系建設,落實中等職業學校和高等院校家庭經濟困難學生的資助政策。積極發展幼兒教育、社區教育、成人教育、繼續教育特別是干部教育,構建開放式終身教育體系。進一步優化師資隊伍,建立教師合理流動制度,實現師資力量的區域均衡發展。優化教育結構,大力發展職業教育,形成覆蓋城鄉的職業教育和培訓網絡,構建職業教育多元化發展格局。依法落實教育經費的三個增長”確保財政性教育經費增長幅度高于財政經常性收入增長幅度。
重點抓好中小學校舍安全工程實施,3近期工作重點:全市完成30所義務教育階段學校標準化建設。年完成30%加固施工改造任務;繼續擴大普通高中教育辦學規模,推進中等職業教育學校建設,保持中等職業學校與普通高中招生規模相當;繼續實施農村義務教育經費保障機制改革和中職學校家庭經濟困難學生的資助,爭取民生工程評比單項考核進入全省先進行列;加快教育人才培養、引進和交流力度,培育一批名教師;加大爭創國家級重點職校和區縣職教中心建設力度,積極籌建黃山職業技術學院、黃山技師學院,構筑人才發展保障體系。
二)構建覆蓋城鄉的基本醫療衛生服務體系
建設覆蓋城鄉居民的公共衛生服務體系、醫療服務體系、醫療保障體系、藥品供應保障體系。2012年,1基本目標:深化醫藥衛生體制改革。新型農村合作醫療參合率達95%以上。城鄉基層醫療衛生服務機構標準化建設達80%以上,基本公共衛生服務得到普及。法定傳染病發病率、孕產婦死亡率、5歲以下兒童死亡率分別控制在全省較低水平。建立政府主導的多元衛生投入機制,基本適應人民群眾多層次的醫療衛生需求,人們群眾健康水平進一步提高。2015年,建立相對完善的覆蓋城鄉的基本醫療衛生服務體系。
完善政府衛生投入機制,2主要工作任務:建立動態增長的基本醫療保障籌資機制。政府衛生投入增長幅度高于經常性財政支出的增長幅度,使政府衛生投入占經常性財政支出的比重逐步提高。健全覆蓋城鄉的疾病預防控制、醫療救治、突發公共衛生事件應急處理機制,鞏固和完善城鄉基本醫療、公共衛生服務運行機制。加大公共衛生基本設施投入,推進鄉村衛生機構標準化建設和社區衛生機構規范化建設。加強基層醫療衛生隊伍建設,健全農村衛生三級服務網絡,鞏固和完善新型農村合作醫療制度,促進城鎮居民醫療保險和新型農村合作醫療共同發展,為廣大城鄉居民提供安全、有效、便捷、經濟的基本醫療衛生服務。
促進基本公共衛生服務逐步均等化;執行國家基本藥物目錄,3近期工作重點:啟動建立居民健康檔案等九類國家基本公共衛生服務項目和乙肝補種等重大公共衛生服務項目。推進鄉村一體化管理,開展政府舉辦的基層醫療衛生機構藥品零差率銷售試點;繼續擴大新農合保障面,2010年籌資水平提高到150元;通過衛生培訓、進修、招募、支農等多種形式,加強以全科醫生為重點的基層醫療衛生隊伍建設,改革基層醫療衛生機構補償機制,提高服務能力。
三)構建覆蓋城鄉的就業和社會保障體系
勞動關系和諧穩定,1基本目標:城鄉就業比較充分。分配格局比較合理。社會救助和社會保障體系更加健全,城鄉絕大多數勞動者享有社會保障,城鄉低保實現應保盡保,管理服務規范高效。2012年,城鎮基本養老、醫療、失業保險覆蓋率分別達到95%以上。逐步建立覆蓋全面、資金來源多元化、保障制度規范化、管理服務社會化的社會保障體系。2015年,建立相對完善的覆蓋城鄉的就業、社會救助和社會保障體系。
逐步提高社會保障支出占國內生產總值的比例。按照多層次、廣覆蓋的要求,2主要工作任務:建立政府、企業、社會多渠道籌資機制。實現社會保障工作重心由城鎮為主向城鄉統籌轉變。根據城鄉居民不同的社會保障需求和經濟承受能力,采取分類施保,體現階段差異,建立健全覆蓋城鄉的社會保障體系,建立完善社會綜合救助平臺。對城鄉家庭生活困難又未納入低保對象的大病患者、重度殘疾人、遭遇突發災害等困難人員,建立臨時生活救助制度。完善城鄉困難群眾大病救助制度。積極穩妥地開展農村社會養老保險工作。落實相關征地保障政策,確保被征地農民生活水平不因征地而降低。建立“五保”供養標準自然增長機制。有序推進教育救助、住房救助及城市生活無著落流浪乞討人員救助工作。搭建全方位的促進就業服務體系和政策扶持體系,充分發揮市場的引導作用,鼓勵勞動者自主創業和自謀職業,促進多種形式就業,健全面向各類就業困難人員的就業援助服務制度,加大就業和全民創業基礎建設扶持力度。
建立健全城鄉統一的就業管理制度,3近期工作重點:加強鄉鎮就業和社會保障平臺建設。建立城鄉人力資源動態管理臺賬;扎實做好農民工技能培訓、城鎮居民基本醫療保險和未參保集體企業退休人員基本生活保障三項民生工程,認真落實好困難企業就業扶助政策;加強社會保險政策的宣傳工作,有針對性地開展擴面征繳工作;完善農村居民最低生活保障制度,切實保障農村居民基本生活權益;提高農村五保戶供養保障標準,加快推進農村五保供養服務機構建設;全面開展城鄉困難群眾醫療救助工作,扶助困難家庭脫貧。
四)構建覆蓋城鄉的公共文化服務體系
70%行政村都有一個“農家書屋”有條件的村實現“一個標準籃球場、兩張室外乒乓球臺”從根本上解決全市邊遠山區農民收聽收看廣播電視難的問題,1基本目標:2012年。實現城鄉群眾廣播電視共享服務。充分發揮博物館、文化館、圖書館作為公共文化服務體系主力軍作用,全面完成鄉鎮綜合文化站建設。2015年,建立相對完善的覆蓋城鄉的公共文化服務體系。
加強廣播電視“村村通”文化設施和體育設施建設。大力發展公益性文化事業,2主要工作任務:按照結構合理、發展平衡、網絡健全、運行有效、惠及全民的原則。實施文化惠民工程,切實保障人民群眾基本文化權益。開展“農家書屋”建設。繼續實施廣播電視“村村通”工程,盡快完成已通電廣播電視盲村“村村通”建設任務。深入推進體育健身工程,加強基層公共體育設施建設,把文化體育健身設施覆蓋到社區和農村。大力開展群眾性文化體育活動,提高競技體育水平,發展體育產業。緊扣徽州文化地域特色和時代特征,實施“文化產業精品打造工程”推進“百村千幢”古民居保護利用工程。堅持政府引導、金融支持、社會參與的投資原則,加大對文化產業發展的資金投入。培育多元化文化產業投資主體。加強文化產品市場和要素市場建設,把徽州文化品牌優勢變成文化產業優勢,全面促進徽州文化的大繁榮、大發展。
確保全省民生工程評比單項進入先進行列;加強各類文化館(站)博物館、圖書館建設;加大文物和非物質文化遺產保護力度,3近期工作重點:年完成49個行政村的農民體育健身工程建設;組織好國際山地車節、登山大會等集體育、旅游、經貿為一體的國際賽事活動;完成174個“農家書屋”工程建設和41個鄉鎮文化綜合站建設。啟動“百村千幢”古民居保護工作,實施“文化產業精品打造工程”完成573個廣播電視“村村通”工程建設。
五)構建覆蓋城鄉的困難群體基本住房保障體系
實現應保盡保,1基本目標:對符合廉租住房保障條件、申請廉租住房租賃補貼或實物配租的城市最低生活保障家庭。并逐步擴大到城市低收入家庭。廉租房保障戶數2012年達到1.5萬戶。廉租住房制度保障范圍由城市最低收入住房困難家庭擴大到低收入住房困難家庭,基本消除城市低收入住房困難戶,農村群眾居住條件穩步改善,全市城鎮人均住房面積明顯提高。2015年建立相對完善的覆蓋城鄉的困難群體基本住房保障體系。
著力解決面向低收入家庭住房困難為重點的各類保障性住房建設。強化政府主導,2主要工作任務:加快建立適應全體居民需要的多層次住房保障體系。創新保障方式,實行實物配售,加快廉租房建設步伐,加大經濟適用房建設力度。逐步建立農村困難群眾住房救助機制,逐步改善農村地質災害區和生存環境惡劣地區的貧困群眾居住條件,3-5年內使低收入家庭的居住環境、質量得到明顯改善和提高。
抓好現有申請對象的保障資格審查和認定工作,3近期工作重點:做好住房保障對象的調查摸底等基礎性工作。年對人均住房建筑面積低于10m2城市低保家庭做到應保盡保;規范租金補貼發放程序,確保中央補助的資金按規定及時發放;加快推進廉租房建設力度,積極探索廉租住房租售并舉;因地制宜、科學規劃,扎實抓好農村飲水安全工程建設,確保工程建設質量,建立良性運行機制。
六)構建覆蓋城鄉的公共安全保障體系
全面提高政府保障公共安全和處置突發公共事件的能力。治安災害事故穩中有降,1基本目標:建立健全公共安全保障應急預案體系、組織體系、保障體系和運行機制。重大公共安全事故得到有效控制。2012年,全市平安縣(區)達標率100%平安鄉鎮達標率在94%以上,平安村(居)達標率在90%以上,平安單位達標率在85%以上,創建穩定、和諧的社會環境,逐步形成惠及全民的安全保障服務體系。2015年建立相對完善的覆蓋城鄉的公共安全保障體系。
創新公共安全服務體制。建立健全分類管理、分級負責、條塊結合、屬地為主的管理體制,2主要工作任務:改進公共安全服務方式。提高危機管理和抗風險能力。按照預防應急并重、常態非常態結合的原則,建立統一高效的信息平臺,建設精干實用的專業救援隊伍,實現全社會整體聯動。加強社會治安綜合治理,大力實施城鄉社區警務戰略。加強技防和人防隊伍建設,提高社會治安防控能力。加強群防群治工作。加強城鎮、旅游景區消防基礎設施建設,提升全社會預防火災能力。逐步改造“四無小區”提升小區防控水平。加強交通安全基礎設施建設,預防和減少交通事故發生。建立健全城鄉公共安全體系,抓好公共食品安全、藥品安全、醫療安全、消防安全等日常監管工作。完善社會矛盾排查調處機制,切實維護社會穩定。
加強矛盾糾紛排查調處工作;拓寬社情民意表達渠道,3近期工作重點:堅持實行領導干部“定期接訪”和“帶案下訪”制度。強化維穩責任制工作落實,積極預防和妥善處置,鞏固平安和諧的社會基礎;嚴格落實安全生產責任制,堅決遏制重特大安全生產事故發生;抓好應急預案體系建設,提高政府保障公共安全和處置公共事件的能力;加快治安防控體系建設,將技防措施向農村、城郊結合部及案件多發地區、路段和部位延伸;建立健全流動人口管理服務機制,落實群防群治措施;依法打擊各類違法犯罪行為。
三、保障措施
一)抓好目標任務的分解細化。市委、市政府成立公共服務體系建設領導小組。各區縣要按照市委、市政府對推進公共服務設施體系建設的總體要求,加強領導。積極作出相應的決策和部署。市直各責任單位要聯系部門實際,抓緊對目標任務進行分解細化,穩步推進年度工作目標任務和相應措施落到實處。
確保信息網絡安全正在成為新世紀國家安全的重要基石和基本內涵。這就向我們提出了一個迫切需要解決的重大戰略性問題,即:如何切實保障信息網絡安全,以確保我國信息化建設快速、平穩、健康發展,避免信息網絡安全問題導致社會危機的發生。
同時,它也要求我們必須結合國情,從“發展是硬道理”出發看待和把握信息安全問題,對我國信息化發展進程中面臨的信息安全威脅演變趨向加以冷靜分析、正確判斷,制定科學、務實、有效的安全保障戰略。
提升應急能力
面對全球一體化的互聯網環境,國家公共互聯網應急體系的建立和應急處理能力的提高,并不能僅僅依靠政府的力量,而是需要世界各國相關組織在技術、資源、經驗方面的共同合作,需要政府與企業、全社會每個人的互動。
在互聯網這樣一個復雜的巨系統中,如何提高應急響應的處理水平確是擺在我們面前的巨大難題。目前的應急管理無法適應日益復雜的安全系統的要求。為了解決這些問題,我們在方法學上提出了“綜合集成”的思路,即自上而下、自下而上的結合(如圖1所示)。
要落實綜合集成的方法論就要綜合治理,不僅靠一個部門或一個企業制定信息安全應急預案,而且需要建立一個全球相互協作體系。在統一的標準、一致的應急處理方法下,達到體系的高度靈活性。
同時,我國也必須要建立自己的體系,并與全球的相關組織緊密合作,實現從定性到定量的協調機制。在不斷變化的技術環境中,今天最好的安全措施可能在明天會過時。安全措施必須緊跟這些變化,必須作為系統開發生命周期中的一重要組成部分加以考慮,并在每一階段明確其定位。
信息安全常被看作是一個技術問題,少有組織認為它是組織必需優先考慮的對象。 信息安全治理是我國信息安全保障體系建設的戰略需求。我國信息安全治理的方針和戰略是:以單項治理為主向以綜合治理為主轉變;從注重事后處理向以事前預警為重點轉變;從與電子政務和電子商務實際應用系統的松散結合向緊密相結合轉變;為經濟社會協調發展提供支撐;以人為本、自主創新、協同集成、重點跨越。
避免誤區
在評估和把握我國信息安全形勢的走向時,要避免出現兩種傾向:一是在信息安全領域中尚不存在特別重大威脅的情況下,對信息安全問題的演變趨勢估計不足、重視不夠,給國家信息化的持續發展留下安全隱患;二是對信息安全領域諸多屬于一般性威脅問題的嚴重性估計過高,把技術與管理不健全而造成的安全問題視為戰略問題,造成人力、財力的浪費,給國家管理和社會進步增添負擔。
思路和原則
抓住我國綜合實力進一步增強和加入WTO的機遇,統籌我國信息安全保障體系建設,在自力更生基礎上按需引進、充分利用和借鑒國外先進技術與管理經驗,在15~20年時間內,堅持與時俱進、求真務實的精神,通過統一規劃、分步實施,政府引導、全民參與的方式,通過信息安全治理,建立起完整的國家信息安全保障體系。應該按照如下原則來進行安全保障體系的建設:
堅持風險管理原則完全避免風險是不現實的,要對關鍵領域的信息安全風險進行識別和評估,采取必要的保護措施和應急措施來降低風險,使之控制在可承受的范圍內。
明確統籌兼顧原則在實施策略方面,要明確國家、企業和個人在信息安全方面的責任和義務,充分發揮各方面的積極性;要統籌城鄉信息安全建設,協調區域化信息安全建設與全國信息安全建設。
重視經濟實用原則切忌空談和夸大,量力而行,突出重點。以我國信息安全領域最急需開展的工作作為突破點,扎實地做好信息安全工作。管理上要將關鍵信息網絡安全的整改作為信息安全建設的切入點,技術上要采用綜合集成思想,逐步完善關鍵基礎設施的安全保障,切實提高信息安全防護能力。
遵循循序漸進原則信息安全戰略要與國家信息化發展和社會轉型相適應,采取統一規劃、分步實施,以及短期和中長期目標相結合的方式進行。
治理三階段
國家信息安全戰略的總體目標是保障關系到國計民生的信息基礎設施的適度安全,實現國家對信息化環境與內容的治理(如圖2所示)。
第一階段,打基礎、保重點,初步建立我國信息安全防護體系。
戰略重點是保障“3+7”關鍵基礎網絡安全、信息內容安全和加強網絡監管。戰略目標是確保國家信息化建設健康、穩步地發展。
保護關鍵基礎網絡安全指由電信網、廣播電視網和互聯網構成的三個基礎網和由稅務、電力、銀行、證券、海關、鐵道、民航構成的七個關鍵網。
保護信息內容安全指防止有害內容的產生、傳播和可獲得性。要建立信息網絡監管體系,實現對信息內容安全監控,對有害信息內容進行過濾,減少其精神污染。加強政府對信息網絡的監管力度及對網絡安全運行的監控和管理。
通過立法,將監控管理從行政管理的范疇納入到法制范疇。對電子保密信息進行合法的安全監管,增強信息犯罪取證調查能力。
第二階段,重體系、促發展,形成較強的國家信息安全保障能力。
戰略重點是確保政務網絡安全高效、商務網絡安全可靠、網絡文化健康向上。戰略目標是促進網絡經濟蓬勃發展,形成良好網絡秩序。
政務網絡安全保障重點是保證關鍵指令和信息的有效上傳下達,政務資源的有效整合和利用。為此,要加快安全保障體系與安全支撐平臺建設,這是政府在信息安全上的法律職責和義務。
第三階段,實現對信息網絡的有效治理,初步具備信息反制能力。
戰略重點是有效維護信息空間領域國家利益,大幅提高全民在信息化進程中生活質量和福利。
戰略目標是達到信息網絡的科學治理、維護經濟與社會的可持續發展。
在政策法規方面,建立完善的信息安全法律法規體系。在技術方面,依據信息安全技術戰略,在關鍵領域取得突破性進展。在產業方面,通過政策傾斜和市場競爭,孵化出信息安全“航空母艦”型企業,信息安全主要核心技術基本實現自主化。
五大安全治理規范(供參考)
一、經濟合作和發展組織,《信息系統安全指南》(1992)
《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國,以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統風險意識和安全措施,提供一個一般性的框架以輔助信息系統安全度量方法、操作流程和實踐的制定和實施,鼓勵關心信息系統安全的公共和私有部門間的合作,促進人們對信息系統的信心,促進人們應用和使用信息系統,方便國家間和國際間信息系統的開發、使用和安全防護。
這個框架包括法律、行動準則、技術評估、管理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿,通過此標桿測量進展。
二、國際會計師聯合會,《信息安全管理》(1998)
信息安全目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性);信息系統在需要時可用和有用(可用性)。 機密性、完整性和可用性之間的相對優先級和重要性根據信息系統中的信息和使用信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統的威脅既有可能來自有意或無意的行動,也可能來自內部或外部。信息安全事故的發生可能是因為技術方面的因素、自然災害、環境方面、人的因素、非法訪問或病毒。另外,業務依賴性(依靠第三方通信設施傳送信息,外包業務等等)也可能潛在地導致管理控制的失效和監督不力。
三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)
ISO 17799(根據BS 7799第一部分制定)作為確定控制范圍的單一參考點,在大多數情況下,這些控制是使用業務信息系統所必須的。該標準適應任何規模的組織。它把信息作為一種資產,像其他重要商業資產一樣,這種資產對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息只被相應的授權用戶訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護信息不受廣泛威脅的損毀,確保業務連續性,將商業損失降至最小,使投資收益最大并抓住各種商業機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。
四、信息系統審計和控制協會,《信息和相關技術的控制目標》(CoBIT)
CoBIT起源于IT需要傳遞組織為達到業務目標所需的信息這個前提,至今已有三個版本。除了鼓勵以業務流程為中心,實行業務流程負責制外,CoBIT還考慮到組織對信用、質量和安全的需要,它提供了組織用于定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監控),共計34個IT業務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結構內的活動。
五、美國注冊會計師協會(加拿大特許會計師協會),《SysTrust TM系統可靠性原理和準則V20》(2001)
1 綜合治理信息安全的戰略背景
IT管理技術發展歷程,從被動管理轉向主動管理,從服務導向轉向業務價值。在科學的IT管理方法論方面形成了一系列標準:諸如ITIL/ITSM以流程為中心的IT管理行業標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業內部控制框架,面向內部控制;ISO17799:信息安全管理國際標準。當前有很多非常好的綜合性標準與規范可以參考,其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程,指導企業如何建立可持續改進的體系。
目前企業IT運維管理現狀。需求變化:IT本身快速變更;管理目標多角度變換并存。資源不足:IT 復雜性成長快于人員成長;IT 人員持續流動。業務影響:難以判斷事件對業務的影響和處理事件的優先級。信息孤島:IT 資源多樣性的,不能進行事件的關聯分析,缺少統一的健康視圖。IT網絡與信息系統運維存在監測盲點,缺少主動預警和事件分析機制。
如何把此項復雜的工程進行細化與落地,建立信息安全保障框架?在企業有限的IT資源(包括人員、系統等)等的前提下,IT運營面臨嚴峻的挑戰,企業多半缺乏信息系統應用開發能力,在很大程度上依賴于產品開發商的支持,為此,要想實現從混亂到清晰、從被動到主動、從應付到實現價值取向的服務思想,自主加外包的混合運維方式無疑是一種好的服務方式。
2 建立和實施信息安全保障體系思路和方法
針對IT管理問題和價值取向的服務方式,借鑒PDCA工作循環原理和標準化體系建設方法,從建立安全目標和組織體系、制度體系和技術體系等三個主要層面構建實施信息安全保障體系,以規范引導人、以標準流程引導人,以業績激勵人,從而促被動變主動,堅持持續改善,促進工作效率,促進安全保障。
2.1 建立和推行目標管理
體系建設應以目標管理為先導、循序漸進,按頂層布局、中層發力、底層推動內容設計與構建,為此,借鑒當前IT運維管理目標演進方式,確立各階段建設目標。
基礎架構建設階段(SMB),手工維護階段。主要實現IT基礎架構建設。
網絡和系統監控(NSM)階段,重視自動化監控階段。主要實現IT設備維護和管理。
IT服務管理(ITSM)階段,重視流程管理階段。主要實現IT服務流程管理。
業務服務管理(BSM)階段,重視用戶服務質量與滿意度。主要實現IT與業務融合管理。
從IT投入和業務價值來看,前三個階段是間接業務價值,第四階段才是直接業務價值。
根據ITIL這個IT服務管理的方法論,先是搭建一個框架,借用工具的配合促進落地。如圖1、IT運維管理系統參考模型。
從安全目標出發,結合IT運維管理系統參考模型,每個階段的工作向著實現直接業務價值,不斷消除或減輕對性能的約束,促進IT產品或服務滿足確定的規范,實現企業效益最大化。服務好用屬性通過最終的績效和檢驗結果監視測量價值成分。如圖2。
2.2 規劃融合信息安全保障體系
通過從組織體系、制度體系、技術體系層面建立和實施縱深防御體系,實現穩健的信息安全保障狀態。
①組織體系:通過企業中高層的支持實現業務驅動和共同推動信息安全體系建設。當然,需要提出的問題,組織有可能要依賴長期可靠的合作伙伴:通過長期可靠的合作關系,快速引進外部專業資源和先進技術,可以幫助企業推動信息安全建設工作。為了幫助組織內外信息系統人員更好地遵守行業規范及法律要求,企業實施IT網絡與信息系統安全運維體系標準,組織應做到定期對全體員工進行信息安全相關教育,包括:技能、職責和意識,通過相關審核,證明組織具備實施體系的意識和能力。
②制度體系:企業IT網絡與信息系統安全運維系統建設的范圍包括機房安全、數據安全、網絡安全、服務器安全、業務應用安全、終端安全等。為此,企業應明確內部運維和外部協同的內容及其標準規范,包括績效標準。建立實施IT網絡與信息系統安全運維體系標準,首先把高效的信息安全做法固化下來形成規則制度或標準,成為組織中信息安全行為準則。保證事前預防、事中監控和事后審計等安全措施的得到有效執行與落實。
③技術體系:一般來說,網絡設備技術體系可以按照從上到下信息所流經的設備來部署工具。即從數據安全、終端安全、應用安全、操作系統與數據庫安全、網絡安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則,綜合采用各種安全工具進行組合,形成企業“適用的”安全技術防線。適時根據風險評估的結果,采取相應措施,降低風險。
其中,需要采用1~2種綜合管理的工具來幫助把所有的安全監控工具進行統一管控。例如SOC是給企業日常維護管理者使用,ITRM作為綜合風險呈現,是給企業風險或安全管理層使用。
④體系運行和監控:體系的日常運行和監控就是從信息的生命周期進行流程控制,即在信息的創建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創建開發安全階段的一個細化控制手段。在運行體系建設中,往往需要結合流程分析來關注信息的生命周期安全。運行過程中還有一個應急管理,包括災備中心建設、業務連續性計劃、應急響應等等都有相應的標準與理論支持。特別是BS25999標準的頒布,給如何建立一套完善的應急體系提供了參考。
3 企業建立和實施信息安全保障體系實踐
面對網絡系統互連,網絡技術與設備的安全管理規范的完善這個復雜而且浩大的工程,井岡山卷煙廠不僅依靠個體分散的技術措施或者管理防護,而且結合國家、社會和個人的力量構建綜合保障體系。
①依據ISO9000、ISO14000和OHSAS18000標準,國家計算機網絡和信息安全相關法律法規,參考當前科學的IT管理方法論方面形成了一系列標準,結合YC/T384煙草企業安全生產標準等,識別這些與信息安全相關的法律法規及其它要求,將信息安全保障體系(框架)融合到企業質量、環境和職業健康安全(以下簡稱為三標)綜合管理體系。
②確定信息安全管理目標并分步實施企業三年信息化發展規劃。自2012年開始,企業對照YC/T384煙草企業安全生產標準要求,在梳理和評價2000年以來企業多個企業信息化三年實施規劃實踐環境以后,制訂了新的三年信息安全管理目標和建設規劃,將目標和規劃分解到各年度實施,并納入到企業年度三標綜合管理體系建設目標和管理績效考核。
③建立信息安全管理組織和工作標準,同時納入三標綜合管理體系管理考核。從體系結構上促成企業作業層、管理層(中間層)和決策層的信息化,實現企業的物資(服務)流、資金流和信息流的一體化,及時、準確和完整地傳遞企業的經營數據,保證企業的經營管理。利用信息化改進管理,形成企業信息安全文化,促進員工接受、理解和主動配合,不斷提升全員的信息安全意識和技能,從而使信息安全管理真正落到實處。
④建立和實施信息安全保障體系文件標準。根據國家信息安全相關的法律法規及其它要求,結合行業和企業的特點和發展趨勢,規范管理流程和模式。網絡與信息系統建設“立足長遠、分步實施、突出重點”,做到“統一規劃、統一標準、統一平臺、統一編碼”,同步實施信息系統等級保護制度,促進企業與信息系統項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業內部各項工作實現規范化、信息化,做到一切工作都按照程序辦,同時,事事處于相互制衡的環境之下、人人處于監督管理之中,從而形成職責明確、運轉協調、相互制衡的工作機制,為企業內部信息安全監管提供強有力的保障。
幾年來,企業堅持企業信息安全方針目標,以迅速響應服務為宗旨。企業信息安全保障體系建設緊緊圍繞建立科學、規范、和諧、統一、開放的管理體系,全面融入了質量、安全和環境管理體系一體化建設和實踐,截止到2015年底,企業共梳理建立或整合并實施安全保障類文件包括企業管理標準、技術標準和工作標準共計31個標準文件。通過創新與改善和體系審核、管理評審和提高文件執行率及持續改進方式保持了信息安全保障管理體系的持續改進和有效運行。
論文關鍵詞:洪水資源利用法律制度建設
論文摘要:開展洪水資源利用法律制度建設,適宜“自下而上”,由各地方根據情況先行開展相關法規建設,包括制訂適用于本行政區域的地方性法規或者地方政府規章等另一方面,伴隨著洪水資源利用的實踐推進和各種制度建設的探索.適時“自上而下”,由國家推出相關法律法規,引導全國范圍內洪水資源利用的開展。
洪水資源利用是指按照風險分擔、利益共享的原則.通過建設和完善滯、蓄、調、引、灌等工程設施,綜合采用規劃、預報、調度、應急預案等非工程措施,實施洪水風險管理,對特定規模洪水的公益性增值利用,具有綜合、風險、公益、增值等特征。在洪水資源利用過程中,涉及洪水風險管理、洪水資源利用規劃、河湖水庫調度、蓄滯洪區優化運用、地下水回灌等多種行為.需要調整多重利益關系,亟須加強相關法律制度建設。
一、洪水資源利用法律制度建設的重要性
1.適應洪水資源利用趨勢的內在需要
我闞水資源短缺.隨著經濟社會發展,用水需求的日益增加,缺水威脅將進一步加劇,適度利用洪水資源將成為解決局部地區水資源短缺的重要途徑之一因此,洪水資源利用在規模和總量上都將呈現日益增長趨勢存洪水資源利用過程中,包括洪水資源利用規劃、洪水風險管理、江河湖泊水庫調度、蓄滯洪區優化運用及其補償、回灌地下水等,需要一系列制度予以支持。這些制度的確立和運作,單純依靠政策難以完全奏效,需要上升到法律層面上予以規范化、法制化.
2.協調洪水資源利用復雜利益關系的迫切要求
在洪水資源利用過程中,涉及各級政府、各級防總、各級政府部門、水工程管理單位、社會公眾等多重主體,各主體利益關系復雜而多元。在我國.雖然這些主體的根本利益具有一致性.但個別時候針對具體事件,也會產生不同程度的利益沖突或矛盾。如果不能及時妥善處理,就會形成新的不安定因素,這就需要以法律的形式協調各方的利益.發揮法律制度的教育和引導作用,有效地開展洪水資源利用活動
3.解決洪水資源利用法律缺位的關鍵舉措
盡管目前我同已確立了“保障安全、充分利用”的洪水資源利用基本政策,要求在保障防洪安全的前提下,充分利用洪水資源。然而前我同存洪水資源利用方面的法律法規卻處于缺位狀態:除了《天津市防洪抗旱條例》等部分地方性法規明確提出“鼓勵對雨洪水資源的開發利用之外.水法、防洪法、防汛條例以及各種涉水部門規章均未規定洪水資源利用問題。洪水資源利用法律缺位,導致洪水資源利用面臨著一系列法律瓶頸,嚴重制約著洪水資源利用的有效開展。為此.在推進洪水資源利用過程中.有必要加強洪水資源利用法律制度建設
二、洪水資源利用法律制度建設的重點
1.確立洪水資源利用的基本原則
洪水資源利用具有利害兩重性.其“利”體現在洪水一旦資源化,就可以像其他水資源一樣進行興利:其“害”體現在,除了洪水本身可能存在的危害性之外,還可能因為洪水資源化措施的實施帶來各種附加風險.如洪水預報誤差風險、調度操作誤差風險等。因此,為了充分利用洪水資源.需要適度承受洪水風險,并協調好不同主體之間基于洪水資源利用的利害關系.而這首先需要明確洪水資源利用的基本原則。歸納起來,主要有以下基本原則:
一是保障安全原則.即利用洪水資源必須結合實時的工情、雨情、汛情,科學決策、審慎操作.保證度汛安全。
二是統一規劃原則,即通過合理的規劃,按照風險分擔、利益共享的原則統籌流域上下游、左右岸、干支流、城鄉間基于洪水資源利用的利害關系。
三是因地制宜原則,即利用洪水資源時需要注意結合各個流域的工情、雨情、水情,綜合考慮該區域的經濟社會發展狀況,采取適宜的利用措施,實現洪水資源的優化配置。
四是綜合利用原則.即從全流域通盤考慮,既要考慮如何科學合理地進行河庫洪水錯峰調度以發揮防洪減災效益.還要考慮如何通過科學調度增加水庫容納水量及調蓄滯洪水量來提高水能水量利用率,綜合增加發電、灌溉和防洪效益。
2.確立政府主導的洪水資源利用管理體制
洪水資源利用作為一項有風險的公益性事業,需要建立以政府為主導的管理體制,賦予洪水資源利用主管部門較強的行政權力,以滿足應急管理決策的緊迫性和復雜性需要。為此,需要明確洪水資源利用主管機構的職責與權限,建立必要的監督制約機制,追究者的法律責任.以避免無序利用、不合理利用引發新的生態與環境問題。
3.確立洪水資源利用規劃制度
洪水資源利用與常規水資源開發利用不同,缺乏有效的利益協調與驅動機制.需要在政府主導下編制專業規劃,結合具體的雨情、汛情、工情.科學決策,相機實施。為此.需要明確洪水資源利用規劃編制的組織形式、編制主體、決策程序、法律地位和有關機構及利益相關者參與的機制.規定洪水資源利用規劃的執行與監督等。
4.結合洪水資源利用方式設計不同的法律制度
洪水資源利用主要有四種方式:水庫調度.區域內河系聯網調度以及跨區域或跨流域水量調度,蓄滯洪區的優化運用,通過工程措施主動回灌地下水。不同的洪水資源利用方式,其法律制度建設重點存在很大區別:
①對于水庫調度而言,法律制度建設的重點在于洪水資源調度及風險責任承擔。為了充分發揮現有水庫等工程的調蓄水功能,最大限度地利用洪水資源,需要改變傳統的水庫調度模式。建立動態的汛期概念,并在此基礎上確定動態的汛限水位、調整具體的水庫汛期調度方案。在此過程中,伴隨著洪水風險的增加,需要確立相應的風險責任承擔主體和承擔方式。
②對于區域內河系聯網調度、跨區域或跨流域水量調度而言,法律制度建設的重點在于洪水資源在不同區域、流域之間的配置、調度以及不同區域、流域之間在水資源、水環境方面的利益平衡。為了盡可能滯留洪水,可以利用聯網的河系或跨流域調水工程等,將本流域、本區域的汛期“棄水”調度到其他流域或區域加以儲存或利用,這就需要充分考慮不同區域、流域之間的水資源配置規劃.并進行相關的水量調度制度建設。由于洪水往往夾雜著各種污染物.因此,在洪水資源調度過程中,需要有效控制與管理污染物。限制污染災害在地區間轉移,避免造成更為嚴重的環境污染事故。
(3)對于蓄滯洪區的優化運用而言,法律制度建設的重點在于蓄滯洪區的功能調整和受損者的利益補償為了合理利用洪水資源.有必要將蓄滯洪區的運用從單一的被動防洪調度轉變為主動的蓄洪興利和錯峰防洪等多種形式.為此需要建立有效的社會管理和經濟調節機制.建立行之有效的管理法規.制定和實施適宜的人口政策、產業政策,搞好產業結構調整和經濟發展布局,促進蓄滯洪區人與自然的和諧,實現區內經濟社會的健康、有序發展。同時。應當根據各流域防洪規劃、洪水資源利用規劃的要求.結合蓄滯洪區的土地利用、產業結構及經濟發展水平,以不同淹沒水深及淹沒時間為參數.劃分蓄滯洪區的啟用級別.確定相應級別的啟用決策機構。實現蓄滯洪區分級運用管理。在此過程中,需要加強蓄滯洪區運用補償立法.依法界定有關區域地方政府作為補償主體,明確補償資金的來源,規定補償金的支付方式和用途。健全補償基金的征收、分配和管理運作、資金管理機構的規章制度,規范補償金的發放、使用和監督等。
(4)對于主動回灌地下水而言,法律制度建設的重點在于回灌設施建設與管理以及洪水水質的管理問題。有效回灌地下水往往需要修建地下截壩、攔水閘,開挖深井、滲溝等工程.為此需要對回灌設施建設與管理制定專門的法規標準。此外,洪水在較短的時間內匯集,水質難以控制,因此在回灌地下水的同時。必須采取必要的監督控制措施,保證水質不被污染,以免污染了地下水源,造成新的自然災害。需要明確可回灌地下的洪水水體質量標準體系,建立洪水水質檢測、報告制度及操作規程,加大利用決策的信息支持力度,完善利用洪水資源回灌地下的決策機制。對無視洪水水質,強行決策致使地下水體污染的,設定相應的法律責任。
5.建立健全應急管理機制
為控制或減輕洪水資源利用過程巾可能遇到的突發性水災損失.必須建立健全應急管理制度,包括應急預案的編制、應急預案的啟動程序、應急預案的演練、相關單位和個人在各級應急響應中的責任義務與協同機制、加強應急反應能力建設的措施、應急決策后的評估制度以及相關責任追究制度等。
6.其他制度
除了建立、完善或落實上述法律制度外,還需要建立洪水資源利用的生態補償制度、跨區糾紛解決機制、水質監測與控制制度等各種制度措施。
三、政策建議
1構建由法律、法規、規章所構成的洪水資源利用法規保障體系
在今后開展洪水資源利用法律制度建設過程中,需要構建由法律、法規、規章所構成的洪水資源利用法規保障體系。在法律層面.可通過修訂防洪法,增加有關洪水資源利用的條款。如將防洪規劃擴展為洪水管理規劃,確立洪水資源利用規劃的地位;明確洪水資源利用的協調機制.加強中央、地方和各行政管理部門之間在洪水資源利用行動中的溝通與協調,擴展國家防汛抗旱總指揮部的職能;將洪水影響評價制度由洪泛區、蓄滯洪區向整個防洪區推廣.由建設項目向與土地利用有關的規劃推廣;在保障措施中,明確洪水資源利用資金的來源,明確中央與地方的洪水資源利用投人原則,明確洪水資源利用基金在洪水管理基金中的比例等。在行政法規層面,需要及時出臺“蓄滯洪區管理條例”,合理確定蓄滯洪區的規劃管理制度、科學利用制度和損害補償制度,以促進蓄滯洪區的優化運用:需要在將來出臺的“地下水資源管理條例”中建立地下水回灌制度,保障地下水的有效供給,從根本上緩解地下水環境惡化趨勢。在部門規章層面,為了具體指導我國洪水資源利用實踐,可以在有關水部門規章的制定、修改時加入洪水資源利用的相關制度。比如,在已納入水利部立法工作安排的“雨洪影響評價分級管理規定”“雨洪影響評價資質管理辦法”“丹江口水庫管理辦法”“尼爾基水利樞紐庫區管理辦法”“東平湖管理辦法”等部門規章中規定與洪水資源利用相關的制度。此外,省、自治區、直轄市人大、政府及相關地方立法機構可以通過制定地方性法規或地方政府規章,結合本地區洪水資源利用的實際需要,將國家確定的洪水資源利用制度予以具體化。
2.采取“自下而上”和“自上而下”相結合的上下聯動路徑進行推進
在洪水資源利用法律制度建設過程中.可以采取“自下而上”和“自上而下”相結合的上下聯動路徑進行推進。一方面,洪水資源利用在我國尚處于起步階段.在這種情況下,開展洪水資源利用法律制度建設適宜“自下而上”,由各地方根據情況先行開展相關法規建設,包括制汀適用于本行政區域的地方性法規或者地方政府規章等。通過地方性立法先行.不僅可以滿足缺水地區科學合理利用洪水資源的立法需求,而且可以因地制宜,積累經驗。另一方面,伴隨著洪水資源利用的實踐推進和各種制度建設的探索,適時“自上而下”,由國家推出相關法律法規,引導全國范圍內洪水資源利用的開展。從洪水資源利用法律制度建設上看.也只有在法律法規層面引進洪水管理理念并對防洪法進行修改,并出臺蓄滯洪區管理條例、地下水資源管理條例等法規之后.才能表明洪水資源利用法規保障體系真正建立。
3.分階段、分步驟、有計劃地推進洪水資源利用法規保障體系建設
在洪水資源利用法規保障體系建沒過程中.可以考慮分為三個階段:2015年前為政策先導與框架確定階段,重點是由地方出臺相關的政策法規.同時盡快推進已經列人水法規體系總體規劃的蓄滯洪區管理條例、洪水影響評價管理條例、地下水資源管理條例等水法、防洪法的配套法規:2015-2020年為主要法律制度完善階段.重點是將防洪法修改完善為洪水管理法:2020年之后為制度進一步健全階段.重點是進一一步修改完善各項政策法規,從而逐步建立起長期、有效的洪水資源利用法規保障體系。
