(完整版)复工复产前专项安全系统风险辨识
芦溪县南坑泉水坳煤矿
复工复产专项安全风险辨识评估报告
芦溪县南坑泉水坳煤矿
二?一七年十月二十三日
复工复产前专项辨识评估人员签字
芦溪县南坑泉水坳煤矿
复工复产前专项安全风险辨识评估报告
第一章安全风险专项辨识评估时间
矿井开展安全风险辨识评估时间:2017年10月23日
第二章安全风险专项辨识评估人员构成矿成立复产复工前安全风险专项辨识评估工作领导小组,参与评估工作人员构成如下:
组长:柳建德
副组长:周建华
成员:黄明强、钟青萍、刘国新、吴未萍、赖凤萍、钟青萍、钟庚彩、陈宗航、童均
第三章安全风险辨识评估项目
矿井复工复产前专项辨识评估
第四章安全风险辨识评估范围泉水坳煤矿在10 月份已停产一个月,十一月份进行复工复产,在复工复产前须对井下进行专项安全风险辨识评估,评估范围主要包含:+320 运输大巷、+360--
+400 总回风巷、22032 采区工作面回风巷、22032工作面、井下电气设备、监测监控系统、
22032工作面溜子道、22032补溜子道掘进工作面可能存在安全风险。
采用作业条件危险性评价法,对辨识出的安全风险进行逐
项评估。该方法米用与风险有关的三种因素指标值的乘积来评估操作人员伤亡风险大小,计算公式为D=L X E X C。其中:L表示
事件发生的可能性、E表示人员暴露于危险环境中的频繁程度、C表示可能造成的后果、D表示危险性。安全风险评估按危害程度、控制能力和管理层次将安全风险划分为重大安全风险、较大
安全风险、一般安全风险和低风险四个等级。D值大于等于270
为重大风险,小于270大于等于140为较大风险,小于140大于等于70为一般风险,小于70为低风险,评估参数详见表1。
表评估参数表
2017 年10 月23 日,在二楼会议室由矿长柳建德组织、安全副矿长周建华、生产副矿长钟青萍、机电副矿长刘国新、安全组、机电组、技术组、通风组等相关业务科室,针对上述要求,我矿从9 月23 日中班起停止了矿井生产。现准备复工复产,在复工复产前,开展矿井复工复产前专项安全风险辨识评估,安全风险辨识相关内容如下:
一、各系统安全风险辨识
1. 通风系统
(1)矿井通风系统:风井装有2台FBCZ N 12.5/37型通风机,功率37kw风机,主抽风机双回路供电,风机反转反风,反风设施较全;风井有引风道、防爆门、安全出口门, 有风机房。
总进风量876.5 m3/min ,总回风量887.5 m3/min 。风险辨识情况:停产期间总回风巷可能局部存在漏棚漏帮或出现大面积垮冒,阻塞巷道通风断面,增加阻力,大面积垮冒会造成矿井风量严重不足的风险。
( 2)采区和工作面通风系统
+320NE22032采区22032 工作面、+320 运输大巷、+360--+400 总回风巷、22032 采区工作面回风巷全部为负压通风,掘进工作
面为局扇送风。
安全风险辨识情况:停产期间采区和工作面回风巷可能存在局部漏棚漏帮或出现大面积垮冒,阻塞巷道通风断面,增加阻力,大面积垮冒
会造成矿采区和工作面风量严重不足的风险。
2. 运输系统
(1)主要大巷运输方式:+320m 水平大巷使用电机车作为运输设备、材料、矸石;矸石采用MGC1.1-6 型1t 固定式矿车;
主要+320运输大巷铺设24kg/m轨道轨距600mm+360水平大巷使用5吨电瓶车作为运输设备、材料、矸石,采用MGC1.1-6型
1t 固定式矿车运输大巷铺设24kg/m 轨道轨距600mm。
3. 供电系统
(1)外部电源
矿井采用双回路供电,供电源一回路引五陂镇10KV侧母线,另一回路引自南坑镇电变电站。一路工作,另一路备用。矿方已与供电部门签定了供用电协议,可保证矿井供电的连续性和可靠性。
(2)井下用电负荷不大,采用低压660v 供电。
(3)主变压器:地面变电所选用矿用隔爆型高压真空配电装置供进出线及联络用,利用2 台型号为KBSG-200/6 矿用隔爆型变压器,供排水、照明等用电。
(4)电气“三大保护” :井下变压器为中性点不接地系统,井下电气设备保护接地。电压在36V以上和由于绝缘损坏可能带
有危险电压的电气设备的金属外壳、构架,铠装电缆的钢带(或钢丝)、铅皮或屏蔽护套等设有保护接地;在+320m 采区配电点外水沟内设2组
主接地极,配电点等均设置局部接地极,通过镀锌扁钢或接地芯线等与电气设备金属外壳或金属构架等互相连接构成完整的接地网,接地网上任一保护接地点的接地电阻值未超过2Q;每一移动式和手持式电气设备至局部接地极之间的保护接地用的电缆芯线和接地连接导线的电阻值,未超过
1 Qo
井下高压配电装置设有漏电保护和漏电闭锁功能,变压器馈出线上装设选择性漏电保护功能的真空馈电开关,照明及信号采用装设有漏电保护装置的综合保护装置配电,以防漏电火花引发瓦斯爆炸事故,高、低压供配电设备设过流保护装置。
(5)掘进工作面局部通风机主电源为井下配电点、备用电源由地面低压变压器供给; 开关具有自动切换闭锁功能,保持局部通风机连续运转、均衡供风、风流稳定。
(6)井下照明:井下各运输大巷车场、配电点、机电硐室
等均设固定照明,照明电压为127V,选用矿用隔爆照明综合保
护装置。
安全风险辨识情况:井下电气设备停用时间长,易造成各类保护失效和存在电气故障。
4. 安全监测监控和人员定位系统
(1 )监测监控系统:矿井现用监测监控系统型号为KJ65N 煤矿安全监控系统,生产厂家是中煤安泰。
矿井按照《煤矿安全规程》和AQ1209-2007的标准安装了相应传感
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。 一、项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。 项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。 应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。 二、评估项目实施 评估实施流程图:
项目实施团队:(分工) 现场工作内容: 项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。 评估工作内容: 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。 资产统计样例(图表)
企业安全风险控制和隐患治理信息系统建设工作方案
企业安全风险控制和隐患治理信息系统建设工作方案 为加快构建安全风险控制和隐患排查治理双重预防工作体系,推动全市工矿企业安全风险控制和隐患治理信息系统(以下简称系统)建设和运用,进一步提高企业对系统的使用能力和监管部门的监控力度,根据自治区安监局《关于印发< 工矿企业安全风险控制和隐患治理绩效考核办法> 、< 市、县(区)安监局安全风险控制和隐患治理绩效考核办法>的通知》(X安监办发[X]X号)和《关于开展工矿企业安全风险控制和隐患治理信息系统建设达标的通知》(X安监发[X]X号)文件要求,制定本方案。 一、工作目标 X 年全市系统建设要按照“风险辨识、清单入库、预控到岗、分级治患、闭环销号、全员参与、实时在线”要求,贯彻“提质扩面,促用增效”的工作思路,进一步完善考核机制,落实奖罚措施,提高企业对系统的使用能力和监管部门的监控力度,加快构建全市安全风险控制和隐患排查治理双重预防工作体系。在辖区工矿企业全面开展以“八个一”为标准的达标活动,年内全市上线的企业50 %以上达标,实施动态全程监控,企业和各级安监人员运用系统进行安全管理和监管成为常态。 三、工作内容
(一)持续规范组织架构和行业分类信息。高度重视安监部门组织架构建设,将所有领导和安监人员纳入组织机构并分配账号,明确工作职责,确保文件接收、业务办理、监管执法工作常态化,为系统有效运用打下基础;督促企业自查并更新完善所属行业、主要负责人、分管负责人、安全部门负责人联系方式等基本信息,确保信息真实准确,尤其是行业信息必须严格按照《自治区安监局关于进一步完善隐患排查治理信息系统企业基本信息的通知》(X安监信息[X]X号)要求进行再核准、再完善,确保与统计上报企业的行业一致。 (二)发挥示范带动作用,全面推广“八个一”工作经验。 1.加强组织领导—形成一套推进资料。企业要切实加强系统建设组织领导,全面全员推动系统建设,建立专门的风险控制和隐患治理系统建设资料。主要包括: ①领导班子专题研究一形成专题研究记录(有图片)。企业主要负责人要亲自主持召开领导班子会议,传达本《方案》精神,专门研究部署系统建设工作,把系统建设作为打基础、治根本、管长远的整体工作加以推进。 ②召开全员动员大会一形成动员大会记录(有图片)。企业要组织全体员工召开系统建设动员大会,讲清系统建设的重要意义和工作要求,明确系统建设是全体员工必须做好的工作。 ③全面部署系统建设一形成建设工作方案。企业要制定系统
复产复工安全技术措施范本
巫山县晶宝煤业有限公司 2016年 复 工 复 产 工 作 预 案 2016年2月28日
会审意见表
巫山县晶宝煤业2016年复工复产工作预案 根据巫山府办发【2016】13号”关于做好煤矿企业春节后复工复产工作的通知和“巫山安监发【2016】10号”及“巫山安监发【2016】11号”文件和结合2016年2月26日巫山县煤炭工业局召开的全县煤矿春节过后复工复产安全会议精神,2016年2月27日上午9:00分,矿长组织召开了2016年春节过后复工复产前的工作预案会议,成立工作预案领导小组,按照工作预案进行部署,对矿井井上下进行拉网式全覆盖不漏死角安全隐患大排查。 一、成立工作预案领导小组: 组长:张怀高(矿长) 副组长:张士平(技术矿长) 成员:范英仓(安全副矿长)刘兆鹏(生产副矿长)魏光山(机电副矿长)裴建海(调度室主任) 方芳(安全科长)李振良(通风科长) 孙德蒙(机电科长)刘利伟(技术科长) 卢士平(掘进队长) 二、张怀高矿长布置,由工作领导小组各成员带领安全科、技术科、通风科、机电科、掘进队长等负责人各负其责集中开展一次安全隐患大排查和整改治理行动,周密安排复工、复产的各项工作,切实消除事故隐患,确保矿井复工
复产期间的安全,并由技术科制定整改方案,相关负责人认真按规定进行排查。 三、复工前,检查主扇风机运行情况,确保主扇风机24小时不间断运转,认真做好瓦斯检查及排水工作。必须做好复工复产期间的工作安排和领导带班值班工作,确保24小时不漏岗,不脱岗,保证通讯畅通,防患于未然。做好值班巡检和矿井重要生产部位的安全保卫。 四、排查时间:2016年3月1 日进行井上全方位隐患大排查工作。2016年3月2 日进行井下全方位隐患大排查工作。 五、检查系统:按照煤矿采、掘、机、运、通、监测监控、煤矿灾害、煤矿六大系统建设、地面库房、道路两侧山体滑坡和碎石隐患、炸药库、蓄水池、两堂一舍、煤场、翻煤平台等作业场所,使矿井上下安全生产全面覆盖,不留盲区,不留死角,全面地开展隐患排查整治 六、井上排查线路:办公楼→3号风井风机房→主副斜井井口工业广场→1号风井风机房。 井下排查线路:地面→副斜井→北翼总进风→避难硐室→中央配电室→井下中央水泵房→1号回风斜井井底车场→井下主皮带运输大巷→揭煤石门平巷→西五上山→1103运输巷→采区回风下山→采区皮带运输巷→1101悬移支架进风巷→1101悬移支架回风巷→3号回风井井底车场→采区
信息安全风险识别与评价管理程序
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
信息系统安全风险评估管理办法
信息系统安全风险评估管理办法 第一章总则 第1条公司安全评估管理办法是指导公司进行周期性的信息安全评估,目的是评估出公司信息网络范围内的弱点,并指导进一步的安全修补,从而消除潜在的危险,使整个公司的信息安全水平保持在一个较高的水平。 第2条安全评估的范围包括公司范围内所有的信息资产,并包括与公司签订有第三方协议的外部信息资产。安全评估的具体对象包括服务器、网络和应用系统,以及管理和维护这些对象的过程。 第二章风险的概念 第3条资产:资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。 它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。 第4条弱点:弱点和资产紧密相连,它可能被威胁(威胁的定义参见威胁一章)利用、引起资产损失或伤害。值得注意的是,弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了机会。 第5条威胁:威胁是对系统和企业网的资产引起不期望事件而造成的损害的潜在可能性。 威胁可能源于对企业信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、 页脚内容1
完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用企业网络中的系统、应用或服务的弱点(弱点的定义参见弱点一章)才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。鉴于本项目的特点,将威胁的评估专注于非授权蓄意行为上面。 第6条风险:风险是一种潜在可能性,是指某个威胁利用弱点引起某项资产或一组资产的损害,从而直接地或间接地引起企业或机构的损害。因此,风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。 第7条安全评估:安全评估是识别被保护的资产和评价资产风险的过程。 第三章安全评估过程 第8条安全评估的方法是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。 第9条安全评估的过程包含以下4个步骤: 1.识别资产并进行确定资产价值赋值:在确定的评估范围内识别要保护的资产,并 对资产进行分类,根据资产的安全属性进行资产价值评估。 2.评估对资产的威胁:评估在当前安全环境中资产能够受到的威胁来源和威胁的可 能性。 3.评估资产威胁相关的弱点:评估威胁可能利用的资产的弱点及其严重程度。 4.评估风险并排列优先级:根据威胁和弱点评估的结果,评估资产受到的风险,并 对资产的风险进行优先级排列。 第10条根据安全评估结果,制定对风险实施安全控制的计划。 页脚内容2
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息系统安全风险评估的形式
信息系统安全风险评估的形式 本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素、原则、模型、方法以及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。 随着我国经济发展及社会信息化程度不断加快,信息技术得到了迅速的发展。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘多拉盒子”已经不止一次被打开。由于信息系统安全问题所产生的损失、影响不断加剧,信息安全问题也日益引起人们的关注、重视。 信息安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。在这项工作中,信息安全风险评估占有重要的地位,它是信息系统安全的基础和前提。 1.信息安全风险评估概述 信息安全风险评估所指的是信息系统资产因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措
施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。 2.信息安全风险评估的作用 信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。 针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。 3.信息安全风险评估的基本要素 3.1 使命
复工复产安全生产工作方案(最新)
为了切实做好煤矿复工复产的安全生产工作,保证煤矿安全复工复产,根据《毕安委[2015]1号》、《毕安委[2016]1号》、《百管办通[2016]10号》等文件精神及上级有关部门的要求,结合我矿实际,做到复工复产工作安全可靠、顺利进行,进一步贯彻执行“煤矿矿长保护矿工生命安全七条规定”,落实企业安全生产主体责任制,切实抓好复工复产的安全工作,特制定以下工作方案和安全技术措施: 复工开工时间安排1、2016年5月17、18日为全体员工报到时间,报到时全体员工应带好身份证,并统一在安全科报到注册。到百管委指定医院参加职业卫生体检,体检合格后与我矿签订劳动用工合同并参加岗前100小时以上的安全培训、复训学习。 2、制定并落实复工安全保障措施,严禁隐患不排除和安全措施不落实盲目复工。 3、组织复工培训学习。召开“收心会”,贯彻学习“一禁令”、“四个100%”、“五规定”、2014年“两个三号文”、重点学习毕安委[2015]1号文、毕安委[2015]2号文、毕安办[2015]3号文、毕安办[2016]1号文、百管办通[2016]10号文、安全生产的方针政策、复工安全措施、安全作业规程等。并进行考试(考核),考试合格后方可上岗作业,培训时间不少于20小时。 4、将复工复产工作方案及安全技术措施上报集团公司审批,报监管部门备案。 5、2016年5月20日前书面申请百管委煤矿监管部门验收小组进行检查验收,确保5月25日前煤矿正常的生产作业。 6、经相关领导签字同意后,方进行复工复产作业。 成立春节后复产复工安全检查小组组长:矿长 副组长:总工、安全矿长 成员:生产矿长、机电矿长、后勤矿长、通防副总、地测副总、机电副总及各科室负责人。 三、安全检查内容 1、检查供电系统安全可靠性。复工前,要对矿井内、外部供电系统、备用电源、矿井变配电设备、供电线路、用电设备等进行全面检查,及时检修,保证主扇、排水、瓦斯排放等关键设备的正常供电。
信息系统安全管理
信息系统安全管理与风险评估 信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。 制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全,软件开发上可选择不同的安全粒度,如记录级,文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理,并与技术策略和措施相结合,从而使信息系统达到整体上的安全水平。其实,在系统的安全保护措施中,技术性安全措施所占的比例很小,而更多则是非技术性安全措施。两者之间是互相补充,彼此促进,相辅相成的关系。信息系统的安全性并不仅仅是技术问题,而严格管理和法律制度才是保证系统安全和可靠的根本保障。 信息系统安全是计算机信息系统运行保障机制的重要内容。他的不安全因素主要来自以下几个方面:物理部分主要有机房不达标设备缺乏保护措施和存在管理漏洞等。软件部分,安全因素主要有操作系统安全和数据库系统安全。网络部分,包括内部网安全和内h外部网连接安全两方面。信息部分,安全的因素有信息传输线路不安全存储保护技术有弱点及使用管理不严格等。
信息系统安全评测与风险评估试题及答案.doc
信息系统安全评测与风险评估试题 姓名分数 一:填空题(36分) 1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据()性和数据的()与恢复三个环节来考虑。 3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。 4.资产识别包括资产分类和()两个环节。 5.威胁的识别可以分为重点识别和() 6.脆弱性识别分为脆弱性发现()脆弱性验证和() 7.风险的三个要素是资产()和() 8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。
二:问答题:(64分) 1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10 分) 2.数据安全评测是主要应用哪三种方法进行评测?你如何理 解?(10分)
3.国家标准中把主机评测分为哪八个环节?你如何理解?(10 分) 4.什么是资产和资产价值?什么是威胁和威胁识别?什么是脆 弱性?(14分)
5.什么是风险评估?如何进行风险计算?(20分) 答案 一:填空题答案: 1.科学精神工作作风 2.保密性备份 3.硬件人员信息载体和信息环境 4.资产赋值 5.全面识别 6.脆弱性分类脆弱性赋值 7.脆弱性威胁 8.角色及职责应急响应流程 二:问答题答案: 1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在 一起。目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。 2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测
信息系统风险评估报告格式欧阳歌谷创编
国家电子政务工程建设项目非涉密 信息系统 欧阳歌谷(2021.02.01) 信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日 目录 一、风险评估项目概述1 1.1工程项目概况1 1.1.1 建设项目基本信息1 1.1.2 建设单位基本信息1 1.1.3承建单位基本信息2 1.2风险评估实施单位基本情况2 二、风险评估活动概述2 2.1风险评估工作组织管理2 2.2风险评估工作过程2 2.3依据的技术标准及相关法规文件2
2.4保障与限制条件3 三、评估对象3 3.1评估对象构成与定级3 3.1.1 网络结构3 3.1.2 业务应用3 3.1.3 子系统构成及定级3 3.2评估对象等级保护措施3 3.2.1XX子系统的等级保护措施3 3.2.2子系统N的等级保护措施3 四、资产识别与分析4 4.1资产类型与赋值4 4.1.1资产类型4 4.1.2资产赋值4 4.2关键资产说明4 五、威胁识别与分析4 5.1威胁数据采集5 5.2威胁描述与分析5 5.2.1 威胁源分析5 5.2.2 威胁行为分析5 5.2.3 威胁能量分析5 5.3威胁赋值5
六、脆弱性识别与分析5 6.1常规脆弱性描述5 6.1.1 管理脆弱性5 6.1.2 网络脆弱性5 6.1.3系统脆弱性5 6.1.4应用脆弱性5 6.1.5数据处理和存储脆弱性6 6.1.6运行维护脆弱性6 6.1.7灾备与应急响应脆弱性6 6.1.8物理脆弱性6 6.2脆弱性专项检测6 6.2.1木马病毒专项检查6 6.2.2渗透与攻击性专项测试6 6.2.3关键设备安全性专项测试6 6.2.4设备采购和维保服务专项检测6 6.2.5其他专项检测6 6.2.6安全保护效果综合验证6 6.3脆弱性综合列表6 七、风险分析6 7.1关键资产的风险计算结果6 7.2关键资产的风险等级7 7.2.1 风险等级列表7
信息系统安全评测与风险评估试题及答案
信息系统安全评测与风险评估试题及答案 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
信息系统安全评测与风险评估试题 姓名分数 一:填空题(36分) 1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。 2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据 ()性和数据的()与恢复三个环节来考虑。 3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(),服务(),其他”六大类,还可以按照“信息形态”将资产分为“信息,()和()三大类。 4.资产识别包括资产分类和()两个环节。 5.威胁的识别可以分为重点识别和() 6.脆弱性识别分为脆弱性发现()脆弱性验证和() 7.风险的三个要素是资产()和() 8.应急响应计划应包含准则,()预防和预警机制() ()和附件6个基本要素。 二:问答题:(64分) 1.什么是安全域目前中国划分安全域的方法大致有哪些(10分) 2.数据安全评测是主要应用哪三种方法进行评测你如何理解(10分) 3.国家标准中把主机评测分为哪八个环节你如何理解(10分)
4.什么是资产和资产价值什么是威胁和威胁识别什么是脆弱性(14分) 5.什么是风险评估如何进行风险计算(20分) 答案 一:填空题答案: 1.科学精神工作作风 2.保密性备份 3.硬件人员信息载体和信息环境 4.资产赋值 5.全面识别 6.脆弱性分类脆弱性赋值 7.脆弱性威胁 8.角色及职责应急响应流程 二:问答题答案: 1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。目 前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域。 2.国家标准中要求信息安全评测工程师使用“访谈”,“检查”和“测试”这 三种方法进行评测。 访谈:指评测人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。 检查:指评测人员通过对测评对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法。
信息系统安全管理与风险评估
信息系统安全管理与风险评估 陈泽民:3080604041 信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。 制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全,软件开发上可选择不同的安全粒度,如记录级,文件级信息级等。在系统的各个层次中展开安全控制是非常有利的。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。此外安全教育与管理也是系统安全的重要方面。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理,并与技术策略和措施相结合,从而使信息系统达到整体上的安全水平。其实,在系统的安全保护措施中,技术性安全措施所占的比例很小,而更多则是非技术性安全措施。两者之间是互相补充,彼此促进,相辅相成的关系。信息系统的安全性并不仅仅是技术问
2019春节后复工复产安全检查表
排查人员: 序排查项目号1设备设施 2危险品 使用现场3劳动防护 4机械设备 用 电 5安 全 6厂区环境 7车间 作业环境2019 年春节后复工复产安全隐患排查表 排查日期:年月日排查内容排查结果整改整改期限 责任人 1.气瓶检验其外观颜色、安全附件、储存 符合要求并安全使用。 2.危险化学品库要分类分区、电气设备防 爆、消防通道符合要求。 3.应急救援物资、设备配备完善。 1.储存、使用符合要求。 2.建立有事故预防预案。 3.设有应急救护设施。 1.按规定穿戴劳动防护用品。 2.超过 2 米以上的登高作业经安保部门 审查批准,同时系好安全带并有专人监 护。 3.职业卫生符合国家规定的标准。 1.定期进行机械设备及其各种保护装置 安全检查和维护保养, 2.对机械设备及其各种保护装置进行班 前检查。 3.机械设备转动部件、传动装置安装有防 护装置或采取了其它有效的防护措施。 1.临时用电经安保部门审查批准,并有专 人负责管理,限期拆除。 2.露天使用的用电设备、配电装置应采取 防雨、防晒、防雪和防尘的措施。 3.电气设备、开关、插座不得安装在可燃 材料上,电线下不得堆放可燃物资。 4.机床照明确保好用并采用安全电压。 5.使用手持电动工具等移动电器设备,应 装设漏电保护器,是金属外壳的,是否 进行保护接地或接零。 6.在用电设备和电气线路的周围留有足 够的安全通道和工作空间。 7.电气装置没有超负荷运行或带故障使 用。 1.厂区通道照明、厂区消防、厂区消防通 道符合要求。 1.实行定置摆放。 2.车间、地面、通风、采光、消防通道及
疏散设备布局合理。 1.仓库消防通道畅通。 2.消防设施完好、有效、无遮挡;有专人 管理。 8仓库 3.物品摆放符合要求。 4.库存物品分类、分垛储存,垛与墙间距 不小于 0.5 米,垛高不大于 4.0米,主通 道宽度不小于 2 米。 吊装作业符合规范。 9起重吊装吊索具按规定使用,吊具符合要求。 操作人员持证上岗,执行操作规程。 起重设备维护保养记录。 1.对危害因素检测建档、并采取了防护措 施、配备防护用具。 10职业危害 2.定期防护设备、设施进行检查,建有相 关的管理制度。 3.对从业人员进行职业健康知识培训。 填写说明: 1.符合项√,不符合项×。
信息安全风险识别与评价管理程序
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 3.1 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 3.2 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 4.1 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首
际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。 表1 一种基于表现形式的资产分类方法 4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般
4.2.2 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 4.2.3 信息分类不适用时,可不填写。 五、风险评估实施: 5.1 资产赋值 5.1.1 保密性赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。 表2 提供了一种保密性赋值的参考
信息系统安全风险的评估报告
项目名称: XXX风险评估报告被评估公司单位: XXX有限公司 参与评估部门:XXXX委员会 一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息
1.2 风险评估实施单位基本情况 二、风险评估活动概述 2.1 风险评估工作组织管理 描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。 2.2 风险评估工作过程 本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。 2.3 依据的技术标准及相关法规文件
2.4 保障与限制条件 需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。 三、评估对象 3.1 评估对象构成与定级 3.1.1 网络结构 根据提供的网络拓扑图,进行结构化的审核。 3.1.2 业务应用 本公司涉及的数据中心运营及服务活动。 3.1.3 子系统构成及定级 N/A
3.2 评估对象等级保护措施 按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果。 根据需要,以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施 根据等级测评结果,XX子系统的等级保护管理措施情况见附表一。 根据等级测评结果,XX子系统的等级保护技术措施情况见附表二。 四、资产识别与分析 4.1 资产类型与赋值 4.1.1资产类型 按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。 4.1.2资产赋值 填写《资产赋值表》。
第七章 信息系统的风险、控制与安全概要
第七章信息系统的风险、控制与安全 教案 Ⅰ本章教学目的和要求 通过本章的学习,使学生了解会计信息系统可能遇到的风险,掌握内部控制的概念、作用、功能和分类,掌握会计信息系统的控制技术,了解网络会计信息系统的安全技术。 II 本章重点 IT环境下信息系统的风险分析;会计信息系统的内部控制重点及其措施;会计信息系统的一般控制基本类型介绍;会计信息系统的应用控制;网络信息时代的内部控制理论。 III 本章难点 会计信息系统的一般控制与应用控制的区别;网络信息时代的内部控制理论;事件驱动会计信息系统的风险识别与控制;会计信息系统的安全策略。 Ⅳ本章计划使用教学课时:7课时(课堂讲授5课时,实践2课时)V 教学内容及教学过程的组织 教学方法:采用课堂讲授与实践调查相结合的方式 〖教学内容引入〗信息技术是一把双刃剑,随着企业信息系统的应用和会计信息系统的普及,信息技术帮助企业改善了经营管理、强化了会计的反映和监控职能、整体提高了企业的营运效率和信息质量水平,这些都显现出了信息技术的有利一面;但与此同时,恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更等现象屡见不鲜,这又折射出了信息技术的不利一面。严峻的现实告诉我们,信息系统安全问题已经成为企业实施信息化战略时不得不重视的一大问题,如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、合理的风险控制体系已然成为每一个建立信息系统的企业首先要面对的重大问题。 第一节风险与控制之间的关系 信息系统的使用提高了工作效率和经济效益,充分发挥了信息资源的作用,但信息系统在发挥其作用的同时也导致了众多不安全因素的潜入,具有受到严重侵扰和损坏的风险,所以必须采取相应的策略进行系统控制,保证系统的安全。 一、IT环境下信息系统的风险分析 这里着重要讲清楚三个问题:到底什么是风险;信息系统可以防范手工系统下可能面临的哪些风险;IT环境下信息系统到底面临哪些风险。第一个问题已是老生常谈的问题,因此简单介绍即可,抓住关键两点:风险具有不确定性,风险可能导致损失。第二和第三个问
复工复产前安全生产检查制度
复工复产前安全生产检查制度为了强化施工现场安全生产管理,保障节后生产工作顺利开展,消除各类安全隐患,特制订复工检查方案,并根据《复工检查方案》在复工前对生产工作进行全面检查。 一、检查内容 1. 开展节后复工的安全生产条件检查; 2. 强化对关键环节和重点部位的复工检查; 3. 积极开展安全生产教育培训活动; 4. 对生产现场进行全面深入的检查:对现场电、水、气、安全防护、设备状态、劳保用品等的落实情况进行检查。 二、工作目标 检查要求全面、深入、细致。安全生产保障措施要健全,严格按照安全生产技术规程和标准,彻底排查治理安全隐患,解决安全管理存在的问题,有效防范和坚决遏制事故的发生。 三、工作要求 1. 提升认识,精心组织 要充分认识复工检查工作是安全生产的基础前提和有力保障,要结合自身生产特点和安全生产状况,精心组织并制定具体实施方案,明确工作目标,把工作做细、做深落到实处。 2. 强化领导,落实责任 要提升对复工安全生产的认识,始终坚持“安全第一,预防为主,综合治理”的方针,坚决克服盲目乐观、麻痹松懈的思想,切实强化节
后复工安全生产工作。各部门管理人员应当及时到位,认真做好生产复工前的各项准备工作:确保安全工作有人负责,安全措施落实到位,安全检查全面细致。公司安全生产小组组长,要充分发挥积极性、主动性,完善规章制度,制定措施,把安全生产责任落实到岗、到位。 3. 安全生产小组对本次检查负责 要对本次节后复工检查做到检查不留死角、整改不留后患;加大工作力度,排查要记录、隐患要建档、整改有措施,坚决遏制建筑安全生产事故的发生。 4. 强化复工前的安全培训和教育 ①、要认真落实三级安全教育,复工前组织现场生产人员集中开展安全知识教育培训,强调复工后的安全注意事项,着力提升生产员工的自我防护意识,特别是对节后新进的新员工,必须进行岗前操作安全培训,未经培训和三级安全教育不合格的,一律不得上岗作业。 ②、严格执行特殊工种作业人员持证上岗制度,无特种作业操作证或操作证过期的人员,一律不得上岗作业,切实从源头上减少安全隐患,确保节后安全生产的顺利展开。 四、工作开展情况 公司安全生产小组对生产现场进行检查。检查中,对检查出的安全隐患下达《隐患整改通知书》要求相关部门限期整改,且各安全隐患整改完成并复查合格。 用电方面:由动力部管理人员及安全人员对宿舍、现场及配电区域进
工程复工复产安全工作汇报
广西建工集团第一建筑工程有限责任公司 东环二期二标春节期间及节后安全工作总结为认真落实集团、公司春节期间安全生产文件精神,切实做好春节及“两会”期间项目安全生产工作,根据南宁市安全生产监督管理局《关于切实做好春节期间全生产工作的通知》精神,我项目部主要抓了以下几个方面的安全工作: 一、严格执行春节期间停产停工及应急值守制度。 春假期间,我项目部按照上级指示公司要求,从2月1日~11日(即农历十二月二十七~正月初七)实行停工放假。停产停工期间,坚持项目部领导带班、项目管理人员值班、保卫人员值守的制度,确保了春节放假期间的项目部停工期间安全管理工作。 二、严格节后复产复工安全检查工作。 我公司从2月12日(正月初八)正式申请复工上班。开工的前两天,抓好员工的收心和作业现场的安全检查工作,主要采取了如下几个方面的工作: 一是开好春节后的安全生产动员会。在节后上班的的第一次项目部会仪上,强调安全及收心劝导,教育作业人员以高度安全责任心进行工作。做好各班组入场工人安全教育及安全技术交底工作。并进行书面签字存档。(见附图) 二是施工现场全面安全检查。上班第一天,各项目负责人、安全
负责人、安全员、施工员会同监理单位负责人,建设单位负责人到施工现场并与作业人员一道,对施工作业面、设备设施、临时用电、交通导改安全状况进行详细严格的检查,共查处安全隐患14项,(见附表)发现问题及时处理,严把安全关; 三是加强重要设备设施的安全操作,特别是吊车、钢筋加工设备等重要设备的安全操作,要坚持持证上岗,不得无证操作。 通过以上工作,我公司在春节期间及复产工后,保持了生产安全。 特此总结 附:复工安全检查隐患整改汇总表 广西建工集团第一建筑工程有限责任公司 东环二期二标项目部 2019年2月28日
信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
服务器脆弱性识别表格 依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。 项目子项内容是否符合备注 安全功能身份 鉴别 a) 按 GB/T 20271-2006 中 6.3.3.1.1 和以下要 求设计和实现用户标识功能: ——凡需进入操作系统的用户,应先进行标识(建立 账号); ——操作系统用户标识应使用用户名和用户标识 (UID),并在操作系统的整个生存周期实现用户的唯 一性标识,以及用户名或别名、UID 等之间的一致性; b) 按 GB/T 20271-2006 中 6.3.3.1.2 和以下要 求设计和实现用户鉴别功能: ——采用强化管理的口令鉴别/基于令牌的动态口令 鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴 别,并在每次用户登录系统时进行鉴别; ——鉴别信息应是不可见的,在存储和传输时应按 GB/T 20271-2006 中 6.3.3.8 的要求,用加密方法进 行安全保护; ——过对不成功的鉴别尝试的值(包括尝试次数和 时间的阈值)进行预先定义,并明确规定达到该值时 应采取的措施来实现鉴别失败的处理。 c) 对注册到操作系统的用户,应按以下要求设计和 实现用户-主体绑定功能: ——将用户进程与所有者用户相关联,使用户进程的 行为可以追溯到进程的所有者用户; ——将系统进程动态地与当前服务要求者用户相关 联,使系统进程的行为可以追溯到当前服务的要求者 用户。 自主 访问 控制 a) 允许命名用户以用户的身份规定并控制对客体 的访问,并阻止非授权用户对客体的访问。 b) 设置默认功能,当一个主体生成一个客体时,在 该客体的访问控制表中相应地具有该主体的默认值; c) 有更细粒度的自主访问控制,将访问控制的粒度 控制在单个用户。对系统中的每一个客体, 都应能够实现由客体的创建者以用户指定方式确定其 对该客体的访问权限,而别的同组用户 或非同组的用户和用户组对该客体的访问权则应由创 建者用户授予; d) 自主访问控制能与身份鉴别和审计相结合,通 过确认用户身份的真实性和记录用户的各种成 功的或不成功的访问,使用户对自己的行为承担明确 的责任;