第一篇:信息安全风险评估管理办法
信息安全风险评估管理办法
第一章 总 则
第一条 为规范信息安全风险评估(以下简称“风险评估”)及其管理活动,保障信息系统安全,依据国家有关规定,结合本省实际,制定本办法。
第二条 本省行政区域内信息系统风险评估及其管理活动,适用本办法。
第三条 本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
本办法所称重要信息系统,是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。
本办法所称风险评估,是指依据有关信息安全技术与管理标准,对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。
跨省或者全国统一联网运行的重要信息系统的风险评估,可以由其行业管理部门统一组织实施。
涉密信息系统的风险评估,由国家保密部门按照有关法律、法规规定实施。第五条 风险评估分为自评估和检查评估两种形式。自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行,双方实行互备案制度。第二章 组织与实施
第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划,并对重要信息系统管理技术人员开展相关培训。
第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托,具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试。第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。
第九条 重要信息系统新建、扩建或者改建的,在设计、验收、运行维护阶段,均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的,应当及时进行自评估。
第十条 本省行政区域内信息系统应当定期开展风险评估,其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统,可以不再进行自评估。
第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构,对本行政区域内重要信息系统实施检查评估。第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估,受委托的风险评估服务机构应当与被评估单位签订风险评估协议。
对于评估活动可能影响信息系统正常运行的,风险评估服务机构应当事先告知被评估单位,并协助其采取相应的预防措施。
第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。
风险评估服务机构出具的自评估报告,应当经被评估单位认可,并经双方部门负责人签署后生效。
风险评估服务机构出具的检查评估报告,应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内,将审定结果和整改意见告知被评估单位。第十四条 自评估单位应当根据自评估报告进行整改,并自报告生效之日起30日内,将自评估情况和整改方案报本级信息化主管部门备案。
接受检查评估的单位应当自收到检查评估报告之日起30日内,根据整改建议提出整改方案、明确整改时限,报本级信息化主管部门备案。
受委托进行风险评估的服务机构应当指导被评估单位开展整改,并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单,督促未备案单位开展自评估。
第十六条 未发生重大变更的重要信息系统再次进行风险评估的,可以参考前次评估结果,重点评估以下内容:
(一)前次风险评估发现的主要问题及整改情况;
(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后,可能出现的安全隐患;
(三)新的信息技术可能对信息系统安全造成的影响;
(四)其他需要重点评估的内容。第三章 风险评估机构
第十七条 在本省行政区域内从事自评估服务的社会机构,应当具备下列条件,并报经其所在地省辖市信息化主管部门备案:
(一)依法在中国境内注册成立并在本省设有机构,由中国公民、法人投资或者由其它组织投资;
(二)从事信息安全检测、评估相关业务两年以上,无违法记录;
(三)专业评估人员不少于10人且均为中国公民,接受并通过相关培训考核,无违法记录;其中主要评估人员2人以上,具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格,具备独立实施风险评估的技术能力;
(四)评估使用的技术装备、设施符合国家信息安全产品要求;
(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;
(六)法律法规规定的其它条件。
第十八条 在本省从事检查评估的社会机构,除具备第十七条规定条件外,还应当同时具备下列条件,并经其所在地省辖市信息化主管部门审核后,报省信息化主管部门备案:
(一)具有国家权威机构认定的信息安全服务资质;
(二)评估人员不少于20人,其中主要评估人员4人以上,具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。
第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内,告知备案结果,并定期向社会公布本行政区域内风险评估服务机构备案名单,对其服务进行管理、监督。
第二十条 从事风险评估服务的机构,应当履行下列义务:
(一)遵守国家有关法律法规和技术标准,提供科学、安全、客观、公正的评估服务,保证评估的质量和效果;
(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私,防范安全风险,不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;
(三)对服务人员进行安全保密教育,签订服务人员安全保密责任书,并负责检查落实。第四章 监督管理
第二十一条 违反本办法,有以下行为之一的,由信息化主管部门责令其限期改正,逾期不改正的,予以通报;对直接责任人员,由所在单位或上级主管部门视情给予行政处分:
(一)违反第九条、第十条规定,信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;
(二)违反第十四条规定,自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;
(三)违反第八条规定,信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估,并造成不良后果的。第二十二条 违反本办法第十二条规定,风险评估服务机构未事先告知被评估单位、协助其采取预防措施的,由信息化主管部门责令限期改正,并给予警告;造成不良后果的,可视情暂停其备案1年,直至取消其备案。
第二十三条 违反本办法第二十条规定,风险评估服务机构未经许可向第三方提供被评估单位相关信息的,或者从事影响评估客观、公正的活动的,由信息化主管部门视情暂停其备案一年,直至取消其备案。造成被评估单位经济损失的,应予合理赔偿;从中不当获利的,应予退还;构成犯罪的,应依法追究其刑事责任。
第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的,由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的,依法追究刑事责任:
(一)利用职权索取、收受贿赂,或者玩忽职守、滥用职权的;
(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。第五章 附 则
第二十五条 本办法自发布之日起施行,由省信息化主管部门负责解释。
第二篇:信息安全风险评估服务
1、风险评估概述
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
2、风险评估的发展现状
2.1信息安全风险评估在美国的发展
第一阶段(60-70年代)以计算机为对象的信息保密阶段
1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。特点:
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性,且重点在于安全评估,对风险问题考虑不多。第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。
第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。2.2我国风险评估发展
● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题
● 2003年8月至2010年在国信办直接指导下,组成了风险评估课题组
● 2004● 2005年,国家信息中心《风险评估指南》,《风险管理指南》 年全国风险评估试点
● 在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿
● 2006年,所有的部委和所有省市选择1-2单位开展本地风险评估试点工作
● 2015年,国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案,其中相关规定明确风险评估在电力系统中的需要
● 2017年7月,《中华人民共和国网络安全法》颁布,其中第二章第十七条“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。
3、风险评估要素关系模型
4、风险评估流程
● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理
5、风险评估原则
● 符合性原则 ● 标准性原则 ● 规范性原则
● 可控性原则 ● 保密性原则
● 整体性原则 ● 重点突出原则 ● 最小影响原则
6、评估依据的标准和规范
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 《电力监控系统安全防护规定》(发改委14号令)
《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)
GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》
ISO/IEC 27001:2005《信息安全管理体系标准》
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》
GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》
GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》
《电力行业信息安全等级保护基本要求》(电监信息[2012]62号) 《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)
《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)
7、风险评估的发展方向
8.1风险评估行业发展方向
从2003年7月至今,我国信息安全风险评估工作大致经历了三个阶段,即调查研究阶段、标准编制阶段和试点工作阶段。
历时两年、经过调查研究、标准编制和试点工作三个阶段,目前,我国信息安全风险评估工作已取得阶段性的成果,此间也是《关于开展信息安全风险评估工作的意见》政策文件,以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。
信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件,并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。所以,所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在可被接受的残余风险的信息系统。因此,需要运用信息安全风险评估的思想和规范,对信息系统展开全面、完整的信息安全风险评估。
信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提,又是信息系统安全建设和安全管理的基础工作。通过风险评估,能及早发现和解决问题,防患于未然。当前,尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估,随时掌握我国重要信息系统和基础信息网络的安全状态,及时采取有针对性的应对措施,为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况,明确信息化建设中各级的责任,采取或完善更加经济有效的安全保障措施,保证信息安全策略的一致性和持续性,并进而服务于国家信息化发展,促进信息安全保障体系的建设,全面提高信息安全保障能力。其意义具体体现在于:风险评估是信息安全建设和管理的关键环节,它是需求主导和突出重点原则的具体体现,是分析确定风险的过程,加强风险评估工作是信息安全工作的客观需要。
国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来,我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。
8.2公司自身的发展方向
就当前公司而言,最紧要的是对于信息安全风险评估资质的申请,和人员技术的培训。依托现有的省公司调度自动化处的合作,促进与新型能源企事业合作,大力开展光伏电站入网前的安全防护检查与检测,同时拓展到风电、水电和火电的并网后的定期检查。在这个方面,我司现在的业务水平尚有欠缺,技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下,我们要在资质和技术上双管齐下。另外,在正式介入这个行业后,我们不能只局限于和电厂的合作,更应该面向整个社会,提高社会参与度。据河南同样类型的企业,其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化,意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源,抢占市场,占据优势地位。
第三篇:安全风险信息报送管理办法
乌鲁木齐轨道交通工程
安全风险信息报送管理办法
新疆乌京基础设施建设管理有限公司
第一章
总
则
第一条
为加强乌鲁木齐市轨道交通工程施工阶段安全风险监控信息报送管理,进一步明确各参建单位的监控信息报送内容、对象、方式和程序,特制定本办法。
第二条
本办法主要针对施工过程中风险监控信息报送,其它信息的报送按照相关管理办法要求执行。
第三条
新疆乌京基础设施建设管理有限公司(以下简称乌京建管公司)风险监测部为安全风险监控信息管理部门。
第四条
本办法由乌京建管公司风险监测部负责组织编写、修订并解释。
第二章
一般规定
第五条
监控信息包括一般监控信息、预警信息及消警信息。其中,一般监控信息包括监测信息、巡视信息及监控成果报告;预警信息包括监测预警、巡视预警和综合预警信息;监控成果报告包括监控日小结、周报、月报、阶段报告、年报,总结报告、建设单位要求的风险工程专项监测报告等。
第六条
监控信息报送形式主要是通过“乌市轨道交通工程施工安全风险监控管理系统”(以下简称安全风险监控系统)报送、电话通知和书面报送。
第七条
各级监控实施或管理主体除向上级监控或管理主体上报监控信息外,还应对其信息进行分析,并及时反馈下级监控或管理主体,以有效指导施工。第八条
参建单位中任何一方发布巡视预警后,其他单位不再发布同一部位、同一类别、同一等级的巡视预警。
第九条
当预判风险工程可能达到红色综合预警状态或发生重大风险事件时,应首先组织先期处置,并以电话等快捷和可追溯的形式及时向相关单位进行快报。
第十条
对预警状态的风险事务处理结束后,预警发布单位应及时进行消警处理。
第十一条
预警及消警事务的处置要求,具体参见《安全风险预警、处置及消警管理办法》。
第三章
管理结构与职责
第十二条
管理结构
(一)安全风险监控信息报送实行三级管理。
1、乌京建管公司领导层:乌京建管公司总经理、安全总监;
2、乌京建管公司:乌京建管公司风险监测部(依托第三方监测总体咨询单位或安全风险咨询单位);
3、项目实施单位:施工单位、监理单位、第三方监测单位组成。
(二)项目实施各单位均应建立自身的监控信息报送管理体系,安排专人进行监控信息管理。
第十三条
参建单位职责
(一)乌京建管公司领导层
1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。
2、向风险监测部、第三方监测、监理、施工单位反馈监督指导意见。
3、参与单项红色预警、综合橙色、综合红色预警审批及消警审批。
(二)风险监测部是乌市轨道交通工程风险监控信息报送的管理主体
1、指导、监督和检查施工单位、监理单位、第三方监测单位的施工风险监控信息报送工作。
2、依托安全风险咨询单位和第三方监测单位开展乌市轨道交通工程安全风险状况咨询评价工作,并向监理、施工单位反馈监督指导意见。
3、依托安全风险咨询单位或第三方监测单位发布综合橙色、红色预警。
4、负责施工监测阶段单项黄色、橙色、综合黄色预警的消警报告审批。
(三)第三方监测单位
负责实施乌市轨道交通工程施工监控信息的汇总、分析、评价、报送与咨询服务和“安全风险监控系统”等维护工作,其主要职责为:
1、第三方监测总体咨询服务
(1)统一全线第三方监测工点、监理及施工单位信息报送内容及格式,编制第三方监测总体日小结、周报、月报、年报等全线信息,协助风险监测部汇总编制风险监测部的日小结、周报、月报、年报等 全线信息,并负责上报公司主管领导层;
(2)负责指导并督促第三方监测工点、施工、监理单位上报日小结、周报、月报、年报等全线信息;负责督促第三方监测工点单位及时编制阶段监测报告、工点监测总结报告等,并负责上报风险监测部。
(3)汇总全线的监控信息(主要指日常的汇报资料、日小结、周报、月报等)上报安全风险咨询单位或风险监测部。
(4)督促第三方监测、施工、监理单位上传安全风险监控系统所需工程资料,并负责审批;
(5)按照风险监测部的要求、第三方监测工点单位会商成果等,建立第三方监测总体单位的各类风险管理台账,并负责监督第三方监测工点单位的台账建立。
(6)施工阶段针对第三方监测工点单位上报的监控信息或反馈的信息,及时向安全风险咨询单位及乌京建管公司风险监测部提出风险评估和处置措施建议。
(7)针对工点单位的预警,第三方监测总体单位要及时跟踪响应,提出风险评估和处理意见。
(8)对全线监测红色预警、巡视预警、综合预警进行跟踪响应,提出咨询意见,直至风险消警。
(9)统一制定全线施工单位监测总结报告及第三方监测阶段报告、总结报告内容及格式,督促各第三方监测工点单位及时编制以上报告并负责审核,上报风险监测部。(10)负责乌京建管公司要求的其他信息上报工作。
2、第三方监测工点
(1)收集本标段勘察、设计、施工、第三方监测等单位“安全风险监控系统”所需基础资料,并负责上传相关基础资料(含GIS图)、监测数据及巡视信息等。
(2)编写第三方监测工点单位的日小结、周报、月报、年报等,并负责向风险监测部、第三方监测总体上报,同时抄送所辖标段的施工、监理单位。
(3)负责配合安全风险咨询单位或风险监测部对所辖标段施工、监理单位“安全风险监控系统”权限的开通。
(4)依据第三方监测工点单位现场巡视和监测情况提出第三方监测工点单位标段的综合预警建议。
(5)参与消警(监测、巡视)报告审批,通过“安全风险监控系统”上传阶段监测消警及综合预警消警资料进行消警。
(6)协助乌京建管公司不定期对施工、监理单位的风险监控信息报送情况、“安全风险监控系统”使用情况进行指导及检查。
(7)第三方监测工点单位应及时编制阶段监测报告、工点监测总结报告等,并报第三方监测总体审批,报风险监测部备案。
(8)按照风险监测部、安全风险咨询单位、第三方监测总体单位的要求,负责第三方监测工点单位风险台账的建立。
(四)监理单位
实施现场巡视信息报送等工作,其主要职责为:
1、通过“安全风险监控系统”报送日小结、周报、月报、年报、巡视信息等报告。
2、依据现场巡视情况发布巡视预警,结合监测情况报送综合预警建议。
3、负责对监理标段的施工监测和第三方监测数据及巡视信息对比、分析,及时形成对比报告,发现异常及时向施工、第三方监测单位反馈,并督促相关单位采取相应措施。
4、参与施工监测预警、巡视预警、综合预警的消警报告审批。
(五)施工单位
实施现场监测、巡视信息报送等工作,其主要职责为:
1、通过“安全风险监控系统”报送日小结、周报、月报、年报等监控成果报告。
2、依据现场巡视情况发布巡视预警,结合监测情况提出综合预警建议。
3、根据预警处置情况,达到消警条件后,提出消警申请。
第四章
一般监控信息报送
第十四条
信息报送流程
一般监控信息应通过“安全风险监控系统”或书面形式逐层上报,总体报送流程如图4-1所示。
城轨集团总经理城轨集团、五中心领导层五中心总经理安全综合评价、监督指导意见等城轨集团安全副总经理监控管理日报、周报、月报、年报安全综合评价、监督指导意见等安全综合评价、监督指导意见等五中心书记、安全副总经理监控管理日报、周报、月报、年报监控管理部门安全评价信息、监督指导意见等城轨集团安质部、五中心安全质量部(第三方监测总体单位)安全评价信息、监督指导意见等监测信息、巡视信息、日报、周报、月报、年报巡视信息、日报、周报、月报、年报安全评价信息、监督指导意见等汇总后的监测信息、巡视信息、监测日报、周报、月报、年报项目实施单位施工单位(施工监控)01、02标所辖标段日报、周报、月报监测信息、巡视信息、日报、周报、月报、年报监理单位安全评价信息、监督指导意见等01、02标所辖标段日报、周报、月报第三方监测01标(工点)监测信息、巡视信息、监控管第三方监测02标(工点)安全评价信息、监督指导意见等理日报、周报、月报、年报第三方监测01标(总体)第三方监测01标(工第三方监测点)02标(工点)监控管理日报、周报、月报、年报安全评价信息、监督指导意见等
图4-1 施工安全风险一般监控信息报送流程图 第十五条
施工单位信息报送
(一)信息报送主要内容
(1)监测数据:施工影响范围内周边环境及围(支)护结构监测数据。
(2)巡视信息:包括周边环境巡视信息、围(支)护体系巡视信息、开挖面巡视(地质状况观察及描述)信息等。
(3)日小结:包括当日工程进度、监测成果、巡视信息(附照片)、预警信息及分析、风险工程安全状态评价等。
(4)周报 ①本周施工工况统计信息:包括本周具体施工进度,风险工程通过情况等。
②本周监测及巡视作业情况:包括监测项目、巡视内容、完成监测和巡视工作量等。
③本周监测巡视异常信息及预警情况:包括工点风险状况、工点监测、巡视预警情况的统计说明,监测数据及巡视信息综合分析情况等。
④本周风险事务处理情况:包括对各方反馈意见落实情况及风险事务处理、效果、变化趋势、存在问题、下一步风险处理建议等。
⑤下周风险管控重点:主要涵盖风险预告(可细化到各风险因素关注或管控内容,施工组织与管理等)。
⑥相关附图、附表:包括各监测项目监测布点图、本周施工监测数据汇总成果表、巡视照片、监测时程曲线等图表。
(5)月报、年报:主要包括近一月、近一年内所辖标段风险工程通过情况、安全风险概述、安全风险评价及下一月、安全风险管控重点及建议,具体内容要求参见周报。
(二)信息报送途径、对象和时间要求
(1)监测数据及巡视信息:应于当日通过“安全风险监控系统”上传。
(2)日小结、周报:应分别于当日18:30前及每周四18:30前通过“安全风险监控系统”上报风险监测部、第三方监测总体单位,同时抄送监理单位,上报前须报监理单位审核。(3)月报、年报:应分别于每月24号前及每年12月15日前通过“安全风险监控系统”上报风险监测部(安全风险咨询单位)、第三方监测总体单位,抄送监理单位。以上信息还应以书面形式上报风险监测部,书面信息报告可相应的延迟上报,但最迟不能超过7天时间。
(三)反馈信息处理要求
应及时落实乌京建管公司领导、风险监测部、监理单位的反馈意见,及时采取处置措施。
第十六条
监理单位信息报送
(一)信息报送主要内容
(1)巡视信息:具体包括周边环境巡视信息、围(支)护体系巡视信息、开挖面巡视信息、施工工艺巡视信息及施工组织管理与作业状况巡视信息等。
(2)日小结:包括当日现场巡视信息、施工单位风险事务的处置落实、施工监测与第三方监测数据的比对分析、各类预警信息的分析、综合预警建议、现场安全风险状态评价等。
(3)周报
①本周巡视作业情况:包括本周巡视内容、完成巡视工作量等。②本周监测、巡视异常信息及预警情况:包括工点风险状况、工点巡视预警情况统计说明、施工监测、巡视信息及自身巡视信息的综合分析情况。
③本周监督、核查情况:包括本周对施工单位报送信息的核查,监督施工单位对各方反馈意见的落实情况、风险事务处理的落实情 况,对施工工艺设备、施工组织管理与作业状况的监督检查情况、相关例会情况及存在问题。
④下周风险管控重点:主要涵盖下周工点风险因素的关注或管控措施要点、风险预告等。
(4)月报、年报:主要包括近一月、近一年内所辖标段风险工程通过情况、安全风险评价及下一月、下一安全风险管控重点及建议等。
(二)信息报送途径、对象和时间要求
(1)巡视信息:应于当日通过“安全风险监控系统”上传。(2)日小结、周报:应于当日及每周四18:30前通过“安全风险监控系统”直接上报风险监测部(安全风险咨询单位)、第三方监测总体单位,并抄送施工单位、第三方监测工点单位。
(3)月报、年报:应分别于每月24号前、每年12月15日前以书面形式和通过“安全风险监控系统”上报风险监测部(安全风险咨询单位)、第三方监测总体单位。以上书面信息报告可相应的延迟上报,但最迟不能超过7天时间。
(三)反馈信息处理要求
应及时落实乌京建管公司领导、风险监测部的反馈意见,及时向施工单位反馈,并加强对施工单位执行反馈意见的监督。
第十七条
第三方监测(总体、工点)单位信息报送
(一)信息报送主要内容
(1)监测数据:施工影响范围内周边环境及围(支)护结构等 监测数据。
(2)巡视信息:包括周边环境巡视信息、围(支)护体系巡视信息、开挖面巡视信息、施工工艺巡视信息等(具体以风险管理体系要求为准)。
(3)日小结:详见第三方监测管理办法。(4)周报:详见第三方监测管理办法。(5)月报、年报:详见第三方监测管理办法。
(二)信息报送途径、对象和时间要求。
(1)监测数据及巡视信息:应于当日上传“安全风险监控系统”。(2)日小结:第三方监测工点单位应于当日19:00前通过“安全风险监控系统”直接上报风险监测部(安全风险咨询单位)、第三方监测总体单位,并抄送所辖标段施工单位、监理单位。
第三方监测总体单位还应汇总全线第三方监测工点单位、施工单位的日小结信息,形成全线的日小结(内容除满足第十七条第(一)部分的要求外,还应满足第十八条要求),通过“安全风险监控系统”上报乌京建管公司相关领导。
(3)周报、月报、年报:第三方监测工点单位应分别于每周四19:00前、每月24日前及每年12月15日前通过“安全风险监控系统”上报风险监测部(安全风险咨询单位)、第三方监测总体单位,同时抄送施工和监理单位。
第三方监测总体单位还应汇总全线第三方监测工点单位、施工单位、监理单位的周报、月报、年报等信息,形成全线的周报、月报、年报等信息(内容除满足第十七条第(一)部分的要求外,还应满足第十八条要求),并通过“安全风险监控系统”上乌京建管公司相关领导。月报、年报还应以书面形式上报风险监测部,书面信息报告可相应的延迟上报,但最迟不能超过7天时间。
(三)反馈信息处理要求
第三方监测总体、工点单位应及时落实乌京建管公司领导、风险监测部的反馈意见等、跟踪施工单位处置情况,风险监测部负责监督、检查。
第十八条
风险监测部信息报送
(一)安全评价及监督指导意见
对乌市轨道交通工程各工点风险工程安全评价及对风险工程的处置监督指导意见,具体内容及要求为:
(1)乌市轨道交通工程一般监控信息的汇总、处理、评价等。包括全线第三方监控信息、施工监控信息与监理巡视信息等,依托安全风险咨询单位或第三方监测总体单位完成。
(2)乌市轨道交通工程安全风险组织管理的监督及安全评价。包括全线第三方监测单位和各标段监理、施工单位的安全风险组织管理情况、监测实施、风险处理及反馈意见的执行情况等进行监督指导、检查,并评价全线安全状况,依托安全风险咨询单位或第三方监测总体单位完成。
(3)相关指导意见通过“安全风险监控系统”、工作联系单等形式反馈或回复。
(二)信息报送内容
风险监测部报送的一般监控信息包括乌市轨道交通工程风险评估及综合预警发布和安全状况评价信息,报送方式有日小结、周报、月报和年报。主要内容包括:
(1)日小结:针对现场监控各方的日小结情况,对当日安全风险状况经会商或简短分析后形成全线日小结,主要内容包括:新发生预警原因分析,建议、实施工程应对措施,分析现存预警的发展趋势,评价现场安全风险状态。
(2)周报
①本周工作概况:本周全线风险工程通过情况、综合预警、风险跟踪及处理情况的总体汇总、说明等。
②本周全线安全风险概述:本周现场监控各方的综合预警建议及落实综合预警情况的统计、自身发布综合预警及消警的统计及本周全线安全风险状况等。
③本周全线安全风险评价:本周对现场监控各方在信息报送的准确性、及时性及落实预警意见等情况的评价、信息平台运行情况、视频监控中心和工点控制中心的视频监控运行情况、与上周安全风险的比较及分析。对需要重点说明的风险,应加强其风险评价、原因分析、发展趋势预测及提出现场施工风险控制的建议等。
④下周安全风险管控重点及建议:下周需要重点关注的工点、风险预告及全线安全风险的管控建议等。
(3)月报、年报:主要包括近一月、近一年内全线风险工程通 过情况、安全风险概述、安全风险评价及下一月、安全风险管控重点及建议等。
(三)信息报送途径、对象和时间要求
(1)日小结、周报:应于当日19:30前通过“安全风险监控系统”直接上报乌京建管公司相关领导。
(2)月报、年报:应分别于每月24号前和每年12月25日前通过“安全风险监控系统”直接上报乌京建管公司相关领导。
(四)信息报送相关要求
(1)风险监测部会同安质部组织第三方监测单位(工点、总体)、施工单位、监理单位等参加安全质量风险管控例会,并监督第三方监测单位(工点、总体)单位编制周报、月报、年报等信息。
(2)风险监测部对监控管理信息反馈:将风险预警信息、安全评价信息、乌京建管公司相关领导反馈的各种意见等及时反馈第三方监测(总体、工点)、监理、施工等单位。
第五章
预警及消警信息报送
第十九条
预警信息报送流程
预警信息通过“安全风险监控系统”逐层上报,总体报送流程见图5-1所示。
决策层安全综合评价、综合预警信息、风险处理意见等乌京建管公司相关领导综合预警发布监控中心风险处理意见等建管公司风险监测部(安全风险咨询单位或第三方监测单位)预警信息、风险处理意见等巡视预警、综合预警建议巡视预警、综合预警建议风险监控、处理意见巡视预警、综合预警建议监测预警、巡视预警、综合预警建议等现场实施层施工单位(施工监控)监理单位监理巡视及安全评价信息、监督指导意见等第三方监测单位
图5.1 施工安全风险预警信息报送流程图
第二十条
监测预警
监测预警由“安全风险监控系统”依据设定的预警标准及第三方监测单位上传的监测数据进行对比后自动发布。
第二十一条
巡视预警
(一)巡视预警由施工、监理及第三方监测工点单位根据当天现场巡视情况,经综合判定达到预警状态后通过“安全风险监控系统”及时发布。
(二)巡视预警内容包括:预警工程部位、现场风险状况、监测情况、初步原因分析、可能诱发的风险事件、处置建议等,并附相关工程照片。第二十二条
黄色、橙色综合预警
(一)黄色、橙色综合预警内容包括:施工风险状况描述(主要含监测、巡视等内容)、原因分析、可能导致的风险事件、处置建议等,并附相关工程照片。
(二)在预警建议或综合预警判定中,必要时应通知设计单位,以加强技术沟通和共同参与预警分析。
(三)黄色、橙色综合预警的判定及报送(1)黄色综合预警
①施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为黄色综合预警时起应立即通过“安全风险监控系统”或书面形式上报风险监测部。
②风险监测部(依托安全风险咨询单位或第三方监测总体单位)自收到黄色综合预警建议,经现场确认后,立即向乌京建管公司领导汇报,征得领导同意后当日通过“安全风险监控系统”发布综合预警信息,必要时以书面形式反馈各相关单位。
(2)橙色综合预警
①施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为橙色综合预警时起应立即通过“安全风险监控系统”或书面形式上报风险监测部。
②风险监测部(依托安全分析咨询单位或第三方监测总体单位)自收到橙色综合预警建议,经现场确认后,立即向乌京建管公司领导汇报,征得领导同意后当日通过“安全风险监控系统”发布综合预警信 息(对于特级风险工程应在第一时间内完成预警信息发布),必要时以书面形式反馈各相关单位。
第二十三条
红色综合预警
(一)当各项目实施单位判定风险工程为红色综合预警状态或可能发生重大风险事件时,应先采取有关措施并立即上报。接到信息的各管理部门或单位应及时组织分析、处理和往下反馈。报送流程见图5-2所示。
乌京建管公司相关领导决策、组织处理如发生突发风险事件红色综合预警加强监控、监督检查乌京建管公司风险监测部(安全风险咨询单位或第三方监测单位)综合预警综合预警红色预警建议综合预警红色预警建议现场情况、处置建议综合预警第三方监测单位设监理单位综合预警现场情况、处置建议计单位红色预警建议施工单位(施工监控)现场情况、处置建议
图5-2 红色综合预警快报流程图
(二)施工、监理、第三方监测单位、安全风险咨询单位对现场综合判定为红色综合预警时立即上报风险监测部,同时告知设计单位,以加强技术沟通和共同预警分析,并应通过“安全风险监控系统” 或书面预警快报形式报告。
(三)预警快报报送内容主要包括风险时间、地点、风险概况、监测情况、巡视情况、原因初步分析、变化趋势、风险处理建议等。其中监理单位快报给施工单位时,还应下达整改通知书、停工令等先期处理方式。
(四)风险监测部自收到红色综合预警建议后,应立即进行现场确认及综合判定,判定为红色综合预警后,及时上报乌京建管公司领导,征得领导同意后,第一时间通过“安全风险监控系统”发布红色综合预警消息,并以电话等快捷、有效方式立即通知各相关部门及设计单位等,做好风险应对工作。
第二十四条
消警信息报送
(一)监测预警阶段消警:监测预警处理并达到《安全风险预警、处置及消警管理办法》阶段消警条件,由施工单位提出消警申请(附报告),第三方监测、监理、安全风险咨询单位等相关单位审核确定,书面报告风险监测部,由所辖标段第三方监测工点单位在“安全风险监控系统”上进行消警。
(二)巡视预警消警:预警处理结束,由施工单位提出消警申请(附报告),第三方监测、监理等相关单位审核确定,书面报告风险监测部,预警发布单位在“安全风险监控系统”上进行消警。
(三)黄色综合预警消警:预警处理结束,由施工单位提出消警申请(附报告),第三方监测、监理、安全风险咨询单位等相关单位审核确定,书面报告风险监测部审定,同时征求乌京建管公司领导的 意见,由风险监测部(依托安全风险咨询单位或第三方监测总体单位)在“安全风险监控系统”上进行消警。
(四)橙色综合预警消警:预警处理结束,由施工单位提出消警申请(附报告),第三方监测、监理、安全风险咨询单位等相关单位审核确定,书面报告风险监测部审定,同时征得乌京建管公司领导意见,由风险监测部(依托安全风险咨询单位或第三方监测总体单位)在“安全风险监控系统”上进行消警。
(五)红色综合预警消警:风险处理结束,由施工单位提出消警申请(附报告),第三方监测、监理、安全风险咨询单位等相关单位审核确定,书面报告风险监测部审定,同时征得乌京建管公司领导意见,由风险监测部(依托安全风险咨询单位或第三方监测总体单位)在“安全风险监控系统”上进行消警。以风险监测部为主体的消警报送流程见图5-3所示。
乌京建管公司分管领导如发生突发风险事件红色综合预警加强监控、监督检查决策、组织处理风险监测部(安全风险咨询单位或第三方监测单位)橙、红色消警判定橙、红色预警的消警建议橙、红色消警判定监理单位设计单位黄色消警判定各色预警的消警建议施 工 单 位
图5.3 消警信息报送流程图
第四篇:信息安全风险评估项目流程
信息安全风险评估项目流程
一、售前方案阶段
1.1、工作说明
技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档
《XXX项目XXX解决方案》
输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。1.3、注意事项
销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同)
二、派发项目工单
2.1、工作说明
销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。
三、项目启动会议
3.1、工作说明
销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。
要求甲方按合同范围提供《资产表》,确定扫描评估范围、人工评估范围和渗透测试范围。
请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员 3.2、输出文档
《XXX项目启动会议记要》
客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项
资产数量正负不超过15%;给资产编排序号,以方便事后检查。
给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。
四、项目前期准备
4.1、工作说明
准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书
项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档
《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项
如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。
项目实施小组与客户约定进场时间。
保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字
五、驻场实施会议
5.1、工作说明
项目小组进场与甲方召开项目实施会议(项目实施PPT),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。
5.2、输出文档
《XXX项目驻场实施会议记要》 5.3、注意事项
如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。
六、现场实施阶段
6.1、工作说明
按照工作计划和被评估对象安排实施进度。 主要工作内容 漏洞扫描(主机、应用、数据库等) 人工评估(主机、应用、数据库、设备等) 渗透测试(主机、应用等)
项目实施经理做好会议记要和日报,项目实施成员保留所有原始文档并妥善存档。
现场实施部分完成后,双方召开阶段性总结会议(如甲方有需求可对项目实施过程中发现的问题进行简要总结,输出简要总结报告)
6.2、输出文档
《XXX项目XXX人工评估过程文档》 《XXX项目XXX漏洞扫描过程文档》 《XXX项目XXX渗透测试过程文档》 《XXX项目工作日报》 《XXX项目会议记要》 6.3、注意事项
若遇到协调问题,双方负责人协调解决
实施过程中如出现计划外问题,以会议形式商讨解决 日报需项目双方负责人签字确认
七、静态评估阶段
7.1、工作说明
与甲方商定评估报告输出周期和报告内容
项目小组依据评估结果分工进行报告输出、整理汇总,准备项目总结PPT和整改建议(如客户要求则输出整体加固解决方案),完成后提交公司项目质量评审小组审核,审核通过后提交客户。经客户认可后输出纸质文档。
7.2、输出文档
《XXX项目XXX人工评估报告》 《XXX项目XXX漏洞扫描报告》 《XXX项目XXX渗透测试报告》 《XXX项目安全评估综合报告》
《XXX项目整改建议书(整体加固解决方案)》 《XXX项目总结》(PPT)7.3、注意事项
依据公司文档标准化体系输出文档(电子版输出PDF格式) 统计数据要求完整、准确无误; 解决方案与销售讨论后输出文档。
项目实施人员对每份输出文档签字,预留甲方接口人员签字位。
八、评估阶段验收
8.1、工作说明
项目实施经理和销售与甲方召开项目验收会议,讲解项目实施中发现的风险、隐患和威胁,与客户讨论解决方法(视项目情况而定),双方验收项目成果(输出的报告),对输出报告签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现的风险、隐患进行加固实施。8.2、输出文档
《XXX项目验收成果书》 《XXX项目会议记要》
九、安全加固实施
9.1、工作说明
安全加固参考安全加固项目流程 9.2、输出文档
《XXX项目整体安全加固方案》 《XXX项目XXX安全加固方案》 《会议记要》 《工作日报》 9.3、注意事项
项目实施双方对加固过程文档(纸质)签字确认
十、安全加固验收
10.1、工作说明
针对已加固对象进行再次风险评估,输出评估结果报告。10.2、输出文档
《XXX项目安全加固验收报告》 10.3、注意事项
项目双方对验收成果签字确认
十一、项目总结会议
对本次风险评估、安全加固过程中遇到的问题进行总结,并对遗留问题进行建议。
输出文档:《会议记要》
第五篇:风险评估小组管理办法
硫化队风险评估小组管理办法
为全面贯切落实集团公司及生产服务中心安全生产精神,全面履行队干部及班组长管理人员职责,推进和规范风险评估及防范工作,确保安装一队安全稳步发展,特制定风险评估小组管理制度。
一、组织机构
组长:惠应文
副组长:黄尤文
组员:赵党飞
赵小东 王超
刘培军
龚智会 所有班组长及各班组员工代表
(一)风险评估小组职责
1、由组长或副组长组织小组成员对皮带硫化队所有作业现场及中心库房进行作业前的风险评估。
2、督促各班组认真执行“三大规程”、安全质量标准化和本安管理体系的各项规定,具备安全生产条件,落实安全生产责任。
3、通过作业前的风险评估,全面排查和整治现场及中心库房隐患,查处员工不安全行为和习惯性三违表现。
4、由班组长直接组织现在风险评估及危险源辨识,对存在的风险隐患指定整改人,并查验整改结果。
(二)风险评估小组主要工作内容
1、风险评估以井下作业现场评估为主,以中心库房、地面作业为辅,以三大规程、集团公司及中心各项规章制度以及近期文件、会议精神为依据,全面开展风险评估及危险源辨识工作。
2、生产现场安全质量标准化动态达标情况。
3、作业范围内文明生产是否达到要求。
4、作业人员持证上岗,劳动保护用品佩戴情况。
(三)风险评估小组工作要求
1、风险评估要形成常态机制,抓住薄弱环节和关键部位,积极解决问题。
2、风险评估与危险源辨识及三违查处要相结合,通过评估发现和消除不安全隐患,整改落实。
(四)风险评估实施计划
1.组织培训学习(每季度第一个月)。按照本实施《方案》要求,制定《规范》的培训学习计划,根据不同对象,编制不同的培训教材,风险评估小组成员进行集中培训,使其成为体系的指导者和监督者;对班组长、技术员进行座谈和现场指导,使其成为体系的传播者和推行者;对一线员工进行个人辅导,使其成为体系的应用者和管控者。采用多种形式、分层次开展风险预控培训工作,使员工熟知本岗位的危险源和掌握相关管控要求。
2.危险源辨识(每季度后两个月)。采取从下至上的原则,根据本队实际,发动全体员工对自己工作场所和责任区域内的危险源进行逐一排查和登记,确保危险源无遗漏,明确安全管控对象。
3.风险评估(每季度后两个月)。对辨识出来的危险源,进行评估分级,将危险源分为5个等级(特别重大风险,重大风险,中等风险,一般风险,低类风险),4大类别(人、机、环、管),既有轻重
缓急之分,又有目标责任,清晰可查可控、可追溯,确定风险等级,明确安全管控的重点。
3.制定风险管控标准及措施(每季度后两个月)。针对危险源辨识和评估结果,制定管理标准和管理措施,解决每个危险源 “如何管”和“如何管得有效”的问题。按照《规范》的要求制定相应的不同类别、不同级别危险源管控标准和措施,确定相关责任人、监管部门以及监管人员,明确安全管控依据,落实安全管控责任。
皮带硫化队
2015年1月5日
点击咨询 