发布时间:2023-02-27 11:11:18
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全整改方案样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
一、工作目标
通过深入开展此次专项活动,确保全市重要信息系统能够全面进行准确定级和审核备案;全面组织等级测评和风险评估;全面开展监督检查和建设整改;全面落实管理制度和安全责任,努力实现我市信息安全等级保护工作规范化、制度化、常态化的管理目标,不断提高重要信息系统安全防范能力和应急处置能力,为建国周年庆典活动创造一个良好的网络环境。
二、工作任务
(一)全面进行准确定级和审核备案。各部门、各单位要参照国家机关、中央企事业单位及省直机关、省属企事业单位已审核的信息系统安全保护等级,对本单位信息系统全面进行定级和审核备案。对于已经定级、备案的系统,凡符合上级国家机关、企事业单位安全保护等级的,可不再重新定级和审核备案,否则均要重新定级和审核备案;对于尚未定级和审核备案的系统,都要比照上级部门信息系统安全保护等级逐一进行定级备案。其中,安全保护等级确定为一级的信息系统,公安机关应做好登记工作。安全保护等级确定为二级以上的信息系统,各信息系统运营使用单位要在公安机关办理审核备案手续,填写《信息安全等级保护备案表》,实行审核备案管理。全市重要信息系统定级和审核备案率要达到100%。
(二)全面组织等级测评和风险评估。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《信息安全等级保护管理办法》及省发改委、省公安厅、省国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》要求,全面开展等级测评及风险评估工作。其初次测评及风险评估率应达到61%以上(其他尚未开展初次测评的系统应于年上半年完成)。
(三)全面开展监督检查和建设整改。关系到我市国计民生或影响面较大的二级信息系统和三级以上(含三级)的重要信息系统都要按照《公安机关信息安全等级保护检查工作规范》规定的检查内容、检查项目、检查要求等,全面组织开展安全等级保护监督检查和限期整改工作,其监督检查率应达到100%,限期整改率应达到80%以上。其他被定为二级(含二级)以下的信息系统,可由信息系统运营使用单位进行自查和整改。
三、工作步骤
(一)定级与备案阶段(8月18日至9月15日)。市专项活动领导小组在8月31日前进行组织动员和工作部署,开展信息系统普查,全面摸清底数,掌握基本情况,确定定级对象。9月15日前,各重要信息系统运营使用单位要对照上级国家机关、企事业单位已审核备案的信息系统安全保护等级,对应确定本单位信息系统安全保护等级,并做好申报备案。对审核符合安全保护等级要求的,由市专项活动领导小组颁发信息安全等级保护备案证明。凡审核定级不准的,应重新评审确定,为等级测评和检查整改奠定基础。
(二)测评与检查阶段(9月15日至11月30日)。市专项活动领导小组将对关系我市国计民生的二级信息系统及三级以上(含三级)信息系统开展安全等级测评和风险评估。市专项活动领导小组督促、指导各单位积极做好信息安全等级保护和监督检查工作。各重要信息系统运营使用单位要按照国家《信息安全等级保护管理办法》和省发改委、省公安厅、省国家保密局《转发国家有关部门关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》精神,提前做好人员、技术、经费等各项准备工作,按时完成信息系统等级测评和风险评估。
(三)总结与整改阶段(12月1日至12月31日)。市专项活动领导小组根据信息系统安全等级测评和风险评估中发现的安全隐患和问题,向运营使用单位下发《整改通知书》,要求该单位限期对安全设施、技术措施、管理制度、安全产品、管理人员等方面存在的问题进行全面整改。各单位要制定相应的建设整改方案,认真搞好安全隐患的整改工作。
四、工作要求
(一)统一思想认识,切实加强领导。各地各有关部门要充分认识当前重要信息系统安全面临的严峻形势,进一步增强做好信息安全等级保护工作的责任感和紧迫感,务必把此项工作作为事关国家安全和社会稳定,特别是国庆61周年安全保卫的一项重要政治任务,纳入议事日程,摆在应有位置。为切实加强领导,成立荆州市深入开展全市重要信息系统安全等级保护管理专项活动领导小组(名单附后),领导小组在本次专项活动完成后,继续担负我市重要信息等级保护工作的组织领导职责。要建立健全信息安全等级保护协调领导体制和工作机制,精心组织实施信息安全等级保护管理工作。各地各有关部门分管领导要亲自挂帅指挥,按照“谁主管,谁负责,谁使用,谁负责”的原则,成立领导小组,建立工作专班,确立联络人员,迅速行动、全力以赴,大张旗鼓地组织开展等级保护工作。
(二)深入动员部署,精心组织实施。各重要信息系统运营使用单位要制定好本单位信息系统安全等级保护工作实施方案,准确定级,并将相关资料上报市专项活动领导小组办公室。在定级完成后,要积极做好测评准备工作,在人力、财力上给予充分保障。对检测出来的问题要及时向主管领导和上级部门报告,立即整改,把专项活动的各项要求落到实处。
关键词 等级保护;安全;定级;测评
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)99-0208-02
1 背景
随着医院信息化的迅猛发展,医院信息系统已经深入到医疗工作的各个环节之中,信息系统的安全一旦受到威胁将会严重影响到医疗活动的顺利开展,因此该工作受到了医院越来越高的重视。
信息安全等级保护是国家出台的针对信息安全分级保护的制度,其最终目的就是保护重要的信息系统的安全,提高信息系统的防护能力和应急水平。
为了信息安全等级保护制度能够更好的在各医院得到有效的落实,国家有关部门针对医疗行业的实际现状印发了《卫生行业信息安全等级保护工作的指导意见》的通知卫办发[2011] 85 号,此文件在信息安全保护和医疗行业信息安全管理之间起到承接桥梁的作用。根据文件精神,医院的核心业务信息系统安全保护等级原则上不低于第三级。
2 医院信息安全等级保护建设流程
2.1 信息系统定级
信息系统定级主要考虑两个方面,一是业务信息受到破坏时的客观对象是谁,二是对于客观对象的损坏程度如何。两方面结合根据表1来制定本单位的具体哪个信息系统应该定位第几级。
针对医院,一般门诊量都比较大,当在早晨挂号、就诊等高峰的时候就会有大量的患者排队,如果一旦发生系统瘫痪就会造成大面积患者排队,很容易引发。因此,定义为对“社会秩序、公共利益”造成“严重损害”,即信息安全等级保护定级为第三级。涉及的信息系统即与挂号、就诊等门诊患者密切相关的系统。
2.2 信息系统评审与备案
按照等级保护管理办法和定级指南要求,在完成对本单位信息系统的自主定级后需要将业务系统自主定级结果提交卫生部审批。在定级审批过程中,卫生部组织专家进行评审,并出具《审批意见》。
完成评审后,医院需要填写《信息系统安全等级保护备案表》和《信息系统安全等级保护定级报告》,备案表与报告范例可在“中国信息安全等级保护网”进行下载。最后医院持评审意见、备案表、定级报告到所在地管辖区的市级以上公安机关办理备案手续,在拿到备案回执和审核结果通知后完成定级备案。
2.3 信息系统安全建设与整改
在完成备案后需要开始对信息系统进行合规性建设与整改,主要分为以下几个步骤完成。
2.3.1 等级保护差距分析
等级保护的要求整体分为技术与管理两个方面,而技术又可以分为SAG三类,主要包括:
业务信息安全类(S类):关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改,比如在传输患者数据及费用数据是否进行了加密传输,在传输过程中如果出现异常能否及时发现等。
系统服务安全类(A类):关注的是保护系统连续正常的运行,比如机房的电力方面、服务器的负载方面、HIS系统的容错性与资源控制,是否支持单机挂号、就诊、收费、取药,能够在系统服务器瘫痪的情况下保存现有数据,并继续开展诊疗活动,再有就是灾备的建设情况,是否可在系统瘫痪的情况下进行快速恢复。
通用安全保护类(G类):大多数技术类安全要求都属于此类,属于基础类,如机房的物理安全,网络及主机的访问控制与审计、信息系统的审计等。
管理方面三级等级保护执行的是管理G3的要求,控制项为154项,医院需要根据自己的管理制度与控制项进行逐一比对,列出不符合项。
技术方面三级等级保护可进行选择性执行,主要分为 G3S3A3、G3S1A3、G3S2A3、G3S3A1、G3S3A2,及G类必须达到三级,A类和S类选择一个达到三级即可。医院可以根据自身的实际情况选择一个标准进行差距分析,最严格的G3S3A3控制项共计136项。
根据管理、技术共计290个控制项医院可进行自行评定得出与等级保护三级的差距分析。
2.3.2 安全需求分析
当前,医院对于信息安全的关注点主要集中在业务连续性与数据隐私保护方面,因此可根据差距分析结果结合医院实际安全需求进行集中分析,使信息安全的建设工作可以满足实际的临床需求,这样才能使资源有效利用,避免资金投入的浪费。
2.3.3 安全建设/整改方案
在明确需求后就要进行整体的方案设计,在设计过程中,要提出总体规划(近期、远期)和详细设计方案,将其细分为不同的子项目,逐一进行完善,最后应组织专家对方案进行评审。
2.3.4 方案实施
完成方案制定与评审后及进入实施阶段,实施过程中应注意管理和技术并重的原则,将技术措施和管理措施有机结合。简历信息系统综合防护体系,提高信息系统整体安全保护能力。
2.4 开展等级测评
信息系统建设完成后,可以着手进行等级保护测评工作,测评需要找公安局认可,具有“DICP”认证的测评机构,机构名称可以在“中国信息安全等级保护网”进行查询,测评机构测评周期一般为一个月。等级保护测评的主要流程。
2.4.1 测评准备阶段
这个阶段主要是测评公司于医院进行前期的沟通阶段,医院需要向测评机构介绍本单位的大致医疗流程,介绍数据流的输出过程,介绍系统的拓扑结构、设备的使用情况等,随后测评机构会根据医院提供的相关信息准备相关的测评工具及表单。
2.4.2 测评方案制定阶段
此阶段测评机构会定制测评指标、测评工具接入点,并对测评的内容进行确定,编制测评方案书。随后与医院进行沟通,确定现场测评的时间以及现场测评的主要内容和流程。
2.4.3 现场测评阶段
此阶段测评机构会进驻医院大约一周左右,主要对上文提到的管理与技术共计290个控制项进行逐一测评,此阶段与医院关系密切,需要逐一测评时双方要约定好时间,不能影响医院业务的正常开展,比如做漏洞扫描等需要占用服务器资源的操作时尽量选择下班等非业务高峰期进行。测评工具的接入前要进行充分测试,保证其对现有业务不会造成任何影响。在此阶段医院的网络工程师、系统工程师、审计工程师需要在场进行配合。
2.4.4 分析与报告编制阶段
完成现场测评后,测评机构会整理所有的单项测评结果,并对其进行分项判定,会对医院的整体结果进行分析,最后给出测评报告,告知医院存在的风险点、整改建议和测评结果。
测评结果是标准医院是否通过测评的主要依据,根据等级保护相关要求,测评结果分为:不符合、部分符合、全部符合,其中不符合为没有通过测评,部分符合和全部符合为通过测评。根据医院的逐项测评数据,290个控制项除必须达到的项目外,达到80%以上符合的即可通过测评。
2.5 做好自查与配合监管部门检查
根据等级保护制度要求,当信息系统定级为第三级时,每年至少进行一次等级保护自查,并且监管部门每年至少来医院现场检查一次。因此该项工作是一个长期工作,必须常抓不懈。
2.5.1 等级保护自查
目前公安局已开发出信息安全等级保护自查工具,医院可以利用工具进行自查,工具主要需要填写医院的信息安全组织机构、资产信息、制度信息等基础信息,然后再进行各备案系统的自查,自查过程需要关联之前填写的资产和制度信息。完成后提交当地公安部门。
2.5.2 监督检查
监管部门多数为当地市属公安部门,公安部门每年定期对三级系统进行上门检查,检查依据主要是自查工具中提供的拓扑、自查以及管理文档,检查时间一般为半天,检查完成后公安部门会对检查结果进行评定,并对下一步安全工作给出建设性指导意见。
3 等级保护建设总结
信息安全等级保护建设可从合规性和系统内需驱动两方面考虑,并要定期检验建设的合规性、合理性。
合规性是指在政策要求指导下构建医院完整的信息安全体系。要落实国家等级保护标准;响应卫生部推进等级保护建设工作的指导精神;通过国家等级保护测评;为医疗行业信息安全体系建设以及等级保护建设方面起到试点示范效应。
系统内需驱动是指结合业务发展,进行系统化建设,切实提高自身信息安全防护水平。实现主动防御外部入侵威胁,防范内部不规范操作带来危害影响;降低日常信息化管理工作难度,提高对复杂、异构信息系统的运管效率,做到“有法可依,有技可行”;对已建、新建和拟建的信息系统进行合理规划,规范建设。
医院信息安全建设,要切合自身条件特点,分批分期循序建设,保证医院各系统能够长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求,这才是信息安全等级保护建设的重要意义所在。
参考文献
[1]信息系统安全保护定级指南.
(一)健全组织管理体系,建立科技风险管理三道防线。安徽省分行成立由行长任组长、分管副行长及各部门负责人参加的信息化建设领导小组及信息安全应急领导小组,制定议事程序,确立工作步骤,审议信息科技重大决策事项及信息科技风险管理、信息安全管理工作。领导小组每季度召开一次会议,对信息化建设工作进行决策、安排和部署。立足于可持续发展战略,安徽省分行提出了“全面风险管理、全程风险管理、全员风险管理”的管理目标,建立了信息科技风险管理的三道防线。第一道防线由信息科技部门组成,负责生产运行、应用研发、科技管理、信息安全等工作。第二道防线成立由信息科技部门和风险管理部门牵头,其他部门共同参与的风险管控平台。依托风险管控平台,通过检查、评测和监控及时发现科技工作中的风险隐患,组织召开风险例会,研究制定整改措施、整改方案,结合工作实际制定信息科技风险管理制度和规范。第三道防线由内部审计部门组成,主要职责是对信息科技工作进行专项审计。
(二)推动制度体系建设,构筑安全生产生命线。多年来,安徽省分行每年都对信息科技制度和技术规范进行修订,对现有信息科技制度体系进行评估,对信息科技制度体系架构进行梳理,逐步建立了制度、实施细则及技术规范三层架构的制度体系。形成了《信息科技制度汇编》,共包括38个科技管理办法、16个实施细则、9项技术规范,在全行范围内印发执行,有效指导了信息化建设和风险管理工作的开展。为了保持制度的严肃性,使基层分支行操作人员严格执行制度,省分行加强制度执行力建设,采取检查、监控及违规积分等措施,确保制度落地,形成人人“重制度,守制度”良好工作氛围。
(三)完善技术体系建设,提升技术防范能力1.建设高标准机房。2009年到2011年期间,率先启动省、市、县三级机房达标工程改造,共投入2000万元用于辖内66个机构机房的建设和改造,机构覆盖面达到90%以上。机房建设突出了“高可用、高可靠、易管理、前瞻性”的理念,对供电、防雷、消防、空调、装饰系统进行了全面改造,为信息系统安全运行提供了可靠的物理保障。2.健全后备供电保障体系。2012年,利用有限的固定资产指标,为全辖所有市级分行配置了功率在20KVA以上的UPS,为60个县支行配置了10KVA的UPS;在3个新建办公楼机构建设了市电双回路供电、7个行自备发电机;11个行与电力公司、电信或联通等公司签订应急供电协议。形成了UPS、发电机、双回路供电、移动发电车等多重供电安全保障。3.建立功能完善的监控系统。省、市分行统一建立了机房预警监控系统(包括网络预警监控系统和机房动力环境监控系统),实现对机房物理环境、重要设备、网络设备、数据链路、业务系统进行实时监测及预警。系统采用分级监控方式,本级行不仅可以监控自身机房及信息系统运行情况,还可以实时监控到辖内行情况,实现科技风险监测的纵横结合,提升风险预警与防控能力。4.构建高效安全的网络体系。基层行成立不久,就实现了分网运行,根据业务种类、服务范围等分为生产网、办公网和监控网,针对不同的网络采用不同的安全控制策略;在网络线路上,采用三家运营商多线路、互为热备方式实现网络通讯的高可靠性;结合不同的应用分别采取了防火墙、入侵检测、内外网隔离等技术防范手段,确保网络安全。5.部署防病毒系统。部署了覆盖全行的计算机病毒防治系统,支持防病毒软件的统一管理和升级,有效防止病毒转播与蔓延。6.建立省分行级的异地灾备中心。通过在异地机房内架设EMC存储,使用现有网络在非工作时段进行数据复制,解决了重要数据异地灾备问题。同时在存储中划分一定的空间供二级分行使用,也解决了二级分行重要数据异地存储的难题。经过演练测试验证,灾备系统运行稳定,能够有效地保障数据安全。
(四)加强信息系统应急管理,保持业务连续性省分行严格按照《中国农业发展银行信息系统突发事件应急管理办法》要求,成立相应组织,切实履行职责,在全辖范围内每年都组织一次应急演练。2013年仅在网络应急演练中,就模拟了6个场景,模拟突发网络故障情况108种,验证演练数据1638项。通过把演练工作做实做细,使得一些潜在的隐患得以暴露,强化了各级行对突发事件的响应和处置能力。此外还以应急演练为抓手,引入PDCA(策划-实施-检查-改进)持续改进机制,不断完善应急预案及应急物资储备。在演练策划阶段,针对已有的和潜在的信息科技风险因素进行充分的评估,有重点地制定演练方案;实施阶段实时跟踪监测各类信息科技风险因素的产生和变化,适时调整信息科技风险应对策略和措施;检查阶段对演练情况展开具体分析,对业务具体造成的影响、潜在风险、变化情况等进行收集整理,作为修订完善应急预案的依据;在改进阶段及时修正、完善应急演练预案。通过对应急演练持续改进,大大降低了信息科技风险事件的影响和损失,有效维持业务的不间断运营。
二、基层行信息科技风险管理工作面临的挑战
(一)信息科技风险管理意识及能力尚需提高。一是部分基层行领导存在重业务发展重业务风险防范,轻信息科技建设轻信息科技风险防范的现象,致使科技风险管理不到位。二是一线操作人员风险意识淡薄,认为信息科技风险是信息科技部门的事,与己无关。对移动存储设备使用、IC卡管理、密码管理等安全管理规定置若罔闻,非常容易产生操作风险。三是信息科技人员缺乏科技风险管理方面专业系统的培训,风险管理知识及经验不足,风险识别、风险评估、风险处置能力不强。
(二)信息科技风险管理制度还需完善。一是信息科技管理制度还不够完善。比如现有的制度在电子设备采购、管理、报废等方面进行了规范,但在设备选型、设备更换、固定资产指标使用等方面缺乏统一规定,部分机构出现设备老化、设备带病工作、设备兼容性差等情况。二是内部管控制度不健全。目前对信息科技风险审计能力不足,缺乏信息科技风险的有效监管。审计部门只对信息科技资产进行审计,缺乏必要的技术力量和技术方法对信息科技风险及信息科技人员行为进行审计。信息科技部门既是运动员,又是裁判员,不能形成有效的制衡机制。三是制度执行不到位。由于基层行信息科技人员不足,技术力量薄弱,科技部门重要岗位缺乏备份人员,内部岗位之间缺乏制约,影响某些规章制度有效落实。
(三)信息安全技术保障体系需进一步提升。一是技术安全标准和技术规范不够全面,在风险预警、评估、处置等方面存在漏洞。二是在终端安全、网络准入控制、网络分区等方面技术手段不足,既增加人力维护成本,又极易产生信息科技安全隐患。三是IT服务外包需进一步规范,在外包合同签订、外包人员管理、服务质量的监督等方面需加强监管,在努力提高服务水平的同时,最大限度地保护信息安全。
三、基层行信息科技风险治理展望
(一)加强内控制度建设,巩固三道防线。内控管理是一项长期而重要的工作,基层行应紧密结合现有业务流程,以完善管理机制、建立健全制度体系为主线,不断优化现有信息系统,提高信息系统基础设施的服务保障能力。信息科技风险虽然体现在信息系统的运行操作环节,但往往涉及业务流程和操作模式的合理性、业务需求的质量等众多方面,防范信息科技风险必须综合考虑业务需求制定、项目实施、软件开发、基础设施建设、运行维护管理等不同环节的各种因素,由业务主管部门、科技管理部门和审计部门协同工作,才能起到事半功倍的效果。各基层行首先应充分认识信息科技安全的紧迫性和重要性,明确信息科技风险管理目标,落实信息科技风险管理责任制,将信息科技风险纳入自身的总体风险框架,筑起第一道“思想”防线;其次,在加强信息安全监督、自查力度的同时,还应定期组织辖内信息科技风险的专项检查,对于日常经营管理和生产运行中发现的操作风险隐患,建立信息系统风险持续跟进机制,及时消除风险隐患,坚守第二道“监查”防线;此外,还应明确业务部门责任,将科技风险管理纳入到业务部门日常管理,设立专门的IT审计团队,培养专业的IT审计人才,对信息科技风险进行评估,督促整改,构建“以查带审,以审促查”的第三道防线。
(二)重在预防,完善信息风险防控体系。一是建立信息风险监控平台,通过对现有各类生产系统、监控系统中的可疑数据进行跟踪与分析,从而有效地对信息科技风险进行预警、评估、处置。平台采用实时预警和T+1分析相结合的方式,对于风险程度高、要求响应速度快的风险点,依托短信平台、邮件系统在最短时间内给出预警;对于日常操作和行为信息,采用T+1分析的方式,通过事后追查、责任落实来规避风险。二是完善信息科技风险评估制度,严格控制对应用项目外包、软硬件产品和相关服务外包的风险,建立对外包服务商、产品供应商的信息科技风险的评估机制,实现对第三方全过程的跟踪管理,防范外包服务的实施风险。三是实施风险管理的全覆盖。将全省人员按照省、市、县三级组织实施分级管理,一级管一级,实现从上到下、从省到县的逐级有序结构,使科技工作风险管控的触角延伸到每一个人、每一台计算机、每一项业务。
(三)强化保障体系,持续推动业务连续性管理。首先,应严格执行机房值班制度,每日巡查机房,确保将安全隐患消灭于萌芽之中。其次,还应加强后备电源、备品备件的管理,落实各二级分行机房的第二供电保障渠道,有条件的行采用双回路供电,没有改造条件的自备发电机,对重要设备还应采取热备或冷备的方式,消除单点故障隐患。再次,研发推广桌面(终端)安全系统,包含内网准入、补丁分发、病毒库升级和主动防御等功能,从源头防范,确保网络安全。此外,还必须未雨绸缪,及时修订应急预案,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前能从容应对,迅速恢复生产,尽可能降低事故造成的损失。
一、规范行政决策行为,提升依法决策能力
建立健全会前学法制度。各单位要认真落实好办公会议会前学法制度,坚持把合法性作为行政决策的基本要求,提高运用法治思维和法治方式深化改革、推动发展、化解矛盾、维护稳定的能力。各单位每月至少要坚持1次会前学法,学后要于次月5日前将学法内容上报区政府法制办。建立法律顾问制度。各乡镇人民政府和民政、人社、交通、农牧、水务、计生、药监、工商、质监、城管、国土等执法任务重的区级执法部门要于6月底前建立法律顾问制度。在作出重大决策和出台重要政策等方面要充分发挥法律顾问的作用。建立健全行政决策机制。完善行政决策和程序,明确决策范围、权限,健全决策机制,把部门论证、公众参与、民主协商、专家论证、专业机构测评、成本效益分析、风险评估、合法性审查和集体讨论作为重大决策的必经程序,将决策行为置于法治框架内;建立健全行政决策监督和责任追究制度,坚决制止和纠正超越法定权限、违反法定程序的决策行为。严格执行规范性文件备案审查规定,各单位制定的规范性文件要在颁布后15日内报区政府备案。(责任单位:区政府法制办、区政府其他部门,各乡镇人民政府、街道办事处)
二、规范行政权力运行,提升权力公开透明
各单位要进一步做好行政权力的清理规范工作,强化行政职权目录动态管理,进一步完善行政权力运行平台建设。应当纳入平台运行的行政权力,不得在网外运行,要把权力关进法律和制度的笼子。区政务服务中心要牵头将行政审批系统纳入行政权力运行平台,实现所有行政权力在一个统一的平台上依据清楚、运行透明、监察到位。行政机关法定职责不得随意委托;无规章以上依据的权力事项要重新核定。加大监督检查力度,对行政权力应当纳入而未纳入平台运行的实行问责。(责任单位:区监察局、区政府法制办、区委编办、区政务服务中心、区政府其他部门)
三、规范行政执法行为,提升依法行政水平
深化行政执法体制改革,整合执法主体,下沉执法重心,在文化、农业、城市管理等领域和乡镇推行综合执法。严格执行《省规范行政执法自由裁量权规定》,建立行政执法自由裁量权基准制度,严格规范行政执法自由裁量权行使,细化量化行政执法裁量标准,避免执法随意性和不公平。加强行政执法人员管理,落实行政执法人员资格管理和持证上岗制度,坚决杜绝不具备行政执法资格的人员行使执法权,对聘用履行行政执法职责的合同工、临时工进行清理。严格依法执法,落实行政执法责任制,切实做到严格规范公正文明执法,加大食品药品、农产品质量、环境保护、安全生产、劳动保障、社会治安、公民信息安全等领域的执法力度。完善罚没管理制度,严格遵守“罚缴分离”和罚没物品依法处理规定,杜绝将行政执法人员福利待遇与罚没收入挂钩。区政府法制办要牵头加强对各执法部门进行执法行风评议和执法检查。(责任单位:区委编办、区政府法制办、区文建委、区农牧林业局、其他区级行政执法部门,各乡镇人民政府、街道办事处)
四、规范矛盾纠纷化解,提升行政纠错力度
着力加强行政复议工作。充分发挥行政复议在解决矛盾纠纷中的作用,努力将行政争议化解在初发阶段和行政程序中。行政复议机构要进一步巩固行政复议规范化建设成果,改革完善行政复议体制,创新案件审理机制,畅通行政复议渠道,加大纠错力度,按照“有错必纠”的原则撤销违法或不当具体行政行为。着力加强行政调解工作。把行政调解作为各单位的重要职责,充分发挥行政调解在解决社会矛盾纠纷中的重要作用,运用法治思维和法治方式积极、有序化解各类行政争议。建立完善行政调解与人民调解、司法调解相衔接的大调解联动机制,实现各类调解主体的有效互动。各单位每月25日前要将行政调解情况上报区政府法制办。(责任单位:区政府法制办,区政府各部门,各乡镇人民政府、街道办事处)
五、规范审批服务事项,提升便民服务水平
继续做好行政审批事项清理,重点清理行政审批项目子项和非行政许可审批事项,凡是市场能有效调节的经济活动,一律依法取消审批。严格控制各类年检、年审和注册,清理减少行政事业性收费,规范中介服务行为。加强行政审批后续监管,积极推进行政管理重心由事前审批向事中事后监管转移。制定公共资源集中交易制度和服务标准,推进政务服务和公共资源交易集中、规范、高效运行。制定深化行政审批制度改革意见,对有关工作作出具体安排。(责任单位:区政务服务中心、区公共资源交易中心、区政府其他部门,各乡镇人民政府、街道办事处)
六、规范政府信息公开,提升政府公信力
推进行政审批、公共资源交易等十大领域的信息公开。将环境保护、农牧、工商、质监、食品药品、文化新闻出版等领域的行政处罚案件信息作为政府信息公开的重要内容,除涉及国家秘密、商业秘密和个人隐私外,行政执法部门在作出行政处罚决定之日起30日内,在政府网站依法公开案件信息,包括违法违规的主要事实、处罚种类、依据和结果等。积极探索利用政务微博、微信等新媒体,及时各类权威政务信息、开展互动交流、提供在线服务。(区政府信息公开办,区政府其他部门,各乡镇人民政府、街道办事处)
七、查找整改突出问题,提升行政执法形象
各行政执法部门要结合党的群众路线教育实践活动,通过自查和公开征集意见的方式,梳理2—3件涉及公众利益、群众反映强烈的突出问题,制定整改方案,明确整改内容、目标、时限等,并公开向社会承诺,接受社会监督、取信于民,让广大人民群众感受到法治进步带来的变化,对整改不力的予以问责。各执法部门于5月30日前将整改方案报区政府法制办。(责任单位:区政府法制办,区级行政执法部门)
关键词:证券行业信息安全网络安全体系
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lT人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
【关键词】独立学院;实验室;安全;管理体系
【Abstract】Laboratory is the base for training compound application talents with certain practical ability and innovation ability. Safety of laboratory is important for the security and stability of colleges. The characteristics and safety problems of laboratory in independent colleges is analyzed in this paper. Some suggestions for establishing laboratory safety management system in independent colleges are put forward.
【Key words】Independent college; Laboratory; Safety; Management system
0 引言
实验室是高校教学科研的重要基地,是对学生实施综合素质教育、人才培养和科技创新的重要场所,也是高校安全事故高发场所,实验室的安全管理是实验室正常运行的基本保证[1]。为贯彻“强化意识、安全第一、综合治理、预防为主”的安全工作方针,牢固树立“隐患险于明火,防范胜于救灾,责任重于泰山”的实验室安全工作意识,保证实验教学工作的顺利进行,确保师生员工的人身安全及实验室财产安全,防止实验室安全事故的发生,建立并完善的实验室安全管理体系刻不容缓。
1 独立学院实验室安全管理的特点
相对于其它各类高校来说,独立学院的实验室安全工作具有以下特点:
1.1 实验室建设缺乏科学合理的中长期规划[2]
独立学院兴起于本世纪初,经过十几年的高速发展,到2014年,全国独立学院已达322所(2015年有50所独立学院转型,现有272所)。由于办学主体的资金投入不能一步到位,只能随着学生人数的增加,不断地增加教学用房,并对已建的教学用房逐年进行调整,重新分配,已建成的实验室很可能就需进行搬迁、扩建。又因新增的专业存在一定的不可预见性,难于对全校实验室规模、布局进行科学的中长期规划,一些教学用房不得不改建成实验室,形成一定的安全隐患。随着学校规模的不断扩大,专业的持续增多,学校实验室及仪器设备的数量、种类、实验项目、实验人数均在增加,各种实验室安全隐患也随之增大[3]。
1.2 实验室安全管理体系不够健全
由于建校时间较短,规模不断变化,专业持续增加等原因,独立学院的实验室安全管理体系大多尚未成型,还处在不断摸索过程中。
1.3 独立学院实验室以教学型实验室为主
大多数独立学院定位为教学型学校,致力于培训应用型人才,对科研方面的投入相对较少,一般仅存在一些教学型科研任务,因此,独立学院的实验室中安全隐患类型相对较少,可以对实验室存在的绝大多数安全隐患进行安全评估,实验室安全事故可预防性较高。
1.4 实验室专业技术人员师资力量匮乏,一方面是由于新建的学校缺乏积累沉淀,高端人材数量相对较少。另一方面是因为在相当长的时间内学校的科研条件无法与老牌学校相比,导致学校难于留住高级人才、人材流动性较大。
1.5 学生的安全知识缺乏,安全意识不强
受限于招生批次及分数线水平,学生的整体素质相对较低,动手能力较弱。
1.6 由于学校创办时间较短,实验室房屋、设备、线路老化等类安全隐患相对较少
由于存在上述特点,独立学院的实验室安全管理体系存在一定的特殊性,本文拟根据北京理工大学珠海学院的实验室安全管理的实践情况,就独立学院实验室安全管理体系的建立提出一些个人看法。
2 建立并完善有独立学院特色的实验室安全管理体系
实验室安全管理体系是一项系统工程。实验室安全管理体系从属于学校的校园安全大系统,但由于实验室的性质和特点,具有相对独立的特点。实验室安全管理体系必须遵循高校实验室安全工作的客观规律和基本原则,对教学和科研实验活动中涉及到安全问题的各要素、各环节等进行全面系统的总体设计和构建。体系包括组织机构、制度保障、技术防范、教育培训、检查整改、应急预案等多方面内容[4-5]。
2.1 机构与职责
根据我校的现状,建立“学校―专业学院―实验中心―实验室房间(机台)安全责任人”四级安全管理构架,根据“谁使用、谁负责,谁主管、谁负责”的原则,逐级分层落实责任制,明确各级机构安全责任,实行实验室安全管理责任制[6]。形成校、院、实验室群策群防、齐抓共管的良好局面。
学校建立校级层面的实验室安全工作委员会,行使全校实验室安全管理职责。实验室安全工作委员会由校长牵头,后勤保卫处、条件装备部(注:实验室管理部门)、人事处、资产与预算管理处、法规与招投标处、财务处等职能部门、各专业学院主要领导为成员。实验室安全工作委员会的主要职责包括:
(1)负责学校实验室安全建设与管理工作的统筹管理,检查监督有关规章制度的落实;
(2)组织制定学校实验室安全建设与管理规章制度和安全事故应急预案;
(3)组织开展实验室安全教育和业务培训,组织定期安全检查和应急演练;
(4)对学校实验室的安全建设与管理工作进行考核;
(5)受理全校实验室安全事件报告,配合有关部门做好实验室安全事故的调查、处置工作。
实验室安全工作委员会下设实验室安全专家组,从专业角度协助并督促各职能部门及二级学院履行实验室安全管理职责。
各职能部门的具体分工为:
(1)后勤保卫处作为学校消防安全管理归口职能部门及学校水电的主管部门,负责实验室的消防安全、用水用电安全、防盗防窃防虫害、房屋安全等管理,负责消防安全培训,组织实施安全月活动,定期进行消防安全检查及用电安全检查,发现隐患及时指导整改。
(2)条件装备部是负责实验室技术安全管理。制订实验室日常运行的相关规章制度,审核实验室建设项目及实验项目,督促各学院、实验中心落实危险设备及重大仪器设备的相关安全操作规程,监督各部门危险化学品的使用,督促落实各实验室或机台安全责任人,评估各实验室中可能存在的危险源、并负责技术安全措施的落实,负责学生的实验室安全知识培训,定期进行实验室安全检查,发现隐患督促整改。
(3)其它职能部门分别负责与其工作范围有关的实验室安全工作的落实。
各专业学院成立院级实验室安全领导小组,负责本部门安全工作的部署和落实。
实验中心设安全员,负责本实验中心所有安全相关工作。
各实验室房间或机台确定明确的安全责任人,对房间或机台的安全直接负责。
实验室安全工作委员会与各二级学院、各二级学院与实验中心(室)、实验中心(室)与各房间安全责任人签订安全责任书,明确各级安全责任人的职责,强化责任意识和责任追究,做到层层落实,责任到人。
2.2 实验室安全管理主要内容
实验室安全涉及面非常广泛[7],与学校开设的专业和拥有的实验室类型有关。我校实验室安全管理工作主要包括以下方面:
2.2.1 实验室建设项目及新增实验项目安全审核工作
建立了实验室建设与改造项目安全审核制度。对新建、扩建、改造实验场所建立审核流程,严格按照国家有关安全和环保规范要求进行设计、施工,落实“三同时”制度,完工项目需经安全验收合格后方可投入使用。
对存在安全危险因素的实验项目进行审核、评估,必要时邀请校外专家给予指导,使其具备相应的安全设施、技术防范措施、特殊资质等条件,并在项目开设后进行重点监管。
2.2.2 实验室化学品安全管理
对实验室使用的化学品及废弃物,建立从申购、领用、使用、回收、销毁的全过程记录和控制制度,严格分库、分类存放,强化各环节的管理,堵塞漏洞,严防丢失、被盗和非法使用。定期检查物品台帐,确保账账相符、账实相符。
对于剧毒化学品和其他高危物品,严格落实了“双人收发、双人记账、双人双锁、双人领取、双人使用”的管理制度。
2.2.3 实验室仪器设备与操作的安全管理
建立了实验室仪器设备管理制度,落实专人做好实验室仪器设备的维护、保养工作,保证仪器设备安全运行。对具有危险性和安全隐患的设备如机械加工设备、高温高压设备等采取了严密的安全防范措施,制订了相应的安全操作规程。实验室仪器设备操作人员接受了业务和安全培训,了解了仪器设备的性能特点、熟练掌握操作方法和操作技巧,严格按照操作规程开展实验教学和科研工作。特种设备的操作人员应按国家及行业相关规定持证上岗。
2.2.4 实验室水电的安全管理
按相关规范安装用电、用水设施和设备,定期对实验室的电源、水源等进行检查,排查安全隐患,落实整改措施。
2.2.5 实验室安全设施的管理
学校根据实验室类别、潜在危险因素等配置了大量消防器材、烟雾报警、监控系统、应急喷淋、洗眼装置、危险气体报警、通风系统、防护罩、警戒隔离等安全设施,并指定专人负责管理。安全设施定期检查,做好设备更新、维护保养和检修工作。
2.2.6 实验室的消防安全管理
我校所有实验室均配备了相应的灭火器材,落实了消防器材管理职责和措施,保证消防器材定点存放,性能良好。聘请了专业的维修公司对学校的消防设施进行维护。疏散通道、安全出口、消防车通道等保持畅通,禁止堆放杂物。实验室管理人员分批接受消防安全知识和相关技能培训,熟悉本岗位的防火要求,掌握所配灭火器的使用方法,保证安全教学。通过先进入消防体验中心进行体验等措施学校对进入实验室的人员(学生)开展了防火安全教育。
实验室安全管理还应包括生物安全、辐射安全、科研项目的安全、信息安全等方面[8],我校目前的专业设置和实验室规划中,上述方面未涉及。
2.3 实验室安全管理制度
科学规范的安全管理制度是实验室正常、高效运转的有力保障,是各项措施得以贯彻、落实、执行的前提和基础。按照国家的相关法律法规、技术标准和业务规范,根据本校实验室设置情况和存在的危险源的类型,建立健全管理制度,是实验室安全管理的基本任务之一。
我校的实验室安全管理制度主要包括:项目和人员的准入制度,危险品管理制度,易制管理制度,仪器设备管理制度、特种设备管理制度,安全员制度,安全培训制度,安全检查制度,应急预案和事故报告制度,安全奖惩制度等。
除此之外,我校还编制了实验室安全手册,监督各学院、实验中心制订了重点仪器设备的安全操作规程。设备的安全操作规程已上墙或放在可随时取阅的地方。
随着新实验室的建立,实验室危险源不断增加,需进一步加强实验室危险源的辨识工作,及时制订及完善相应的管理制度及安全操作规程,使实验室安全管理工作规范化、制度化、标准化。
2.4 实验室安全技术措施
学校要注重对实验室安全建设的投入,从硬件上保证消除安全隐患。首先,在实验室规划设计时,确保实验室基础设施符合实验室使用要求,如水电线路和容量和布局、通风要求,设备布局、安防系统等[9]。另外学校设立有实验室安全专项经费,保证各项安全技术措施落实到位。我校实验室安全技术措施主要包括:
(1)消防器材配备充足:除各建筑物自带的消防设施外,我校所有实验室均根据室内易燃物种类另配了灭火器,部分实验室配备了防火毯、消防桶等;
(2)废弃物集中处理:化工实验室废弃物分类收集、集中处理,化学实验室的废水经废水处理系统处理后排放。
(3)安全标识种类齐全:除各楼内消防逃生标志外,实验室内危险源处张贴有化学危险品标识、机械安全标识、用电安全标识等安全标识,时刻提醒师生注意防护。
(4)防护装备齐全有效:包括个人防护用品及公用防护用品,如化工实验室的防护眼镜、防毒面具、通风柜、柜、气瓶柜、长袖工作服,机械装置的安全罩、安全连锁装置等。
(5)监控设备全面覆盖:所有实验室均处于监控设备覆盖范围,部分实验室安装有防盗门窗,保证实验室财产安全,并随时监测实验室情况,发现异常及时处理[10]。
(6)应急装备有备无患:如化工实验室的紧急冲洗装置、洗眼器、医药箱等。
另外,在进行实验项目设计进,学校要求各学院尽量利用替代品减少危险源,如用无毒物代替有毒物,低毒物代替高毒物,从根源上减少安全隐患。
2.5 实验室安全宣传教育及培训
学校重视安全教育工作,按照“全员、全程、全面”的教育思想,结合实验室特点,进行专业性的安全教育活动,开展各种预案演练、急救知识培训与操作等活动,开展形式多样的安全教育活动,营造浓厚的实验室安全校园文化氛围,提高师生员工安全意识和安全技能[11-12]。
学校要求所有新生均需进入我校与珠海市合作共建的消防体验中心接受安全教育。组织学生学习实验室安全手册,让学生熟悉实验室工作时的各种注意事项,实验室的环境,预习实验内容,掌握设备操作规程、了解所接触的实验设备、化学药品的性能。对第一次进入实验室的学生均进行培训,实行准入制度[13-14],采用网上培训考试系统、书面考试和实际操作等方式对实验人员进行培训考核。实验人员考试合格后,方可进入实验室参与实验教学和科研活动。实验中心对学生介绍实验楼内部建筑结构,实验楼内各种灭火器的类型及放置位置,介绍实验楼内各种电气设备、机械设备仪器等的管理人员及联系电话,紧急情况下的联系人及电话等,让学生清楚地了解出现事故时尽快离开现场的逃生方法等。通过上述措施,坚决防止实验室安全事故的发生,确保学校的安全稳定。
2.6 安全检查及整改
我校每学期至少进行一次实验室安全联合检查,条件装备部每学期进行4-5次安全检查(包括开学检查、节假日前检查、不定期检查等),二级学院每月至少进行一次实验室安全检查。检查的主要内容包括:安全教育及培训情况,制度及责任制落实情况,安全档案建立健全情况,安全设施、器材配置及有效情况,安全隐患和隐患整改情况等。
在定期、不定期检查的基础上,对发现的安全问题和隐患进行梳理,我校均及时采取措施进行了整改并跟进督查整改情况。对不能及时消除的安全隐患,隐患单位及时向学校报告,提出整改方案,由学校确定整改措施、期限以及负责整改的部门、人员,并落实整改资金。
2.7 实验室安全应急预案
学校制订了实验室安全应急预案。预案规定实验室发生事故时,应立即启动应急机制,及时妥善做好应急处置工作,防止事态扩大和蔓延。发生较大险情时,应立即报警,并逐级报告事故信息,不得隐瞒不报或拖延上报。发生实验室事故后,实验室所在单位应当配合相关职能机构,迅速查明事故原因,分清责任,写明事故调查报告,及时落实整改措施,做到“四不放过”。
2.8 实验室安全评估及防范
鉴于我校实验室主要均为教学型实验室,实验室进行的教学活动处于可控状态,条件装备部定期统计各实验室开设实验项目情况,了解实验室使用仪器及易耗品的种类和数量,分析设备、耗材和工艺中可能出现的安全隐患,对开设的实验项目的安全状态均进行安全评估,建立实验室安全台账,采取相应的技术防范措施。同时在日常安全管理中对重点部位加强监控及检查,以防范实验室安全事故的发生。
3 结束语
创造安全、和谐的实验环境,提供良好的教学、科研条件,确保学校广大师生的生命安全,保护学校的财产不受损失,是实验室安全工作的最终目标[15]。高校实验室安全管理涉及的内容很多、范围很广,实验室安全管理体系的建设是确保对实验室安全运行的前提和基础,是实验室安全工作者的共同任务。由于实验室安全管理体系是一个复杂的动态系统,需要在各职能部门和专业学院协同努力下不断发展和完善,才能真正建立实验室安全管理工作的长效机制,安全管理体系的良好运行依赖于制度和组织机构,更依赖于各级单位及全体师生的安全意识和对安全工作的理解与遵守。
【参考文献】
[1]李五一.高等学校实验室安全概论[M].杭州:浙江摄影出版社,2006.
[2]曹传堂.浅谈独立学院实验室建设[J].管理观察,2010,31:109-111.
[3]万长建.高校快速发展期实验室建设与管理的若干问题[J].实验室研究与探索,2008,27(9):133-135.
[4]付国庆,张玲,石玉琴.中外高校实验室安全管理体系比较[J].西北医学教育,2013,21(5):900-902.
[5]叶秉良,汪进前,李五一,等.高校实验室安全管理体系构建与实践[J].实验室研究与探索,2011,30(8):419-422.
[6]温光浩,周勤,陈敬德.高校实验室安全管理之思考[J].实验技术与管理,2012,29(12):5-8.
[7]徐东华,朱小东.理工类高等院校实验室安全管理体系建设研究[J].现代计算机,2012,03:42-44.
[8]郭恩棉.高校实验室安全管理改革探索[J].经济研究导刊,2013,19:201-202.
[9]郭敏杰,胡新,王.高等药学院校实验室安全管理探究[J].实验技术与管理,2012,29(2):177-179.
[10]程琳琳,王旭,谭海燕.实验室安全管理及强化管理策略[J].热带农业工程,2013,37(4):25-29.
[11]廖秀萍,陈纪鑫,许业河.转变理念 开拓创新 积极推进高校实验室安全管理建设[J].实验室研究与探索,2010,29(8):349-351.
[12]闻星火,李明.加强安全教育是保障高校实验室安全的关键[J].实验技术与管理,2007,24(9):8-11.
[13]孙立权,范强锐,陆捷.加强高等学校实验室安全管理的几点思考[J].现代科学仪器,2008,(2):126-128.
一、总体思路
认真贯彻落实县联社工作会议精神,以完善制约和监督机制,强化科技安全防范为宗旨;加快科技建设,不断普及科技应用水平,实现全辖业务电子信息化、办公自动化、操作规范化;整合信息资源,在金融服务创新方面求突破,不断拓展业务品种,以优异的科技手段有力支撑我县联社持续的科学发展。
二、工作目标
1、严格内部管理,确保计算机全年安全运行无事故。
2、加大系统运行维护力度,确保系统平衡高效运行。
3、优化用卡环境,做活中间业务,提高业务竞争力。
4、增强科技人员技术本领,有效提升部门形象。
5、强化业务技能培训,提高一线人员操作水平。
6、强化网站更新,施行oa系统,提升联社形象。
7、加大设备保障力度,确保基层正常营业。
8、补充管理制度,加强检查辅导,提高科技管理水平。
9、采取有力措施,切实防范计算机突发风险。
10、积极探索新业务,努力拓展业务品种。
三、主要工作措施
为实现以上目标,我部将采取以下措施,精心组织、逐步开展。
1、完善制度,规范联社科技管理流程。
为确保联社科技信息安全稳定运行,我部将继续完善和补充联社的科技管理制度,对联社金融科技的发展、建设、服务、管理等工作进行全面细化、规范。准备建立《电子设设管理办法》、《科技档案管理办法》、《计算机系统故障处理办法》、《局域网管理办法》、《联社中心机房管理办法》、《科技机构及岗位设置办法》等制度。进一步完善联社内控管理,建立有效的督促约束机制,规范电子设备、科技档案、局域网、中心机房的管理,进一步明确科技人员的岗位职责,有效防范制度管理风险。
2、注重实效,推动各项制度落实到位。
在制度建设时注重做好以下三个方面的工作,首先要仔细研究,字斟句酌,确保有法可依、有章可循。其次要充份调研,民主讨论,确保切合实际、方便操作。最后狠抓落实,推动实施,确保得到执行到位。一是组织培训和学习,在制度出台之后立即组织相关人员进行培训和学习;二是组织检查和辅导,实行定期辅导和不定期检查,辅导时贯彻“量、质”方针,即辅导每月不少于一次,每次不少于一天,力求足“量”;辅导结果要达到让被辅导对象完全理解、熟练操作,力求足“质”。检查时贯彻“全、(细、深、实、纠”五字方针,即:检查内容面面俱到;检查过程深入细致,一丝不苟;发现线索,一查到底,坚决不搞下不为例;对发现的问题,有证有据;查处的问题及时督促改正。通过检查辅导,将制度规定及时传达到基层业务一线,普及科技应用水平,有效防范操作风险。
3、防患未然,强化突发事件处置预案。
在增强抗击计算机突发性事件能力方面,我部将做好以下五项工作。一是硬件备份,对县中心与基层和省中心网络实行电信、联通2m光纤双备份,计划对联社中心机房核心的7206路由器进行备份,对报表系统、信贷系统、中间业务系统的服务器进行备份,配备若干台备用主机和安装好程序的硬盘,对联社中心机房和各信用社实行ups热备份;二是实时监控,首先实施内、外网的物理分离,其次在所有系统安装防火墙和杀毒软件,最后在联社中心机房明确专人,在业务高峰期随时监控主机cpu、内存、交换空间、页面调度、i/o的负荷情况,发现瓶颈环节及时主动处理;三是外部沟通,与省中心、电信部门做好沟通,在故障自身不能解决时,能够迅速得到帮助;四是做好物防,计划对联社中心机房、各信用社机房深化改造,努力达到安全合格标准,坚决达到防火、防潮、防静电、防雷击的要求;五是长期备战,我部所有人员将继续执行24小时工作制度,对全辖系统故障随叫随到,并在最短的时间内处置完毕。通过多种措施,能够有郊防范突发意外风险。
4、尽心竭力,精心维护保养硬件设备。
在终端、办公电脑,特别是打印机、监控等硬件设备维护方面我部将做好以下四项工作。一是主动维护、定期保养基层业务设备,以损坏频率较高的打印机为重点,按使用单位、型号、购置日期登记台账,详细掌握每台设备动态情况,按新旧程度进行每季不少于一次的主动上门保养,延长使用寿命,有损坏的立即调剂更换,集中修理,对已超过使用寿命没有修理价值的,及时淘汰更新,对因业务发展需要增加设备的单位,做到上门安装到位。二是积极协助监察保卫部做好监控设备的维护工作,对故障立即督促维保单位进行排除,对达不到安全保卫要求的,立即提出切实可行的整改方案。三是做好联社机关办公设备的维护工作,对机关各部门办公设备的保障做到随叫随修。四是严格考核,开展设备管理竞赛活动,对能合规使用的先进单位进行奖励,对因不按规定使用设备的人员进行经济处罚,造成损坏的,坚决要求当事人进行现金赔偿。通过优质维保,坚决保证不发生因硬件损坏影响正常办理业务的情况。
5、严谨务实,强化二级管理中心管理职能。
在核心业务系统管理和提高一线柜员操作能力方面,我部将做好以下四项工作,一是进一步提高维护速度,对合规的账务修改、业务需求,按照流程到达我部后,保证在5分钟之内处理完毕。二是进一步提高业务指导能力,对基层的业务咨询做到耐心细致,并举一反三的进行解释指导,对每次的程序升级及时下发书面通知,传达升级精神,同时每季下发一份综合业务系统运行简报,对新业务介绍、新问题注意事项进行全县通报。三是进一步提高业务培训力度,计划在每个季度举办一期一线柜面青年员工操作实用技能培训班,推行汉字五笔输入、规范输入指法,实现数字小键盘和英文大键盘的盲打输入,切实提高柜面人员业务办理速度。四是进一步提高系统操作监督力度,从机房管理入手,直至操作号、密码、授权卡使用和加班监督、机构签退管理等相互制约制度的执行,进行全方面的监督,切实履行岗位职责。
6、推陈出新,优化开发中间业务外挂程序。
在中间业务程序开发、维护方面我部将努力做到人无我有、人有我新、人新我优。一是对财政集中支付、国税代扣、代收交通罚款程序进一步优化,不断提高稳定性,同时将根据财政、国税、公安等客户的需求,对程序进一步升级改造,不断提高适用性。二是进一步简化工资程序,简便操作过程,方便基层操作。三是适时开发各类程序,将根据业务发展需要,自主开发适应性、针对性强的程序。通过优化开发各类程序,为业务创新提供强有力的技术支持。
7、循序渐进,安装推广自助银行和pos机。
在优化用卡环境,有效推广圆鼎卡,有力抢占市场份额方面,我部将做好以下六项工作,一是迅速安装atm,对已购置的atm计划在1月底前安装到位,使得atm基本履盖全部网点。二是主动协助业务拓展部,开展驻城商铺pos消费刷卡机的安装,今年计划在人民路、新建路繁华地段的商铺至少安装20台。三是适时开展卡积分活动,准备在春节期间开展圆鼎卡刷卡消费积分奖励活动,提高圆鼎卡的使用频率。四是大力开办无人自动银行,以为客户提供昼夜存取款、账务查询、转账、自动缴费服务的自助场所,逐步取代效益低的网点。五是加大培训和维护力度,对基层操作人员定期进行培训,经常督促维保单位进行日常保养,保证atm良好的使用状态。六是搞好宣传,计划利用现有自助银行的空间,进行全县统一模式的广告宣传。通过有效推广使用圆鼎卡,有效增加卡业务手续费收入。
8、提高效率,实现自动无纸化网络办公。
在提高全县办公水平和现代化办公能力,进一步提升联社对外形象方面我部将做到,一是加大网站更新力度,今年我部将与联社办公室继续共同维护联社网站,及时刷新主页,开办信合论坛,力求办成象信合369一样高点击率的网站,从多方面提升联社形象。二是开发使用oa系统,实行办公自动化,实现公文流转、数据采集、三户经济档案、报表传送、信息通知、业务咨询、制度汇编、财产保管、物资领用、任务进度、考核兑现、检查通报、人事教育、企业文化建设、党务建设、纪检监察、工作请示等全部网络共享。通过实现办公网络化,进一步促进提高整个联社部门的办事效率。
9、不甘人后,积极摸索现代银行科技思路。
随着十七大的顺利闭幕,我国经济社会发展进入新的阶段,金融业的重要地位和作用更加突出。但随着外资银行携带的新金融工具、业务品种、营销理念和新服务手段进入中国市场,金融机构之间的竞争日趋激烈,农村信用社传统的金融产品和服务手段,越来越无法适应发展的新要求。因此,金融创新势在必行,只有不断创新才能持续健康发展,才能提高我联社的竞争力。在金融创新中科技创新是保障、是基础,所以我部将做到一是加强自身学习,本着缺什么补什么,干什么学什么,将来需要什么、现在准备什么的原则,开展学习竞赛活动,做到有计划、有笔记、有体会、有进步,提高科技人员的业务本领。二是探索新业务、做好理论准备,在项目评估、公司理财、信息咨询、代保管、国际业务、贷记信用卡、基金代销与托管、代客理财、企业年金、账户管理、网上银行、vip客户服务、债券代销等方面做好科技准备。
