发布时间:2023-08-21 17:13:20
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的应急管理保障体系与措施样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
0引言
目前铁路车务系统安全保障尚不存在一个完整的体系,大多采用“出一事,定一轨”的管理模式,而这并不能全面、系统、有效地应对运输现场出现的各种情况,“头痛医头、脚痛医脚”的管理模式始终处于跟在各类层出不穷、形式各异的事故后面疲于奔命的状态。铁路车务系统安全保障体系研究旨在构建铁路车务系统安全保障体系研究框架,为下一步具体研究工作及管理措施制定提供参考。
1车务系统安全管理现状分析
很多学者已经在铁路运输安全研究体系的建立[1],铁路企业安全管理方法[2],高科技安全技术设备应用,救援保障体系的建立[3],高铁安全评估体系等方面做了很多卓有成效的研究[4],但至今尚未能提出系统的完整的铁路车务系统安全评估与卡控措施相结合的体系结构。目前车务系统主要采取事故后管理方法,按照系统安全工程理念应该采取事故前管理与事故后管理相结合的方法,把安全评价和安全管理贯穿于铁路运输生产的每一个环节。
2铁路车务系统安全保障体系构建
车务系统安全管理要以消除和控制运输生产中的不安全因素为目的。按照系统安全思想,安全是相对的,绝对的安全是不存在的,而所构成的矛盾双方是安全与危险并不是安全与事故。所以评定企业的安全状态,不应仅采取事故率这一单一指标。不同的行业,不同的生产环境所接受的经济损失和人身伤亡率水平是不同的,因而衡量企业安全与否的标准也是不同的。综上所述,这里把铁路运输安全定义为:铁路运输生产过程中,能将人身伤亡或经济损失控制在可接受水平的状态,亦即,安全意味着人身伤亡或经济损失的可能性是可以接受的,若这种可能性超过了可接受的水平,即为不安全。这里把“可接受水平”称之为“红线”,即评价指标超过红线则意味着系统处于危险状态,必须采取相应的措施进行卡控。铁路运输车务系统安全保障体系如图1所示。
3铁路车务系统安全预防体系
铁路运输事故具有明显的因果性和规律性,因此找出其根本原因加以预防和控制是完全可能的。由此看来,铁路车务系统安全预防体系是整个铁路车务系统安全保障体系中最重要的子系统。铁路车务系统运输安全预防理论及创新体系车务系统安全预防理论是整个安全预防体系的基础,用于指导运输安全预防“红线”管理体系和安全技术体系。
(1)工种协同机理。铁路行业与其他行业相比有其独特性,具体来说,它是多工种联合作业,多部门协同工作,指挥上高度集中,决定了铁路安全管理的整体性。能否保证铁路运输的安全有效与工种之间的协同工作有着很大的关系。车务系统这一特点更加明显,研究车务系统各工种之间的协调配合工作机制对铁路运输安全具有基础指导作用。
(2)人因可靠性机理。海因里希曾经调查了美国的75000起工业伤害事故,发现占总数98%的事故是可以预防的,只有2%的事故超出人的能力所能达到的范围,是不可以预防的,然而,在可预防的工业事故中,以人的不安全行为为主要原因的事故占88%,可见对于人因可靠性机理研究的重要性。对于车务系统而言,生产具有连续性、动态性的特点:24小时作业,全天候行车,周而复始,循环往复。这样除了要研究温度、湿度、风雨雪、照明、视野、噪声、振动、通风换气、色彩引起的人员失误之外还要研究人体生物节律对行车安全的影响。
(3)事故机理。把历年车务系统事故进行收集、整理、分析、研究,也就是充分开发利用“事故资源”,总结事故发生规律及其背后深层次原因,并建立事故数据分析数据库,对今后安全管理理论及措施的制定都有着重要意义。
(4)安全管理创新机制。铁路运输生产过程在不断地变化中,安全工作也要随之不断改进、创新,以适应现代化安全管理需求。如果管理者不能或没有及时地适应变化,则将发生管理失误;操作者不能或没有及时地适应变化,则将发生操作失误。
3.2铁路车务系统运输安全预防技术体系
铁路车务系统运输安全预防技术体系是为铁路车务系统运输安全预防“红线”管理体系服务的,核心是如何开发一整套能够准确科学地评价铁路运输系统是否处于安全范围之内的安全评价方法,可以用于分析评价铁路运输作业过程,企业安全管理状态的铁路运输安全评价方法,合理有效地预测铁路运输安全生产状况并用于指导铁路运输企业的安全管理及规章的制定工作,这里把它作为下一步的主要研究内容。
3.3铁路车务系统运输安全预防“红线”管理体系
3.3.1“红线”管理体系理论来源
“红线”管理体系源自ALARP(AsLowAsReasonablyPracticable,最低合理可行)原则,其含义是:铁路车务系统是存在风险的,不可能通过预防措施来消除风险;而且,当系统的风险水平越低时,要进一步降低就越困难,其成本往往成指数曲线上升。因此,必须在铁路车务系统的风险水平和成本之间折中,把车务系统风险水平控制在最低合理的范围之内,以抓大防小为方针,重点控制高危险性事故。
3.3.2“红线”管理内涵
(1)对铁路车务系统进行定量风险评估,如果所评估出的风险指标在“红线”之上,则落入不可容忍区。此时,必须采取措施把风险控制在“红线”以下。
(2)如果所评出的风险指标在可忽略线之下,则落入可忽略区。该风险是可以接受的,无需再采取安全改进措施。
(3)如果所评出的风险指标在可忽略线和“红线”之间,则落入可容忍区,此时的风险水平符合ALARP原则。此时需要进行安全措施投资成本风险分析,如果分析成果能够证明进一步增加安全措施投资对工业系统的风险水平降低贡献不大,则风险是可容忍的,即可以允许该风险的存在,以节省成本。
3.3.3铁路车务系统“红线”管理实施过程
(1)准备阶段。针对铁路车务系统,收集相关法律法规、技术标准及工程、系统的技术资料。对铁路车务系统进行系统分析,重点分析各个工种的作业过程及联系,工作中的主要问题,各个车间与科室的关系,各个车间的关系,职工的工作心态,作业效率分析,确定车站理论最大效率值来指导车务站段日常工作。研究调车组人员作业过程、作业动作,以安全高效为目标,引入生产流水线思想,把研究具体到调车人员的每一个具体动作。
(2)危险、有害因素识别与分析。分析车务站段历年事故情况,根据铁路运输站段系统分析的情况,识别和分析危险、有害因素,确定危险、有害因素存在的部位、存在的方式、事故发生的途径及其变化的规律。
(3)定性、定量评价。在危险、有害因素识别和分析的基础上,这里把车务系统划分为6个评价单元(包括调车作业单元、接发车作业单元、客运作业单元、货检作业单元、调度计划单元和货运作业单元),选择合理的评价方法,对各个单元发生事故的可能性和严重程度进行定性、定量评价,最后汇总6个单元的评价结果,确定铁路车务系统发生事故的可能性和严重程度。
(4)确定各个单元及车务系统总体“红线”标准。依据行业法律法规,国内外同行业相关标准,确定各个单元的“红线”标准及总体“红线”标准,以判定各个单元及系统总体所处的安全状态。
(5)形成安全评价结论及建议。简要地列出主要危险、有害因素的评价结果,指出铁路车务系统应重点防范的重大危险因素,在铁路安全管理中抓住问题的主要矛盾及矛盾的主要方面,做到抓大防小,保证铁路运输系统安全稳定高效运行。根据定性、定量评价结果,提出消除或减弱危险、有害因素的技术和管理措施及建议。
4铁路车务系统突发事件应急响应系统
在铁路车务系统安全管理中,应以预防为主,但彻底消除事故或突发事件是不可能的。突发事件一旦发生,如何把损失和人员伤亡减到最少就成为工作中的重中之重。因此,做好车务系统突发事件应急预案的编制必不可少。笔者认为,应急预案的编制范围应不仅仅针对事故处理和救援,对车务系统的一些影响铁路运输效率的突发事件也要做到未雨绸缪,例如,编组站的不畅通,新线路、车站开通运营后用可能出现的问题等。
4.1系统框架
运输应急响应系统以地理信息系统(GIS)技术、GSM无线通讯技术、现场信息采集技术为支撑,以应急“红线”管理体系为指导原则,整合车务系统多部门、多工种、多层次的已有系统和数据资源,实现对铁路运输紧急事件的实时响应和调度指挥。系统框架如图2所示。
4.2关键技术
(1)地理信息系统。车务站段管辖车站较多,分布范围较广,而且救援行动是多工种、多部门的联合行动,提前构建一套完整的车务站段管辖范围内的GIS已成为解决安全与紧急救援难题的主要措施之一。该系统的建设和运行,将有效提高车务系统应急救援部门的技术装备水平和管理能力。
(2)通信网络实施平台。随着现代通信技术的发展,第三代移动通信系统将综合卫星通讯、图像传输等多种通讯系统功能,能够实现现场事故信息采集、信息传递等多种功能,为铁路信息基础设施的建立和完善提供了技术支持和保障。
4.3应急“红线”管理体系
应急“红线”管理体系是根据突发事件造成的损失程度而确定响应级别的一种应急管理体系,损失越大响应级别越高。“红线”由突发事件对企业造成人员、财产、企业效益损失程度及社会影响程度4种因素确定。
关键词:供电企业;应急管理体系;安全生产
作者简介:赵前程(1976-),男,山东费县人,山东省费县供电公司办公室,工程师;左丰光(1975-),男,山东费县人,山东省费县供电公司办公室,工程师。(山东?费县?273400)
中图分类号:F273?????文献标识码:A?????文章编号:1007-0079(2012)18-0097-02
安全生产工作必须遵循“安全第一,预防为主,综合治理”的基本方针,其中“预防为主”最为关键和重要,在安全生产中发挥了越来越重要的作用。2010年10月,山东电力集团公司提出建设省、市、县一体化应急管理体系,这是落实科学发展观、构建和谐社会的必然要求,是保证电网安全稳定运行的重要条件,也是建设“一强三优”现代公司重要内容。费县供电公司在充分利用信息网络技术、计算机技术和多媒体技术的基础上,坚持继承创新,将应急管理信息、应急物资、应急队伍等“横向融合、纵向贯通”,高标准、高质量完成应急指挥中心建设。并且依托应急指挥中心,认真完善综合和专项应急预案,采取灵活的现场处置方案,合理配置资源,形成了“指挥统一、功能齐全、运转高效、保障有力”的应急管理体系。笔者现就应急管理体系建设中的一些成功实践进行简要论述。
一、应急体系建设经验和做法
1.应急组织机构建设
为保障应急管理体系的有序、平稳、高效运转,费县供电公司成立了以经理任组长,其他班子成员任副组长的应急领导小组,实现对应急管理工作的领导。为更好地贯彻落实各项应急管理措施,开展应急合作、实现资源共享,应急领导小组下设应急管理办公室(简称应急办),分为安全应急办公室、稳定应急办公室和新闻应急办公室,具体负责公司应急工作组织协调、综合管理和监督职能。在应急领导小组的指导下,应急办将应急管理体系划分为应急组织机构、应急指挥中心、技术保障体系、物资保障体系、后勤保障体系五个部分(见图1),为应急管理体系的建设奠定了坚实的基础,提供了有力保障。
2.应急指挥中心建设
(1)前期筹备。为将应急指挥中心建成创新精品工程,费县供电公司在认真学习《国家电网公司应急指挥中心建设规范》、考察山东电力集团公司应急指挥中心建设后,多次召开研讨会,最终确定了总体规划、分模块实施、逐步推进、分期交付的方式进行,并经党委会讨论通过。
(2)建设过程。按照集中统筹、分区负责的模式,首先成立了工作小组,明确相关部门和人员职责。工作小组加强沟通协调,对所需设备进行集中招标采购,按工作分工专业安装、调试,实行周调度、日汇报制度。2010年12月,应急指挥中心率先在山东电网内实现了省、市、县三级应急指挥系统的联动功能,获得山东电力集团公司领导的高度认可和充分肯定,并代表县公司作了先进典型汇报。
(3)应急指挥中心功能创新。应急指挥中心充分利用现有网络资源和PTN专网,配备高清摄像头、投影仪、液晶电视、视讯终端等设备,建成功能强大的应急指挥信息平台。该平台接入地方电视新闻、变电站视频监控、电网调度信息、SG186安全生产管理、95598客户服务、GPS车辆调度监控等系统,不但能够获取强大的电网潮流、负荷变化、车辆行驶等内部实时信息,而且通过采集地方电视新闻信号、日气象卫星云图,及时掌握社会突发事件新闻反响和灾害性天气地演变情况,获取实时的外部公共信息,为指挥人员提供现场第一手音视频资料和图文信息。
应急指挥中心还将各供电所视频系统创造性地接入该平台,应急管理功能延伸至基层供电所。同时,自主研发了应急指挥桌面终端集控系统,网络状态实时检测、子系统全面汇集、操作间主机远程控制桌面工作站、桌面工作站间短消息实时发送等功能得到创新应用,实现了对突发事件的接报、预警、启动、响应、结束的全过程管理,为应急指挥的快速启动发挥了重要作用。
(4)应急规章制度制定。为加强对应急指挥中心的管理,应急办先后编写了《费县供电公司应急管理工作规定》、《费县供电公司应急指挥中心管理规定》、《应急值班管理办法》等规章制度。
3.技术保障体系建设
技术保障体系是应急指挥系统的重要部分,也是保障应急指挥系统可靠、稳定运行的重要技术支撑。公司在高标准建成应急指挥中心这个“硬件”基础上,不断完善应急队伍和应急预案。
(1)应急队伍建设。根据专业性质,组建了变电、输电、配电、医疗救护、应急供电五个专业共102人的应急救援队伍,形成各专业应急救援队伍各负其责、互为补充、积极参与的应急救援体系。
(2)应急预案编制。为了保证应急预案更具针对性、可操作性,公司成立预案编制小组,认真组织学习编制应急预案所需的相关法律、技术标准、编制导则、同行业事故案例分析等资料,全面实施安全稳定风险分析和评估。按照综合预案、专项预案和现场处置方案分类编制要求,编写了《费县供电公司电网大面积停电应急处置预案》等25项应急预案,组织管理评审、编印与报备,下发到相关生产班组和专业技术人员。为了达到持续提高、不断完善的目的,根据人员、机构和电网、设备等变化情况,我们对预案进行评估修订,先后增补了《设备事故应急预案》、《突发公共卫生事件应急预案》等3项预案。
1我省林业信息化安全形势严峻
我省林业系统信息安全面临的形势不容乐观,从省直机关及部分地市单位的调查结果看,有39%的单位发生过信息安全事件,说明我省林业系统网络和信息安全基础还比较薄弱,保障机制尚待健全。主要有以下四个方面表现。
1.1从发生信息安全事件的结构上看,超过半数的属于感染病毒、木马。引起事件的原因35.5%来自于单位外部,主要原因是未修补或升级软件漏洞。42.2%的事件损失比较轻微,只有0.9%的事故属于比较严重。而对于事件的觉察,36%是通过网络管理员工作监测发现,22.7%是事后分析发现。这说明,我省林业网络安全形势总体上是好的,但也说明网络与信息安全事件总体防范能力不足,缺乏对安全事件的提前预防。
1.2从信息安全管理来看,有74%的单位制定了安全管理规章制度,78%的单位能做到随时进行安全检查,61.1%的部门在管理中采取口令加密。这说明林业系统内大部门单位已经认识到了信息安全的重要性,但管理手段单一,技术落后,缺乏有效的身份认证、授权管理和安全审计手段。
1.3从信息安全投资来看,只有14.70%的单位信息安全投入达到了15%,70%的单位信息安全投资低于信息化项目总投资的10%,甚至还有7%的单位在信息安全方面从来没有过投资。说明整体网络与信息安全投入明显不足。
1.4从专职人员配备情况来看,只有46%的部门有专职的信息安全人员,大部分是兼职人员或外包服务。仅有3.8%的单位组织了对单位全体员工的信息安全培训,而对于网络安全管理技术人员的培训也只有46%的单位搞过。从业人员不足,安全培训少,也是影响信息安全的一个重要因素。上述现状,反映出我省林业系统网络与信息安全意识淡薄,信息系统综合防范手段匮乏,信息安全管理薄弱,应急处理能力不强,信息安全管理和技术人才缺乏。随着我省林业信息化建设和应用的加快,多样化的侵害和信息安全隐患将会不断地暴露出来,使我省林业网络与信息安全工作面临着更大的威胁和风险。
2我省林业系统信息安全保障思路及主要任务
省委省政府关于建设“平安山东”的决定,提出了把我省建设成为全国最稳定、最安全的地区之一的明确目标和任务,切实加强网络与信息安全保障工作是大力推进国民经济和社会信息化的重要保障,是平安山东建设的重要内容。省政府印发的山东省国民经济和社会信息化的十二五规划,把信息安全保障体系作为主要内容之一。在此基础上,林业信息化建设以全面提高网络与信息安全的保障能力为己任,努力开创了我省信息化建设与信息安全保障体系相互适应、共同进步的新局面。
2.1信息安全保障工作的思路以科学发展观为指导,认真贯彻“积极防御,综合防范”的方针,加强网络信任体系、信息安全监控体系和应急保障体系建设,全面提高林业系统网络与信息安全防护和应急事件处置能力,重点保障我省林业基础信息网络和重要信息系统安全;强化林业信息安全制度建设和人才队伍建设,充分发挥各方面的积极性,协同构筑我省网络与信息安全保障体系。
2.2信息安全保障工作的主要任务
2.2.1建立健全我省信息安全管理体制,充分发挥网络与信息安全建设的作用,建立了信息安全的通报制度,形成我省林业信息安全相关部门密切配合的良好机制。
2.2.2积极推进了信息风险评估和等级保护制度的建立。省信息办制定了山东省信息安全风险评估实施办法,介绍了实施风险评估的方法和流程,十一五期间,已选取了多家单位作为试点,下一步将根据自己工作实施风险评估,并争取在全省范围内推广。
2.2.3大力促进网络与信息安全的制度建设,积极贯彻有关信息安全标准的应用和推广,出台了林业系统网络信息安全建设的指导意见。
2.2.4加强信息安全应急处置体系建设,利用现有的专业队伍和技术资源,规划和建设林业数据备份中心,启动建设信息化应急技术处理中心,逐步实现为我省林业网络信息安全提供预警、评测等服务,按照“谁主管谁负责、谁运营谁负责”的要求,各部门出现问题及时处理,如果处理不了,可以呼叫应急中心通过技术手段判断突发事件的原因。
2.2.5加强人才队伍培养和建设。不定期的举办了面向工作人员提高安全意识、防范意识的培训,对从事信息化的专业人员建立管理培训的制度。
3加快我省林业信息安全保障体系建设进程的建议林业信息安全保障体系的建设是关系我省民生的大事,做好这项工作十分重要。
3.1充分认识做好信息安全保障工作的重要意义。目前对信息安全问题不少人仍然缺乏全面的、深刻的认识,现有各个部门在安全工作中缺乏安全防范的意识,安全防护注重于系统外部,忽略了系统内部的安全管理措施,安全保障缺乏循环、良性的提高,不能自主发现和及时消除安全隐患,对安全工作仍然不同程度的存在“说起来重要,忙起来次要,干起来不要”的问题。各单位各部门要从经济发展、社会稳定的高度充分认识信息安全的重要性,增强紧迫感、责任感和自觉性。
3.2正确把握加强信息安全保障工作的总体要求。要坚持积极防御、综合防范的方针,正确处理发展与安全的关系,坚持以发展求安全、以安全保发展,同时管理与技术并用,大力发展信息技术的同时,切实加强信息安全管理工作,努力从预防、监控、应急处理和打击犯罪等环节在法律、管理、技术、人才各方面采取各种措施全面提升信息安全的防护水平。
3.3突出重点,抓好落实。各部门要制定工作重点,加强信息安全体系建设和管理,最大限度的控制和限制安全风险,重点保障基础信息网络和重要信息系统的安全,做好应急服务工作,尽可能的防止因信息安全问题造成的重要信息系统的大面积的出现问题。防止数据丢失和错误,避免对社会造成的损失。
关键词:档案信息;安全保障;体系;构建
今天是一个科技高速发展的时代,信息技术越来越发到,为人们的生活带来了极大的便利性。社会发展朝着信息资源整合、共享的方向发展。随着信息资源整合数字化的脚步不断加快,信息网络化逐渐普及,档案信息化的进程不断加快,数字档案资源借助档案信息系统管理程度不断加深,档案信息的安全性要求越来越高。因此,提高档案信息风险控制能力,加强档案信息安全管理水平,档案信息资源的价值才能有效的发挥起来。
1 档案信息安全保障体系建立的必要性
(一)档案信息特点环境必要
档案信息作为国家信息资源的重要组成部分,因其真实性等特点,需要不断提高对档案信息的重视程度,切实做好保护措施。今天,是信息化的时代,电子档案的传统特点随着信息化的到来而受到质疑。加强档案保护的呼声日渐高涨,档案信息安全已经从原本只做保管向安全保障的方向发展。对于档案的保护工作在早期只在档案保管与内容保密上,到了中期,发展为保密、完整以及可用,最后发展为完整、保密、可用、真实、可控、可申以及不可抵赖。
(二)档案信息安全价值必要。
实现档案信息价值可以依赖档案信息安全保障体系的建立,其具备现实基础的意义。为社会提供服务以及供公众使用的档案信息必须具备真实、完整、准确、有效才行,这就需要档案工作的所有环节都要把防护工作做到位,提高安全思想意识,严格按照“预防第一,防治结合”的方针,制定有效的措施,确保档案信息的真是可用,并最大化档案信息的价值,充分发挥其作用。档案信息安全保障体系的建立,对档案管理事业的发展以及国家信息安全保障体系的建立起到重要的推动作用。
2 影响档案信息安全的因素
(一)自然因素
自然界是档案信息资源存在与运用的主要方面,因此,自然灾害对档案信息的危害极大,能够直接造成档案信息资源的安全隐患发生。
(二)环境因素
为档案信息带来安全隐患的因素还有环境条件的不符合,比如,控制档案信息的网络中心以及工作站会因为环境要求不达标,在成电源质量差、温湿度不合适等现象,再加上空气污染以及有害生物的作用下,很容易为档案信息造成不利影响。
(三)技术因素
对于纸质档案来说,纸张自身的耐久性与造纸技术有着极大的关联性。新型载体档案而言,决定档案信息的安全因素是载体的质量、计算机技术等因素。比如网络安全漏洞、计算机故障等,都会对信息安全带来不利影响。
(四)社会因素
第一制约档案信心安全的重要因素之一资金短缺。资金投入不足,很容易造成档案信息安全软、硬件设备的质量问题。第二,社会暴力等因素,也会为档案信息资源造成安全问题。随着我国互联网的不断发展,各种势力都会利用互联网进行危险活动,因此,很容易造成档案信息的安全问题。
3 档案信息安全管理保障体系
档案信息安全管理体系管理占据重要地位,另外还需要技术的达标。档案信息安全技术保障体系需要档案信息安全管理体系做支撑。剧相关统计表明,信息被盗、信息泄露的根源在于内部管理的松懈,系统内部是计算机安全问题的根源,这些情况的发生主要是因为相关人员思想意识松懈以及管理体制的缺失造成。所以,信息安全技术系统建立之后,相应的管理制度也要紧随其后,两者相辅相成,切实将档案信息安全保障体系落到实处。
(一)建立健全档案信息安全管理制度
相应的安全管理制度是档案信息安全管理与档案信息工作落实到位的重要保障。因此,首先要做好统筹规划工作,将“收、管、存、用”落实到位,制定科学有效的档案信息安全管理方案。其次,相应的档案信息安全管理部门要设置,专门监督档案信息安全与保密管理工作,确保档案信息系统各个方面的工作都落实到位。最后,相应的规章制度的建立,比如安全防范责任制、重要数据与文件管理制度、紧急备份与应急预案等。只有从制度上对安全工作进行约束与规范,才能提高安全管理工作,做好预防工作,将危害的损失降低到最小,切实将档案信息安全体系作用发挥到最优。
(二)加强人员档案信息安全培训提高安全意识
档案信息安全保障体系的核心是人,这不仅是档案信息系统的拥有者,也是管理者与使用者。因此,培养专业的档案信息人才,建设档案信息安全管理队伍,提高相关工作人员的档案信息安全意识,对不同层面的人员做好安全管理工作培训是建设档案信息安全保障体系的关键。只有将人员素质提高了,档案信息安全保障体系工作才能顺利进行。
(三)制定n案信息安全标准规范
根据国内相关法律法规以及行业标准规范、严格按照业界管理,结合自身实际情况,构建档案信息安全保障体系。现阶段,国家档案局以及编制好《档案信息系统安全等级保护定级工作指南》,为指导各省级以上的档案信息安全工作。但是,不可否认的是我国档案信息安全保障体系还处在建设的初级阶段,相比于信息安全保障体系的研究差距还很大,所以,在实施档案信息安全保障体系的过程中,可以参考国内外信息安全保障体系的相应标准规范。只有制定科学有效的档案信息安全标准与规范,档案信息安全工作才能有规可循,建设过程中不必要的工作也会相应的减少,从而更好的规范与保障档案信息安全。
我国信息资源的重要组成部分之一档案信息资源,对我国未来信息资源的安全有着重要的影响。档案管理工作的最基本也是最重要的任务就是档案信息安全保障工作。构建档案信息安全保障体系是发展的必然结果,而这也是一个不能缺少的体系。档案信息安全保障体系的构建,需要从档案信息安全的各个方面做好整体的计划,结合管理与技术,结合不断变化的环境需要制定具体的措施,同时还要根据档案工作的形式做好时时的调整与改进工作。
参考文献
[1]宋丹.基于信息安全风险评估机制的档案信息安全保障体系建设研究[J].档案时空,2013(12).
[2]顾倩倩.加强档案安全保障体系建设确保事业单位档案信息安全[J].才智, 2015(15).
狠抓落实。齐抓共管,切实加强检查督促和考核。按照市委、市政府的决策部署。各司其职、科学合理地设定考核指标体系,建立目标考核和责任追究制度,每年年底对实施情况进行全面考评,严格奖惩。
一、指导思想和总体目标
一)紧紧围绕“科学发展示范区、生态文明展示区、文化繁荣先行区、平安和谐优秀区”建设,指导思想。深入贯彻落实科学发展观。着眼于解决人民群众最关心、最直接、最现实的利益问题,立足市情,从薄弱处求突破,普及上求提高,通过实施项目带动、加大资金争取、健全保障制度,推动公共资源向落后地区、困难群众、社会事业倾斜,有效解决民生方面的突出问题,全面推进基本公共服务均等化,促进社会公平。
二)努力实现“六个明显提高”即:城乡基础教育水平明显提高,总体目标。通过构建公共服务设施体系。基本公共卫生服务水平明显提高,困难群众最低生活保障水平明显提高,公共文化服务水平明显提高,公共安全保障水平明显提高,基本住房保障水平明显提高。
二、主要内容
一)构建覆盖城乡的教育均衡发展体系
小学适龄儿童入学率和升学率达99.8%初中毕业生升学率达83%高中毛入学率达75%基本普及学前教育和高中阶段教育,1基本目标:2012年。高质量、高水平巩固提高“普九”义务教育成果。全市公办中小学基本实现规范化学校标准,完成覆盖全市的基础教育网络化建设。2015年,建立相对完善的覆盖城乡的教育均衡发展体系。
加强基础教育建设,2主要工作任务:按照政府主导、市场补充、合理配置原则。不断改善农村学校和城镇薄弱学校的办学条件,促进教育规范化和均衡化发展。健全义务教育就学保障机制,落实城乡义务教育免除学杂费政策。加强贫困家庭子女教育救助体系建设,落实中等职业学校和高等院校家庭经济困难学生的资助政策。积极发展幼儿教育、社区教育、成人教育、继续教育特别是干部教育,构建开放式终身教育体系。进一步优化师资队伍,建立教师合理流动制度,实现师资力量的区域均衡发展。优化教育结构,大力发展职业教育,形成覆盖城乡的职业教育和培训网络,构建职业教育多元化发展格局。依法落实教育经费的三个增长”确保财政性教育经费增长幅度高于财政经常性收入增长幅度。
重点抓好中小学校舍安全工程实施,3近期工作重点:全市完成30所义务教育阶段学校标准化建设。年完成30%加固施工改造任务;继续扩大普通高中教育办学规模,推进中等职业教育学校建设,保持中等职业学校与普通高中招生规模相当;继续实施农村义务教育经费保障机制改革和中职学校家庭经济困难学生的资助,争取民生工程评比单项考核进入全省先进行列;加快教育人才培养、引进和交流力度,培育一批名教师;加大争创国家级重点职校和区县职教中心建设力度,积极筹建黄山职业技术学院、黄山技师学院,构筑人才发展保障体系。
二)构建覆盖城乡的基本医疗卫生服务体系
建设覆盖城乡居民的公共卫生服务体系、医疗服务体系、医疗保障体系、药品供应保障体系。2012年,1基本目标:深化医药卫生体制改革。新型农村合作医疗参合率达95%以上。城乡基层医疗卫生服务机构标准化建设达80%以上,基本公共卫生服务得到普及。法定传染病发病率、孕产妇死亡率、5岁以下儿童死亡率分别控制在全省较低水平。建立政府主导的多元卫生投入机制,基本适应人民群众多层次的医疗卫生需求,人们群众健康水平进一步提高。2015年,建立相对完善的覆盖城乡的基本医疗卫生服务体系。
完善政府卫生投入机制,2主要工作任务:建立动态增长的基本医疗保障筹资机制。政府卫生投入增长幅度高于经常性财政支出的增长幅度,使政府卫生投入占经常性财政支出的比重逐步提高。健全覆盖城乡的疾病预防控制、医疗救治、突发公共卫生事件应急处理机制,巩固和完善城乡基本医疗、公共卫生服务运行机制。加大公共卫生基本设施投入,推进乡村卫生机构标准化建设和社区卫生机构规范化建设。加强基层医疗卫生队伍建设,健全农村卫生三级服务网络,巩固和完善新型农村合作医疗制度,促进城镇居民医疗保险和新型农村合作医疗共同发展,为广大城乡居民提供安全、有效、便捷、经济的基本医疗卫生服务。
促进基本公共卫生服务逐步均等化;执行国家基本药物目录,3近期工作重点:启动建立居民健康档案等九类国家基本公共卫生服务项目和乙肝补种等重大公共卫生服务项目。推进乡村一体化管理,开展政府举办的基层医疗卫生机构药品零差率销售试点;继续扩大新农合保障面,2010年筹资水平提高到150元;通过卫生培训、进修、招募、支农等多种形式,加强以全科医生为重点的基层医疗卫生队伍建设,改革基层医疗卫生机构补偿机制,提高服务能力。
三)构建覆盖城乡的就业和社会保障体系
劳动关系和谐稳定,1基本目标:城乡就业比较充分。分配格局比较合理。社会救助和社会保障体系更加健全,城乡绝大多数劳动者享有社会保障,城乡低保实现应保尽保,管理服务规范高效。2012年,城镇基本养老、医疗、失业保险覆盖率分别达到95%以上。逐步建立覆盖全面、资金来源多元化、保障制度规范化、管理服务社会化的社会保障体系。2015年,建立相对完善的覆盖城乡的就业、社会救助和社会保障体系。
逐步提高社会保障支出占国内生产总值的比例。按照多层次、广覆盖的要求,2主要工作任务:建立政府、企业、社会多渠道筹资机制。实现社会保障工作重心由城镇为主向城乡统筹转变。根据城乡居民不同的社会保障需求和经济承受能力,采取分类施保,体现阶段差异,建立健全覆盖城乡的社会保障体系,建立完善社会综合救助平台。对城乡家庭生活困难又未纳入低保对象的大病患者、重度残疾人、遭遇突发灾害等困难人员,建立临时生活救助制度。完善城乡困难群众大病救助制度。积极稳妥地开展农村社会养老保险工作。落实相关征地保障政策,确保被征地农民生活水平不因征地而降低。建立“五保”供养标准自然增长机制。有序推进教育救助、住房救助及城市生活无着落流浪乞讨人员救助工作。搭建全方位的促进就业服务体系和政策扶持体系,充分发挥市场的引导作用,鼓励劳动者自主创业和自谋职业,促进多种形式就业,健全面向各类就业困难人员的就业援助服务制度,加大就业和全民创业基础建设扶持力度。
建立健全城乡统一的就业管理制度,3近期工作重点:加强乡镇就业和社会保障平台建设。建立城乡人力资源动态管理台账;扎实做好农民工技能培训、城镇居民基本医疗保险和未参保集体企业退休人员基本生活保障三项民生工程,认真落实好困难企业就业扶助政策;加强社会保险政策的宣传工作,有针对性地开展扩面征缴工作;完善农村居民最低生活保障制度,切实保障农村居民基本生活权益;提高农村五保户供养保障标准,加快推进农村五保供养服务机构建设;全面开展城乡困难群众医疗救助工作,扶助困难家庭脱贫。
四)构建覆盖城乡的公共文化服务体系
70%行政村都有一个“农家书屋”有条件的村实现“一个标准篮球场、两张室外乒乓球台”从根本上解决全市边远山区农民收听收看广播电视难的问题,1基本目标:2012年。实现城乡群众广播电视共享服务。充分发挥博物馆、文化馆、图书馆作为公共文化服务体系主力军作用,全面完成乡镇综合文化站建设。2015年,建立相对完善的覆盖城乡的公共文化服务体系。
加强广播电视“村村通”文化设施和体育设施建设。大力发展公益性文化事业,2主要工作任务:按照结构合理、发展平衡、网络健全、运行有效、惠及全民的原则。实施文化惠民工程,切实保障人民群众基本文化权益。开展“农家书屋”建设。继续实施广播电视“村村通”工程,尽快完成已通电广播电视盲村“村村通”建设任务。深入推进体育健身工程,加强基层公共体育设施建设,把文化体育健身设施覆盖到社区和农村。大力开展群众性文化体育活动,提高竞技体育水平,发展体育产业。紧扣徽州文化地域特色和时代特征,实施“文化产业精品打造工程”推进“百村千幢”古民居保护利用工程。坚持政府引导、金融支持、社会参与的投资原则,加大对文化产业发展的资金投入。培育多元化文化产业投资主体。加强文化产品市场和要素市场建设,把徽州文化品牌优势变成文化产业优势,全面促进徽州文化的大繁荣、大发展。
确保全省民生工程评比单项进入先进行列;加强各类文化馆(站)博物馆、图书馆建设;加大文物和非物质文化遗产保护力度,3近期工作重点:年完成49个行政村的农民体育健身工程建设;组织好国际山地车节、登山大会等集体育、旅游、经贸为一体的国际赛事活动;完成174个“农家书屋”工程建设和41个乡镇文化综合站建设。启动“百村千幢”古民居保护工作,实施“文化产业精品打造工程”完成573个广播电视“村村通”工程建设。
五)构建覆盖城乡的困难群体基本住房保障体系
实现应保尽保,1基本目标:对符合廉租住房保障条件、申请廉租住房租赁补贴或实物配租的城市最低生活保障家庭。并逐步扩大到城市低收入家庭。廉租房保障户数2012年达到1.5万户。廉租住房制度保障范围由城市最低收入住房困难家庭扩大到低收入住房困难家庭,基本消除城市低收入住房困难户,农村群众居住条件稳步改善,全市城镇人均住房面积明显提高。2015年建立相对完善的覆盖城乡的困难群体基本住房保障体系。
着力解决面向低收入家庭住房困难为重点的各类保障性住房建设。强化政府主导,2主要工作任务:加快建立适应全体居民需要的多层次住房保障体系。创新保障方式,实行实物配售,加快廉租房建设步伐,加大经济适用房建设力度。逐步建立农村困难群众住房救助机制,逐步改善农村地质灾害区和生存环境恶劣地区的贫困群众居住条件,3-5年内使低收入家庭的居住环境、质量得到明显改善和提高。
抓好现有申请对象的保障资格审查和认定工作,3近期工作重点:做好住房保障对象的调查摸底等基础性工作。年对人均住房建筑面积低于10m2城市低保家庭做到应保尽保;规范租金补贴发放程序,确保中央补助的资金按规定及时发放;加快推进廉租房建设力度,积极探索廉租住房租售并举;因地制宜、科学规划,扎实抓好农村饮水安全工程建设,确保工程建设质量,建立良性运行机制。
六)构建覆盖城乡的公共安全保障体系
全面提高政府保障公共安全和处置突发公共事件的能力。治安灾害事故稳中有降,1基本目标:建立健全公共安全保障应急预案体系、组织体系、保障体系和运行机制。重大公共安全事故得到有效控制。2012年,全市平安县(区)达标率100%平安乡镇达标率在94%以上,平安村(居)达标率在90%以上,平安单位达标率在85%以上,创建稳定、和谐的社会环境,逐步形成惠及全民的安全保障服务体系。2015年建立相对完善的覆盖城乡的公共安全保障体系。
创新公共安全服务体制。建立健全分类管理、分级负责、条块结合、属地为主的管理体制,2主要工作任务:改进公共安全服务方式。提高危机管理和抗风险能力。按照预防应急并重、常态非常态结合的原则,建立统一高效的信息平台,建设精干实用的专业救援队伍,实现全社会整体联动。加强社会治安综合治理,大力实施城乡社区警务战略。加强技防和人防队伍建设,提高社会治安防控能力。加强群防群治工作。加强城镇、旅游景区消防基础设施建设,提升全社会预防火灾能力。逐步改造“四无小区”提升小区防控水平。加强交通安全基础设施建设,预防和减少交通事故发生。建立健全城乡公共安全体系,抓好公共食品安全、药品安全、医疗安全、消防安全等日常监管工作。完善社会矛盾排查调处机制,切实维护社会稳定。
加强矛盾纠纷排查调处工作;拓宽社情民意表达渠道,3近期工作重点:坚持实行领导干部“定期接访”和“带案下访”制度。强化维稳责任制工作落实,积极预防和妥善处置,巩固平安和谐的社会基础;严格落实安全生产责任制,坚决遏制重特大安全生产事故发生;抓好应急预案体系建设,提高政府保障公共安全和处置公共事件的能力;加快治安防控体系建设,将技防措施向农村、城郊结合部及案件多发地区、路段和部位延伸;建立健全流动人口管理服务机制,落实群防群治措施;依法打击各类违法犯罪行为。
三、保障措施
一)抓好目标任务的分解细化。市委、市政府成立公共服务体系建设领导小组。各区县要按照市委、市政府对推进公共服务设施体系建设的总体要求,加强领导。积极作出相应的决策和部署。市直各责任单位要联系部门实际,抓紧对目标任务进行分解细化,稳步推进年度工作目标任务和相应措施落到实处。
确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。
同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。
提升应急能力
面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。
要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。
同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。
信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。
避免误区
在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。
思路和原则
抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:
坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。
明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。
重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。
遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。
治理三阶段
国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。
第一阶段,打基础、保重点,初步建立我国信息安全防护体系。
战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。
保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。
保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。
通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。
第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。
战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。
政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。
第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。
战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。
战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。
在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。
五大安全治理规范(供参考)
一、经济合作和发展组织,《信息系统安全指南》(1992)
《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。
这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
论文关键词:洪水资源利用法律制度建设
论文摘要:开展洪水资源利用法律制度建设,适宜“自下而上”,由各地方根据情况先行开展相关法规建设,包括制订适用于本行政区域的地方性法规或者地方政府规章等另一方面,伴随着洪水资源利用的实践推进和各种制度建设的探索.适时“自上而下”,由国家推出相关法律法规,引导全国范围内洪水资源利用的开展。
洪水资源利用是指按照风险分担、利益共享的原则.通过建设和完善滞、蓄、调、引、灌等工程设施,综合采用规划、预报、调度、应急预案等非工程措施,实施洪水风险管理,对特定规模洪水的公益性增值利用,具有综合、风险、公益、增值等特征。在洪水资源利用过程中,涉及洪水风险管理、洪水资源利用规划、河湖水库调度、蓄滞洪区优化运用、地下水回灌等多种行为.需要调整多重利益关系,亟须加强相关法律制度建设。
一、洪水资源利用法律制度建设的重要性
1.适应洪水资源利用趋势的内在需要
我阚水资源短缺.随着经济社会发展,用水需求的日益增加,缺水威胁将进一步加剧,适度利用洪水资源将成为解决局部地区水资源短缺的重要途径之一因此,洪水资源利用在规模和总量上都将呈现日益增长趋势存洪水资源利用过程中,包括洪水资源利用规划、洪水风险管理、江河湖泊水库调度、蓄滞洪区优化运用及其补偿、回灌地下水等,需要一系列制度予以支持。这些制度的确立和运作,单纯依靠政策难以完全奏效,需要上升到法律层面上予以规范化、法制化.
2.协调洪水资源利用复杂利益关系的迫切要求
在洪水资源利用过程中,涉及各级政府、各级防总、各级政府部门、水工程管理单位、社会公众等多重主体,各主体利益关系复杂而多元。在我国.虽然这些主体的根本利益具有一致性.但个别时候针对具体事件,也会产生不同程度的利益冲突或矛盾。如果不能及时妥善处理,就会形成新的不安定因素,这就需要以法律的形式协调各方的利益.发挥法律制度的教育和引导作用,有效地开展洪水资源利用活动
3.解决洪水资源利用法律缺位的关键举措
尽管目前我同已确立了“保障安全、充分利用”的洪水资源利用基本政策,要求在保障防洪安全的前提下,充分利用洪水资源。然而前我同存洪水资源利用方面的法律法规却处于缺位状态:除了《天津市防洪抗旱条例》等部分地方性法规明确提出“鼓励对雨洪水资源的开发利用之外.水法、防洪法、防汛条例以及各种涉水部门规章均未规定洪水资源利用问题。洪水资源利用法律缺位,导致洪水资源利用面临着一系列法律瓶颈,严重制约着洪水资源利用的有效开展。为此.在推进洪水资源利用过程中.有必要加强洪水资源利用法律制度建设
二、洪水资源利用法律制度建设的重点
1.确立洪水资源利用的基本原则
洪水资源利用具有利害两重性.其“利”体现在洪水一旦资源化,就可以像其他水资源一样进行兴利:其“害”体现在,除了洪水本身可能存在的危害性之外,还可能因为洪水资源化措施的实施带来各种附加风险.如洪水预报误差风险、调度操作误差风险等。因此,为了充分利用洪水资源.需要适度承受洪水风险,并协调好不同主体之间基于洪水资源利用的利害关系.而这首先需要明确洪水资源利用的基本原则。归纳起来,主要有以下基本原则:
一是保障安全原则.即利用洪水资源必须结合实时的工情、雨情、汛情,科学决策、审慎操作.保证度汛安全。
二是统一规划原则,即通过合理的规划,按照风险分担、利益共享的原则统筹流域上下游、左右岸、干支流、城乡间基于洪水资源利用的利害关系。
三是因地制宜原则,即利用洪水资源时需要注意结合各个流域的工情、雨情、水情,综合考虑该区域的经济社会发展状况,采取适宜的利用措施,实现洪水资源的优化配置。
四是综合利用原则.即从全流域通盘考虑,既要考虑如何科学合理地进行河库洪水错峰调度以发挥防洪减灾效益.还要考虑如何通过科学调度增加水库容纳水量及调蓄滞洪水量来提高水能水量利用率,综合增加发电、灌溉和防洪效益。
2.确立政府主导的洪水资源利用管理体制
洪水资源利用作为一项有风险的公益性事业,需要建立以政府为主导的管理体制,赋予洪水资源利用主管部门较强的行政权力,以满足应急管理决策的紧迫性和复杂性需要。为此,需要明确洪水资源利用主管机构的职责与权限,建立必要的监督制约机制,追究者的法律责任.以避免无序利用、不合理利用引发新的生态与环境问题。
3.确立洪水资源利用规划制度
洪水资源利用与常规水资源开发利用不同,缺乏有效的利益协调与驱动机制.需要在政府主导下编制专业规划,结合具体的雨情、汛情、工情.科学决策,相机实施。为此.需要明确洪水资源利用规划编制的组织形式、编制主体、决策程序、法律地位和有关机构及利益相关者参与的机制.规定洪水资源利用规划的执行与监督等。
4.结合洪水资源利用方式设计不同的法律制度
洪水资源利用主要有四种方式:水库调度.区域内河系联网调度以及跨区域或跨流域水量调度,蓄滞洪区的优化运用,通过工程措施主动回灌地下水。不同的洪水资源利用方式,其法律制度建设重点存在很大区别:
①对于水库调度而言,法律制度建设的重点在于洪水资源调度及风险责任承担。为了充分发挥现有水库等工程的调蓄水功能,最大限度地利用洪水资源,需要改变传统的水库调度模式。建立动态的汛期概念,并在此基础上确定动态的汛限水位、调整具体的水库汛期调度方案。在此过程中,伴随着洪水风险的增加,需要确立相应的风险责任承担主体和承担方式。
②对于区域内河系联网调度、跨区域或跨流域水量调度而言,法律制度建设的重点在于洪水资源在不同区域、流域之间的配置、调度以及不同区域、流域之间在水资源、水环境方面的利益平衡。为了尽可能滞留洪水,可以利用联网的河系或跨流域调水工程等,将本流域、本区域的汛期“弃水”调度到其他流域或区域加以储存或利用,这就需要充分考虑不同区域、流域之间的水资源配置规划.并进行相关的水量调度制度建设。由于洪水往往夹杂着各种污染物.因此,在洪水资源调度过程中,需要有效控制与管理污染物。限制污染灾害在地区间转移,避免造成更为严重的环境污染事故。
(3)对于蓄滞洪区的优化运用而言,法律制度建设的重点在于蓄滞洪区的功能调整和受损者的利益补偿为了合理利用洪水资源.有必要将蓄滞洪区的运用从单一的被动防洪调度转变为主动的蓄洪兴利和错峰防洪等多种形式.为此需要建立有效的社会管理和经济调节机制.建立行之有效的管理法规.制定和实施适宜的人口政策、产业政策,搞好产业结构调整和经济发展布局,促进蓄滞洪区人与自然的和谐,实现区内经济社会的健康、有序发展。同时。应当根据各流域防洪规划、洪水资源利用规划的要求.结合蓄滞洪区的土地利用、产业结构及经济发展水平,以不同淹没水深及淹没时间为参数.划分蓄滞洪区的启用级别.确定相应级别的启用决策机构。实现蓄滞洪区分级运用管理。在此过程中,需要加强蓄滞洪区运用补偿立法.依法界定有关区域地方政府作为补偿主体,明确补偿资金的来源,规定补偿金的支付方式和用途。健全补偿基金的征收、分配和管理运作、资金管理机构的规章制度,规范补偿金的发放、使用和监督等。
(4)对于主动回灌地下水而言,法律制度建设的重点在于回灌设施建设与管理以及洪水水质的管理问题。有效回灌地下水往往需要修建地下截坝、拦水闸,开挖深井、渗沟等工程.为此需要对回灌设施建设与管理制定专门的法规标准。此外,洪水在较短的时间内汇集,水质难以控制,因此在回灌地下水的同时。必须采取必要的监督控制措施,保证水质不被污染,以免污染了地下水源,造成新的自然灾害。需要明确可回灌地下的洪水水体质量标准体系,建立洪水水质检测、报告制度及操作规程,加大利用决策的信息支持力度,完善利用洪水资源回灌地下的决策机制。对无视洪水水质,强行决策致使地下水体污染的,设定相应的法律责任。
5.建立健全应急管理机制
为控制或减轻洪水资源利用过程巾可能遇到的突发性水灾损失.必须建立健全应急管理制度,包括应急预案的编制、应急预案的启动程序、应急预案的演练、相关单位和个人在各级应急响应中的责任义务与协同机制、加强应急反应能力建设的措施、应急决策后的评估制度以及相关责任追究制度等。
6.其他制度
除了建立、完善或落实上述法律制度外,还需要建立洪水资源利用的生态补偿制度、跨区纠纷解决机制、水质监测与控制制度等各种制度措施。
三、政策建议
1构建由法律、法规、规章所构成的洪水资源利用法规保障体系
在今后开展洪水资源利用法律制度建设过程中,需要构建由法律、法规、规章所构成的洪水资源利用法规保障体系。在法律层面.可通过修订防洪法,增加有关洪水资源利用的条款。如将防洪规划扩展为洪水管理规划,确立洪水资源利用规划的地位;明确洪水资源利用的协调机制.加强中央、地方和各行政管理部门之间在洪水资源利用行动中的沟通与协调,扩展国家防汛抗旱总指挥部的职能;将洪水影响评价制度由洪泛区、蓄滞洪区向整个防洪区推广.由建设项目向与土地利用有关的规划推广;在保障措施中,明确洪水资源利用资金的来源,明确中央与地方的洪水资源利用投人原则,明确洪水资源利用基金在洪水管理基金中的比例等。在行政法规层面,需要及时出台“蓄滞洪区管理条例”,合理确定蓄滞洪区的规划管理制度、科学利用制度和损害补偿制度,以促进蓄滞洪区的优化运用:需要在将来出台的“地下水资源管理条例”中建立地下水回灌制度,保障地下水的有效供给,从根本上缓解地下水环境恶化趋势。在部门规章层面,为了具体指导我国洪水资源利用实践,可以在有关水部门规章的制定、修改时加入洪水资源利用的相关制度。比如,在已纳入水利部立法工作安排的“雨洪影响评价分级管理规定”“雨洪影响评价资质管理办法”“丹江口水库管理办法”“尼尔基水利枢纽库区管理办法”“东平湖管理办法”等部门规章中规定与洪水资源利用相关的制度。此外,省、自治区、直辖市人大、政府及相关地方立法机构可以通过制定地方性法规或地方政府规章,结合本地区洪水资源利用的实际需要,将国家确定的洪水资源利用制度予以具体化。
2.采取“自下而上”和“自上而下”相结合的上下联动路径进行推进
在洪水资源利用法律制度建设过程中.可以采取“自下而上”和“自上而下”相结合的上下联动路径进行推进。一方面,洪水资源利用在我国尚处于起步阶段.在这种情况下,开展洪水资源利用法律制度建设适宜“自下而上”,由各地方根据情况先行开展相关法规建设,包括制汀适用于本行政区域的地方性法规或者地方政府规章等。通过地方性立法先行.不仅可以满足缺水地区科学合理利用洪水资源的立法需求,而且可以因地制宜,积累经验。另一方面,伴随着洪水资源利用的实践推进和各种制度建设的探索,适时“自上而下”,由国家推出相关法律法规,引导全国范围内洪水资源利用的开展。从洪水资源利用法律制度建设上看.也只有在法律法规层面引进洪水管理理念并对防洪法进行修改,并出台蓄滞洪区管理条例、地下水资源管理条例等法规之后.才能表明洪水资源利用法规保障体系真正建立。
3.分阶段、分步骤、有计划地推进洪水资源利用法规保障体系建设
在洪水资源利用法规保障体系建没过程中.可以考虑分为三个阶段:2015年前为政策先导与框架确定阶段,重点是由地方出台相关的政策法规.同时尽快推进已经列人水法规体系总体规划的蓄滞洪区管理条例、洪水影响评价管理条例、地下水资源管理条例等水法、防洪法的配套法规:2015-2020年为主要法律制度完善阶段.重点是将防洪法修改完善为洪水管理法:2020年之后为制度进一步健全阶段.重点是进一一步修改完善各项政策法规,从而逐步建立起长期、有效的洪水资源利用法规保障体系。