安全管理體系優化方案

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全管理體系優化方案范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

安全管理體系優化方案范文第1篇

關鍵詞：民航；船舶；風險管理；安全保證

中圖分類號：F407.474文獻標識碼：A 文章編號：

1.民航業安全管理體系及南海救助局安全管理體系簡介

1.1民航業安全管理體系核心就是風險管理及安全保證

民航業安全管理體系四大支柱是政策、風險管理、安全保證、安全促進。從上面運行結構圖我們可以了解到政策（民航相關法律法規、管理規則等）是安全管理體系運行的基礎，安全促進（安全文化建設、體系培訓等）是安全管理體系運行的保障，而風險管理及安全保證就是體系的核心。

1.2風險管理是安全管理體系的核心功能之一，它通過系統的運行過程來實現

1.2.1危險源的識別。在全面的系統和工作分析的基礎上，識別出系統或流程各環節的危險源，建立危險源信息庫。

1.2.2風險分析。民航業包括南海第一救助飛行隊使用風險矩陣對風險可接受程度進行分析（如下圖）。矩陣說明了可接受程度的三各區域：不可接受的（黑色區域）、可接受的（白色區域）、緩解后可接受的（灰色區域）。評價結果是不可接受則必須立即采用風險控制進行整改，緩解后可接受的須根據具體情況限時整改，可接受的可以暫緩整改。

1.2.3風險控制措施。從設計角度考慮盡可能消除危險源----修改系統（其中包括有危險源存在的硬件、軟件系統和組織系統）； 物理防護或屏障----減少在危險源中的暴露或降低后果的嚴重性； 關于危險源的警告、通告或提示； 為避開危險源或降低相關風險可能性或嚴重性而做的程序修改； 為避開危險源或降低相關風險可能性而進行的培訓。

1.2.險管理的目標。所有人員都應具有風險管理的意識和自覺性 ；風險管理必須體現為每一位運行人員的習慣行為 ；

2.安全保證是安全管理體系核心之一，建立在安全風險管理方案基礎之上，目的是不斷更新危險源的控制措施，持續優化安全 管理體系，最終保障單位的安全運行

2.1安全信息的管理

安全信息收集渠道主要有以下幾種：飛行運行持續性監控數據、審計審核數據、員工報告數據、不安全事件數據等等。在正確的理解信息獲取和數據收集的關系的基礎上，運用先進的技術手段，優化信息獲取渠道，正確進行安全信息分析。同時不斷提升人員信息素質，充分發揮閉環反饋機制的作用，才能使安全管理體系煥發出旺盛的生命力。

2.2安全保證流程

通過使用安全政策、目標、審計結果、數據分析、系統評價、預防糾正措施、管理評審等過程，可持續改進安全管理體系和風險控制措施的有效性。

2.2.1數據分析。安全委員會及各業務部門應對現行控制措施制定預防和糾正措施，如果發現有不可接受的偏離立即實施糾正措施，應定期（以月、季度、年中和全年或特定時間段為周期）對風險識別過程中獲得的數據以及安全管理過程中獲得的各類信息進行分析，確定運行過程中的風險控制措施和安全管理體系是否有效，并通過分析尋求改進運行過程的機會。

2.2.2系統評價。安全委員會通過數據分析整理得出結論，現行的風險控制措施或現行的安全管理體系是否有效（包括規章要求），是否產生了新危險源。

2.2.3預防措施和糾正措施。當系統評價結論為現行的風險控制效果不明顯或或現行的安全管理體系無效時，重新制定風險控制措施，修改相關安全管理體系。

2.2.險管理。當系統評價結論為現行的安全管理體系不能滿足要求（包括規章要求）或產生了新危險源時，單位要啟動風險管理過程。

2.3南海救助局安全管理體系運行核心是操作過程

我局SMS體系由《船舶安全管理手冊》、《安全管理程序手冊》、《安全操作須知》、《救助與應急操作須知》4本手冊形成一套完整的體系文件。其基本內容為：

2.3.1局長的承諾和決心是關鍵。包括確立安全管理安全目標；制定安全和環保方針；建立和保持SMS的管理措施等。

2.3.2組織結構是基礎。包括明確各層次人員的職責、權限、相互關系；任命指定人員并授權；明確船長的權力和責任等。

2.3.3工作程序是依據。包括保證有關人員熟悉業務程序；標識SMS要求的培訓程序；船舶操作須知、方案和計劃；應急程序；不合格報告、調查、分析程序 ；糾正措施實施程序；船舶維護程序 ；文件控制程序；管理評審程序 內部審核程序等。

2.3.4操作過程是核心。包括安全防污染操作過程；救助及應急操作；船舶及設備維護過程；體系管理過程等。

2.3.5人員和資源是保障。包括船長、船員適任；確保人員熟悉任務、公約、規則及SMS信息；標示并提供培訓等。

這五大要素中，操作過程是核心，其他四個要素為其服務或為其運行所必須的輔助要素。

3.加強風險管理，提高安全保證，全面促進安全管理再上新臺階

安全管理控制劃分為前饋控制、現場控制、反饋控制，我局安全管理體系成熟運行多年，通過全體職工的共同努力，安全管理人員、一線管理人員的辛苦工作，安全管理成績突出，安全氛圍良好，現場控制及反饋控制運行成熟。但是，還是存在一些不足，參考航空業的安全管理體系，最明顯的就是系統前饋控制也就是風險管理還沒實行，這也是我局今后安全管理方向與趨勢。

3.1各級安全風險評估委員會，應對各級具體風險作業進行評估，對常規風險、救助現場風險嚴格按照風險評估步驟評估。一線船舶填寫《安全評估申請表》，采用作業條件風險評價法（LEC法）或矩陣法或作業安全分析法確認風險，形成《安全風險評估報告》。

各級安全風險評估委員會負責人根據《安全風險評估報告》的評估結論，按以下方案落實防范措施，具體任務分配給具體相關人員，或者提出取消作業的建議并立即上報上級部門。

3.1.1稍有風險，無需特別安全措施，安排人員負責提醒作用。

3.1.2一般風險，制定一般防范措施，落實到人。

3.1.3顯著風險，加強防范措施，專人負責落實。

3.1.4可控高度風險，加強防范措施，制定現場應急預案；不可控高度風險，提出取消作業建議。

3.1.5可控重大風險，加強防范措施，制定專項應急預案；不可控重大風險，提出取消作業建議。

3.2各級安全風險評估委員會應系統性定期（每季度為周期）對《SMS運行情況分析報告》、《船長復查報告》、《安全隱患數據庫》、員工報告、最新國內外相關公約規章、其他單位提供等等的安全信息進行分析，確認現行的安全管理體系是否有效（包括規章要求），如果發現有不可接受的偏離立即實施糾正措施，或者修改相關安全管理體系。

3.3安全管理人員加強安全監管力度，努力提高自己業務素質，拓寬安全信息采集渠道，提高安全信息分析能力以及危險源的識別能力。定期跟蹤各種安全檢查、安全整頓、安全督辦中的遺留問題、安全隱患是否得以及時整改以實現閉環。促使安全保證各環節運行具有高效性，確保安全管理體系良好運轉。

3.4一線船舶建立風險管理文化，并加強執行的制度化建設。認真完成安全隱患數據庫填寫；貫徹執行《應急救助作業安全風險評估指導手冊》；結合設備預防檢修對設備進行危險源辨識、風險分析、風險控制等風險管理措施。只要救助等風險作業評估、設備預防檢修等風險管理做到位了，危險源自然就減少了，船舶的安全管理也就更加有保證。

安全管理體系優化方案范文第2篇

關鍵詞信息安全 技術體系 管理體系

中圖分類號：TB497文獻標識碼： A 文章編號：

前言

企業的正常運作離不開信息資源的支持，企業信息化系統作為管理企業信息資源的電子化工具和企業實力的重要組成部分，在促進企業規范管理流程、提高生產效率的同時，在運行中累積的包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源等各種重要數據成為部門、企業的寶貴資產，關乎著企業的生存與發展。這些數據一旦損壞、丟失、泄漏或篡改，則會給企業帶來重大安全影響。

企業要保持健康可持續性發展，信息安全是基本的保證之一。為確保信息資產安全，很多企業都制定了“硬件備份、分權分域、多層防御、等級防護”等等信息安全技術目標，并且逐步落實。與此同時，還應該清醒地認識到，技術體系達到先進水平，并不意味著企業的信息安全整體水平也是同步發展的；而必須建設和落實與之相適配的信息安全管理體系，并將其逐步納入到企業的各級安全生產管理當中。

信息安全風險和措施概述

企業信息化系統在為企業帶來提高工作效率和管理水平、增強競爭能力等益處的同時，也為企業帶來了信息安全風險；而且信息安全風險與信息化水平和應用范圍的提高與擴大同步增長。

（1）接入和訪問方式多樣化帶來全網性風險

U盤、便攜電腦、無線網卡、智能手機的普及加劇了病毒、蠕蟲和間諜軟件等普遍存在的信息安全威脅，而且對網絡、系統、應用、信息的破壞程度和范圍持續擴大。

（2）來自外網的攻擊始終存在，攻擊方式向更高階段演化

和其他企業網一樣，企業的信息化系統也一直面臨著來自Internet和其他第三方對接網絡的外在威脅，并且很容易跨域突現。在攻擊手段上，攻擊者已經從以往直接針對網絡和系統的普遍攻擊，轉向了對更高層次的Web應用、信息數據的重點攻擊。

（3）安全意識和相關培訓不到位

職工信息安全培訓普及和素質培養方面卻沒有形成一個長效機制，信息安全意識不均衡情況也普遍存在。

（4）信息安全管理體系尚未成熟

在信息安全保障體系中，企業普遍存在過于依賴于技術保障，而管理保障和制度執行相對薄弱等問題。大多數企業的信息安全管理體制還是沿襲傳統組織架構，并沒有咨詢過專業安全公司在信息安全管理體系建設上的意見，仍由檔案部門、調度部門兼職負責，而沒有設置專門的信息安全部門，從而造成管理體系不健全，責任不清晰等問題。

信息安全管理體系的主要環節

從業內最佳安全實踐來看，要想建立完善可行的信息安全管理體系，就要使之貫穿于整個企業信息安全建設和保障過程。一般說來，信息安全管理體系包括以下6個主要環節：

（1）信息風險評估程序：其目的是為了在企業、組織內部建立一套適合自身具體情況的信息風險評估機制，明確信息風險評估由誰來做、怎么做、做什么、重點解決什么等問題。這一環節有助于相關部門了解有哪些威脅會對企業信息真正造成影響、風險水平該如何確定。

（2）信息安全計劃：它是在信息風險評估的基礎上，結合企業的宏觀安全戰略與現實情況得出的，明確了信息安全工作應該“做什么”和“什么時候做”。

（3）項目管理：無論安全工作是內部人員來完成還是與專業安全公司協作來完成，每一項信息安全工作都可以視為一個安全項目。所以，還應充分考慮項目管理的各個階段（發起、啟動、計劃、執行、控制、收尾）需要關注的問題和存在的風險。

（4）運行維護和培訓：對企業信息的運行維護監控過程大部分是程序化和其他一些較為細碎的工作。同是，除了執行命令、填寫表單以外，還需要通過各類培訓教育讓各級職工，尤其是掌握核心業務數據的崗位人員時刻保持風險預警意識。

（5）信息安全審計：其主要目的就是建立一個長效機制，明確對信息系統及其數據和信息的檢查周期、審計方式、評審制度等內容，確保能夠及時發現和彌補信息安全管理漏洞和缺陷。

（6）持續改進計劃：為了應對不斷變化的信息安全威脅和不斷嚴格的合規性要求，從根本上解決信息安全問題，企業、組織需要對信息安全過程、方法、程序、操作指南持續改進。

圖1 信息安全管理體系環節構成示意圖

信息安全管理體系的實施內容

從當前來看，信息安全管理體系的實施內容主要包括信息安全管理制度和信息安全操作流程組成，二者各司其職，又互為補充。

首先，信息安全管理制度主要是公司的相關部門根據自身的管理職能，針對各種與信息安全管理有關的資源制定的相關要求、政策。管理制度通常由相應的部門進行歸口管理和解釋，是職能化、專業化的直接體現。

其次，信息安全管理流程是根據一定的管理目標，對系列相關活動順序和操作規則的規定。通常管理流程會貫穿若干部門，使用相關資源，是流程化、規范化管理的體現。與管理制度相比，管理流程更注重過程管理，通常會使用一些流程測量指標，作為衡量效率和判斷是否合理的依據。

最后，在信息安全管理體系的實施中，如果關注結果，不注重或者難于監控過程，就傾向于使用制度去約束，如近幾年在企業中大力推廣的口令加密存儲制度等。另一方面，如果在一個安全控制點上更關注過程，即關注是否具有完備的輸入，是否有合理可操作的處理過程，是否產生了預期的結果，那么就傾向使用操作流程進行記錄，如系統補丁加載等。

安全管理體系優化方案范文第3篇

關鍵詞：施工；安全管理體系；構建

中圖分類號： TU7 文獻標識碼： A 文章編號：

1 引言

施工安全管理體系是一個動態的、自我調整和完善的管理系統。良好的施工安全管理體系必須貫徹“安全第一，預防為主”的方針；必須建立健全安全生產責任制和群防群治制度，確保工程施工勞動者的人身和財產安全；必須適用于工程施工全過程的安全管理和控制；【1】必須符合《中華人民共和國建筑法》、《中華人民共和國安全生產法》、《建設工程安全生產管理條例》、《職業安全衛生管理體系標準》和國際勞工組織167號公約等法律、行政法規及規程的要求。施工安全管理的工作目標，主要是避免或減少一般安全事故和輕傷事故，杜絕重大、特大安全事故和傷亡事故的發生，最大限度地確保施工中勞動者的人身和財產安全，能否達到這一目標，關鍵問題是需要安全管理和安全技術保證。

2 施工安全管理體系的構成

施工安全保證體系由：施工安全的組織保證體系、制度保證體系、技術保證體系、投入保證體系及信息保證體系。

（1）施工安全的組織保證體系是負責施工安全工作的組織管理系統，一般包括最高權力機構、專職管理機構的設置和專兼職安全管理人員的配備（如企業的主要負責人、專職安全管理人員，企業、項目部主管安全的管理人員以及班組長、班組安全員）。

（2）施工安全的制度保證體系是為貫徹執行安全生產法律、法規、強制性標準、工程施工設計和安全技術措施，確保施工安全而提供制度的支持與保證體系。

（3）施工安全技術保證由專項工程、專項技術、專項管理、專項治理四種類別構成，每種類別又有若干項目，每個項目都包括安全可靠性技術、安全限控技術、安全保險與排險技術和安全保護技術。

（4）施工安全投入保證體系是確保施工安全應有與其要求相適應的人力、物力和財力投入，并發揮其投入效果的保證體系。其中，人力投入可在施工安全組織保證體系中解決，而物力和財力的投入則需要解決相應的資金問題。

（5）施工安全工作中的信息主要有文件信息、標準信息、管理信息、技術信息、安全施工狀況信息及事故信息等，這些信息對于企業搞好安全施工工作具有重要的指導和參考作用，為施工安全工作提供有力的安全信息支持。

3 施工安全管理體系的構建

3.1施工安全管理計劃的制定

應根據工程特點、施工方法、施工程序、安全法規和標準的要求，采取可靠的技術措施，消除安全隱患，保證施工安全。對結構復雜、施工難度大、專業性強的項目，除制定項目總體安全技術保證計劃外，還必須制定單位工程或分部、分項工程的安全施工措施。【2】對高空作業、井下作業、水上和水下作業、深基礎開挖、爆破作業、腳手架上作業、有毒有害作業、特種機械作業等專業性強的作業，以及從事電氣、壓力容器、起重機、金屬焊接、井下瓦斯檢驗、機動車等特殊工種的作業，應制定單項安全技術方案和措施，并對管理人員和操作人員的安全作業資格、身體狀況進行合格審查。【3】施工安全管理控制必須堅持“安全第一、預防為主”的方針，項目部應建立安全管理體系和安全生產責任制，保證項目安全目標的實現。

3.2施工安全管理控制對象

主要以施工活動中的人力、物力和環境為對象，建立一個安全的生產體系，確保施工活動的順利進行，其主要任務是約束控制勞動者的不安全行為，消除或減少主觀上的不安全隱患；通過改善施工工藝、改進設備性能，以消除和控制生產過程中可能出現的危險因素，避免損失擴大的安全技術保證措施；通過改善和創造良好的勞動條件，防止職業傷害，保護勞動者身體健康和生命安全。

重點抓薄弱環節和關鍵部位，控制傷亡事故。在項目施工中，分包單位或協作隊伍的安全管理，是整個安全工作的薄弱環節，總包單位通過安全教育、安全檢查、安全交底等制度對分包單位或協作隊伍的安全管理層層負責。

一般傷亡事故大多發生在：高處墜落、物體打擊、觸電、坍塌、機械和起重傷害等方面，所以對腳手架、洞口、臨邊、起重設備、施工用電等關鍵部位發生的事故要認真分析，找出發生事故的癥結所在，然后采取措施，加以防范，消滅和減少傷亡事故的發生。【4】

3.3施工安全管理實施策劃的原則性策略

①預防性：施工安全管理策劃必須堅持“安全第一，預防為主”的原則，針對工程施工的全過程制定安全預防措施，真正起到施工項目安全管理的預防、預控作用。

②全過程性：施工安全管理策劃必須覆蓋施工生產的全過程和全部內容，使施工安全技術措施貫穿到施工生產的始終，從而實現整個施工系統的安全。

③科學性：施工安全管理策劃的編制，必須遵守國家的法律、法規及地方政府的安全管理規定，其策劃的內容應體現最先進的生產力和地方政府的安全管理方法，執行國家、行業的安全技術標準和安全技術規程，真正做到科學指導安全生產。

④可操作性和針對性：施工安全管理策劃的目標和方案應堅持實事求是的原則，其安全目標具有真實性，安全方案具有可操作性，安全技術措施具有針對性。

⑤動態控制：施工生產全過程中的不安全因素是不同的、動態的，所以對施工安全生產必須實施動態控制的原則。

⑥持續改進：施工安全生產必須堅持持續改進的原則，不斷提高企業安全管理水平。

⑦實效的最優化：施工安全管理策劃應遵守不盲目擴大項目投入，又不取消和減少安全技術措施經費來降低過程成本，而是在確保安全目標的前提下，在經濟、人力、物力投入上堅持最優化的原則。

3.4施工過程中危險因素的分析

（1）防護工作

①安全防護工作：如腳手架作業防護、基坑開挖防護、洞口防護、臨邊防護、高空作業防護、模板防護、起重及其他施工機械設備防護。

②關鍵特殊工序防護：如洞內作業、潮濕作業、樁基人工挖孔、易燃易爆品、防塵防觸電的防護。

③特殊工種防護：如電工、電焊工、架子工、爆破工、機械工、起重工、機械司機等，除一般安全教育外，還要進行專業安全技能的培訓，經考試合格持證后方可上崗。

④臨時用電的安全系統防護：如用電總體布置、變壓器周圍防護和各施工間斷臨電布置。

⑤保衛消防工作的安全系統管理：如臨時消防用水、臨時消防管道、消防滅火器材的布置。

（2）主要安全防范措施

①根據全面分析工程項目的各種危險因素，選用安全可靠的各種裝置設備、設施和必要的安全檢驗、檢測設備。

②根據火災、爆炸等危險場所的類別、等級、范圍，選擇電氣設備的安全距離及防雷、防靜電、防止誤操作等設施。

③對可能發生的事故做出預案、方案及疏散、應急救援等措施。

④危險場所和部位及危險期間（冬、雨期、臺風、高溫）所采取的防護設備、設施和勞動保護用品及其效果等。

（3）施工安全管理實施的基本要求

①必須取得

②必須建立健全安全管理保障制度。

③各類施工人員必須具備相應的安全生產資格方可上崗。

④所有新工人（包括新招收的合同工、臨時工、農民工及實習和代培人員）必須經過三級安全教育。

⑤特種作業人員，必須經過專門培訓，并取得特種作業資格。

⑥對查出的事故隱患要做到整改“五定”的要求。

⑦必須把好安全生產的“七關”標準。

⑧必須建立安全生產值班制度。

4 結語

施工安全技術措施是在施工項目生產活動中，根據工程特點、規模、結構復雜程度、工期、施工現場環境、勞動組織、施工機械設備、變配電設施、架設工具以及各項安全防護設施等，針對施工中存在的不安全因素進行預測和分析，找出危險點，為消除和控制危險隱患，全體管理人員切實從技術和管理上采取措施加以防范，消除不安全因素，防止事故發生，確保施工項目安全施工。

參考文獻：

[1]彭本. 建筑安全管理存在的問題及對策研究[D]. 大連理工大學 2013

[2]王鵬程.基于事故致因理論的多因素集成控制研究[D]. 華中科技大學 2012

安全管理體系優化方案范文第4篇

目前我國大多數白酒生產企業已建立了質量安全管理體系[1-2]，目的在于保證其產品的品質，“塑化劑”事件對我國白酒的質量安全問題又提出了疑問，同時該事件也給白酒生產企業造成了重創。醬香型白酒作為一種有著悠久歷史的傳統酒類，深受大家的追捧，其質量安全與消費者的健康息息相關，作為白酒生產企業改善企業質量安全管理非常重要[4]。因此，在本文中筆者著重從傳統醬香型白酒生產企業如何建立質量安全管理體系進行綜合論述，從而有效的保證醬香型白酒的品質，同時也為其它建立質量安全管理體系[3]的白酒企業提供依據。

2.企業內部建立質量安全管理體系小組

企業的最高管理者應按照圖1的質量安全管理框架進行資源的配置[5]，包括人力、物力等方面資源。首先明確一名質量管理體系小組組長，然后從八個部門各抽調一位作為質量管理體系小組兼職成員。質量管理體系成員要定期對質量體系進行審核和管理評審。

2.1內審

對于醬香型白酒生產企業內審人員應注意方式和方法，在質量安全體系審查過程中發現不合格項要給予警告，不予扣罰。但是不按時整改和整改無效的則要給予處罰。這樣可以減輕內審員的壓力，同時也防止受審部門和個人弄虛作假，以及不愿放映和暴露真實問題等問題的發生。

2.2管理評審

在管理評審過程中要嚴格按步驟實施。

2.2.1分解議題

質量安全管理小組應將評審的議題加以交叉分發給各個責任部門相應的兼職人員。

2.2.2展開議題

對在內審和外審過程中發現問題的不合格項，應及時反映給相關責任部門，并做出處理的意見。對整改的過程和結果進行追蹤，對于整改不利和不整改的部門，按照質量安全管理體系考核方案進行處罰，并勒令限期整改。

2.2.3做出評價

質量管理小組對質量管理體系運行情況做出綜合評價，形成評價報告。每一個評價項目都必須作簡單描述和結論。對質量安全體系的持續有效性；對產品品質是否穩定和不斷提高進行總結。從而糾正、改進、防范醬香型白酒生產、銷售全過程中發生、可能發生的安全性。

2.2.3跟蹤實施

對于在管理評審中提出改進的項目，應明確責任部門和完成日期，并由質量安全管理小組成員進行跟蹤驗證。以保證質量安全管理體系的有效性。

3.醬香型白酒生產企業建立質量安全管理體系的相關法律、法規要求

質量安全管理體系目的[6-7]是把企業每個部門、各環節生產經營活動密切地組織起來。指定、規定各部門、各崗位、各環節在白酒生產、經營活動中的責任、權利和義務。要建立醬香型白酒質量安全管理體系[8-9]，應吸納ISO9000質量管理體系的管理理念、體系框架和過程方法，同時建立良好的操作規范（GMP）和科學的衛生標準操作程序（SSOP）平臺，更重要的是要用HACCP手段對醬香白酒生產、加工、銷售的環境、人員、設備整個過程加以管理。

醬香型白酒生產企業引用ISO9000質量管理體系、GMP[10]、SSOP、HACCP，有利于提高白酒企業質量安全及質量安全管理。ISO9000是科學、系統、嚴密的關于質量管理、質量安全的文件。而GMP、SSOP、HACCP[11]是三個從不同方面規范食品安全的質量管理體系，三者相互獨立且又各有側重。GMP是針對食品安全衛生操作進行書面規定的具體操作方法。SSOP是GMP的中心內容，其強調的是食品生產車間、環境、人員及與食品有接觸的器具、設備中可能存在的危害的預防以及清潔的措施，而作為醬香型白酒生產企業涉及多方面的因素，其生產要經過幾個中間產品，甚至跨越不同企業，很難確保在醬香型白酒生產過程中從原輔料到成品，再到銷售，每個環節都安全。HACCP[12-13]體系正好彌補醬香型生產白酒生產、銷售過程中可能存在的生物、物理、化學危害的缺陷。

4.全面管理體系的實施

按照質量管理體系的框架明確人事部、財務部、物資部、工程中心、生產部、質量部、銷售部的質量目標和責任分工制定相應的標準性文件。文件包括質量手冊、程序文件、過程作業指導書、記錄文件以及質量管理考核措施等。

4.1 人事部

人事行政部在實施質量管理時應貫徹全面管理和全員參與的理念。

4.1.1本部應根據質量手冊、程序文件的要求。并組織、收集各種與產品過程和質量安全體系有關的數據，對于公司全體員工進行醬香型白酒生產工藝、麩曲醬香型生產工藝、操作規范、衛生標準、危害分析和關鍵點控制相關知識的培訓。

4.1.2 在全公司推廣質量管理方法及員工性質量管理活動，樹立企業共同的價值觀念。使全面質量管理體系理論貫穿每個員工、每道工序、每一個管理環節。

4.1.3每年對公司的全體員工進行健康檢查。

4.1.4 監督全公司員工進入廠區后的紀律和衛生要求。

4.1.5做好本公司人事、生產管理等相關資料的管理、收集、更新工作。

4.2 財務部

公司財務部根據質量成本管理手冊，運用財務用語對公司質量成本進行有效評價和監控。使公司的各種資源得到最有效的利用。

4.3 物資部

根據全面質量安全管理體系要求，物資部對生產過程中所有的需要采購的物資進行源頭把關。

4.3.1醬香型白酒生產主要原輔料有高粱、小麥、糠殼等。采購人員必須對原輔料進行初步的感官檢驗。要求不含異雜物、新鮮、干燥、不霉變等條件。

4.3.2對所有灌裝器具、包裝箱、標簽的大小及規格進行源頭把關。

4.3.3建立原輔料、器具、包裝箱、半成品、成品運輸管理制度以及倉庫的衛生、堆放管理制度，堆放要求離、離地。并對倉庫進行防潮、防蟲、防鼠處理。

4.3.4對所有的供應商要求其提供該公司的生產許可證和產品合格證明文件。

4.4 工程中心

工程中心工藝和技術水平是保證企業質量、降低生產成本、提高經濟效益的根本手段或措施，同時也是質量管理體系有效運行的物質基礎和前提條件。

4.4.1必須保證加工設備、檢測儀器、勾兌儀器的科技投入。

4.4.2根據生產、銷售反饋的信息及時對傳統醬香型白酒生產工藝和麩曲醬香型型工藝改進和優化。

4.4.3用液相色譜儀、分光光度計、水分測定儀等儀器對醬香型白酒原輔料、半成品、成品進行理化檢測，根據《醬香型白酒國家標準》對其進行品質的檢證。

4.4.4加強對于大曲、麩曲曲種的培養和優化。

4.4.5勾兌中心按照生活用水標準定期對勾兌用水進行檢測。

4.4.6強化品評和勾兌技術人員的技術培訓，以保證醬香型白酒優雅細膩、回味悠長、空杯留香持久的風格特點。

4.5生產部

生產部是整個白酒生產過程中的重中之重，更是全面質量管理體系建立的重中之重。作為傳統醬香型白酒生產工藝，其經過兩次投料，九次蒸餾，八次加曲及堆積發酵，七次取酒，三年陳釀，五年出廠，歷經春、夏、秋、冬一年時間。醬香型白酒生產工藝完全不同于其他香型白酒，其經過高溫制曲、高溫蒸餾、高溫發酵、高溫堆積、長期貯存以及精心勾兌。因此，加強全面質量管理必須根據醬香型白酒生產工藝特點。對每一個控制要點，每一個操作特點，進行嚴格把控和操作，從而保證進入下一流程酒的質量，最終保證成品白酒的品質與安全。

4.5.1傳統醬香型白酒釀造工藝流程

作為傳統醬香型白酒生產，大曲的制作也尤為重要，其質量直接影響酒體特點。醬香型白酒制曲流程為：小麥 100 %潤料粉碎粗麥粉拌料（曲母、水）踩曲曲坯堆積培養翻曲出房貯存成品曲。為保證曲坯的質量拌料水量應為粗麥粉重量的37～40%左右，制曲溫度應控制在 60-65℃。在實際操作過程中必須嚴格按照過程作業指導書進行。

4.5.2原糧的粉碎、潤糧與蒸糧

醬香型白酒在生產過程中原料要經過反復發酵，所以原料比較粗，要求整粒與碎粒之比，下沙為80%比20%，糙沙為70%比30%，下沙和糙沙的投料量分別占投料總量的50%。為了保證酒質的純凈基本上不加輔料，其疏松作用主要靠高粱原料粉碎的粗細來調節。而大曲粉碎要越細越好，有利于糖化發酵。粉碎后高粱的潑上原料量51%-52%的90℃以上的熱水（稱發糧水），潑水時邊潑邊拌，使原料吸水均勻。注意防止水的流失，以免原料吸水不足。蒸糧（蒸生沙） 先在甑蓖上撒上一層稻殼，上甑采用見汽撒料，在1h內完成上甑任務，圓汽后蒸料2-3h，約有70%左右的原料蒸熟，即可出甑，不應過熟。出甑后再潑上80℃的熱水（量水），量水為原料量的12%。發糧水和量水的總用量約為投料量的56-60%左右。

4.5.3攤涼拌曲

將糊化的酒醅均勻攤在車間晾堂上降溫，溫度降到32℃左右時，加入大曲粉加曲量控制在投料量的10%左右。加曲粉時應低撒揚勻。1-7輪此蒸酒后的酒醅，按此操作進行攤涼拌曲。

4.5.4堆積和入窖發酵

當酒醅的品溫降到32℃左右時，加入大曲粉，拌和后收堆，品溫為30℃左右，堆要圓、勻，冬季較高，夏季堆矮，堆集時間為4-5天，待品溫上升到45-50℃時，可用手插入堆內，當取出的酒醅具有香甜酒味時，即可入窖發酵。堆集后的生沙酒醅經拌勻，并撒上一層薄稻殼，最后用泥封窖4cm左右，發酵30-33天，發酵品溫變化在35-48℃之間。

4.5.5開窖起糟蒸餾取酒

開窖蒸酒（烤酒）。因窖容較大，在多次蒸餾才能把窖內酒醅全部蒸完。為了減少酒分和香味物質的揮發損失，必需隨起隨蒸，蒸酒時應輕撒勻上，見汽上甑，緩汽蒸餾，量質摘酒。當起到窖內最后一甑酒醅（也稱香醅）時，應及時備好需回窖發酵并已堆集好的酒醅，待最后一甑香醅出窖后立即將堆集酒醅入窖發酵。

4.5.6入庫貯存、精心勾兌

蒸餾所得的各種類型的原酒，要分開貯存容器中，貯存的容器必須采用符合食品安全要求的陶壇或不銹鋼罐。不得直接使用塑料制品密封，其次廠區所有的泵、管道及閥門都必須采用不銹鋼制品。經三年陳化在進行勾兌，勾兌時先勾兌出小樣，后放大調合，加漿用水符合GB5747標準，酒精符合GB10343標準，添加劑符合GB2760標準。再貯存一年，經化學檢測和品評合格后，才能包裝。

4.5.7過濾、灌裝

在包裝車間，灌裝機和包裝器具要定時進行消毒、清洗及維護。所有的物流必須通過物流通道進行運輸，以防止互相慘混和交叉污染。在包裝過程中要注意產品的標簽、標尺、日期及規格。

4.5.8生產車間人員及場地衛生管理

所有員工必須著裝上崗，工作期間不得私自離崗，不得佩戴首飾及涂抹化妝品。各工序段必須使用本工序段的專用工具，完成當日生產任務后按照車間衛生管理制度清洗、整理完所有器具和場地衛生，最后認真、如實填寫生產記錄本。

4.5.9按照醬香型白酒生產工藝制定過程作業指導書，以及其備案工作。收集各種關于醬香型白酒生產、管理的資料。

4.6質量部

4.6.1現場質檢人員對進入車間的生產人員、原輔料、各包裝用品、工藝器具及生產的各種半成品和成品進行直接的清潔和質量監控。

4.6.2質量部對生產車間所有設備、場地衛生進行清潔監控。

4.6.3主持制定公司全面質量工作的長遠規劃和標準，負責對不合格出具質量異常報告，注明以處理意見，報送主管領導批示后，送質量管理體系組長備案，并對公司質量進行考核、驗收工作。

4.6.4按照生產工藝及產品特點制定設備、半成品、成品、原輔料的檢測方式、方法及檢驗標準。

4.6.5按照企業衛生管理要求，對廠區內的防蟲、滅鼠以及廢棄物的處置建立衛生控制程序。

4.6.6加強有毒化合物的標記、貯存和使用管理。對化學品倉庫、使用部門和人員建立監控程序。

4.6.7積極配合質量管理小組對全面管理體系的實施及維穩工作。

4.6.8做好各種原輔料、成品、包裝器具的送檢及出廠檢驗記錄。

4.7設備部

4.7.1定期對廠區所以設備進行檢修和日常維護，保證水、電、氣正常、安全的運行。

4.7.2如實記錄設備的運行及年檢情況，到期的各種儀表，要及時送檢。

4.8銷售部

白酒是否有市場是質量管理體系有效工作性的試金石，作為銷售部門應該：

4.8.1采集各種關于醬香型白酒的銷售情況信息，并對其進行分析，以便建立更完善的銷售體系和方案。

4.8.2做好顧客滿意反饋記錄，以及相關資料的收集，通過對顧客滿意度的調查，分析顧客對于本公司生產的醬香型白酒的滿意度，對效果不滿意，則證明對策不得當，應重新進行問題分析，找出存在的問題，并同時報質量管理體系組長級公司的質量部門。其后采取有效的糾正措施，然后再予以平價，直到問題得到根本解決。對于效果滿意的改進措施，將其固定下來，使之標準化和規范化。

4.8.3做好每批產品的銷售信息記錄工作，以保證產品可追溯性。

4.8.4做好不合格產品的召回和處理情況，以便其他部門對生產工藝或生產技術的改進。

4.8.5做好本公司各類醬香型白酒品牌的管理，只有樹立自己的品牌[14]。公司才能在醬香型白酒市場競爭中立于不敗之地，從而提高企業整體效益。

安全管理體系優化方案范文第5篇

 

為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進貴州廣電網絡信息化的深入發展。

 

1安全規劃的目標和思路

 

貴州廣電網絡目前運營并管理著兩張網絡：辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公，重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺，其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。

 

基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網絡信息系統建設的重要組成部分，是貴州廣電網絡業務開展的重要安全屏障，它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面，包括保護、檢測、響應、恢復四個方面，通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網絡就安全域劃分已經進行的初步規劃，在安全域整改中初見成效，然而，安全系統建設不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理，針對業務系統中安全措施進行了重點分析，綜合貴州廣電網絡未來業務發展的方向，進行未來五年的信息安全建設規劃。

 

1.2設計原則

 

1.2.1合規性原則

 

安全設計要符合國家有關標準、法規要求，符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數據保密程度分級，對用戶操作權限分級，對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術和安全體制，以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業務的正常運行，不能為了安全而妨礙業務，同時設計的安全措施要可以落地實現。

 

1.3設計依據

 

1.3.1“原則”符合法規要求

 

依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。

 

2011《廣播電視播出相關信息系統等級保護基本要求》，對貴州省廣播電視相關信息系統安全建設進行規劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。

 

風險管理是靜態的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞，包括技術上的、管理上的，分析面臨的威脅，從而確定防護需求，設計防護的措施，具體的措施是打補丁，還是調整管理流程，或者是增加、增強某種安全措施，要根據用戶對風險的可接受程度，這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分，是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞，根據風險分析產生的安全策略描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等，策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態，通過適當的反應將系統調整至“最安全”和“風險最低”的狀態，在安全策略的指導下保證信息系統的安全[3]。

 

1.4安全規劃體系架構

 

在進行了規劃“原則”、“策略”、“措施”探討的基礎上，我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構建安全計算環境、安全區域邊界和安全通信網絡，確保業務系統能夠在安全管理中心的統一管控下運行，不會進入任何非預期狀態，從而防止用戶的非授權訪問和越權訪問，確保業務系統的安全。

 

“兩種手段”，是安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規劃

 

2.1總體設計

 

貴州廣電網絡的安全體系作為信息安全的技術支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業務核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權管理、訪問控制、行為曰志等手段，保證用戶行為的合規性。

 

安全監控體系：監控網絡中的異常，維護業務運行的安全基線，包括安全事件與設備故障，也包括系統漏洞與升級管理。

 

公共安全輔助：作為整個網絡信息安全的基礎服務系統，包括身份認證系統、補丁管理系統以及漏洞掃描系統等。

 

IT基礎設施：提供智能化、彈能力的基礎設施，主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區分網絡功能區域，服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中，按照不同的安全需求區分不同的業務與用戶，進一步劃分子區域;最后，根據每個業務應用系統，梳理其用戶到服務器與數據庫的網絡訪問路徑，通過的域邊界或網絡邊界越少越好。

 

Z3邊界防護體系規劃

 

邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界，邊界上部署訪問控制措施，是防止非授權的“外部”用戶訪問“里面”的資源，因此分析業務的訪問流向，是訪問控制策略設計的依據。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網絡邊界：與外部網絡的邊界是安全防護的重點，我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(IPS)部署對黑客入侵的檢測，采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網絡邊界上部署VPN網關，對遠程訪問用戶身份鑒別后，分配內網地址，給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業務流邊界：安全需求等級相同的業務應用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發現安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業務系統的終端，如運維終端，采用終端安全系統，保證終端上系統的安全，如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規劃

 

行為審計是指對網絡用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據，間接的好處乇兩方面：對業務操作的日志記錄，可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。

 

2.5安全監控體系規劃

 

監控體系不僅是網絡安全態勢展示平臺，也是安全事件應急處理的指揮平臺。為了管理工作上的方便，在安全監控體系上做到幾方面的統一：

 

1.運維與安全管理的統一：業務運維與安全同平臺管理，提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統一：隨時了解網絡上的設備、系統、流量、業務等狀態變化，不僅是日常運維發現異常的平臺，而且作為安全事件應急指揮的調度平臺，隨時了解安全事件波及的范圍、影響的業務，同時確定安全措施執行的效果。

 

3.管理與考核的統一：安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。

 

安全監控措施主要包括安全態勢監控以及安全管理平臺，2.6公共安全輔助系統

 

作為整個網絡信息安全的基礎服務系統，需要建設公共安全輔助系統：

 

1.身份認證系統：獨立于所有業務系統之外，為業務、運維提供身份認證服務。

 

2.補丁管理系統：對所有系統、應用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執行的技術手段，保證網絡安全基線。

 

3.漏洞掃描系統：對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解，對于不能打補丁的系統，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規劃

 

IT基礎設施是所有網絡業務系統服務的基礎，具備一個優秀的基礎架構，不僅可以快速、靈活地支撐各種業務系統的有效運行，而且可以極大地提高基礎IT資源的利用率，節省資金投入，達到環保的要求。

 

IT基礎設施的優化主要體現在三個方面：智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規劃

 

在系統安全的各項建設內容中，安全管理體系的建設是關鍵和基礎，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據

 

以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網絡的安全管理體系建設，最終要實現的目標是：采取集中控制模式，建立起貴州廣電網絡完整的安全管理體系并加以實施與保持，實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議，要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系，在建設過程中應當以以下思想作為指導：“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎，信息安全管理是信息安全的關鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設具體內容

 

GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準，結合目前貴州廣電網絡安全管理體系的現狀，對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時，由于信息安全是一個動態的系統工程，所以，貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整，以使管理體系始終適應和滿足實際情況的需要，使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。

 

貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。

 

通過組建完整的信息網絡安全管理機構，設置安全管理人員，規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協調法律、技術和管理三種因素，實現對系統安全管理的科學化、系統化、法制化和規范化，達到保障貴州廣電網絡信息系統安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環節，這環的工作做好了可以減少大量的安全威脅，提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎，是組織平衡安全風險和安全投入的依據，也是信息安全管理體系測量業績、發現改進機會的最重要途徑。

 

3.5.2網絡管理與安全管理

 

網絡管理與安全管理的主要措施包括：出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構，制定應急響應預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應急響應有線網絡ICATV預案不低于一年兩次的演練，可以在發生緊急事件時，做到規范化操作，更快的恢復應用和數據，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的，他們既是信息系統安全的主體，也是系統安全管理的對象。所以，要確保信息系統的安全，首先應加強人事安全管理。

 

安全人員應包括：系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。

 

其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括：軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規劃分期建設路線

 

信息安全保障重要的是過程，而不一定是結果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設也應該從保障業務運營為目標，提高用戶自身的安全意識為思路，根據業務應用的模式與規模逐步、分階段建設，同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內容

 

根據安全保障方案規劃的設計，貴州廣電網絡的信息安全建設分為如下幾個方面的內容：

 

1.網絡優化改造:主要是安全域的劃分，網絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統部署、安全監控體系部署。

 

3.基礎設施改造：主要是數據大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系：網絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監控平臺：入侵檢測、流量監測、木馬監測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統)

 

7.安全服務：建立定期模式

 

8.滲透性測試服務(外部+內部)

 

9.安全加固服務，建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程，建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練，協調改進管理與技術措施

 

6.源代碼安全審計服務(新上線業務)

 

7.信息安全管理

 

8.持續改進運維與應急流程與制度，提高應急反應能力

 

9.提高運維效率，開拓運維增值模式

 

5結東語