前言:中文期刊网精心挑选了企业安全管理体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业安全管理体系范文1
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
企业安全管理体系范文2
[关键词]电力施工企业;职业健康安全管理体系;分析
中图分类号:TU201.5 文献标识码:A 文章编号:1009-914X(2015)17-0137-01
职业健康安全管理体系属于国际范畴的管理标准,其具有较高的指导性、通用性以及权威性。职业健康安全管理体系的建立能有效减少企业安全事故的发生,改善企业安全生产管理状况。职业健康安全管理体系的建立能保障企业在市场环境中的可持续发展。职业健康安全管理体系的倡导理念为“持续改进、预防为主”,企业需要在这个竞争激烈的市场环境中得以生存和发展就必须建立完善的职业健康安全管理体系。对于我国的电力施工企业而言,由于其具有较高的技术性和复杂性,并且存在较高的安全风险,因此,电力施工企业建立职业健康安全管理体系是非常必要的。
一、电力施工企业安全管理体系的现状分析
现有电力施工企业的安全管理是条块分开的,没有建立系统性的安全管理体系,其管理框架缺乏动态循环和完整性。电力施工企业的安全管理对法律法规缺乏合理的应用,并且没有结合自身实际情况进行持续改进。职业健康安全管理体系的要求是企业应在安全管理条例中充分应用法律法规及其他行业标准要求,这些条例需要及时更新和下达,并要求企业在运行过程中对目标、方针、管理方案等进行全面改进。而现有的电力施工企业却只是简单的进行现场安全检查、整改等,远没有达到职业健康安全体系的要求标准。现有的电力施工企业对职业的危害性缺乏足够重视。职业危害的概念为一切危及到劳动者健康的因素,这些因素在生产过程、作业环境及劳动过程均会存在。现有的电力施工企业的安全管理核心为预防工伤事故,忽略了职业危害性。现有的电力施工企业在风险评价、控制及预防措施等管理方面有所欠缺,没有形成完善的风险控制管理体系。没有良好的相关文件查询途径,各类文件缺乏明确的保存期限。电力施工企业对于职业健康安全管理工作缺乏良好的衔接,遇到问题只是单纯的解决问题,没有进行管理评审。
二、电力施工企业如何建设职业健康安全管理体系
虽然电力施工企业现有的安全管理制度存在一些不足,但仍具有有效性。因此,电力施工企业只需要结合职业健康安全管理体系对现有的安全管理制度进行完善就可达到系统化、规范化、文件化的管理体系标准。
(一)做好各体系手册、文件的衔接
企业在建立职业健康安全管理体系时会经过质量、环境、计量体系的三方认证,因而,各体系之间会生成手册、程序文件、管理记录。那么,如何在这三者之间达到良好衔接呢?首先,对各体系进行全面的分析,对各类文件进行调整,对相互兼顾却又存在区别的文件进行编制。职业健康安全管理体系中所涉及到的表格数量较多,如员工职业健康体系表、工伤表等,在对这些表格进行记录编号时,应对有职业健康安全记录表编号的表格进行保留,并纳入职业健康安全管理体系中,针对与职业健康安全相关但无记录编号的可另行赋予编号,这样一来,职业健康安全体系中的每个记录表均有唯一的编号,达到提高检查验证效果的目的。这种多手册、文件和记录的衔接不仅提高了工作效率,而且对多体系进行了整合。
(二)加强风险控制
风险控制是整个职业健康安全管理体系的核心,风险控制主要包括危害辨识、风险评价。电力施工企业需要加强对作业活动中的危害辨识,对每种危害进行风险评价,并确定可承受风险范围。对于在可承受范围外的危害应进行风险控制。首先,组织人员进行健康安全管理体系知识培训,人员包括领导干部、管理干部、联络员等重要岗位员工,并对体系方针、目标及相关知识采取多种方式进行宣传,如电视、广播、网络、会议等。组织员工对职业危害进行辨识,并完成危害因素基础调查表的填写。控制风险的具体步骤为划分作业活动、危害辨识、确定风险。在确定风险完成后由安全管理人员对风险的级别进行确认,并制定相应的措施及对策。电力施工企业通过每月进行安全检查、专业检查等方式对体系的建立计划起到督促作用。企业须对各种存在及潜在问题进行归类整理,并公布在局域网上,潜在问题主要是由外审一、二阶段、内审、管理评审等开出的。责任单位和相关单位可依据这些问题及时整改体系。
(三)加强分级管理
由于电力施工企业其管理的层次较多,在建立职业健康安全管理体系时应根据生产和办公区域不同,制定职业安全健康管理职责,对各部门的管理采取分级控制和分层管理。
1、文件管理
对文件的批准、颁布、方法、使用、更改均应按照《文件管理程序》的要求执行。企业可根据单位岗位要求对岗位安全操作规程进行起草,起草文件需要报职业安全健康管理部门审核。应用电子网络管理受控文件,受控文件的领用和签收须按规定进行。为保证文件的最少化、有效性和充分性,凡是涉及职业安全健康的资料和文件一律需报安全健康管理部门备案。
2、分级控制不可承受风险
电力施工企业要根据自身的风险承受能力以及管理水平,将不可承受的风险进行准确辨识,并做好风险的控制。评价不可承受风险的标准为有可能造成重伤、中度或中度以上的事故,加强抗风险能力的原则为集中精力结合现有资料控制好重大危险因素。对不可承受风险进行分级,主要有公司级和厂级,分级后分重点采取应对措施。重大危险源如满足《重大危险源辨识》条件的危险源,应制定应急救援预案,对预案进行有组织地演练。
3、工程项目中应用职业健康安全管理方案
工程项目中建立职业健康安全管理方案的依据为职业健康安全的方针和目标,方案的首选项目为环境作业条件差、污染大的项目。建设项目标准为职业安全健康“三同时”,分工标准以职责和职能而定,具体的组织实施由工程项目组负责。在电力工程项目新建、改建、扩建中应用职业健康安全管理方案能有效遏制职业危害,从源头上减少职业危害。
(四)加强体系的内审员的建设
内审员在职业健康安全管理体系中起着重要作用,加强内审员的建设和管理是提高职业健康安全管理体系的根本。内审员的主要职责为组织内部审核,企业应该为内审员提工更高的平台,不断促进其业务能力的发展。企业在与职业健康管理体系相关的部门中挑选人员进行体系基本知识培训,并对他们往健康工作联络方向培养,鼓励该部分人员参加内审资格证书考试。内审员可参与的工作内容为初试评审、组织协调单位危害辨识、学习风险评价方法。应确保内审员有更多的学习实践机会,并安排内审员担任外审组向导,其主要职责为记录、引导、观摩和学习。组织内审员在组织结束后进行讲评,公布问题和不足,以待后期的整改和借鉴。
(五)将企业文化整合到职业健康安全管理体系中
电力施工企业的职业健康安全管理体系的建设离不开企业文化的支持,企业文化能有效促进企业的发展,企业职业健康安全管理体系同样也体现了企业的管理水平和企业文化水平。因此电力施工企业应加强企业文化的建立,加强人性化管理,确保企业文化与职业健康安全管理体系的共同进步。
三、结语
目前我国电力施工企业由于正处于改革发展阶段,在职业健康安全管理体系的建设方面还不够完善;电力施工企业应建设职业健康安全管理体系,从而达到长期稳定的发展。
参考文献
[1]柳智泉,叶大林.职业健康安全管理体系的建立与实施[J].职业技术,2012,(10):54.
[2]尚洪.浅谈电力施工企业职业健康安全管理体系建设[J].电力安全技术,2010,12(12):4-6.
企业安全管理体系范文3
目前在中国国内,中小食品企业的生产占据了总的食品企业至少百分之八十的比例,多数都是小型企业和家庭作坊式,但他们却是城镇居民生活食品的主要来源。因此中小食品企业的食品体系的建立和安全管理显得尤为重要。
1 目前中小企业食品安全体系的现状
1.1 中小型食品生产企业管理混乱
一是企业没有固定的管理模式,全靠命令和指挥行事。这在刚刚建立或建立不久的私营家族式企业中体现得尤为明显。在这种企业里,没有组织架构,没有明确分工,往往一个员工要身兼多种职务,,因此,具有诸多不稳定性和不确定性;二是有管理,这类企业比较鲜明的特点就是,有管理体系,有组织架构,有规章制度,但却没有执行。三是有管理,基本上属“照抄照搬”型,却严重超前,管理形式与企业实际运作状况不配套、不协调。
1.2 缺少管理的专业人才
中小型企业大部分都属于家族式的企业,分管各个部门的人员大都没有受过较为系统的教育。笔者作为生产许可证的注册审核员,审核时发现很多的小食品企业没有化验员,有也只是摆设应付检查,导致企业在管理方法上停留在一个较低的水平。食品安全的管理几乎为零,风险很大。
1.3 员工素质低且流动性大
目前我国中小型食品生产企业的从业人员文化教育程度普遍较低,员工因为薪金等原因有很大的流动性,这造成企业员工的食品安全意识薄弱。企业花费大量人力、物力、财力培养出来的人才,人员流动性大,前景渺茫,跳槽频繁。
1.4 小型企业质量环境方面的问题
从小型食品企业的质量环境来看,恶性竞争、无序竞争、市场混乱、缺乏政府政策性支持是影响小型企业产品提高的重要因素之一。如假冒伪劣产品的泛滥、恶意杀价等行为促使小型企业更多的采取降低价格来参与市场竞争,一些小型企业无法通过提高质量来获得正当的利润,从而导致相当多的小型企业不愿意在质量管理上投入精力和资源。
1.5 食品生产许可证形同虚设
在中小企业别是管理人员少,管理的层次少,通常一人身兼多职。企业费劲千辛万苦取得了食品生产许可证,但在实际的工作当中根本没有按照食品生产许可证的要求进行企业生产。只是把获得食品生产许可证当做一种参与市场竞争时的按码,没有认真履行其中的要求。由此可以看出,小型食品生产企业由于受其本身条件、员工素质、生存环境等各因素影响,再者,企业存在的目的就是赢利,在这种情况下,小型食品企业的食品安全自我管理形同虚设,无法靠其自己来保障食品安全。
1.6 政府的食品安全监管多为被动监管
通过“三鹿奶粉事件”我们可以看到目前政府的日常食品安全监管工作存在的不足之处,监管部门往往是在事件大规模发生以后,已经无法掩盖的情况下才做出反应,而不能在食品安全事件的萌芽阶段甚至在其未发生时就拥制事件的发展。究其原因之所在,除去相关食品安全监管制度的不健全,主要还是由于政府部门的监管思维不够主动,食品安全监管仍为事后的被动监管,没有认识到政府监管部门本身对于食品安全监管所起的重要作用和应当担负的重要责任。
2 中小食品企业食品安全体系的建立
质量管理界有句名言,质量是生产出来的,而不是检验出来的。所以在当前的国情下目前中小企业的食品安全靠的还是我们企业自身的管理来提高食品安全水平。
2.1 企业最高管理者质量安全意识加强,提高企业管理水平
质量安全是食品企业的命脉,是食品企业生存的关键。一个企业要想长久发展必须要重视质量安全,否则都是将被淘汰的。所以企业的最高管理者必须要重视质量安全,必须要有这个意识,食品行业比较特殊,有的企业最高管理者一味的追求成本最低化,投机取巧,用劣质的原料甚至是食品中违法的使用化学原料,超范围、超量使用和滥用食品添加剂结果酿成了悲剧,不仅给自己,还给多少无辜的人带来了伤害。可以通过行业交流、互联网、以及和政府部门的沟通来提高的质量安全知识,总之,现今学习的渠道是多方位的。
2.2 引进现行的质量管理体系
目前食品行业中有用的比较多的体系有食品质量管理体系ISO9001:2008和ISO22000:2005食品安全管理体系。ISO9001标准是世界上许多经济发食品达国家质量管理实践经验的科学总结,具有通用性和指导性。ISO22000:2005标准既是描述食品安全管理体系要求的使用指导标准,又是可供食品生产、操作和供应的组织认证和注册的依据。
2.3 落实政府强制的执行的生产许可证体系
生产许可证体系规定了企业必须具备的生产条件,生产和检验设备,各种相应的管理文件。企业的主要管理者应当发挥管理的职能,要求生产、采购、质量、销售应按照生产许可证体系文件所规定来要求执行。必须按照要求设立相应的检验部门,人员保证稳定,定期的进行培训学习,提高业务能力。做到产品出厂前批批检测,检测的结果记录需保存好,以便日后查用。
2.4 发挥质量检验部门的把关作用
质量检验是质量管理工作的一个重要环节,它具有鉴别、把关、预防、报告职能,即可以防止不合格品流出,又为预防不合格提供依据。中小企业必须按照有关的要求设立质量检验部门,不能用来应付检查。聘请相应专业的人员,精通食品检验和体系,担任负责人,对生产过程中和产品出厂前的检验负责。同时企业的最高管理者应确保这类专业技术人员的稳定性,防止人员流动性太大造成质量检验的失误。
2.5 定期自查
这里可以结合ISO9001:2008质量管理体系和ISO22000食品安全管理体系的内审和管理评审来做。由最高管理者牵头,定期组织相应的专业人员进行定期的检查,有条件可以聘请外面的专家来做。检查涵盖企业的所有部门,检查的要素涉及所有的方面,检查要细,目的就是要找问题。对企业自身的查出来的问题进行汇总、分析、整改,形成一个PDCA循环。长期下去,对企业自身的管理也会得到提高。
2.6 重视人才、加强人员培训
企业要发展,人才是关键。企业必须有一套自己的人才引进和培养方案。人员的培训需要是全员参与的。培训的方式也是多种多样的。可以采用企业内部的交流培训,也可以走出去的形式,让员工不断提高自身的专业水平和技能
企业安全管理体系范文4
关键词:信息安全管理;ISO/IEC 27001;PDCA;资产识别;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2011)30-0034-02
一、项目背景
电力工业是国民经济的支柱产业,电力工业的安全问题直接关系到各行各业的发展和人民的生活水平,关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段,支撑着电力生产、营销和管理的全过程。如何有效保障信息安全,从而保证整个电力企业的生产安全,成为电力行业目前积极探索的新课题。
在这个大环境下,玉溪供电局作为云南电网的改革试点单位,大力进行改革创新,引入国际信息安全管理标准ISO/IEC 27001,建立了完整的信息安全管理体系,有效的保证了信息安全,取得了很好的收效。
二、ISO/IEC 27001简介
ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。
三、项目实施方法论
玉溪供电局在整个信息安全体系建设过程中,根据安全风险是相对的和动态的基本概念,遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论,见下图:
四、项目实施中若干重要环节
标准中只是提出了一些原则性的建议和要求,但是如何按照这些要求建立一套符合局实际情况,能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索,紧密结合局信息安全建设的现状和要求,认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。
(一)资产识别
资产识别是信息安全管理工作的重要步骤和基础,信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者,形成资产清单。玉溪供电局在资产识别中把资产分为5类:文档和数据、软件和系统、硬件和设施、人力资源、其他等。
(二)风险评估
风险评估是信息安全工作的一个重要步骤,通过风险评估,找到组织在信息安全方面的差距,才能有针对性的制定相应的策略和改进措施。
通过风险评估,形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性,建立了一个定量的风险评估方法论。
风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级,等级越高,风险越高。
对于不可接受风险的确定和处理要慎重,不要一味的将所有的风险都归为不可接受风险,要时刻牢记风险的处理是要付出成本的,所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式:规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。
(三)文件编制
为了响应云南电网公司的一体化管理制度,在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理,对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》,覆盖了27001的11个安全领域的要求。
另外,为了使新版的《信息安全管理办法》能够更好的落地执行,在信息安全体系建设过程中,制定了60多个操作性很强的记录表格表单,以辅助各部门能够更好的执行信息安全体系的要求,比如:《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。
(四)运行实施
我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作,比如进行信息安全意识和知识培训,张贴宣传海报,在电梯口液晶电视和LED大屏上播放信息安全宣传视频,进行模拟审核和安全工作检查等,真正做到了全员参与。
同时我局还建立了畅通的意见反馈机制,任何人对当前的信息安全体系有意见和建议,都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳,以发现改进的机会,真正实现了PDCA循环,使局的信息安全管理工作持续改进和螺旋式上升。
五、项目实施经验和注意事项
玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系,经历了资产识别、风险评估、体系建设和实施、内审和审核,最后取得了认证证书。在这个过程当中,总结了一些实施的经验和注意事项。
(一)领导重视
信息安全管理工作是一项牵扯到局各部门的工作,需要投入相应的人力、物力和财力,所以必须有局领导的大力支持,才能顺利的进行和更好的实施。
(二)全员参与
安全不是某一个部门或者某一个人的事情,而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作,才能保证真正意义上的信息安全,任何一个部门出了问题都将对局信息安全构成威胁。
(三)持续改进
信息安全工作不是一朝一夕的事情,需要持续改进和不断完善。而且风险也是动态的,为了保证信息安全和控制风险始终在可接受的范围内,信息安全工作应当是一件长期的工作。
(四)平衡原则
安全只是相对的,没有绝对的安全,而且任何降低风险的措施都是需要一定的投资,可能是金钱的,也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系,不要一味的为了降低风险而作一些不适当的投入。
六、结语
玉溪供电局通过ISO 27001的认证并获得证书,不仅是对前期信息安全体系建设工作的充分肯定,而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下,在以后局信息安全工作中,对现有体系进行持续改进,使本体系更加符合玉溪供电局的实际情况,为玉溪供电局的信息安全工作保驾
护航。
参考文献
企业安全管理体系范文5
关键词:职业健康安全管理体系;煤矿;应用
一、煤矿建立职业健康安全管理体系的意义与作用
(一)可以提高企业的现代化安全管理水平。职业健康安全管理体系以系统安全的思想为基础,把管理的重点放在事故预防的整体效应上,实行全员、全过程、全方位的程序化、文件化管理。建立职业健康安全管理体系,一方面可强化安全生产监督管理部门的指导作用,另一方面可通过“三个承诺,一个适合”,即“对遵守法律、法规的承诺、对体系持续改进的承诺,对预防为主的承诺,适合用人单位职业安全健康风险的性质”,可提高企业的自我约束力、自我完善的机制来促进企业安全管理水平提高。保证煤矿企业持续有效地遵守各项最新的职业安全健康法律、法规,使安全管理工作走向科学化、制度化、规范化。
(二)可以提高企业的形象和知名度。取得OHSMS认证,一方面可以改善作业条件,提高劳动效率。另一方面可以给外界树立良好的健康形象,可以提高企业的知名度,致使企业的产品更易于进入市场。OHSMS的全部体系文件,是一套科学的与国际接轨的现代化管理模式。推行OHSMS,开展职业安全健康评价,有利于国际通行准则和法律法规的贯彻执行,有利于加强安全技术的教育和培训,增强职工安全意识,提高全员安全素质,提高煤炭企业在国际市场的竞争力。
(三)可以促进煤矿企业经济效益的提高。实施安全健康管理体系,需要对本企业的所有员工进行系统的安全培训,同时所有员工都参与职业安全健康管理工作,可以真正发挥员工主人翁精神,同时企业增强了“ 以人为本、持续改进”的理念,OHSMS体现了人本管理的思想,强调劳动力资源的保护,重视人在安全生产活动中的主体作用。由于推行OHSMS的首先受益者是煤矿职工,所以,它能够较好地激发广大煤矿职工搞好安全生产的主动性和积极性。调动了广大员工的积极性,促进了企业经济效益的提高。
二、煤矿职业健康安全管理体系的特点
(一)职业健康安全管理体系与现行安全管理的区别。煤炭行业作为一个特殊行业,其劳动对象和工作场所处于地下,而且在不断地变化和移动中。矿井下存在五大灾害,生产条件差,不安全因素多,严重威胁着煤矿的生命健康。安全生产管理制度,实行目标责任制、岗位责任制,采用组织、检查等手段从严进行管理,通过考核和兑现奖罚对各级人员进行激励。这种类似于行政管理的手段,虽然遏制了重、特大事故多发的苗头,但并未从根本上改变煤矿重复隐患多、事故频发的严峻安全生产形势。
煤矿企业在长期的生产过程中积累的丰富管理经验,很大程度上与OHSMS的原理和要求是一致的,方法是相近的,但尚未达到OHSMS标准体系全面性、系统性的总体要求,与国际上通行的OHSMS标准模式还存在较大差距。煤矿企业严峻的安全生产现实,迫切要求从根本上控制生产过程中的事故危险源,彻底治理煤矿的安全生产环境,实现煤矿企业安全生产状况的根本好转。
表1 职业安全健康体系与现行安全生产管理制度的关系
(二)煤矿职业健康安全管理体系特点。煤矿职业健康安全管理体系更具有系统性。在这一体系中,从危险源辩识、风险评价及风险控制,到目标及管理方案;实施和运行;检查与纠正措施;审核和管理评审,勾画出了一个非常完整的闭路管理循环网络,而贯穿其中的三级监控(绩效测量与监测、审核、管理评审)及三级管理(决策层、管理层、执行层三级管理),更使其具备了良好的运行条件。
煤矿职业健康安全管理体系更为规范化。这一体系标准中每一个运行环节,都非常突出对法律、法规和其它要求的获取识别,而在具体运行中,对文件控制、记录控制、不符合项的审核、纠正和预防等,都有非常具体详细的要求,为安全管理的“法治化”提供了一个“范本”。
煤矿职业健康安全管理体系更加突出了持续改进的特性。PDCA循环在职业健康安全管理体系标准中有非常明显的体现。体系标准中,P是指策划;D是指实施;C是指检查;A是改进。煤矿职业健康安全管理体系它可以覆盖煤矿生产中的所有作业人员和行为、所有作业场所和各种设备、设施。
三、实例应用分析
潞安新疆煤化工(集团)有限公司一矿位于新疆哈密境内,1958年建矿,2006年产煤125万吨,核定生产能力145万吨/年。井田内有两个可采煤层,其中4号煤层是主采煤层,平均厚度13.5米;6号煤层平均厚度2米,为局部可采煤层。矿井采用斜井开拓,主斜井安装大倾角皮带机,副斜井采用绞车串车提升。采用综合机掘化掘进,锚网加锚索联合支护。采用走向长壁综放一次采全高开采4号煤层。
潞新一矿根据企业的实际情况,为更好地促进企业的发展,2013年建立职业健康安全管理体系。按照初始状态评审的要求,收集法律、法规及其它要求,确定适用于潞新一矿的法律
18部、法规82部、其它25部。建立了31个控制程序,通过对全矿生产开展危险源辨识、风险评价活动,共辨识出各级危险源共233个,三级危险源70个,二级危险源41个,一级危险源23个,对各级危险源均制定了控制措施。2014年潞新一矿开始职业健康安全管理体系运行以来,对搞好全矿的安全生产发挥了积极作用。运行以来共发生轻伤事故3起,重伤人身伤亡及二级以上非伤亡事故为0,与前一年的同期相比,人身伤亡事故减少12起,,二级非伤亡事故减少10起,,比计划多出原煤7.8万吨,按照事故致因理论和安全经济学原理分析可得,企业实际增加效益收入为540(万元)。
结论:潞新一矿职业健康安全管理体系的建立与运行,促进了企业的健康发展。体系的有效运行,最大限度地减少或杜绝了工伤事故和职业病的发生,即使发生事故,也可以通过有计划、有系统的控制和处理,使事故影响和损失降低到最低限。通过全面地辨识危险源,准确评价风险等级,制定合理的风险控制措施,能有效遏制煤矿事故,保护煤矿职工的生命财产安全,良好地承担了煤矿企业的社会责任。
建立煤矿企业职业健康安全管理体系,是一项复杂的系统工程,但却是一个能够提高煤矿企业各项指标的管理体系,随着经济全球化的发展,必将逐渐被更多的煤矿企业所接受。
参考文献:
企业安全管理体系范文6
安全管理是矿山企业管理工作的核心,是关乎企业生存和发展的基本要素。近年来矿山企业安全生产事故屡禁不止,给社会、民众造成很多负面影响。事故发生常见的原因可简要总结为以下几点:①各级安全责任落实、监管不到位;②安全管理制度不健全,安全技术措施在施工过程中得不到落实,技术管理上存在缺陷;③以包代管,施工队安全技术管理十分薄弱;④安全、技术培训不到位,一线操作人员安全意识和安全技能较差,有章不循,冒险蛮干等[1]。
安全技术管理是以设计和变革为核心,以沟通、协调和建立制度、规范为目的,使企业安全发展、员工安全素质和安全技能提升的组织行为。这体现了安全技术管理是处于动态的、不断发展的状态。安全技术管理同其他管理工作一样,时刻面临着杂、多、乱的日常事务,怎样“管”、“理”考验着技术管理人员的决心和信心;而技术管理部门更多的是依照常规标准及行业标准制定技术措施,与现场安全生产条件结合不紧密;单项工程的安全技术措施不达标、现场施工不符合要求等,对企业安全生产目标实现十分不利。由此看来,安全技术管理在矿山企业安全管理工作中占据重要地位。
不断改进安全防护措施以增加对人员的安全保障、投入现代化装备以减少人员进入危险作业场所的频次、改善作业环境以提高作业现场本质安全度等措施确保安全生产,均体现了安全技术是解决安全生产事故的重要方法,而对于矿山企业来说,改进安全防护措施、投入现代化装备、提升现场本质安全度等安全技术方法虽可行有效,但影响范围有限,作业现场点多面广,加之人的不安全行为、安全管理缺陷等,隐患时刻处于变动状态,不能确保安全生产。只有建立完整的、可互相约束的技术管理体系,利用安全技术管理人员全过程监管,才是一种高效的安全管理办法。
2 重点环节分析及注意事项
2.1 创建安全技术管理体系
①完善安全技术管理制度。现今各项安全管理制度多元化,新制度、新方法层出不穷,都旨在进一步优化安全管理体系、细化安全管理环节及管理内容。安全管理人员要针对每一个制度,与企业自身特点相结合,取其精华为己用,切不可不负责任地照搬,使得制度部分内容架空而失去应有的效果[2]。安全技术管理制度也具有同样的特点,不是一成不变的,要依据企业现场情况变动及时变化。安全技术管理制度应涵盖所有工种、作业场所、重要环节等,作为通用技术依据,员工可在作业过程中利用安全技术管理制度解决常见问题。
②建立安全技术管理网络。安全技术管理网络不能与安全管理网络混淆,要在安全管理网络的基础上,以涉及的所有专业工种为前提,明确技术人员责任,形成覆盖所有工种、所有类型作业现场的安全技术管理网。
③制定完善的安全技术培训制度、安全技术工作例会制度、安全技术措施制度、安全技术验收及考核制度等一系列规章制度,在制度的约束下推动安全技术管理工作。
④完善考核机制,建立安全技术监督检查体系。考核工作是安全技术管理工种落实的重点环节。要在完善的安全管理网络图的基础上,严格责任追究。利用安全技术管理网络建立安全技术监督及检查体系,使每位成员都能有效监督考核。
2.2 合理制定计划,确保可实施性
企业年度安全技术计划对于年度安全技术工作的开展有指导性意义。制定年度安全技术计划主要是对安全技术监督体系、危险源辨识、应急管理等工作进行全面部署,对上一年度安全技术工作进行总结分析,采纳员工意见及建议,结合上级相关安全技术要求及企业自身打算编制年度安全技术计划。二级单位、部室要针对安全技术计划制定实施计划,从各自生产特性出发严密部署,确保各项措施落到实处。
2.3 强化落实,狠抓现场技术管理及检查工作
作为安全技术管理人员,在管理体系建立完善的基础上,要高度重视现场安全技术工作的落实,充分发挥现场安全技术管理人员的监管效力,强化培训教育,重视工队长、班组长技术培训,使成为现场技术措施落实责任人,严把安全技术这道关。要做到任何措施、制度在责任制的约束下逐级落实到作业人员[3]。
安全检查要与安全技术要求全面结合,制定安全技术检查表,检查表要涉及采矿、机电、设备等主专业,并安排技术管理体系人员参与安全检查、隐患整改等工作。
2.4 重视新技术、新工艺实施
现今各种新技术加入到安全管理行列中,如大型机电设备、新的安全技术防护措施、安全标准化建设、安全避险“六大系统”等,在大型矿山均已落实到位,但如何确保所有的安全技术措施落到实处是矿山企业需要重视的工作。要重视实施前期的技术培训及技术交接工作、操作人员及使用人员安全教育培训,组织新工艺、新技术比赛、知识竞答等活动,提升员工操作技能,提高奖惩力度,确保新工艺、新技术及新规范起到实效。
2.5 其他注意事项
矿山企业安全技术工作主要有安全评价及检测、施工安全技术措施、危险场所机械自动化、安全避险“六大系统”、安全标准化、危险源辨识、应急管理、事故调查等。所有安全技术工作都为安全生产提供保障,必须在日常生产过程中予以落实。要避免形式化建设、形式化管理等现象。
对于各类工程的安全技术措施要严格审核,对照法规标准、公司安全管理制度、应急救援预案等管理规定,对施工现场安全度、作业人员基本素质及技能、现场管理模式、工序危险性分析、现场应急处置方案等进行全面分析,防止安全技术措施出现空洞、与现场脱节。
矿山内部技术部门的常规设计图纸、部门间的业务联系单、各类申请等,要在安全技术管理体系相关成员间进行传阅,参照法律法规、行业标准、作业现场基本情况及周边环境、现场工作经验等进行安全性分析,审核合格后签字。在工程验收环节要针对设计进行核实,确保达到规范要求。
