信息安全员岗位职责标准

2024-07-05

信息安全员岗位职责标准(共11篇)

信息安全员岗位职责标准 篇1

关键词:标准,信息安全,特别出版物

1 SP 800系列简介

SP 800 (SP, Special Publications)起始于1990年,是美国国家标准与技术研究院(NIST)发布的一系列关于信息安全的技术指南文件,是为了给NIST的信息技术安全出版物提供一个单独的标识,只提供一种供参考的方法或经验,对联邦政府部门不具有强制性。SP 800系列主要关注计算机安全领域的一些热点研究,介绍ITL信息技术实验室在计算机安全方面的指导方针、研究成果以及与工业界、政府、科研机构的协作情况等。目前,NIST SP 800系列已经出版了一百多本同信息安全相关的正式文件,形成了从规划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。虽然NIST SP 800系列并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南。NIST SP 800系列成为了指导美国信息安全管理建设的主要标准和参考资料。

2 SP 800系列标准分析

截至2010年底,NIST发布SP 800系列共126篇,划分为17个族,表1为SP 800系列安全文献相关所属分布情况(一篇文献可能同时与几个分类主题相关)。

在SP 800系列中,SP 800-12(计算机安全介绍:NIST手册,1995年1月)和SP 800-14(信息技术系统安全的公认原则和实践,1996年9月)这两篇文献是SP 800系列的基础。SP 800-12论述了各种计算机安全控制的益处以及其合理应用的条件。它对计算机安全进行了概括性描述,以帮助读者理解计算机安全需求,并制定出一种选择适当安全控制的良好方法。SP800-14提供了机构用来建立和检查IT安全程序的基线,为机构提供了管理多机构事务以及内部事务所参考的基础。管理者、内部审计员、用户、系统开发者和安全从业人员可通过该文档获得大多数IT系统应包含的基本安全需求。

2.1 访问控制类

访问控制技术是现代信息系统中最重要的基础安全机制。SP 800系列中从身份鉴别、虚拟化、密码、系统安全和控制措施等多个方面进行了描述。

身份鉴别方面的SP 800-120 (EAP方法在无线网络访问身份验证的建议,2009年9月)描述了使用创建的密钥进行身份验证的安全需求;SP 800-103(身份凭证,第一部分本体论:背景和公式化(草案),2006年1月)描述了身份凭证的本体论,通过XML架构和保留及交换身份凭证信息架构的形式明确表示;SP 800-122(个人识别信息(PII)保密指南,2010年4月)旨在帮助联邦机构保护信息系统中的个人识别信息的机密性。

密码方面的SP 800-132(对基于密码的密钥派生-第1部分:存储应用,2010年12月)描述了从口令或者短语派生出主密钥的技术,以保护存储的电子数据或者数据保护密钥;SP 800-78-3(个人身份验证的加密算法和密钥规格(PIV), 2010年12月)包含了FIPS 201中描述的强制性和非强制性的密码密钥和FIPS 201中指定的支持性架构以及相关SP出版物SP 800-73(个人身份验证接口)和SP 800-76(生物识别数据规范的个人身份验证)中依赖于密码函数部分的技术细节。

虚拟化技术方面的SP 800-125(安全全虚拟化技术指南(草案),2010年7月)讨论全虚拟化技术相关的服务器和桌面虚拟化的安全问题,并就这些安全问题提出建议。另外还有SP 800-100(信息安全管理指南)、SP 800-77 (IP协议(IPsec)虚拟专用网络(VPN)指南,2005年12月发布)等从管理和系统安全等方面对访问控制进行描述。

2.2 意识&培训

SP 800-100(管理者信息安全手册:信息安全手册,2006年1月)从管理层面对意识和培训进行了描述。它提供了信息安全规划各部分的概述,以帮助管理者理解如何建立和实施信息安全项目。

SP 800-16 Rev.1(信息技术系统安全培训要求:基于角色和效能的模型,2009年3月)和SP 800-50(建立信息技术安全意识和培训方案,2003年1月)从不同的层面对意识和培训进行了详细描述。SP 800-16 Rev.1适用于联邦信息安全专业人员和指导设计专家,为那些被认为在信息安全方面有重大责任的部门或机构人员来设计基于角色的培训课程或者模块,以及为信息系统的所有用户设计基础和文化课程。SP 800-50是伴随SP 800-16而发布的,SP 800-50为建立和保持广泛的意识和培训程序(作为机构IT安全程序的一部分)提供了指南,包括IT安全专业人员如何确认意识和培训需求,如何制定培训计划和如何为意识和培训程序的努力成果获得机构的支持认同而增补资金。SP 800-50和SP 800-16是互补的,SP800-50处于较高的策略层面,讨论如何建立IT安全意识和培训程序,SP 800-16是在较低的战术层面,描述基于角色的IT安全培训的方法。

2.3 认证认可&安全评估

认证认可和安全评估是以FIPS 200为基础,从测试和评估、身份验证、性能测量、安全控制措施评估等多个方面进行了规范。

SP 800-115(信息安全测试和评估技术指南,2008年9月)是关于信息安全评估基本技术的指南,描述了机构在进行评估时可能用到的技术测试、检测方法和相关技术,为评估人员在系统和网络上关于执行和潜在影响提供了深刻的理解。

SP 800-53 Rev.3(联邦信息系统安全控制措施评估指南,2009年8月)描述了信息系统安全控制措施,为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。为帮助机构对它们的信息系统选择合适的安全控制集,该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集,针对三类系统影响级,它列出三套基线安全控制集(基本、中、高),分别对应于系统的影响等级。SP 800-53 A Rev.1(联邦信息系统和组织的安全访问控制指南,建立有效的安全评估计划, 2010年6月)对信息系统的安全控制措施实施评估,它为创建有效的安全评估计划和联邦政府执行机构的信息系统中实施的程序进行安全控制措施有效性的评估提供指南。指南已经从技术层面发展到对国家安全系统的补充性指南,也可以在合适的联邦官员的允许下适用于国家安全系统。SP 800-53A Rev.1是伴随SP 800-53 Rev.3的指导方针。

SP 800-37 Rev.1(风险管理框架联邦信息系统申请指南:安全生命周期方法,2010年2月)为实施联邦信息系统的风险管理框架提供了指南,包括指导安全分类、安全控制选择和实施、安全控制评估、信息系统认证和安全控制监控等活动。依据SP 800-53 Rev.3和FIPS 200选择的安全控制措施和计划必须在系统安全规划文档中进行描述,SP800-18 Rev.1(制定信息技术系统安全计划指南,2006年2月)为联邦机构对联邦信息系统制定系统安全计划提供了指南。

2.4 配置管理

SP 800-128(信息系统安全配置管理指南(草案),2010年3月)为负责管理和执行联邦信息系统计算环境安全的机构提供指南,包括信息的处理、存储和通过外部或者面向服务的计算环境(如云计算环境提供者)进行传输的安全,指南的安全配置管理概念和原则可以帮助机构为外部计算服务的提供者建立保证的必要条件。SP 800-126 Rev.1(安全内容自动化协议技术规范(SCAP):SCAP(草案1.1版),2010年5月发布,2011年1月修订)定义了SCAP协议V1.1版本的技术规范,为系统配置的标准化以及对系统配置的脆弱性评估提供了一种统一的方法。

2007年11月发布的SP 800-114(确保远程办公和远程访问外部设备用户指南)和SP 800-111(终端用户设备的存储加密技术指南)从远程访问和用户终端两方面为系统的配置管理提供指南。SP 800-114帮助指导远程办公者使用的外部设备的安全,例如个人的或者第三方的桌面电脑和笔记本电脑以及用户的个人设备(如手机、PDA等),文档特别关注于远程办公访问机构非公开计算资源的安全。SP800-111帮助机构理解终端用户设备的存储加密技术,以及规划、实施和维护存储加密方案。

为方便开发和发布安全配置清单,帮助组织和个体用户更好地保护其信息技术产品,减少其被攻击的可能性,NIST于2009年9月发布了SP 800-70Rev.1(国内IT产品清单方案——用户和开发人员的指南),并于2011年2月发布了修订版2。文档描述了安全配置列表和它们的优点,并解释了如何使用NCP查找和获取列表,以及参与到NCP的策略、流程和通用要求。

2.5 风险评估

SP 800-30(信息技术系统风险管理指南,2002年7月)介绍了风险评估的步骤及方法,提供了一套用以开发出有效的风险管理过程的办法,以帮助组织更好地管理和IT相关的业务面临的风险。它包括对IT系统中风险评估和规避的定义和实践的指南,提供用于选择适当的安全控制措施的信息。

SP 800-39(信息系统风险管理:组织的角度(草案),2008年4月发布,2011年3月修订)是NIST开发的与FISMA相关的安全标准和指导方针系列中的旗舰文档,其中提供了一系列有意义的改进建议。文档旨在为集成的、组织范围的联邦信息系统的操作和使用来管理信息安全风险的程序提供指南,包括组织的运营(例如:任务、功能、形象和声望)、组织的评估等。

SP 800-60 Rev.1(将各种信息和信息系统映射到安全类别的指南,2008年8月)遵循FISMA的指导,为根据各种可能潜在的安全冲击对信息及信息系统进行分类提出指导方针,帮助联邦部门将不同的安全冲击级别映射到: (1) 信息 (如机密信息、医学信息、私人信息、金融信息、合约敏感信息、贸易机密信息、调查研究信息) ; (2) 信息系统 (如任务评价系统、任务支持系统、行政管理系统) 。此外,SP 800-53A的安全控制措施评估也属于风险评估的一个步骤。

3 SP 800系列对法律法规和FIPS标准的支持

2002年12月第107次国会会议上由美国总统签署颁布的电子政务法案(公共法令107-347),确认了信息安全对美国经济和国家安全利益的重要性。电子政务法案的第三章联邦信息安全管理方案(FISMA 2002)赋予NIST制定标准和指南的职责。之后,NIST出版了FIPS、SP 800等文档对联邦政府的信息系统进行支撑。其中,SP 800系列文档主要支撑的法律法规有:电子政府法案2002 (8份文档) 、联邦信息安全管理法案2002 (72份文档)、健康保险便利及责任法案 (HIPAA) (3份文档)、国土安全总统指令-12 (HSPD-12) (17份文档)、国土安全总统指令-7 (HSPD-7) (15份文档)和行政管理和预算局通告A-130 (95份文档)等。

3.1 对法律法规的支持

《联邦信息资源管理》(A-130)是1985年美国管理与预算办公室(OMB)发布的信息资源管理框架。A-130通告全面阐述了联邦政府的信息资源管理政策, 是美国信息资源管理和信息安全的政策大纲。它不仅详细论述了联邦政府信息管理、信息系统和信息技术的管理政策和方针, 而且在其附录中还详细阐述了具体执行上述政策的细则和指导方针。其中, 信息安全政策主要包括适度安全原则、系统分类、信息安全计划、最低限度信息安全措施和信息安全责任制等内容。针对A-130, NIST发布了大量文档进行支撑,内容涉及风险评估(SP 800-30、SP 800-39、SP 800-60等)、认证和认可系统(SP800-37等)、开放应急计划和规程(SP 800-100等)、管理整个系统开发生命周期中的系统配置和安全性(SP 800-128、SP 800*70 Rev.1等)、进行安全意识培训(SP 800-50等)等多个方面。

2002年发布的《联邦信息安全管理法案》 (The Federal Information Security Management Act, FISMA) 确保应用于联邦信息系统运行和信息资产保护的信息安全控制措施的有效性,并规定,联邦机构的首脑根据风险情况和对信息(由机构收集或者维护)和信息系统(机构使用或者运行)的损害程度提供安全保护,每个机构每年必须对其信息安全程序和实践进行独立评估以确认其有效性。根据FISMA要求,NIST应帮助美国的联邦机构遵守FISMA,因此,NIST于2003年启动FISMA实施项目,并拟定了FISMA实施项目的三个阶段:开发标准和指南、形成安全能力和运用自动化工具(现已修改为两个阶段)。

作为FISMA第一阶段的成果,NIST开发了风险管理体系框架,用于帮助和确保每个信息系统在系统开发生命周期都应用了恰当的安全控制,而且这些控制措施经过评估能确定其实施的正确性和按预期效果运营的程度,并生成满足系统安全性要求的预期结果。在风险管理框架的每一个活动都由SP 800相关文档作为支撑。例如:参考SP800-60和依据FIPS 199来根据损失的潜在影响对信息系统和信息进行分类;参考SP 800-53和依据FIPS 200来选择最小安全控制措施计划或恰当的保护信息系统;参考SP 800-30、SP 800-53和依据FIPS 200来提炼安全控制;参考SP 800-18评述系统安全计划中达成一致的安全控制措施集合,包括对机构初始控制措施集合的提炼和调整的解释和理由,以使安全控制措施文档化;参考SP8 00-70和SP 800-64(在系统开发生命周期的安全注意事项)在信息系统中实施安全控制措施;参考SP 800-53A和SP 800-37确定安全控制措施实施的正确性程度,及是否按预期运营、是否生成满足相关安全要求期望的结果,来进行安全控制措施的评估;并参考SP 800-37确定机构运营、资产、由计划或系统持续运营生成的个体等方面的风险、批准系统处理过程以及以持续追踪可能影响安全控制措施和评估控制措施有效性的信息系统变化。这些步骤和活动构成了完整的风险管理框架,可作为机构的风险管理程序的一部分。

3.2 对FIPS标准的支持

SP 800系列文献不仅支撑美国信息安全方面的法律法规,而且对NIST的FIPS标准也提供了支撑。例如:2004年2月发布的FIPS 199定义了信息和信息系统的三个安全目标,并将每个目标的潜在影响定义为低、中、高三种程度。NIST在FIPS 199的基础上发布了SP 800-60,描述了安全分类过程以及如何建立信息系统安全类别,以帮助联邦政府对信息和信息系统进行分类。

2006年3月,NIST发布了FIPS 200,在17个安全相关领域内详细说明了联邦信息和信息系统的最小安全要求,联邦机构在使用与联邦信息系统推荐安全控制 (SP 800-35) 相一致的安全控制时必须满足在此定义的最小安全要求。而SP 800-53和SP 800-53A则是在对信息系统进行分类和选择安全控制措施基础之上进行了按控制措施评估,来确定安全控制实现的有效性。

2006年3月NIST发布的FIPS 201-1描述了对于联邦雇员和承包商的通用验证标准的体系和技术需求,之后NIST陆续发布了SP 800-85B (PIV数据模型测试指南,2006年7月)、SP 800-85A-2 (PIV卡应用和中间件接口测试指南,2010年7月)、SP800-79-1 (PIV卡发卡组织的认证认可指南,2008年6月)、SP 800-78-2(个人身份验证的加密算法和密钥规格,2010年2月)、SP 800-76-1(生物识别数据规范的个人身份验证,2007年1月)和SP 800-73-3(用于个人身份验证的IC卡,2010年2月)等一系列标准,在技术规范方面对FIPS 201进行了支撑。

4 结语

作为对信息安全法律法规的支撑,美国通过法律赋予NIST制定安全技术和安全产品的国家和国际标准的职责,NIST下属的计算机系统实验室CSL还进行计算机和网络安全技术的研究开发工作。NIST不仅发布FIPS标准系列作为对联邦政府法律法规的支撑,而且对新技术新应用进行跟踪和研究,并以研究报告的形式在SP 800系列中发布,如目前比较关注的云计算,NIST对其研究发布了SP 800-144(公共云计算中的安全和隐私准则(草案))和SP800-145(云计算定义)。

银行信息安全亟待提升标准 篇2

电脑与互联网应用在我国普及虽然很快,但这只限于会用,真正懂的还只有少数专业人士。近期的“棱镜”事件,让网络与信息安全成为了世界焦点,同时也推波助澜地唤起了人们对银行信息安全的担心。2012年,美国一份保安报告显示,全球60家银行连遭网络攻击,至少损失8000万美元。在最近发生的一系列典型网络犯罪事件中,90%以上集中在银行和保险领域,这不能不引起人们的恐慌,以致于在全球范围内,逐渐蔓延出一种“网络银行不安全”的悲观情绪。

我国银行信息有些不安全

“目前我国网络安全状况继续保持平稳状态,未发生造成大范围影响的重大网络安全事件,包括银行等金融机构。” 国家计算机网络应急技术处理协调中心的研究员告诉记者。同时,他也提醒企业与网民们,黑客活动日趋频繁,网站后门、网络钓鱼、移动网络恶意程序、拒绝服务攻击事件呈大幅增长态势,阻碍行业健康发展;针对特定目标的有组织高级可持续攻击(APT攻击)日渐增多,国家、企业的网络信息系统安全面临严峻挑战,特别是金融机构,容易成为谋求发财黑客们的目标。

近期,据国家计算机网络应急技术处理协调中心发布的2012年网络安全报告显示, 2012年,我国境内(我国海关关境以内)被篡改网站数量为16388个,发现针对我国境内网站的钓鱼页面22308个,涉及IP地址2576 个。从钓鱼站点使用域名的顶级域分布来看,以.COM最多,占36.5%,其次是.TK 和.CC,分别占20.6%和9.5%;接收到网络钓鱼类事件举报9463起,较2011年大幅增长73.3%,约占总接收事件数量的一半(49.5%)。这些钓鱼网站中,仿冒中国工商银行等网上银行的约占54.8%。国家计算机网络应急技术处理协调中心的研究人员告诉记者,“从报告显示来看,现在与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是,黑客更倾向于通过隐蔽的、危害更大的后门程序,获得经济利益和窃取网站内存储的信息。目前,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取的重点。”他还告诉记者,“钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。2012年,仅CNCERT/CC监测发现被黑客骗取的用户银行卡信息就达1.8万条,这些信息失窃很可能会给用户带来巨额财产安全。”

而在2012年年底,明朝万达根据事件的影响性评选出的“2012年十大信息泄密事件”中,电商银行也是最多的。

对于记者质疑银行网络信息安全的问题,民生银行一位金融总监王先生(化名)直截了当地说:“我一直都认为银行网络不安全,将来会出大问题的,”但同时他还强调,“目前,银行是安全的,中国黑客整体技术水平不高,暂时还未能对银行造成威胁。可是,他们会对不懂网络的普通民众下手,请市民与企业在使用网银转账汇款时小心,因为这些例子已经很多了。”

使用网银需小心

随着网络应用的发展,很多人都喜欢在网上办事。网上银行因其不受时间、空间限制,能够在任何时间、任何地点以多种方式给客户提供金融服务,受到越来越多人的青睐。但网银是一把“双刃剑”,在给用户带来巨大方便的同时,也不可避免地潜藏着一定的风险。

据媒体报道,今年2月,在北京工作的锒先生因为蹭“免费WiFi”登录网银,导致银行卡被分17次转账或取现,共损失3.4万元。锒先生的钱是怎么被取走的呢?记者采访了工商银行的网络技术人员,他告诉记者,“蹭网有风险的,有时候免费WiFi是个陷阱,也就是大家所说的钓鱼陷阱。其实钓鱼WiFi信号都含有病毒软件,可以记录下用户的操作记录并破解。当你连接上这个WiFi之后,病毒软件就开始监控你的操作。举个例子,你用浏览器登录邮箱,你的邮箱名和密码就都被软件记录,并传给黑客。”

锒先生真是因小失大呀。在采访过程中,工商银行的客服人员提醒用户,用网银时,一定要看清网站来源及付款信息,还特别强调,一定要直接登录银行的官网,不要在百度或360等搜索引擎里搜。建设银行的工作人员提醒用手机银行的用户,平时最好闭关WiFi自动连接。如长期保持打开状态,手机在进入有WiFi的区域后会自动扫描,并连接没有密码的网络,大大增加误连钓鱼WiFi的几率。

5月28日,360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。这也是因为用户安全意识薄弱引起的。

据悉,陈女士在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。工商银行的网络技术人员讲,“超级网银”是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张银行卡的跨行查询和转账,国内绝大多数银行均默认支持该项功能。然而不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。

这种事情很多,据卡巴斯基中国区技术总监陈羽兴介绍:“今年上半年的时候卡巴斯基就协助公安调查了一起资金被盗案件,对方自称是检察院,要求受害者上网验证信息而被引导到钓鱼网站上,最后机器被远程控制导致账户里的资金全部被转走。”

对于对网络都不甚了解的网民来说,黑客真是防不胜防呀!陈羽兴建议个人用户,首先要做到的是,不要在网吧、共用的机器上登录银行帐号;在自己的机器里装专业的防恶意程序软件;把经常使用的银行网址记在浏览器里,避免由于记错网址或者打错网址或者用搜索引擎搜索的时候不小心点到钓鱼网站而导致泄露或者损失。另外在任何人或者机构给你打电话自称是银行、公安、检察院等要求你登录网上银行或者政府部门的网站查看或者转帐的都不要理会而且要及时报案。

nlc202309020538

提高标准很重要

金融机构的专业人员相对于普通网民来说要专业得多,在防黑客方面做得怎样?工商银行客服经理介绍说,因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密,破解的难度大,只要使用银行发布的官方网站或者银行官方手机客户端,不管是WiFi、2G还是3G网络,都不可能被人盗走账户信息。

陈羽兴说,银行经过多年的网络建设,已经形成一套防护体系。但是,有两个方面容易成为整个防护体系的短木板。第一是新兴系统的加入,比如虚拟化系统/云计算系统,这些系统的防护解决方案整体还比较薄弱。另一方面是不同网络间的数据交换,比如生产网络和办公网络是物理隔离的;银行需要定期跟其他银行比如人民银行之间交换数据;有部分合作伙伴或者业务单位需要上传一些文档等,这些在线和离线数据如何交换、如何实时检测以防止病毒交叉感染、数据丢失和防篡改等都面临一些问题。

“如果国家信息安全委员会不提高验收标准,银行不加大技术投入力度,将来的事情不敢预想,会很可怕的。”民生银行的王先生说,“目前银行验收标准太低,应该提高标准。但提高标准是要投很多钱的,如果国家不要求,银行在感觉自己信息安全方面还可以的情况下,是不愿意多花很多钱去做技术升级改造。因为目前银行在中国的信息安全技术算高的,黑客技术水平相对较低,攻不破银行系统的密码,所以中国在银行偷钱的事还没有。建议相关政府部门未雨绸缪不要亡羊补牢。”

中国人民银行消费者保护局局长焦瑾璞表示,网络金融作为新兴的金融模式,现有的金融监管体系尚无法完全覆盖,存在一定的监管缺位,因此必须尽快明确相应的监管部门和监管职责,既能充分包容创新又能确保监管到位。

中国科学院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望建议金融行业不要接入因特网,要建立中国金融行业的专业网。还有一部分网络安全专家呼吁有关方面,进一步加大自主研发的网址卫士等国产服务器证书产品的扶持和推广力度,加强中国网络安全保障的自主权,构筑中国网络金融业务防火墙。

采访手记:

时下,斯诺登不仅是国家层面的新闻事件,也是时下最热门的谈资,因此,在不记名采访中,大家谈得淋漓尽致。

通过采访总结出专家们的观点,他们认为加强银行的网络安全:一是从银行防范。建立严密的安全体系,保证网络银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应用服务及实施全天候的安全监控等技术措施;二是从客户防范。客户的安全意识是影响网络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑安全措施,不随便点击恶意网站;三是建立全国统一的认证中心,充分发挥第三方认证机构中立、权威的作用;四是加快电子化应用环境风险防范,如加大对计算机物理安全设施的投入和严格中心机房的管理制度等。

也有一位非业界专家提出的观点,记者认为很具特别性。他认为,对于银行信息安全,不能采用头痛医头脚痛医脚的诊断办法,应该从根拔起。他建议,应推行电子货币,逐步取代纸币。他说:“电子货币是一种可以追踪的货币,犯罪分子盗窃银行或者银行用户,最终都是以纸币的形式消化掉,如果取消纸币,他们没办法把盗来的钱花出去,那还偷盗银行与银行用户的消息做什么。”对于如何取消或限制纸币发行,他也有建议,“建议政府层非自然地推行电子货币,应该从国家财政部或者中央银行控制-减少纸币发行,这样做有别于西方国家由银行和用户自然减少纸币使用的现象,我国应直接跳过这个过程,由中央银行及政府部门直接主导施行。”如何实施?“相关部门出台纸币税,存纸币有存纸币税,取时有取纸币税,如果是大额纸币存取银行可问纸币来源,也可直接报警,”他略带兴奋地回答。

这种观点记者也不知是否可行,但博采众长,有些观点记者有必要记录下来与读者分享。

兼职安全员职责标准 篇3

兼职安全员系本单元的安全管理人,负责本单元的安全管理工作。

一、负责组织开展安全相关活动

根据公司安全生产委员会的活动计划安排,落实开展本单元的相应活动;本单元也可自行组织开展内部安全活动,但必须先报安全部审核通过并备案后方可实施。

二、负责本车间的安全教育

1.负责本单元新员工的三级教育,按时间、规定进行并负责考核。

2.负责车间/部门级的日常教育,根据两委会要求进行,也可自行加强培训。

3.负责编制本单元的安全教育档案,做好相应的培训记录及培训目录的更新工作。

4.做好车间安全考试的各项工作

做到考核考试有试题、有答案,成绩有记录、有档案,每年至少一次。成绩登入安全作业证并签字盖章。

5.负责建立各种安全教育考核档案和台账、安全活动记录和台账记录。定期汇报安全活动情况、安全教育情况等。

三、组织本单位的安全检查

(1)每月月底组织一次车间部门的安全检查,并做好检查记录,要求本单元第一负责人、班(组)长参加。

(2)及时开展大假期前的安全检查,并将检查记录交到安全部汇总。

(3)现场检查,制止违章指挥、违章作业。

经常深入班组、工段、岗位现场监督检查安全规程、制度的执行情况,做到敢说敢管、不徇私情,检查有记录。

(4)各种安全装置设施的检查

要求安全装置、设施处于完好状态,发现问题及时处理,处理不了的上报有关部门。

(5)配合安全生产委员组织的各项安全检查。

四、做好事故应急处理、统计、调查和上报工作

发生事故当天即把事故原因、经过、损失、事故责任者等调查清楚。同时按

“三不放过”的原则处理有关问题,按公司规定上报有关部门。

五、参加每月的安全员例会、安全生产委员会

做到按时参加,不准迟到、早退,并记录会议精神。有关内容要向车间主管汇报,并安排实施。

六、做好大、中修的安全工作

做到“三落实”,即组织、措施、人员落实。检修前进行专门检修项目的安全教育。

七、负责落实本单元动火措施

按等级不同,对动火要求应按动火证的措施一一落实。

八、安全档案管理

负责建立本单元的安全档案,进行日常的更新管理。安全档案包括以下内容:

1、日常安全检查记录。

2、安全培训记录。

3、安全培训考核记录。

4、安全培训教材(包括电子档、纸质版等)及其目录。

信息安全员岗位职责标准 篇4

岗位职责范围

1.在部门负责人的指导下,负责公司全方位的消防安全工作。

2.负责公司消防安全制度的建立与监督执行。

3.检查公司消防设备的设置、安放及维护。

4.定期排查市场区域内外的不安全隐患,作好检查与消除隐患的防范工作,并制定相关的规章制度和惩罚措施。

5.组织义务消防员的专业技能训练和基础知识的培训,定期对全体员工进行消防常识和专业技能的宣传、教育工作。

6.认真作好组织抢险与自救工作,必须做到:在严禁吸烟的场所,绝对禁止吸烟;在允许吸烟的场所不得随意丢弃蹄;在堆放易然物品的场所杜绝一切火种。保持市场通道的畅通无阻,确保商城的人生、财产安全和正常运营。

7.负责对消防设备检查、维护和保养的工作,发现设备故障要及时上报、及时与厂商联系。保证消防设备的完整无损。

8.作好各项巡视、检查等交接班的工作记录。

9.配合接待消防部门的检查工作,协调好消防机关和业主物业部门的衔接工作。

素质标准

1.具有丰富的消防安全专业知识和组织工作能力;

2.有良好的公共关系和社会活动能力;

3.有高度的敬业精神和严谨的工作作风;

4.做事认真讲原则,秉公执法,团结为公,不谋私利;

5.有良好的政治素养和道德风尚;

安全标准化评审专家职责 篇5

1、认真贯彻执行国家有关安全生产的法律、法规、规章、标准、规范和相关行业安全生产标准化规范、评定标准;

2、评审前主动向评审单位公开与申请企业的利害关系、不隐瞒任何有可能影响评审公正性的信息;

3、仅参加相关专业领域的评审工作,遵守现场工作秩序、认真完成对评审单位的文件审查和现场评审等工作,提交完整的现场评审报告等资料,并对做出的文件审查和现场评审结论负责;

4、严格遵守公正性与保密承诺,不得泄露申请单位的技术和商业秘密;

5、认真完成安全监管部门或评审组织机构、评审单位安排的其他任务。

6、被选定为申请企业评审专家,且已接受邀请,无正当理由不得影响评审工作且必须按规定时间参与评审;

7、在评审工作中,不得有明显倾向性或歧视性的;

8、不得违反职业道德和有关廉洁自律的规定;

9、不得违反规定向外界透露有关评审情况及企业内部需要保密信息;

信息安全员岗位职责标准 篇6

现阶段, 随着各行、各业对安全生产工作的重视, 安全生产标准化建设已逐步在各类企业铺开, 大多数企业都实现了安全生产标准化二级、三级达标, 有些大型企业甚至实现了安全标准化一级达标。可以说, 通过安全生产标准化建设, 大多数企业都取得良好的成效, 企业的安全管理水平也显著提升。但是在安全生产标准化建设中, 同时也存在一些不足之处, 归纳总结为以下三类问题:

首先, 一部分企业的安全生产标准化推进是以企业的安全管理部门为主开展工作的。在推进过程中, 企业的安全管理部门主导, 其他各职能部门被动参与, 有些企业的安全标准化工作甚至由专门的咨询中介机构“包办”, 造成企业的各级领导、员工及相关职能部门对安全生产标准不熟悉, 对标准化的要求不了解, 以至于大部分员工并没有按要求执行各类安全管理制度, 更不能很好地履行各自的安全职责。

其次, 相当一部分企业在推进安全生产标准化的过程中, 工作深度不够, 标准化的制度没有真正实施和贯彻下去。一部分企业的安全标准化的推进是以企业评级达标为目的, 企业的各级员工并没有真正理解安全标准的相关内涵和作用, 同时也没有将安全标准化的规范内容进行细致化、实质化, 落实到各级岗位和人员, 造成了各岗位人员自我安全管理的意识和能力不强, 安全技能和知识结构偏弱。因此, 有必要在企业达标的基础上, 开展安全标准化岗位达标工作, 规范“一岗双责”, 贯彻实行“管生产毕业管安全、管业务必须管安全”, 并对各级员工的安全履职情况进行日常评价和考核。

再次, 企业的安全管理人员一般处在我国安全管理体系的最基层, 是我国安全管理体系中数量众多、作用最直接, 也是最重要的安全管理力量。要实现企业安全管理水平的提升, 实现事故控制措施的强化和规范等目标, 离不开一支专业能力强、业务水平高的企业安全管理队伍。从某种程度上讲, 一支专业素质高、业务能力强的企业安全管理人员队伍是搞好安全生产的重要前提和基本保证。近两年, 我国的重特大事故不断发生, 安全生产形势不容乐观, 从中央到地方也越来越重视安全生产管理和事故控制工作, 相应地对企业安全管理人员也提出了更高要求。因此, 如何提升进一步加强企业安全管理人员的安全技能、强化专业知识, 是深入开展安全标准化岗位达标的重要原因之一。

在这种情况下, 如何开展安全生产标准化岗位达标工作, 如何进一步促进企业内部各岗位人员在日常工作中安全生产知责、懂责、履责工作。笔者总结了下几个方面的经验:

1. 全面铺开, 提升员工参与度

一个企业开展安全标准化岗位达标工作, 主要在于各级员工的参与。该项工作的实施应涉及到企业全员、全方位、全过程。可以说, 安全标准化岗位达标工作几乎覆盖了企业的所有部门和人员, 需要企业下属各部门统一协调, 积极配合, 共同开展。

虽然企业在实施岗位达标工作的过程中, 一般都会成立相应的组织或推进机构, 但这些机构 (小组) 主要是负责建设过程的组织协调工作, 主要是负责岗位达标在企业宏观方面的工作部署, 而在实际建设过程中, 更多的还是需要各部门和各岗位员工积极参与进来, 共同把岗位达标相关阶段的工作做好、做实。换句话说, 安全标准化岗位达标工作不仅仅是某一个人或某一个部门的事情, 而是整个企业共同的工作和任务, 是企业员工共同创建安全生产良好氛围共同的责任。

同时, 为了让每一位员工真正熟悉和掌握所在岗位的安全规范, 在岗位达标工作的关键阶段:岗位规范的编制过程中, 应积极组织各岗位员工亲身参与到修订和编制。在此基础上, 也应充分发动相关管理、技术、安全岗位的员工积极参与到岗位规范的评审工作来。此举目的在于充分征求基层管理和一线操作人员的意见和建议, 也进一步体现了岗位达标“全员、全过程”的理念, 确保编制的岗位安全规范真正“落地生根”, 在工作中取得实效。

2. 着眼成效, 适当“接地气”

在组织开展安全标准化岗位达标工作的过程中, 最重要的是编制并推行切合生产实际、可操作性强、便于员工理解和接受的岗位安全规范。编制岗位安全规范, 核心在于内容的符合性、有效性和实效性。在开展岗位规范编制的过程中, 应充分结合本企业设备工艺、作业条件和生产班次的实际情况, 对各岗位规范进行修订、补充和完善, 切忌照搬照抄。同时文字描述力求“通俗化和实用化”, 达到适用、好用和管用的效果。要尽量避免文字描述冗余、用词太过专业, 造成员工难读、难记, 理解困难的问题。

3. 加强沟通, 提高推进工作效率

在安全生产标准化岗位达标工作的推进过程中, 各职能部门应该与推进组织机构 (小组) 保持紧密的信息沟通, 确保工作开展有效。现阶段, 作为安全生产标准化工作的延伸, 岗位达标工作尚未形成一定的套路及经验方法, 没有具体的实际经验。虽然一部分行业已经颁布了《安全标准化岗位规范编制指南》, 但这些标准更多是在理论和方法上进行指引, 很多具体的工作都需要企业自身去完成, 因此, 实际工作过程中由于对标准要求的理解上总会存在一些疏漏和偏差的地方, 推进过程肯定会遇到一些问题。因此, 企业下属的各职能部门应该与推进组织机构加强日常的信息沟通与联系, 将存在的问题和困惑及时向推进组织机构反映。推进组织机构的成员也要加强与一线部门沟通联系, 确保各项推进工作落到实处, 少走弯路, 提高效率。

4. 强化互联网思维, 开展多渠道培训和教育

在推进一项系统性工作的过程中, 如何加大该项工作的影响力和宣传工作力度, 努力营造一个良好的岗位达标工作“气势”和氛围, 对于此项工作的开展也有至关重要的意义。

现阶段, 与传统的板报、横幅、看板、宣传册等媒介不同, 微博、微信、网站、论坛等互联网媒体的影响力与日俱增, 手机及网络媒介在员工中的普及使用率越来越高。因此企业在推进安全生产标准化岗位达标工作中可以充分利用互联网媒介, 企业推进组织机构可以根据岗位达标工作的进展情况, 有步骤、有计划地通过微信公众号, 微博或企业内部网站、论坛向员工普及岗位达标工作的相关知识, 宣贯岗位达标工作的具体流程和工作思路, 实施“线上”宣贯与培训。这样做, 不仅能调动广大员工参与岗位达标的积极性, 还能增强岗位达标的吸引力和影响力, 营造良好的安全氛围。

5. 树立达标典型, 增强先进典型的导向作用

在安全标准化岗位达标工作推进过程中, 在岗位规范编制、岗位规范宣贯培训及评价前期的准备阶段, 企业可以结合自身的实际情况适时开展岗位安全知识竞赛、安全技能比武、师徒帮教、岗位应急处置练兵等活动, 以此提高员工参与安全标准化岗位达标的积极性, 提升员工的岗位安全意识和技能。同时也可以在企业内树立岗位达标的先进部门和先进个人典型, 起到积极的示范作用, 使得企业下属各部门和各岗位员工有了前进的方向, 开创你追我赶、争创岗位达标的局面。

二、结束语

岗位达标工作是一项长期性、综合性的工作, 岗位达标的目的不仅仅是企业内部各岗位人员的“全员达标”, 更重要的是通过岗位安全达标工作明确各岗位人员的职责, 使得企业的决策、管理和操作层人员知责、懂责、履责。笔者提出的几方面经验措施, 仅仅只是岗位达标这一项系统性工作的几个细节, 更多的方法和经验, 还需要在企业的安全标准化岗位达标工作建设中不断探索和总结。只有岗位达标工作真正取得实效, 才能最终提高企业的安全管理水平。

参考文献

[1]田敏.企业推行安全生产标准化常见问题与解析[J].科技与企业, 2012, (23) :82-83

[2]黄锦云, 陈思慧.企业安全生产标准化建设须“六让”[J].安全与健康, 2013, (10) :32.

[3]李欣欣, 谭连初.对安全生产标准化建设的探讨[J].工业安全与防尘, 2000, (6) :27-29.

[4]冯建国, 王洪卫.企业安全管理现状及对策研究[J].企业导报, 2012, (17) :61.

[5]罗成书.企业安全生产标准化与职业健康安全管理体系的有效融合[J].中国水泥, 2013, (8) :97-100.

信息安全员岗位职责标准 篇7

关键词:高职教育 课程标准 职业岗位标准 对接

一、高职教育课程标准与职业岗位标准对接的必要性

课程标准是课程组织与实施的指导性文件,其建设对于规范课程教学的基本要求,提高课程教学质量有重要作用。目前,我国还没有统一的、系统的高等职业教育的课程标准,高职院校一般都自行开发课程标准,或直接由课程教学大纲改良而来,在课程标准建设时存在一些问题,一是缺少对面向职业岗位、职业岗位群的深入调查,课程职业岗位能力目标不明确;二是偏重学科知识的系统学习,课程内容与企业岗位需求脱节;三是重视专业技能训练,忽视职业素质的培养,而职业素质是目前用人单位非常看重的基本条件。

高等职业技术教育的本质属性是职业性,它决定了高职院校的人才培养目标是培养符合企业岗位需求的具有综合职业能力的高技能应用型人才。要实现该目标,只有根据技术领域和职业岗位(群)的任职要求,参照相关的职业资格标准,改革课程体系和教学内容,建立突出职业能力培养的课程标准[1]。

在制订课程标准时,只有引入职业岗位标准,依据职业岗位标准引导专业课程体系建设、组织课程教学内容,并把职业情境和企业文化理念融入教学过程,才能实现专业人才培养过程与企业生产过程对接,专业课程标准与职业岗位标准对接,最终形成专业人才培养与社会生产和发展相适应的良性循环。

二、课程标准与职业岗位标准的对接点

高职教育课程标准对课程定位、课程目标与任务、课程在知识、技能和态度等方面要求的范围和深度、课程评价标准、课程的组织与实施等提出了具体的要求,是教师教与学生学的依据,是衡量课程教学质量的重要标准。

职业岗位标准是某个职业岗位针对劳动者的素质水平提出的具体要求,目前主要通过取得国家职业资格证书和行业认证证书来体现[2]。职业岗位标准的核心部分包括基本要求和工作要求两部分。基本要求包括职业道德、职业态度、行为规范和专业基本理论知识、法律安全环保等知识;工作要求是从“知识”和“技能”两方面对职业能力的描述[3]。职业岗位标准对职业技能的要求更具体,具有较强的针对性和适应性。

职业教育课程开发应当以“岗位”需求设定课程目标,课程内容选择和界定则应围绕岗位工作任务,并对职业领域中的工作任务进行剖析、选取、序化和教学化;职业素质要求应与职业岗位的基本要求相对应,将岗位应具备的职业道德、职业态度、行为规范和法律安全环保等融入课程教学过程,实现课程目标与职业岗位目标对接,课程知识、技能、态度等方面要求与职业岗位基本要求和工作要求对接。

三、课程标准与职业岗位标准对接的策略与方法

(一)课程目标与职业岗位标准接点

课程目标与职业岗位目标对接是课程标准与职业岗位标准对接的逻辑起点。课程目标开发首先要明确该专业面向的技术领域和职业岗位(群),深入企业,对职业岗位群的岗位目标、岗位职责和岗位应具备的职业能力、职业素质即综合职业能力进行调研分析;其次要了解专业面向行业的准入条件,都有哪些相应的职业资格证书[4];最后遵循职业教育人才培养目标的要求,学生可持续发展的需要,将职业岗位标准转化为课程目标语言,使学生在毕业时,可同时取得学历证书和职业资格证书,毕业后能够很快胜任该职业、行业的工作。

(二)课程内容与职业岗位标准接点

课程内容与职业岗位要求对接是达到预期高职教育课程目标的关键。课程内容的选取需要企业专家、职业教育专家的共同参与,一般需要经历以下几个过程。

1.专家论证,确定典型工作任务

通过召开行业、企业专家访谈会的方式,由企业专家对职业岗位工作任务进行分析、论证,从众多岗位工作任务中得出典型工作任务,并按照职业成长规律对其序化,确定各典型工作任务的难度等级。典型工作任务的选取是这一步的关键。

2.依据行业标准确定课程内容

企业专家和职业教育专家共同分析研讨完成各典型工作任务所需的知识、技能,并参考职业资格鉴定内容,遵循职业成长规律和学习认知规律,确定各课程所支撑的知识、技能点,并将其转化为对应的课程内容。行动领域向学习领域转换是决定对接“精度”的关键[5]。

3.定期调整更新课程内容

定期召开由政府、行业组织,企业和学校共同参与的研讨会,对学校的课程设置、教学内容、软硬件设施等方面给出指导意见,学校进行调整或改进,以适应职业岗位发展需要。

(三)课程教学与职业岗位标准接点

课程教学组织与实施与职业岗位标准对接,是实现课程目标的基本途径。依据课程内容,开发出符合典型工作任务要求的学习情境,并将其转化为切实可行的教学方案。课程教学采用项目引导、案例驱动等教学方法,并灵活运用小组合作、角色扮演等教学组织形式,把职业岗位所需的知识、应达到的职业能力、应具备的职业素质融入教学过程中。同时,大力推行学校、企业双线交替的教学模式,使学生的理论知识与职业角色能力有机结合、系统提升。

(四)课程评价与职业岗位标准接点

课程评价与职业岗位标准对接是诊断预期课程目标实现程度及课程调整的重要依据。高职教育的成功不是以学生成绩来衡量的,而是以学生在社会中被认可的程度来衡量的,因此,职业资格标准、企业标准才是检验高职教育课程质量的标准。在课程评价上,采用“校企共评”模式。学生在企业实习期间的成绩由企业按照企业岗位评价标准进行考核;实践性较强的课程,如课程设计、毕业设计等,由企业和学校共同进行评价。

课程评价标准的制定充分参考职业资格鉴定标准,从知识、技能和素质多方面进行考核。可以借鉴职业资格鉴定模式,如采用理论知识考核+实践操作的考核模式、课程项目答辩等形式。使整个课程评价既关注学生的全面发展,又关注学生职业资格的获得;既关注形成性评价,又进行终结性评价;既关注了学校本身的评价,又关注了企业对学生职业能力的评价。

四、结束语

加强校企合作,围绕“课证融通”构建课程体系,使用“岗位”这一参照点来进行课程开发,把职业岗位要求切实融入课程体系,实现课程标准与职业岗位标准的对接,只有这样,高职院校才能适应社会经济的发展、区域经济的发展、职业岗位的发展变化,始终保持旺盛的生命力。

参考文献:

[1]教育部.关于全面提高高等职业教育教学质量的若干意见[z].教高[2006]16号.2006.

[2]陈晓琴.高职课程标准与职业岗位技能标准对接研究[J].职教论坛,2011(14):16-18.

[3]许冰冰,李焕.复杂的情境分析:职业教育课程开发的出发点[J].职教通讯,2011,17:7-12.

[4]王玲,李建华,柳连忠.职业教育课程的职业资格接点分析[J].职业技术教育,2012(2):22-24.

[5]胡翔云.高职课程标准对接职业岗位要求研究[J].十堰职业技术学院学报,2012(25):7-9.

信息安全员岗位职责标准 篇8

1、做好每天的点检工 作,检查夹紧块是否磨

损,辅助支撑是否灵 活,定位销定位块是否 磨损和牢固。

2、日保的时需要把铁 屑清除干净,并把定位 销、定位块上油防止生 锈。4.通用工具使用完 后,做好清洁,归还原 位

5.岗位工装备件保管责 任归在岗人员 安 全 通 道 作 业 区 域

1、工作台、料架及地 面上不允许放置不必要 的物品;

2、物品不能放置于有 碍工作台的使用和安全 通道畅通的地方;

3、吊车使用完后放回 原位

4、作业区域做到每天 清扫一次。清 扫 相 关 标 识

1.检具都要保证有合格 证,每天要对检具保养 上油2.岗位区域的零件

必须有标牌(质量门 不合格品必须标识不合 格原因,及处理措施;3.电柜、消防栓的合 格证在有效期内,并且 做好每天的点检工作 4.现场物料按标识(不 合格品标识,流转标 识摆放整齐 现 场 文 件 工 具

1、区分私人用品与公 共用品;

2、必要时,要用的工 具随时处于可取用状态

。必须保持清洁,使用 完后做好清洁,方回原 处摆放整齐;

3、明确保管、保养责 任人;

1、吊车、吊具

2、流水线滚道、机体表面的棱角、机床及附件等碰撞、碾 压;

3、电器箱高压电

1、通道路面不应有导致湿滑 和绊倒的危险物;

2、通道禁止堆放物料

3、在通道上作业时,必须做 好安全警示工作,例如拉警 戒线,做警示牌提醒 责任区域内:

1、每天清扫一次地面,保持 干净整洁

2、设备表面无脏污,每天清

扫一次

3、无随地吐痰,乱扔脏物现 象

4、工具柜表面要每天开班后 会前擦一次 5.使用频次 少或外部借用的工具定制在 指定位置5.岗位内工具,保 管责任归在岗人员

1现场文件分类存放(使用过 的首检单和未使用的区分放 置

2.工艺文件及各类表格分类 存放

3.现场过期工艺文件返还技 术科,其他类文件按有效期 保留或丢弃

1、工作服、劳保鞋的穿戴;

2、防护眼镜、口罩、手套

车间班组 岗位安全、5S标准作业卡

按照标准区分开必要的和不必要的物品,对不必要的物品进行处理。

必要的物品按需要量、分门别类、依规定的位置放置,并摆放整齐,加以标识。清除工作场所的脏污(灰尘、污垢、异物等,并防止脏污的再发生,保持工作场所干净亮丽。

现场5 S 标准

素养

1、人人养成好习惯,依规定行事,培养积极进取精神

2、员工要正确佩戴厂牌,按公司规定穿工作服,着装整 洁,言谈举止文明礼貌。

3、下班前必须做到“六不走”: ①原始记录未填写好不走;②不切断水、电、气源不走;③设备及附件不擦干净不走;④在制品及材料不堆放整齐不走;⑤工卡量具不清点、不摆放好不走;⑥工作场所不打扫干净不走。作 业 区 域

作业区域图 附

将前面3S(整理、整顿、清扫的做法制度化、规范化,并贯彻执行及维持,意即“标准化”。

人人依照规定和制度行事,养成好习惯,培养积极进取的精神。消除隐患,排除险情,预防事故的发生.岗位区域CAD图

此资料由提供,如有任何疑问 请给我们留言,谢谢

养②不切断水、电、气源不走;③设备及附件不擦干净不走;④在制品及材料不堆放整齐不走;⑤工卡量具不清点、不摆放好不走;⑥工作场所不打扫干净不走。

附图6: 安全门

信息安全员岗位职责标准 篇9

1.岗位达标

指企业组织建立所有操作岗位的安全标准,规范岗位生产行为,推动各岗位符合标准化要求的活动。岗位标准至少要包括以下内容:岗位安全目标、任职条件、职责与任务、应执行的安全管理制度与操作规程、危险有害因素分布与风险控制措施、应急处置措施与事故报告、岗位工艺安全信息(化学品、工艺技术、设备、安全信息管理)等内容。其中岗位安全操作规程至少包括以下内容:初始开车、正常操作、临时操作、应急操作、正常停车、紧急停车等各个操作阶段的操作步骤;正常工况控制范围、偏离正常工况的后果;纠正或防止偏离正常工况的步骤;安全、健康和环境相关的事项。如危险化学品的特性与危害、防止暴露的必要措施、发生身体接触或暴露后的处理措施、安全系统及其功能(联锁、监测和抑制系统)等。

2.专业达标

指企业组织建立工艺、机械、电气、特种设备等职能管理专业安全工作标准,规范各专业的运行管理,推动企业各个专业领域符合标准化要求的活动。专业标准至少要包括以下内容:各专业领域的基本要求、安全设施配置,操作管理、运行、维护保养、检修及报废的相关规定。

3.关键装置

在易燃、易爆、有毒、有害、易腐蚀、高温、高压、真空、深冷、临氢、烃氧化等条件下进行工艺操作的生产装置。

4.重点部位

生产、储存、使用易燃易爆、剧毒等危险化学品场所,以及可能形成爆炸、火灾场所的罐区、装卸台(站)、油库、仓库等;对关键装置安全生产起关键作用的公用工程系统等。

5.事件和事故

事件是指:导致或可能导致事故的情况。

事故是指:造成死亡、职业病、伤害、财产损失或其他损失的意外事件。

6.隐患

作业场所、设备或设施的不安全状态,人的不安全行为和管理上的缺陷。

7.危险、有害因素

可能导致伤害、疾病、财产损失、环境破坏的根源或状态

8.危险、有害因素识别

识别危险、有害因素的存在并确定其性质的过程。

9.重大事故隐患

可能导致重大人身伤亡或者重大经济损失的事故隐患。

10.安全绩效

基于安全生产方针和目标,控制和消除风险取得的可测量结果。

11.风险

发生特定危险事件的可能性与后果的结合。

12.风险评价

评价风险程度并确定其是否在可承受范围的过程。

13.变更

人员、管理、工艺、技术、设施等永久性或暂时性的变化。

14.相关方

关注企业职业安全健康绩效或受其影响的个人或团体。

15.供应商

为企业提供原材料、设备设施及其服务的外部个人或团体。

16.承包商

信息安全员岗位职责标准 篇10

[关键词]物流管理;职业教育课程标准;职业岗位

1013939/jcnkizgsc201520173

1 物流管理專业现状

11 缺乏专业的物流教育

物流专业是随着物流行业的兴起应运而生的,其归属的院系是商学院或者经济管理学院。在以前,我们所熟知的物流仅仅只是邮件、信件的派送,其中最多的就是信件,而我们最熟悉的“物流行业”就是中国邮政,但是现在所派送的物件主要是实物包裹。物流单位也不计其数,而其中大多数以个体、私企物流行业为主,国家还没有专门针对物流行业制定特定的经济法规对其进行规范化管理。由于在二十年前,还没有物流专业,因此,如今的高职院校中,具有系统的物流专业的知识体系的专业教师依然缺乏,所以,对于教师来说,也还是处在学习探索过程中。此外,课程的实用性还不够高,在教材的编撰方面,还存在遵循教条主义的弊端,物流行业虽然是经济学的分支,但是教材的来源不能是简单的经济学的分支,如今的许多大学所用的教材都普遍缺乏实践的检验,书本知识最终是要作用到实践中去的,这种不是由实践得来的知识最终是难以和现实实践接轨的,这对学生的学习是不利的[2]。我国教育部门实行教育新课标改革,推动了物流管理专业职业教育课程标准的改革,确保高校培养的人才与企业对接。

12 缺乏专业实践

基于传统的物流管理专业课程教学,学生在校主要学习大量的理论知识,而且设立的课程有些是知识点重复导致学生学而无味,课程的设置过于空泛和重复。在培养学生实践操作能力方面,由于高职院校大部分教师无企业管理、操作经验,不具备双师素质,另一方面,由于高职院校实训设备欠缺,导致高职学生的实践能力的培养明显不足。随着物流管理专业职业教育课程标准的改革,高校实行了工学结合的措施,使学生能在激烈的市场竞争中更快地适应社会。开设物流管理专业的高校应加强校企合作,建立人才共育机制。

2 物流行业岗位分析

21 物流人才需求

由于物流行业是社会新兴起的一个服务型行业,人们对于其运作和经营的情况还是比较陌生,导致了人才供不应求的现状。高校设立了相关的物流管理专业,但是没有具体分析物流行业各层次人才的需求,所以培养出的学生是不符合企业需求的。物流行业人才从大致上可以分为三类:第一种是高级物流管理人才,其需要对市场经济发展走向趋势有敏锐的判断力和具有高瞻远瞩的战略性思维,同时具备良好的商业交际能力。第二种是物流运营人才,其需要对整个物流线路都了然于心,设计更方便更实惠的物流线路,这就需要专业的理论知识。第三种是物流作业的一线操作人员,有着一流的操作经验,能够完成作业上货、分拣、堆垛、打包、配装等具体的作业。通过分析物流行业人才的层次关系,高校才可以针对相对应的岗位要求去培养物流人才。

22 岗位技能和职业素质

信息安全标准体系研究与分析 篇11

信息安全标准化是在有关信息安全的产品和系统在设计、研发、生产、建设、使用、测评中, 确保其一致性、可靠性、可控性、先进性和符合性的技术规范和技术依据, 它是信息安全保障体系的重要组成部分, 是政府进行宏观管理的重要手段。

1 信息安全的主要内容

信息安全的内涵十分丰富, 需要面对的安全要求各不相同, 所涉及的领域也非常广泛, 比如网络、终端、交换设备、安全服务、安全管理、安全监控等。下面从信息系统的角度, 将信息安全的主要内容概括为以下四个方面。

1.1 信息系统安全建设

信息系统安全的最基本内容就是通过技术手段、利用安全设备建立一个保障系统信息安全的体系, 一般信息系统的安全建设包括局域网内部安全和局域网与广域网连接安全建设两部分内容。

(1) 局域网内部安全建设

对于任何一个信息系统网络内部而言, 主要的使用对象为所有的工作人员, 主要的安全问题来自两个方面:一方面是指由于工作人员的计算机水平参差不齐, 对于安全的认知和防范程度不同, 难免会从外部带来计算机病毒等安全隐患;另一方面, 一般单位内部机构设置较多, 不同机构间的信息相互较为独立, 且存在机构内部的信息保密问题, 如果不能合理准确地划分各自的网络安全域并制定域内、域间的信息发布、删改、查阅规则, 将会带来不同机构间的信息泄密、恶意查阅传播等后果。因此, 局域网内部的安全建设主要包括病毒防范和网络安全域的划分控制等方面内容。

(2) 局域网与广域网连接安全建设

在保证信息系统局域网内部安全的同时, 局域网到广域网之间的安全建设同样重要。对于信息系统的使用人员来讲, 由于工作需要, 不可避免地要对广域网上的资源进行访问, 在广域网上传递、接受信息。由于广域网上存在大量的计算机病毒、网络入侵者等不良信息, 会对信息系统带来极大危害, 必须采取相应的措施保护信息系统不受侵害。这些措施主要包括:防火墙技术、入侵检测技术、网络隔离技术等。

1.2 信息系统资源保护

对于信息系统而言, 具有资源分类别、分级别、分密级等特点, 各个用户、部门自主储存、使用和传递共享的资源, 同时, 信息系统自身组成的软硬件资源也被不断使用、损耗。因此, 信息系统必须对各种资源进行统一的配置、监控、管理, 进而起到保护的作用。主要技术手段有备份与恢复、监控等内容。

1.3 信息系统安全管理

在信息系统中, 各项业务、公文等都以电子化的形式实现, 一方面可以提高办公效率, 另一方面也存在着安全组织设置不合理、权限设置不明确、工作人员对政策法规不够了解等问题, 影响了信息系统的实施效率并造成了安全隐患甚至犯罪。因此, 应制定相应的安全制度、做出合理的安全设置、开展全面的风险评估, 并配合基础设施、技术与产品等手段从多方面进行综合治理。

1.4 信息系统安全服务

随着信息系统的复杂程度越来越高, 信息系统安全建设的技术含量、实现难度也越来越大, 有的信息系统单靠承建单位或使用单位已经不能满足系统建设、运行的安全要求, 需要专业、高水平的第三方安全机构提供必要的安全服务, 进而做到有针对性的进行系统安全建设, 确保建设资金、资源的合理使用;需要对建成系统的安全程度进行多角度、深层次的测评, 确保系统满足实际安全需要;需要对系统使用人员进行深度的安全培训, 确保其具备进行系统安全维护工作的能力。这些安全服务主要包括:等级认证、安全评估、安全培训、技术检测、C A认证等手段。

2 信息安全标准体系

为了规范上述信息安全各方面的建设, 使信息安全的各个方面都有据可依, 信息安全标准的制定就成了一项十分重要的工作, 无论国际还是国内, 都形成了具有一定规模的信息安全标准体系。

按照GB 3935.1《标准基本术语第1部分》中定义, 标准体系就是“一定范围内标准按其内在联系形成的科学的有机整体”, 这里所说的一定范围从大到小是指国际 (区域) 、国家、行业、地方和企业, 因此在信息安全技术领域会有国际标准体系、国家标准体系、行业标准体系、地方标准体系等, 而且通常高层次的标准体系对下有约束力, 但事实上在这特定领域还要看各个国家的管理法规和制度, 例如, 我国有关政策决定了密码技术和涉及国家秘密的计算机信息系统只有国家标准, 不允许有以下范围的标准;另外从世贸组织W T O规定的安全例外看, 显然信息安全技术属于这种安全例外, 因此相关的国际标准, 对我国没有太多的约束力, 同时, 我国也有权制定自己的尤其是应用类标准来合理合法的保护民族信息安全产业。因此对信息安全技术领域我们主要面对国际标准体系和国家标准体系。

2.1 国际信息安全标准体系

国际信息安全标准化工作兴起于20世纪70年代中期, 80年代有了较快的发展, 90年代引起了世界各国的普遍关注, 目前, 已经形成了较为完善、全面的信息安全标准体系, 指导、规范着信息安全各项工作的开展, 所谓信息安全国际标准体系就是信息安全技术领域所有国际标准按其内在联系形成的科学的有机整体。从已知的ISO/IEC的信息安全标准看, 主要内容如图1所示。

(1) 信息系统安全的一般要求

为规范信息系统安全各项内容所制定的要求、规定, 同时还包括为实现这些要求、规定所采取的具体办法, 包括规范性要求和满足要求所采取的方法。

(2) 开发安全技术和机制

对于实现信息系统安全所采取的技术手段的规定, 以及为保障信息系统安全实现所必须的相关机制的描述, 主要包括技术要求、保障机制、注册程序与安全组成关系。

(3) 开发安全指南

为信息系统安全开发工作提供的指导性的规定要求, 对于相关内容、情况的解释说明, 以及对于潜在风险的分析和策略制定的描述, 主要包括解释性文件和风险分析。

(4) 安全管理支撑性文件和标准

实现信息系统安全的定义性文件, 还包括对于产品、系统等安全情况的效果评定要求, 是信息系统安全实现工作的基础和评价规定, 包括术语和安全评价准则。

其相互之间的关系见图2。

2.2 国内信息安全标准化体系

我国信息安全标准化工作是从学习国际标准化工作开始的, 虽然我国派人参加了1984年1月ISO/TC97/SC20的成立会, 同年7月也成立了与S C 2 0对口的数据加密分技术委员会, 但是基础十分薄弱。只是当ISO/IEC把“信息技术安全性评估准则”作为十分重要的标准化项目时, 才使我们对我国信息安全标准化工作应有的指导思想、标准研制路线、重点标准项目以及标准体系构架有了认识。

目前, 我国的信息安全标准化工作也已经取得了比较大的进展, 发布了几十项信息安全标准, 也进行了信息安全标准体系的专门研究, 提出了大致的体系结构图 (见图3) 。

本文根据发布标准的情况, 将我国信息安全标准体系结构总结如图4所示。

(1) 基础标准

基础类标准是信息技术安全标准化体系开发过程中所需用到的最基本的标准及技术规范, 主要包括:

安全术语:对于信息安全的基本术语定义进行的规定, 是其他标准制定的基础。

体系与模型:对于某项信息安全技术或某个信息安全领域建立的整体要求或技术架构, 例如O S I安全体系结构标准、T C P/I P安全体系结构标准、开放系统安全框架标准、高层安全模型、低层安全模型等。

(2) 应用标准

应用类标准主要是指信息技术各个应用领域中的具体安全标准, 这部分标准在整个信息安全标准化体系中占有非常重要的地位。其内容又分为技术标准和测评标准两大部分:

技术标准:是对于信息安全产品或系统从技术方面进行的规定, 是信息安全标准的核心所在, 主要包括如下几个方面:

●技术要求:从总体上对于信息安全技术的规定, 规范了产品或系统安全的实现方式和要求, 如防火墙安全要求、应用代理安全要求、路由器安全要求、数据保密设备安全要求等。

●保密技术:对于信息安全产品或系统访问的权限控制或访问条件的要求, 如抗抵赖安全框架标准、保密性安全框架标准、访问控制机制标准等。

●密码技术:利用密码技术实现相关安全手段或措施的要求, 如密码模块保密性要求、密码模块安全性要求、数据加密机制标准、签名机制标准、密钥管理安全框架标准、公钥基础设施标准等。

●物理安全:某个物理设备或平台的安全技术要求或指南, 如软硬件应用平台安全标准、网络安全指南、计算机病毒防治标准等。

●系统安全:某类应用系统或支撑系统的安全要求, 如电子商务系统安全标准、电子政务系统安全标准、电子事务系统安全标准、电子邮件系统安全标准、分布式计算机环境安全标准、数据库安全标准等。

●标识与鉴别:对于某类安全系统或事件的某项要求的鉴定、识别的规定, 如识别认证安全框架标准、完整性安全框架标准等。

测评标准:测评类标准是对计算机系统安全、通信网络安全及其信息技术安全产品等进行安全水平测定、评估的一类标准, 是对各类产品和系统的安全性评估标准的规范, 其内容既包括对信息安全测评的基本条件、测评的手段、方法的描述, 又有对具体信息安全产品或系统的测评指标、评定级别的要求, 大体分为测评基础、测评办法、产品测评、系统测评等几大类。如信息安全等级和系统安全等级的划分标准、信息技术安全性评估准则、计算机系统安全评估标准、通信网络安全评估标准、密码设备安全评估标准等。

(3) 管理标准

管理类标准是对信息技术安全性进行全方位管理的标准, 信息安全管理不仅仅是技术方面的, 还有管理制度和办法方面的要求, 既包括了安全管理的基础要求, 还有管理的具体内容、实施管理的手段等方面的规定, 主要有管理基础、管理要求、管理内容、管理实施等几方面内容。如信息技术安全管理控制平台标准、安全性数据的管理标准、管理数据的安全标准、系统管理标准、网络管理标准、硬件设备管理标准等。

3 信息安全标准化组织

3.1 国际信息安全标准化组织

国际上与信息安全标准化有关的组织主要有以下四个。

(1) ISO

I S O/I E C J T C 1 (信息技术标准化委员会) 所属S C 2 7 (安全技术分委员会) 的前身是SC20 (数据加密技术分委员会) , 主要从事信息技术安全的一般方法和技术的标准化工作。I S O/T C 6 8负责银行业务应用范围内有关信息安全标准的制定, 主要制定行业应用标准, 与S C 2 7有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。

(2) IEC

I E C在信息安全标准化方面除了与I S O联合成立了J T C 1下的分委员会外, 还在电信、电子系统、信息技术和电磁兼容等方面成立了技术委员会, 如T C 5 6可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等, 并且制定相关国际标准。

(3) ITU

I T U S G 1 7组负责研究网络安全标准, 包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等。此外, SG16和下一代网络核心组也在通信安全、H.3 2 3网络安全、下一代网络安全等标准方面进行研究。

(4) IETF (Internet工程任务组)

I E T F制定标准的具体工作由各个工作组承担。Internet工程任务组分成八个工作组, 分别负责Internet路由、传输、应用等八个领域, 其著名的IKE和IPSec都在R F C系列之中, 还有电子邮件、网络认证和密码及其他安全协议标准。

3.2 国内信息安全标准化组织

国内的安全标准化组织主要有全国信息安全标准化技术委员会以及中国通信标准化协会 (C C S A) 下辖的网络与信息安全技术工作委员会 (T C 8) 。

(1) 全国信息安全标准化技术委员会 (TC260)

全国信息安全标准化技术委员会于2 0 0 2年4月成立, 是在信息安全的专业领域内, 从事信息安全标准化工作的技术工作组织, 任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。委员会将协调各有关部门, 本着平等、公开、协商的原则组织提出一套系统、全面、分布合理的信息安全标准体系, 以信息安全标准体系为工作依据, 有步骤、有计划地进行信息安全标准的制定工作, 主要以工作组形式开展工作, 现下设六个工作组, 分别是:信息安全标准体系与协调工作组 (W G 1) 、涉密信息系统标准工作组 (W G 2) 、密码工作组 (W G 3) 、鉴别与授权工作组 (W G 4) 、信息安全评估工作组 (W G 5) 、信息安全管理工作组 (W G 7) 。

(2) 网络与信息安全技术工作委员会

该委员会成立于2 0 0 3年1 2月, 主要负责研究涉及有关通信安全技术和管理标准。其研究领域包括面向公众服务的互联网的网络与信息安全标准、电信网与互联网结合中的网络与信息安全标准、特殊通信领域中的网络与信息安全标准。目前, 设置有有线网络安全工作组 (W G 1) 、无线网络安全工作组 (WG2) 、安全管理工作组 (WG3) 和安全基础设施工作组 (W G 4) 四个工作组。

4 几个重要的信息安全标准

4.1 ISO/IEC 27000系列标准

I S O/I E C 2 7 0 0 1《信息安全管理体系要求》源于B S 7 7 9 9-2《信息安全管理体系规范》, 是建立信息安全管理体系的一套规范, 其中详细说明了建立、实施和维护信息安全管理体系的要求, 可用来指导相关人员去应用ISO 17799《信息技术信息安全管理实施指南》, 其最终目的在于建立适合企业需要的信息安全管理体系。该标准于2005年10月正式发布。

ISO/IEC 27002《信息安全管理实施指南》通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等1 1个安全控制章节, 还有3 9个主要安全类和133个具体控制措施 (最佳实践) , 供负责信息安全系统开发的人员作为参考使用, 以规范组织机构信息安全管理建设的内容, 替代了原ISO/IEC 17799:2005, 并于2007年7月1日正式发布。

4.2 ISO/IEC 15408《信息技术安全技术信息技术安全性评估准则》

ISO/IEC l5408-1999《信息技术安全技术信息技术安全性评估准则》 (简称C C) , 定义了作为评估信息技术产品和系统安全性的基础准则, 提出了目前国际上公认的表述信息技术安全性的结构, 即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求, 分为简介和一般模型、安全功能要求、安全保证要求三个部分。

4.3 ISO/IEC 13335《信息技术安全管理指南》

该标准是一个信息安全管理指南, 标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。目前分为IT安全的概念和模型、IT安全的管理和计划、IT安全的技术管理、防护的选择、外部联接的防护等五个部分。

5 信息安全标准化问题分析及建议

目前, 我国的信息安全标准化工作已经取得了较大的进展, 为信息安全建设的进行起到了规范、指导的作用, 但同时也应看到, 我国与国际信息安全标准化的发展还有一定的差距, 笔者认为现阶段我国信息安全标准化工作主要存在以下几个方面的问题:

(1) 缺乏清晰的体系概念

我国已制定完成了几十项信息安全类标准, 但在这些标准当中并没有形成清晰的安全标准体系, 分类不够明确, 尤其在标准的使用中一般是根据使用者自身的情况, 用到时再去找相关的具体标准, 这样容易造成对标准使用环境的忽视, 甚至造成标准使用的错误, 另外, 也容易针对一项工作仅找到一个标准, 而忽视各个标准之间的互补性。对此, 应该及时推出统一、明确的信息安全标准化体系, 并对体系中各个部分的内容、各个标准间的关系做出适当的说明。

(2) 在信息安全建设中的应用

在我国已发布的几十项信息安全标准中, 有大量的标准是为了规范信息安全建设过程中各项工作的实施过程或某个产品的技术指标, 但在实际的信息安全生产、建设过程中, 从业人员对于安全标准的使用往往不够熟悉甚至根本没有意识, 建成的系统、产品也存在不符合标准的地方, 甚至最终的验收条件也没有完全体现标准的要求, 造成了建成的系统、产品在使用过程中出现种种问题。为此, 应开展信息安全标准的宣传、普及工作, 继而出台相关政策、法规推动安全标准的实际应用;同时, 引入专业的第三方咨询、监理、测评机构也是解决此类问题的有效手段。

(3) 国际标准引入速度滞后

由于一些原因, 国内标准相对于国际标准总有一定的滞后, 随着各项安全技术发展速度的加快, 标准的更新也日渐频繁。因此, 这种滞后可能造成标准内容的失效、与实际安全建设内容的不相符等问题出现。因此, 应采取措施及时与国际同步, 积极引进国际标准;同时还应及时参加国际的热点标准项目组, 在国内及时开展并行的预研, 将与国际标准发布的时间间隔降到最短。

(4) 加强国际、国内标准比对工作

我国适时采用了部分国际信息安全标准, 同时也制定了自身的信息安全标准, 两者之间有什么差别, 有没有重复甚至矛盾的地方, 这些也都将影响信息安全标准化工作的推进。同时, 真正了解国内与国际标准的差别所在, 也能为今后安全标准的立项、编写提供重要的参考依据, 紧跟国际信息安全发展趋势, 再结合我国实际情况, 才能制定出真正符合我国实际安全要求、推动我国信息安全发展的信息安全标准。

(5) 规范标准制定工作, 提高标准编制水平

目前, 随着人们重视程度的提高, 已经有越来越多的人参与到信息安全标准化工作中来, 标准化工作是一项技术性工作, 需要一支专业过硬、技术精良、在国内具有领先水平并能紧紧跟踪国际前沿的技术队伍。同时, 标准制定的流程也应规范, 强调标准的服务功能, 积极创造条件开展工作, 利用社会的各种资源, 广开渠道支持标准化事业, 如吸引企业参加标准的制定, 甚至可以考虑实行招投标制度, 或者利用各地的标准化研究机构、标准化协会、学会的资源和力量, 发挥各方人才的作用, 做到优势互补, 制定高水平的信息安全标准。

6 结束语

信息安全标准化工作对于解决信息安全问题具有重要的技术支撑、引导作用。信息系统安全标准化不仅关系到国家信息安全建设, 同时也是保护国家利益、促进产业发展的一种重要手段。笔者认为信息安全标准化体系是一个包括标准体系研究、标准文本制修订、技术验证和标准的产业化应用等环节及其相关组织运作和程序的整体。信息安全标准化工作的发展, 应该与国家信息化建设、信息安全保障体系建设同步开展;应该是相关信息技术产品、信息系统、信息化设施的研发者、建设者、运营管理者面向产业和市场, 共同参与的结果。另外, 信息系统安全标准化工作应该在国家相关部门的统一部署组织下, 相关机构共同参与, 集中力量研制出真正符合我国国情、并领先国际发展趋势的信息安全标准。

参考文献

[1]幸标.信息技术安全标准体系的研究与建设[J].世界标准信息, 2006 (4) :87-90.

[2]余勇.常用的信息安全标准研究[J].信息技术与标准化, 2003 (7) :15-18.

[3]李刚, 董火民, 杨子江等.软件工程标准化现状与分析[J].四川大学学报 (工程科学版) , 2007, 39:73-77.

上一篇:轻松应对11个经典面试问题下一篇:与激动的小学作文