管控平臺崗位職責(zé)任職要求
管控平臺崗位職責(zé)
工作職責(zé):
1、負(fù)責(zé)無人機綜合服務(wù)平臺的設(shè)計與開發(fā)工作
2、跟蹤國內(nèi)、國外無人機監(jiān)管政策和管控流程
3、負(fù)責(zé)典型無人機行業(yè)應(yīng)用平臺服務(wù)需求討論
4、結(jié)合公司產(chǎn)品戰(zhàn)略思想進(jìn)行無人機綜合服務(wù)平臺的規(guī)劃和建設(shè),能對各業(yè)務(wù)域進(jìn)行梳理和優(yōu)化分析,提供對應(yīng)的解決方案;
5、能夠從需求分析、架構(gòu)設(shè)計到研發(fā)管理做到端到端的把控,以架構(gòu)師的角色把控平臺整體的交付,并能從業(yè)務(wù)、技術(shù)層面對交付進(jìn)行負(fù)責(zé)
工作要求:
1、理解客戶業(yè)務(wù)和功能性需求、非功能性需求、性能及可用性需求,邏輯思維能力較好
2、三年以上架構(gòu)設(shè)計,IT項目落地,研發(fā)管理相關(guān)經(jīng)驗;
3、掌握至少一種主流編程語言,熟練使用至少一種數(shù)據(jù)庫產(chǎn)品;
4、熟悉云計算、大數(shù)據(jù)等技術(shù),具備基于云計算的架構(gòu)設(shè)計經(jīng)驗
5、有無人機云平臺或無人機管控平臺經(jīng)驗者優(yōu)先;
6、具有良好的文檔撰寫能力,較強的溝通能力,較強的分析問題和解決問題能力;
7、具有團隊合作經(jīng)驗、敬業(yè)精神,擅長自我驅(qū)動,主動學(xué)習(xí),做事有責(zé)任感。
管控平臺崗位
篇2:維修班組員工不安全行為管控措施制度
為了深入開展“本安管理體系鞏固發(fā)展年”活動,有效遏制員工不安全行為發(fā)生,確保安全生產(chǎn),特制定如下不安全行為管控措施:
一、不安全行為管控重點
結(jié)合中心的安全生產(chǎn)工作實際,通過對歷年來中心發(fā)生的不安全行為統(tǒng)計分析,確定洗選中心人員不安全行為管控的重點是:
(一)重點人群
1.新入企員工
2.勞務(wù)工
3.外委專業(yè)化服務(wù)人員
4.單崗作業(yè)人員
5.作業(yè)地點流動性大的員工
(二)重點時段
1.中夜班及凌晨作業(yè)時段
2.交接班時間
3.節(jié)假日加班及日常延點時間
4.突發(fā)搶修設(shè)備故障時段
5.檢查人員剛離開時
(三)重點作業(yè)活動
1.設(shè)備檢修
2.電氣焊作業(yè)
3.崗位工單獨巡視設(shè)備
(四)重點行為
1.個人防護(hù)用品佩戴不正確(安全帽、耳塞、防塵口罩、工作服)
2.作業(yè)人員未隨身攜帶資格證上崗
3.脫崗、睡崗
4.交接班時不履行交接班程序
5.無監(jiān)護(hù)人進(jìn)入設(shè)備、設(shè)施內(nèi)部作業(yè)
6.停電后不閉鎖、上鎖
7.作業(yè)前不進(jìn)行危險源辨識
二、不安全行為預(yù)防
基層單位是本單位員工不安全行為管理的責(zé)任主體,要發(fā)揮最大潛能為員工創(chuàng)造良好的工作環(huán)境,消滅不安全行為發(fā)生的誘因和土壤,為員工提供自覺規(guī)范作業(yè)的條件,從根本上杜絕不安全行為的發(fā)生。
(一)強化車間、班組現(xiàn)場管理,提高員工自覺遏制不安全行為的積極性。
1.對員工不安全行為實行分級考核管理。各基層單位發(fā)現(xiàn)的不安全行為,自行按照相關(guān)辦法考核處理;中心各部門檢查發(fā)現(xiàn)的不安全行為,由中心按照相關(guān)辦法考核處理;公司檢查發(fā)現(xiàn)的不安全行為,由公司按照相關(guān)辦法進(jìn)行考核處理。對基層單位及車間、班組已經(jīng)查處的不安全行為當(dāng)事人不再進(jìn)行責(zé)任追究,其不安全行為也不納入中心、公司績效和評先樹優(yōu)等考核。
2.各基層單位要明確各級管理人員在不安全行為管控中的責(zé)任,并落實到人。當(dāng)出現(xiàn)不安全行為時,不但要對當(dāng)事人進(jìn)行處罰,同時要追究管理者的連帶責(zé)任。確保跟班到位,不安全行為管控責(zé)任落實到位。
3.各單位要注重員工現(xiàn)場實操技能培訓(xùn),充分發(fā)揮班組長和老師傅一對一的“傳、幫、帶”作用。在特殊時期、特殊時段、特殊任務(wù)下,加強對新員工的管理監(jiān)督,以防止由于突擊生產(chǎn)和僥幸心理導(dǎo)致不安全行為的發(fā)生。
4.持續(xù)開展班組的危險源辨識和風(fēng)險評估工作。班前會必須針對上一班反饋的信息和本班的工作任務(wù)進(jìn)行作業(yè)安全風(fēng)險分析,有重點地落實安全措施;交接班要與現(xiàn)場危險源辨識和隱患排查處理相結(jié)合,杜絕上班時不能認(rèn)真負(fù)責(zé)干好本職工作,急于早下班而手忙腳亂、無序操作等不安全行為發(fā)生;作業(yè)中,要培育員工養(yǎng)成“五思而行”(①本人做此項工作有哪些風(fēng)險不知道不去做;②本人是否具備做此項工作的技能?不具備不去做;③做本項工作所處的環(huán)境是否安全?不安全不去做;④做本項工作是否有適當(dāng)?shù)墓ぞ卟磺‘?dāng)不去做;⑤做本項工作是否已佩戴了合適的個人防護(hù)用品不合適不去做)的習(xí)慣,從根本上杜絕員工不安全行為。
5.各單位要對員工的作業(yè)行為實行分類管理,特別是對新員工要重點關(guān)注、重點管控。如通過安全帽上貼“星”型標(biāo)識來識別新員工的入企時間(1-2個月貼一個星,3-4個月為兩個星,以此類推,超出一年解除“星”標(biāo)識);按要求落實帶班隊長、師帶徒不安全行為考評處罰機制,加強不安全行為管控。
(二)加強職業(yè)培訓(xùn),提高員工自身安全生產(chǎn)意識和技能。
要加強對員工的思想教育,提高員工安全意識;加大作業(yè)規(guī)程及相關(guān)業(yè)務(wù)知識培訓(xùn)力度,提高員工業(yè)務(wù)技能,使員工勝任本職工作,避免無意違章現(xiàn)象發(fā)生。
?1.做好“不安全行為認(rèn)定標(biāo)準(zhǔn)”的告知和培訓(xùn)工作,讓員工知道哪些是不安全行為、其風(fēng)險等級如何、會造成什么后果等,以進(jìn)行自我行為約束。
?2.建立完善的培訓(xùn)系統(tǒng),配備充足的培訓(xùn)資源,創(chuàng)新培訓(xùn)手段,建立培訓(xùn)考核機制,確保培訓(xùn)工作取得實效。
(1)配齊培訓(xùn)教材。針對不同培訓(xùn)對象配備相應(yīng)培訓(xùn)教材。如新員工培訓(xùn)、安全常識培訓(xùn)、本安體系基礎(chǔ)知識和專業(yè)技能培訓(xùn)教材等,可分類別、分專業(yè)進(jìn)行編制或收集。
(2)充實師資力量。選拔建立講師隊伍,形成相對固定的專業(yè)化培訓(xùn)團隊負(fù)責(zé)安全培訓(xùn)工作,開展常態(tài)化、系統(tǒng)性的安全培訓(xùn)。
(3)抓好質(zhì)量關(guān)。針對不同的崗位開展不同內(nèi)容的培訓(xùn),改變目前“培訓(xùn)只是把全部內(nèi)容念一遍,考試只是發(fā)下試卷抄一遍”的現(xiàn)象。
(4)實施嚴(yán)格考核。嚴(yán)格開展培訓(xùn)后的考核工作,考核題目要有針對性,與培訓(xùn)內(nèi)容高度統(tǒng)一,避免使用通用類考試題,使考試流于形式。如建立考試題庫供分類隨機抽取,實行教考分離等。
(5)豐富培訓(xùn)方法。如傳統(tǒng)面授、視頻會議、網(wǎng)絡(luò)系統(tǒng)、模塊化、圖像化、實操化培訓(xùn)等。
(6)做好培訓(xùn)考核。對培訓(xùn)工作的開展情況及效果進(jìn)行考核,推動礦“三級”培訓(xùn)的良性運行。
(三)加強設(shè)備管理,提高設(shè)備設(shè)施的安全可靠性。
要按照安全風(fēng)險預(yù)控的要求,從設(shè)計、設(shè)備配套過程中嚴(yán)格把關(guān),增加科技含量,提高設(shè)備的安全可靠度。
1.加強設(shè)備檢修、維護(hù),提高設(shè)備完好率。對存在缺陷的在用設(shè)備、設(shè)施要建立臺賬,有計劃地開展使用中消缺和大、項修時消缺,為員工規(guī)范作業(yè)提供硬件保障。
2.對風(fēng)險高的設(shè)備和工藝,開展針對性的小改小革、流程改造、科技創(chuàng)新及安全產(chǎn)品替代等活動,降低操作風(fēng)險。如開展自主創(chuàng)新性改革活動、借鑒其他單位亮點工程等。
(四)改善作業(yè)環(huán)境,為安全生產(chǎn)提供良好的空間保障。
要努力為員工創(chuàng)造便捷的作業(yè)環(huán)境和空間,使員工在安全的環(huán)境中作業(yè)。如按規(guī)定距離設(shè)置皮帶過橋、安全出口保持暢通等。要從粉塵和噪音治理、安全防護(hù)、噪音照明和人機工程學(xué)等方面落實持續(xù)改進(jìn)的具體目標(biāo)和措施,并按計劃執(zhí)行。
(五)改進(jìn)管理方法,全方位遏制員工不安全行為的發(fā)生。
1.各單位要有效開展不安全行為管理分析,分析高發(fā)不安全行為的類型、人群、時段等,制定針對性的管控措施,明確重點管控對象。同時,要積極探索不安全行為發(fā)生的客觀因素和主觀原因,從“人”、“機”“環(huán)”、“管”查找管理漏洞和缺陷,不斷強化管控方案。
2.機關(guān)各職能部門要從定編定員、設(shè)備及備件配置、工程設(shè)計等
方面做好支持和服務(wù)工作,為基層單位的安全生產(chǎn)創(chuàng)造條件。
3.基層單位要查找由于設(shè)備缺陷、作業(yè)空間受限、檢修或作業(yè)時設(shè)施不完善、防護(hù)用品不齊備等因素引發(fā)不安全行為的作業(yè)活動,從管理上進(jìn)行消缺和改進(jìn),消除“不違章不能干”的錯誤觀念。
4.安管部要把員工不安全行為管理納入業(yè)務(wù)保安職責(zé),定期對中心不安全行為人員數(shù)據(jù)庫中的行為表現(xiàn)進(jìn)行分析,查找各級人員在不安全行為治理工作中的不足,進(jìn)行有針對性地改進(jìn)。
5.經(jīng)營部要建立全中心特種作業(yè)人員數(shù)據(jù)庫,動態(tài)掌握各單位特種作業(yè)人員持證情況,做到辦證、證件復(fù)審、換證超前安排,確保符合法定要求。
6.各基層單位要大力推行標(biāo)準(zhǔn)化作業(yè)流程,合理、均衡布置工作任務(wù),做到人崗匹配,防止搶時間、趕進(jìn)度而發(fā)生不安全行為。同時,要配備完好、有效的安全防護(hù)用品和工器具,把好最后一道防線。
(六)正向激勵、營造安全氛圍。
1.?加強廠務(wù)公開,員工工資、福利待遇、晉級等要保證公平、合理,不徇私情。
2.?各級領(lǐng)導(dǎo)和組織要及時掌握員工的思想動態(tài),切實關(guān)心職工生活,積極采取交流和談心等方式化解各類矛盾,解決職工的后顧之憂,使作業(yè)人員注意力集中,避免員工帶情緒上崗而發(fā)生不安全行為。
3.?強化后勤保障工作,使員工休息充分、精力充沛。如將生產(chǎn)單位同班的人員盡可能調(diào)整到一個宿舍,使員工得到充分休息;保證食堂的飯菜質(zhì)量;為中夜班員工配備咖啡等。
4.?開展形式多樣的安全文化活動,形成良好安全氛圍。如:
(1)舉辦事故案例宣講活動。以身邊的事故或未遂事故為切入點,通過員工自己講解,加深記憶,深刻吸取事故教訓(xùn)。
(2)開展“創(chuàng)建無不安全行為車間、班組”活動。對創(chuàng)建無不安全行為車間、班組成功的車間第一責(zé)任人、班組長,分別在績效考核中給予獎勵加分。同時,對創(chuàng)建成功的區(qū)隊分別按管理難易程度給予獎勵。
(3)調(diào)動家屬,協(xié)管安全。對不安全行為達(dá)到重大風(fēng)險等級,且家屬在礦區(qū)的不安全行為人員,通過家屬協(xié)管員以“違章告知書”的形式送到家屬手中,對不安全行為可能造成的后果進(jìn)行說明。通過舉辦寫安全家書、親情安全寄語等活動,降低不安全行為發(fā)生率。
(七)提高本安信息系統(tǒng)數(shù)據(jù)質(zhì)量,積累安全管控有效數(shù)據(jù)。
1.本安信息系統(tǒng)選擇項錄入
(1)檢查日期、班次一欄中,日期、班次選擇必須與現(xiàn)場查處時間一致,錄入日期為自動生成,根據(jù)本安信息系統(tǒng)要求,必須自查處不安全行為之時起24小時內(nèi)錄入。
(2)不安全行為一欄為選擇不安全行為認(rèn)定標(biāo)準(zhǔn)項,系統(tǒng)具有模糊查詢功能,但不得只靠模糊查詢選擇標(biāo)準(zhǔn),要在全面熟悉系統(tǒng)中人員不安全信息數(shù)據(jù)庫的基礎(chǔ)上,認(rèn)真對照選擇。
(3)負(fù)責(zé)單位、責(zé)任區(qū)隊必須是當(dāng)事人所在單位和車間。不得隨意選擇,在查處當(dāng)事人時,必須核實清楚。
(4)監(jiān)管單位和監(jiān)管責(zé)任人的認(rèn)定,要嚴(yán)格執(zhí)行《神華巴彥淖爾公司安全生產(chǎn)管理獎懲辦法》有關(guān)規(guī)定。
(5)是否處罰欄為可選項,處罰標(biāo)準(zhǔn)執(zhí)行《神華巴彥淖爾公司安全生產(chǎn)管理獎懲辦法》,不得隨意改變。
(6)如果系統(tǒng)中找不到責(zé)任單位或當(dāng)事人的名字時(造成系統(tǒng)中人員缺失的原因是由于公司人力資源信息系統(tǒng)不能及時更新和不包括勞務(wù)用工所致),可手工記錄,并責(zé)成所在單位及時補充數(shù)據(jù)后錄入,不得加于他人。
2.本安信息系統(tǒng)鍵入項的錄入
人員不安全行為詳細(xì)描述一欄內(nèi),需填寫當(dāng)事人不安全行為的具體表現(xiàn),即在某某地點發(fā)生什么不安全行為,具體要注意以下幾個方面:
(1)選擇項中已有的內(nèi)容,不需重復(fù)鍵入。如:日期、班次、當(dāng)事人姓名等。
(2)選擇標(biāo)準(zhǔn)時,標(biāo)準(zhǔn)會自動復(fù)制至人員不安全行為詳細(xì)描述一欄內(nèi),鍵入內(nèi)容時方便在此基礎(chǔ)上修改,不得以標(biāo)準(zhǔn)代替詳細(xì)描述。
(3)人員不安全行為詳細(xì)描述中,僅限于當(dāng)事人本人。
(4)人員不安全行為詳細(xì)描述中,只能說明當(dāng)事人的一種行為,如有兩種或以上不安全行為時,要分兩次錄入。
(5)負(fù)責(zé)單位處罰金額一欄,為非必填項,若要鍵入數(shù)據(jù),必須依據(jù)現(xiàn)行處罰標(biāo)準(zhǔn)執(zhí)行,不得隨意填寫金額數(shù)據(jù)。
(6)矯正意見一欄內(nèi),所提出的意見有針對性,要具體。
三、不安全行為監(jiān)督與考核
(一)明確責(zé)任,“九位一體”開展不安全行為監(jiān)督和查處。
1.基層單位要建立“九位一體”的安全管理體系,明確不安全行為職責(zé)分工、工作目標(biāo)和具體任務(wù)。要完善細(xì)化不安全行為管理制度,落實各級管理人員查處不安全行為的責(zé)任。要明確對隱患和不安全行為的查處,不僅僅是安全管理部門的責(zé)任。
2.中心各業(yè)務(wù)保安部門在現(xiàn)場實施監(jiān)督檢查過程中,要嚴(yán)厲糾察不安全行為,同時錄入本安信息系統(tǒng)建立不安全行為信息檔案。
3.要公開、公正地進(jìn)行不安全行為查處,保證當(dāng)事人的知情權(quán),避免出現(xiàn)為完成查處指標(biāo)而弄虛做假。
4.要多措并舉,加強單崗作業(yè)區(qū)域和人員的巡查工作。如實行單崗作業(yè)人員定時向帶班領(lǐng)導(dǎo)長匯報制度,帶班班組要隨時抽查崗位作業(yè)人員工作情況,避免發(fā)生睡崗及其它違章行為;實行單崗作業(yè)人員輪崗制。
5.要重點控制中夜班人員睡崗問題。采取措施減少崗位工的空閑時間、降低其嗜睡程度,減少、控制不安全行為的發(fā)生。如加大巡回檢查力度;加強崗位點文明衛(wèi)生管理,要求環(huán)境整潔、設(shè)備衛(wèi)生、標(biāo)識清晰,讓崗位工行動起來,避免出現(xiàn)睡崗。
6.發(fā)揮帶班車間主任、班長作用,對不安全行為發(fā)生的關(guān)鍵作業(yè)工序和重要時間段,做好重點跟蹤管控。
(二)加強掛鉤考核,控制不安全行為發(fā)生。
1.基層單位要把員工不安全行為納入員工績效考核,要建立檔案,作為當(dāng)事人評先選優(yōu)、晉級、勞務(wù)工轉(zhuǎn)正等工作的重要依據(jù),并與班組、車間、廠站及分管領(lǐng)導(dǎo)關(guān)聯(lián),從個人切身利益激發(fā)員工消除和查處不安全行為的主動性和積極性。
2.基層單位要將不安全行為納入車間、個人績效考核中,根據(jù)已發(fā)生的不安全行為的風(fēng)險等級,對應(yīng)扣除考核分?jǐn)?shù),對不安全行為當(dāng)事人進(jìn)行考核。同時,將本班發(fā)生的不安全行為與班組長績效掛鉤,全月發(fā)生的不安全行為與所在單位一把手績效掛鉤。嚴(yán)格兌現(xiàn)獎罰,實現(xiàn)車間、班組對不安全行為的管理由“被動管理”向“主動管理”的轉(zhuǎn)變。
3.設(shè)立不安全行為曝光亮相臺,通過對不安全行為人員當(dāng)日曝光與月底集中公示的方式來警示員工;設(shè)置不安全行為舉報箱,舉報不安全行為發(fā)生人員,形成全員監(jiān)管機制。
4.利用本安信息系統(tǒng),對員工不安全行為進(jìn)行積分管理,對積分較高的高危人群加大考核兌現(xiàn)力度。
5嚴(yán)格執(zhí)行《神華巴彥淖爾公司安全生產(chǎn)獎懲實施細(xì)則》等相關(guān)制度,對不安全行為人員兌現(xiàn)獎懲。
四、不安全行為矯正管理
要做好不安全行為人員的矯正工作。對所有查出有不安全行為的人員,適時地采取恰當(dāng)?shù)姆椒ê痛胧┻M(jìn)行行為矯正,根據(jù)行為風(fēng)險等級高低及行為嚴(yán)重程度分層次、有針對性開展引導(dǎo)、幫教和培訓(xùn)工作,避免重復(fù)發(fā)生不安全行為。
(一)發(fā)現(xiàn)不安全行為后,必須進(jìn)行現(xiàn)場糾正。同時,要根據(jù)不安全行為等級,適時組織矯正培訓(xùn);對發(fā)生重大風(fēng)險等級不安全行為的員工,由單位安全分管領(lǐng)導(dǎo)親自進(jìn)行轉(zhuǎn)化幫教,以提高培訓(xùn)教育效果;對于重復(fù)發(fā)生不安全行為的人員,要強制待崗培訓(xùn)。
(二)基層單位要每季度召開不安全行為管理座談會,及時了解不安全行為人員的思想動態(tài),深刻剖析不安全行為發(fā)生的原因,制定具體的管控措施。
(三)要把不安全行為矯正與員工業(yè)務(wù)培訓(xùn)相結(jié)合,通過員工技能的提升,減少發(fā)生不安全行為的可能性。
(四)各單位要互相借鑒不安全行為矯正中好的做法,開展多種形式的員工不安全行為矯正工作。如:
1.執(zhí)行不安全行為人員積分管理辦法,按照積分多少進(jìn)行不同類型的矯正工作。
2.采用談心引導(dǎo)、平等交流等形式,糾正員工對安全的錯誤認(rèn)識,保證員工從根本上認(rèn)知不安全行為。
3.給不安全行為員工觀看不安全行為動漫和典型事故案例警示員工。
4.舉辦工傷人員和不安全行為人員“現(xiàn)身說法”教育活動,警示其他員工。
篇3:信息系統(tǒng)開發(fā)安全管控辦法
1?范圍
本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)開發(fā)階段、測試階段、試運行階段和上線階段的管理內(nèi)容與要求。
本標(biāo)準(zhǔn)適用于公司自主開發(fā)及委外開發(fā)信息系統(tǒng)的管理。
2?規(guī)范性引用文件
下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注明日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)。凡是不注明日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
國務(wù)院令(第339號)計算機軟件保護(hù)條例
國務(wù)院令(第147號)中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例
Q/JYG/GL-SB-16-2013.a《投資項目管理辦法》
3?術(shù)語和定義
信息系統(tǒng):是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。
信息系統(tǒng)一般由三部分組成:硬件系統(tǒng)(計算機硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng))、系統(tǒng)軟件(計算機系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件)、應(yīng)用軟件(包括由其處理、存儲的信息)。
4?職責(zé)
4.1?****部門
4.1.1?負(fù)責(zé)公司信息系統(tǒng)開發(fā)各階段文檔的審批工作;
4.1.2?負(fù)責(zé)組織公司新開發(fā)信息系統(tǒng)的測試工作;
4.1.3?負(fù)責(zé)公司信息系統(tǒng)上線與終止的驗收工作。
4.2?卷煙廠計算機中心
4.2.1?負(fù)責(zé)本廠信息系統(tǒng)開發(fā)各階段文檔的審批工作;
4.2.2?負(fù)責(zé)組織本廠新開發(fā)信息系統(tǒng)的測試工作;
4.2.3?負(fù)責(zé)本廠信息系統(tǒng)上線與終止的驗收工作。
4.3?各實施部門或單位
4.3.1?負(fù)責(zé)本單位信息系統(tǒng)開發(fā)過程中的需求提出、測試及驗收等工作。
5?管理內(nèi)容與要求
5.1?總體要求
5.1.1?信息系統(tǒng)開發(fā)須遵循《計算機軟件保護(hù)條例》、《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》。
5.1.2?信息系統(tǒng)開發(fā)過程中項目單位(承接信息系統(tǒng)開發(fā)的單位)須提交相應(yīng)的安全需求、安全設(shè)計、安全測試等資料并經(jīng)過****部門審批,否則不予立項或驗收。
5.1.3?信息系統(tǒng)開發(fā)范圍的變更(增加或縮減)、新技術(shù)的使用、新產(chǎn)品或新版本的采用、新的開發(fā)工具和環(huán)境須經(jīng)過****部門審批。
5.2?信息系統(tǒng)開發(fā)生命周期管理要求
5.2.1?系統(tǒng)需求收集和分析階段
a)?技術(shù)可行性分析
根據(jù)業(yè)務(wù)上提出的需求,信息系統(tǒng)歸口管理部門應(yīng)從技術(shù)開發(fā)的角度分析是否現(xiàn)有的技術(shù)手段和技術(shù)能力是否可以達(dá)到業(yè)務(wù)上要求的系統(tǒng)功能,主要包括:人員技術(shù)能力分析(指公司內(nèi)的系統(tǒng)開發(fā)隊伍是否有足夠的軟件開發(fā)的技術(shù)能力來完成系統(tǒng)開發(fā)的任務(wù),或第三方外包的開發(fā)公司是否具有開發(fā)應(yīng)用系統(tǒng)的技術(shù)能力)、計算機軟件和硬件分析(指公司現(xiàn)有的軟件和硬件的性能是否足夠滿足開發(fā)相應(yīng)的系統(tǒng)的要求)、管理能力分析(指現(xiàn)有的技術(shù)開發(fā)管理制度和管理流程是否成熟且標(biāo)準(zhǔn)化,是否足夠系統(tǒng)開發(fā)的要求)。
b)?需求可行性分析:信息系統(tǒng)歸口管理部門應(yīng)對該申請部門所提需求進(jìn)行可行性分析,以判斷需求是否明確,是否符合實際,是否能在一定的時間范圍實現(xiàn)。
c)?經(jīng)濟可行性分析:信息系統(tǒng)歸口管理部門應(yīng)根據(jù)業(yè)務(wù)需求和技術(shù)手段的分析,確認(rèn)投資的數(shù)額在可控制和可承受的范圍內(nèi)。
d)?安全可行性分析:信息系統(tǒng)歸口管理部門應(yīng)明確該系統(tǒng)的安全建設(shè)范圍和內(nèi)容,設(shè)定安全性指標(biāo)要求,合理判定該信息系統(tǒng)是否符合公司的網(wǎng)絡(luò)及信息安全要求。
5.2.2?設(shè)計階段安全管理
a)?單點訪問:任何用戶如果希望訪問應(yīng)用系統(tǒng)中的某一個部分,則必須通過統(tǒng)一且唯一的認(rèn)證授權(quán)方式以及流程。
b)?人員職責(zé)和權(quán)限的劃分:系統(tǒng)必須具有基于人員職責(zé)的用戶授權(quán)管理以確保每個用戶可以訪問到其權(quán)利范圍內(nèi)的應(yīng)用系統(tǒng)部分,也要確保每個用戶無法訪問其權(quán)限范圍以外的應(yīng)用系統(tǒng)部分。
c)?保護(hù)敏感系統(tǒng)的安全性:通過將應(yīng)用系統(tǒng)中敏感信息保存在服務(wù)器端以進(jìn)行集中的加密安全管理,確保客戶端系統(tǒng)本身并不能存儲任何信息敏感的數(shù)據(jù)。
d)?確保訪問層的安全性:系統(tǒng)在要確保系統(tǒng)模塊本身安全性的同時,還需考慮模塊與模塊之間的通訊的安全性。模塊與模塊之間的安全性包括:應(yīng)用系統(tǒng)內(nèi)部模塊之間的安全、應(yīng)用系統(tǒng)內(nèi)部模塊和外部模塊之間的安全性,如主機和客戶端之間通訊的安全性,服務(wù)器和服務(wù)器間通訊的安全性,本地系統(tǒng)和異地系統(tǒng)之間通訊的安全性。
e)?確保日志管理機制健全:要求建立可以根據(jù)情況自由設(shè)置的日志管理機制,即日志紀(jì)錄的范圍和詳細(xì)程度可以根據(jù)需求自行定制,且可實現(xiàn)在應(yīng)用系統(tǒng)使用過程中進(jìn)行日志的定制和記錄,并保留所有系統(tǒng)開發(fā)相關(guān)程序庫的更新審核紀(jì)錄。
f)?新系統(tǒng)的容量規(guī)劃:容量規(guī)劃是指確定系統(tǒng)的總體規(guī)模,性能和系統(tǒng)彈性。容量規(guī)劃應(yīng)充分考慮:系統(tǒng)的預(yù)期存儲容量和在給定的周期里面獲取生成和存儲的數(shù)據(jù)量;在線進(jìn)程的數(shù)量和估計可能的占用資料;系統(tǒng)和網(wǎng)絡(luò)的相應(yīng)時間和性能,即端對端系統(tǒng);系統(tǒng)彈性要求和設(shè)計使用率、峰值、槽值和平均值等;安全措施如加密解密數(shù)據(jù)對系統(tǒng)的影響等;7*24小時運作要求和可接受的系統(tǒng)宕機次數(shù)(維護(hù)或者設(shè)備更新導(dǎo)致的必須性宕機)。
5.2.3?開發(fā)階段安全管理
a)?通用要求
1)?輸入驗證:在客戶機/服務(wù)器環(huán)境下,系統(tǒng)需進(jìn)行服務(wù)端的驗證而禁止客戶端的驗證(如基于Javascript的驗證),并在字符有效性檢查之前設(shè)置邊界檢查驗證以及環(huán)境變量提取數(shù)據(jù)驗證。
2)?命名規(guī)范:規(guī)范變量、函數(shù)的命名;規(guī)范程序的書寫格式等。
3)?SQL語句:如果應(yīng)用程序需要連接后端數(shù)據(jù)庫,使用存儲過程而不能在代碼中使用SQL語句。
4)?注釋代碼:當(dāng)應(yīng)用程序在實際環(huán)境中開始應(yīng)用時,應(yīng)該刪除所有的注釋代碼。
5)?錯誤信息:所有為用戶顯示的錯誤信息不應(yīng)暴露任何關(guān)于系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的敏感信息。
6)?URL內(nèi)容:對于web應(yīng)用,不能在URL上暴露任何重要信息,如密碼、服務(wù)器名稱、IP地址或者文件系統(tǒng)路徑等。
b)?變更要求
1)?信息系統(tǒng)歸口管理部門應(yīng)對更改進(jìn)行嚴(yán)格的控制,在系統(tǒng)開發(fā)的每一個階段(可行性研究、需求分析、設(shè)計、編碼、測試、培訓(xùn)等)的每一個更改實施前經(jīng)過評審與授權(quán)。
2)?信息系統(tǒng)歸口管理部門應(yīng)當(dāng)建立更改控制審批程序,對更改的申請、評審、測試、批準(zhǔn)、更改的計劃的提出和實施提出明確要求并嚴(yán)格的實施,確保安全性與控制程序不被損害,確保任何的改動都是經(jīng)過審批的。
3)?更改的程序應(yīng)考慮以下方面:清晰確認(rèn)所有的需要更改的應(yīng)用系統(tǒng)、信息、數(shù)據(jù)庫和相關(guān)的硬件設(shè)備;清晰的確認(rèn)更改的原因(業(yè)務(wù)上的具體流程和具體的需求或開發(fā)上的需求);由授權(quán)的用戶提交更改的申請;保留相關(guān)的授權(quán)登記記錄;在正式的實施之前,更改的方案必須經(jīng)過評審并通過正式的批準(zhǔn);確保授權(quán)的用戶在實施之前確認(rèn)并接受更改的內(nèi)容;確保在實施的過程中,盡量的減少對現(xiàn)行的商務(wù)運作系統(tǒng)的影響;確保建立的文件系統(tǒng)在完成各項更改時得到修改,舊文件被很好的歸檔或處置;保證所有的應(yīng)用系統(tǒng)升級的版本的控制;確保所有的更改情求的審核跟蹤;確保用戶使用手冊作相應(yīng)的必要的更改;確保更改的實施選擇了適當(dāng)?shù)臅r機以確保更改的實施不會干擾正常的商務(wù)運作。
c)?版本控制要求
1)?程序清單:信息系統(tǒng)歸口管理部門應(yīng)在任何時候?qū)τ诔绦蚯鍐伪仨氝M(jìn)行嚴(yán)格的控制并且及時地進(jìn)行更新;對應(yīng)用系統(tǒng)開發(fā)源程序的打印的資料、電子版本或者是相關(guān)的報告都必須進(jìn)行控制,紙質(zhì)的文件應(yīng)當(dāng)保存在一個安全的環(huán)境下,如保險柜等,電子文檔則應(yīng)進(jìn)行一定的加密;
2)?版本升級控制:當(dāng)軟件的版本由于更新,修改等操作需要升級時,必須先向相關(guān)負(fù)責(zé)人員提交申請;信息系統(tǒng)歸口管理部門應(yīng)對升級的應(yīng)用系統(tǒng)進(jìn)行測試,確認(rèn)系統(tǒng)的各種安全特性;信息系統(tǒng)歸口管理部門應(yīng)確認(rèn)對應(yīng)用系統(tǒng)的版本升級,即確認(rèn)當(dāng)前的版本為最新版本,舊的版本需進(jìn)行歸檔,不得隨意丟棄或刪除;信息系統(tǒng)歸口管理部門應(yīng)制定相關(guān)的升級計劃,確保將系統(tǒng)升級對業(yè)務(wù)的影響降至最低。
d)?開發(fā)審計:信息系統(tǒng)歸口管理部門應(yīng)對開發(fā)日志及開發(fā)人員權(quán)限進(jìn)行每月審核。
5.2.4?測試階段安全管理
a)?測試前安全檢測:信息系統(tǒng)歸口管理部門應(yīng)組織開發(fā)人員進(jìn)行代碼審核,檢查、消除程序代碼潛在的安全漏洞。
b)?信息系統(tǒng)歸口管理部門應(yīng)設(shè)計詳細(xì)的測試計劃,測試范圍,測試方法和測試工具,應(yīng)充分考慮與其他系統(tǒng)的互操作性測試中對其他系統(tǒng)的影響,選擇適當(dāng)?shù)臅r間、方法。并對應(yīng)用系統(tǒng)存在的弱點威脅進(jìn)行安全檢查,如:假冒身份、惡意篡改、信息泄露、拒絕服務(wù)、特權(quán)提升等。
c)?信息系統(tǒng)歸口管理部門應(yīng)在測試系統(tǒng)功能正常運行的基礎(chǔ)上,還需測試系統(tǒng)的模塊和模塊之間、功能和功能之間的接口的正確性、負(fù)載能力及水平、系統(tǒng)承受壓力及峰值、測試環(huán)境等。
5.3?開發(fā)、測試及驗收過程安全指導(dǎo)規(guī)范
5.3.1?開發(fā)環(huán)境安全
a)?信息系統(tǒng)歸口管理部門應(yīng)對項目文檔、代碼的存儲進(jìn)行備份,以確保在發(fā)生意外時,可有效恢復(fù);
b)?信息系統(tǒng)歸口管理部門應(yīng)對項目文檔和代碼版本管理和訪問控制;
c)?信息系統(tǒng)歸口管理部門應(yīng)對用于開發(fā)的服務(wù)器、個人電腦的配置做好嚴(yán)格的安全防護(hù)措施。
5.3.2?文檔安全
a)?文檔內(nèi)容的安全:信息系統(tǒng)歸口管理部門應(yīng)對文檔內(nèi)容進(jìn)行以下幾個的規(guī)范:需求說明書中應(yīng)明確描述應(yīng)用系統(tǒng)的安全需求;設(shè)計說明書中應(yīng)有針對安全需求的設(shè)計,并進(jìn)行評審;在測試大綱或者測試方案中應(yīng)有安全性測試方案,并以此進(jìn)行安全性測試;開發(fā)各階段輸出的文檔應(yīng)對安全要求的執(zhí)行情況進(jìn)行描述。
b)?文檔自身的安全:信息系統(tǒng)歸口管理部門應(yīng)對文檔設(shè)定密級及讀者范圍,以限定其訪問范圍,文檔的訪問控制應(yīng)有相應(yīng)的授權(quán)機制。
5.3.3?源代碼管理
a)?信息系統(tǒng)歸口管理部門應(yīng)根據(jù)協(xié)議執(zhí)行源代碼的管理,源代碼管理應(yīng)保存所有的歷史版本,以便查閱。
b)?信息系統(tǒng)歸口管理部門應(yīng)對所有的程序源代碼及設(shè)置支持文件等打包進(jìn)行安全檢查并存檔。
c)?對于委托第三方開發(fā)的應(yīng)用系統(tǒng)(或功能、模塊等)的代碼文件或設(shè)置文件,在需要對其進(jìn)行修改時,必須經(jīng)過投資裝備部批準(zhǔn)后,才能交給修改人進(jìn)行修改。修改完畢需通過安全檢查才可以提交,通過檢查后的源代碼(或設(shè)置文件)提交至****部門,由專人進(jìn)行更新和歸檔。
d)?其他源代碼規(guī)范:應(yīng)用系統(tǒng)需對函數(shù)入口參數(shù)的合法性和準(zhǔn)確性進(jìn)行檢查;應(yīng)嚴(yán)格遵循Fail-Safe原則,即當(dāng)發(fā)生意外事故時,必須能自動切換到安全的保護(hù)模式。(當(dāng)應(yīng)用系統(tǒng)的登錄驗證機制不能正常運行時,系統(tǒng)必須自動拒絕所有登錄請求,而非接受所有登錄請求);應(yīng)禁止接受不安全的登錄密碼,并允許系統(tǒng)管理員強制密碼設(shè)定規(guī)則;所有缺省安全設(shè)置必須能同時滿足系統(tǒng)正常運行和系統(tǒng)安全兩方面的要求;在所有警告或提示對話窗口中應(yīng)使用準(zhǔn)確、明了的描述性語言,并提供有關(guān)幫助鏈接;在接受用戶輸入時,必須有數(shù)據(jù)合法性檢查,并嚴(yán)格規(guī)定輸入數(shù)據(jù)的字符長度;在輸入密碼等敏感信息時,使用特殊符號來代替輸入的字符;應(yīng)禁止使用未經(jīng)授權(quán)和驗證的代碼,在使用第三方代碼時,應(yīng)對代碼安全性進(jìn)行評估和測試;如密碼由應(yīng)用系統(tǒng)生成,則必須保證有足夠的長度和隨機性,如密碼由用戶生成,則應(yīng)用系統(tǒng)應(yīng)有密碼安全策略來拒絕接受“不安全的”密碼;應(yīng)禁止以明文方式傳遞用戶密碼;應(yīng)測試用的“后門”,應(yīng)在發(fā)布版中去除;應(yīng)注釋代碼中無用的代碼;應(yīng)規(guī)范代碼的格式,并對代碼進(jìn)行版本控制,確保代碼的可用性;應(yīng)禁止在程序中添加隱藏“惡意”的代碼,防止與應(yīng)用系統(tǒng)相關(guān)的程序員對系統(tǒng)的非授權(quán)修改。
5.3.4?需求分析
a)?信息系統(tǒng)歸口管理部門應(yīng)在需求分析階段確定應(yīng)用系統(tǒng)的安全要求,并對其進(jìn)行詳細(xì)描述,制定項目安全需求說明書,并指導(dǎo)整個項目設(shè)計、實現(xiàn)、測試環(huán)節(jié)。
b)?在需求分析階段應(yīng)明確以下與安全相關(guān)的需求:用戶數(shù)、終端數(shù)、在線并發(fā)數(shù);用戶角色的劃分和權(quán)限的分配;應(yīng)用系統(tǒng)性能要求;應(yīng)用系統(tǒng)可用性要求;現(xiàn)有網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)性能要求;數(shù)據(jù)量估計、數(shù)據(jù)存儲方式和周期;系統(tǒng)安全級別和數(shù)據(jù)保密性要求;其他對網(wǎng)絡(luò)、存儲、服務(wù)器、終端、操作系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)等方面的安全需求。
5.3.5?應(yīng)用安全功能設(shè)計
a)?認(rèn)證失敗處理:連續(xù)失敗登錄后鎖定該帳號,帳號鎖定后可由系統(tǒng)管理員解鎖,也可以在一段時間后自動解鎖,并通知用戶認(rèn)證失敗。
b)?授權(quán):應(yīng)用系統(tǒng)應(yīng)包含用戶權(quán)限分配和管理功能設(shè)計。如:系統(tǒng)讀、寫、執(zhí)行權(quán)限設(shè)計;系統(tǒng)查看、配置、修改、刪除、登錄、運行等權(quán)限設(shè)計;數(shù)據(jù)訪問范圍的角色設(shè)計;應(yīng)用功能模塊使用權(quán)限的設(shè)計;限制用戶對系統(tǒng)級資源的訪問,系統(tǒng)級的資源包括:文件、文件夾、注冊表項、ActiveDirectory對象、數(shù)據(jù)庫對象、事件日志的系統(tǒng)資源;程序應(yīng)使用盡可能小的權(quán)限;數(shù)據(jù)庫訪問應(yīng)該使用低權(quán)限數(shù)據(jù)庫賬號(如選擇,刪除,更新,插入等)通過參數(shù)化的存儲過程來訪問;應(yīng)用啟動進(jìn)程的權(quán)限盡可能小;應(yīng)用使用的系統(tǒng)賬號(運行環(huán)境中的)應(yīng)該有盡可能低的權(quán)限。應(yīng)避免“Administrator”,“root”,“sa”,“sysman”,“Supervisor”或其它所有的特權(quán)用戶被用來運行應(yīng)用系統(tǒng)或連接到網(wǎng)站服務(wù)器,數(shù)據(jù)庫或中間件。
c)?輸入輸出驗證:為了防止攻擊者繞過客戶端直接驗證,在服務(wù)器端進(jìn)行驗證時,必須使用服務(wù)器端代碼執(zhí)行驗證;按照已知的有效類型、模式和范圍驗證數(shù)據(jù);應(yīng)限制用戶輸入并驗證數(shù)據(jù)的類型、長度、格式和范圍。
d)?數(shù)據(jù)加密:應(yīng)用系統(tǒng)應(yīng)使用公開并且經(jīng)過驗證和測試的加密方法;應(yīng)避免向算法傳遞明文數(shù)據(jù),并避免修改存儲該數(shù)據(jù);應(yīng)確保所使用的密鑰長度和密鑰空間能提供足夠的安全級別;對于大量數(shù)據(jù)加密,應(yīng)使用對稱的加密,提高加密的速度并減少資源消耗;對于少量存儲的敏感數(shù)據(jù)使用非對稱加密,確保數(shù)據(jù)的安全性;應(yīng)對密鑰的存儲進(jìn)行嚴(yán)格保護(hù)。
5.3.6?測試安全
a)?信息系統(tǒng)測試人員需明確記錄測試目的、安全要點、測試參與人員、測試流程,并編寫測試大綱,包括對應(yīng)用系統(tǒng)的帳號、口令的安全測試;
b)?信息系統(tǒng)測試人員需對應(yīng)用系統(tǒng)的安全功能點進(jìn)行測試,確保安全功能的有效性、正確性;
c)?信息系統(tǒng)測試人員需對對應(yīng)用系統(tǒng)抵抗攻擊的能力進(jìn)行測試;
d)?信息系統(tǒng)測試人員需對數(shù)據(jù)傳輸?shù)陌踩浴⑽锢憝h(huán)境等進(jìn)行測試,測試數(shù)據(jù)如選擇真實數(shù)據(jù),應(yīng)限定測試的人員,并在測試完成后全部刪除和詳細(xì)記錄測試過程中發(fā)現(xiàn)的問題。
5.3.7?系統(tǒng)部署安全
a)?信息系統(tǒng)歸口管理部門應(yīng)規(guī)劃應(yīng)用系統(tǒng)部署需要的資源需求:應(yīng)用系統(tǒng)部署的軟件、硬件的資源要求;應(yīng)用系統(tǒng)部署的網(wǎng)絡(luò)要求;物理鏈路(光纖、五類線)資源;網(wǎng)絡(luò)設(shè)備資源(HUB、Switch)、上聯(lián)網(wǎng)絡(luò)節(jié)點端口;IP地址;上聯(lián)網(wǎng)絡(luò)帶寬;應(yīng)用系統(tǒng)部署的有關(guān)部門、人員要求;其它資源的詳細(xì)清單。
b)?信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的環(huán)境安全:確保應(yīng)用系統(tǒng)部署的硬件安全、操作系統(tǒng)安全;確保應(yīng)用系統(tǒng)部署的帳號、口令安全;確保符合應(yīng)用系統(tǒng)部署的安全策略要求(如訪問控制);確保應(yīng)用系統(tǒng)部署的物理環(huán)境安全(如電力);應(yīng)了解脆弱的網(wǎng)絡(luò)或者主機的配置缺陷。
c)?信息系統(tǒng)歸口管理部門應(yīng)確保應(yīng)用系統(tǒng)部署的過程安全:確保應(yīng)用系統(tǒng)部署過程的操作安全;對應(yīng)用系統(tǒng)部署所在的系統(tǒng)進(jìn)行安全備份;只對部署所需要的帳號提供最小的訪問權(quán)限,防止進(jìn)行其它與部署無關(guān)的活動;部署的過程應(yīng)有業(yè)務(wù)人員在場,對部署的操作需要經(jīng)業(yè)務(wù)人員的確認(rèn);對部署的操作過程應(yīng)進(jìn)行記錄;應(yīng)確保應(yīng)用系統(tǒng)部署過程的安裝安全。
d)?應(yīng)用系統(tǒng)部署的其它安全問題:記錄應(yīng)用系統(tǒng)部署的詳細(xì)過程;應(yīng)用系統(tǒng)部署的時間進(jìn)度安排;分析應(yīng)用系統(tǒng)部署可能存在的風(fēng)險,并制定風(fēng)險規(guī)避方案;明確所有參與人員的工作職責(zé);與所有參與人員簽訂保密協(xié)議,禁止泄漏部署有關(guān)的重要內(nèi)容。
e)?信息系統(tǒng)歸口管理部門需明確應(yīng)用系統(tǒng)部署后的升級驗收標(biāo)準(zhǔn),并在驗收之前做系統(tǒng)測試(如系統(tǒng)聯(lián)通性測試),管理員應(yīng)確保應(yīng)用系統(tǒng)的驗收標(biāo)準(zhǔn)和要求得到清楚地定義、記錄和測試。管理員還應(yīng)考慮以下的管理措施:性能和計算機容量需求;錯誤恢復(fù)和重新啟動程序及意外事故的處理計劃;有效的人工操作程序;業(yè)務(wù)連續(xù)性安排;證明新應(yīng)用系統(tǒng)的安裝不會對現(xiàn)有系統(tǒng)有負(fù)面影響,尤其是在高峰處理時段;證明已經(jīng)考慮到新系統(tǒng)對該組織整體安全性的影響;應(yīng)用系統(tǒng)的操作使用手冊;安排人員培訓(xùn)。
5.3.8?日志設(shè)計
a)?日志的內(nèi)容應(yīng)盡可能詳細(xì)、準(zhǔn)確,但應(yīng)平衡性能要求。應(yīng)為日志文件設(shè)計不同的詳細(xì)程度供系統(tǒng)管理員或用戶選擇。
b)?為日志文件設(shè)計輸出界面,允許以不同的格式輸出日志文件或允許直接輸出日志文件到數(shù)據(jù)庫。
c)?日志文件中的每條數(shù)據(jù)記錄應(yīng)要求有日期和時間(精確到秒)。
d)?應(yīng)利用操作系統(tǒng)或其他監(jiān)控系統(tǒng)的日志文件對應(yīng)用系統(tǒng)在發(fā)生異常時提供日志記錄。