安全運營
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安全運營范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
安全運營范文第1篇
一、供應鏈概念的再認識
不管我們是否意識到,人類一直不自覺地存在于供應的鏈條中,供應的鏈條本身就是客觀存在,實際上,把這種鏈條叫做“供應鏈”也未嘗不可。但是,傳統的鏈條是由雙邊關系延伸所形成,人們只從和我相聯結的這種雙邊關系來考慮問題,而不可能從上下延伸所形成的所有雙邊關系來考慮問題.優化只局限在雙邊問題,最精明的企業家,也許會在雙邊基礎上向上下適當的擴展,但是,沒有必要也沒有可能顧及到上下的盡頭,因此,整個鏈條不處在可控的范圍之中。
國家標準中,對供應鏈有一個明確的定義:“生產及流通過程中,涉及將產品和服務提供給最終用戶活動的上游與下游企業,所形成的網鏈結構。”雖然給出了標準的定義,但是這不等于人們對供應鏈就有了明確的、正確認識。道理很簡單,按照國家標準的定義中所表達的若干元素,供應鏈的概念實在太寬泛了,因為世界上的所有角落,都有最終用戶,都有上游與下游企業,都有不管是混亂還是有序的網鏈結構,都有精心規劃的、有效管理的和根本不在控制狀態的這種結構。按照這個定義,供應鏈自古就有之。因此這個定義無法反映現代社會所倡導供應鏈的本質意義,一句話,這個定義完全沒有反映出供應鏈管理的重要內涵。如果能對最后一句話:“所形成的網鏈結構”做如下的修改,“經過整合和信息聯結所形成的網鏈結構”,這個概念的時代性就會更明顯。
二、供應鏈環境風險分析
WTO時代的到來,供應鏈環境已經初步形成,在供應鏈環境下,市場競爭的格局發生了根本變化,目前的競爭不再是企業和企業之間的競爭,而是供應鏈和供應鏈之間的競爭,市場的參與者也發生根本變化,供應鏈專家克里斯多夫的精辟表述:“未來的市場上將只有供應鏈而沒有企業”。在供應鏈環境下,企業的雙邊關系不再是主要的關系,供應鏈與供應鏈之間的關系將成為市場的主體關系。單個的企業要生存要發展將別無選擇的成為某個供應鏈中的一個單元,不管是否愿意它必須跟供應鏈中的其他企業進行協作。一個供應鏈網絡也許包含幾十個乃至幾百個企業,單個企業間資產屬有權、企業文化、技術水平、管理水平和政治經濟環境千差萬別,更重要的是企業的價值取向的本位化,將使供應鏈網絡在運作過程中將會出現不協調的音符,甚至出現一定的安全隱患和危機因素。能否加強對供應鏈運行中風險的認識和防范,是關系到供應鏈和其中的全部企業生死存亡的大問題。如果認為按照供應鏈的思維實施了供應鏈管理模式就能高枕無憂的享受供應鏈的美餐,就把供應鏈管理看得太簡單了。供應鏈風險無處不在,它是一種潛在的威脅,會利用供應鏈系統的脆弱性,對供應鏈系統造成破壞,給上下游企業以及整個供應鏈帶來損害和損失。供應鏈上的各環節是環環相扣的,彼此依賴,相互影響,任何一個環節出現問題,都可能波及其他環節,影響整個供應鏈的正常運作。了解并識別這些可能的風險因素,探索其引發的因素和發展的規律,對參與供應鏈的企業來說,是非常必要的。供應鏈風險通常來自于自然環境和社會環境以下兩個方面。
1.自然環境風險
風險主要有水災、火災、地震、閃電、雷擊、風暴、隕石、冰雪損害、火山爆發、山體滑坡、外界物體倒塌、空中運行物體墜落等來自大自然的破壞,時刻威脅著供應鏈的安全。飛利浦公司的大火就是因為大自然的破壞引起的:暴風雨中的雷電引起電壓增高,陡然升高的電壓產生電火花點燃了車間的大火。又如,2002年的非典,引起全球的震動。今年在東南亞流行的禽流感對食品供應鏈的打擊也是致命的,人類目前普遍面臨著環境惡化的問題,天災爆發的頻率也越來越高,作為一種不可抗力,它將成為供應鏈的致命殺手。
2.社會環境風險
(1)獨家供應商的風險。采用獨家供應商政策存在巨大風險,一個環節出現問題,整個鏈條就會崩潰。
(2)信息傳遞的風險。當供應鏈規模日益擴大,結構日趨繁雜時,信息傳遞延遲以及信息傳遞不準確都會增加,并使整個供應鏈因此陷入困境。
(3)物流配送的風險。生產過程和運輸過程中的不穩定將會造成物流配送的延遲,并導致供應物流的中斷,從而影響到供應鏈下游企業的運營。
(4)財務狀況的風險。某些企業在生產運營中可能會占用上下游企業大量的資金,如果其財務狀況不夠穩健,將隨時導致對整條供應鏈的致命打擊。
(5)市場波動的風險。影響銷售的市場因素是多方面的,一旦出現不可預料的不利因素就可能導致銷售下滑,市場出現逆轉,整個供應鏈可能立即崩潰。
(6)合作伙伴的風險。供應鏈中各企業之間在技術水平、管理水平、人員素質、企業文化、職業道德等方面都存在著差異,這些差異都影響著供應鏈的整體競爭能力和獲利能力,并決定著供應鏈的穩定與否。
(7)利潤分配的風險。供應鏈中的企業是一個利益共同體,在供應鏈整體利潤一定的條件下,某些企業利潤的提高會導致其他企業利潤的降低,某些企業獲利水平過低將導致消極合作甚至退出供應鏈,使供應鏈崩潰。
因此,企業要重視供應鏈風險控制,當危機發生時以免被動挨打坐以待斃,使企業陷入絕境,并直接或間接地影響到上、下游企業以及整個供應鏈的安全運行,造成全局性危害。
參考文獻:
[1]陳榮秋馬士華:生產與運作管理.北京:高等教育出版社,2002
[2]馬士華:林勇供應鏈管理.北京:高等教育出版社,2002
[3]企業X再造.(美)錢匹.北京:中信出版社,2002
[4]約翰.哈格爾三世:企業借力增長之道.哈佛商業評論,2003~1
安全運營范文第2篇
鐵路運營安全事故罪,是指鐵路職工違反規章制度,致使發生鐵路運營安全事故,造成嚴重后果的行為。
(一)客體要件
本罪侵犯的客體是鐵路運輸的正常秩序和鐵路運輸的安全。
鐵路是國民經濟的大動脈,擔負著全國最大比重的旅客和貨物運輸任務。鐵路運輸連結各行各業、千家萬戶。這些交通運輸活動一旦發生重大事故,就會危及公共安全,使人民生命財產遭受重大損失。
(二)客觀要件
本罪在客觀方面表現為在鐵路運輸活動中違反規章制度,因而發生運營事故,情節嚴重的行為。
1、行為必須違反同保障鐵路運輸安全有直接關系的各種規章制度。“違反規章制度”,是構成本罪的前提,同時,由于這種違反規章制度的行為,導致了鐵路運營事故的發生。如果運營事故不是由違反規章制度的行為所引起,則行為人不負處罰。鐵路職工違反規章制度的行為可以是作為,如超速行駛、錯扳道岔、錯發信號等,也可以是不作為,如過道口未鳴笛示警、扳道員不按時扳道岔、岔道口不減速等。
2、必須造成發生重大事故,致人重傷、死亡或者便公私財產遭受重大事故,致人重傷、死亡或者使公私財產遭受重大損失的嚴重后果。本條所稱 “ 嚴重后果”,一般是指造成了人員重傷、公,私財產的重大損失;經常違反規章制度,屢教不改,以致釀成運營事故;明知列車關鍵部件有失靈危險,仍繼續駕駛,以致造成運營事故,等等。“特別嚴重后果”,一般是指造成人員死亡或多人重傷,公私財產遭受巨大損失等。
3、嚴重后果必須是違章行為引起的,二者之間存在因果關系。違反規章制度,致人重傷、死亡或者便公私財產遭受重大損失的行為,必須發生在從始發車站準備載人裝貨至終點車站旅客離去、貨物卸完的整個交通運輸活動過程中。
(三)主體要件
本罪的主體為特殊主體。只有鐵路職工才能成為本罪主體。這里所稱的鐵路職工,是指具體從事鐵路運營業務與保證列車運營安全有直接關系的人員。包括具體操縱機車的司機;鐵路運營設備的其他操縱人員,如扳道員、掛鉤員;列車運營活動的直接領導和指揮人員,如調度員;列車安全的管理人員,如信號員,等等。如果是鐵路部門的非運營第一線職工,則不能成為本罪主體。
(四)主觀要件
本罪在主觀方面表現為過失,包括疏忽大意的過失和過于自信的過失。這種過失主要是指行為人對危害后果的態度而言。行為人在違反規章制度上可能出于故意。但他對于發生交通肇事的嚴重后果則是過失的,即他應當預見未預見到可能發生嚴重后果,或者雖然預見,但輕信可以避免,以致發生了嚴重的后果;如果出于故意,就不屬于鐵路運營安全事故罪,而屬于其他犯罪了。
二、認定
(一)本罪與非罪的界限
認定本罪,一看行為人的行為是否違反規章制度。如果行為人的行為是照章行事的,不違反規章制度,即便發生重大事故,致人重傷、死亡或者使公私財產遭受重大損失,也不構成犯罪。二看是否造成了嚴重后果。行為人雖然違反了規章制度,但未造成嚴重后果的,不構成犯罪。三看違章行為與嚴重后果之間是否有因果關系。即使在行為人的違章行為之后,發生了重大事故,但不是行為人的違章行為引起的,二者之間沒有因果關系,不構成犯罪。四看行為人主觀上有無過失。如果行為人主觀上既無故意,又無過失,嚴重后果是由于不能預見或者不可抗拒的原因引起的,屬于意外事件,不構成犯罪。
(二)本罪與交通肇事罪的界限
兩罪都是過失犯罪,行為人都實施了違反規章制度的行為,都造成了重大事故,并且都是屬于交通方面的重大事故。但是,兩者有著明顯區別:(1)犯罪主體不同。鐵路運營安全事故罪的犯罪主體是特殊主體,僅限于鐵路職工;交通肇事罪的犯罪主體是一般主體,包括交通運輸人員和非交通運輸人員。(2)違反的規章制度不同。鐵路運營安全事故罪違反的是鐵路等部門制定的有關運輸管理、維修管理、操作規程、安全管理等方面的規章制度;交通肇事罪違反的是同保證交通運輸安全有直接關系的各種法律、法規與制度,其范圍較廣。(3)犯罪客體稍有不同。鐵路運營安全事故罪侵犯的客體是鐵路運營的安全;交通肇事罪侵犯的客體主要是陸路和水路交通運輸的安全。
(三)本罪與重大責任事故罪的界限
兩者都是過失犯罪,行為人都有違反規章制度的行為,并且都發生了重大事故,造成了嚴重后果。兩者的區別主要有:(1)犯罪主體不同。兩者都是特殊主體,但鐵路運營安全事故罪的犯罪主體只能是鐵路職工;重大責任事故罪的主體僅限于工廠、礦山、林場、建筑企業或其他企業、事業單位的職工以及群眾合作經營組織或個體經營戶的從業人員。(2)發生的場合不同。鐵路運營安全事故罪發生在列車運營過程中;重大責任事故罪則發生在生產、作業過程中。
安全運營范文第3篇
關鍵詞:地鐵;運營管理;安全保障對策
一、廣州地鐵運營安全管理的基本情況
廣州地鐵目前擁有8條線路、145座車站、運營里程達236公里組成的線網。每天平均客運量超過400萬人次,最高日客運量784萬人次,最小行車間隔3分鐘左右。地鐵車輪滾滾,每天面臨的最緊要問題就是安全。近年來,廣州地鐵公司堅持以安全運營為中心,狠抓運營質量,初步形成了較為完善的安全保障體系和安全管理網絡,在員工中進一步強調了“安全乃企業立身之本”的觀念,在運營安全管理上強化各項措施:
1.制度保安全。在進度和安全的選擇上,廣州地鐵永遠把安全放在首位。保衛綜治、績效考核、運輸管理、應急預案、安全管理等近88個安全規章為地鐵安全生產保駕護航,“三鐵”作風抓安全生產,落實事故“四不放過”,確保了地鐵安全生產持續穩定。
2.設備保安全。廣州地鐵通過引進國際上較為先進和成熟的技術,擁有一套較完善的運營設施設備安全保障系統,確保安全、正常運營。運營設備設施維修質量的好壞,直接關系到地鐵運營安全與否。為保證設備設施的質量狀態,廣州地鐵采用先進的檢測手段,建立維修管理信息化系統,以精益求精的精神不斷提高維修質量。
3.人員保安全。從新員工進入廣州地鐵的第一堂培訓課開始,安全教育、安全管理就與地鐵人的工作、生活就緊緊相連。《安全管理獎懲辦法》、《特種設備及特種作業安全管理辦法》等21個規章制度是地鐵保證安全運營的“法典”,“人人講安全、事事講安全”的安全文化則讓每位員工全員皆“兵”,員工“違章即事故”的強烈安全意識則讓廣州地鐵已安全運營了4000多天。
4.措施保安全。亞運期間,廣州地鐵針對客流量大幅增長情況制訂了相應的應急預案。亞運免費日5天,地鐵145個車站、412個出入口,就啟動三級客流控制高達200余次。
每停靠一個車站,每開一次車門,地鐵司機都會仔細瞭望,反復確認,確保絕對安全才能動車,一個班次下來,開關門累計超過4000次,用廣播提示近800次。
二、廣州地鐵運營安全管理的方向
目前,廣州地鐵正處速發展的黃金階段,而安全是地鐵運營的生命線,運營安全成為擴大運營規模的前提。所以,廣州地鐵運營安全管理必須在現有基礎上做好以下三個方面:
1.將安全管理融合到生產管理之中
“安全為了生產,生產必須安全”是處置生產關系的原則之一,要保證運營生產全過程的安全,就必須將安全管理置于運營組織、維修組織運行的全過程。一方面要求安全管理人員在參與生產的全過程中開展安全管理工作,通過實際參與來實現過程控制;另一方面要求生產人員在開展工作中考慮安全因素,實現安全控制與生產管理的完整結合。
2.有針對性的進行風險評估
廣州地鐵將針對現行的運行體系,結合運營中發現的問題,通過風險評估對現有運營系統加以完善;針對新設備的投入應用,對設備功能及運用要求進行評估,超前進行風險控制;針對運營組織體系結構進行改進,有針對性的開展風險評估,發現運營的薄弱環節,將風險控制在萌芽狀態,杜絕在爆發之前。 轉貼于 3.將安全關口前移
隨著運營管理經驗的逐步積累,廣州地鐵必須將安全關口前移,將安全工作放到運營組織、維修組織的前面,在運營組織準備工作中充分考慮安全因素;在維修規程的編制過程中,通過安全人員的充分參與,并會同維修人員從安全角度充分預想,將安全關口前移到運營組織、維修組織中。
三、對地鐵運營安全管理的思考
運營安全是地鐵公司生存與發展的生命線,因此,廣州地鐵必須狠抓運營安全管理,在實踐中不斷總結安全工作的得失,同時在地鐵運營安全管理上有以下問題需要思考。
1.建立運營安全評估體系是全面和客觀評價運營安全狀況的重要手段
各個系統與設備的可靠性、運營過程的安全性以及處理事故和故障的及時性是保證地鐵安全運營最重要的三個因素。那么如何客觀科學地評價運營安全狀況,并據此提出安全性和可靠性的改進措施,這就需要建立地鐵運營安全評估體系。一般說來,地鐵公司可與高校聯手,對軌道交通系統的安全性與可靠性問題展開研究,并建立系統的安全性與可靠性模型,從而開發相應的評估軟件。通過對運營安全評估體系的研究和探索,對正確評價地鐵運營安全狀況,糾正管理偏差,提升運營安全管理具有十分重要的意義。
2.提前介入工程建設是實現運營安全保障前移的重要環節
地鐵運營方是軌道交通工程的最終用戶,在軌道交通建設過程中運營方的提前介入,一方面有利于最終客戶及時發現問題,從而與建設單位共同研究解決措施,完善工程建設,并從整體上提高軌道交通建設、運營水平;另一方面也有利于運營方全面深入掌握交通設施情況,做好投用后的使用管理和日常維護。因此,廣州地鐵可在這方面進行積極探索,提出在軌道交通新線項目建議書編制階段,運營主體確定后,應組織運營方相關人員的介入,并明確介入的形式和不同階段介入的內容,從而實現運營安全保障前移。
安全運營范文第4篇
關鍵詞:地鐵運營企業;安全培訓
中圖分類號:U231+.4文獻標識碼: A 文章編號:
一、地鐵運營企業安全培訓工作存在的主要問題
城市軌道交通作為一種新興的公共交通方式,在城市交通系統中具有十分重要的作用,應運而生的城軌企業,其設備和管理大都處于交通行業先進水平。加強軌道交通管理,必須堅持人員、設備和技術相并重的原則。要想使員工能使用新設備,掌握新技術,適應新管理,就必須加強對員工的培訓工作。同理,企業要想讓員工安全地從事生產作業,就必須對員工進行安全培訓。安全培訓工作做得好不好,扎實不扎實,與企業的安全生產工作息息相關。
地鐵運營直接面對廣大乘客,運營安全極為重要。為了確保乘客乘車安全,一方面要求乘客必須具有安全乘車的意識,另一方面,要求企業必須提供安全的服務。安全的服務來源于地鐵員工高度的安全責任意識和熟練的安全操作和服務技術水平。因此,作為增強員工安全意識,提高員工安全技能的重要途徑,安全培訓顯得尤為重要。顯然,各地地鐵企業已經意識到了這點,對員工開展了形式多樣、內容豐富的安全培訓活動。但這其中也暴露出了一個問題,那就是安全培訓流于形式,缺乏系統性,受訓人員疲于應付,很難達到理想的效果,如此下去,不僅僅浪費人力、物力、財力,也給安全運營埋下很大的隱患。
二、加強地鐵運營企業安全培訓的有效措施
要想提高安全培訓的系統性,使培訓收到切實的成效,筆者認為應以“PDCA”循環為指導思想,從組織安全培訓的幾大要素出發,本著持續改進的原則,建立安全培訓體系。
安全培訓體系的建立主要包括四個方面工作:一是制定安全培訓計劃;二是編寫安全培訓教材;三是建立培訓教師資源庫;四是嚴格把控安全培訓過程。本文一一擬從這四方面入手,對建立安全培訓體系,把控培訓效果進行初步探討。
制定安全培訓計劃
建立培訓體系,應認真按照企業培訓制度要求,做好年度固定培訓和即時培訓的計劃安排,所有培訓應該有計劃的開展,企業應該讓每一位員工都知道所在崗位應做的所有安全培訓。以天津市地下鐵道運營有限公司為例,主要有以下幾類培訓。
新入職員工的崗前安全培訓。作為安全基礎教育,企業要根據年度生產計劃的總體安排,做好新員工入職后的三級安全培訓。目前運營公司的新入職員工崗前安全培訓為三級安全教育。即公司級安全教育:通過培訓,使新員工了解企業安全生產基本要求和安全生產規章制度,掌握基本的安全生產要領,把新員工的行為規范到企業的安全管理要求上來;部門級安全教育:結合部門安全生產關鍵控制點,讓新員工了解部門安全生產特性,掌握部門安全生產基本要求;室級/崗位級安全教育:通過學習安全生產操作規程,使新員工掌握基本的安全操作要領和崗位應急處置技能,規范安全操作行為。通過公司級、部門級和室級、崗位級三級安全教育,讓新員工熟知崗位安全注意事項,夯實企業安全管理基礎。
從業人員的崗位資格培訓。關鍵崗位從業人員必須持證上崗。完善的崗位資格培訓是有效確保地鐵運營不出安全事故的重要保障。企業應該根據國家法律法規、有關部門要求,結合本公司實際情況,做好在崗人員的資格培訓。對地鐵運營企業來說,以下崗位一般應做資格培訓:企業安全主管領導、部門安全主管領導以及安全管理人員必須進行安全管理人員證取證培訓;消防管理人員、企業消防控制室值班人員、車站值班人員應進行社會消防教育證和建筑消防設施(FAS)證取證培訓;車站值班人員應進行值班人員上崗證取證培訓;除了外部資格證書,各企業應根據實際情況組織好員工的內部證書培訓教育。
從業人員年度重溫培訓。根據《生產經營單位安全培訓規定》要求,每年應對企業員工進行“再教育”。地鐵運營企業應制定年度重溫制度,年度重溫可在每年11、12月開展,通過分析本年度安全形勢,總結本年安全事故的教訓,探討來年安全管理思路,給企業員工注入安全強心針,始終讓企業處在良好的安全氛圍之中。
從業人員的即時培訓。主要是開展“四新”項目以及一些特定時段特定項目的安全培訓。實施“四新”項目,是企業擴大產能、提高效益、加快發展的重要舉措,在新工藝、新技術、新材料、新設備的運用過程中,必然會遇到一些安全生產管理工作的新情況、新問題,企業要組織相關技術人員、安全生產管理人員加強對“四新”項目的研究,提出有效的安全防范措施。要對應用“四新”項目人員進行安全培訓;在特殊時段,還要根據公司的發展需要舉辦即時培訓,及時把公司的安全生產現狀、安全管理重點等傳達至各層級,讓員工始終緊繃安全生產這根弦。
編寫并及時更新培訓教材
編寫培訓教材是培訓工作的重要組成部分,一定要建立培訓教材架構,形成各級培訓教材。所編培訓教材應根據各級安全培訓對象的需求來確定內容,根據培訓層次和培訓目標確定教材內容的深度,形成有層次、有重點、有針對性的各級安全培訓教材。
及時更新培訓教材。教材編寫完成后,還應注意定期更新,為此,必須制定教材更新制度。在每年新員工入職前組織各級教材評審工作,由教材編寫人員根據教材使用情況、員工反饋情況,公司、部門新制定或已修編完畢的安全規章制度、公司新的安全方針或方向,部門安全職責變化等,共同討論確定更新教材的內容,確保新員工的安全培訓始終包含公司最新安全發展方向和重點。
建立培訓教師資源庫
為了更好的把控培訓教師講課的效果,應建立培訓教師資源庫,即培訓師檔案。一是嚴格選聘培訓教師,公司聘請的所有內部安全培訓教師都應有安全管理人員資質,在所負責專業方面具有較強的專業技能和安全意識;公司應與外部專業培訓機構、上級安全主管單位或部門建立良好的合作關系,必要時可聘請相關單位的專家進行培訓。所聘請的外部培訓教師,應具有高理論水平、雜實的安全技能或豐富的安全管理經驗。
二是建立培訓教師檔案,檔案應涵蓋教師的相關培訓資質、所擅長培訓課程、曾經的授課內容以及受訓員工反饋的結果等,以便于在下一次培訓中能根據培訓需求有針對性地選擇教師,更好的確保培訓的水平和質量。
把控培訓過程
一是建立培訓檔案。每次培訓都應建立培訓檔案,填寫培訓記錄,由培訓教師和受訓員工雙方簽字,做好過程把控。
二是建立培訓補考機制。需要考試的培訓應設定培訓合格的分數,一般來講,安全培訓合格分數線為90分,對考試不合格的員工,必須要求其進行補課并且參加補考直至考試合格,否則不能上崗作業。對于考試合格但是未達到100分的員工,應要求其對答錯的知識點進行再學習,力爭使參加安全培訓的員工全部達到滿分。
三是建立培訓效果反饋制度。每一次培訓都應由受訓員工填寫培訓效果反饋表,反饋表中要著重反映教師講課情況、員工聽課效果、以及培訓需求等,達到教師與學員共同進步,培訓效果控制持續改進的目的。
三、結束語
安全培訓作為企業安全管理的一個重要組成部分,責任大,任務重,如何有效地把控培訓效果,達到培訓目的是很多企業都在研究的一個問題。本文以某地鐵運營公司為例,粗淺地談了自己對安全培訓的一點看法和建議,希望對各企業的安全培訓工作有一定的參考價值。
參考文獻
安全運營范文第5篇
【關鍵詞】通信運營企業客戶信息安全安全域SOC
一、電信運營商客戶信息安全現狀
目前電信運營商對信息系統依賴性日益增強,而掃描探測、DDOS等攻擊數量急劇上升,漏洞利用的速度縮小到了天。但是作為電信運營商,由于網絡結構復雜,導致系統管理維護困難。一般會有網管網、計費網、辦公網、互聯網接口、新業務、地市公司等多張網,安全防護困難。
同時在運營商中也發生過一些客戶信息泄密的案例,“3.15”晚會也曝光過一些。電信運營商的客戶資料、充值卡、財務報表、發展計劃等商業機密的實際價值遠遠超過了固定的有形資產。
因此電信運營商如何保證客戶信息安全,成為了重要課題。
二、客戶信息安全體系
客戶信息生命周期包括了信息的產生、傳輸、存儲、處理、銷毀,因此我們在設計安全體系時,要按照“堅持積極防御、綜合防范的方針”,將安全組織、策略和運作流程等管理手段和安全技術緊密結合。
下面參考信息安全保障體系框架IATF和BS7799,以項目中的實踐來分別說明:
人是信息體系的主體,包括管理者、維護人員、使用者、第三方。電信運營商應該建立安全領導小組,專門的安全管理員、安全顧問、安全審計員。
制定信息安全責任矩陣,組織范圍內的信息安全落實到人,尤其外包的安全,第三方必須簽定保密協議。離職或調動時,必須清理信息系統賬號,避免用戶權限只有增加沒有減少。
資產進行分類與控制,梳理客戶信息相關的資產,標明重要性等級以及制定相應管理辦法。如客戶資料、充值卡等就是重要信息,必須重點防護。
制定完善的維護作業計劃,對設備性能、安全狀況進行監控,分清日、月、年不同層次的維護內容,包括電源、主機、中間件、數據庫、應用、安全事件、備份、調優等。
定期進行安全評估和加固,減少系統風險,可以找專業的安全廠商進行滲透測試。設定各系統的安全基線,保證系統必須達到的最基本的安全配置要求。如果某臺服務器上突然多了一個來歷不明的進程,就有必要檢查是否有安全風險。
業務過程中可以通過金庫模式等加強業務過程中的安全管控,即關鍵業務需第二個人授權之后才能夠操作,通過多人的相互監督進行制約,如批量查詢客戶資料、詳單時。同時定期進行日志稽核,進行事后的控制。所有的業務操作有相應的工單、審批單、業務受理單,如果沒有這樣的工單,則可以認為操作是不合規的。
在信息系統生命周期過程中,要全面審查信息系統的設計、操作、使用和管理是否符合組織安全政策和標準。系統開發和建設過程中,就要明確系統的安全要求,確保安全機制被內建于信息系統內;控制應用系統的安全,防止應用系統中存在的后門、孤立網頁造成用戶數據的丟失、被修改或誤用。上線前及早進行安全評估和掃描,提前發現漏洞。注意不要隨便使用真實敏感數據,測試數據的清理、保護。
三、客戶信息安全工程建設過程
客戶信息安全建設過程中應注意業務可用與安全性平衡原則,采用統籌規劃、分步實施的方法。
