摘要:企业安全管理是信息化时代企业管理的重要组成部分,其体现了企业管理的现代化水平与现代化管理的理念。本文以企业安全管理的风险及其防范措施为研究对象,分析了企业安全管理工作中存在的问题,并探讨了企业安全管理中的风险防范措施。下面是美丽的小编给大伙儿整理的企业安全管理论文【最新4篇】,希望能够帮助到大家。
为了增强企业员工的安全意识、员工自身的素质和员工的安全操作技能,企业要定期向开展安全管理培训,以提升企业又员工综合水平和素质。以减少安全事故的发生,保证施工人员的人身安全。在企业进行配电网建设施工项目施工是要加强对施工安全管理工作的监管,建立相关的安全监管制度,以消除使用现场存在的不安全因素、对于施工条件相对薄弱的地方要加强安全防护措施,同时通过监管来增加各相关人员的责任意识,落实施工安全管理工作,努力做到“预防为主,安全第一”。
2供电企业配电网建设项目的施工安全管理
2.1项目施工现场的勘查
在项目开工前供电企业要派专人到施工现场进行监察,对施工现场的安全管理进行了解而后管理,待施工单位进入施工现场后,为了施工项目的安全生产此专员要对施工单位进行监督以防止施工单位随意将施工项目工程进行分项转包。
2.2配电网项目施工安全管理方案的提交
在进行配电网项目施工前按照相关规定,施工企业要事先申请施工许可,在申请时需要提交项目施工安全管理方案。提交的施工方案内容要包含有建设单位、施工单位以及他们的负责人还有项目施工安全生产保证体系以及相关的安全生产措施等。
2.3制定项目施工安全管理制度
供电企业要根据施工需要制定相应的安全施工管理制度,此制度的内容要包含施工管理、安全检查、会议制度以及安全奖惩制度。另外为了保证相关部门严格履行自己的责任、保证施工人员的安全,供电企业还要组织施工安全管理人员和施工单位负责人员进行学习,以增加他们的责任感。
2.4健全配电网项目施工安全管理体系
在进行配电网项目施工时,存在一些复杂或交叉作业的工程项目,此时需要各单位进行分工作业,各单位按照各自的职责划分为不同的责任部门和协办部门,保证安全管理体系高效运行的同时又能够相互制约,同时还要确定项目施工安全管理的框架。
2.5加强对项目施工人员的管理
在进行项目施工安全管理时也要注重对施工人员的管理,在项目施工中有一些复杂的特征作业项目,针对此类作业项目的作业人员更要加强管理,保证此类作业人员的持证上岗。另外为了保证施工人员的安全,企业要定期组织施工人员进行体检,并对施工人员的安全工具配置和使用是否合理。
2.6制定相应的施工安全管理考核机制
通过安全管理考核机制的建立使施工安全管理和相关负责人员的利益联系到一起,从而加强管理人员对施工安全的监管和整改,以此加强管理人员的责任感。
2.7加强对项目施工单位的安全管理
在进行配电网项目施工时要加强对施工单位安全监督工作的管理,通过监督管理来增强他们对安全施工的重视。在日常的施工过程中要求施工单位加强对现场安全设施的排查,对于存在的安全隐患监督他们及时的整改,以保证项目安全顺利的完工。
2.8做好施工事故防范工作
在进行配电网项目施工时对于一些突发事件,供电企业要有完善的突发事件应急处理方案,当事故发生时能够按照方案有序的进行操作,采用有效的措施对突发事件进行处理,同时还保证了人员的稳定有序和公用物资的顺利调用。另外,在遇到突发事件时,要根据事故的具体情况制定不同的应急方案和措施。
3结束语
随着烟草企业生产技术的不断发展,烟草企业的消防安全管理工作成为企业安全生产管理工作头等大事,做好消防管理工作具有重要的作用:一是加强消防管理工作能够保障企业职工的生命安全。二是有利于提高企业的经济效益。随着烟草企业之间竞争的不断加剧,如何降低生产成本,降低各种费用支出成为烟草企业获得经济效益的重要途径,加强消防安全管理,避免火灾的发生,就可以避免企业因为发生火灾而产生的巨大损失,因此加强消防安全管理是烟草企业提高经济效益的重要手段;三是能够建立清晰的安全生产责任制度。通过强化消防安全管理,可以将具体的安全生产责任制度落实到实处,强化具体责任人的职责,从而实现“预防为主、防治结合”的消防管理制度。
2当前烟草企业消防安全管理工作的现状
我国2011年4月1日实施颁布了《烟草企业安全生产标准化规范》,明确了消防管理工作的地位,但是由于在实践管理工作中由于各种因素的限制,烟草企业的消防安全管理工作还有许多不完善的地方,其主要表现在:
2.1烟草企业的消防设施建设还不完善。虽然近些年国家相关部门、企业安全监督部门等加强了对烟草企业的消防安全检查力度,企业也加大了对消防安全设施的建设,但是由于烟草企业发展规模的不断扩大,烟草企业的消防设施建设在某些方面出现了滞后性,比如烟草企业发展规模的不断扩大,烟草企业的仓库存储量不断地增加,仓库的烟叶存放量已经超过仓库防火区的面积,不仅违反了《烟草行业消防安全管理规定》,而且也会为消防安全埋下隐患。
2.2消防管理制度不能满足烟草企业发展的要求。烟草企业的消防管理制度不能满足企业发展的要求其主要体现在:一是烟草企业的消防管理制度建设存在滞后性。虽然我国及时颁布与实施了《烟草行业消防安全管理规定》、《烟草企业安全生产标准化规范》等制度,但是由于烟草企业的不重视等导致烟草企业的消防管理制度没有及时的进行更改;二是消防管理制度没有得以彻底的贯彻执行。为了前面执行消防安全管理制度,相应的法规明确了各部门、各人员的职责,但是在具体的实践中由于相应岗位职责划分不科学导致很多制度在企业中没有得以执行。
2.3消防管理人员的责任心不强。一是消防管理人员在日常的消防管理中缺乏较强的责任心,他们在检查企业的消防工作时,存在敷衍了事的心态,将工作重点放在表面工作,比如只是查看灭火器是否过期,而不看灭火器是否能够正常使用等具有实质性的工作;二是消防安全管理部门与其它部门之间缺乏有效的沟通。安全保卫部门与企业的其他部门缺乏有效的沟通,导致消防安全管理责任落实不到实处,影响消防管理工作的效率。比如技改部门只是负责对消防设施的技术改造,而不会考虑消防设备的使用性能,而安全保卫部门在技改工作实施过程中也不会主动地参与,导致技改后的消防技术缺乏高效的实用性。
3加强消防安全管理,提高烟草企业安全生产的具体对策
3.1完善消防安全责任制,将消防安全工作落实到实处。建立完善的消防安全责任制度是保障各项消防安全预防制度落实到实处的有效保障。烟草企业生产产品的易燃性,要求烟草企业必须要加强消防安全管理工作,完善各项消防安全管理制度:一是积极将国家制定的各项安全管理制度与企业的生产相结合,将消防安全责任制度落实到具体的部门、具体的岗位中;二是烟草企业的消防安全责任制度一定要本着从企业实际生产的现状出发,认真研究,制定切实可行的消防安全责任制度;三是建立完善的消防安全管理机构。建立以厂长为责任主体、副厂长为主抓、保卫科长具体执行的消防管理制度,并且要建立义务消防队。
3.2加强对烟草企业职工的宣传教育,提高他们的消防安全意识。消防工作离不开烟草企业全体职工的支持,因此烟草企业要加强对职工的安全教育,加大对消防安全管理工作重要性的宣传:一是企业积极开展各种消防安全技能比武活动,通过技能比武活动,提高职工对消防安全管理工作的认识;二是企业要积极发挥工会、党支部等组织职能,强化对党员干部的消防安全管理教育,发挥他们的示范带动作用;三是要积极加强对专职消防管理人员的教育,加强岗位培训力度。
关键词 信息安全事故;安全管理;事故致因理论
中图分类号 F49
文献标识码 A
文章编号 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道2010年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为51%、45%和40%,而相同事故在全球范围内的发生率则为25%、27%与23%。
大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。
目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。
本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。
二、理论基础
(一)国内外从管理角度对信息安全事故的研究
国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004)、Flowerday(2005)等学者也先后对此进行了研究。
与国外相比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。
通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。
(二)事故致因理论
在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。
在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。
本文依据博德(F.Bird)的现代安全科学观点,提出如图1所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。
三、信息安全事故分析
通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图2)。
(一)环境因素分析
在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。
在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。
(二)人员因素分析
人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。(1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。(2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑”。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。(3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。
(三)技术因素分析
信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。(2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。
(四)设备因素分析
企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件 www.gaokaobaba.com 失效等。(2)保障设施方面,包括供电或空调中断、电气故障、电缆损坏等。(3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。
四、防范措施
针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言:
(一)建立有效的“人力防火墙”,减少人为因素导致的信息安全事故
信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。
(二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故
信息安全管理体系是依据企业信息安全需求、业务流程分析和风险评估的结果,综合利用各种信息安全技术与产品,在统一的综合管理平台上建立的信息安全管理机制和防范体系。建立并完善信息安全管理体系,可以为企业的信息管理提供来自策略、设计以及运行等各个层面和阶段的安全保障,有效减少由于环境因素和技术因素引起的信息安全事故。建立灾难恢复与业务持续性计划,强化重要信息数据备份,在信息安全事故发生时能确保业务持续开展,将损失降到最低程度;建立集中化的管理控制机制,将数据安全控制进行集中化管理,建立一个具有全局性的网络管理平台,以确保安全防范策略能够由上至下全面贯彻执行,减少数据安全风险;以“适度防范”为原则,选择合适的安全技术与产品,制定相应的访问控制策略,在考虑成本和投资回报的基础上满足企业业务安全的需求。
健全企业安全生产档案是评价安全生产工作的依据。安全生产管理工作是一个动态过程,通过档案统筹规范,以文字、图片、台账、表格等来反映安全生产工作具体情况。所以评价企业安全生产工作,不能只是依靠现场呈现的场景来做判断,还要结合安全生产档案来综合评价。比如,在某一事故调查中,安全生产档案就是认定事故责任的最为重要的依据之一,翻查安全生产档案资料中对事故发生点的历史记录,能够清晰地了解安全生产负责人有无履行安全生产监管职责,为事故的定性提供有力证据。
二、构建企业安全生产档案的主要内容
1.事故应急处理方案。主要是针对企业内部可能发生的危险源,来进行事先设定的应急处理方案。比如,消防器材和防汛设备的分布位置图,以及内部各种紧急事故的处理小组成员名单和职责规定。
2.安全生产工作记录。包含企业内部各会议对安全工企业安全生产档案作的研究、讨论、决议等记录;劳动保护用品的发放情况记录;企业开展各项安全生产隐患排查与生产状况检查的记录;安全整改通知书及其跟进结果记录;事故调查报告和解决进度报告记录等。
3.企业自身安全工作的规章制度。是企业内部根据实际生产经营情况而制定的规范。内容有专门负责安全生产的主管领导及其下属人员分工;企业负责人签署的安全责任书;针对特殊工种设置的专门操作流程,如易燃、易爆、有毒物的处理等,以及各类防范职业病的措施等。
三、加强企业安全生产档案管理工作的实施
1.树立正确管理思想与认知,提升企业领导的重视度。安全生产档案看似与生产效益高低并无直接关联,所以许多企业认为只要抓好生产现场的人与物的管理就够了,导致很多企业领导对这一工作的重视程度不够,缺少人力、物力、财力的投入。所以,树立正确的思想与认知,加强宣传力度,将档案管理工作纳入议事日程,提高企业领导对安全生产档案重要性的认识,他们才能在各个方面给予充分支持。
2.提高安全生产人员素质,组建企业安全档案管理专业队伍。管理人员素质、业务能力和管理水平等是影响安全生产档案质量的直接因素。相关人员不仅要具备专业的档案理论知识和管理知识,还要熟练掌握相关安全管理与技术的知识。企业应当积极组织相关人员进行业务培训,筛选符合岗位要求的高素质人才,组建一支专业的安全生产档案管理队伍,满足企业长足发展的需求。鉴于安全生产档案的专业性与广泛性特点,笔者建议安排专门对接人员负责档案的建设与保管,因为档案的管理需要按照归档标准与范围逐日积累、充实,才能确保其全面系统、真实地反映企业的安全情况。