时间:2023-05-29 17:44:34
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全管理体系建议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:职业健康安全管理体系 安全生产标准化 融合
随着企业社会化分工的不断加速和生产规模的不断扩大,职业健康安全问题不断涌现。
企业完全依靠安全技术系统难以彻底杜绝事故发生,而职业健康安全管理体系作为一种具有高度自我约束力和自我改进功能的系统化、程序化的科学管理方法,一经建立便迅速被世界各国所采纳。安全生产标准化相对于职业健康安全管理体系起步较晚,2010年4月国家颁布了安全生产行业标准AQ/T9006-2010《企业安全生产标准化基本规范》,作为企业开展安全生产标准化的基础标准。2010年7月国务院了《国务院关于进一步加强企业安全生产工作的通知》作为安全生产纲领性文件,对企业安全生产标准化建设工作做出了强制性规定。由此看出,安全生产标准化建设是国家“十二五”强力推行的安全生产重要工作之一,是所有企业的规定性动作。
现如今,在多年运行职业健康安全管理体系后,严峻的安全形势迫切需要企业在政府的推动下,全力推行了企业安全生产标准化。但在实际工作中,不少企业对两项工作的区别和联系认识不清,出现了同一项工作由两个文件管理现象,导致了管理成本的增加、管理效率的下降。
鉴于以上情况,本文首先阐述了职业健康安全管理体系和企业安全生产标准化项目的相关理论,然后通过对二者的比较,总结出了二者的区别和联系。最后,本文通过研究具体企业职业健康安全管理体系和企业安全生产标准化融合的实际情况,提出了一系列促进二者有效融合的对策建议。
一、相关范畴界定
本文涉及职业健康安全管理体系及认证相关术语时,多采用国家标准《职业健康安全管理体系规范》(GB/T28001-2001)[1]、《质量管理体系基础和术语》(GB/T19000-2000)[2]的定义。
1.安全。是指免除了不可接受的损害风险的状态。
2.职业健康安全。是指影响工作场所内员工、临时工作人员、合同方人员、访问者和其他人员健康和安全的条件和因素。
3.职业健康安全管理体系。职业健康安全管理体系(OH& management system):是组织管理体系的一部分,用于制定和实施组织的职业健康安全方针,并管理其职业健康安全风险。管理体系是用于制定方针和目标,并实现这些目标的一组相互关联的要素。管理体系包括组织机构、策划活动(例如:包括风险评价、目标建立等)、职责、惯例、程序、过程和资源。
4.标准化。为了在一定范围内获得最佳秩序,对现实问题或潜在问题制定共同使用和重复使用的条款的活动。
5.安全生产标准化。安全生产标准化(work safety standardization): 通过建立安全生产责任制,制定安全管理制度和操作规程,排查治理隐患和监控重大危险源,建立预防机制,规范生产行为,使各生产环节符合有关安全生产法律法规和标准规范的要求,人、机、物、环境处于良好的生产状态,并持续改进,不断加强企业安全生产规范化建设[3]。
二、职业健康安全管理体系与安全生产标准化的区别与联系
1.二者区别
运作基础不同。职业健康安全管理体系主要是以危险源辨识、风险分析为运行基础的管理模式,强调流程管理,重视软件建设。安全生产标准化工作是以隐患排查治理、预测预警为运行基础的管理模式,因而更强调现场管理,重视硬件建设。职业健康安全管理体系中的危险源识别、风险评价和风险控制等要素是职业健康安全管理体系的核心环节,主要存在于策划阶段。然而安全生产标准化中,以上三种要素存在于策划阶段和运行阶段。因而,二者的运作基础和运作阶段不同。
采取原则不同。企业建立职业健康安全管理体系采取自愿原则,企业是否实施该标准,是否进行认证,取决于企业自愿,政府无强制要求。证书由认证机构颁发,与企业生产许可、安全生产许可等资质不挂钩。安全生产标准化则采取强制原则,政府有明确要求,在规定时间内必须达标,证书由政府颁发,并且与企业的生产许可、安全生产许可等资质挂钩。
侧重点不同。职业健康安全管理体系侧重系统管理方法的构建,是一种系统的现代化安全生产管理方法,主要强调对生产过程的控制,强调通过建立完整可靠的职业健康安全管理机制,减少职业安全风险,提高安全工作效率,从而促进企业安全管理水平的提高和安全生产效率的改善。安全生产标准化侧重于对管理标准化体系的量化,是一种完整的安全生产管理执行标准,主要强调通过各项安全生产活动的标准化,通过各个部门、生产管理环节的各项指标达到指定的标准要求,符合各种流程规范和法律法规,形成一套切实可行的标准化安全生产工作体系,从而促进企业安全生产的规范化、科学化。
2.二者联系
运行模式相同。二者都遵循PDCA循环,强调以预防为主、持续改进以及动态管理。职业健康安全管理体系基本原理采用系统化的计划(plan)、执行(do)、检查(check)、控制(act)的动态循环现代管理模式,持续改进企业绩效,实现既定目标。安全生产标准化旨在通过企业自我检查,纠正和完善这一动态循环的管理模式,促进企业安全绩效的持续改进和安全生产长效机制的建立。
实施方式相似。职业健康安全管理体系和安全生产标准化都采用企业的重视与支持和外部监督相结合的制度。通过制度建设,建立企业的生产管理标准和操作规范;企业根据标准规范,建立体系文件;根据文件实施管理,并进行内部审核或自主评定。通过运行控制,规范员工的安全操作行为,通过不断的改善措施,确保企业的长期安全机制的建立。二者实施要素大多数可以对应,从而实现内容上的整合。另外由于侧重点的不同,二者在过程上又可以相互补充确保了结果的一致性。
根本目的相同。职业健康安全管理体系是一套高度自我约束、自我完善的科学管理体系。其目的是通过系统化的控制,减小因组织职工活动而造成的可能面临的职业健康安全风险。安全生产标准化的目的是企业生产作业标准化和企业安全生管理产标准化,安全基础工作全面加强,安全绩效从根本上改善。其目的一旦实现,必然会减小员工可能面临的职业健康安全风险,因此可以看出,二者的根本目的是一致的。
三、促进职业健康安全管理体系与安全生产标准化融合的改进建议
多数企业已经建立了职业健康安全管理体系并已运行多年,现在也在开展安全生产标准化工作,如果两套系统独立运行,势必产生许多的矛盾冲突,影响二者效果的实现,也造成企业管理工作的资源浪费、效率降低。因此,开展职业健康安全管理体系与安全生产标准化融合工作,可以避免许多重复性工作,提高工作效率。本文综合考虑二者在企业融合的实际情况,总结提炼出了如下建议:
1.核心工作融合
将危险源的辨识、风险评价和风险控制作为职业健康安全管理体系与安全生产标准化的核心工作。企业若要避免事故发生,首先要了解生产过程中的风险,即危险源的辨识。危险源的范围包括工作场所内的所有人员和设备。只有准确确定风险源,才能有针对性的实施具体措施。然后是风险评价,根据风险状况确定风险等级,找出风险较大的重点目标重点治理,但也不要忽略风险较小的目标。确定风险目标等级后,针对不同等级的风险目标制定具体可行控制和改善措施。
2. 组织机构融合
企业自身在运行职业健康安全管理体系时,拥有一批合格的组织队伍,由各基层生产单位安全员和职能部门有关人员组成,在工作过程中积累了丰富的安全生产管理经验,是企业安全生产过程中重要的人力资源。可以利用这支队伍充实到安全生产标准化工作中来,由职业健康安全管理体系中的管理者和员工直接参与到安全生产标准化工作中,负责组织和推进安全生产标准化工作,促进两种工作从组织结构方面的融合。
3. 体系文件融合
在两种体系融合的过程中注意遵循PDCA循环的动态管理模式。为了遵循体系管理的原则,确保安全工作形成长效机制,企业需要按照标准化的要求,对具体工作要求进行过程优化,包括策划管理的细节、实施的职责和流程、检查的时机和方法、总结和改进的渠道等四个方面,对管理流程进行改进和升级。
职业健康安全管理体系文件一般分为管理手册、程序文件和作业文件三个层次。文件中存在针对各种要素的具体要求叙述不全面、内容不详实等一系列问题。因此,在编写文件时,需要将职业健康安全管理体系的文件与安全生产标准化文件进行统筹安排、协同处理,编写成为统一的标准性文件,实现体系文件方面的融合。
4.应急管理融合
针对随时可能发生的安全事故,必须建立应急管理体系。在职业健康安全管理体系和安全生产标准化融合过程中,应该建立完善的应急管理体系,才能在事故发生时将人员伤亡和财产损失降到最低。在职业健康安全管理体系中原来就应该有一定的应急管理机制,根据这种应急管理机制,结合实际情况,将其安全生产标准化融合在一起,形成新的应急管理体系,从而指导两项工作中紧急安全事故发生后可以做出可靠的应变。企业应该根据不同等级的风险事故制,制定切合实际的应急预案或应急措施,才能更好的应对各类安全事故,实现职业健康安全管理和安全生产。
四、结语
综上所述,职业健康安全管理体系和安全生产标准化的融合是当今企业面临的一个实质性的问题,也是当今企业安全管理体系建设的必然趋势。两种模式的共同点为其融合提供了提供了可行性依据,同时二者各有侧重,运作基础和采用原则也存在差异,所以在融合过程中要紧密结合企业实际,更要充分了解两种模式的共同点和差异,,简化管理流程,将两种体系有机融合。通过一定时间试运行进行磨合,不断完善安全生产的长效机制,最终降低职业健康安全风险,促进企业的安全生产管理水平和管理效率的不断提升。
参考文献:
[1]中华人民共和国标准,职业健康安全管理体系规范(GB/T28001-2001),中国标准出版社,2001
[2]中华人民共和国标准,质量管理体系基础和术语(GB/T19000-2000),中国标准出版社,2005
[3]AQ/T9006-2010,企业安全生产标准化基本规范[S]
[4]吴孝仁,吴鹤鹤,工程建设行业《职业健康安全管理体系规范》,理解与实施,中国水利水电出版社,2004
作者简介:
【 关键词 】 信息安全;电力企业;风险评估;管理模式
1 引言
在如今的信息化社会中,信息通过共享传递实现其价值。在信息交换的过程中,人们肯定会担心自己的信息泄露,所以信息安全备受关注,企业的信息安全就更为重要了。但是网络是一个开放互联的环境,接入网络的方式多样,再加上技术存在的漏洞或者人们可能的操作失误等,信息安全问题一刻不容忽视。尤其是电力,是国家规定的重要信息安全领域。所以电力企业要把信息安全管理体系的建设,作为重要的一环纳入到整个企业管理体系中去。
2 电力企业信息管理体系建设的依据
关于企业的安全管理体系方面的标准有很多。英国BSI/DISC的BDD信息管理委员会制定的安全管理体系主要包含两个部分内容:信息安全管理实施规则和信息安全管理体系规范。信息安全管理实施规则是一个基础性指导文件,里面有10大管理项、36个执行的目标和127种控制的方法,可以作为开发人员在信息安全管理体系开发过程中的一个参考文档。信息安全管理体系规范则详细描述了在建立、施工和维护信息安全管理体系过程的要求,并提出了一些具体操作的建议。
国际标准化组织也了很多关于信息安全技术的标准,如ISO x系列、ISO/IEC x系列等。我国也制定了一系列的信息安全标准,如GB 15851―1995。
关于企业信息安全管理体系方面的标准众多,如何针对企业自身实际情况选择合适的参考标准很重要,尤其是电力企业有着与其他企业不同的一些特殊性质,选择信息安全体系建设的参考标准更要谨慎。我国电力企业已经引入了一些国际化标准作为建立和维护企业运转的保证,关于信息安全体系的标准也应纳入到保证企业运转的一系列参考中去。电力企业总体应有一致的安全信息管理体系参考标准,但是具体地区的公司又有着本身自己的特殊环境,所以在总体一致的信息安全标准的情况下,也应该根据企业自身地区、人文、政策等的不同制定一些企业内部自己信息安全标准作为建立、实施和维护信息安全管理体系的依据。信息安全管理体系顾全大局又要有所侧重的体现电力企业安全标准的要求。
3 信息安全管理体系里的重要环节
3.1 硬件环境要求
信息安全管理体系并没有特别要求添加什么特别的设备,只是对企业用到的设备做一些要求。电力企业一般采用内外网结合的方式,内外网设备要尽量进行物理隔离。企业每个员工基本都有自己的移动设备,如手机等,为了增加信息安全的系数,企业可以限制公司设备的无线网络拓展。另外,实时监控系统也应该覆盖企业的重要设备,监控硬件设备的安全。
3.2 软件环境要求
在企业设备(主要是计算机)上部署相关软件环境是信息安全管理体系中最重要的部分。比如防病毒软件的部署、桌面系统弱口令监控软件的部署等,以此防止网络攻击或者提高安全系数。另外,企业设备所用系统的安全漏洞修复、数据的加密解密、数据的备份恢复及数据传输通道的加密解密等问题,都在信息安全管理体系设计的考虑范畴。
3.3 企业员工管理
尽管现在一直倡导智能化,但是企业内进行设备等操作的主体还是员工。不管是对设备终端操作来进行信息的首发,还是对企业软硬件系统进行维护工作,都是有员工来进行的。所以,对企业内部员工进行信息安全培训,提高员工的信息安全防范意识,让员工掌握一定的信息安全防范与处理手段是非常重要的事情。针对不同的职位,在员工上岗前应该进行相关的信息安全方面的培训,然后对培训结果进行考核,不合格的人员不准上岗。在岗的人员也要定期进行培训与考核。另外,如果有条件的话,企业应该定期(例如每年)进行一次信息安全的相关演习。
另外,电力企业有些项目是外包给其他相应公司的,这时候会有施工人员和驻场人员在电力企业,对这些人员也应该进行电力企业信息安全的培训。
3.4 信息安全管理体系的风险系数评估
风险评估在信息安全管理体系中是确定企业信息安全需求的一个重要途径,它是对企业的信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用下所带来的风险可能性的评测。风险评估的主要任务是:检测评估对象所面临的各种风险,估计风险的概率和可能带来的负面影响的程度,确定信息安全管理体系承受风险的能力,确定不同风险发生后消减和控制的优先级,对消除风险提出建议。在信息安全管理体系的风险系数评估过程中,形成《风险系数评估报告》、《风险处理方案》等文档,作为对信息安全管理体系进行调整的参考。风险系数的评估要尽可能全面的反映企业的信息安全管理体系,除了常规手段,也可以使用一些相应的软件工具的结果作为参考。另外很值得注意的是企业的员工对风险的理解,企业员工对他们所操作的对象有比较深刻的理解,对其中可能存在的不足也有自己的见解,在风险系数评估的过程中,可以进行一些员工的问卷调查等,把员工对风险的认识纳入风险评估的考虑范畴。
企业的设备会老旧更换,员工也会更换,所以企业的信息安全是动态的,因此风险评估工作也要视具体情况定期进行,针对当前情况作评估报告,然后制定相应的风险处理方案。还有,之所以要建立信息安全管理体系,其中很重要的一点就是体系内各个模块的结合,信息安全管理体系的风险评估与关键内容的实时监控就应该结合起来。
为了降低信息安全管理体系的风险系数,提升信息安全等级,要做的工作很多。渗透测试就是其中很有必要的一项工作。渗透测试是测试人员通过模拟恶意攻击者的攻击方式,来评估企业计算机网络系统安全的一种评测方法。这个测试过程会对系统的可知的所有弱点、技术方面的缺陷或者漏洞等作主动的分析。渗透测试对于网络信息安全的组织具有实际应用价值。随着技术的不断进步,可能还会出现其他的更有价值的信息安全技术,作为信息安全备受瞩目的电力企业,应当时刻关注相关技术的进展,并及时将它们纳入企业信息安全管理体系中来。
3.5 信息安全管理体系的管理模式
文章前面提到企业信息安全是动态的,所以信息安全管理体系需要建立一个长效的机制,针对最新的情况及时对自身作出调整,使信息安全管理体系有效的运行。现在一般会采用PDCA循环过程模式:计划,依照体系整个的方针和目标,建立与控制风险系数、提高信息安全的有关的安全方针、过程、指标和程序等;执行:实施和运作计划中建立的方针、过程、程序等;评测:根据方针、目标等,评估业绩,并形成报告,也就是文章前面说到的风险系数评估;举措:采取主动纠正或预防措施对体系进行调整,进一步提高体系运作的有效性。这四个步骤循环运转,成为一个闭环,是信息安全管理体系得到持续的改进。
4 重要技术及展望
4.1 安全隔离技术
电力企业的信息网络是由内外网两部分组成,从被防御的角度来看的话,内网的主要安全防护技术为防火墙、桌面弱口令监控、入侵检测技术等;而主动防护则主要采用的是安全隔离技术等。安全隔离技术包括物理隔离、协议隔离技术和防火墙技术。一般电力企业采用了物理隔离与防火墙技术,在内网设立防火墙,在内外网之间进行物理隔离。
4.2 数据加密技术
企业的数据在传输过程中一般都要进行加密来降低信息泄露的风险。可以根据电力企业内部具体的安全要求,对规定的文档、视图等在传输前进行数据加密。尤其是电力企业通过外网传输的时候,除了对数据进行加密外,还应该在链路两端进行通道加密。
4.3 终端弱口令监控技术
终端设备众多,而且是业务应用的主要入口,所以终端口令关乎业务数据的安全以及整个系统的正常运转。如果终端口令过于简单薄弱,相当于没有设定而将设备暴露。终端的信息安全是电力企业信息安全的第一道防线,因此采用桌面系统弱口令监控技术来加强这第一道防线的稳固性对电力企业的信息安全非常重要。
电力企业信息安全管理体系是一个复杂的系统,包含众多的安全技术,如数据备份及灾难恢复技术、终端安全检查与用户身份认证技术、虚拟专用网技术、协议隔离技术等。凡是与信息安全相关的技术,电力企业都应当关注,并根据企业自身的情况决定是否将之纳入到信息安全管理体系中去。
智能化已成为不管是研究还是社会应用的热门词汇。电力企业的信息安全管理体系是否可以智能化呢?不妨做一个展望,电力企业的信息安全管理体系有了很强的自我学习与自我改进的能力,在信息安全环境越来越复杂,信息量越来越庞大的情况下是否会更能发挥信息安全管理体系的作用呢?这应该是值得期待的。
5 防病毒软件部署
电力企业信息安全管理体系有很多软件系统的部署,如防病毒软件部署、桌面弱口令监控系统部署、系统安全卫士部署等。但是它们的部署情况类似,这里用防病毒软件的部署来展示电力企业信息安全管理体系中软件系统的部署情况。如图1所示为防病毒软件的部署框架。
杀毒软件种类有很多,这里以赛门铁克杀毒软件为例。企业版的赛门铁克防病毒软件系统相比单机版增加了网络管理的功能,能够很大程度地减轻维护人员的工作量。为了确保防病毒软件系统的稳定运行,在电力企业内部正式使用时,尽量准备一立的服务器作为防病毒软件专用的服务器。
服务器安装配置好赛门铁克防病毒软件后,可以远程控制客户端与下级升级服务器的软件安装与升级。
电力企业内网可能是禁止接入外网的,这样的话,防病毒软件的更新可能无法自动完成。防病毒软件需要升级的时候,维护人员在通过外网在相应网址下载赛门铁克升级包,然后通过安全U盘拷贝到防病毒软件系统专用服务器进行升级操作。在图1中,省电力公司的防病毒管理控制台获得升级包可以下发给下级升级服务器和客户端进行防病毒软件系统的自动升级更新。图1是一个简单的框图,如果电力企业的内网规模很大的话,还可以更多级地分布部署。
6 结束语
电力企业的信息安全与企业的生产与经营管理密切相关,是企业整个管理系统的一部分。信息安全管理体系是一个整体性的管理工作,把体系中涉及的内容统一进行管理,让它们协调运作,实现信息安全管理体系的功能。电力企业信息安全的建立与体系不断的改进定能稳定、有效地维护企业的信息安全。
参考文献
[1] 王志强,李建刚.电网企业信息安全管理体系建设[J].浙江省电力公司,2008,6(3):26-29.
[2] 陈贺,宫俊峰.浅析信息安全体系如何建立[J].中国管理信息化,2014,17(1):74-76.
[3] 郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013(1):180-187.
[4] 沈军.火力发电厂信息你安全体系构建与应用[J].电力信息通信技术,2013,11(8):103-108.
[5] 左锋.信息安全体系模型研究[J].信息安全与通信保密,2010,01(10):68-71.
[6] 杨柳.构建供电企业信息安全体系[J].电脑知识与技术,2005(29).
[7] 曹鸣鹏, 赵伟, 许林英. J2EE技术及其实现[J]. 计算机应用,2001, 21(10): 20-23.
[8] 江和平.浅谈网络信息安全技术[J].现代情报学,2004(14):125-127.
作者简介:
崔阿军(1984-),男,甘肃平凉人,硕士研究生,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
张驯(1984-),男,江苏扬州人,本科,工程师;主要研究方向和关注领域:电力信息通信安全技术研究。
李志茹(1984-),女,山东平度人,硕士研究生,工程师;主要研究方向和关注领域:信息化建设及安全技术。
龚波(1981-),男,湖南新邵人,本科,工程师;主要研究方向和关注领域:电力信息化建设及安全技术。
[关键词]本质安全;电力企业;安全管理;措施
一、本质安全理论下安全管理体系的构建方向
本质安全理论中明确指出要对失误安全功能、故障安全功能两部分进行合理把握,在上述基础上合理运用针对性技术手段,对设备生产体系的安全性进行强调,从而使各项因素处于受控状态,形成恒久型、本质型安全体系。因此,本质安全理论下的安全管理体系要把握好本质安全这一核心内容,针对本质安全耦合模型形成相应的本质安全管理体系,构建层次化管理结构。本次研究过程中笔者主要从本质安全管理中的系统安全性演化机制及实现模型出发,思考电力企业安全管理体系的构建框架。笔者认为电力企业安全管理中应以可靠的安全管理物态系统为基础,以科学的安全管理制度体系为规范,双管齐下,形成良好的控制脉络。与此同时,电力企业安全管理还要把握好文化系统的构建,形成良好的文化环境,从而全面协调安全物态、安全管理、安全文化,形成系统化、层次化安全管理体系,实现电力企业安全管理效益的最大化。
二、本质安全理论下安全管理体系的构建要素
(一)安全物态系统要素
安全物态系统构建的过程中要需要对电力企业安全管理时采用的技术设备、生产环境进行全方位把握,是员工人身安全及电网安全运行的基本保障。该安全保护系统中的元素主要为实际的物质形态,包括设备、材料、工具、仪器、设施等,构成了电力企业安全管理工作的硬件系统,其具体状况见表1。
(二)安全管理系统要素
安全管理系统构建的过程中要把握好电力企业安全管理过程中的安全管理条例、制度、技术等。该系统要素构成了安全管理中的主要软件部分,为电力企业安全管理工作的开展奠定了良好的制度技术、行为基础等。
电力企业安全管理时需要建设完善的安全制度,如安全生产责任制度、安全检查评估制度、故障分析及预警制度等,通过上述制度形成系统化安全管理体系,把握好本质安全内容。除此之外,还要做好安全决策,对安全管理过程中的各项影响因素及时处理,做好组织建设、行为控制,从而全面提升本质安全控制质量。
(三)安全文化系统要素
安全文化系统要素构建时需要树立正确的安全价值观、安全理念,在上述基础上形成以人为本、以效为基的安全思维,从而全面提升电力企业安全管理效益,确保人员能够严格依照上述要求落实安全管理工作。
安全价值观是电力企业安全管理工作顺利开展的重要保证,其具体包括安全第一、安全效益、安全创造生产价值等理念,能够深入了解安全在电力企业工作中的作用;安全理念主要包括电力企业安全管理过程中的安全内容,能够保证员工全面了解本质安全工作,积极配合安全管理内容;安全思维方式是安全管理工作的有力保证。
三、本质安全理论下电力企业安全管理体系的构建措施
(一)把握物态要素,打下良好基础
本质安全理论下电力企业安全管理体系构建的过程中要对安全物态系统要素进行全面把握,在上述基础上优化电网结构,结合区域内电量需求状况适当调整电网布局,实现配网互供互带,提升分布式能源接入能力,从根本上降低电网风险系数;要把握好电网设备,对控制设备、状态检修设备、状态评价设备等进行全方位把握,在电力企业安全管理需求基础上合理设置上述安全管理设备,加强本质安全把握,如在线路中设置红外检测设备对电力系统存在的设备高温进行检测,异常后及时报警停机;要把握好环境控制,加大日常监督检查,保证环境隐患可控、能控、在控。
(二)把握系统要素,构建完善体系
系统要素把握的过程中需要构建完善的安全责任制,对电力企业安全管理体系中的各项安全管理内容进行指标量化,保证人员工作时能够有章可循、有据可依,形成常态化、计量化安全管理内容;要规范生产工作设计,对生产流程进行合理规划,依照电力企业安全管理状况形成针对性安全控制操作;要构建精益化管理结构,在动态排查和静态管理基础上精细化各项电力企业安全管理内容,全面降低设备运行的风险。该精益化管理实现的过程中可以适当运用GIS管理技术、PMS管理技术等,在该基础上加强本质安全故障管理、本质安全指标管控,从而全面提升安全管理质量。
(三)把握文化要素,形成良好氛围
本质安全理论引入电力企业安全管理体系中时需要对文化要素进行全面分析,在以人为本理念基础上树立正确的电力企业安全管理价值观,把握好电力企业运行中的各项风险,实现效益最大化;要有效地调动安全思维,通过多样的安全活动拓展员工对本质安全的认识,全面提升员工的安全管理能力,培养其安全管理思维方式;要构建真正的本质安全管理体系,形成全过程、全方位的安全管理形势,充分调动员工的主观能动性,加强员工的安全管理意识,形成良好的本质安全管理氛围。
四、总结
本质安全理论从本质安全出发对电力企业安全管理工作进行强调,形成了细化的安全控制体系,保障了人为操作和机械故障下的设备安全,对电力企业安全管理效益的改善具有至关重要的意义。随着电力企业安全管理的逐渐深入,如何进一步完善本质安全管理体系,将本质安全内容与安全管理系统化、层次化结合在一起已经成为人们关注的焦点。
参考文献
[1]黄幼茹.坚持不懈地打造本质安全型电力企业 第2讲 本质安全管理[J].电力安全技术,2013,02:66-69.
[2]王小岗.论本质安全管理体系在电力安全生产中的应用[J].科技与企业,2013,12:88+90.
关键词 空管安全;空管安全管理体系;空管安全文化
中图分类号 V267 文献标识码 A 文章编号 1673-9671-(2012)071-0202-01
1 空管安全研究的现状及前景
目前,在民航空管系统“安全、容量、效率、服务”的目标要求下,国内外对于空管安全的研究都较为深入,理论研究成果亦较为系统、成熟。例如,国内目前对空中交通管制安全管理体系的研究要求,安全管理体系的建设应该包括以下内容:
1)完善的报告系统。
2)科学的评估方法。
3)畅顺的沟通渠道。
4)高效的培训以及人性化的激励机制等。同时,国外学者也指出,人的因素、业务环境、飞机系统以及管制员技能等都对航空安全起着重要的作用。欧美当局也已经开始了飞行机组研究计划,通过改善信息传输以及航空公司、空管、机场的信息反馈,实现在终端实现安全、灵活、和高效的目标,提高了空管安全水平。由于空中交通管制安全的重要性,未来对空管安全的研究必将更加深入。
2 空管安全主要影响因素的分析
空中交通管制是民航运输的重要部分,空管安全则是航空安全的重要保障。在实际空管工作中,诸多因素将对空管安全造成不同程度的影响。其中空管安全中人的因素是最为重要,也是最关键的因素,如果能做好定期检查、预防;工作中提高警惕;发现异常及时处理等等工作,那么空管安全质量也会随之提高。
2.1 影响空管安全的人为因素
现代空中交通管理系统是以人为决策控制主体的管理系统。人是空中交通安全中最积极、最活跃、最主动的也是最不稳定的影响因素,系统中人的行为对空中交通安全管理效能有着举足轻重的作用。若人在空管工作中出现失误等人为原因,极有可能导致空管安全事故发生,对此我们要特别重视空中交通管理系统中管制员这一重要因素。其中主要包括人员自身的因素以及人与人之间的界面因素[1.2]。
2.2 影响空管安全的解决对策
2.2.1 加强空管安全培训工作
要想不断加强空管安全质量,首先就要加强空管工作人员的培训教育工作,不断提升空管安全管理水平。同时,培训期还应科学、系统地展开,改善以往散乱的培训项目,实现培训管理系统化,程序化,层层深入得提高空管工作人员专业技能和综合素质能力。
2.2.2 全面提高人员素质
1)在进入院校培养之前先对备选的空管专业学生进行一系列的基本认知能力测试、心理素质测试以及团队协作能力测试等。经过初步测试合格方可进入专业院校学习。
2)在院校的学习过程中,加强理论知识学习与实践经验教学的结合,注重培养空管学生的管制理念和管制意识,对管制模拟机的设备进行改进、练习进行优化等等。全面结合一线管制单位的实际需求,有针对性地对空管学生的各方面能力与素质进行培养和教育。
3)对于刚刚进入空管单位的新管制员,要加强岗前培训,培养其对管制工作的热爱和责任心。严把执照考试和放单关卡,一定要待新人足以胜任本单位工作之后再委以单独执勤的重任。
4)定期召开交流会,组织空管工作人员在会上交流工作经验,把自己在工作中遇到的一些问题提出来,与其他同事一起讨论并解决,相互交流好的工作经验和做法,以加强空管安全、提高空管工作质量为中心,共同提高。
2.2.3 改善人与人之间的协调与合作
空管对相关工作人员之间的协调顺畅度和合作有效性要求很高,因为空管工作是一个团体的工作,在这个团体里的每个人都应该以集体、团队为中心,充分发挥集体、团队的力量,全面加强空管安全工作,即使其中个人出现失误,也可以及时弥补。对此,空管在注重个人沟通协调能力的同时,还要加强不同岗位席位、不同部门之间的沟通与协调,遵循协作配合中的换位思考、及时沟通、相互尊重、平等互助的原则,一旦发现有不和谐因素应立即协调处理,以免个人原因影响大局。另外,还应重视TRM建设,加强班组资源管理,建立健全人员技术档案,合理分配值班,让工作人员在良好的工作氛围下分工协作、相互监督和提醒,实现1+1>2的合作效能,更好地保障空管安全。
3 进一步建议与改善措施
安全管理体系SMS(SafetyManagementSystem)是一套系统化、程序化的科学管理体系,是世界民航业多年安全工作经验积累的成果。它对于全面提高空管系统的抗风险和事故预防能力,加快与国际接轨的脚步,安全管理长效机制等都具有十分重要的现实意义。对此,应加强建立空管安全管理体系,其中包括:报告系统、评估方法、沟通渠道、安全文化、培训方案、激励机制等的建立和完善。另外,安全管理体系是一个动态的管理过程,在具体工作应不断更新、持续改进、并坚持不懈的进行下去,才能逐步掌握安全管理工作的规律,使安全工作由表及里、由浅入深、由感性认识上升到理性认识[4]。也只有达到这样的境界,空管安全管理才算走上了程序化、标准化的科学管理轨道,空管安全水平才能稳步提高。
4 小结
综上所述,在空管工作中,安全非常重要,它犹如一条生命线,关系着整个空管的质量,然而随着社会经济、科技的改革发展,空管也必须深化改革,创新发展,围绕安全工作这个中心,进一步确保和提高空管安全和质量。通过分析和研究,就如何加强空管安全对策和建议方面,本课题认为应该以人为本,加强安全培训与空管安全管理体系的建设,同时结合我国空管行业的实际,从精神层面创新建设富有我国特色的空管安全文化。使安全意识与安全理念融入管制员的价值观,形成“文化生产力”,从根本上提高空管安全水平。进一步而言,对于空管安全的改善应该采取宏观措施,从宏观方面整体规划。未来的研究重点也将更加倾向于空管安全管理体系的完善建立,特别是将空管安全自觉化、理念化、意识化,形成和谐的安全文化,从精神层面、思想层面指导行为
安全。
参考文献
[1]霍志勤.人为因素学术研究讨论文集[M].中国民航总局出版,1996,9.
[2]杨昌其,付令.浅析空中交通管制中人的因素[J].空中交通管理,2000,06:37-41.
关键词:机场 安全管理体系 管理程序
机场安全管理体系是以预防为主为理念,以风险管理为核心,以安全数据管理为基础,对影响机场安全的危险源进行系统分析,消除安全隐患,最终使机场的安全风险控制在可以接受的水平。
一、机场安全管理体系的构成要素
机场安全管理体系的要素涉及机场安全理念与文化,机场设备设施的硬件保障,机场运行效率与服务质量的软件保障,机场内部、外部运行环境等诸多方面。机场安全管理体系的要素构成分为计划、实施、检查、系统完善4个方面。
1.管理承诺与策划
管理承诺与策划主要确定安全管理的政策、方针,建立量化可查的安全目标体系,同时对局方(政府管理当局)做出承诺。安全策划是根据安全政策和目标,制订安全工作计划,为了计划的实施,要建立完善的安全责任制,明确机场决策层、机场安全监管部门、各运行保障部门及其关键岗位的安全职责。
2.风险管理
风险管理主要工作是:“找、评、改”,即对危险源的查找、评价并确定相应的改进措施、程序。机场的风险管理工作可以概括为两个方面:
一是机场对已经发生的不安全事件、工作差错进行处理、分析评价,查找造成事件和差错的危险源,提出改进措施并实施。
二是对尚未发生但有可能发生的风险进行查找、评价及其危险源识别,它是体现“预防为主”,消除隐患的不可或缺的重要方面。此类风险识别往往借鉴其他机场已经发生的事件,或根据经验推测可能发生的不安全事件。对可能发生的事件或差错,也要进行评价分析、查找危险源,并提出相应的改进措施。
为了风险管理的实施,要制订切实可行的措施及程序。风险管理的程序一般有:日常的监督检查程序、不安全事件处置程序、定期的风险评价程序、危险源查找程序等对于现代管理型机场,其安全保障工作及其安全责任有可能转移到相应的地面服务商,为此,还要制订合约方安全管理程序。
3.实施保障与监控
风险管理工作实施,需要安全资源的合理配置,安全信息的及时传递和有效沟通,对员工的安全教育和培训,文件系统的管控等一系列保障措施及其相应的管理程序。对于发生的重大突发事件,还要有应急救援措施和程序,即应急响应。
4.系统完善
任何系统运行都处于不断变化调整之中,当运行的环境以及体系内各要素发生变化时,就必须对系统本身做出调整,使之不断完善。通常在体系运行一段时间后,通过对机场安全管理体系的管理评审以及绩效考核指标的实现情况,确定是否要对体系的政策、目标、管理程序进行必要的调整和完善,以求持续改进。
二、机场安全管理体系管理程序及其编写规范
1.机场安全管理体系管理程序
按照机场安全管理体系的构成要索,需要制订的管理程序主要有:安全责任追溯、安全策划、变革管理、安全监控、不安全事件调查、风险管理、危险源辨识、安全测评、整改措施控制、合约方管理、信息管理、应急响应、设备管理、文件记录、人力资源培训程序、系统完善等10多个管理程序。其中,安全策划、安全监控、不安全事件调查、风险管理、安全侧评、危险源辨识、信息管理等程序必不可少,对于管理型机场还必须制订合约方管理程序。
2.管理程序的编写规范
机场安全管理体系管理程序的编写,可利用IS09000质重体系中对程序编写的要求,从目的、范围、职责、措施及程序等方面描述。
三、机场安全管理的职责
(1)主管安全的副总经理负责策划、组织机场全面的安全监督检查与管理控制,审批安全监督检查和管理控制工作计划,并授权安全质量部门实施;
(2)安全质量部门制订并实施对安全运行保障部门的安全监督检查和管理控制工作计划;
(3)各运行保障部门值班领导和专兼职的安全监察员负责对本部门生产运行的安全监督检查和管理控制。
四、机场安全管理的工作程序
1.监督检查
监督检查是查找、发现安全问题和隐患必要手段,是机场安全管理工作的起点。检查安全管理体系是否有效执行,是否采取风险控制措施并进行有效监控;检查机场安全运行所需资源是否配备,包括人员、设备的数量及其符合性。监督检查的形式主要有日常监控、定期检查、专项检查和综合检查等,可由各级各部门自查和职能部门按级检查的方式组织实施。
2.安全测评
安全测评主要评价机场及其运行保障部门是否完成了既定的安全目标。安全质量部门根据量化可查的安全目标制订机场及各部门的安全绩效指标,用安全绩效指标进行测评。各运行保障部门进行自我测评。各运行保障部门根据已经发生的不安全事件或差错,进行自我安全测评。
3.整改建议与措施
安全运行保障部门接到整改通知后,根据整改要求,制订整改计划。对发生的不安全事件以及存在的安全隐患,分别启动不安全事件调查处理程序和风险管理程序,明确相应的整改措施以及选择的风险缓解方案。整改计划经安全质量部门审批后组织实施。
五、结语
机场安全监察部根据安全运行保障部门的整改计划,监督检查整改措施的落实。采取整改措施及风险缓解方案后,再进行安全测评和风险评估,如不能达到安全目标要求,还要修正补充整改措施及风险缓解方案,使机场安全最终达到目标要求。
参考文献:
[1]李龙海.民用航空引入安全管理系统(SMS)的原因透析[J].中国民用航空.2006(08)
关键词:资产;风险;信息安全管理体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)10-2337-03
Planning for Information Security Management System Based on ISO27001
LIU Xia
(Deparment of Computer Science and Technology, Tongji University, Shanghai 201804, China)
Abstract: As the increasing dependence on urban rail transport system and the establishment of an integrated information network, we must take into account the destruction of man-made impact on the system. Now, heterogeneous transport information network composed of various information systems will be pared with the information security issues of the past closed system, large-scale heterogeneous network security issues become more important. So, it is necessary to establish the information security management system of rail transport information systems as soon as possible. Based on the standards ISO27001, this thesis gives a primary planning for the security management system of rail transport information systems.
Key words: asset; risk; information security management system
大型异构网的建立带来了许多新的安全需求和安全问题,例如Nawa[1]提出了许多数字安全化信息领域的潜在安全问题,Connell[2]等人也提出了许多安全需求,并且随着网络规模的扩大,网络的薄弱环节受到攻击的可能性会增加,安全管理问题也变得更加重要。组成轨道交通综合信息网的系统的复杂性使得网络面临更严重的安全威胁 [3]。本文立足于现有的安全技术和管理体系,建立了符合国际标准的安全管理体系。
1 信息安全管理体系规划
信息安全管理体系(ISMS,Information Security Management System)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系,它是直接管理活动的结果,表示为方针、原则、方法、计划、活动、程序、过程和资源的集合[4]。目前的信息安全管理体系有基于BS-7799[5]的信息安全管理体系、基于SSE-CMM[6]的信息安全管理体系和基于等级保护[7]的信息安全管理体系等。
其中ISO27001信息安全管理体系共有信息安全方针、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作管理、访问控制、信息系统的获取、开发与维护、信息安全事故管理、业务持续性管理和法律符合性11个要项组成,考虑到了信息安全管理的各个方面,但也只是给出了大概的规则,本文参照ISO27001标准将资产管理、通信和操作管理、访问控制三个要项做了细化。
1.1 资产管理
资产管理主要是对资产进行分类和采取保护措施。对于信息系统中的重要资产,应进行分类管理,为了更加快捷的定位于资产,建立了一个资产索引,命名为:Asset+”_”+序号。采用这种方法建立了一个资产清单。
为了更有效地进行资产管理,首先进行合理的资产评估,不仅要考虑到资产的安全特性(机密性、完整性、可用性),还要考虑资产对业务的重要程度。
1)安全特性的衡量:通过保障安全特性,就能实现资产安全的保障,这也是风险评估的基本原则之一。
2)业务价值的衡量:资产的重要程度的量化主要体现在业务量上。相关工作人员可根据经验得出各资产的重要性等级,为了与安全特性统一起见,也采用1-5五个等级来划分,资产的重要性用P表示。
在对资产安全特性和重要性进行量化的基础上,可以对资产进行评估。假设某信息资源管理系统S由硬件设备管理系统S1、软件设备管理系统S2和信息管理系统S3组成(n=3)。
3)风险发生概率的计算:鉴于计算中的指标要求,相关人员参考表1中各资产赋值情况,本风险发生概率受威胁、脆弱性、保护手段有效性等风险因素的影响,参照表1,转化为所需要的属性赋值,如表2所示。
由5位专家(q=5)对数据库服务器、核心交换机、总工作站等资产(u=3)就威胁、脆弱性、保护手段有效性评估因素(v=3)进行评判,结果如表2所示。以下是子系统S1的风险发生概率的计算[8]:
根据专家的相关经验评估的数据得到模糊评判矩阵:
,
去模糊化的矩阵为:,
将其归一化后,得到矩阵:。
得到各资产的熵系数向量M2=(e1,e2,e3)=(0.964,0.973,0.973)。
归一化后得w2=(0.33,0.34,0.33)。
最后得评估矩阵H2=?A2.R"2=(0.28,0.35,0.37)。
子系统S1的风险发生概率R=1-(1-0.28)(1-0.35)(1-0.37)=0.7。
同理可得,子系统S2和S3的风险发生概率分别为0.4和0.55。
结合专家对三个子系统的重要性、系统间相互作用和系统复杂性对风险发生概率的影响的估计,可得系统S的风险发生概率R=0.65。
4) 风险产生影响的计算:改进后的风险影响的计算方法中包括资产综合值、资产损失、能力损失、修复费用等影响因素。改进后的计算方法对影响区间进行了更细的划分,表3是专家对各资产的影响主观评估情况。
对某种类型的影响,基本参数是在各个区间上的取值的概率,对marginal和critical两种情况来说,附加参数是选择某个取值区间的概率。
对数据库服务器、核心交换机、总工作站风险影响的计算采用表3和表4中的数据得到影响值0.68。
A-F表示对风险影响严重程度划分的连续区间:minor->A:[0,0.15),marginal->B:[0.15,0.3) C:[0.3,0.5),critical->D:[0.5,0.7) E:[0.7,0.85),catastrophic->F:[0.85,1.0),表3中的数据表示每个区间所取的基准值。
将以上计算得到的风险发生概率和风险影响值相乘,可以获得系统的风险严重程度R?0.44。因此,这是一个中等风险的信息系统。
2.2 通信和操作管理
2.2.1 设备操作
1) 普通设备:对信息处理设备严格按照文件化设备操作程序进行操作,对不同的操作人员限制不同的权限,并定期工作人员进行培;提供主要网络设备(核心路由器、核心服务器)、通信线路和数据处理系统的硬件冗余,骨干线路也应该有冗余线路;提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放,提供异地数据备份。
2) 介质:介质应存放在介质库或申通各部门指定的地方,由专人妥善保存在安全环境中,保证有较少的人接触,对介质的使用必须遵循各介质的使用权限,并适时的做必要的备份;对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
2.2.2 通信
1) 通信线路:通信线路是实现数据传输的物理线路,包括网线、光纤等。应符合以下要求:通信线路采用铺设或租用专线方式建设;远离强电磁场辐射源,埋于地下或采用金属套管;定期测试信号强度,以确定是否有非法装置接入线路。
2) 网络和基础支持结构:条件许可时,将网络操作和计算机操作的责任分离,建立对远程设备的管理责任,采用防火墙技术增强申通内网和外网通信的安全性,建立认证、跟踪、日志记录和用户监控机制,以满足网络事件的监控管理要求,如可在数据中心安装接入认证(LDAP、AAA、Radius)服务器等。
2.3 访问控制
1) 对信息的访问:对信息的访问控制主要是保证信息的完整性、保密性和可用性;通过加密等技术保证信息在传输过程中不被破坏为;在一些公用段的应用服务器机房,采用备份或冗余设备对重要信息进行及时的备份;对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
2) 对系统和设备的访问:在关键的物理设备处,应采用接地方式防止外界电磁干扰;根据安全策略对操作系统、数据库和文件等根据访问人员角色的不同分配不同的访问权限,对普通用户访问权限建议半年检查一次,对特殊访问权建议3个月检查一次。
3 结论
本文对ISO27001安全管理体系的几个要项有针对性做了一些细化,建立了一套行之有效的安全管理体系,其中在对资产的管理要项中以对资产的风险评估为根据对资产进行管理,但所建立的信息安全管理体系还缺乏一定的可操作性,需要结合具体情况进一步完善。
参考文献:
[1] Michael E, Whitman. Principle of Information Security[M].Second Edition.北京:清华大学出版社,2006:173-190.
[2] Muftic S, Sloman M. Security Architecture for Distributed Systems[J].Computer Communication,1994,17(7):492-500.
[3] Abowd G, Allen R. Formalizing Style to Understand Descriptions of Software Architecture[J].ACM Transactions on Software Engineering and Methodology, 1995,4(4):319-364.
[4] 孙强.信息安全管理[M].北京: 清华大学出版社,2004.
[5] National Computer Center. Trusted Computer System Evaluation Criteria[R]. Technical Report DoD 5200.28-STD,1985.
[6] Paola Inverardi, Alexander L. Wolf. Formal Specification and Analysis of Software Architectures Using the Chemical Abstract Machine Model[J]. IEEE Transactions on Software Engineering,1995,21(4): 373-386.
安全管理体系(以下简称SMS)审核是海事主管机关对航运公司和船舶实施的重要管理手段,同时也是一项技术含量高、业务全面的工作,由于ISM/NSM规则只提供船舶安全营运和防止污染的管理标准,但未规定具体管理活动的标准,因此,SMS的审核质量对SMS的有效运行有重要影响,如何提高审核质量是海事主管机关面临的新课题。
?荩开展安全管理体系审核后评估的必要性
通过开展SMS审核后评估提高审核质量。安全管理体系审核是海事主管机关验证航运公司建立SMS是否符合ISM/NSM规则,公司和船舶是否有效运行SMS。但ISM/NSM规则只提供船舶安全营运和防止污染的管理标准,未规定体系文件及管理细节的不符合判定标准,在实际审核中,审核员在一定程度上拥有很大的自由裁量权。由于审核员业务素质参差不齐、审核水平标准不一,因此有必要通过开展审核后评估的方式,规范文件审核和活动审核,评估不符合规定情况,特别是对重大不符合规定情况的重新评估,及对纠正措施的重新认定,以提高审核质量。
通过开展SMS审核后评估,加强对中国船级社(以下简称CCS)的审核、发证的管理。自1997年7月1日,CCS实施国际航行船舶的审核发证来,仍有中国籍国际航行船舶在PSC检查中被滞留及发生安全事故。因此有必要通过开展审核后评估的方法,对CCS的审核、发证质量进行评估,发现问题及时予以通报,督促整改,以提高CCS的审核、发证质量。
通过开展SMS审核后评估,加强对航运公司SMS运行的日常监管。由于部分公司领导层对规则的理解和对SMS的重视程度不够造成体系运行中的“两张皮”现象,造成日常管理活动与SMS的要求存在严重脱节。对此,海事主管机关可通过到航运公司现场实施SMS审核后评估,即可掌握审核员审核质量情况,全面了解公司安全管理现状,掌握航运公司在船舶、船员管理等方面的问题,验证公司是否采取有效的措施对不符合规定情况进行纠正,加强对公司履行安全管理责任、SMS运行、排查和整改隐患等方面的监督管理。
通过开展SMS审核后评估,以提高审核员的技术水平。目前,我国审核员大多是早期的港务监督员及从学校毕业后直接培训出来,缺乏船上实际工作经验。对此,可通过开展SMS审核后评估,发现审核技术存在的问题,有针对性的开展审核技术培训,以提高审核员的技术水平,促进审核质量的提高。
?荩开展安全管理体系审核后评估的方式和对象
海事主管机关应跟踪建立SMS的航运公司所属船舶的营运情况,搜集涉及船舶的安全及防污染方面的信息,全面掌握公司的安全管理情况,针对不同公司的安全管理情况,采取不同的后评估方式和对象。
按通常情况,对公司和船舶SMS有效运行,未发生审核不予通过、附件审核、跟踪审核,及船舶未发生事故、险情和滞留事件。则审核主管部门可定期通过查阅审核的记录台帐(审核安排方案、审核计划、文件审核记录、活动审核记录、不符合规定报告、安全管理体系审核报告、船舶审核报告等)开展审核后评估。
对公司、船舶在每次审核均通过,但船舶却经常发生事故、险情和滞留事件,则应在审核记录台帐的基础,及时对公司、船舶实施现场后评估,以判定公司和船舶体系的运行真实情况。对SMS运行无效的公司,应及时收回符合证明。
对在公司的初次审核、年度审核、换证审核及船舶的初次审核、中间审核、换证审核不予以通过,以及需要实施跟踪审核时,则海事主管机关应组织审核后评估小组,到公司、船舶实施现场后评估,以体现审核员实施审核的公证性。
?荩开展安全管理体系审核后评估的内容
开展SMS审核后评估内容应根据各阶段审核发证情况,及航运公司安全营运情况,以及根据评估采取现场评估或查阅审核台帐记录的方式,确定后评估内容。
1、海事主管机关应每季度对上一季度审核、发证情况及航运公司体系运行情况进行评估
对开展审核发证情况评估。主要分析审核公司(国际、国内航运公司)数量、审核船舶(包括CCS实施审核)数量、公司和船舶的审核种类(初次审核、年度审核、临时审核、中间审核、跟踪审核、换证审核),相同审核种类的不符合数量情况,实施跟踪审核、附加审核的数量、未通过审核的数量。对各类审核数据进行评估,以分析航运公司SMS运行情况。
对航运公司体系运行情况进行评估。海事审核主管部门应及时收集SMS公司安全管理信息,针对所属船舶在安全检查中的滞留及缺陷数量、发生事故及险情、事故的经济损失、人员伤亡等进行分析,以评估公司SMS运行的效果,及应采取相应安全监管措施。
2、对审核员的审核质量进行评估
工作责任心评估。通过查看审核文书,评估审核员填写的审核文书是否齐全,各栏目是否填写正确;对审核组长评估包括文件审核和活动审核的策划和控制是否合理、审核计划制定合理性、审核报告准确性、审核文书规范性。
审核技巧评估和技能。着重对审核员在审核中所填写的文件审核记录和开列的不符合进行评估,通过查阅《文件审核记录》、《活动审核记录》和《不符合规定情况报告》,评估审核员在文件和活动审核覆盖性和全面性;SMS文件整体符合性、覆盖性、操作性的把握是否恰当;活动审核的控制是否合理;标准把握是否严格;开具不符合规定情况的整改措施是否合理;审核重点是否突出;能否与被审核方进行有效交流等。
3、实施现场评估的内容
对公司和船舶不能通过审核或发生跟踪审核,及公司所属船舶在安检中被滞留、发生险情、事故、人员伤亡等情况,则可采取现场评估的方式对到公司或船舶实施评估,但评估内容应根据实际突出重点。
对公司和船舶实施现场后评估的主要内容:当公司和船舶不能通过审核或发生跟踪审核,评估小组应对审核员在文件和活动审核中所列出的重大不符合规定的项目进行认定和分析,以体现审核的公正性;对公司经常发生安全生产事故及船舶滞留等情况,评估小组到公司和船舶现场评估内容应围绕SMS是否符合ISM/NSM规则要求及体系内各级人员的责任心、能力、态度和执行体系的主观能动性展开,评估公司管理层的对SMS运行的重视,体系运行中是否存在“两张皮”现象、公司对船舶的岸基支持、船岸联系渠道畅通、管理人员的配备、船员培训、船舶维修保养、应急训练和演习、关键性操作的实施等进行综合评估,以判定SMS运行是否有效。
?荩审核后评估的实施
1、组织后评估小组
参加SMS审核后评估的人员应具有代表性,不应只有海事审核员参加,参加评估的人员不属于被评估的航运公司或船舶的审核组人员。对国际航运公司和船舶实施后评估,评估组应由A类主任审核员、CCS审核员、国际航运公司管理层中的船长(轮机长)或具有航海资料的指定人员参加,必要也可请在船的船长或轮机长参加。对国内航运公司和船舶实施后评估,评估组应由B类主任审核员、国内航运公司管理层中的船长(轮机长)或具有航海资料的指定人员参加,必要也可请在船的船长或轮机长参加。
海事审核主管部门组织后评估小组后,由参加的评估员推荐一名担任组长,为体现后评估的公正,组长不应由海事审核主管部门人员担任。
2、召开后评估会议
召开后评估会议的准备。海事主管机关应提前制定后评估会议计划,列出评估的内容、时间、地点、参加评估人员、各阶段的实施各类审核、发证工作数据、航运公司的安全管理情况信息(滞留、发生险情、事故、人员伤亡等)资料,进行分析整理,作为后评估会议的信息输入,并列出需要评估的全部议题,提前发给参加的后评估的人员。评估组长应根据公司体系运行及安全管理状况,在评估中突出重点,以解决实际问题。
召开后评估会议,实施后评估。会议由组长主持,参加评估人员按照计划要求,对上阶段的审核数据和审核记录台帐,及航运公司体系运行和安全生产情况进行研讨和分析,提出加强审核管理及加强航运公司外部监管的建议。对公司或船舶实施现场评估,评估组应重新认定影响体系运行的重大不符合规定情况,并通过查阅台帐、询问、开展演习(必要时)等判定体系是否运行有效。评估结束前,组长应对评估中发现审核质量、改进措施、现场评估中的发现问题进行归纳总结。
3、编写审核后评估报告
编写后评估报告是审核后评估的一项重要内容,报告应包括:评估的目的、内容、日期、参会人员、审核质量分析、对航运公司的安全管理提出加强外部监管的建议、现场评估后对公司和船舶SMS运行有效性的判定、及向海事主管机关提出加强审核管理和公司管理的建议。
?荩开展安全管理体系后评估的后续措施
1、加强审核管理
对评估中发现审核员在审核符合性、覆盖性不全面,在不符合规定的描述不清、不符合规定情况的判定不准确等存在审核质量问题,则海事主管应进一步加强对审核员的日常跟踪和考核管理,合理选派审核组成员,加强对审核报告的审定工作,确保审核工作的有效实施。
加强对审核员培训和学习的管理,严格审核员考试发证工作,统一审核工作的标准和尺度,防止不同审核组之间出现较大差异,促进审核员的审核水平的提高。
2、开展审核研究
由于ISM/NSM规则只提供船舶安全营运和防止污染的管理标准,但没有具体规定公司管理及船舶管理的具体操作标准,SMS文件应满足“覆盖性、符合性、适用性”,但因公司的经营及管理的模式不同,体系文件的设计编写也不同,同时审核员对规则的理解不同,对审核中会出现的不符合规定情况与重大不符合规定情况的认定、特殊操作与临界操作的认定、船长管理复查的内容和时机、培训需求的标识、船上可能出现紧急情况的标识等均存在不同标准,因此,海事审核主管部门应开展审核理论和审核技术规范化研究,制定更加具体的审核技术标准,规范审核实施过程,提高审核技术水平。
关键词:国际贸易;绿色壁垒;农产品;贸易;影响
一、绿色壁垒的主要表现形式
1.绿色关税
绿色关税是绿色壁垒的最基本的表现形式,其主要内容是某些国家以保护环境为由,对外国一些影响生态环境的产品除需要征收正常的进出口货物关税外,还需要增收产品进口附加税。比如,早在几十年前,美国就已经开始对石油以及某些石油的衍生物征收环境进口附加税,用于治理和优化人类生活环境。
2.绿色技术标准
当今社会,随着国际经济贸易往来的不断频繁,不同国家都根据本国的具体发展情况制定了不同的绿色技术标准,并对进出口本国的产品严格按照此标准进行检查。然而,对于一些发达国家,其无论是在经济实力还是在科技实力等方面,都具有较大的优势,相应的其指定的绿色技术标准相比发展中国家或落后国家,就有很大的提升,对进口本国的贸易产品提出更高的要求和标准,这在一定程度上就导致一些发展中国家的产品无法进入发达国家的贸易市场,绿色壁垒就是在这种绿色技术标准超出基本水平或对各国的产品表现出不同标准的公平性时表现出来的。此外,近些年来,各国的绿色技术标准涉及到的产品越来越多,而且对于一些产品的标准也相应地提高了,其设计的国际贸易范围越来越广。
3.绿色包装
绿色包装是指对生态环境没有任何危害、节约资源、易于回收和降解的包装材料,这种包装的“绿色”体现在环境、人文、资源等多个方面,人们在使用的过程中不会对人类的健康产生任何的影响。近些年来,一些发达国家一直在致力于推广绿色包装,并通过相应的法律法规来提升其约束力,促进各国之间经济贸易的“绿色”进行。与普通包装相比,绿色包装的成本更高,高科技含量更高,但其对促进人类社会的可持续发展有着重要的影响作用。
二、我国农产品贸易遭遇绿色壁垒的原因
1.国际社会对食品安全以及环境保护的重视程度大大提升
随着国际社会经济水平的不断提升,人们对于生产生活中的食品安全提出了更高的要求,经常出现的食品安全问题也促使人们加大了对食品安全问题的高度关注。相关管理监察部门对于农产品的化学成分含量的检查更加严格,并通过不断制定新的农产品检疫标准保证各国进出口产品的安全质量水平,这在一定程度上对发展中国家农产品贸易出口提出了更高的要求,各类农产品出口都必须严格按照相关标准进行检查,大大增加了各国遭遇绿色壁垒的几率。
2.出口农产品质量较低,达不到绿色产品要求
虽然我国一直处于农业生产大国的行列,但农产品的生产大部分都采用的传统的生产方式,而且生产过程中的卫生和健康安全往往得不到充分保证,比如在蔬菜种植的过程中对于农药、肥料使用尺度的控制还缺乏一定的管理,导致我国农产品生产缺乏必要的质量规范,农产品的整体质量得不到充分的保证,影响农产品的贸易出口。
3.出口农产品的产品结构和市场结构还不够合理
我国农产品的出口市场一般都集中在附近的国家,相比发达国家的出口市场相比,涉及范围还较小,出口量相对较少,这就导致我国政府对于农产品出口市场缺乏系统的管理,整个农产品出口市场结构还不够合理,对于各种突发状况的处理还不够完善,影响我国农产品的贸易出口,很有可能遭遇到绿色壁垒的影响。
三、绿色壁垒对我国农产品贸易的影响
1.影响出口及其成本
近些年来,随着国际贸易的不断频繁,各发达国家借助自身技术优势,不断对本国的绿色壁垒进行调整,提高对各类农产品的进口技术标准,借助立法手段制定农产品进出口新标准,大大削弱了出口国农产品的贸易竞争力,将出口国的产品拒之门外。这一措施不仅影响到出口国农产品的流通,而且也使得出口国农产品的出口成本大幅度提升,农产品的出口周期也相应增加,影响农产品出口企业的经济效益,长期下去必将削弱相关企业的出口竞争力。
2.对农产品质量安全产生影响
在对农产品质量安全管理体系进行制定和建设时,我们也不能忽视了影响农产品质量安全的相关因素,而也只有全面地把影响农产品质量安全管理的因素做一个归纳和总结,才有利于我们对农产品质量安全管理体系的建设有整体性的把握的规划。我们要从系统的视角对农产品质量安全管理的复杂性进行深刻理论解析,揭示我国农产品质量安全管理体系的现状及存在的一些问题,并借鉴国外优秀的农产品质量安全管理体系成果和经验,提出完善的农产品质量安全管理体系建设的对策及意见。
四、对策建议
1.强化安全管理体系
我们应该看出我国的农产品质量安全管理体系存在的不足,并从我国现有的农产品质量安全管理体系的基本情况着手,分析国内外农产品质量安全管理体系的共同特征,寻找国外农产品质量安全管理体系建设对我国的启示。
2.制定合适的政策
一、本公司认证的目的及作用
环境和职业健康安全管理体系是目前世界范围内应用最广泛的管理标准,在世界上具有很强的权威性、指导性和通用性,体现了企业可持续竞争发展的思想。二体系标准分别立足于环境管理和安全管理这两个关键生产要素,利用PDCA过程循环管理模式,对企业进行规范化、系统化的管理,提升企业核心竞争力,是对我们企业以往管理体系的补充和完善。通过体系认证,我们可以提高自己的管理水平,这是毫无疑问的。但是,提高企业管理水平并不是体系认证的最根本目标。ISO14001标准、OHSAS18001标准首先要解决的是市场准入问题。也就是说,他们是为了保护竞争的公平性而存在的。企业要在市场中经营,管理体系应符合这些标准的要求,这是最起码的要求。ISO14001标准、OHSAS18001标准的普遍适用性就是为此服务的。所以认证工作迫在眉捷,是我们目前管理工作提高的有力手段,也是市场竞争的需求。我们要在市场的大潮中立于不败之地,就要把认证的工作扎扎实实做好,将我们的管理水平提升一大步。
二、体系覆盖范围:
(一)管理体系涉及部门:本公司所属的安全环保部、市场部、综合办、质检部、生产技术部、动力设备部、财务部等七个部门。
(二)建立体系类型:
建立环境和职业健康安全管理体系,形成环境和职业健康安全管理整合体系;
三、体系策划方案:
为实现本公司确立的总方针、总目标,本公司建立了环境和职业健康安全管理体系,并对体系内各部门所分解的指标完成情况进行控制,做好各方面的接口,从而使责任明确。
本公司的管理体系的关注点是各部门根据本公司的方针、总目标制定本组织的目标责任制和指标,在本公司贯标办的指导和监督下,各部门对本系统的生产活动进行管理和控制,确保体系的有效运行,实现本组织内的指标,以达到确保本公司总方针、目标的实现,相互关联的各职能层次的体系之间,建立了信息交流,畅通的沟通渠道,达到了资源共享。
四、主要工作:
(一)领导重视、果断决策,环境和职业健康安全管理贯标认证顺利启动
(二)准备充分,基础扎实,为顺利取证打下坚实基础
贯标以来,我们主要做了以下五个方面的工作,取得了明显的成效。
2、普及培训。在这方面本公司做了大量的工作,进行了中层干部和业务骨干贯标工作培训和内审员培训,使全体中层干部了解了本公司所有管理体系的文件要求,从而有效地组织部门贯标工作的顺利进行;使全体内审员了解了环境和职业健康安全管理体系的审核内容和步骤,从而有效实施了贯标工作的内部审核工作。
3、文件编制。本公司生产技术部组织文件编写,广泛听取和收集各岗位人员对本公司以往各项管理制度的看法和意见,再此基础上实施本公司管理体系文件的撰写工作。在文件编制中,我们根据本公司下发的程序文件编写导则和本公司环境和职业健康安全管理体系文件的编写计划。经过二个月的努力终于完成了管理手册、程序文件的编写工作。此后本公司又请咨询老师对所有文件进行逐条逐句的审核和修改,直至最后定稿。
4、体系试运行。3月10日本公司最高管理者下达体系运行令之后,本公司环境和职业健康安全管理体系在本公司正式试运行。为了保证试运行的效果,本公司对各部门进行了系统的宣贯培训,重点讲解了二个标准和本公司程序文件,通过宣贯培训使广大基层操作人员对标准和程序文件有了更深层次的理解和认识,广大职工以高度的责任感和紧迫感全面落实贯标文件的各项要求,从而使管理体系试运行工作有条不紊地进行。
5、内部审核。在本公司管理体系试运行后,本公司组成了内审小组,于20**年7月底对各部门的贯标工作进行了严格的内部审核。从审核情况看,大部分部门体系运行情况正常,运行效果明显,但也有个别部门有关领导及岗位人员对贯标的认识还有不足,对标准的理解有差距,体系运行效果未达到规定要求。由于运行时间较短,很多同志对标准和程序文件的学习不够、理解不深刻,审核共计开出了3不符合项。针对内审中反映出的问题,公司长和各副公司长分别召开会议,反复强调执行本公司管理体系文件的严肃性和强制性,要求各部门针对内审中发生的不合格项制订出具体的纠正措施并规定了纠正时限。经过加工补课,第一次内审中暴露出的问题全部得到纠正。在第二次内审过程中,情况有了明显的改观,不仅杜绝了严重不合格项的产生,同时一般不合格项也大为减少。
(三)重点关注环境因素/危险源的识别及对重要环境因素和重大风险因素的评价和控制
1、充分识别环境因素/危险源
本公司的产品品种多,生产流程、工艺复杂,所以涉及到的环境因素、危险源较多,环境因素、危险源的识别的充分与否,对环境管理体系、职业健康安全管理体系的运行与控制能否发挥有效的功能起着非常重要的作用,确保两者的识别的充分性是重点,也是难点。
为做好此项工作,我们从以下几方面给予了高度关注:
(1)环境因素的识别:
A、环境因素的三种状态(正常、异常、紧急)
B、三种时态(过去、现在、将来)
C、七种类型(向大气的排放、向水体的排放、废物管理、土地污染、原材料与自然资源的使用及其他环境问题和社区性问题),此方面是我们工作重点。
本公司的生产活动中资源和能源用量很大,还有粉尘、废水、废气、噪声、废弃物产生。所以必须加以控制,提高环境保护的功效。
D、环境因素的性质分析:有害、有益
E、应引起特别注意的环境因素的因果关系的考虑:包括直接结果和间接结果
(2)危险源的辨识
危险源辨识的结果关系到安全管理体系方针、目标的确定,法律、法规及其他要求的符合性及体系运行的有效性。因此,保证危险源辨识的充分性,我们是从以下几方面着手的:
A、渗透全方位安全管理的思想,对“人的不安全行为,物的不安全状态,作业环境的缺陷和健康安全管理的缺陷”采用系统科学理论,在体系建立之初要求考虑所有作业场所人员的常规、非常规活动和作业场所内的所有设施,并分为正常、异常、紧急三种状态和过去、现在和将来三种时态,依据物理、化学、心理等多方面的信息加以识别,以确保准确、全面地反映出本公司安全生产的管理状况
B、把事故、违规违法、安全检查等作为鉴定辨识充分性的尺寸,这次危险源辨识的结果,包括了本公司和其它部门近年来发生事故的有关信息。
C、本公司将有实践经验、懂安全技术的安全管理人员组成小组采用调查表法和活动分析法组织员工进行危险源辨识,并将辨识结果发放全体员工手中,予以补充、协调和完善。本公司的危险源在生产中大量存在的,通过全面识别,除火灾、爆炸等明显的危险源外,高温、机械伤害、触电、噪声、粉尘等危险源在这次辩识过程中也给予了充分识别。
2、重要环境因素、重大风险的评价与确定
重要环境因素和重大风险是目标指标制定的依据,也是控制的重要对象。确定是否为重要环境因素时我们从法律法规的要求、环境影响的范围和严重程度及发生的频次和持续的时间,对环境破坏的可恢复性、改变环境影响的技术难度和所需费用、相关方的关注程度等方面加以考虑,采用的是非判断法、打分法。重大风险评价包含两个方面:一是评价风险程度,二是评价风险是否在可承受范围。评价风险程度是基础工作,其对象是在某一具体作业活动中,由于种种原因可能发生的危害事件所涉及到的具体风险,我们采用的方法为LEC法。评价风险的可承受过程是独立的任务,依据主要有两个:一是法律义务即法律法规的要求,二是企业的职业健康安全方针。
3、建立了环境和职业健康安全目标和指标及实施管理方案
针对重要环境因素制定环境目标、指标并分解到各部门,针对环境目标制定环境实施方案,并落实实施措施,责任到部门,组织并要求相关人员认真学习,严格按照时间表执行,实施效果明显。
针对重大危险源制定了风险控制措施计划,通过评审计划的充分性,编制及实施了管理方案。
目标的实施情况详见附件一,管理方案的实施情况详见附件二。
(四)部门配合,全员参与,确保了贯标工作顺利开展
在贯标工作的实践中,我们充分认识到,职工的全员参与是做好贯标工作的基础,决定着今后体系运作的成效。在启动贯标认证工作之初,本公司领导就决定贯标认证培训全员化、文件编写部门化,程序指导业务对口化、贯标责任指导部门化、体系推进专业化,这样就把本公司全体员工,各部门、机关各业务部门,体系推进部门通过“五化”牢牢的绑在了一起,使各职能部门都能在认真履行好主管程序职责,做好本职工作的同时,还能以大局为重,做好相关程序的配合、支持工作,避免了推委扯皮现象的发生。
五、取得成果
1、持续满足国家法律、法规和其他要求,降低经营成本及各类责任风险;
2、通过建立信息交流,形成信息沟通渠道,保证沟通有效进行,提高顾客的满意度,改进与员工、客户以及相关方的关系,激发对于环境保护的承诺,并明确职责,降低能源的消耗,降低环境和生产安全风险,减少环境污染,满足客户及相关方的要求;
3、通过建立保障程序达成预定成效,今后将提供适当资源,以持续达到各阶段的绩效水准;
4、提高综合竞争力和知名度,提高市场份额,提升企业竞争和国际贸易优势,创造更佳的经济效益和社会效益;
5、为本公司提高环境、职业健康安全绩效提供了一个科学、有效的管理手段,有助于环境、职业健康安全法规和制度的贯彻执行,使本公司的环境、健康安全管理由被动强制行为转变为自愿行为,可为本公司产生直接和间接的经济效益;
6、贯标以来,本公司各部门结合生产经营特点,普遍开展了以法律法规、责任意识为重点的安全管理人员资格培训,以安全素质和操作技能、管理知识、风险识别等为主要内容的岗位员工培训,以从业知识、岗位操作为主要内容的从业人员的持证培训,都收到了良好的效果;
7、加大了治理事故隐患力度,本质安全得到进一步提高
(1)源头控制能力增强,重大危险源的安全管理逐步规范。
贯标以来,本公司加大了对重大危险源的管理,组织了对重大危险源的辨识、评估,共辨识本公司级重大风险23个,重要环境因素6个,已建立档案进行动态监控。
(2)加大安全检查力度,及时整改事故隐患。各级领导亲自组织并带队检查安全已形成制度,班子成员都曾多次到现场检查环境和职业健康安全管理工作。今年领导班子集体研究决定拨出专项经费,进行环境和职业健康安全管理专项和综合检查。环境和职业健康安全管理检查时,主要是查领导责任制、查思想认识、查制度建设、查组织机构、查培训教育、查设备设施、查事故隐患、查违章违纪,对发现的问题和隐患,各部门都立即组织了整改。
(3)完善应急预案,处置突发事件的能力有所增强。各部门分类编写完善了应急预案,强化了应急演练和宣传教育,进一步提高了应对、处置各类突发事件的能力。
六、存在的问题
(一)各级领导和人员对贯彻环境和职业健康安全管理体系的认识尚有差距
有些部门领导和人员对贯彻环境和职业健康安全管理体系认为没有必要,导致对环境管理要求不严,职业健康安全管理还停留在体系运行前的水平。没有认识到贯彻环境管理体系标准可以有助于企业环境保护意识和管理水平的提高,有助于实行清洁生产、实行污染预防,有助于企业节能降耗,降低成本,可以提高企业的市场竞争能力,取得走向国际贸易市场的绿色通行证;没有认识到贯彻职业健康安全管理体系能更好地体现以人为本的企业宗旨,真正实现安全生产,预防为主的管理思想;没有认识到对环境因素、危害因素和过程的管理是降低企业经营风险、安全风险、环境风险的有力手段。
(二)对标准、体系文件的学习不够,理解不深,导致体系运行出现偏差
部分人员对标准要求和体系文件没有很好地组织学习,特别是职业健康安全和环境管理体系刚刚建立起来时,大部分人员对环境和职业健康安全管理体系文件不了解,只是体系文件编写人员对标准和体系文件较为了解;并且有些部门和人员对贯标工作长期不入门,认识不到位;个别领导学习不够,对标准和体系文件学习不够,理解不深,认为贯标只是个别人的事情;导致体系运行出现偏差,主要体现在以下几个方面:
1、对环境因素、危险源辨识评价不全面、细致,没有完全掌握辨识的方法,没有弄清楚危险源的定义,对危险源和环境因素描述不准确,针对重要环境因素和重大危害因素制定的管理方案,尚未理解管理方案的编制要求,没有制定出具体的技术措施,方案缺乏针对性和可操作性。
2、法律法规的获取、识别和学习亟待加强。在ISO14001和OHSAS18001标准中,都将法律法规的获取、适用性评价、学习和更新等专门列为17要素之一,足以显示其重要性。由于存在怕麻烦、获取途径不通畅等原因,大部分部门对法律法规及其他要求的收集、评价及学习工作存在明显不足。
3、能力、意识和培训方面急需改善。各部门对员工培训普遍重视不够,对各部门人员能力评价标准和方法没有真正掌握,操作技术、安全技能、法律法规等学习培训有的没有做、有的做了也没记录,与程序文件要求有较大差距。
4、安全环境纠正、预防措施实施不符合标准及程序文件要求。部分岗位人员对纠正和纠正措施还没有真正理解,对不合格原因的分析不是十分准确,对纠正、预防措施的信息来源没有真正弄懂,对标准在纠正、预防措施实施前及实施后都要进行评审的要求,没有认真执行。
5、环境、安全运行控制存在一定差距。由于安全、环境是初次贯标,大部分岗位人员对标准和程序文件的理解不深不透,对识别出的危险源和环境因素缺少控制策划,控制措施制定的不全面,没有结合项目实际制定可操作性强的制度措施,造成运行无准则、出现运行偏差。
6、记录控制仍显不足。部分岗位人员对保持记录的重要性认识不够,对自己履行职责、开展业务活动以及相关体系要素运行等未留下足够的客观证据,与标准、程序要求有一定差距。
7、危险源和环境因素识别、评价需进一步加强。部分岗位人员对过程方法还没有完全掌握,不能随生产阶段、工艺流程、施工环境等的变化及时进行识别、更新、评价,没有理解标准精髓进行动态管理。
8、过程策划不充分。部分岗位人员未掌握PDCA运行模式,任何工作(过程)都是从策划开始的,对过程输入、输出理解不透,造成输入不全面,输出可操作性不强、指导意义不大。
9、安全、环境过程监视测量方面存在不足。对PDCA循环中C(检查)阶段做的很不够,要么未检查要么检查记录欠缺,造成A(处置)阶段输入不充分,不能对策划的结果进行验证,无法根据验证情况对策划过程进行改进,造成PDCA不能真正循环起来。
八、下一步的打算:
针对两次内审所暴露出的问题,要求各部门必须按本公司要求限期整改。下一步为把环境和职业健康安全管理化体系运行工作落到实处,具体要求如下。
(一)各级领导要积极参与环境和职业健康安全管理体系工作
在环境和职业健康安全管理体系实施过程中,各级领导的重视和齐抓共管是体系建立的前提,是推动体系前进的动力。在体系实施过程中碰到诸如环境和职业健康安全管理体系管理职责的调整和划分、规范化的环境和职业健康安全管理体系管理带来原有工作程序改变、环境和职业健康安全管理体系责任制考核的落实等问题时,本公司领导要及时主持召开环境和职业健康安全管理体系工作领导小组会议,协调解决问题。各部门领导应以身作则,认真履行本部门环境和职业健康安全管理体系职责,积极配合环境和职业健康安全管理体系管理部门完成各项环境和职业健康安全管理体系工作;基层各级领导要发动本部门员工严格执行环境和职业健康安全管理体系管理制度,积极参加培训,参加危害识别和作业安全分析等环境和职业健康安全管理体系活动,规范个人环境和职业健康安全管理体系行为,鼓励先进,实现全员的环境和职业健康安全管理,避免出现人为的执行偏差。
(二)大力开展环境和职业健康安全管理体系宣传和教育
环境和职业健康安全管理体系是一种全新的管理模式,只有使全体员工具备正确的环境和职业健康安全管理体系思想意识和观念,并自觉按环境和职业健康安全管理体系的管理标准来规范自己的行为,在全本公司逐渐形成一种环境和职业健康安全管理文化,在这种文化氛围中体系才能够很好的运行。
(三)进一步强化基层员工的技能培训和行为训练
实施环境和职业健康安全管理体系的最终目的是控制风险,避免事故的发生。为了确保环境和职业健康安全管理体系的有效运行,必须使全体员工都了解风险、识别风险,对风险进行评估,从而达到控制风险的目的。特别是基层部门员工,他们是直接操作者,这就需要不断强化对员工的环境和职业健康安全管理体系技能培训和行为训练。
(四)继续抓好环境和职业健康安全管理体系职责的落实,严格检查考核
我们在体系运行的前一阶段,忽略了对体系的检查考核,员工的环境和职业健康安全管理体系职责没有得到很好的落实,执行体系文件时产生偏差,导致文件和实际工作脱节,出现了“两张皮”的现象,重新走回了老路。因此,确保体系有效运行的关键在于建立强有力的考核机制,按照环境和职业健康安全管理体系职责的履行情况,严格做到奖惩兑现,确保本公司环境和职业健康安全管理体系方针和目标的实现。
本公司环境和职业健康安全管理体系主要考核内容将包括部门年度环境和职业健康安全任务完成与目标的实现情况,部门和管理人员环境和职业健康安全管理体系兑现情况,部门环境和职业健康安全管理体系职责的履行情况,基层部门年度环境和职业健康安全管理任务完成与目标的实现情况,对未能履行环境和职业健康安全管理体系职责或因管理失误造成事故者的处理情况,员工遵守和执行规章制度的情况等。本公司将成立专门的环境和职业健康安全管理体系检查考核小组,不定期对各部门、部门、个人的环境和职业健康安全管理体系职责落实情况进行检查,实行考核项目标准化、指标定量化、检查记录表格化,检查者与被检查者签字确认,并以此为依据,确定部门、部门、个人的环境和职业健康安全管理业绩表现,对照年度环境和职业健康安全管理体系目标进行考核,考核结果与经济责任制挂钩。只有通过这些经常性的考核,才能及时掌握完成情况,把握工作方向,确保环境和职业健康安全管理体系的有效运行。
(五)进一步强化作业现场环境和职业健康安全管理
当前本公司几乎所有的生产、维修活动都存在这样那样的风险因素,强化作业现场的环境和职业健康安全管理,将极大地推进环境和职业健康安全管理体系的全面运行。作业现场管理各部门今后应突出以下几点工作:
1.强化作业现场的风险管理。按照体系文件中《危害识别和风险评价程序》和《环境因素识别和评价程序》的要求,组织员工对所有作业活动进行危害识别风险评估,所有活动包括:日常生产运行中各种操作、开工、停工、检维修作业;进行基建、变更、采取拟定的纠正措施等;识别活动中存在的危害、环境因素、涉及的法律法规,评估风险度、环境影响、法律法规符合程度;根据风险度大小采取适当的风险控制措施,如现场控制、管理控制、人员控制等,最大限度地减少作业风险,保障作业活动的可靠运行。
2.突出抓好检修过程中的环境和职业健康安全管理。检修活动因涉及人员广,危险点源多,交叉作业频繁,一直是安全、环保、职业卫生管理的重点和难点,若管理不到位,极易发生重、特大事故,因此今后突出抓好检维修过程的环境和职业健康安全管理至关重要。在具体实施过程中,以危害识别风险评估为重点,落实环境和职业健康安全管理职责,制定环境和职业健康安全管理方案,提出环境和职业健康安全管理保证措施,并制定有关应急预案,特别是对识别出的重大风险项目,要切实落实好控制改进措施,以防止重大人员伤亡、设备损害和污染等事故的发生,对直接作业环节严格按程序文件和运行控制文件中的有关规定进行作业。
3.加强对作业现场的检查监督。各层次环境和职业健康安全管理人员对现场作业进行环境和职业健康安全检查、通报,对不合格项及时采取相应纠正措施。
(七)继续开展内部审核达到体系持续改进的目的
在环境和职业健康安全管理体系每运行一定时间,都要对环境和职业健康安全管理体系的符合性、有效性、适用性进行审核,内部审核做为审核的一种主要方式,可以自我诊断和评审本公司的环境和职业健康安全管理体系方面所取得的成效,还有哪些需求和不足,为管理评审提供依据,并且可进一步督促员工自觉履行环境和职业健康安全管理职责,因而是进一步改善体系的强有力手段。
除内部审核外,外部审核、管理评审、体系认证都是保证体系持续改进的有效手段,本公司应根据体系文件要求认真组织实施。
职业健康安全管理体系运行情况报告(二)
市局(公司):
一、物流配送基本概况
二、物流中心组织构架
物流中心组建于20xx年8月,通过“三集中”、“两个主体建设”的改革,目前组织机构为4部4站(综合部、送货部、储配部、安全管理部、旺苍配送站、苍溪配送站、剑阁配送站、青川配送站)。并设置主任、副主任、部长(副部长)、站长(副站长)、综合管理员、安全管理员、出纳员、保管员、配货员、驾驶员、送货员等11个工作岗位。全市共有物流员工108人,全部由物流中心集中统一管理。
三、ohsms运行情况
(一)围绕职业健康安全总要求,着力加强员工职业健康安全教育培训,员工职业健康安全意识明显提高
20xx年6月1日体系以来,我中心紧紧围绕职业健康安全管理手册、程序文件、作业文件三个层次的体系文件中所涉及的规范标准,有计划、分岗位、按步骤地组织培训学习。一是组织物流本部全体人员以及配送站管理人员对《作业文件》进行了多次讨论学习;二是各部门利用周会和中心例行组织的培训时间对一线员工进行了分项重点讲解培训;三是围绕职业健康方针、目标主办了宣传专栏10期;四是对职业健康运行情况进行了考试测评。通过多种形式、各个层面的教育宣传,职业健康安全管理活动开展氛围浓厚,岗位人员的理解和熟知程度明显提高,教育培训合格率100%。积极地推动了我中心职业健康管理体系的顺利开展。
(二)围绕职业健康安全方针和目标,规范开展配送工作,物流运行平安无事故
20xx年6月1日职业健康安全体系实施以来,我们围绕职业健康安全方针和目标,按照体系要求,始终坚持“安全第一、预防为主、综合治理”的安全生产工作方针,物流配送主要过程和安全管理工作达到了规范化、标准化、痕迹化、平安化。
2、突出加强了车辆、资金安全管理。物流中心是车辆、人员、物资的集中地,特别是车辆和货款安全,动态隐患突出,管理难度大。体系实施以来,我们突出强化了车辆、货款安全管理。一是规范了财务室、收款室的“三铁一器”,大力推行电子结算和银行取送款制度;二是安装了随车保险柜。三是制作了专用交款的铁皮箱并要求送货员在交款时必须与驾驶员一同将货款送到收款处;四是加强车辆的路检路查和收车的例检工作,杜绝酒后驾驶和疲劳驾驶等违规行为;五是定期对车辆进行保养,配备车载灭火器、防滑链和随车工具等;六是制定相应的安全行车管理制度和车辆事故应急救援安全预案;七是落实了车辆收车后的钥匙存放地点,消除了驾驶员随身携带钥匙的安全隐患。通过管理的加强、体系的运行,目前我中心未发生重大交通事故和资金被抢被盗事故。
3、纠正预防,持续改进。从20xx年6月1日职业健康安全管理体系实施以来,我中心对在4次内审和3次外审中暴露出的问题,我们迅速组织整改完善。一是对老化电源线路及电器设备及时进行了更换;二是坚持了用电线路的接、拆由专业电工进行;三是在仓库坡道处设置了醒目标识;四是添置了卷烟水份测试仪;五是对各类监视测量设备进行了检测;六是及时更新了部分送货车辆。保证了良好的车辆状况和配送工作的顺利进行。七是根据中心仓库的变更,及时制定了合理的出入场线路,并针对地震后中心车辆无场地进行例检的情况,联系了回场线路上的有资质的维修企业对车辆进行收车后的例检,签订了相应的协议,保证了车辆良好的车况。在整改纠正的同时,认真开展自查梳理,分析原因,对照物流中心所涉及的规范标准逐条逐款地与实际工作加以纠正预防,进一步加深了全员对职业健康安全的理解、掌握和运用,并自觉主动地将职业健康安全要求落实到物流配送的各项工作中去,职业健康安全目标得以实现,职业健康安全体系运行得到不断持续改进和提高。
职业健康安全管理体系运行情况报告(三)
公司自建立环境/职业健康安全管理体系至今,始终保持着有效的运行状态,其产品、活动及服务实现过程中,环境因素及危险源均得到有效辨识与控制,各项管理活动,符合国家法律法规和标准要求,基本满足公司持续发展需求。现将体系运行情况及改进方面向评审组作如下汇报,并为管理评审决策输入可靠依据。
一、环境/职业健康安全管理体系文件建立情况
二、环境/职业健康安全方针的贯彻执行情况
公司的环境和职业健康方针是经过多方征求意见(包括员工代表),并结合我公司实际制定的,体现了环境/职业健康安全的三个承诺:一是满足适用的法律法规要求的承诺;二是持续改进体系有效性的承诺,三是做到预防污染的承诺,并且为环境和职业健康安全目标的制定提供了框架。方针突出了安全、环保、遵规守法重要性,体现了企业的宗旨,融入了公司的“十二五”发展规划。
从体系运行的情况来看,我公司的环境职业健康安全方针比较适宜。
三、环境/职业健康安全目标的实现情况
今年公司共制定环境目标7个,职业健康安全目标4个,其中:
环境目标:公司废水、噪音、粉尘排放符合国家排放标准,危险废物交由具有资质的厂商定期集中处置。对于办公类能源消耗方面,由于改建扩等原因,正常的生产与办公水电消耗暂时无法统计、分析。
职业健康安全目标:1-9月份公司无死亡、重伤事故发生,无火灾事故发生,新增职业病人数为零,发生轻伤事故1起,安全事件8起,刑事、治安案件1起。
通过以上数据,说明环境方面关于能源消耗方面缺失统计,职业健康安全方面关于刑事、治安目标未完成,年轻伤人数虽控制在1人以内,但安全事件发生较多。公司将对明年能源消耗方面的目标重新调整并加强统计,对职业健康安全运行过程加强控制,加强对员工的安全教育培训、生产现场的安全检查以及对违章行为的处罚力度。
四、内部审核情况
内部审核的有效实施,是评价公司环境/职业健康安全管理体系持续的适宜性、充分性和有效性的最佳途径,也是自我修正、自我完善的必要手段。公司依据各体系覆盖部门所承担的条款要素,组织3个审核小组,于20**年9月22日至23日分别对公司高层领导和13个部门实施内部审核。
此次内部审核共开具一般不符合项11项,涉及环境/职业健康安全标准要素6项。提出34项改进项,并对上述不符合及改进项提出整改要求,截止10月10日,所有的不符合项已全部关闭。
通过审核收集的证据表明,公司的环境/职业健康安全管理体系运行基本持续有效。其审核过程,进一步加深了公司各级管理人员对体系文件和标准的理解,也同时提高了公司内审人员审核水平与技能。
五、环境/职业健康安全管理体系的运行情况
通过今年环境/职业健康安全管理体系的建立,公司的安全环保管理在以下方面得到了进一步的加强:
1、环境/职业健康安全目标体系不断完善
公司今年成立了双体系认证工作组,了《环境/职业健康安全管理手册》和《程序文件汇编》,质量安全部在年初安全责任书的基础上,制定了《20**年公司及各部门环境/职业健康安全目标、指标和管理方案》。在环境/职业健康安全体系的运行当中,质量安全部对各部门的实施情况进行严格监督,确保了环境/职业健康安全目标基本完成。
2、人力资源控制方面
3、职业健康控制方面
4、环境安全技改措施控制方面
20**年公司根据铁路工程机械供需市场发展需要,总投资9800万元,其中环保投资518万元,对公司生产基础设施实施改建扩能项目。其中:公司投资450万元建成规范的底漆腻子室和整车喷漆房,投资35万元建成小件喷漆室,从根本上解决了过去漆雾粉尘满天飞的现象,使作业环境得到很大地改善,并且这些设备都已经通过地方政府环保部门的环评;投资48万元新购4台10立方米先进螺杆数控空压机,该机特点节能、噪声低,而且在厂房外都设置了单独的空压机房,阻止了噪声对厂房工作场地的危害;过去各个车间使用老式无除尘装置的砂轮机没有粉尘回收装置,粉尘直接排放,公司把所有的老式除尘机全部拆除报废,投资3.7万元购9台环保型除尘砂轮机,等等。通过这些新项目的实施,体现了“节能、降耗、减污、增效”的清洁生产思想,对生产过程中产生的污染物采取了有效治理措施,使其能达标排放。
5、环境控制方面
为了更好验证其环境绩效,今年5月份公司委托宝鸡市环境监测中心对废水、噪音的排放进行环境监测,通过监测结果表明,公司工业废水和噪音排放达到了国家标准要求,多年来公司未接到相关方投诉和市环保部门处罚。在废弃物综合利用方面,公司继续采用集中存放,统一处理的方式,避免二次扬散和资源浪费。在危险废物的处置方面,公司于9月份联系具有《陕西省废物经营许可证》的陕西宝润环保有限公司,对公司的废油桶、废油、废油漆桶等定期集中处置回收。
6、测量分析和改进
综上所述,可以认为:目前公司质量管理体系运行基本持续有效。特提请管理评审。
六、提出几点建议
1、全面强化各级领导积极参与公司环境/职业健康安全管理体系运行工作。在环境和职业健康安全管理体系实施过程中,使其充分理解体系运行的真正意义,提升其使命感和责任感。建立完善奖惩机制,促使全体职工自觉参与公司环境/职业健康安全管理,避免出现人为的执行偏差;
2、大力开展环境/职业健康安全管理体系的宣传和教育。真正将公司体系化管理意识?观念灌输到每一名职工头脑中去,并自觉按照管理体系标准来规范自己的行为,最终形成一种习惯;
3、进一步强化基层员工的技能培训和行为训练。使其主动运用环境/职业健康安全管理体系运行程序控制风险,避免事故的发生,从而达到控制风险的目的;
4、加强动力、能源的管理和控制。基建设备部结合公司生产和能源消耗实际情况,制定公司能源消耗指标,并将指标分解到各部门,检查各部门能源消耗记录、台账,对各部门指标逐月统计、分析,确保国家及公司节能减排要求落到实处;
5、进一步强化作业现场环境因素和危险源运行控制管理。今后应重点突出以下几点工作:
关键词:水雾除尘除尘引板
Abstract: in order to guarantee the cleaner production of steel rolling, effective for environmental management system and occupational health and safety management system operation, eliminate steel-rolling production process of iron oxide produced dust into the atmosphere diffusion, tangshan port lu steel Co., LTD. By studying rolling mills, put into use the dust collecting water mist, for employees provide a clean environment.
Keywords: water mist dust removal dust removal lead board
中图分类号: TU834.6 文献标识码:A 文章编号:
1 前言
唐山港陆钢铁有限公司轧钢厂投产于2005年上半年。由于初始设计中没有除尘设施,轧制生产过程中造成生产线上粉尘飞扬,整个车间就像处于一个硝烟弥漫的战场之中。在环保形势日益严峻的今天,不管是环保体系的运转还是职业健康安全管理体系的运转,这个问题都需要尽快。
2 产生原因分析
热轧钢料在精轧机组内通过时钢温处于950~1050℃之间,是氧化铁形成的一个敏感区间。在钢料以2m/s以上的速度从轧机中进行压扁变形后穿过时,钢表面的氧化铁以粉尘形式向四周弥散,尤其以钢料穿带方向的前上方为甚。
3 研究对策和制定措施
2007年5月,我分厂开始治理此问题。通过对周围厂家的参观考察,结合本厂实际情况,决定采取高压水雾除尘的方式进行粉尘处理。
3.1 设计原理
采取高压的目的是使水流在高压的作用下从喷嘴喷出形成大面积的水雾将氧化铁粉尘压入浊环水沟,进入浊环水池沉淀,在以氧化铁泥的状态进行回收,从而使钢带出轧机时生产的氧化铁粉尘不再弥散,形成清洁生产的环境。
3.2 水压的选用
通过多次试验数据统计,最后采用了最为合理的水压为:3MPa。
序号 试验压力MPa 除尘效果 备注
1 7 不好,压力太大固定不住
2 6
3 5 好
4 4 好
5 3 好
6 2 周围尚有部分氧化铁粉尘没有得到处理
3.3 水嘴的选择、水嘴安装位置和固定
(1)在接受厂家建议的情况下,我厂采用了1/4PZY20908型喷嘴作为水雾除尘的喷嘴。
(2)为了便于操作和安装,将喷嘴安装在轧机出口引板上,这种引板我们称为除尘引板(右图所示)。一旦喷嘴发生堵塞或者喷嘴失效出现漏压现象,无法除尘,只要用已经安装好喷嘴的除尘引板进行更换即可恢复除尘,保证生产的正常进行。
4 效果验证
[关键词] 民航;安全质量;管理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 18. 048
[中图分类号] F272 [文献标识码] A [文章编号] 1673 - 0194(2014)18- 0076- 02
作为一个发展中国家,我国民航事业的发展相对缓慢,且很长一段时间内,人们对民航飞机作为一种交通工具的认可度不是很高。随着经济的发展,这些局面渐渐有所改善,甚至可以说一定的程度上进入了历史发展的迅猛时期,从现阶段的现实资料来看,我国现阶段民航客运运输量已经可以排在世界的前5名。作为一种交通工具,民航的安全质量在民航事业的发展中占有十分重要的地位,安全质量保障是民航发展的前提条件和重要保障,安全质量是第一生产力,只有保障较高的安全质量水平才能促进民航事业高效和稳定的发展。民航与其他交通工具相比,具有高科技性的特性,民航的安全质量保障涉及到民航运作的各个阶段,与安全监督审计体系、安全质量管理体系等有着十分密切的关系。飞机与其他交通工具相比危险性较高,如果发生意外情况,飞机可能造成的人员伤害将是难以估量的。正是在这一基础上,笔者认为对民航进行安全质量管理的研究显得十分重要。
1 我国民航安个质量管理存在的突出问题
(1)民航企事业对于安全质量的总是往往流于书面文件,并没有把安全质量管理提升到企业文化的高度。领导层以及民航企事业单位的员工对于安全质量的管理并没有达到该有的高度。可以说如果一个民航企事业单位没有把安全质量管理纳入该单位企业文化和精神之中,那么在日常管理的过程中,安全质量管理的执行也一定不会达到应有的高度。这种企业文化的滞后发展对于民航事业的发展十分不利。
(2)与发达的国家的质量安全监控管理模式相比,中国现阶段并没有形成有效的安全质量管理体系。我国民航企事业单位的安全质量管理从策划到执行都存在较大的差距,很多管理只是流于形式,并没有足够地深入,没有推广到生产和运行的各个阶段,整个管理体系的有效性相对薄弱。
(3)民航企事业单位内部的管理人的专业水平和技术水平仍然存在一定的差距,内部职工的业务培训较少,很多小型民航企事业单位的培训根本无法应付快速发展的民航事业。同时我国民航企事业单位的预期性工作做得不是很好,企事业单位对此没有应有的重视,出现事故后,应急响应措施做得不是很好,发生事故无法在第一时间形成应急团队,把损失降到最低。
2 改进对策和建议
(1)建立较为完善的企业安全文化,将民航事业的安全质量管理纳入企业的文化之中。企业文化是影响一个企业未来发展和员工内部精神文化思想的重要因素。只有将安全质量管理提升到企业文化的高度才能够切实有效地加强内部领导者和相关人员对于该企业文化思想的重视。
(2)建立于国际接轨的安全管理体系。安全质量管理法规和标准随着时代的发展呈现不断发展和变化的趋势,它并不是一成不变的,我国应该依据各种标准和法规的变化,不断提高安全质量管理法规的时效性,帮助建立有效的内部企业文化规章和制度,为企事业的安全质量管理提供切实有法可依的法规基础。安全质量管理技术本身也是一个不断发展的过程,在企业内部发展过程中,应注重对企业内部员工业务水平的培训和提升,使他们在第一时间内,接触先进的管理模式和文化更新,有效适应时展。
(3)危险识别和风险管理是安全质量管理体系的核心,对民航企事业单位来说应该加强对危险识别的认识,在管理的过程中,对这一部分投入应该有的资金和人力资源,从而使其能够有较高的发展保障。风险管理系统的建立依赖安全数据,安全数据的收集主要表现在对综合数据审计、调查的基础上行所形成的综合认识。同时在管理过程中应该建立较为完善的风险事故应急系统,对民航安全质量管理中可能出现的问题建立预期的风险预期,从而在事故发生时,能够在第一时间内,采取切实有效的应急措施,降低事故造成损失的范围,将风险降到最低。
(4)持续改进对应于国际民航组织对各国民航局实施的安全审计,对于企事业内部的安全质量管理体系的有效性,进行切实有效的评估,是否符合相关的法律要求和各项政策,是否存在安全质量问题,是否改进安全管理体系等等。民航企事业安个审计方案中应当提出对企事业内各生产单位进行自我审计的要求以及指导标准,并解决系统中存在的问题企事业单位安个审计时应对内部各单位的自我审计机制进行评估通过安个审计这种有效的检验方式,检验现有安全质量管理体系是否存在缺陷以及制度的贯彻落实情况,是实施主动的、预防式安全质量管理的有效手段。
3 总 结
现阶段我国民航民航企事业单位发展速度较快,但也出现一些问题,主要表现在安全质量的管理上。安全质量管理对于每个民航企事业单位来说都至关重要。笔者论述了安全质量管理对于民航发展的重要意义,其次分析现阶段我国民航企事业单位在运行的过程中存在的问题,并就这些问题提出了自己的解决措施建议。可以预期在未来的一段时间内,民航事业仍然会以较快的速度呈现蓬勃发展的势头,笔者旨在为相关单位提供理论的建议和指导。
主要参考文献
[1]尤丽丽.国内廉价航空公司发展的SWOT分析――以春秋航空公司为例[J].中国集体经济,2014(3).
[2]罗凤娥,熊子晨.航空公司安全管理体系(SMS)建设的研究[J].华章,2011(24).
当然,信息安全管理标准应用试点工作在取得突出成绩的同时,也存在着一些不可避免的问题,更好地解决这些问题也是试点工作的重要任务。试点并不是目的,发现并解决这些问题,为信息安全管理标准的制订铺平道路才是根本所在。
试点问题
现归纳试点单位普遍反映的三个问题如下。
首先,在强调国情不同、文化差异以及翻译问题等的情况下,缺少对ISO/IEC 27001:2005内容,尤其是正文部分内容提出具体的修改意见。“Requirements(要求)”类标准是管理体系标准中最基本、最重要的标准,无论是判断适用还是不适用,与成熟的管理体系要求类标准相比较,ISO/IEC 27001:2005在内容、结构、逻辑关系等各个方面存在着不足是客观的。
2007年信安标委已经将ISMS两个主要标准ISO/IEC 27001:2005和GB/T 19716:2005分别列入修订项目,如何结合我国国情和文化,找出国际标准存在的不足,积极地将我们的具体意见反映到国际标准中去,甚至提出相应的国际标准提案,这些都是下一步要做的工作,而不仅是简单的肯定或否定。
其次,试点工作中相关ISMS的培训不足。福建地税在总结试点工作的体会时提出了“在建立ISMS之前最好组织相关人员学习27001标准”的建议。ISO/IEC 27001:2005的条款中也要求了“组织应确保所有分配有ISMS职责的人员具有执行所要求任务的能力”。ISMS作为管理体系家族中一个成员,具有明显的管理体系的背景和特点,这些背景知识往往是我们信息安全工作者所不足的,全面、系统的ISMS培训是迅速弥补这些不足的有效手段。
北京公积金管理中心在总结中也强调:“通过参与实施ISMS,我们对信息安全管理体系标准有了新的认识,我们发现对体系标准的学习仍然需要加强,同时也需要相关专家持续指导,才能够巩固此次试点成果。”
另外,多家试点单位都提出,在实施ISMS过程中发现对内审员来说,存在既是“裁判员”也是“运动员”的情况。但内审员如果为独立人员,对业务了解太少则审核效果不理想,而对于外审技术服务单位的资质要求当前也是空白的。这个问题也是急需解决的。
专家建议
专家小组在试点验收工作后,也对本次试点工作提出一些建议。
第一,要求试点单位在试点工作结束后,继续运行和实施试点过程中建立的ISMS,不断执行PDCA循环,将ISMS作为试点单位信息安全工作的一个长效机制。
第二,建议国信办2007年进一步扩大ISMS试点范围,使其至少应覆盖基础信息网络和重要信息系统,将这次试点工作所取得的成果和经验在更大范围内推广。
