- 相關推薦
國家電網公司信息安全風險評估管理暫行辦法
國家電網公司信息安全風險評估管理暫行辦法1
第一章總則
第一條為加強和規范國家電網公司(以下簡稱公司)信息安全風險評估工作,加強公司信息安全的全過程動態管理,進一步提高公司信息安全水平,根據國家網絡與信息安全協調小組《關于開展信息安全風險評估工作的意見》,特制定本辦法。
第二條公司信息安全風險評估是對公司一體化企業級信息系統的潛在威脅、薄弱環節、防護措施等進行分析評估,以識別信息安全風險,發現信息網絡、信息系統的脆弱性和薄弱環節,提出有針對性的信息安全整改工作建議,提高信息系統整體防護水平。
第三條公司一體化企業級信息系統包括一體化企業級信息集成平臺和八大業務應用。一體化企業級信息集成平臺(簡稱“一體化平臺”)包含信息網絡、數據交換、數據中心、應用集成和企業門戶;八大業務應用包括財務(資金)管理、營銷管理、安全生產管理、協同辦公、人力資源管理、物資管理、項目管理、綜合管理業務應用。
第四條本辦法適用于公司總部,各區域電網、省(自治區、直轄市)電力公司和公司直屬單位(以下簡稱各單位)信息安全風險評估工作。
第二章職責分工
第五條信息工作辦公室(以下簡稱信息辦)是公司信息安全風險評估工作的歸口管理部門,主要職責:
(一)負責貫徹落實國家有關部門要求,制定公司信息安全風險評估工作規范等文件;
(二)負責統籌制定公司一體化企業級信息系統安全風險評估工作計劃;
(三)負責對各單位實施信息安全風險評估工作落實情況進行監督、檢查;
(四)負責組織以中國電力科學研究院和國網南京自動化研究院為主,公司有關人員參加的信息安全風險評估工作隊伍/技術支撐單位,統籌開展公司各單位信息安全風險評估工作。
第六條各單位負責本單位范圍內信息網絡和信息系統安全風險評估的具體實施工作,主要職責:
(一)細化本單位信息安全風險評估實施計劃,落實工作組織機構;
(二)具體委托公司信息安全風險評估工作隊伍/技術支撐單位,開展本單位范圍內信息安全風險評估實施工作;
(三)根據評估結果提出信息安全加固與整改工作計劃報信息辦批準后組織實施。
第七條中國電力科學研究院和國網南京自動化研究院為公司信息安全風險評估工作隊伍/技術支撐單位,主要職責:
(一)協助信息辦制定和完善公司信息安全風險評估工作規范等文件編制工作;
(二)根據信息辦要求,接受各單位委托,開展信息安全風險評估工作,承擔具體信息安全風險評估任務;
(三)會同各單位完成信息安全風險評估報告。
第三章內容和過程
第八條信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。
第九條各單位的信息安全風險評估實施總體分為啟動準備、風險要素評估、風險計算分析建議、安全整改等四個階段。
第四章組織實施
第十條公司信息安全風險評估分為自評估和檢查評估。信息安全風險自評估工作周期為兩至三年;等級保護級別高的信息系統,按照國家有關部門要求開展信息安全風險自評估工作。檢查評估工作根據國家有關部門要求,結合公司信息安全實際情況,不定期組織開展。
第十一條各單位根據信息安全風險評估周期要求,結合本單位實際情況,于每年10月前提出下一年度信息安全風險自評估工作計劃并報信息辦。信息辦結合公司各單位信息安全情況,統籌考慮并確定公司下一年度信息安全風險評估工作計劃。
第十二條對于納入下一年度信息安全風險評估計劃的單位要按照具體的時間要求,提前落實工作負責人,落實經費,聯系風險評估技術支撐單位,細化工作計劃,做好各項準備工作。
第十三條各單位的信息安全風險評估工作要依據公司信息安全風險評估工作規范等文件,嚴格按照信息安全風險評估工作步驟、環節、內容,堅持信息安全風險評估標準,保證信息安全風險評估工作的科學性、規范性、客觀性和實效性。
第十四條各單位在開展信息安全風險評估工作時,對在線運行信息系統實施有關測試,要事前建立應急預案,落實應急措施,確保信息系統安全、可靠運行。對于因進行信息安全風險評估工作導致信息系統運行異常和故障的情況,要認真分析原因,提出改進措施,避免類似事件再次發生。
第十五條各單位要高度重視信息安全風險評估專業人員培養工作,加強自身專業人員技術培訓,認真做好技術支撐單位服務工作的配合、督促和評價工作。
第十六條各單位計劃內信息安全風險評估工作要于當年完成,并形成信息安全風險評估安全自評估報告、工作報告、技術報告、風險分析報告,整改建議報告,并報信息辦。
第十七條各單位要本著實事求是的原則開展安全整改,對于信息安全風險評估發現的`安全風險如果不需要增加新的安全技術手段和安全項目解決的問題,如通過修改配和加載補丁的安全加固等,應立即著手組織實施;對于需要通過安全項目解決的問題,各單位要選擇重點,在整改建議報告中提出項目規模、內容、實施時間和有關建議。
第十八條各單位要加強評估過程的保密管理。評估單位和評估實施單位對評估的信息負有保密責任,不得對外泄露。
第十九條中國電力科學研究院、國網南京自動化研究院要按照信息安全風險評估工作常態化、延續性和保密性要求,建立持續、穩定的信息安全風險評估工作技術支撐隊伍,加強技術支撐能力與服務能力建設,完善評估工具,切實承擔起信息安全風險評估服務與指導工作任務。
第二十條在業務流程、系統狀況發生重大變化需進行計劃外信息安全風險評估時,各單位要及時報公司信息辦,信息辦將根據實際情況組織實施。
第二十一條各單位要按照公司統一制定的信息安全風險評估費用測算辦法,根據實際情況認真核算工作量與評估費用,與公司信息安全風險評估技術支撐單位簽訂信息安全風險評估技術服務委托合同或協議。
第五章附則
第二十二條本規定由國家電網公司信息工作辦公室負責解釋并監督執行。
第二十三條本規定自印發之日起執行。
國家電網公司信息安全風險評估管理暫行辦法2
第一章總則
第一條為貫徹落實“安全第一、預防為主、綜合治理”的安全工作方針,規范電網工程施工安全風險識別、評估與控制管理,制定本辦法。
第二條本辦法根據《中華人民共和國安全生產法》、《建設工程安全生產管理條例》等國家現行安全生產法律、法規及《國家電網公司安全風險管理工作基本規范》、《生產作業風險管控工作規范》等公司有關規章制度、標準而制定。
第三條本辦法按照動態識別、科學評估、分級控制的原則,對電網工程施工安全風險進行管理。通過電網工程開工前的固有風險分析,并結合項目實際作業特點對電網工程作業前的動態風險進行識別、評估,不同動態風險等級采取不同的管理措施,保證電網工程施工安全風險始終處于可控、在控、能控狀態。
第四條本辦法根據LEC安全風險評價方法中LEC值的大小及所對應的風險危害程度,將風險從小到大分為五級(一到五級分別對應:稍有風險、一般風險、顯著風險、高度風險、極高風險)進行管理與控制。
第五條本辦法適用于國家電網公司(以下簡稱公司)系統投資建設的110(66)千伏及以上電網工程施工過程的安全風險管理。
第二章施工安全風險管理職責
第六條公司總部管理職責
(一)按照國家有關安全生產的法律、法規,制訂電網工程施工安全風險識別、評估及控制管理辦法,并根據實施情況適時修訂。
(二)指導省級公司開展電網工程施工安全風險管理工作,檢查省級公司施工安全風險識別、評估及控制管理辦法貫徹執行情況,評價省級公司電網工程施工過程安全風險管理有效性。
(三)全面掌握公司系統電網工程五級施工安全風險情況,必要時開展現場督導。
第七條公司分部管理職責
(一)檢查區域省公司施工安全風險識別、評估及控制管理辦法貫徹執行情況,評價區域省公司電網工程施工過程安全風險管理有效性。
(二)全面掌握區域省公司電網工程施工五級風險情況,必要時開展現場督導。
(三)參與并配合本辦法的編寫、修訂工作。
第八條省級公司管理職責
(一)負責落實公司電網工程施工安全風險管理要求。
(二)負責對五級風險作業的控制及降低等級進行現場監督檢查。
(三)負責對建設管理單位,所屬施工、監理單位電網工程施工安全風險管理工作開展情況進行評價、考核。
(四)按月向公司總部報送施工安全風險管理信息。第九條建設管理單位管理職責
(一)指導、檢查、通報施工、監理單位在電網工程施工項目中開展施工安全風險管理的情況,及時解決執行中存在的問題。
(二)負責對四級以上風險作業的控制工作進行現場監督檢查。
(三)負責每月匯總并從基建管理信息系統上報作業風險情況表。
(四)簽訂電網工程建設合同(設計、監理、施工等)時,明確施工安全風險管理責任條款,在施工過程中嚴格執行。
第十條設計單位管理責任
(一)負責將項目環境(海拔、地質、邊坡等)、工程主要特點(高支模、深基坑、線路工程重要跨越、變電工程間隔擴建等)等內容寫入設計文件,并進行安全風險交底。
(二)配合施工過程安全風險管理工作。第十一條監理單位管理責任
(一)負責組織本單位員工開展施工風險管理技能培訓,確保監理人員熟悉施工安全風險管理流程并認真執行,及時完成相關工作。
(二)四級及以上風險作業時,監理單位應組織開展現場檢查、旁站監督。
(三)對監理項目部施工安全風險管理狀況開展檢查、評價、考核,及時掌握監理項目部工程施工安全風險管理情況,提出整改措施。
第十二條施工單位管理責任
(一)施工單位履行施工安全風險識別、評估及控制管理主體責任,必須嚴格執行公司施工安全風險作業管理有關規定。
(二)建立健全電網工程施工安全風險識別、評估及控制的制度,組織本單位員工開展風險管理技能培訓,確保施工人員熟悉施工安全風險管理流程并認真執行,及時完成相關工作。
(三)審查施工項目部報送的《三級及以上施工安全風險識別、評估和預控清冊》。
(四)指導、督促各施工項目部落實風險識別、評估、預控及風險控制過程各項工作。
(五)四級及以上風險作業時,施工單位分管領導和相關管理人員必須到現場檢查監督。
第十三條業主項目部管理職責
(一)編制項目《建設管理綱要》時,明確安全風險管理要求。負責項目建設過程中安全風險管理要求的落實。
(二)工程開工前,負責組織項目設計單位對施工、監理單位進行項目作業風險交底及風險點的初勘工作。
(三)審查施工項目部編制的《三級及以上施工安全風險識別、評估、預控清冊》及動態風險計算結果。
(四)負責對三級以上風險作業的控制工作進行現場監督檢查。
第十四條監理項目部管理責任
(一)工程開工前,參與項目安全風險交底及風險點的初勘。
(二)審查施工項目部報送的《三級及以上施工安全風險識別、評估和預控清冊》及動態風險計算結果。
(三)嚴格控制三級及以上風險作業,作業過程必須進行旁站監理。
(四)對《電網工程安全施工作業票》(見附錄D.3、附錄D.4)中施工作業風險控制流程執行情況進行重點監督和檢查,對存在問題及時提出整改意見并實現閉環管理。
第十五條施工項目部管理責任
(一)施工項目部是現場施工安全風險識別、評估及控制的執行主體,必須嚴格執行本辦法的各項規定。
(二)組織本項目部所有員工學習本辦法,確保施工項目部管理人員、施工人員熟悉施工安全風險管理流程及相關工作。
(三)開展現場初勘,確定本項目各工序固有風險。編制《施工安全風險識別、評估、預控清冊》,對三級及以上作業風險逐一進行復測并填寫《施工作業風險現場復測單》(見附錄D.2)。
(四)將《三級及以上施工安全風險識別、評估和預控清冊》和《作業風險現場復測單》報監理項目部審核并報業主項目部備案。
(五)根據作業前動態因素,計算確定作業動態風險等級,建立《三級及以上施工安全風險動態識別、評估及預控措施臺帳》(見附錄D.1),并根據動態風險等級采取相應措施。
(六)三級及以上風險作業前,相關管理人員必須到崗到位。
(七)三級及以上風險作業必須填寫《電網工程安全施工作業票B》(見附錄D.4)。同時,按照作業步驟填寫《電網工程安全施工作業票B》中的作業風險控制卡有關項目,并由工作負責人逐項確認。
第三章施工安全風險等級與類別
第十六條為便于風險識別、評估,電網工程施工安全風險等級劃分為五級。
一級風險:指作業過程存在較低的安全風險,不加控制可能發生輕傷及以下事件的施工作業;
二級風險:指作業過程存在一定的安全風險,不加控制可能發生人身輕傷事故的施工作業;
三級風險:指作業過程存在較高的安全風險,不加控制可能發生人身重傷或人身死亡事故的施工作業;
四級風險:指作業過程存在高的安全風險,不加控制容易發生人身死亡事故的施工作業;
五級風險:指作業過程存在很高的安全風險,不加控制可能發生群死群傷事故的施工作業。
第十七條電網工程施工安全風險類別分為固有風險、動態風險。
固有風險(D1)是指在正常情況下,施工作業過程中存在的`安全風險。
動態風險(D2)是指在作業時的特定情況下,施工作業過程中存在的安全風險。
動態風險等級是在固有風險等級的基礎上,按作業時特定的作業人員、機械設備配備及材料、施工方法、環境、安全管理情況進行計算修正的結果。
第十八條動態風險等級作為實際作業過程風險控制的依據。
第四章施工安全風險等級識別與評估
第十九條電網工程固有施工安全風險識別與評估。
(一)電網工程開工前,業主項目部組織設計、監理、施工單位開展項目交底及風險點初勘工作。
(二)施工項目部根據項目交底及風險點初勘結果,從《電網工程固有風險匯總清冊》(見附錄E)中選擇符合本工程的作業工序及其對應的風險等級,確定本工程各施工工序固有風險等級,編制本工程的《施工安全風險識別、評估、預控清冊》。
(三)施工項目部篩選本工程三級及以上固有風險工序,建立《三級及以上施工安全風險識別、評估和預控清冊》,報監理項目部審查、業主項目部確認后發布。
第二十條電網工程動態施工安全風險識別與評估。
(一)施工項目部根據施工方法、作業人員、機械設備、材料、環境、安全管理等六個維度影響因素的實際情況,在分項工程作業前按照《動態風險值計算》(見附錄A.3)計算出各工序作業風險動態修正系數K,對《三級及以上施工安全風險識別、評估和預控清冊》中固有風險值(D1)進行修正,得出動態風險值D2。
(二)依據動態風險值D2,查閱《施工安全風險值D與風險等級關系表》(見附錄A.2.1.4),確認實際作業存在的安全風險等級,建立《三級及以上施工安全風險動態識別、評估及預控措施臺帳》。
(三)實際作業時再次確認六個維度影響因素的取值情形與作業實際情形是否一致。當出現情形變化時,應根據六個維度影響因素的實際情況,重新計算動態風險值及作業存在的安全風險等級。
第二十一條監理項目部、業主項目部對《三級及以上施工安全風險識別、評估和預控清冊》和施工項目部動態風險計算成果進行簽字確認。
第五章施工安全風險控制
第二十二條二級及以下施工安全風險等級工序作業由施工項目部組織開展風險控制。
(一)二級及以下固有風險工序作業前,施工項目部要復核各工序動態因素風險值,仍屬二級風險的,按照常態安全管理組織施工。
(二)二級及以下固有風險動態升級為三級及以上風險的,要采取措施盡可能降低至二級及以下風險。否則,按照三級以上等級風險控制辦法組織實施。
第二十三條三級及以上施工安全風險控制管理。
(一)三級及以上固有風險工序作業前,施工項目部要組織進行實地復測,填寫《施工作業風險現場復測單》,按照動態安全風險等級確定方法,計算動態風險等級。
(二)要優先采用針對性措施降低三級及以上施工工序風險等級。采取措施后仍然在三級及以上風險的,要嚴格執行《電網工程安全施工作業票B》,制定“電網工程施工作業風險控制卡”,(見附錄D.4“(示例)”),報監理項目部審查、業主項目部確認。
(三)四級及以下固有風險經過動態修正后出現五級風險的,要通過改善作業人員、機械設備、材料、施工方法、環境、安全管理等六個維度中某些維度的條件,把風險等級減低為四級及以下之后,再行施工。
(四)采取措施后仍然出現五級風險作業工序時,施工項目部必須重新編制專項施工方案(含安全技術措施),業主項目部組織專家進行方案論證,并報省公司基建部備案。作業時各級管理人員要到崗到位,安全措施落實到位,條件不能滿足時必須停止施工。
第二十四條三級及以上風險等級的施工工序,相關人員要按照《電網工程三級及以上施工安全風險管理人員到崗到位要求》(見附錄C)進行作業監督檢查,按作業步驟對風險控制卡進行逐項確認后,方可開展作業。
(一)作業負責人要在實際作業前組織對作業人員進行全員安全風險交底,安全風險交底與作業票交底同時進行并在作業票交底記錄上全員簽字。
(二)在作業過程中,施工負責人按照作業流程對《電網工程安全施工作業票B》中的作業風險控制卡逐項確認。
(三)監理項目部必須對作業進行旁站監理,并對《電網工程安全施工作業票B》執行情況進行確認。
(四)四級及以上風險等級作業時,業主項目部必須進行現場監督,并對《電網工程安全施工作業票B》的執行進行簽字確認。
(五)各級人員要按要求加強對四級及以上風險等級作業現場的監督檢查。
第二十五條特殊條件(暴雨、雷雨、大霧、冰雪等惡劣天氣時的戶外作業)下,經動態因素調整后,對風險等級低于二級的,考慮到作業條件的特殊性,應將風險等級按照三級及以上風險進行控制,極端情況下,應停止施工。
第二十六條電網工程施工安全風險識別、評估及控制管理流程見附錄B。
第六章考核評價
第二十七條公司及分部對各省級公司開展施工安全風險識別、評估及控制管理情況進行檢查與通報,檢查情況納入基建安全管理綜合評價。
第二十八條省級公司及時開展電網工程施工安全風險識別、評估及控制管理執行情況檢查,檢查情況納入本單位基建安全管理相關工作考核與評價。
第二十九條建設管理單位將施工安全風險識別、評估及控制管理工作納入設計、施工、監理等合同條款,并嚴格考核。
第三十條公司所屬監理、施工單位應結合本單位實際,制定相應考核辦法,對項目部執行施工安全風險識別、評估及控制情況進行考核。
第三十一條施工安全風險管理職責履行不到位或預控措施執行不到位導致事故發生的,對責任單位和有關人員,按公司有關規定進行處罰。
第七章附則
第三十二條術語及定義
(一)風險因素:風險因素是指一個系統中具有潛在能量和物質釋放風險的、在一定的觸發因素作用下可轉化為事故的部位、區域、場所、空間、崗位、設備、裝及其狀態。
(二)風險因素識別:識別風險因素的存在并確定其特性的過程。
(三)風險評估:評估風險大小以及確定風險是否容許的全過程。
(四)風險:是對某種可預見的風險情況發生的可能性和后果嚴重程度兩個指標的綜合描述。即是一個事故產生人們不希望的后果的可能性。風險不僅意味著風險的存在,還意味著風險發生有渠道和可能性。
(五)風險識別:識別風險因素的存在并確定其特性的過程。風險識別首先要確定風險因素的存在,然后確定風險因素的性質,即應識別出不同作業活動或設備的風險因素的種類與分布、傷害或損失產生的方式、途徑和性質。
(六)風險控制:風險控制是針對施工現場作業和電網設備已識別出的風險因素和風險評價的結果,制定和實施消除、降低、控制風險的有效措施。風險控制應體現成本、利益、風險三者間的關系,要從最經濟的角度來處理風險,選擇最低成本、最佳效益、最大安全保障的方法,制定風險應對決策。
(七)風險管理:即運用系統的觀念和方法研究風險與環境之間的關系,運用安全系統工程的理念,通過識別、評價、量化、分析風險,并在此基礎上有效控制風險,用最經濟合理的方法來綜合處風險,以實現最大安全保障和最經濟的科學管理方法。
第三十三條本辦法由國家電網公司基建部負責解釋并監督執行。
第三十四條本辦法自20xx年1月1日起正式實施。
【國家電網公司信息安全風險評估管理暫行辦法】相關文章:
風險評估管理制度05-06
《公司戰略與風險管理》知識點之收集風險管理初始信息05-05
風險評估和管理制度03-20
《公司戰略與風險管理》信息系統知識點05-05
公司戰略與風險管理04-03
公司戰略與風險管理技巧06-04
如何進行投資風險評估06-03
安全風險管理制度09-01
《公司戰略與風險管理》知識點05-04