㈠ 內網安全管理軟體的主要功能
內網安全管理的主要目的就是對企業內網的數據安全、網路安全和終端安全進行管理,比如可以對員工在電腦上的一切操作行為進行管理,而且有不少企業都用域之盾對員工電腦進行全面管理,比如:
可以對員工上網行為進行審計管理:
1.上網行為審計:
通過網路審計可以對員工使用電腦進行的聊天行為、瀏覽網頁行為、訪問網頁行為和上傳下載等行為進行審計,管理者可以通過網路審計了解員工上網做了哪些事情;
2.瀏覽網頁行為管理
想要限制員工瀏覽與工作無關的網頁行為,可以通過網站訪問控制進行設置,比如通過工作模式可以選擇僅允許訪問以下網站或禁止訪問以下網站,然後在對應的名單中進行添加即可;
3.應用程序使用管理
為防止員工在電腦下載使用與工作無關的程序,可以在應用程序管控中的應用程序黑白名單中選擇禁止以下程序使用或僅允許以下程序使用,而且還可以勾選禁止員工在電腦下載新軟體,或對客戶端電腦應用企業軟體庫;
可以對員工電腦文檔安全進行管理:
1.文檔透明加密
為了對電腦文件進行安全防護,可以通過文檔加密的方式對員工電腦中常用文檔進行透明加密,還能對設計類和圖紙類等常用工具進行加密,打開加密文檔下的文件就會自動變成加密狀態,而且員工只能在區域網內使用,外發文件需要向管理端提交申請,否則外發出去的文件打開後就是亂碼;
2.U盤使用管理
為管理員工在電腦隨意使用U盤行為,通過U盤管理可對U盤使用許可權進行僅寫入、僅讀取和禁止使用設置,還可以設置U盤使用申請、U盤文件加密、U盤使用白名單、U盤插拔使用記錄和U盤文件操作記錄等;
3.usb介面使用管理
為防止員工在usb介面隨意使用外接設備,通過外設管理可以禁止使用藍牙設備、紅外設備、usb外設、攜帶型存儲設備、移動硬碟和無線網卡等;
4.郵件外發管理
通過郵件外發管理可以設置郵件使用白名單,來防止員工隨意外發郵件行為,可以禁止員工使用郵件附件外發,或對郵件後綴類型進行外發限制,以及設置僅允許員工向哪些郵件地址發送文件等;
5.文檔備份及外發限制
在文檔安全中可以在文檔修改或刪除時進行自動備份,還能把文件在進行本地備份的同時備份到伺服器端,而且為了限制員工私自外發文件,可以限制員工通過瀏覽器、網頁、郵件客戶端和聊天程序限制文件外發,或者自定義文件外發程序進程限制員工通過多途徑外發文件;
可以對終端電腦的使用進行管理:
1.電腦桌面使用錄制
在本地審計中可開啟屏幕錄制和屏幕快照審計,這樣管理者就可以查看到員工電腦的電腦屏幕使用情況了,而且還可以通過實時屏幕形式以屏幕牆形式在管理端查看多個員工電腦屏幕使用畫面;
2.工作效率統計分析
通過工作效率分析可以對員工電腦的上網行為進行統計分析,可以清楚的看到每個員工的日均辦公效率或每個部門的日均辦公效率,以及近一段時間內的辦公效率走勢,可通過工作效率對員工進行分析管理;
3.終端安全管理
可以對員工電腦的軟、硬體變化進行報警設置,防止員工私自拆換電腦硬體,還可以禁止員工私自修改注冊表、ip地址,或禁止使用截屏功能、控制面板、任務管理器等,而且還能夠對電腦系統進行漏洞掃描和補丁安裝等。
㈡ 會議簽到表上應該有些什麼內容
會議簽到表主要用於統計與確認參會人員的情況,作為會議效率評估的一個指標,主要內容包括:
1、會議主題;
2、會議時間;
3、會議地點;
4、預期參加人員的部門/單位的名稱;
5、與會人員在其名單後的簽字確認;
6、參會人員的應到人數與實到人數的統計。
(2)網路安全宣傳周活動簽到擴展閱讀:
所謂會議,是指人們懷著各自相同或不同的目的,圍繞一個共同的主題,進行信息交流或聚會、商討的活動。一次會議的利益主體主要有主辦者、承辦者和與會者(許多時候還有演講人),其主要內容是與會者之間進行思想或信息的交流。
會議是人們為了解決某個共同的問題或出於不同的目的聚集在一起進行討論、交流的活動,它往往伴隨著一定規模的人員流動和消費。作為會展業的重要組成部分,大型會議特別是國際性會議在提升城市形象、促進市政建設、創造經濟效益等方面具有特殊的作用。
(1)有組織有領導地商議事情的集會:全體~ㄧ廠務~ㄧ工作~。
(2)一種經常商討並處理重要事務的常設機構或組織:中國人民政治協商~ㄧ部長~。
(3)網路用語,指一種軟體,能使許多用戶參加進去,以半公開書面形式交談,這種交談可以是實時的(如在IRC頻道中)也可以是非實時的(如在Usenet新聞組中)。
現代會議早已超出了單一的政府會議的格局,正朝著多元化方向發展,很多都是直接帶有商業目的並能產生巨大經濟效益的,如各種高峰論壇、專家培訓會議等。
會議的一般操作原理為:會議的主辦者制訂舉辦會議的計劃並委託給承辦者,承辦者(可以是專業會議組織者即PCO、公司的會議與獎勵旅行部等)將圍繞既定的主題進行精心設計。
並在市場上聯系會議的買家(即目標與會者)、相關人員(如政府官員、演講嘉賓等)及舉辦場所,最後自己接待會議,或將業務分包給會務公司。
國際會議是最重要、最有影響力的會議。國際上對國際會議認定的權威組織主要有ICCA和UIA等,由於每個組織所規定的標准有所不同,會造成認定或統計上的偏差,因此,對這些組織標準的明確劃分是研究國際會議發展趨勢的前提。
㈢ 盜夢空間負責人怎麼生成簽到碼
盜夢空間的活動補簽需要聯系活動負責人,只有發起者和負責人才有補簽許可權,個人是無法自己補簽的,補簽的方法有以下兩種:
1、人工補簽。將個人的賬戶信息及登錄賬號密碼,進行電子檔形式保存發送到活動發起者人的郵箱,在電子檔後尾填上申請補簽,由活動發起人進行審核,審核通過即可補簽。
2、系統補簽。系統補簽需要個人親自登錄自己的到夢空間賬號,查找到相應活動的時間及票號,將時間及票號還有個人信息上傳到系統後台補簽功能。
上傳完成之後將由系統自動審核,審核條件通過即可自動補簽。
常見問題和解決辦法:
1、沒有賬號或者登錄時顯示用戶不存在。因系統暫未開放注冊,故沒有賬號或者登錄時顯示用戶不存在時,應聯系本校的系統管理員進行添加賬號。
2、個人信息有誤。如發現個人信息有誤,應聯系本院系的系統管理員修改個人信息(為保證信息規范不支持自行修改)。
3、忘記密碼。在登錄頁面,點擊「忘記密碼「,可通過已綁定的手機號獲取驗證碼設置新密碼;也可聯系學校的系統管理員初始化密碼,初始化後的密碼為111111。
㈣ 我想請問安全生產標准化建設需要做哪些表格
安全生產標准化台帳目錄
一、安全生產目標管理、組織機構和職責
1、安全生產和職業衛生工作目標、計劃和實施方案
2、企業平面布置圖(重點部位和職業危害監控分布圖)
3、重點部位和職業危害監控表
4、企業成立安全生產和職業衛生管理組織機構的文件
5、安全生產和職業衛生管理網路圖
二、會議記錄
1、安全生產會議制度
2、安全生產會議(活動)簽到表
3、安全生產會議記錄
三、安全生產投入
1、安全生產費用提取和使用制度
2、安全生產費用使用計劃
3、安全生產經費實際投入記錄
四、法律法律和安全管理制度
1、識別、獲取、更新安全生產法律法規制度
2、適用安全生產法律法規及其他要求清單
3、安全生產法律法規標准符合性評審登記
4、安全生產管理制度清單
5、安全操作規程清單
6、規章制度、操作規程評審修訂記錄
7、安全生產獎懲台帳
8、安全生產收文登記
五、教育培訓管理
1、安全生產教育培訓制度
2、安全生產教育培訓年度計劃
3、企業負責人、安全管理人員及特種作業人員持證情況表
4、特種作業人員基本情況登記表
5、新職工三級安全教育培訓台賬
6、員工安全教育培訓登記表
7、安全教育培訓記錄
8、相關方安全管理制度
9、公司相關方安全告知書
10、相關方管理登記表
11、相關方信息調查表
12、相關方安全告知培訓記錄
13、相關方安全告知培訓簽到表
14、安全文化建設活動清單
六、生產設施設備
1、設施設備管理制度
2、特種設備管理台帳
3、建設項目安全「三同時」情況
4、特種設備管理台帳
5、安全衛生防護設施保養記錄
6、安全衛生防護設施檢查記錄
7、其他主要設備台賬
8、安全衛生標志台賬及檢查保養記錄
七、作業安全
1、危險作業審批管理制度
2、風險和隱患辨識與評估
3、危險作業管理台帳
4、作業許可證清單
5、企業機構、人員、工藝、技術、設施、作業過程及環境變更管理制度
6、企業機構、人員、工藝、技術、設施、作業過程及環境變更登記表
八、隱患排查治理
1、安全生產檢查與事故隱患整改制度
2、重大危險源綜合安全檢查表
3、安全生產檢查與隱患整改紀錄
4、事故隱患整改台帳
5、重大危險源管理制度
6、重大危險源登記表
7、重大危險源綜合安全檢查表
九、職業健康
1、職業健康管理制度
2、職業衛生「三同時」備案材料
3、職業病危害項目申報表和申報回執
4、可能產生職業病危害設備、材料和化學品一覽表
5、職業病危害因素信息卡
6、崗位職業病危害因素告知書
7、職業危害因素日常監測公告牌
8、勞動防護用品采購記錄
9、勞動防護用品發放登記表
10、企業接觸塵毒物質職工健康監護登記表
11、接觸有毒有害作業工人健康檢查結果一覽表
12、職工職業健康監護個人檔案
十、事故應急救援與調處
1、事故應急救援預案
2、事故應急救援預案及演練
3、各類事故(職業病)調查處理情況統計表
4、各類事故(職業病)調查處理情況登記表
十一、車間安全管理
1、車間安全生產管理制度
2、車間概況
3、車間安全生產活動記錄表
4、車間安全生產檢查表
5、反「三違」活動記錄表
6、車間重點部位和職業危害監控表
十二、班組台帳
1、班組安全管理制度
2、班組概況
3、重點部位和職業危害監控表
4、班組安全生產活動記錄表
5、班組現場安全管理及隱患排查表
㈤ 如何解決企業遠程辦公網路安全問題
企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。
㈥ 安全標准化工作安排
我這有一個安全管理工作標准
很長的,發不全,你留個郵箱,我發給你
第一部分 安監人員例行安全管理工作
一、項目工地安全管理例行工作要點
1、月度安全會議:每月6日召開,工地領導、各專業工程處及有關部室的負責人和安全員參加。會議履行簽到制度,會後形成書面紀要,根據需要報送有關單位。
2、月度安全檢查:每月16日,組織本月的月度安全大檢查。由項目經理或生產副經理帶隊,安監、工程、消防和機械等單位參加,檢查情況形成書面檢查紀要,發往工地各單位。其它各類檢查可根據工程進展情況和施工特點隨時進行,存在問題可以紀要、備忘錄等形式發出。
3、對專業工程處及工程分包方進行安全獎懲時,統一使用安監部專用的「考核單」,考核單注意編號正確。
4、月度安全考核。每月5日前對各單位進行一次月度安全考核,考核標准可以根據工地和工程情況自行制定並隨工程進展而調整,考核形式可以是評比、排序、獎懲,考核結果在全工地進行公開,並與安全獎掛鉤。
5、工地每月月初出一期安全月報,內容為上月安全工作總結、工地安全情況通報和本月安全工作重點。
6、每周五召開工地安監員例會,簽到並形成紀要。
7、每周一對安全學習情況進行巡檢,對班組安全記錄進行檢查。
8、建立安全監察流水帳,隨時記錄工作中發現的問題(建議)。辦公室內可根據工程進展情況,在顯要位置設一小黑板,內容為每日工作提醒和每日安全監察重點(建議)。
9、日常工作中形成的書面文件多利用工地區域網進行發送,盡量發送到每個工地領導和專業工程處負責人,可以公開的文件要在工地顯要位置張貼通報。
10、文件整理及存檔要求
(1)文件盒統一要求
文件盒統一由公司依據企業文化要求製作,項目安監部根據需要領用,文件盒外部貼列印標簽,註明年度、文件大類名稱、編號,標簽中註明所在工地,如右圖所示,字體統一,位置一致,做到一目瞭然,盒內統一放置文件目錄,及時填寫存檔文件名稱。
文件盒標簽示例:部局文件、地方文件、公司文件、工地文件、部室文件、安全檢查、安全例會、安全周報、月度報表、文件發放、安全網路、技術交底、安全措施、夜間施工、作業票、安全教育、違章通報、安全獎懲、安監檔案、安全上崗證等。
(2)文件整理及存檔格式統一要求
A、外來文件接收後要及時記錄接收台帳。內部文件發放要有統一的文件發放記錄,接受人簽字齊全。
B、文件存檔要分門別類,格式統一,標簽明確,類別清晰,便於查找。
C、分包方安全管理資料單獨存放,分為:分包方台帳、、資質審查、人員台帳、培訓記錄、安全獎懲等。要求同上。
11、需上報濟南總部的日常報表報送要求
(1)工作周報和違章周報可合並為一份,每周三下班前上報,並盡量以OA電子郵件形式報送;違章周報一定要如實上報,不能瞞報、少報,內容要規范、具體,以便於統計分析;公司不根據上報違章多少對工地進行考核,但公司將通過檢查對上報情況進行核實。
(2)每月報表(工地月報和在建工程動態跟蹤表)也可合並成一份,但要注意將在建工程動態跟蹤表內容單獨列出,每月月初(2號)以前以OA電子郵件形式報送上月報表。
(3)月度、年度事故情況報表可書面集中捎送總部。
(4)其他總結、計劃等文件注意按期以OA電子郵件形式上報。
12、安監人員日常行為規范
奉公守法、辦事公道、作風正派、團結協作;
愛崗敬業、學習創新、文明待人、優質服務。
二、工程分包方管理
1、公司所有項目工地的分包施工人員統一佩戴「安全上崗證」。每年3月份對所有分包人員進行查體、考試和換證。為便於識別是否經過年檢,上崗證內註明辦證時間,顏色每年更換一次,2004年定為天藍色。下半年(10月1日以後)進廠的分包人員次年可免予查體,但需換證。(樣式附圖)。
2、項目工地審查存檔資料:
公司內部施工許可證;法人代表授權委託書;特殊工種人員證件復印件(審查時要求上交證件原件);安監人員證件復印件;安全管理網路及管理辦法;施工人員花名冊;
以上資料隨時更新。
3、進入程序:
(1)分包單位持內部施工許可證、發包單位證明,到項目工地安監部登記。
(2)分包單位持新進工地施工人員名冊、人員身份證及復印件、照片到安監部辦理人員查體、培訓等事宜。
(3)合格人員到發包單位辦理二、三級培訓等事宜。
(4)三級安全教育合格後辦理安全上崗證。
4、每周二召開分包單位安全員或負責人例會,簽到並記錄。
5、分包單位的安全管理執行公司有關程序,工作要細,效果要實。
6、日常施工時要求分包單位將特種作業人員證件原件(復印件壓膜也可)隨身攜帶,隨時查驗;
三、需建立的台帳
1、安全設施台帳(動態,隨時記錄、補充),(樣式見附件五)
2、安全教育檔案(樣式見附件六)
3、工器具及檢驗記錄(樣式見附件七)
4、各級安全生產責任書
5、年度安全考試台帳
6、事故上報及工傷申請執行公司〈〈事故報告、調查處理控製程序〉〉與〈〈職工工傷管理辦法〉〉。注意在規定期限內交齊以下資料:A、事故現場記錄及有關圖片;B、本人自述、相關人員敘述材料;C、《人身事故登記表》;D、事故單位出具「事故報告」;E、事故所在工地的「事故調查、處理報告」;F、相關醫療證明材料。
四、體系運行有關內容
(一)通用部分
1、本部門文件資料的發放、回收是否按程序執行。
2、本部門內部文件是否按規定進行編、審、批。如本部門內部分工等
3、對工地及各單位應急預案實施情況的檢查記錄(如防汛、防風、防火等)(書面記錄)
4、本部門對新版體系文件的學習培訓情況。(書面記錄)
5、本部門人員對公司體系三個方針、相關運行知識的掌握情況,三個方針向相關方我宣傳情況。
6、本部門組織的培訓班的記錄情況,要按照公司規范表格進行記錄,計劃、考勤、登記、講義和總結等。
7、本部門對工地各單位安全工器具、防護用品發放前和定期檢查、檢驗工作的監督檢查情況(記錄)
(二)職業安全健康管理
1、本工地、本部門(工程處)危害辨識、更新情況,要求2003年後開工的工地使用新表格。
2、是否對公司重大危害控制計劃和職業安全健康管理方案進行分解,要求與公司計劃、方案相對應,並經審批。
3、每季度對方案實施情況進行檢查(填表),形成記錄,向公司總部傳遞。
(三)環境管理體系
1、本部門環境因素辨識情況
2、對工地重要環境因素控制計劃和工地環境管理方案進行分解,要求與工地計劃、方案相對應,並經審批。
3、本部門主管環境體系要素/程序:大氣污染、雜訊污染、水污染的控制,要求定期檢查(隨月度安全大檢查同時進行),檢查記錄中要體現出此項內容,並按要求整改、關閉。
4、每季度對本部門環境方案實施情況進行檢查(填表),形成記錄,向工地工程部傳遞
5、接受檢測中心傳遞的信息(大氣污染、雜訊污染、水污染的檢測),並對照標准(法律法規)評價是否符合要求,並採取相應處理措施,要求形成記錄。
6、本部門固體廢棄物控制情況(書面記錄)。
五、腳手架統一掛牌(樣式見附件八)
1、腳手架必須掛牌使用。牌子用A4紙列印,塑封,豎掛。
2、每一腳手架掛兩個牌子,一個註明:名稱、用途、搭設單位、允許載重、負責人、驗收人。另一個牌子為「風險分析」————說明可能的危險因素及注意事項。
六、日常監察方式
1、一般的隱患、違章,現場立即制止、糾正,不發書面通知,科內記入「安全監察流水帳」。
2、較為嚴重的、有代表性的隱患、違章,需要特別指出提醒的,發「安全監察備忘錄」,提出問題所在及整改要求。(樣式見附件九)
3、按照《反違章管理條例》需進行處罰的,發「違章處罰通報」,提出整改要求並處罰。(樣式見附件十)(安全考核單)
4、對於工地下發的「安全監察備忘錄」、「違章處罰通報」不按時整改、關閉的,發「安全監察警告書」(黃牌),並處罰。(樣式見附件十一)
5、存在危及安全生產的重大隱患,或對「黃牌警告」不執行或再次發生者,發「安全監察停工通知書」(紅牌),停工整頓並處罰。(樣式見附件十二)
6、安全獎勵和違章處罰登記台帳(樣式見附件十三、十四)
七、工器具標示
工器具年度檢驗合格後登記台帳,統一進行標示,標示方法為:選擇合適位置(如倒鏈的鏈盒蓋一側)塗刷有色漆,塗前考慮防銹。
2004年統一為紅色。(以後年度進行調換,屆時通知)
腳手架桿、架板的標示同樣進行。架桿在端部塗30CM,架板塗端部斷面。