㈠ 内网安全管理软件的主要功能
内网安全管理的主要目的就是对企业内网的数据安全、网络安全和终端安全进行管理,比如可以对员工在电脑上的一切操作行为进行管理,而且有不少企业都用域之盾对员工电脑进行全面管理,比如:
可以对员工上网行为进行审计管理:
1.上网行为审计:
通过网络审计可以对员工使用电脑进行的聊天行为、浏览网页行为、访问网页行为和上传下载等行为进行审计,管理者可以通过网络审计了解员工上网做了哪些事情;
2.浏览网页行为管理
想要限制员工浏览与工作无关的网页行为,可以通过网站访问控制进行设置,比如通过工作模式可以选择仅允许访问以下网站或禁止访问以下网站,然后在对应的名单中进行添加即可;
3.应用程序使用管理
为防止员工在电脑下载使用与工作无关的程序,可以在应用程序管控中的应用程序黑白名单中选择禁止以下程序使用或仅允许以下程序使用,而且还可以勾选禁止员工在电脑下载新软件,或对客户端电脑应用企业软件库;
可以对员工电脑文档安全进行管理:
1.文档透明加密
为了对电脑文件进行安全防护,可以通过文档加密的方式对员工电脑中常用文档进行透明加密,还能对设计类和图纸类等常用工具进行加密,打开加密文档下的文件就会自动变成加密状态,而且员工只能在局域网内使用,外发文件需要向管理端提交申请,否则外发出去的文件打开后就是乱码;
2.U盘使用管理
为管理员工在电脑随意使用U盘行为,通过U盘管理可对U盘使用权限进行仅写入、仅读取和禁止使用设置,还可以设置U盘使用申请、U盘文件加密、U盘使用白名单、U盘插拔使用记录和U盘文件操作记录等;
3.usb接口使用管理
为防止员工在usb接口随意使用外接设备,通过外设管理可以禁止使用蓝牙设备、红外设备、usb外设、便携式存储设备、移动硬盘和无线网卡等;
4.邮件外发管理
通过邮件外发管理可以设置邮件使用白名单,来防止员工随意外发邮件行为,可以禁止员工使用邮件附件外发,或对邮件后缀类型进行外发限制,以及设置仅允许员工向哪些邮件地址发送文件等;
5.文档备份及外发限制
在文档安全中可以在文档修改或删除时进行自动备份,还能把文件在进行本地备份的同时备份到服务器端,而且为了限制员工私自外发文件,可以限制员工通过浏览器、网页、邮件客户端和聊天程序限制文件外发,或者自定义文件外发程序进程限制员工通过多途径外发文件;
可以对终端电脑的使用进行管理:
1.电脑桌面使用录制
在本地审计中可开启屏幕录制和屏幕快照审计,这样管理者就可以查看到员工电脑的电脑屏幕使用情况了,而且还可以通过实时屏幕形式以屏幕墙形式在管理端查看多个员工电脑屏幕使用画面;
2.工作效率统计分析
通过工作效率分析可以对员工电脑的上网行为进行统计分析,可以清楚的看到每个员工的日均办公效率或每个部门的日均办公效率,以及近一段时间内的办公效率走势,可通过工作效率对员工进行分析管理;
3.终端安全管理
可以对员工电脑的软、硬件变化进行报警设置,防止员工私自拆换电脑硬件,还可以禁止员工私自修改注册表、ip地址,或禁止使用截屏功能、控制面板、任务管理器等,而且还能够对电脑系统进行漏洞扫描和补丁安装等。
㈡ 会议签到表上应该有些什么内容
会议签到表主要用于统计与确认参会人员的情况,作为会议效率评估的一个指标,主要内容包括:
1、会议主题;
2、会议时间;
3、会议地点;
4、预期参加人员的部门/单位的名称;
5、与会人员在其名单后的签字确认;
6、参会人员的应到人数与实到人数的统计。
(2)网络安全宣传周活动签到扩展阅读:
所谓会议,是指人们怀着各自相同或不同的目的,围绕一个共同的主题,进行信息交流或聚会、商讨的活动。一次会议的利益主体主要有主办者、承办者和与会者(许多时候还有演讲人),其主要内容是与会者之间进行思想或信息的交流。
会议是人们为了解决某个共同的问题或出于不同的目的聚集在一起进行讨论、交流的活动,它往往伴随着一定规模的人员流动和消费。作为会展业的重要组成部分,大型会议特别是国际性会议在提升城市形象、促进市政建设、创造经济效益等方面具有特殊的作用。
(1)有组织有领导地商议事情的集会:全体~ㄧ厂务~ㄧ工作~。
(2)一种经常商讨并处理重要事务的常设机构或组织:中国人民政治协商~ㄧ部长~。
(3)网络用语,指一种软件,能使许多用户参加进去,以半公开书面形式交谈,这种交谈可以是实时的(如在IRC频道中)也可以是非实时的(如在Usenet新闻组中)。
现代会议早已超出了单一的政府会议的格局,正朝着多元化方向发展,很多都是直接带有商业目的并能产生巨大经济效益的,如各种高峰论坛、专家培训会议等。
会议的一般操作原理为:会议的主办者制订举办会议的计划并委托给承办者,承办者(可以是专业会议组织者即PCO、公司的会议与奖励旅行部等)将围绕既定的主题进行精心设计。
并在市场上联系会议的买家(即目标与会者)、相关人员(如政府官员、演讲嘉宾等)及举办场所,最后自己接待会议,或将业务分包给会务公司。
国际会议是最重要、最有影响力的会议。国际上对国际会议认定的权威组织主要有ICCA和UIA等,由于每个组织所规定的标准有所不同,会造成认定或统计上的偏差,因此,对这些组织标准的明确划分是研究国际会议发展趋势的前提。
㈢ 盗梦空间负责人怎么生成签到码
盗梦空间的活动补签需要联系活动负责人,只有发起者和负责人才有补签权限,个人是无法自己补签的,补签的方法有以下两种:
1、人工补签。将个人的账户信息及登录账号密码,进行电子档形式保存发送到活动发起者人的邮箱,在电子档后尾填上申请补签,由活动发起人进行审核,审核通过即可补签。
2、系统补签。系统补签需要个人亲自登录自己的到梦空间账号,查找到相应活动的时间及票号,将时间及票号还有个人信息上传到系统后台补签功能。
上传完成之后将由系统自动审核,审核条件通过即可自动补签。
常见问题和解决办法:
1、没有账号或者登录时显示用户不存在。因系统暂未开放注册,故没有账号或者登录时显示用户不存在时,应联系本校的系统管理员进行添加账号。
2、个人信息有误。如发现个人信息有误,应联系本院系的系统管理员修改个人信息(为保证信息规范不支持自行修改)。
3、忘记密码。在登录页面,点击“忘记密码“,可通过已绑定的手机号获取验证码设置新密码;也可联系学校的系统管理员初始化密码,初始化后的密码为111111。
㈣ 我想请问安全生产标准化建设需要做哪些表格
安全生产标准化台帐目录
一、安全生产目标管理、组织机构和职责
1、安全生产和职业卫生工作目标、计划和实施方案
2、企业平面布置图(重点部位和职业危害监控分布图)
3、重点部位和职业危害监控表
4、企业成立安全生产和职业卫生管理组织机构的文件
5、安全生产和职业卫生管理网络图
二、会议记录
1、安全生产会议制度
2、安全生产会议(活动)签到表
3、安全生产会议记录
三、安全生产投入
1、安全生产费用提取和使用制度
2、安全生产费用使用计划
3、安全生产经费实际投入记录
四、法律法律和安全管理制度
1、识别、获取、更新安全生产法律法规制度
2、适用安全生产法律法规及其他要求清单
3、安全生产法律法规标准符合性评审登记
4、安全生产管理制度清单
5、安全操作规程清单
6、规章制度、操作规程评审修订记录
7、安全生产奖惩台帐
8、安全生产收文登记
五、教育培训管理
1、安全生产教育培训制度
2、安全生产教育培训年度计划
3、企业负责人、安全管理人员及特种作业人员持证情况表
4、特种作业人员基本情况登记表
5、新职工三级安全教育培训台账
6、员工安全教育培训登记表
7、安全教育培训记录
8、相关方安全管理制度
9、公司相关方安全告知书
10、相关方管理登记表
11、相关方信息调查表
12、相关方安全告知培训记录
13、相关方安全告知培训签到表
14、安全文化建设活动清单
六、生产设施设备
1、设施设备管理制度
2、特种设备管理台帐
3、建设项目安全“三同时”情况
4、特种设备管理台帐
5、安全卫生防护设施保养记录
6、安全卫生防护设施检查记录
7、其他主要设备台账
8、安全卫生标志台账及检查保养记录
七、作业安全
1、危险作业审批管理制度
2、风险和隐患辨识与评估
3、危险作业管理台帐
4、作业许可证清单
5、企业机构、人员、工艺、技术、设施、作业过程及环境变更管理制度
6、企业机构、人员、工艺、技术、设施、作业过程及环境变更登记表
八、隐患排查治理
1、安全生产检查与事故隐患整改制度
2、重大危险源综合安全检查表
3、安全生产检查与隐患整改纪录
4、事故隐患整改台帐
5、重大危险源管理制度
6、重大危险源登记表
7、重大危险源综合安全检查表
九、职业健康
1、职业健康管理制度
2、职业卫生“三同时”备案材料
3、职业病危害项目申报表和申报回执
4、可能产生职业病危害设备、材料和化学品一览表
5、职业病危害因素信息卡
6、岗位职业病危害因素告知书
7、职业危害因素日常监测公告牌
8、劳动防护用品采购记录
9、劳动防护用品发放登记表
10、企业接触尘毒物质职工健康监护登记表
11、接触有毒有害作业工人健康检查结果一览表
12、职工职业健康监护个人档案
十、事故应急救援与调处
1、事故应急救援预案
2、事故应急救援预案及演练
3、各类事故(职业病)调查处理情况统计表
4、各类事故(职业病)调查处理情况登记表
十一、车间安全管理
1、车间安全生产管理制度
2、车间概况
3、车间安全生产活动记录表
4、车间安全生产检查表
5、反“三违”活动记录表
6、车间重点部位和职业危害监控表
十二、班组台帐
1、班组安全管理制度
2、班组概况
3、重点部位和职业危害监控表
4、班组安全生产活动记录表
5、班组现场安全管理及隐患排查表
㈤ 如何解决企业远程办公网络安全问题
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
㈥ 安全标准化工作安排
我这有一个安全管理工作标准
很长的,发不全,你留个邮箱,我发给你
第一部分 安监人员例行安全管理工作
一、项目工地安全管理例行工作要点
1、月度安全会议:每月6日召开,工地领导、各专业工程处及有关部室的负责人和安全员参加。会议履行签到制度,会后形成书面纪要,根据需要报送有关单位。
2、月度安全检查:每月16日,组织本月的月度安全大检查。由项目经理或生产副经理带队,安监、工程、消防和机械等单位参加,检查情况形成书面检查纪要,发往工地各单位。其它各类检查可根据工程进展情况和施工特点随时进行,存在问题可以纪要、备忘录等形式发出。
3、对专业工程处及工程分包方进行安全奖惩时,统一使用安监部专用的“考核单”,考核单注意编号正确。
4、月度安全考核。每月5日前对各单位进行一次月度安全考核,考核标准可以根据工地和工程情况自行制定并随工程进展而调整,考核形式可以是评比、排序、奖惩,考核结果在全工地进行公开,并与安全奖挂钩。
5、工地每月月初出一期安全月报,内容为上月安全工作总结、工地安全情况通报和本月安全工作重点。
6、每周五召开工地安监员例会,签到并形成纪要。
7、每周一对安全学习情况进行巡检,对班组安全记录进行检查。
8、建立安全监察流水帐,随时记录工作中发现的问题(建议)。办公室内可根据工程进展情况,在显要位置设一小黑板,内容为每日工作提醒和每日安全监察重点(建议)。
9、日常工作中形成的书面文件多利用工地局域网进行发送,尽量发送到每个工地领导和专业工程处负责人,可以公开的文件要在工地显要位置张贴通报。
10、文件整理及存档要求
(1)文件盒统一要求
文件盒统一由公司依据企业文化要求制作,项目安监部根据需要领用,文件盒外部贴打印标签,注明年度、文件大类名称、编号,标签中注明所在工地,如右图所示,字体统一,位置一致,做到一目了然,盒内统一放置文件目录,及时填写存档文件名称。
文件盒标签示例:部局文件、地方文件、公司文件、工地文件、部室文件、安全检查、安全例会、安全周报、月度报表、文件发放、安全网络、技术交底、安全措施、夜间施工、作业票、安全教育、违章通报、安全奖惩、安监档案、安全上岗证等。
(2)文件整理及存档格式统一要求
A、外来文件接收后要及时记录接收台帐。内部文件发放要有统一的文件发放记录,接受人签字齐全。
B、文件存档要分门别类,格式统一,标签明确,类别清晰,便于查找。
C、分包方安全管理资料单独存放,分为:分包方台帐、、资质审查、人员台帐、培训记录、安全奖惩等。要求同上。
11、需上报济南总部的日常报表报送要求
(1)工作周报和违章周报可合并为一份,每周三下班前上报,并尽量以OA电子邮件形式报送;违章周报一定要如实上报,不能瞒报、少报,内容要规范、具体,以便于统计分析;公司不根据上报违章多少对工地进行考核,但公司将通过检查对上报情况进行核实。
(2)每月报表(工地月报和在建工程动态跟踪表)也可合并成一份,但要注意将在建工程动态跟踪表内容单独列出,每月月初(2号)以前以OA电子邮件形式报送上月报表。
(3)月度、年度事故情况报表可书面集中捎送总部。
(4)其他总结、计划等文件注意按期以OA电子邮件形式上报。
12、安监人员日常行为规范
奉公守法、办事公道、作风正派、团结协作;
爱岗敬业、学习创新、文明待人、优质服务。
二、工程分包方管理
1、公司所有项目工地的分包施工人员统一佩戴“安全上岗证”。每年3月份对所有分包人员进行查体、考试和换证。为便于识别是否经过年检,上岗证内注明办证时间,颜色每年更换一次,2004年定为天蓝色。下半年(10月1日以后)进厂的分包人员次年可免予查体,但需换证。(样式附图)。
2、项目工地审查存档资料:
公司内部施工许可证;法人代表授权委托书;特殊工种人员证件复印件(审查时要求上交证件原件);安监人员证件复印件;安全管理网络及管理办法;施工人员花名册;
以上资料随时更新。
3、进入程序:
(1)分包单位持内部施工许可证、发包单位证明,到项目工地安监部登记。
(2)分包单位持新进工地施工人员名册、人员身份证及复印件、照片到安监部办理人员查体、培训等事宜。
(3)合格人员到发包单位办理二、三级培训等事宜。
(4)三级安全教育合格后办理安全上岗证。
4、每周二召开分包单位安全员或负责人例会,签到并记录。
5、分包单位的安全管理执行公司有关程序,工作要细,效果要实。
6、日常施工时要求分包单位将特种作业人员证件原件(复印件压膜也可)随身携带,随时查验;
三、需建立的台帐
1、安全设施台帐(动态,随时记录、补充),(样式见附件五)
2、安全教育档案(样式见附件六)
3、工器具及检验记录(样式见附件七)
4、各级安全生产责任书
5、年度安全考试台帐
6、事故上报及工伤申请执行公司〈〈事故报告、调查处理控制程序〉〉与〈〈职工工伤管理办法〉〉。注意在规定期限内交齐以下资料:A、事故现场记录及有关图片;B、本人自述、相关人员叙述材料;C、《人身事故登记表》;D、事故单位出具“事故报告”;E、事故所在工地的“事故调查、处理报告”;F、相关医疗证明材料。
四、体系运行有关内容
(一)通用部分
1、本部门文件资料的发放、回收是否按程序执行。
2、本部门内部文件是否按规定进行编、审、批。如本部门内部分工等
3、对工地及各单位应急预案实施情况的检查记录(如防汛、防风、防火等)(书面记录)
4、本部门对新版体系文件的学习培训情况。(书面记录)
5、本部门人员对公司体系三个方针、相关运行知识的掌握情况,三个方针向相关方我宣传情况。
6、本部门组织的培训班的记录情况,要按照公司规范表格进行记录,计划、考勤、登记、讲义和总结等。
7、本部门对工地各单位安全工器具、防护用品发放前和定期检查、检验工作的监督检查情况(记录)
(二)职业安全健康管理
1、本工地、本部门(工程处)危害辨识、更新情况,要求2003年后开工的工地使用新表格。
2、是否对公司重大危害控制计划和职业安全健康管理方案进行分解,要求与公司计划、方案相对应,并经审批。
3、每季度对方案实施情况进行检查(填表),形成记录,向公司总部传递。
(三)环境管理体系
1、本部门环境因素辨识情况
2、对工地重要环境因素控制计划和工地环境管理方案进行分解,要求与工地计划、方案相对应,并经审批。
3、本部门主管环境体系要素/程序:大气污染、噪声污染、水污染的控制,要求定期检查(随月度安全大检查同时进行),检查记录中要体现出此项内容,并按要求整改、关闭。
4、每季度对本部门环境方案实施情况进行检查(填表),形成记录,向工地工程部传递
5、接受检测中心传递的信息(大气污染、噪声污染、水污染的检测),并对照标准(法律法规)评价是否符合要求,并采取相应处理措施,要求形成记录。
6、本部门固体废弃物控制情况(书面记录)。
五、脚手架统一挂牌(样式见附件八)
1、脚手架必须挂牌使用。牌子用A4纸打印,塑封,竖挂。
2、每一脚手架挂两个牌子,一个注明:名称、用途、搭设单位、允许载重、负责人、验收人。另一个牌子为“风险分析”————说明可能的危险因素及注意事项。
六、日常监察方式
1、一般的隐患、违章,现场立即制止、纠正,不发书面通知,科内记入“安全监察流水帐”。
2、较为严重的、有代表性的隐患、违章,需要特别指出提醒的,发“安全监察备忘录”,提出问题所在及整改要求。(样式见附件九)
3、按照《反违章管理条例》需进行处罚的,发“违章处罚通报”,提出整改要求并处罚。(样式见附件十)(安全考核单)
4、对于工地下发的“安全监察备忘录”、“违章处罚通报”不按时整改、关闭的,发“安全监察警告书”(黄牌),并处罚。(样式见附件十一)
5、存在危及安全生产的重大隐患,或对“黄牌警告”不执行或再次发生者,发“安全监察停工通知书”(红牌),停工整顿并处罚。(样式见附件十二)
6、安全奖励和违章处罚登记台帐(样式见附件十三、十四)
七、工器具标示
工器具年度检验合格后登记台帐,统一进行标示,标示方法为:选择合适位置(如倒链的链盒盖一侧)涂刷有色漆,涂前考虑防锈。
2004年统一为红色。(以后年度进行调换,届时通知)
脚手架杆、架板的标示同样进行。架杆在端部涂30CM,架板涂端部断面。