信息安全等級保護條例
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇信息安全等級保護條例范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
信息安全等級保護條例范文第1篇
清晰明了等級保護制度
畢馬寧認為要開展信息安全等級保護工作,首先應該弄明白什么是等級保護,“等級保護是我們國家以法律形式固定下來的一個關于國家信息安全保障體系建設和保護關鍵基礎設施的基本國家制度”,而信息安全等級保護制度的法律依據則是1994年國務院的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)。
其次,還應該明白信息安全等級保護的等級概念。“等級保護簡單地說,等級是手段,目的是保護”,而等級的劃分是根據信息系統在國家安全、經濟建設、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將信息系統劃分為不同的安全保護等級并對其實施不同的保護和監管。畢馬寧強調:“信息系統的重要程度不是由系統的技術性所決定,而是由這個系統的社會屬性所決定的。”比如,同樣是財務系統,銀行的財務系統與某小型企事業單位的財務系統所承載的應用對社會秩序、國家安全的影響是不一樣的,一旦遭到破壞,銀行財務系統對社會秩序和國家安全的負面影響更重大。“所以,原衛生部才會要求全國的三級甲等醫院的核心系統通過第三級測評。”他說。
一體之兩翼
其實信息安全等級保護并非我國獨創,而是借鑒國際已有的信息安全風險管理理論和方法,并結合我國信息安全管理的特色,制定的具有中國特色的信息安全等級保護制度。現階段整個人民生活、社會運行,包括政府的運行,都跟信息化密不可分。信息化已經從原來的輔助作用變成支撐作用,成為機構、企業發展,獲得價值或者改善自身生存,為社會做貢獻的一個利器、一個支撐平臺。“正如所說的,一個國家的發展,一個民族的發展,需要‘一體兩翼’,‘一體’是發展;‘兩翼’,則是信息化和信息安全保障。想要發展就缺一不可。”畢馬寧說,“等級保護制度是對信息系統做風險控制,是一種國家風險管理行為。可以說等級保護制度就是國家風險管控手段。它雖然不能完全保證信息系統不出事,但起碼能夠保證信息系統少出事,或者是風險可控的,而且一旦出了事我們知道如何去應對。”
等級測評工作的目的和意義
等級保護是要通過定級、備案、建設整改來提升信息系統安全防護能力,安全建設整改工作完成后,如何檢驗效果?這就是等級測評工作的目的和意義。等級測評是檢測評估信息系統安全保護狀況是否達到相應等級能力要求的過程,是落實信息安全等級保護制度的重要環節。
畢馬寧認為,“等級測評是等級保護工作推進過程中的一項能力技術判斷活動,它是一個必備的環節。”他還建議:“不要把等級測評工作當作是考試,應該是把等級保護工作重點放在準確定級、建設整改上,逐步提升信息系統的安全防護能力,通過等級測評來發現自己的問題,再明確下一步的方向,這是最關鍵的。”
等級測評工作也可以在定級備案之后,安全建設或整改之前開展,因為“公安機關賦予了等級測評機構提供咨詢的權利和義務,可以站在用戶的角度幫他們做咨詢服務”,畢馬寧解釋:“作為評估中心,我們不僅要發現問題,還要跟用戶共同商量解決問題,這也是服務型政府的一個特點。”
對醫療衛生行業信息安全等級保護工作的建議
信息安全等級保護條例范文第2篇
信息安全作為國家安全的重要組成部分,是一項關系全局的戰略任務,具有極端的重要性、緊迫性、長期性和復雜性。可以說,目前我國信息安全產業是通過等級保護、可信計算和產業化發展相互結合,實現網絡虛擬世界秩序的安全和可信。
產業化成為重點
中國的信息安全產業僅有二十多年歷史,快速發展也只是近十年的事,尚存諸多不足。在互聯網應用與普及方面,我國已經進入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。
中國工程院院士方濱興認為,我國在網絡安全方面的解決策略是政府重在行動,企業重在引導,公眾重在宣傳。就是說,凡是政府信息系統,必須接受信息系統安全等級保護條例的約束,以行政的手段來強化信息系統的安全。凡是企業的系統,通過對信息安全產品的市場準入制度,以保證企業所采用的信息安全防護手段符合國家的引導思路。公眾方面則通過對網絡安全方面的廣泛宣傳,讓公眾對網絡安全具有正確的認識,從而提高相應的防范能力。
據悉,教育部、公安部、工業和信息化部、國家標準化管理委員會等單位已經將“為國家信息化建設及國家信息安全基礎設施提供支撐的信息安全產品產業化”作為2009年信息安全重點工作。其中涉及到四個方面:
1.重點支持基于國產可信計算芯片的安全應用產品,以及基于自主密碼技術的高性能集成應用產品的產業化。
2.重點支持移動存儲介質保密管理、惡意代碼防治、電子文檔安全管理、網絡數字版權保護、電子數據取證、安全保密檢查等產品,移動終端、桌面終端安全防護等計算機安全保護產品,以及面向無線網絡的安全管理與安全應用產品的產業化。
3.重點支持安全操作系統、安全數據庫、安全中間件、安全服務器、安全接入設備、安全存儲、容災備份軟件、安全辦公軟件等產品的產業化。
4.重點支持高性能專用安全芯片和專用安全設備,以及適用于新一代網絡環境的具有高性能、多安全功能的軟硬件集成化產品的產業化。
技術成果的產業化過程應當是一個市場化、社會化的過程。將核心技術產品產業化地發展,推動產業結構升級,是提升核心技術發展的破局之舉。
可信計算成為標尺
雖然我國的信息化技術同國際先進技術相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進行可信計算平臺的研究和部署工作。其中,部署可信計算體系中,密碼技術是最重要的核心技術。
絕對的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態,那就是:進不去、看不見、拿不走和賴不掉。總結起來,這12字方針的目標就是可信計算。
中國可信計算工作組組長、中科院軟件所副總工程師馮登國介紹,可信計算的基礎是在每個終端平臺上植入一個信任根,讓PC從BIOS到操作系統內核層,再到應用層,均構建信任關系,由此建立一個能在網絡上廣泛傳遞的信任鏈。這樣,人們將夢想進入一個計算免疫的時代――終端被攻擊時可以實現自我保護、自我管理和自我恢復。
可以說,可信計算根就像是一把丈量計算機可信度的標尺。它會在啟動之初對計算機系統上所有的運行軟件進行可信性(完整性)分析,由此判定它們是否被非授權篡改。若判定不可信則阻止該軟件運行,并自動恢復其合法的版本。所以,計算機一旦嵌入了該技術,即可在啟動操作系統時發現內核已改,并根據用戶需求進行阻止和恢復。
中國可信計算工作組發言人劉曉宇說,隨著《可信計算密碼支撐平臺功能與接口規范》等一系列國家政策的出臺與推動,以可信密碼模塊為TCM核心的PC、筆記本電腦、服務器、加密機等系列產品和解決方案,將逐步被我國政府/軍隊、制造、金融、企業/科研、公共機構、航天等行業在IT領域廣泛采用。
劉曉宇說,我國自主研發的可信技術從芯片到PC硬件到系統/應用軟件以及CA認證,早已形成了一條初具規模的完整產業鏈。
馮登國表示:“2009年將是中國可信計算蓬勃發展的一年,為打造更為強大的可信計算體系,中國可信計算工作組將優化和完善TCM硬件平臺,還將致力于打通產、學、研之間的一切壁壘,促進業內同行實質性的合作交流。”
等級保護推力強勁
信息安全等級保護,是這幾年聽到最多的詞之一。從1994年國務院147號令至今,已經過去了15年。這些年間我國在信息安全領域已經制定了數十個國家標準和行業標準,初步形成了信息安全等級保護標準體系。
方濱興說,目前,政府在信息系統等級保護方面加大了推進力度,已經完成了等級保護的定級工作,接下來的工作就是采取有效措施來實施信息系統的安全等級保護技術。等級保護的大力推動,一方面在國際上展示了我國政府對信息安全和網絡安全的管理決心;另一方面,等級管理制度的建立,突破了我國慣性思維的管理理念。
隨著工業和信息化部的成立,公安部與工業和信息化部在信息系統等級保護管理方面出現了職能交叉,因此,等級保護工作的進一步開展將取決于兩個部委的有效協調和合作。
2003年,國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》(簡稱“27號文件”),明確要求我國信息安全保障工作實行等級保護制度,2007年出臺《信息安全等級保護管理辦法》(簡稱“43號文件”)。隨著兩項標志性文件的下發,2007年被稱為等級保護的啟動元年;由于要對現有信息安全系統進行加固,大量產品和服務采購開始,2008年被普遍視為等級保護采購元年;更有業內人士說,2009年等級保護的好戲才真正上演。
“當前的信息與網絡安全研究,處在忙于封堵現有信息系統安全漏洞的階段。”公安部網絡安全保衛局處長郭啟全認為,“要徹底解決這些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。目前,我們迫切需要根據國情,從安全體系整體著手,在建立全方位的防護體系的同時,完善法律體系,并加強管理體系。只有這樣,才能保證國家信息化的健康發展,確保國家安全和社會穩定。”
“事實上,信息安全等級保護的核心思想就是根據不同的信息系統保護需求,構建一個完整的信息安全保護體系。分析《計算機信息系統安全保護等級劃分準則(GB 17859-1999)》可以看出,信息安全等級保護的重點在于內網安全措施的建設和落實。建立一個完整的內網安全體系,是信息系統在安全等級保護工作中的一個重點。”郭啟全說。
信息安全等級保護條例范文第3篇
工控系統信息安全事關國家命脈,先前人們較少提及,而在近期突然成為一個新的關注點。2010~2012年間,伊朗、敘利亞等中東國家的計算機網絡先后出現了“震網”、“火焰”等病毒,能夠對與石油工業相關的計算機實施監控、截取信息乃至破壞。
隨著兩化融合和物聯網的應用普及,工控系統已經成為我國關鍵基礎設施的重要組成部分。因此,這些工控系統一旦遭受信息安全威脅,其后果的嚴重性不堪設想。兩化深度融合的挑戰
2009年至2012年期間,工業和信息化部組織專業研究力量先后對鋼鐵、機床、汽車、棉紡織、家電等17個行業開展了兩化融合發展水平評估工作。報告顯示,隨著我國工業化和信息化的深度融合以及物聯網的快速發展,工業控制系統面臨的信息安全問題日益嚴重。
越來越多的數控系統和智能設備應用到了工業現場中,它們更多的采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業內網以及互聯網實現連接,使企業的生產計劃、調度指令等可通過信息系統直接下達到車間、生產線,甚至具體生產裝備,實現企業生產過程的管控一體化。然而,網絡的互聯性、開放性越是先進,其承受的惡意企圖也就越多。
在2012年10月于杭州舉辦的全國首期“工業控制系統信息安全保障能力建設高級研修班”上,工信部信息安全協調司歐陽武副司長接受記者采訪時表示,我國工控系統的安全形勢非常嚴峻。“約80%的企業從來不對工控系統進行升級和漏洞修補,有52%的工控系統與企業的管理系統、內網甚至互聯網連接;此外,一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于,對于發現風險源頭缺乏手段,對控制風險的技術與方法缺乏必要的研究。”
歐陽武司長認為,工控系統信息安全成為關注點主要有兩個原因:一方面,隨著計算機技術的發展,很多專業的系統實現了通用化,現在的工控系統開始在通用技術的基礎上做專業的系統設計,這樣一來,存在于計算機信息系統中的漏洞被帶到了工控系統里。另一方面,長期以來工控系統并沒有因為信息安全問題發生大的事故,人們普遍存在“病毒很少能對工業控制系統造成危害”的意識。但是,伊朗的“震網”事件,給了全世界一個警示,計算機病毒不僅可以感染到工控系統,而且可以對控制對象進行物質破壞。
據介紹,目前我國在工控高端設備上還在使用國外的產品,軟件開發中存在邏輯沖突和錯誤不可避免,徹底消除信息安全漏洞是不現實的,在這種現實情況下,就必須加強管理。2011年9月29日,經國務院同意,工信部下發了《關于加強工業控制系統信息安全管理的通知》,標志著我國工業系統信息安全工作的啟動。
圍繞著這一文件的落實,工信部對重要工業控制系統及其應用單位、中央企業有了基本的了解,并對所有中央企業在本集團內部進行了摸底調查。接下來工信部辦公廳于2012年又印發了《關于開展工業控制系統信息安全風險信息工作的通知》,對工業控制系統信息安全風險信息工作做出了安排,目前國內已經了200多個漏洞。
如何堵住漏洞?
工控系統的安全問題日益嚴重,確保工控系統的安全可控,已經不僅僅是單個研究機構或企業要思考的問題,更需要國家層面進行戰略布局,產業界群策群力。
據中國機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松介紹,傳統IT信息安全一般要實現三個目標,即保密性、完整性和可用性,通常都將保密性放在首位,并配以必要的訪問控制,以保護用戶信息的安全,防止信息盜取事件的發生,完整性放在第二位,而可用性則放在最后。對于工業自動化控制系統而言,目標優先級的順序則正好相反,工控系統信息安全首要考慮的是所有系統部件的可用性,完整性則在第二位,保密性通常都在最后考慮。
面對我國工業控制系統安全的壓力,歐陽勁松表示,當下最為緊迫的任務是樹立工控系統安全和防范意識、建立出臺相關標準與法規、系統管理第三方認證機構,同時他認為工業控制系統信息安全問題必須在國家的推動和貫徹下才能得到切實解決。
目前在傳統IT信息安全領域,根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規,我國已經了《信息安全等級保護管理辦法》,對信息系統分等級實行安全保護。同樣地,為保障工業控制系統的信息安全,更加迫切地需要有關政府部門相關法令法規,引起各行業足夠的重視,并規范行業實踐。
信息安全等級保護條例范文第4篇
這是怎樣的一種安全工具?它的工作原理是什么?它真的能取代IDS嗎?本期特組織了一組討論NBA的專題。
為什么需要
網絡行為分析
近年來,全球許多大公司都將“法規遵從”列入了自己的工作議程中,其原因在于:全球的立法機關和政府部門為了應對網絡世界日益增多的各種安全威脅,都在不斷與時俱進,相應出臺了許多新的法規,比如美國出臺了《支付卡行業數據安全標準》、《薩班斯-奧克斯利法案》和《健康保險可攜性及責任性法案》等標準,中國政府出臺了信息安全等級保護條例、信息系統災難恢復指南標準,等等。這些標準與法規要求企業必須懂得數據如何得到安全的處理。企業不僅要保護網絡安全、信息安全,還要通過全面的報告機制來證明自己的網絡是安全的。
這些新標準的出臺,證明各國政府對信息安全的重視與積極應對的態度,但遺憾的是,這些標準中并沒有建議企業應該采取哪些具體的技術措施來幫助維護數據安全,這導致了各種安全技術的流行。
防火墻、反病毒軟件、內容過濾器和驗證系統等常規的安全工具逐漸被越來越多的用戶接受,成為許多公司安全武器庫當中的必要部分。但是隨著網絡變得日益復雜起來,這些工具越來越不能迅速識別及挫敗越來越狡猾的威脅。因此,最近出現的一個新的技術手段――網絡行為分析(NBA)工具逐漸開始流行,正是因為它結合了基于網絡流的異常檢測和網絡性能監控,可用來管理網絡及安全。它不同于傳統流量識別系統的地方在于: 它能檢查流量的行為,而不是檢查流量是什么模樣。
傳統安全措施
尚存不足
在PC和互聯網得到廣泛使用之前,公司網絡通常使用專有的協議和專用硬件來進行內外網隔離。針對這種通過“黑盒子”方式提供安全的模式,黑客和病毒編寫者為了攻擊系統,不得不了解每個攻擊目標存在的各種安全漏洞。因此,黑客對目標的攻擊往往僅局限于單獨的系統,很難發動大規模的攻擊。而如今,我們生活在PC主導企業、互聯網是公司業務必要組成部分的大環境下,這種技術的一致性在創造了便利的同時,也為黑客、病毒編寫者及信息世界的其他不法分子提供了可乘之機。
一些安全應用軟件(如反病毒軟件)往往依靠特征引擎(signature engine)來識別威脅。特征引擎將產生的數據與病毒庫中已有病毒特征進行對比。如果特征引擎發現兩者匹配,那么它就會發出報警,或者采取某種措施來緩解威脅。基于特征的威脅識別對付已知威脅非常有效,但在識別未知威脅方面效果有限,這就暴露了特征引擎模式存在的巨大缺陷。變通辦法是不斷更新病毒特征庫。但是在新威脅出現,反病毒軟件廠商努力開發出合適的特征代碼時,已經存在明顯的時差了:不管停機還是被全面感染,用戶的網絡都可能面臨慘重損失。而且許多病毒和蠕蟲很容易偽裝和變種,這樣反病毒引擎在下一次特征更新之前很難發現它們。
傳統的安全產品歷來側重于保護網絡邊界,因此很多公司在網絡邊界上使用了防火墻,但遺憾的是,現實普遍的情況是,網絡的核心更不安全。因此,包括賽門鐵克在內的很多安全產品提供商提出了端點防護的建議,端點安全似乎是堵住這種缺口的一種方法,但這種方法在大型網絡上很不方便,因為用戶往往有許多不同的應用,所以那些“一應俱全式”的單一桌面配置方法很難實現。更司空見慣的情況是,我們需要配置多個桌面及配置多個用戶文件,所以公司需要很多端點安全策略。
很多防火墻廠商在防火墻中添加了反病毒和基于特征的內容過濾,但其效果也僅限于網絡邊界。大部分公司并沒有采用內部防火墻來保護自己內部網或廣域網(WAN)等其他專用的基礎架構。即便使用了內部防火墻,這些技術仍受到特征庫更新頻率和準確性的局限。
NBA彌補不足
而新出現的行為分析工具(NBA)則克服了這些傳統安全產品的不足。但它不是取代后者,而是后者一個很好的補充。NBA技術可收集及分析網絡中的數據,提供流量分析和網絡流報告。這是通過對流量信息運用統計算法來實現的。網絡探測程序歸類的流量異常情況常常被認為是攻擊的前兆。很容易從NetFlow或者sFlow數據流中識別主機或者端口偵測和掃描行為。比如,如果出現了一種未知蠕蟲,在它還沒有被傳統的入侵檢測/預防系統的特征識別出來之前,NBA系統則能立即識別這種蠕蟲不同尋常的流量模式,這種行為模式往往會尋找網絡上可以被感染的鄰近主機。NBA系統可以監控這些行為,并且向網絡管理員發出報警。
NBA最吸引人的一項功能在于,它不再與網絡邊界聯系。一個NetFlow或者sFlow收集設備能同時監控網絡上的多個內部和邊界的節點。另外,NBA可與現有的身份管理解決方案融合在一起,把流量異常與相應的用戶名稱聯系起來,從而全面了解這個用戶的網絡活動。幾種解決方案的無縫集合不但滿足了法規遵從的要求,還能夠解析異常流量――一直到解析用戶名稱,而不是單單解析IP地址。這種機制還有可能實現雙向操作,那樣還可以通過解析用戶名稱來識別IP地址,從而確定可疑用戶遭遇的攻擊面。這無疑提高了故障排除能力,并且加快了補救與安全相關的問題。
信息安全等級保護條例范文第5篇
文獻標識碼:A 文章編號:16749944(2016)08010805
1 引言
在21世紀,電力發展的福利已經深入人類生活的方方面面。在這種高科技高水平高效率的電力生產行業,對電力系統的安全管理是重中之重。電力生產企業,是一個資產設備數量大、品種多、自動化程度高、對設備的完好率及連續運轉可利用率要求高的技術密集和設備密集型企業。在電力生產系統運行過程中,一旦發生故障和事故就會危及設備和人身安全,甚至會波及社會用電安全。
據調查顯示2012年上半年,全國發生電力人身傷亡事故24起,死亡人數達到43人,比往年同期事故數量增加7起,死亡人數增加20人。其中,電力生產人身傷亡事故18起,死亡22人,同比事故起數增加5起,死亡人數增加6人;電力建設人身傷亡事故6起,死亡21人,同比事故起數增加2起,死亡人數增加14人。全國共發生21起電力安全事件,其中電網停電事件11起[1]。如此傷亡慘重的教訓,不得不對電力行業的安全管理給予重視。
在現有電力生產行業管理方面是存在以下問題的,首先是安全生產管理信息系統孤島現象嚴重[2]。不符合電力企業各部門強耦合的、嚴密的協同關系。其次是電力行業在信息化系統建設方面各系統間基本上沒有聯系。耦合度不緊密,與電力生產的整體性、連續性不符合。要想實現電力企業“集團化運作、集約化發展、精細化管理和一強三優的發展目標”還有相當一段差距。最后是電力生產系統本身就是危險源,并且存在安全隱患。設備異常情況、負荷變化、電能質量的變化都會影響電力生產系統運行。一旦某個環節發生變化,若不能及時采取相應措施,可能會造成事故發生。因此,加強和改善對電力生產行業的安全管理以及保障電力生產系統安全穩定運行已經迫在眉睫。
對電力系統安全評估的方法有很多,常用的方法是確定性的安全評估[3~7]。其原理先確定分析對象,包括事故列表、系統網絡結構以及時間范圍和負荷狀況。然后找出先違反系統運行狀況標準的事故。最后采取措施解決這些事故。雖然確定性方法很直觀好用,但是存在以下不足:運行標準不統一;單純重視最嚴重、最可信的事故,而對非限制性事故疏漏使評價結果過于保守;事故發生頻率沒有考慮;難以評價系統安全工程能力級別及其能力優化升級問題。在這種形勢下,美國國家安全局、美國國防部、加拿大通信安全局以及60多家著名公司共同研發SSE-CMM模型[8-10],國內外學者也紛紛對SSE-CMM進行探討,并提出在工程項目上的應用。李志明,叢琳等人就SSE-CMM模型進行研究探討,將其應該在電力信息安全工程評估,提高了系統安全工程能力;蔡皖東,李偉英等人基于SSE-CMM模型[10],并將其映射、剪裁、關聯在電力通信網絡及信息系統安全工程評估中,有效地改革了安全管理模式,降低了安全事故的發生。劉曉杉、喬悅懌等人基于SSE-CMM模型[11,12],對銀行信息系統建設的管理合理進行評估,從而加強管理模式。由此可見,SSE-CMM模型在安全工程領域具有廣闊的發展前景[13]。
參考前人所得經驗,文章將根據電力生產系統的特性,利用系統安全工程能力成熟度模型對電力生產系統進行映射、關聯、裁剪得到電力生產系統安全工程能力成熟度模型并對電力生產系統進行安全評估。此思路特點:安全過程域和基本實踐并不是照搬固有系統安全工程能力成熟度模型模板,而是根據電力生產系統組成結構來確定安全工程過程域;基本實踐根據電力生產安全特性來確定;采用模糊聚類方法對通用實踐進行分類,并確定通用實踐。
2 電力生產系統SSE-CMM安全性評估
2.1 系統安全工程能力成熟度模型(SSE-CMM)
系統安全工程能力是指系統達到所需要達到的安全性指標的能力,對一個系統工程的過程安全能力穩定地進行改善,該系統工程也會變得“成熟”。此模型的基本思想是建立和完善一套成熟的、可度量的安全工程過程。特點是任何工程活動在這個安全工程下都是清晰定義,并且都是可管理的、可測量的、可控制的且有效的。
系統安全工程能力成熟度模型是由“過程域”和“能力”兩個維數構成。過程域是為完成一個子任務所需要實施的一組工程實踐,其涉及三種過程域:工程過程域、組織過程域和項目過程域。后兩類過程域并不直接同系統安全相關,故不是模型的一部分。模型為每個過程域定義了一組確定的基本實踐(BP),每個基本實踐都是完成該子任務所不可缺少的。能力維表示的實踐代表過程管理和制度化能力,稱為通用實踐(GP)。而通用實踐是來描述每個級別的共同特性(CF),即每個級別的判定反映為一組共同特性。通用實踐是應用于所有過程的活動,它們強調過程的管理、度量和制度化。用通用實踐來描述共同特性的邏輯區域被劃分5個能力級別(還有第0級,表示無安全工程能力,不予討論)如圖1所示。
2.2 電力生產系統安全性SSE-CMM模型構建
系統安全工程能力成熟度模型(SSE-CMM)是一種衡量安全工程實踐能力的方法。根據電力生產系統的安全特性,對其進行映射、關聯、裁剪得到關鍵過程域,并擬定每個關鍵過程域中必不可少的基本實踐項目,從而構建電力生產系統安全工程能力成熟度模型。電力生產系統安全工程過程域可以根據電力生產系統工作流程或者組成結構進行劃分。通過進行全面、深入地了解,細致地調查以及相關文獻資料調研來確定過程域的能力級別。根據能力級別等級,可有針對性改進其管理水平,提高能力級別,最終達到優化升級目的。
2.2.1 確定過程域與基本實踐
根據電力生產系統主要組成結構特性,對電力生產系統進行映射、關聯、裁剪選出關鍵電力生產系統安全過程域如下:PA01發電廠、PA02送電線路、PA03變電所以及PA04配電網。根據所選過程域,擬定執行該過程域必不可少的子任務,即基本實踐項目。以發電廠為例,其基本實踐項目如下:BP0101建立安全職責、BP0102指定的安全要求、BP0103安全配置、BP0104人員安全意識培訓、BP0105安全控制機制、BP0106安全狀態監視、BP0107設備安全防護及維護保養和BP0108安全應急預案及消防措施。映射與關聯的對應關系如表1所示。
2.2.2 電力生產系統的能力級別與通用實踐確定
能力級別反映一組共同特性,而每組共同特性可由通用實踐來描述。采用擬以SSE-CMM的公共特性為基礎,采用模糊聚類方法對通用實踐進行分類,組成電力系統安全工程工程的公共特性。以上結合電力生產系統安全特性以及所調查的資料文獻和相關考察,確定能力級別與通用實踐如表2所示。能力級別的原則與匹配如表3所示。
2.2.3 評估該系統安全能力成熟度水平
根據“5個能力級別”相關屬性描述,對裁剪后的過程域中的基本實踐進行關聯與評價,從而確定該系統安全工程過程域的能力級別。主要步驟如下:首先是確定該系統是否執行了所有的基本實踐;然后根據所列舉的通用實施,考察所有的基本實施是否得到良好的管理與制度化。最后通過考察結果確定該過程域的能力水平。通過熟練度水平等級,電力生產部門優先對能力級別較低的過程域采取相應措施進行改進,從而提高其安全運行與管理,以達到改進其安全級別。
3 實例分析
根據對某電力企業展開調研得到相關資料,然后對某電力行業發電廠評估其安全等級。文章根據發電廠安全特性,構建發電廠基本實踐以及相關通用實踐。文章前面已經例出,此處不再重復。以下是對電力生產系統發電廠中的基本實踐進行評估。
3.1 BP0101建立安全職責評估
該發電廠以多年管理及運行經驗已經形成比較完善的安全管理組織體系。該廠每年年初就已制定了年度安全生產目標。 各級安全負責人所擔負的職責已在《安全員安全職責》中詳細描述。安全生產負責人的責任劃分規定已在《調度科安全生產責任制》中描述。《各科室、班組報送資料時間表》規定定期對電力生產部門專業學習和總結資料進檢查。《安全生產工作規定》、《安全生產監督規定》、《安全生產獎懲規定》明確部署對各級部門、各小組、各員工以及相關安全責任人的職責并給予相關的獎勵與懲罰。《人身安全責任書月度落實檢查表》對安全規章制度落實以及安全決策措施執行進行描述,并按月度檢查。《工作票簽發人、工作許可人、工作負責人名單》規定員工職責范圍。《電業安全生產規程》詳細描述工作票簽發人、工作負責人、工作許可人的職責。
3.2 BP0102指定安全要求評估
該電力企業執行《國家電網公司電力安全工作規程》,每月對已執行的工作票、操作票進行認真的檢查、評定合格率,對不合格的工作票、操作票進行考核。每季進行一次總結分析,查找在執行工作票、操作票制度中存在的問題,并提出相應的改進措施給予記錄。該廠根據《電力安全工作規程》,結合該廠實際制訂《湖南省電力公司工作票、操作票制度補充規定》。為貫徹執行安全生產“三個百分之百”的要求(即人員、時間、力量三個百分之百)該廠制定了《湖南省電力公司安全生產“違章下崗”實施規定(試行)》,規范安全生產管理。此外,該企業要求員工熟悉《安全法》、《電力安全工作規程》、《農村低壓電安全規程》、《農村安全用電規程》以確保安全工作順利進行。人員作業要求規范,并有相應安全技術要求,如:國家標準GB4385-1995防靜電鞋、導電鞋技術要求;國家標準GB12011-2000電絕緣鞋通用技術條件;國家標準GB17622-1998帶電作業用絕緣手套通用技術條件。
3.3 BP0103安全配置評估
該電力生產系統的所有設備都運行在標準化的機房中,機房內的設備資料、運行記錄以及測試、操作修改日志以及安全記錄等在日常維護管理工作中被執行。該企業配置的安全帽、電絕緣橡膠板、防靜電鞋、帶電作業用遮蔽罩、防靜電工作服等安保用品,其規格均采用國家標準(GB)。并且人員使用均需記錄,每次工作前后都進行簽字。
3.4 BP0104人員安全意識培訓評估
該電力生產部門按照“用什么、學什么、缺什么、補什么”的原則對工作人員定期進行安全學習、培訓及教育活動。并根據員工崗位實際和工作特點,來學習安全規章制度。培訓內容還包括《安規》、“兩票三制”、防止失誤操作管理、標準化作業等方面規程制度,來提高員工遵守規程、抵制違章的自覺性。該廠每周一上午舉行的“安全日活動”以討論方式進行展開,員工可根據自己對安全工作的感想進行發言或者對某方面還需加強安全建設給予自己的建議。會議內容均被記錄在《安全會議記錄本》上,并由主管安全的負責人進行檢查考核。此外,該企業部門每月召開安全生產工作會議,分析當前安全生產狀況,部署當前及下一步的安全工作,督促各類人員抓好安全工作。同時,由相應人員進行會議記錄,并交負責人檢查考核。公司工作人員要熟悉行業安全法規,通常有《安全法》、《電力安全工作規程》等基本法規,定期舉行學習并考試。考試內容包含時常安全常識、個人對安全工作理解等。
3.5 BP0105安全控制機制評估
機房中《設備運行記錄》、《設備修改、更新記錄》將所有設備操作運行更新修改情況隨時記錄保留。《設備運行分析報告》定期整理、統計設備在運行過程中的運行指標完成情況、系統現存問題、故障與缺陷問題。《設備配置記錄》詳細配有各個設備硬、軟件、外圍支持系統等內容,并且每臺設備參數、型號、配置等都急了在《設備統計情況》文檔中。
3.6 BP0106安全狀態監視評估
機房中所有設備運行情況保留在《設備運行記錄》中,電力調度部門每日將收集查看記錄,做出相應決策處理,并定期做出《設備運行分析報告》,包活發電機在線檢測管理分析,發電機出口風溫差檢測等。其次,根據每種設備重要程度,電力部門以周期(日、月、季)對每種電力設備進行巡視檢查。檢查內容包括設備所處環境溫度、設備溫度、壓力、發電機定子繞組端部線圈的磨損、緊固情況、各設備運行狀況是否正常、有否警告提示產生等。其次,電力部門定期舉行安全大檢查。檢查內容根據“人、機、環”進行檢查,其包括設備運行管理指標、技術管理、系統運行情況、人員安全培訓教育工作、人員安全管理,并以安全檢查表方式記錄檢查評估,督促整改完善改進。所有記錄以電子文檔和紙質文檔方式進行保留,保留期限5年以上。
3.7 BP0107設備安全防護及維護保養評估
公司依據《電力法》、《電力設施保護條例》、《關于加強電力設施保護工作的通知》以及《國家電網公司電力設施保護工作管理辦法(試行)》等文件要求,設立了電力設施保護工作領導小組,并建立電力設施保護工作長效機制,并制定《電力設施保護的工作到位標準和防護設施標準》。領導小組對重點部位進行巡視、設立警示指標并派專人看護與記錄。每年春、秋季對電力系統進行預試檢修,檢修對象主要包括防誤裝置、防護設施警示標示、繼電保護裝置以及安全穩定自動裝置。檢修結果將記錄《設備防護及維護管理》文檔。電力設施保護工作領導小組負責人對文檔中出現的問題及時處理更換裝置并做好了相關記錄。
3.8 BP0108安全應急預案及消防措施評估
公司根據《國家電網公司應急管理工作規定》以及《國家電網公司應急預案編制規范》成立以各級主要負責人為組長的應急領導小組,并針對人身安全、設備設施安全、突發事件等編制相應的綜合應急預案、專項應急預案和現場應急處置預案。其次,公司定期進行培訓演練,并規范應急預案的上報備案,同時定期對應急物資進行普查,需要補充、更新的物資及時進行補給并將情況記錄在《應急預案》文檔。此外,公司根據《電力設備典型消防規程》、《火力發電廠與變電所設計防火規范》等規定配備消防專責人員,并加強對機房監視和防控。
根據上述評估結果,最終可以確定某電力生產系統中發電廠PA01系統安全熟練度能力等級為3級,即達到“充分定義級”。因此,利用“木桶原理”原理,該電力生產管理部門應該將管理重點放置在能力等級低的基本實踐,通過改進、強化和完善,提高其能力等級,從而推進其他級別的改善。
