计量数据认证制度

篇2：数据中心信息安全法规办法

为加强数据中心的数据安全和保密管理,保障数据中心的数据安全,现依据国家有关法律法规和政策,针对当前安全保密管理工作中可能存在的问题和薄弱环节,制定本办法。

一、?按照“谁主管谁负责、谁运行谁负责”的原则,各部门在其职责范围内,负责本单位计算机信息系统的安全和保密管理。

二、?各单位应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。各部门内设机构应当指定一名信息安全保密员。?

三、?要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。

四、?计算机的使用管理应当符合下列要求:

1.?对计算机及软件安装情况进行登记备案,定期核查;

2.?设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;

3.?安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;

4.?不得安装、运行、使用与工作无关的软件;

5.?严禁同一计算机既上互联网又处理涉密信息;

6.?严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;

7.?严禁将涉密计算机带到与工作无关的场所。

五、?移动存储设备的使用管理应当符合下列要求:

1.?实行登记管理;

2.?移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;

3.?移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;

4.?鼓励采用密码技术等对移动存储设备中的信息进行保护;

5.?严禁将涉密存储设备带到与工作无关的场所。

六、?数据复制操作管理应当符合下列要求:

1.?将互联网上的信息复制到处理内部信息的系统时,应当采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;

2.?严格限制从互联网向涉密信息系统复制数据。确需复制的,应当严格按照国家有关保密标准执行;

3.?不得使用移动存储设备从涉密计算机向非涉密计算机复制数据。确需复制的,应当采取严格的保密措施,防止泄密;

4.?复制和传递涉密电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。

七、?处理内部信息的计算机及相关设备在变更用途时,应当使用能够有效删除数据的工具删除存储部件中的内部信息。

八、?涉密计算机及相关设备不再用于处理涉密信息或不再使用时,应当将涉密信息存储部件拆除或及时销毁。涉密信息存储部件的销毁必须按照涉密载体销毁要求进行。

九、?加强对计算机使用人员的管理,开展经常性的保密教育培训,提高计算机使用人员的安全和保密意识与技能。

十、?各单位应当与重点岗位的计算机使用人员签订安全保密责任书,明确安全和保密要求与责任。

十一、?计算机使用人员离岗离职,有关部门应当即时取消其计算机信息系统访问授权,收回计算机、移动存储设备等相关物品。

十二、?各单位要加强对本单位计算机信息系统安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。

十三、?定期检查重点

1.?系统安全运行情况。

检查各个信息系统运行情况。综合业务网络杀毒软件更新、运行情况;外网办公用计算机病毒查杀情况;操作系统和软件使用情况是否安全;是否存在内外网混用情况;终端机是否开启安全防护措施。

2.?安全管理情况。

A.?信息安全主管领导、信息安全管理部门、信息安全工作人员履职以及岗位责任情况等。

(1)?信息安全主管领导明确及工作落实情况。

是否有领导分工等相关文件,是否明确了信息安全主管领导,检查信息安全相关工作批示和会议记录等文件,了解主管领导工作落实情况。

(2)?信息安全管理部门指定及工作落实情况。

检查部门分工文件,是否指定了信息安全管理部门。是否制定了工作计划、工作方案、管理规章制度、监督检查记录等文件,检查管理部门工作落实情况。

(3)?信息安全工作人员配备及工作落实情况。

检查人员列表、岗位职责分工等文件,是否配备了信息安全工作人员。

B.?日常安全管理制度建立和落实情况。

检查人员管理、设备管理、运行维护管理情况。

(1)?人员管理制度。

检查人员管理制度文件,是否有岗位信息安全责任,人员离岗离职管理、外部人员来访管理等制度。检查人员离岗离职管理落实情况。

(2)?设备管理制度。

检查设备管理制度等文件。是否有设备发放、使用、维修、维护和报废等相关制度,是否明确了相关管理责任人。硬件设备登记情况,包括PC机,路由器,交换机及其他主要设备。检查《计算机硬件设备登记簿》。

(3)?运行维护管理制度。

检查是否建立了运行维护管理等相关制度文件,是否包含事故处理记录、数据维护情况等相关内容。检查运维操作手册和运维相关记录,检查是否有事故处理记录、数据维护记录、运行维护管理制度落实情况及相关记录完整性。

3.?技术防护情况。

检查所有接入互联网的计算机设备是否安装了最新的杀毒软件和病毒防火墙,统计网络外连的出口个数,是否每个出口都进行了安全措施。检查网点路由器、交换机等设备配置是否合理,是否启用了有效的身份控制、访问控制功能。

4.?应急处理及容灾备份情况。

重点检查应急预案、应急演练和灾备措施情况。检查应急预案制定和修订情况。检查应急演练人员对预案的熟悉程度。检查冗余设备情况。

十四、?加强整改落实

各部门要切实做好整改工作,对检查中发现的问题,要及时进行研究,采取有效措施加以整改。因条件不具备不能立即整改的,要制定整改计划、整改方案及整改时间表,并采取临时防范措施,确保网络与信息系统安全正常运行。要举一反三,在同类系统、同类设备中排查类似问题,切实提高信息系统安全防护水平。

十五、?加强风险控制

各部门在开展安全检查工作时,要明确相关工作纪律并严格执行。要识别检查中的安全风险,周密制定应急预案,强化风险控制措施,明确发生重大安全问题时的处置流程,确保被检查信息系统的正常运行。

十六、?加强保密管理

各单位要高度重视保密工作,指定专人负责,对检查活动、检查实施人员以及相关文档和数据进行严格管理,确保检查工作中涉及到的商业秘密得到有效控制;对检查人员进行保密培训,确保检查工作中获知的信息不被泄露,检查数据和检查结果不向外透露。

十七、?各单位应当建立健全政府信息保密审查机制,明确审查的程序和责任,并明确一名机关行政负责人分管保密审查工作,指定机构负责保密审查的日常工作。各单位开展保密审查时应履行审查审批手续。

十八、?数据中心信息安全保密审查,应当以《保密法》及其实施办法等有关法律、法规的规定及由中央国家机关和国家保密局制定的《国家秘密及其密级具体范围的规定》(以下简称《保密范围》)为依据。

十九、?各单位不得开放涉及国家秘密、商业秘密、个人隐私的下列政府信息:

1.?依照国家保密范围和定密规定,明确标识为“秘密”、“机密”、“绝密”的信息;

2.?虽未标识,但内容涉及国家秘密、商业秘密、个人隐私的信息;

3.?依照规定需经国家和有关主管部门批准开放,而未获批准的信息。

4.?其他开放后可能危及国家安全、公共安全、经济安全和社会稳定的信息。

二十、?各单位的业务机构在政府信息接入数据中心时、审签时标明是否属于保密事项;在进行保密审查时,负责保密审查工作的机构和人员应当提出“主动公开”、“不予公开”、“依申请开放”等审查意见,并注明其依据和理由。

二十一、?各单位可以在数据中心查看本单位的数据以及其他单位公开的数据;如果要查看需要申请开放的数据,需要提出申请,审查通过后即可查看数据,审核不通过后不能查看数据。数据开放的审核及授权由有关主管部门或者同级保密工作部门负责。

二十二、?数据中心的数据由九次方公司保障信息安全。

二十三、?不同单位共同形成的政府信息开放给其他单位时,应由主办的单位负责开放前的保密审查,并以文字形式征得其他机关单位同意后方可予以开放。

二十四、?各单位对政府信息是否可以开放不明确时,在征求政府信息制作或者获取单位保密组织机构的意见后,报有关主管部门或者同级保密工作部门确定。

二十五、?已确定为国家秘密但已超过保密期限并拟开放的政府信息,单位应在保密审查确认能够开放后,按保密规定办理解密手续,再予以开放。

二十六、?拟开放的政府信息中含有部分涉密内容的,应当按照有关规定对国家秘密内容采取删除、变更等方式进行非密处理,采取属于国家秘密的部分不予开放、其余部分开放的方法处理。

二十七、?单位及其工作人员有下列情形之一的,应当追究政府信息开放工作过错责任:

1.?未按照规定的开放范围和期限主动提供政府信息,以及不及时更新本单位的政府信息的;

2.?对应当提供的政府信息不提供及提供虚假政府信息的;

3.?未建立健全保密审查机制,不履行保密审查义务的,或者违反政府信息开放工作程序,开放不应当开放的政府信息的;

4.?违反规定收取费用或者通过其他组织、个人以有偿服务方式提供政府信息的;

5.?违反政府信息开放有关规定的其他行为。

违反上述有关规定的单位,视情况给予责令作出书面检查、通报批评处理。

二十八、?无正当理由,在规定期限内不依法履行保密审查职责,从而影响政府信息发布的,由监察机关、上一级单位责令改正;情节严重的,对单位直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。

二十九、?单位违反有关规定,开放涉及国家秘密的政府信息,造成泄密事件的,依照有关规定对单位直接负责保密审查的主管人员和直接责任人给予处分;情节严重构成犯罪的,按照《刑法》、《保密法》及其实施办法的有关规定,依法追究刑事责任。

三十、?对违反有关规定的单位直接责任人员、直接负责的主管人员和主要负责人,视情追究政府信息开放工作过错责任。责任追究方式为:

1.?责令改正;

2.?诫勉谈话;

3.?责令作出书面检查;

4.?通报批评;

5.?调离工作岗位。

以上追究方式可以单独或合并使用;情节严重的,视情给予辞退、责令辞职或免职处理;需要依法给予处分的,依照《单位公务员处分条例》予以处理;构成犯罪的,依法追究刑事责任。

三十一、?有关责任人员包括:

1.?不依法履行职责,对造成的影响或者后果负直接责任的政府信息开放工作人员;

2.?不依法履行职责,对造成的影响或者后果负直接领导责任的主管政府信息开放工作的领导;

3.?不依法履行职责,对造成的影响或者后果负全面领导责任的单位主要领导。

三十二、?政府信息开放工作过错责任人有下列情形之一的,应当从重处理:

1.?推卸、转嫁责任的;

2.?干扰、妨碍调查处理,或者不采取补救措施,致使损失或者不良影响发生或者扩大的;

3.?造成重大经济损失或者严重不良社会影响的;

4.?一年内出现两次以上应予追究责任的情形的;

5.?打击、报复对信息开放工作进行投诉和申诉的公民、法人或其他组织的;

6.?不依法履行政府信息开放义务,被复议机关或审判机关确认违法的;

7.?法律、法规、规章规定的其他情形。

三十三、?政府信息开放工作过错责任人有下列情形之一的,可以从轻或者免予处理:

1.?问题或过错发生后,主动配合调查处理的;

2.?及时改正错误的;

3.?主动采取措施,有效避免或者挽回损失,或者有效避免社会不良影响发生或者扩大的;

4.?法律、法规、规章规定的其他情形。

三十四、?单位的政府信息开放工作过错责任追究,由同级监察机关或其上一级单位实施。监察机关和上一级单位应加强沟通协商,及时对违反规定的单位作出处理。单位工作人员的政府信息开放工作过错责任追究,由本单位负责,但按照人事管理权限不属于本单位管理的除外。政府信息开放工作过错责任追究机构应当依照法律、法规和管理权限的有关规定,对政府信息开放工作过错行为进行调查和处理,必要时可以联合调查处理。

三十五、?实施责任追究,应当充分听取有关责任人员的陈述和申辩。有关责任人员对处理决定不服的,可以向作出处理决定的机关申请复核,也可以直接向作出处理决定机关的上一级机关或者监察机关提出申诉。

篇3：体系认证管理制度

第1条目的

为规范公司体系管理工作,依据《ISO9001:2008质量管理体系》、《ISO14001:2004环境管理体系》、《OHSAS18001:2011职业健康安全管理体系》、《ISO50001:2011能源管理体系》等标准和法律法规的要求,现对公司管理体系认证工作做出以下要求。

第2条适用范围

本制度适用于公司各项体系认证管理工作。

第3条体系管理重点覆盖部门职责范围

3.1企管部是质量管理体系的运行、维护、监督检查、持续改进的主管部门。

3.2安全生产管理部是能源、环境和职业健康安全管理体系的运行、维护、监督检查、持续改进的主管部门。

3.3企管部/安全生产管理部负责管理性文件的管理和控制。管理性文件包括:综合手册、程序文件、体系管理涉及的各种规章制度和管理办法。

3.4企管部负责对与质量管理体系有关记录表格的种类、格式等进行汇总,规定各记录表格的保存期限,对各职能部门的记录执行情况进行监督检查。

3.5安全生产管理部负责对与能源、环境和职业健康安全管理体系有关记录表格的种类、格式等进行汇总,规定各记录表格的保存期限,对各职能部门的记录执行情况进行监督检查。

3.6企管部/安全生产管理部依据程序文件中《管理评审控制程序》的要求,负责编制管理评审计划,管理评审会议内容的输入,对管理评审报告中提出的各项“整改措施计划”的实施情况组织内审员进行跟踪和验证。

3.7安全生产管理部负责对环境和职业健康安全目标、指标和环境管理方案和职业健康安全管理方案的监测以及对法律法规符合性的评审。

3.8安全生产管理部负责与环境和职业健康安全相关的法律法规及其他要求的收集、识别、传递和更新,负责公司环境因素的识别和评价和危险源的识别和评价,并对重大环境因素和重大危险源实施管理。

3.9企管部负责组织每年的质量管理体系内部审核。

3.10安全生产管理部负责组织每年的能源、环境和职业健康安全管理体系内部审核。

3.11企管部/安全生产管理部对各部门在内审、外审、管理评审、日常检查中发现的不符合限期整改,一般不符合十五日内改正,严重不符合三十日内改正。

3.12企管部/安全生产管理部负责顾客方来厂的第二方审核;如有需要,协助供应部对供应商进行第二方审核。

第4条体系认证证书和标志的使用及宣传

4.1公司管理体系认证证书副本或复印件可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料中或广告宣传等商业活动。

4.2公司管理体系认证证书正本由机要室保存,在顾客提出要求时,相关部门经过申请给顾客管理体系认证证书的完成复印件、或者出示证书原件,顾客检查后应及时将证书原件归还保管部门。

4.3机要室应妥善保管好证书,以免丢失、损坏,对认证证书的使用情况如实记录,如发生证书丢失、损坏的,应及时联系企管部/安全生产管理部向认证机构申请补发。

4.4任何单位、部门、个人不准伪造、更改、出借、出租、转让、倒卖、部分出示、部分复印公司管理体系认证证书。

4.5证书被认证机构暂停、撤销时,公司按认证机构的要求将证书交还到认证机构,并同时停止在文件、网站、通过认证的工作场所、广告和宣传资料中展示认证证书,并停止将有关认证信息用于广告宣传等商业活动。

第5条外部审核与内部审核

5.1外部审核

每年十一月体系认证机构来公司现场外部审核,外审三年一个周期,审核周期的第一年外审为认证审核,第二年和第三年为监督审核。认证审核的范围为公司所有职能部门;监督审核的范围是两个周年的审核覆盖全部职能部门。

5.2内部审核

5.2.1企管部/安全生产管理部负责组织实施内部管理体系审核,编制“内部体系审核年度计划”。任命审核组长选择审核组员,组织内审并填写“内部审核检查表”、“不符合报告”、“内部体系审核报告”,组织有关人员对纠正措施效果进行验证等。

5.2.2如何确定一个管理体系的有效性,审核方式主要分为两个部分:文件审核:评审管理体系的综合手册、程序文件、作业指导书、表单、记录和其他要求的支持性文件是否涵盖管理体系标准;现场审核:审核管理体系执行的程度及有效性。

5.2.3审核过程要保持客观、公正、真实、详细的原则,有理有据,以事实说话,受审核部门应积极配合,不得推诿,具体详见《内部审核控制程序》。

5.2.4不符合控制。企管部/安全生产管理部负责对各部门发生的不符合限期整改,并采取纠正措施。

5.2.5企管部/安全生产管理部是内部审核的主管部门,负责组织协助各部门对产生不合格或潜在不合格原因进行调查、分析,并验证实施效果,并向管理者代表汇报。

第6条体系管理文件

《综合手册》和《程序文件》为公司体系管理的纲领性文件,文件规定体系管理的各项基本内。体系文件一般每年更新一次,每三年换版,如遇公司组织架构大调整、公司重大变革等情况,随时更新换版体系文件。

第7条体系培训

7.1体系文件改版培训。当体系文件变更较大换版时,组织内审员集中培训体系文件。

7.2体系标准改版培训。当体系标准更新时,外聘审核机构审核老师来公司培训标准内容。

7.3内审和外审中发现的不符合项培训。针对内审、外审发现的系统性不符合标准的现象,集中某一班组或者部门人员统一培训体系标准知识和程序文件。

7.4内审员审核知识培训。内审员每年至少开展一次内部审核知识培训,一般安排在内审前的一个月内组织培训

第8条附则

8.1本制度由企管部负责起草、修订及解释。

8.2本制度经总经理办公会审议批准之日起施行。

突发公共卫生事件应急预案

篇4：职业安全卫生管理体系认证证书及认证标志管理规定

1适用范围

1.1本文件规定了职业安全卫生管理体系认证证书(以下简称“认证证书”)及认证标志的基本要求。

1.2本文件适用于职业安全卫生管理体系认证机构(以下简称“认证机构”)对认证证书和认证标志的使用和管理。

2定义

2.1认证证书:职业安全卫生管理体系认证机构对通过认证的组织颁发的证书。

2.2认证标志:用于表明获得某认证机构职业安全卫生管理体系认证的图形标识。

3管理要求

3.1认证机构应在其认可业务范围内颁发认证证书。

3.2认证证书的基本内容:

1)认证证书名称;

2)获准认证企业名称,地址,邮政编码;

3)“中国职业安全卫生管理体系认证机构国家认可”标志及认可号;

4)认证机构的名称及标志;

5)认证证书编号;

6)认证所依据的职业安全卫生管理体系标准和其他引用文件的编号与版次;

7)职业安全卫生管理体系认证所覆盖的范围,

8)认证的生效期和截止期;

9)认证机构的印章或其代表的签字。

3.3认证证书由全国职业安全卫生管理体系认证机构认可委员会(以下简称“认可委”)办公室统一制式。认证标志由认证机构自行设计,报认可委备案。

3.4认证证书的编号由认可委统一管理。认证机构应将通过认证评定的组织名称、认证范围上报认可委办公室,认可委办公室统一编号并备案。

认证证书编号格式规定如下:

××××××××××

认证机构发证年份认证机构发

认可注册号出的总顺序号

3.5认证机构应制定认证书的控制程序并报认可委办公室备案,以保证能采取适当的措施处理获证组织对认证证书的错误使用。

3.6认证证书有效期限为三年。有效期满后愿意继续认证的组织

可在认证证书有效期终止前三个月提出书面申请,经认证机构复评后重新颁发认证证书,未经重新复评的组织不得继续使用认证证书。

4认证证书的使用

4.1证书持有者应按认证机构的要求控制其证书的使用,认证机构应按要求对证书的使用情况进行监督。

4.2证书持有者只能使用由认证机构书面容许的特定标志。

5认证证书的维持及撤消

5.1获证组织应将其职业安全卫生管理体系的有关变更及时通知认证机构,由认证机构决定是否进行重新认证。

5.2认证机构在接到组织相关方的投诉后,应及时对组织进行监督或复评。

5.3在对获证组织职业安全卫生管理体系的监督及复评中,如发现严重不符合或体系运行无效,由认证机构决定撤消认证,收回证书,并报认可委备案。

5.4如发现获证组织滥用认证证书或认证标志,认证机构应采取相应措施责令其予以纠正。

6附则

6.1本规定由认可委负责解释。

6.2本规定自发布之日起实施。

篇5：厂长经理职业安全卫生管理资格认证规定

第一章总则

第一条为贯彻落实“安全第一,预防为主”的方针和“管生产的同时必须管安全”的原则,提高厂长、经理职业安全卫生管理水平,特制定本规定。

第二条本规定适用于中华人民共和国境内除矿山企业以外的所有全民、集体、外资、中外合资、中外合作经营企业的正副厂长、经理(以下简称厂长、经理)。

第三条厂长、经理符合职业安全卫生管理认证条件的,颁发《厂长、经理职业安全卫生管理资格证书》(以下简称《安全管理资格证书》)。厂长、经理《安全管理资格证书》,是其能够对本企业实施安全卫生管理的凭证。

第二章认证条件

第四条厂长、经理职业安全卫生管理资格认证条件如下:

(一)熟悉国家劳动保护方针、政策、法规以及本行业的有关安全卫生标准;

(二)基本掌握安全分析、安全决策及事故预测和防护知识,具有审查生产建设规划、计划、大中修施工方案的安全决策知识;

(三)能够认真履行安全职责,在考核年度前一年内没有发生由本人负主要领导责任的重大伤亡事故。

第五条厂长、经理要在自学的基础上参加培训。凡持有《安全工程》大专毕业证书或持有《安全工程》专业证书的厂长、经理,可免予培训。

第三章培训

第六条培训工作由各级劳动部门负责,可委托同级劳动保护教育中心或会同企业主管部门共同实施。

第七条培训内容,应按全国统一的《厂长、经理职业安全卫生管理知识培训教学大纲》进行(见附件一*)。

第八条培训教材,应采用由劳动部或省级劳动部门指定的统编教材。授课时间不少于四十二学时。

第九条各级劳动部门应组织师资培训。培训教学中的劳动保护概述,劳动保护政策、法规及伤亡事故管理课程,应聘请经劳动部门培训考核具有授课资格的人员讲授。

第四章考核发证

第十条考核发证工作由各级劳动部门负责。

中央和省、自治区、直辖市的直属企业由所在省、自治区、直辖市的劳动部门负责;

行署、市属企业和市以下集体企业由行署、市劳动部门负责;

县(区)以下集体企业也可委托有职业安全卫生监察机构的县(区)劳动部门负责。

第十一条现任厂长、经理应在考核发证部门规定的期限内,填写《厂长、经理职业安全卫生管理资格认证申请表》(见附件二*)申请认证;新任厂长、经理应在接到任职通知十天内向考核发证部门申请认证。

第十二条各级劳动部门对考核成绩合格者应发给由劳动部统一印制的《厂长、经理职业安全卫生管理资格证书》。

第十三条厂长、经理考核成绩由考核部门通知企业主管部门、干部管理部门和职工代表大会,作为考核干部的依据之一(通知单式样见附件三*)。

第十四条考核成绩不合格者,允许补考一次,如仍不合格,则应重新参加培训、考核。

第十五条各级劳动部门在考核发证工作中应坚持原则,秉公办事。对弄虚作假、徇私舞弊者,应酌情给予批评教育、行政处分。

第五章《安全管理资格证书》的管理

第十六条凡发生由本人负主要领导责任的重大伤亡事故,或在组织管理生产、施工过程中有严重违章行为者,由当地考核发证部门记证,并限期重新培训考核。凡被记证两次者,由发证部门吊销《安全管理资格证书》,并给予通报批评。

第十七条厂长、经理取得《安全管理资格证书》后,每隔四年再进行一次培训考核,成绩记入《安全管理资格证书》,并通知第十三条规定的部门。

第十八条厂长、经理调动工作,到新单位仍任厂长、经理职务者,应在到任十天内(遇有特殊情况最迟不能超过三十天),持发证部门的培训、考核认证登记表(见附件四*)到调入地区的考核发证部门验证。

第六章附则

第十九条各省、自治区、直辖市可根据本规定,结合本地区实际情况制定实施细则,报劳动部备案。

第二十条本规定由劳动部负责解释。

第二十一条本规定自颁发之日起施行。

*附件一至附件四略。