时间:2023-06-09 10:02:05
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇安全管理体系建设,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:信息化;信息安全;安全管理
1企业信息安全现状
近几年,随着行业信息化建设逐步深入,伴随着OA办公自动化、ERP、卷烟生产经营决策管理和MES生产制造执行等系统相继投入使用,与生产经营息息相关的关键业务对信息系统的依赖程度越来越高,企业也逐步认识到信息安全的重要性,企业员工的安全意识也都得到逐步提高。行业也相继出台了烟草行业信息安全保障体系建设指南和各类信息安全制度,并通过这几年信息安全检查工作,促进企业的信息安全水平得到了进一步提高。由于企业信息安全意识不断提高,企业不断加大信息安全方面的投入,如建立标准化的机房、购买与部署各类信息安全软件和设备等。但是木马、病毒、垃圾邮件、间谍软件、恶意软件、僵尸网络等也随着计算机技术的发展不断更新,攻击手段也越发隐蔽和多样化。企业不仅要应对外部的攻击,也要应对来自于企业内部的信息安全威胁,安全形势不容乐观。企业的信息安全已不仅仅是技术问题,还需要借助管理手段来保障。企业如果不能正确树立信息风险导向意识,一味注重“技术”的作用,忽略“管理”的重要性,就很难发挥信息安全技术的作用,无法把企业的各项信息安全措施落到实处,企业的信息安全也就无从谈起。只有切实发挥管理作用,企业的信息安全才能得到有效保障。
2企业信息安全体系架构
在谈到信息安全时,大多数刚接触的人都比较疑惑,都说保障信息安全十分重要,那到底什么是信息安全呢?下面就简单介绍一下信息安全的概念以及企业的信息安全体系架构。2.1信息。对企业来说,信息是一种无形资产,具有一定商业价值,以电子、影像、话语等多种形式存在,必须进行保护。2.2信息安全。主要是指防止信息泄露、被篡改、被损坏或被非法辨识与控制,避免造成不良影响或者资产损失。2.3企业信息安全体系架构。在保障企业信息安全过程中,信息安全技术是保障信息安全的重要手段。通过上文对企业信息安全现状的分析,不难看出企业信息安全体系主要分为技术、管理两个重要体系,进一步细分则涉及安全运维方面。2.3.1信息安全技术体系作用。主要是指通过部署信息安全产品,合理制定安全策略,实现防止信息泄露、被篡改、被损坏等安全目标。信息安全产品主要是指实现信息安全的工具平台,如防火墙类产品、防攻击类产品、杀毒软件类产品和密码类产品等,而信息安全技术则是指实现信息安全产品的技术基础。2.3.2信息安全管理体系作用。完善信息安全组织机构、制度,细化职责分工,制定执行标准,确保日常管理、检查等制度有效执行,最大程度发挥信息安全技术体系作用,确保信息安全相关保护措施有效执行。通过上文简单介绍,对信息安全以及信息安全系统有了大概了解。可以看出单纯借助技术或管理无法保障企业信息安全,因此,建立企业信息安全管理体系的重要性也就不言而喻。
3信息安全管理体系概念
3.1信息安全管理。运用技术、管理手段,做好信息安全工作整体规划、组织、协调与控制,确保实现信息安全目标。3.2管理体系。体系是指相互关联和相互作用的一组要素,而管理体系则是建立方针和目标并实现这些目标的体系。3.3信息安全管理体系(ISMS)。在一定组织范围内建立、完成信息安全方针和目标,采取或运用方法的体系。作为管理活动最终结果,包含方针、原则、目标、方法、过程、核查表等众多要素。3.4建立信息安全管理体系的目的。作为企业总管理体系的一个子体系,目的是建立、实施、运行、监视、评审、保持和改进信息安全。3.5信息安全管理体系涉及的要素。3.5.1信息安全组织机构。明确职责分工,确保信息安全工作组织与落实。3.5.2信息安全管理体系文件。编制信息安全管理体系的方针、过程、程序和其他必需的文件等。3.5.3资源。提供体系运转所需的资金、设备与人员等。
4信息安全管理体系机构设置以及作用
在建立企业的信息安全管理体系之前,如果没有设置相应的信息安全组织机构,那么建立体系所需要的资源(资金、人员等)就无法得到保障,企业的信息安全制度和策略也就无法贯彻落实,企业的信息安全管理体系就形同虚设起不到任何作用。因此,企业在建立信息安全管理体系前必须建立健全信息安全组织机构,机构设置可以根据职责分为三个层次。4.1信息安全决策机构。信息安全决策机构处于安全组织机构的第一个层次,是本单位信息安全工作的最高管理机构。应以单位主要领导负责,对信息安全规划、信息安全策略和信息安全建设方案等进行审批,并为企业信息安全工作提供各类必要资源。4.2管理机构。处于安全组织机构的第二个层次,在决策机构的领导下,主要负责企业日常信息安全的管理、监督以及安全教育与培训等工作,此类工作大部分都由企业的信息化部门承担。4.3执行机构。处于信息安全组织机构的第三个层次,在管理机构的领导下,负责保证信息安全技术体系的有效运行及日常维护,通过具体技术手段落实安全策略,消除安全风险,以及发生安全事件后的具体响应和处理,执行机构人员可以由信息中心技术人员与各部门专职或兼职信息安全员组成。
5信息安全管理体系的建立
ISO/IEC27001:2005标准的“建立ISMS”章节中,已明确了信息安全管理体系建立的10项强制性要求和步骤。企业应结合自身实际情况,遵照这些内容和步骤,建立自己的信息安全管理体系,并形成相应的体系文件。5.1建立的步骤。(1)结合企业实际,明确体系边界与范围,并编制体系范围文件。(2)明确体系策略,构建目标框架、风险评价的准则等,形成方针文件。(3)确定风险评估方法。(4)识别信息安全风险,主要包括信息安全资产、责任、威胁以及造成的后果等。(5)进行安全风险分析评价,编制评估报告,确定信息安全资产保护清单。(6)明确安全保护措施,编制风险处理计划。(7)制定工作目标、措施。(8)管理者审核、批准所有残余风险。(9)经管理层授权实施和运行安全体系。(10)准备适用性声明。以上步骤解释不详尽之处,参看ISO/IEC27001:20054.2.1章节中A-J部分。5.2信息安全管理体系涉及的文件。文件作为体系的主要元素,必须与ISO/IEC27001:2005标准保持一致,同时也要结合企业实际,确保员工遵照要求严格执行。而且也要符合企业的实际情况和信息安全需要。在实际工作中,企业员工应按照文件要求严格执行。5.2.1体系文件类型主要涉及方针、程序与记录三类。方针类主要是指管理体系方针与信息安全方针,涵盖硬件、网络、软件、访问控制等;程序类主要是指“过程文件”,涉及输入、处理与输出三个环节,结果常以“记录”形式出现;记录类主要是记录程序文件结果,常以是表格形式出现。至于适用性声明文件,企业应结合自身情况,参照ISO/IEC27001:2005标准的附录A,有选择性地作出声明,并形成声明文件。5.2.2体系必须具备的文件。主要包括方针、风险评估、处理、文件控制、记录控制、内部审核、纠正与预防、控制措施有效性测量、管理评审与适用性声明等。5.2.3任意性文件。企业可以针对自身业务、管理与信息系统等情况,制定自己独有的信息方针、程序类文件。5.2.4文件的符合性。文件必须符合相关法律法规、ISO/IEC27001:2005标准以及企业实际要求,保证与企业其他体系文件协调一致,避免冲突,同时在文字描述准确且无二义。
6体系实施与运行
主要包括策略控制措施、过程和程序,涉及制定和实施风险处理计划、选择控制措施与验证有效性、安全教育培训、运行管理、资源管理以及安全事件应急处理等。
7体系的监视与评审
主要指对照策略、目标与实际运行情况,监控与评审运行状态,主要涉及有效性评审、控制措施测试验证、风险评估、内部审核、管理评审等环节,并根据评审结果编制与完善安全计划。
8体系的保持和改进
主要是依据监视与评审结果,有针对性地持续改进。主要包括改进措施、制定完善措施、整改总结等,同时需相关方进行沟通,确保达到预计改进标准。
9结语
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
关键词:医院信息标准化建设;网络安全;管理体系
由于信息化技术的日益发展,很多医疗信息系统都在发展过程中进行了优化,大大推动了医疗诊断技术水平的提升,使诊断工作更为精细化,有效提升了员工绩效水平和医疗工作的整体品质。与此同时,其复杂性也在日益提高,使得医院安全问题凸显,同时面临多种恶意软件入侵,对医院网络产生了重大的负面影响。因此,在技术水平达标的同时,还需要人工操作来确保网络的安全。2018年4月,国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》,提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”,发展在线医疗,提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导,遵循“一个中心、三个防护”防护工程的基本理念,从安全信息管理服务中心体系建设工作开始,并初步构建了医院网络安全三级防护管理体系,以有效迎接新网络时代的安全管理挑战,确保“互联网健康”,医院安全信息化体系建设稳步健康有序发展。
1医院信息标准化建设中网络安全管理体系建设的重要原因探析
患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外,信息化体系建设还可以有效提高医务人员的日常工作效率,降低医务人员的劳动强度,为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看,医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平,密切各直属科室之间的协作关系,为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件,降低医院的商业保险和运营成本,提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去,医院率先采取了“被动防御”安全战略,并针对安全网络威胁不断采取了安全防护控制措施,缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低,对安全威胁的监测反应慢,难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展,各种新信息技术的不断推广和医院互联网服务的不断普及,医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。
2医院信息标准化建设中网络安全管理体系建设遇到的问题
2.1缺乏统一标准和依据
医院信息化建设具有高度的系统性和复杂性,需要各部门密切配合,对医院进行统一规划,明确每一步的建设目标。但是,从医院信息化建设的现状来看,对医院的实际发展缺乏重视,在投入之前没有充分考虑到医院的长远发展目标。另外,信息化建设没有统一的规则,影响了信息化建设的工作,对新项目的实施也有一定的影响,造成了资源的浪费。
2.2网络安全性较低
医院的网络安全的问题往往是高度复杂动态的,将对医院领导和安全系统运营人员产生重要直接影响。此外,还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题,但由于医疗软件技术能力较差、技术水平不过关等因素,并没有有效地解决这些网络安全上的问题。
3网络安全管理体系建设原则
从医院建设安全网络管理信息中心的总体目标要求出发,在国家标准2.0级网络防护的技术指导下,结合自身医院网络安全管理工作实践经验,医院首先明确了以下网络安全管理原则:①安全管理与网络技术支持并重,同时合理规划医院建设安全管理体系和网络技术支持能力,用安全管理体系建设指导网络技术支持能力体系建设,用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限,整合安全人力资源,提高安全管理效率,注重员工建立准确识别和有效消除快速安全网络威胁的管理能力;通过集中的人力资源综合管理和权力控制,分散对上级行政部门权力的管理限制,以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则,医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。
4网络安全管理体系建设标准
建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求,结合医院自身的安全管理经验,并将实施能力作为重要标准考虑在内,建立2.0级安全管理体系框架,以确保管理体系的管理方向和可行性。为便于实施,医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求,确定医院总体上的网络安全保障政策和发展策略,在此基础上研究构建公立医院第三级安全网络管理体系,定义全球安全要求,并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量,更新和调整物理安全要求、政策和政策,以应用于特定领域。二级安全操作和维护系统,规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求,并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范,以便于确保操作人员的实际操作管理效果能够满足您的预期,并减少故障和其他行为造成的潜在安全风险。例如,确定您的服务器安全技术增强(windowsserversecuritymanual)的项目操作步骤和项目实施经验效果,并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求,并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录,为了减少操作和维护人员的工作量,提高时尚管理的效率,节省纸张,医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性:第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理,根据实际需要进行制定,具有较强的基本相关性和实际适用性,确保一级管理体系的基本灵活性和实际适应性;第三方操作手册特别注重管理细节和长期实施,可根据长期实施管理效果反复迭替换代,这些都是我们确保一级管理体系长期实施管理效果的最终重要目的;四级注册表格针对医院在建立管理体系时,特别注重对人员安全风险的管理和控制,建立持续改进管理体系的能力。成立了“网络和信息安全委员会”,作为主要决策机构。根据网络标准2.0要求,管理员职位分为3个职能:系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为,并初步确定合同员工的安全和财产保密管理责任;同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求,建立促进管理体系建设持续完善改进的长效机制,确保稳定性,实施安全管理体系的灵活性和能力,并明确各级修订和审查体系文件的要求。
5网络安全技术能力建设
在安全维护管理体系中心建设的基础上,医院已经开始研究建设安全技术管理能力,以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域,安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此,建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务,为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务,以及足够的自我保护能力,以确保自身在网络中的安全,避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力,医院在现有网管区域的基础上,采用以下方式完成安全管理建设技术能力。
5.1终端网络保护
前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接,负责从敏感区的核心节点发送数据,仅易受攻击。因此,通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫,并在它们已经进入安全下一阶段之前预先阻止。
5.2区域网络运维安全设计
(1)建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞,检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估,实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险,并提供强有力的网络技术支持。(2)创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析,管理者不仅可以通过搜索和实时分析日常网络使用中的记录,正确维护日志数据,定义日志审核设备,方便员工随时查看,并随时跨平台监控整个数据中心的安全状态。(3)建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统,可以实时部署专门的高标准风险流量检测分析平台,准确快速收集用户流量,进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为,挖掘这些可能使其隐藏的潜在危险,提供会话进程的所有数据审计处理能力,并不断提高其进程追踪和对攻击源的预测能力。
5.3整合现有安全资源
医院将在保障自身安全和区域安全管理的基础上,转移现有的保障功能,包括资源,非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外,通过研究在服务区内设立专用安全通道和具体的基础设施安全设施,优化全市安全设施功能整合,注重安全设施综合利用,减少不必要的安全设备,提高安全设备维护和安全系统运行效率,完成对全市现有安全防护体系的综合优化。
5.4优化集中控制
在完善现行安全监管制度的基础上,该院先后研发了航站楼和门诊部的安全监控和安全管理系统,为弥补医院现有综合门诊终端保障体系的不足,对医院基础设施进行集中控制和建设,以及医院管理系统的现有背景操作和系统维护,抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此,集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。
6医院构建网络安全管理体系
为有效适应未来最严峻的网络安全发展形势,医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成:综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构,确定了医院事件预警分类管理标准,并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定:为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保,使医院应急系统人员在统一系统的技术指导下,能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点,对信息网络保护系统进行了升级,提高了风险信息的准确性,与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关,建立安全网络。然后,在发展安全管理能力的基础上,围绕“响应性”完善安全运行体系建设,提高响应速度和应对网络安全威胁的能力。在技术上,尝试将连接机制引入安全体系,开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系,紧跟医院信息“医疗卫生互联网”建设步伐在网络时代,促进了医院网络安全建设的发展。
参考文献:
[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.
[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.
[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.
[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.
[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.
[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.
[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.
[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.
[9]张宇.医院信息化建设改革实证研究[D].南昌:南昌大学,2012.
1.1加强农产品质量安全管理体系的分析
我国现阶段正处于社会主义发展的初级阶段,主要致力于保障农产品的供给,先吃饱,然后再吃好。这种发展的方式,只求数量不求质量正是由基本国情决定的。长期以来,我国都在不断地进行杂交水稻以及各种转基因农产品的开发创新,实现了农产品的平衡供给,不再有供不应求的现象,甚至有些时候还会有剩余。保障了人们吃饱的富足状态,也就慢慢开始追求质量问题,转基因农产品是否健康,运输的过程是否安全,什么时间采摘最合理,营养价值最高等等一系列问题也就扑面而来。在这些问题的压迫下,在人们安全意识不断提高的情况下,怎么样才能在吃饱的前提下更高效的为人们提供健康的食品成了一个需要我们解决的问题。农产品质量安全已经成为人们评价的标杆,质量关系着产量,如果质量出现问题,人们可能会大大地减少购买,同时增加对其他产品的购买,这就会打破原有的供给平衡。所以,必须要紧抓质量,强化管理体系建设,提升水平。[2]
1.2管理体系漏洞的具体分析
1.2.1农业监管不及时
我国现阶段很少有农产品质量标准的检测,虽然政策管理条例都存在,但是由于种种原因都在延缓实行甚至不施行,造成了一些卫生安全不达标的农产品流入了市场。而且对于此方面的相关条例不够完善,甚至空白缺失,比如对农产品农药残留的控制,以及农产品的等级分类标准的有关条例。国家的农业大多都是由农民支撑,并不是标准的集体化生产,所以造成的生产差异是显而易见的,没有统一的生产模式,就无法生产出相同的农产品,依旧很难规模化集体化,这都是需要解决的问题。
1.2.2检测体系不完善
如上所说,产品种植不统一,差别各异,给检测带来很多麻烦。而且对于大多数的检测机构,都是免费进行检测,公益性的机构。而且支撑整个机构只是国家财政的拨款,根本没有什么企业可以进行资金的支持,所以导致了检测设备,实验室设施,技术指导的相对的落后,以至于无法更好地进行产品检测。
1.2.3检测人员匮乏
产品的检测是一项专业技术含量很高的工作,不过目前可以进行上岗的专业人才较少,专业素质和个人素质都有待提高,这些因素都导致了检测体系的不完善和落后。
2农产品质量安全管理体系建设的措施
2.1提升安全管理的意识
安全管理首先要有一个框架,有一个答题的内容,然后进而形成一种理念模式,然后把这种理念模式深入贯穿到整个农产品安全质量管理体系中去,把整个团体都融合到这个理念中来,管理开展进行也要围绕理念进行。
2.2众人拾柴火焰高
众人主要是3个集体的代名词,一是农民,二是企业,三是政府,当农民、企业、政府协同发展,共同进步的时候才会出现更高速度的发展。从农民的角度看,农产品的主要来源就是农户,所以在农户的阶段一定不可以忽略,农户决定着农产品的产量和质量。而且也要结清对农户的技术指导和培养,以及对产品的包装宣传,毕竟人靠衣服马靠鞍,让农民更安全、高效、规范地进行农产品的生产。[3]从企业的角度看,企业生产排污影响环境的问题处处可见而且经久不衰,要严格控制企业的生产排污,比如二氧化碳的浓度会影响农作物的生长,以及污水的排放会影响土壤的酸碱度。而且生产种子化肥农药的企业一定严格要求生产的质量,按照国家标准进行生产。从政府的角度看,政府应该制定一些管理的条例和处罚标准,加大资金的投入,尽量让农民的土地实现标准化的生产,从根本上解决农民生产分散的问题。
3结论
随着安全意识和技术水平的提高,农业的质量安全在很大程度上已经有了明显的改善,但还是应该继续努力,从各个方面造福国民,也可以造福人类,让我们的国家变成一个农业生产的大国、强国。
作者:张文英 单位:内黄县农牧局
参考文献
[1]祁胜媚.农产品质量安全管理体系建设的研究.扬州大学,2011
【关键词】空管 安全管理 体系建设
安全管理体系是一套系统化、程序化的系统没货,必须要自我完善,开展科学的管理。近年来,我国的空管行业在各方面已经取得了新的突破,但在管理方面还是存在一些问题,与发达国家的管理水平相比,还是存在一定的差距。因此,空管安全管理要注重技术和方法,吸收国际上先进的管理水平,建立起符合我国国情的安全管理体系。空管安全管理体系的建设是为了确保客户的安全,管理体系的建立需要政府主管部门作出积极上午引导,稳步推进体系的发展。而空管安全管理体系就是要抓住、机遇,转变传统的管理观念,积极探索创新性的管理方法。安全管理体系对于预防事故的发生有着很大的效用,其是通过对所有影响空管安全运行的因素进行系统管理,在持续动态的发展过程提高空管的安全管理水平。
一、空管安全管理体系建设的意义
一是由于我国的航空运输量的增多,给我国空管带来了很大的压力。因此,为了满足客户的需求,减缓航空运输的压力,就要建设完善的空管安全管理体系,这也对空管安全管理提出了更高的要求,促使我们不断探索新的安全管理模式。二是建设安全管理体系能够促进人们对空管安全的认识。在进行探索的过程,会遇到诸多的问题,这就需要我们以宽泛的眼光看待目前安全管理问题。三是安全管理体系的发展过程促进了世界范围内的其他管理模式,改进了管理思想。安全管理体系涵盖了多种管理模式,从管理理念上也发生了转变,将重点放在了安全上,在开展安全管理工作中,形成了自我完善、自我改进的机制。总之,空管安全管理体系在借鉴了国际经验的基础上,形成了具有本国特色的管理模式,该系统有着安全的管理方法,有效的管理程序,通过建立组织目标,制定并实施安全管理方案。
二、空管安全管理体系建设问题
总体来说,我国的空管安全管理体系虽然在管理方法上做出来改进,但体系建设还处于初期阶段,仍然会存在一些,这就需要我们对问题深入研究,采取解决的办法。
一是安全管理的管理层对问题的重视程度不够。安全管理工作是一项系统的工作,涉及到管理的方方面面,会利用上各种资源,进行调配。而管理层对资源的利用并不能做到实处,只是停留在形式上,一些关键的领导往往忽视了这一问题。
二是安全管理工作应该具备较高的安全意识,但很多员工都忽视了安全问题。在长期的工作中,很多的员工习惯接受领导的管理,这种被动的思想,导致员工缺乏主动积极的意识,缺少安全负责的主人翁态度。一旦发生问题,就会相互推卸责任,缺乏合作意识。
三是建设安全管理体系的核心问题。建设安全管理体系的核心问题就是风险管理,这一管理方法的合理运用决定着安全管理体系能否成功的运行。
四是安全信息的分析和利用问题。安全信息对于安全管理工作的实施有着重要的作用,安全信息的收集也是安全管理工作实施的关键,如何对信息进行科学的分析和利用,成为问题的所在。在收集安全信息的同时,应该对信息进行分析和利用,能够准确的查找危险源,以免事故的再次发生。
三、空管安全管理体系建设的主要对策
一是安全管理体系建设的宣传和培训工作要落实。安全管理体系在建设之初需要做些准备工作,这就需要人员的配合。作为空管中的不同人员,应该分清层次,针对不同的人员,侧重于不同的培训,培训工作要统一认识到安全管理的内涵,使他们真正的掌握规范的基本内容,切实明确安全管理中的具体职责,职能划分明确,工作程序才会清晰顺畅。
二是安全管理体系建设需要全员参与。安全管理是一个系统的工程,涉及到各个单位以及全体员工的参与,对于管理全过程,都需要每个岗位员工的参与,做到管理不漏项,每个程序都有人管理,提高处理问题的成效。安全管理是一个动态的过程,而员工的安全意识也是动态的,在安全管理中的决定性因素就是人的因素,在运行管理工作中学习,在学习中运行,保证体系的有效运行。只有调动全员对安全管理体系的充分理解和积极参与,才能确保安全管理的持续改进。
三是强化安全管理信息机制。在安全管理体系中,其中重点就是对风险的控制,安全管理的基础是对信息的收集,包括对风险评价、风险控制等。在体系中,应该建立安全信息管理的平台,能够对收集的信息进行科学的分析分类,并能够将出来危险源识别,以采取应急措施。在分析信息的基础上,要求收集来的信息确凿无误,因此,在对信息进行分析前,要对数据进行收集、分类和储存,之后采取适合的分析方法。
四是加强管理人员的队伍建设。安全管理体系需要一支素质较高的工作人员队伍的参与,因此,建立一支优秀的人员队伍有助于提升管理的效率。安全管理体系的人员是工作的直接参与者,管理人员要将管理标准贯彻落实,行高效率的骨干力量。同时要对管理人员进行监督,以便在监督中发现问题,能够及时改进,起到参谋的作用。安全管理人员在日常工作中要承担着体系正常运行的责任,监督、管理、沟通和协调等工作是必不可少的,并且安全管理人员要具备专业的技能,严谨的工作态度、较强的沟通能力和责任心。以上都是安全管理人员必须具备的素质,也是建立一支优秀团队的必然要求。
四、结语
综上所述,空管安全管理体系的建立是在长期的过程中逐渐发展起来,安全管理工作的开展能否顺利实施,需要我们认真的思考,其涉及到组织的方方面面,要奠定坚实的基础性工作。空管安全管理体系是一个动态的过程,需要团队的合作来建立信息的沟通关系,空中安全管理是为了确保交通的安全性,同时,安全管理还要注重效率与安全的结合,在具体的工作中,各项工作的步骤开展都应该是相辅相成,以便体系建立工作高效的完成。只有掌握了安全管理工作的规律,才能促使安全管理向着程序化、标准化的轨道发展。
参考文献:
[1]赵建松.促进安全文化建设促进空管持续安全[J].空中交通管理,2010,(4): 25-27.
关键词:信息安全管理体系;信息资产;业务连续性;风险评估
中图分类号:TP393.08 文献标识码:A 文章编号:1001-828X(2014)08-0136-02
当前,随着税务部门管理和服务水平不断提升的客观需要,加强对税收核心业务系统和关键信息资产的保护,成为信息化工作中一项十分重要的使命。
本省地税部门信息安全现状及面临形势
(一)取得的成绩
多年来,本省地税部门在认真学习贯彻国家税务总局和各相关主管部门颁布的信息安全管理制度、政策法规及技术标准基础上,结合工作实际,陆续颁布、制定了一系列信息安全管理办法与措施,具体包括:
1.安全管理制度方面,制定了涵盖物理层、网络层和主机系统层的管理制度,总体目标、范围、方针、原则和责任基本明确。
2.安全管理机构方面,建立了信息安全领导小组,配备了具有一定安全管理能力及技术能力的系统管理员、网络管理员、安全管理员等。
3.人员安全管理方面,在内外部人员录用前,对被使用人的身份、背景和资质等进行严格审查,按期组织信息安全岗位知识技能培训。
4.系统建设管理方面,严格遵照信息系统安全等级保护要求制定建设方案,并对定级结果的合理性和正确性进行论证和审定。
5.系统运维管理方面,对各种设备运转情况进行定期检查和实时监测、报警,权限设定遵循最小化授权原则,有配置变更管理的审批流程,对重要应用程序和数据库进行定期备份。
(二)存在的不足
通过近期开展的风险评估工作,暴露出本省在信息系统安全方面还存在着一定程度的不足,主要是:
1.在安全管理方面,已制定的各项管理规定缺乏全面性、系统性,要求规范与实施细则未能很好的实现层次划分;有些制度、标准更新不快,缺乏可操作性,对基层的指导作用不十分明显;信息安全责任制度还需要进一步细化和落实。
2.在安全技术方面,现有机房空间环境已不能完全适应税收业务发展的需要;部分网络、安全设备老化需要更新,部分核心业务网络还未进行功能区域的细分,操作级的审计管理还不尽完善;应用系统开发中的安全机制尚不健全,身份认证等安全技术手段还未得到全面应用。
3.在安全运维方面,现有巡检工作中不包括安全技术措施的有效性检查等内容;网管、动环、安管等监控系统还基本处于独立运行状态,对于网络或系统故障缺乏关联性分析,未能形成统一的监控、分析、处置策略;尚未结合实际业务制定出操作性较强的应急预案,未进行过应急演练。
(三)面临的形势
随着经济的持续发展和国际地位的不断提高,我国基础信息网络和重要信息系统面临的安全风险日益严峻,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞进行网络盗窃、网络诈骗、信息系统破坏等违法活动,给国家政治、经济和社会生活造成严重负面影响。中央已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为政府信息系统的重要组成部分,其安全运行不仅关系到政府机关的形象和税收业务的持续运行,还关系到社会稳定和国家安全。
提高税务信息安全保障能力的有效途径
国家税务总局在“金税三期”项目建设中明确提出,要高度重视信息安全保障工作:按照“四防”工作要求,进一步推进“人防”,做好信息安全教育培训工作;认真落实“制防”,推进信息安全标准体系和管理制度建设;稳步提升“技防”,持续保障“物防”,做好安全防护体系建设和运行管理工作。因此,构建符合信息系统运行需要的信息安全管理体系,对进一步加强税务部门内部网络的整体安全防护能力,全面提升信息安全管理水平,就显得尤为重要。
信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系。
信息安全管理体系的建设可以提高税务干部的信息安全意识,规范各层级的信息安全行为;对组织的关键信息资产进行全面系统的保护,在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;在税收各项工作顺利开展的同时,提高社会公众对政府部门的公信度;另外,通过信息安全管理体系建设,可以有效加强对信息技术风险的管控,通过与信息安全等级保护、信息技术风险评估等工作的融合与衔接,使信息安全管理更加具有科学性和系统性。
税务信息安全管理体系建设实践
税务信息安全管理体系的构建,应结合税收改革发展要求,根据信息化工作职责,制定相应的策略,并最终实现总体的信息安全目标。
(一)基本定位
1.在策略制度层面,形成从方针策略、到要求规范、操作规程直至记录表单在内的层次化文件体系,为信息安全管理体系奠定技术基础;
2.在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责,奠定信息安全管理体系的组织基础;
3.在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制,结合信息安全事件管理和业务连续性管理,确保从整体上将信息安全风险控制在可接受水平;
4.在人员意识方面,通过有序组织信息安全培训及相关意识宣传活动,确保人员具备基本的信息安全意识和操作技能;
5.在支持保障方面,建立起内(外)部审核、管理评审、有效度量、日常检查等多项检查监督机制,确保信息安全管理体系的持续运行和改进有着推动和保障基础。
(二)设计原则
1.体现全面的特性。信息安全管理体系是一个涵盖各个方面的工程,它要求多角度、多层次,从各个环节人手,进行系统的考虑和规划。任何环节上的缺陷都会对信息系统构成威胁,要实现信息安全目标,必须保证构成信息安全管理体系这只“木桶”的所有木板都达到一定的标准。
2.体现持续改进、动态发展的特性。信息安全管理体系不仅仅是一套全面的规则集合,而且还是在体系建设与实施过程中与所有利益相关者的互动过程。另外,环境的动态性也决定了体系建设的动态性。因此,在体系架构设计和实施中应遵循PDCA的模式,通过P(策划)、D(实施)、C(检查)、A(纠正)这四个步骤的循环运行,使信息安全管理水平获得可持续性的发展。
3.以保证业务连续性为根本目标。信息安全管理必须为业务服务,脱离业务的信息安全管理也就失去了其真正的意义。因此,保证信息系统的正常运行,进而保障业务的连续开展,是信息安全的根本目标,也是信息安全管理体系的根本目标。
4.领导重视、全员参与的原则。在信息安全管理体系的建设中,应由最高管理者确立统一的信息安全方针、政策和方向,创造并保持使员工能充分、积极地参与实现信息安全战略目标的内部环境;全体员工应明确自己在信息安全管理中的职责,积极参与信息安全管理体系的建设。
5.技术与管理并重的原则。信息技术是信息安全管理的手段,信息安全管理是利用信息技术实现安全目标的保障,在信息安全管理体系中,技术与管理同等重要,缺一不可,忽略任何一方都会阻碍信息安全工作的开展。
(三)总体架构
在税务信息安全建设中,包含了信息安全管理、信息安全运作、信息安全技术三方面内容。信息安全管理体系则处于“管理一运行一技术”三元架构的最上层,包含信息安全政策、规范与标准、指南与细则等,从人员、意识、职责、监督等方面,保证并指导下一层级的顺利运行。其建立和完善,应充分依据国家标准和税务行业规范,以融合化和层次化为指导,并最大化地整合现有资源,基本框架模型,可分为五层:
第一层,总体方针,是由省局信息安全领导小组签署的书面文件,其目的是明确信息安全管理工作的总体目标、适用范围、总体方针和原则等方向性纲领性文件。
第二层,管理要求,是省局对全系统提出要求的管理性文件,包括安全组织、资产安全、人员安全、信息系统安全等各个方面。
第三层,标准规范,是针对管理要求中提出的内容,制定的对共同使用和重复行为进行指导或规范的文件,文件可以由省局制定,也可以由基层单位制定。
关键词 食品安全;管理体系;法律规制;发展研究
中图分类号 TS207 文献标识码 A 文章编号 1673-9671-(2012)122-0226-01
1 我国食品安全现状
1)部分食品生产经营者为谋取高额利润,无视消费者利益,在生产加工过程中掺杂掺假、偷工减料、滥用添加剂。
2)食品的小作坊式分散化生产。农民生产农产品普遍采用分散式进行,因使用的简陋设备、落后的技术,加上恶劣的卫生状况,食品安全难以得到保证。
3)新科技新资源的应用带来新的食品安全隐患。食品工业的新技术多源于化工、生物等生产技术领域。近来,核试验带来的核事故又对食品安全构成新的威胁。未来产出的新食品对人类有多大影响,还需长时间的认识过程。
4)食品的安全监管制度、技术支撑体系不完善。我国在食品安全的监管上各部门间的职能交叉、重复执法、监管空白等现象突出,致使监管责任难以落实。食品安全检验机构行政色彩浓厚,检测设备技术落后,尚且不能强有力地支持食品安全的质量监管。
2 食品安全问题的法律规制现状
2.1 食品安全的相关法律规定
2.1.1 《食品安全法》
《食品安全法》是我国第一部专门调整因食品安全引发社会关系的法律规范。它的颁布对确保我国的食品安全有很重要的里程碑意义。此外,它还引入食品食品召回制度、实行添加剂监管码制度,要求在食品标签上注明“添加剂”字样。食品召回包括自发召回和强制召回,且对召回程序、主体、结果作出了明确规定。不仅如此,国家为更好地确保食品的高标准,还取消了食品免检制度并赋予消费者十倍赔偿请求权。这样一来更能强化产品生产者的质量保证意识,以避免违法行为的再次出现,保证人民吃得放心,用的舒心。
2.1.2 《刑法》
“刑法被称为是万法之盾,其他任何法律的有效实施均依赖于刑法的最后保障”。正是基于《刑法》具有的强制性及最后的保障性,使得该法对食品安全的保护成为必要。国家虽然制定了《食品安全法》等法律来确保百姓的生命健康安全,但当某些危害行为具有较强的社会危害性时,即使国家有关部门对其进行了充分的行政处罚,也对受害着进行了民事赔偿,但均不能与罪责刑相适应原则协调一致。食品安全状况令人堪忧,我们理应加大对违规生产销售者的打击力度,通过增加其违法成本,达到威慑社会,警示后人的作用。
2.2 关于食品安全法律规制的不足
1)《食品安全法》的颁布虽对规范和监管从生产到销售的整个食品流程产生了积极的作用,但仍然有待改进之。首先,本法在食品安全市场准入制度太过宽松,给不法生产经营者可趁之机。如在对大量食品安全事故的调查研究中不难发现,食品安全问题主要源于食品的生产加工环节。其次,在监管上此法虽确立了分段与统一相结合的食品安全监管体制,但仍难以解决食品监管中长期存在的多头管理问题。因对食品召回监管的不力,促使众多企业为所欲为地损害公众利益。企业在宣传中大多放大产品的优点,一旦产品销出,处于弱势群体的消费者如受到损害,会因受诉讼成本和风险等因素制约不得不放弃索赔权。
2)我国刑法中关于食品安全的规定仍然存在众多的问题。其一,在犯罪的分类上相关的法律规定存在缺陷。因犯罪行为侵害的主要客体决定犯罪的性质,然而据犯罪客体理论可知,主要客体是指某具体犯罪所侵害的复杂客体中程度较严重的刑法才予以重点保护的社会关系。其二,在刑罚的设置上存在不足、关于罚金的相关规定不够理想。如有关罚金计算方式的操作性不强,仅以销售金额作为依据是不能有效惩罚犯罪的,特别是对那些销售金额较低食品犯罪;其三,在死刑的设置上也不够合理。如刑法中对生产销售假药罪规定最高可判处死刑。
3 法律规制的完善
1)完善有关食品召回的法律规范体系。我国《食品安全法中》所规定的食品召回主体仅限于食品的生产经营者。为能及时阻止有害食品流进百姓生活,我们可将食品经销商、进口商、商也纳入召回主体,并赋予消费者申请权。即在食品生产者不主动召回问题食品时,允许他们向监管部门申请召回,让社会公众均参与进维护食品安全的工作中。我们还应有效地协调好主动召回与责令召回的关系。虽然我国在《食品安全法》与《食品召回管理规定》中已明确规定了主动召回与责令召回两种方式,但在实践中却忽视了对两种召回方式的协调。
2)健全违法企业的推出机制。“天下熙熙,皆为利来;天下攘攘,皆为利往”,赢利作为现代企业生存发展的动力与目标,最大限度地追逐高额利润乃企业之天性,利益的驱动下商家很可能因丧失道德底线干违心违法之事。部分食品生产经营者还借机实行一些有损消费者的不法行为,如以假充真、以次充好、以不合格产品冒充合格产品甚至更多的违法行为,给消费者的生命健康带来了极大威胁。所以我们必须加大对违法食品生产者、销售者的惩罚力度,明确规定企业的退出机制,以提高企业的风险成本。
3)努力建立形成一个权责明确、分工合理、统一协调的食品安全监管体系。针对目前地方各监管部门间的协调不力、管理不到位、执法软弱的局面,不仅要求企业加强社会责任感,还应成立相关组织保证各部门间能有效合作进行。
4)建立强制性的食品安全责任保险制度。针对近日来频发的食品安全事故,更加突出了食品安全责任险有强制推行的必要性及可行性。通过此种保险,能有效督促食品企业生产安全健康食品。其功效源于食品安全责任险保险是一种双务合同关系,它明确规定作为被保险人的食品安全企业要想获取保险赔偿金,就必须履行其在保险合同中的义务,这就促使食品生产企业严格遵守食品领域的
安全生产经营的技术标准,以确保食品消费领域的安全。
不仅如此,我们还可在现有法规基础上,明确规定消费者可因其使用有害食品所致损害直接向保险公司索赔的权利,以促使食品企业自觉履行在食品生产过程中应尽的注意义务。为更好规避食品安全带来的风险,我们可通过立法来确保食品安全保险制度的有效实施。如通过修订新的《食品安全法》,将食品安全责任强制保险列入其中,还可参考《机动车交通事故责任强制保险》建立《食品安全责任强制保险条例》。进而达到弥补政府监管不足、减轻政府处理食品安全事故的经济、舆论压力的目的。
参考文献
【关键词】高速公路;安全管理体系;建设措施
高速公路在我们的日常生活中已经变得越来越重要了,因为高速公路所具有的快速、安全以及通行率高的优点被人们所认可,而且它的建设不但拉近了我国各地区交通运行的距离,也改善了我国交通运输拥堵的状况。不是有句话说“要致富先修路”嘛!果然,高速公路的建设促进了我国国民经济的发展,使我们的国家变得越来越富强了。但是在高速公路蓬勃发展的过程中,也会面临着各种各样的问题来制约它的发展,尤其是高速公路安全管理问题的存在,使高速公路的快速发展遇到了阻碍,为了消除这些阻碍就要有效地解决高速公路安全管理存在的问题。
一、我国高速公路安全管理存在的问题
高速公路投入运行后影响其安全管理的因素有很多,但是主要因素还是高速公路安全管理体系建设不完善造成的,而影响高速公路安全管理体系建设的因素基本有如下几条:
(一)管理不完善。目前,我国交通管理体制是不完善的,并且管理权责分配与管理体制不够协调,而高速公路的安全管理在交通管理过程中没有做到高度的统一,因为我国高速铁路遍布全国各地,而每个地区和省份对于交通管理体制也存在很大的出入,导致高速公路安全管理不统一,而且高速公路的硬件设施水平也有待提高,周围保护设施不够完善,并且管理水平偏低是现阶段高速公路安全管理问题中需要重点改进的环节。
(二)高速公路路面问题。高速公路安全问题除了管理存在缺陷另一个重要的因素就是高速公路自身质量问题。有时候,由于交通的需要,施工队不得不赶进度,使得有些路段的施工工期被缩短,没有按照计划好的工期进行施工,这样就会对高速公路的质量有所影响。还有的高速公路,在通车运行的过程中也在进行着维修的工作,这样使得维修路段没有来得及养护就投入运行,时间久了,必然会损坏路面,给行车带来一定的危险,所以高速公路的建设和养护工作一定要做好,做足,绝对不能偷工减料。
(三)人为因素问题。有些驾驶员对安全意识薄弱,总觉得在高速上不会发生普通公路上的交通事故,因此高速公路上时常会有疲劳驾驶的现象发生,导致发生严重的交通事故。所以他们开车的过程中对安全驾驶,严格遵守交通规章的意识还是有待提高的。
二、加强高速公路安全管理措施
(一)加强安全管理的建设和安全驾驶的文化宣传。对于安全管理不是仅仅靠管理部门和道路交通管理执法人员努力就能达到安全管理效果的,它是需要安全管理部门和高速路上的行者共同努力的结果,只有这样才能全面提高安全管理水平。所以高速公路安全管理部门应该定期组织有驾驶证的人员参加安全教育培训,加大对安全管理的宣传,收集各大交通事故的案例和图片作为培训资料,让参与者涉身其中,深刻感受一下如果不加强安全管理将面临的危险,强化他们的安全意识和法律意识。而进入高速公路的关卡――收费站处的工作人员在收取费用的同时也要注意驾驶人员的状态,如果发现不对劲的地方要做到及时劝解,让他们到服务区调整好之后再行驶,以避免事故的发生。
(二)加大安全设施的投入,完善管理体系。为了保障高速公路的安全运行,要加强高速公路护栏、桥梁护栏、安全隔离设施、灯光防眩设施、防噪声设施以及安全标牌等设施的建设。对于高速公路上坏掉的安全设施要及时进行整理和更换,尤其是在大风天气中被风吹坏或吹歪的标识牌要及时进行更换和调整,避免驾驶者观察不便而造成临时停车发生交通事故的现象。增设高速公路监控摄像装置,一来可以实时对高速公路上的车辆行驶情r进行监控,二来可以时刻提醒驾驶人员要注意安全驾驶,否则会受到相关的交通惩罚,以保证高速公路安全运行的高效性。
(三)加强高速公路特别路段的养护和管理。在雨雪雾的天气里及时对高速公路实行安全运行管理,根据天气的情况对高速行驶速度进行限速处理,进入收费站的车辆,工作人员要一一告知,尽量做到每个驾驶人员都知晓的情况下,才可放行。高速封路时,对大量滞留的车辆做好安抚和归置工作。为了保障高速公路路面的平整性,需要对路面进行整修,整修时一定要做好防护栏的设置,整修工作结束后,一定要注意路面的养护,待路面达到运行标准时,才可以将防护栏设置取消,否则不能撤离防护栏,避免路面被再次碾压。
三、结语
综上所述,高速公路的建设与发展,虽然促进了我国交通领域的发展,也提高了国民的生活水平,但是随着高速公路建设里程数的持续增长,交通工具的数量也越来越多,高速公路的安全问题也变得越来越突出,给社会和个人造成的危害也越来越严重。所以,高速公路安全管理部门应该不断总结典型安全事故的经验教训,寻找安全事故发生的规律,同时借鉴国外先进的高速公路安全管理方法,完善我国的安全管理体系,提高我国高速公路安全管理水平,保障高速公路运行的安全性。
【参考文献】
[1]肖光明,傅志俊.浅谈高速公路交通安全问题的治理对策及思考[J].法制博览.2015(04).
购物车(0)
