- 为了加强公司的项目信息安全管理,规范信息化和工程性项目实施过程中的安全要求,监督承包商切实履行合同中的保密和安全条款,促进公司的项目安全建设、安全生产、安全运营,特制定本安全管理指南。
- 本管理指南是《信息安全管理办法》的管理要求的细则补充,对项目的安全管理有指导作用,是评判项目组落实安全责任和管理措施的主要依据。
- 本管理指南参考《安全生产责任制规定》、《安全生产应急预案》等制度。
- 本管理指南对项目的安全管理要求分成系统信息安全管理细则、项目信息安全管理细则、工程施工安全管理细则三大部分。系统信息安全管理细则规范了软件系统安全管理的具体要求,项目信息安全管理细则规范了项目组现场管理的信息安全具体要求,工程施工安全管理细则要求规范了工程施工、弱电工程、设备或系统集成施工类等项目的安全管理的重要要求。
- 本管理指南未涉及的安全管理要求,如计算机机房安全管理、云安全管理要求、相关方安全管理、信息安全管理监督、信息安全事件处置等要求遵照《湖北公司有限公司信息化安全管理办法(试行)》执行。
- 本管理指南适用于公司本部公司和出资子公司的市场交付类项目和研发类项目的项目安全管理工作。
- 项目管理部是项目安全管理的归口部门,主要职责包括:
- 制定项目安全管理的指南、模板和管理制度;
- 根据项目采购合同的要求,告知项目经理项目是否要纳入重点项目安全管理,并收集各重点项目签订供应商的《安全协议书》;
- 组织公司的安全管理相关的培训;
- 定期组织重点项目开展安全活动检查,收集活动记录。
- 市场经理是项目售前阶段的商业秘密安全的第一责任人,其具体职责包括:
- 投标活动结束前,禁止向公司非项目售前人员和非项目管理工作人员透露项目有关的明细价、底价、竞价等信息。如果有涉密相关要求的项目,不得透露项目的信息。
- 和售前项目小组强调《信息安全管理办法》中的保密工作要求,不能像非项目售前相关人员透露投标信息。
- 不能向需要通过招采方式选择供应商的备选供应商透露公司对招采相关的商务信息。
- 在投标前,对投标书的内容和报价严格保密,禁止对不涉及投标工作的人员透露项目方案和合同报价。
- 检查招标书的安全要求,核对销售合同中对项目保密和安全的相关条款是否遗漏,通过法务部门审核后,再进行签章。
- 采购经理是项目采购安全的第一责任人,其主要职责包括:
- 项目存在分包施工,必须检查供应商资质,不能使用没有相关资质的供应商。
- 严格遵守招采管理的制度,维护招采制度的公平性和公正性。
- 检查采购合同对安全管理的要求,尤其是对质量和安全不合格的供货设备和产品的更换、退货、保修等条款进行检查,提交法务部门审核后,再进行签章。
- 项目经理是项目实施阶段的安全责任管理的第一负责人,负责统筹和协调项目安全管理的相关事宜,其具体职责包括:
- 根据销售合同和项目解决方案,识别项目的安全管理需求;
- 审查采购合同中对信息安全和生产安全的条款,对漏项进行增补;
- 以总集方身份制定项目的《安全管理计划》,组织供应商各项目负责人进行确认,落实安全责任主体;
- 落实重点项目和供应商签订《安全协议书》;
- 根据安全管理计划,定期进行安全管理检查和抽检,对不符合安全管理要求的供应商,责令停工和安全措施整改;
- 向项目管理部提交安全管理的相关记录;
- 配合监理方提出的安全整改通知,协调和监督供应商人员进行安全整改。
- 上报重大信息安全事件到项目分管领导和项目管理部。
- 项目经理可以指定1至2名重点项目的项目安全员,安全员是项目安全管理的第二责任人,负责具体的安全管理策划和执行工作,其具体职责包括:
- 根据项目特点,参照《信息安全管理办法》建立项目的安全事件分级分类具体管理方案;
- 检查进入现场施工单位的资格和特殊工种人员资格;
- 建立项目的安全技术措施管理制度,设置检查点并落实检查;
- 建立项目的专项施工方案审查制度,配合监理方进行检查;
- 建立项目的安全隐患处理制度,定期配合监理方进行巡查,提交项目经理巡查结果后,责令供应商单位进行安全整改;
- 结合项目安全管理计划,建立现场安全检查制度,设定检查内容,定期检查或抽检现场安全;
- 按照监理方提出的法律法规要求,执行法律法规与强制性标准。
- 监理公司监理人员是项目安全管理的第三责任人,根据监理合同,监理人员需要管理项目安全,其职责大概如下(各具体项目根据监理合同的要求确定职责):
- 审查施工组织设计中的安全技术措施或专项施工方案是否符合工程建设强制性标准;
- 发现安全事故隐患时,要求施工单位整改或暂停施工并报告建设单位,严重时及时向有关主管部门报告;
- 按照法律、法规和工程建设强制性标准实施监理,并对建设工程安全生产承担监理责任;
- 结合本项目的实际情况,组织编制本项目的《安全监理方案》和《安全监理实施细则》;
- 严格对进入现场施工单位的资格审查工作,查对其营业执照、资质证书、安全生产许可证,审查安全管理组织机构、项目经理、工长、专职安全员、特种作业人员配备的数量及安全资格培训上岗情况;
- 审查大型机械设备投入使用前的验收手续是否完善;
- 审查对重大危险源项目的专项方案的审批情况和需要提供的专家论证、审查的书面材料;
- 加强日常安全巡查,发现问题及时下发《安全隐患整改通知单》并督促施工单位整改,情况严重的应下发《工程暂停令》要求施工单位暂停施工,并及时报告建设单位;
- 审查施工单位的事故应急救援预案的制定情况;
- 审查施工总平面布置是否合理,办公区、宿舍、饭堂等临时设施及施工场地道路、排污、排水、防火措施是否符合规范要求。
- 应在项目需求阶段确定安全功能的目标和实现方法,对软件系统需求的安全程度进行识别和区分,对各需求项的安全性进行描述,形成项目安全需求文件(需求说明书应明确描述应用系统的安全需求),该文件将用于整个项目的设计、编码、测试环节,并保证主要开发人员持有该文件。
- 在需求阶段应确定应用系统安全功能需求,包括但不限于:
- 应用系统应包含认证功能,应明确提出用户身份认证体系的强度以及认证失败后的处理方式。
- 应用系统应包含用户权限的分配和管理功能,应根据系统处理的业务数据的保密性和完整性要求,确定系统采用的用户权限访问控制模型和权限的划分,避免权限的过分集中与分散。
- 应用系统应包括数据安全和冗余恢复相关功能。
- 应用系统应包括安全审计功能,应明确对于日志内容的要求,具体包括以下内容:
- 应用系统审计的事件应包括审计功能的启动和关闭、变更
