商业源码 档案室档案安全应急预案_档案安全管理应急预案
为了进一步做好档案安全工作,切实防范和妥善处置档案安全事故,最大限度地防止各类自然灾害对档案可能造成的损害,提高对各种险情的应急救援能力,达到快速有效救援,减少损失的目的,根据《档案法》的规定,特制定此预案。
一、总则1、工作原则
档案优先原则。面临其他财产损失和档案安全的选择时,要把保障档案的安全作为重大事故和自然灾害紧急处置的首要任务,最大限度地减少对档案的影响。
以防为主原则。把灾害预防作为档案室安全工作的中心环节和主要任务,完善工作机制,强化安全管理,完善防范手段,建立安全预报机制,提高对重大事故和自然灾害的紧急处置能力。
2、适用范围
凡在本机关发生影响档案保管安全的重大事故和自然灾害,如暴雨、高温、地震、火灾、雷电等,适用本预案。
二、档案室安全应急预案的目标1、在应急的情况下,采取最有效的行动消除对档案室档案、资料的威胁。
2、保护未受损的档案、资料。
3、抢救已受损的档案、资料。
三、应急准备1、物资准备
档案室应按照档案室建筑设计规范的要求,设置必要的安全防护设施,配置灭火必要的档案安全保护设备和耗材。
2、人力资源配置
组织救灾队伍,培养和训练自救队伍,并对其进行培训指导和专业支持,当事故或灾害发生时,能够协助专业救灾部门自救互助,最大限度减少灾害损失。
3、防灾减灾准备
配合区应急领导小组积极开展安全教育,有组织、有计划地为档案室工作人员提供防灾减灾知识和培训。宣传应急法律法规和预防、避险、避灾、自救、互救的常识,增强防火减灾意识。
四、应急响应和灾后救助1、灾害预警
灾害预报部门发出灾情预警或档案室工作人员发现灾情后,档案部门应按规程启动预案。
2、紧急转移安置
接到重大灾情预警,在局党组的统一领导下,档案室应按照有关救灾部门的要求,按指定路线将档案转移到临时指定的安置场所,实施紧急避险。
3、档案抢救保护
档案转移后,档案室应做好档案安全防护工作,视灾情严重程度及灾情的发展,及时上级档案主管部门汇报灾情,申请给予救灾支援。
档案室档案安全应急预案篇二为有效预防、及时控制和迅速消除档案突发灾害事件,确保田营镇档案资源安全,根据《档案工作突发事件应急处置管理办法》等有关规定,结合田营镇实际,特制定本预案。
一、工作原则预防为主、档案为重、应急联动。
二、适用范围本预案中所指灾害为自然灾害和突发性事故。自然灾害包括:水灾、地震等。突发性事故包括:火灾、档案丢失、档案被盗、档案泄密、档案服务器系统崩溃。上述灾害如对管理处档案造成威胁,出现险情,应及时组织抢救。
三、组织领导成立档案安全应急小组,小组设在办公室,负责部署、检查档案安全工作;
宣布应急状态的启动和解除;
全面指挥调动应急工作队,调配应急资源,按程序实施应急抢险。
组 长:
成 员:
四、工作目标(一)采取最有效措施消除对档案资料的安全威胁。
(二)保护未受损的档案资料。
(三)抢救已受损的档案资料。
五、工作重点(一)重点区域:
1、档案库房;
2、党政办公室
(二)抢救顺序:
1、文书档案(先永久,后定期);
2、会计档案;
3、科技档案;
4、声像档案;
5、电子文件档案;
6、实物档案;
7、档案目录和检索工具。
六、应急保障措施(一)建立健全灾害应急培训制度,加强安全教育,增强防灾减灾意识,定期组织安全应急演练。
(二)健全与派出所、消防队等专业队伍的联动机制。当灾害发生时,能够协助专业部门开展自救互助,最大限度减少损失。
(三)抢险救灾小组成员应熟悉抢险岗位、职责及救灾设备存放位置、使用方法。
(四)要完善抢险救灾器材配置,保障后勤供给。消防器材应每年更换一次,保证消防通道畅通。
(五)每半年安排专业人员对档案室各类仪器进行检测,确保其正常运转。
(六)档案库房、办公室严禁吸烟或使用明火,严禁存放易燃易爆物品。
(七)档案库房实行专人管理,非库房管理员未经允许不得出入库房。
(八)库房管理员对进、出库房的档案要逐卷清点,加强对利用档案的监控,利用完毕应及时检查,归还上架。
(九)选择安全可靠的档案软件系统和存储设备,建立档案电子数据备份系统,对于重要数据要实行实时备份。
七、应急预案(一)一般性灾害操作步骤
1、发现办公室、档案室有被烧异味或墙面、地面、暖气漏水等现象,应立即报告领导小组,查找险源。如险情不大,能自行处置的,要立即采取切实可行的办法迅速排除险情。事后,将发现险情及排除情况上报,查明原因,堵塞漏洞。
2、发生虫害、鼠害时,库房管理员应立即采取措施,对档案进行消毒、杀虫灭鼠处理,防止交叉感染;
对受损档案及时进行修复,并将情况及时上报。
(二)较大灾害操作步骤
1、较大火情
(1)发现火情立即发出警报,提醒灭火和疏散,同时切断电源,向领导小组汇报。
(2)抢险救灾队利用附近的移动消防器材进行灭火,同时拨打消防报警电话,明确说明受灾地点。
(3)在可能的情况下,组织实施档案资料抢救搬运工作。发生小范围局部火情时,转移至同楼层安全区域;
火情严重时,转移至楼外安全区域。档案转移应由专人负责。
(4)及时向消防人员介绍险情,一切听从其专业指挥。
2、较大水情
(1)发现进水情况,应立即通知领导小组,同时迅速切断水源,立即启用工具、设备排水。
(2)迅速组织人员查找原因,堵塞漏洞。
(3)领导小组视档案库房进水情况,确定档案转移处置意见,立即组织实施。档案转移由专人负责。
(4)当遇强降雨时,库房管理员必须及时检查库房渗漏情况。发现严重渗漏,应立即向领导小组报告,派专人抢修和维护,库房管理员负责渗漏范围内的档案处置。
3、档案被盗、泄密
(1)应及时保护案发现场,向领导小组报告。
(2)向公安机关报案,积极提供破案线索。
(3)档案员提供准确的失窃、泄密档案种类、数量等情况。
(4)查明原因,追究责任,总结改进。
(三)重大灾害操作步骤
发生威胁档案安全,同时又伤害人身安全的灾害,如雷击、地震、库房崩塌等重大情况时,可按上述较大灾害抢险步骤进行排除。若险情危及到供水、供电、通信等自身不能处理时,应及时通知有关部门进行抢险工作。
八、非工作时间责任人及责任落实24小时值班和领导带班制度,确保通信畅通。如双休日、节假日时间出现灾情,值班人员及带班领导为直接救灾责任人,其责任是:
(一)迅速拨打电话报警。
(二)电话通知处领导或其他责任人。
(三)工作队员接到救助电话应迅速到达指定地点。
(四)在不危害人身安全的情况下,阻止灾情。
(五)在公安、消防、供电及其他抢险人员到来后,及时指明灾险部位。
(六)抢险结束后,报告灾情情况。
九、灾后工作(一)抢救能够补救和修复的档案、资料。
(二)将灾害发生原因、造成损失及处理结果迅速上报。
(三)根据情况对抢险救灾有功人员进行表彰,对有关事故责任人按有关规定严肃处理。
档案室档案安全应急预案篇三为建立健全档案安全管理工作机制,预防重大自然灾害和突发性事故的发生,做好应对灾害引起危害的应急处置措施准备,加强档案的安全保障和救灾能力,结合档案工作的实际情况,以“事前预防、事中控制、事后改进”的基本思路,特制定本预案。
一、应对灾害应急处置工作原则
1工作原则
(1)预防为主:把预防灾害作为档案安全管理工作的重要任务,从制度上预防灾害的发生,建立安全预警机制,强化日常安全管理,完善灾害紧急处理工作措施,提高应对处置能力。
(2)档案优先:当灾害发生时,面临其它物质财产(人员除外)和档案同时需要抢救时,应把保障档案安全作为首要任务,在第一时间采取有效措施,最大限度地减少灾害对档案的危害。
(3)应急联动:坚持统一指挥、各负其责、自救为主、部门联动的原则,应组织应对突发性灾害给档案安全造成侵害的处置工作,并及时向上级主管部门报告,切实做到有效预防、及时控制和消除危害。
2组织保障
成立档案管理灾害应急处置领导小组,下设办公室,负责档案灾害应对工作。
当灾害发生时,立即启动预案,并同时与上级主管部门联系,取得支援和帮助,有效地开展应急处理工作。
3适用范围
本预案所指灾害为自然灾害和突发性事故两大类。自然灾害包括:水灾、火灾、地震等;
突发性事故包括:档案丢失、档案被盗、档案泄密、计算机信息管理系统崩溃和火灾(包括:设时设备故障、库房线路老化或短路引起的火灾以及蓄意纵火、爆炸)等。上述灾害如果对档案、设施、设备、人员造成威胁,出现险情,应及时组织进行抢救。
二、应急保障措施
1防灾减灾准备
建立健全灾害应急管理培训制度,有组织、有计划地为档案管理人员提供防灾减灾及突发事件应急处理相关知识和技能培训,加强安全教育。宣传应急法律法规和预防、避险、避灾、自救、互救的常识,增强防灾减灾意识,定期组织灾害事件应急演练。
建立健全安全管理制度,定期检查档案各项安全防范措施的落实情况,加强对重要部位和重要基础设施的安全检查,及时消除隐患。
2人员准备
建立健全与公安、消防等专业救援队伍的联动机制,依托专业救灾部门,定期对相关人员进行专业培训和指导,提高应急的能力。当灾害发生时,能够协助专业救灾部门开展自救互助,最大限度减少灾害损失。
3物资准备
按照档案室建筑设计规范要求,配置必要的安全防护设施、设备,定期检测、维护各种报警装置和应急救援设备、设施,使其处于良好状态,确保正常使用;
选择安全可靠的软件系统和存贮设备,建立电子数据备份系统,对于重要数据最好实行远程异地实时备份;
显著标明安全撤离的通道、路线,保证安全通道、出口的畅通。
4救灾装备
应配备救灾必需的器材、通讯工具等设备和装备。
5资金准备
应安排救灾资金预算,用于帮助解决档案抢救。
三、应急处置程序
1灾害预警及启动凡出现下列任何一种情况,即启动本预案:
(1)预警性灾害。本市防灾应急指挥机构,地震、防汛、气象、公安消防等灾害管理部门发出预警及相关预案已经启动,预期将对本行政区域内生命、财产造成较大威胁或损失的灾害。
(2)广泛性或区域性灾害。发生全市性或区域性的灾害,对档案的安全直接构成威胁。
(3)安全隐患排查发现的直接危及档案安全的灾情。
(4)应急预案启动涉及档案安全的本预案同时启动。
2灾情核对及报送
灾情发生时,要迅速组织力量赶赴现场开展自救,并迅速核实灾情。在2小时内向灾害应急领导小组上报。灾情报告内容主要包括:灾害发生的背景、时间、区域、影响范围,受灾的严重程度和等级,档案损失情况,人员和其他财产损失情况,抢险救灾工作情况以及灾区存在的主要困难和问题。在灾情稳定前,执行24小时灾情报告制度,随时与上级主管部门保持联系,及时上报灾情动态。灾情稳定后,应组织力量,全面展开灾情核定工作,保证灾情信息、数据的及时、客观、真实、准确,不出现迟报、谎报、瞒报、漏报。
3紧急转移安置
接到重大灾情预警,在灾害应急处置领导小组统一领导下,应按照有关救灾部门要求,按指定路线将档案转移到临时指定的安置场所,实施紧急避险。
4档案抢救保护
档案转移后,应做好档案安全防护工作。同时,视灾情严重程度及灾情的发展,向上级主管部门汇报灾情,申请救灾支援。
四、总结经验,持续改进
突发事件基本平息后,对事件起因,处理过程和结果进行全面的总结,以此总结经验,吸取教训;
发现问题,持续改进;
肯定成绩,逐步推广;
为制订纠正措施,防止类似事件的再度发生打好基础。
五、奖惩措施
1档案应急处理工作实行领导负责制和责任追究制。
2对突发事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。
3对迟报、谎报、瞒报和漏报突发事件重要情况或者应急管理工作中有其他失职、渎职行为的将对有关责任人根据事件的严重性给予相应处分;
构成犯罪的,依法追究刑事责任。
有关实验室意外事故应急预案(通用6篇)
在学习、工作或是生活中,有时会面对自然灾害、重特大事故、环境公害及人为破坏等突发事件,为了控制事故的发展,就常常需要事先准备应急预案。你知道什么样的应急预案才能切实地帮助到我们吗?以下是我为大家整理的有关实验室意外事故应急预案(通用6篇),欢迎大家借鉴与参考,希望对大家有所帮助。
实验室意外事故应急预案1
实验室是学校进行教学、教研工作的重要阵地之一,是学校仪器、设备比较集中的场所,为保证学校教学、教研工作的正常进行,为减轻人员伤亡和学校财产损失,特制定本应急预案。
一、出现工伤事故后,现场人员立即切断所有相关的水、电、气、等,对有毒、有害气体的房间,应及时打开窗户通风,解救被困人员,使受伤人员迅速脱离险境;同时,报学校分管领导、校长办公室,涉及到学生的,报告政教处领导,应急小组成员在第一时间内赶到现场。
二、在第一时间内向校卫生室发出求救信息,并拨120,医务人员在最短时间内到达事故现场,采取有效的救护措施,待120到达或用其它方式急送医院。在医务人员到达事故现场之前,其他在场人员应主动采取必要的施救方法,尽量减少人员伤亡。
三、保护现场,迅速逐级向学校分管领导、学校主要领导和相关职能部门报告事故情况,学校分管领导到达事故现场指挥抢救、抢险,把损伤、损失减少到最低限度。
四、按照实事求是的原则,进行事故调查,向学校领导做出书面事故报告,并根据事故原因,限期整改,避免事故的再次发生。
实验室意外事故应急预案2化学实验室是我校教学、科研工作使用和保管化学危险品的要害部位。各类易燃、易爆、易氧化、剧毒物质在使用和保管过程中稍有不慎,即可能引起人身伤害事故和对社会造成危害。所以,除了对化学实验室进行必要的技术预防,专业人员守护,以及要害部门人员思想动态的掌握之外,还必须对因该部位而引发的事故具有充分的思想准备和应变措施做好事故发生补救工作,为此,特制定本预案。
一、化学实验室事故应急工作领导小组
组长:
成员:
化学教研组全体教师
二、化学实验中避免事故发生的预防措施
1.实验前实验管理员必须做好实验仪器、设备的安全性能检查,并做好记录,对存在安全隐患的实验仪器不得在实验中使用,严格管理好危险药品和仪器设备,严格检查电器设备的安全情况,确保实验安全进行。
2.科任教师在实验前,必须向学生详细讲解实验中安全注意事项和应急措施,准备好安全防护措施。实验过程中科任教师和实验管理员要密切注意学生操作过程,发现不规范操作或举动应立即予以制止和纠正。实验后应立即回收危险药品,确保学生安全。
3.实验管理员做好危险药品的管理
①危险药品保存要远离教室、宿舍、食堂和水源。
②易燃、易爆、剧毒化学药品的领用、消耗应随时登记,建立档案。
③危险化学药品按特性分类保管,做到防光、防晒、防潮、防冻、防高温、防氧化,并经常检查。
④对氧化剂、自燃药品,遇水燃烧品,易燃液体,易燃固体,毒害品,腐蚀品要严格保管,谨慎使用,绝对避免因混放而诱发爆炸、火灾等事故。
三、化学实验室事故应急预案
1.发生化学药品丢失、伤人、刑事案件和灾害性事故,学校领导、保卫人员迅速赶赴现场,并向主管领导汇报,发生严重事故报警:110、119、120.
2.正常的教育教学实验中发生危害学生身体或群体健康事件发生时
①在场教师立即停止一切教学活动,并立即开展救援、疏导、撤离(教师在确认没有学生时最后一个撤离)
②学校领导立即赶赴事故现场,联系校医务室,做好应急救治处理措施,妥善处理受伤学生。
③立即将受伤学生送医院救治,同时联系学生家长,告知情况。
④让在场学生、教师写好突发事件经过说明书。
⑤对事故现场进行相应保护,对不能长时间保护的现场应通过摄像、摄影进行保护。
⑥由校办公室在第一时间内向县教育局汇报。
⑦做好家长的安抚和事故的善后处理工作。
⑧事故查清后, 要写出定性处理报告,以及对事故制造者或责任者处理意见。
实验室意外事故应急预案3为确保我院实验室安全与稳定,以保证正常运行为宗旨,按照“预防为主,积极处置”的原则,本着建立一个有效处置突发事件,建立统一指挥、职责明确运转有序、反应迅速、处置有力的机房安全体系的目标,特制定本应急处理预案。
一、实验室突发事件处置领导机构及工作职责
(一)实验室突发安全事件应急处置领导小组
负责组织指挥突发事件的应急处置工作领导小组由分管安全工作和实验室工作的中心领导任领导小组组长,实验室管理人员等相关人员为成员组成。
(二)应急处置领导小组工作职责
1.根据消防安全管理的有关规定和实验室的具体情况,配备更新消防灭火器材,检查消防设施完好情况,开展相关知识的宣传工作。
2.加强实验室安全管理,将实验室安全工作作为实验室建设、管理与评估的一个重要组成部分,做好实验室突发事件应急预案的制定和执行工作。
3.定期进行实验室及其附属用房电路设施的检修、改造,增强抵御洪水、风暴等自然灾害对实验室造成危害的能力。
4.根据突发事件的应急预案,具体实施对突发事件的紧急应对与处置工作;及时向上级有关部门报告突发事件的进展与处置情况。
5.对突发事件原因进行调查;根据突发事件的性质及所造成的后果提出对有关责任人进行处理的建议。
二、突发事件的预防
坚持预防为主的方针,针对可能发生的突发事件,做到早发现、早报告、 早处置。
1、建立健全机房管理制度
(1)在正常工作日内,实验室相关管理员负责对机房进行监控,主要职责是:巡视网络设备及系统的运行情况,发生异常情况及时处理,消除网络故障隐患,保证实践教学的正常运行。
(2)未经允许,无关人员不得进入主控机房。(如控制室、管理室)
2、机房内严格采取防雷(如电源保护开关、防雷插座等)、防火(禁止堆放易燃、易爆物品,配备灭火器等)、防尘、防静电等措施以及机房入口处24小时监控录像等措施。(注:监控系统的建立正在筹备中)
3、对实验室设备进行常规维护,做好巡查,若发现异常情况应及时进行处理,确保实验室教学的正常运行。
三、应急预案的启动与处置方案
(一)应急预案的启动
1.突发事件发生后,实验室负责人及相关管理人员及时有关情况报告应急处置领导小组,报告事件名称、发生地点和时间、报告时间、涉及人群或潜在的威胁和影响、事件初步性质、严重程度及发展趋势、可能的原因、已采取的措施等。 领导小组接到报告后,根据职责和规定的权限启动本应急预案,对突发事件进行及时、有效处置,控制事态进一步发展。
2.在领导小组统一部署下,快速作出应急反应。根据实际情况可采取下列措施:组织营救和救治受害人员,疏散、撤离、安置受到威胁的人员;迅速消除突发事件的危害和危险源,划定危害区域并加强巡逻;针对突发事件可能造成的损害,封闭、隔离有关场所,中止可能导致损害扩大的活动;
3.突发事件应急处置要采取边调查、边处理、边抢救、边核实的方式,以有效控制事态发展。
4.事后,要对其他实验室和相关人员及学生进行教育,要及时部署和落实学院的预防控制措施防止类似突发事件在本单位再次发生。 分析总结处置过程中存在的问题及整改情况。
(二)突发事件应急处置方案
1、学生实验机房应急预案
当学生上课期间机房发生触电,火灾等突发事故时,实验指导教师第一时间迅速将学生撤离到安全区域,迅速做好抢救和灭火工作,并及时报告实验室管理员并119报警电话,若发生学生受伤事故,及时拨打120急救电话。实验室管理员及时报告院应急处置领导小组。
2、电源系统应急预案
(1)定期检查实验室供电设备的运行状况和电路线缆器材情况,当发生下列突发事件时,按照以下方案进行处置:
(2)当实验室发生供电突然停电或是电源异常时。首先应和学校相关部门联系确认是否正常停电以及预计停电时间。检查不间断电源的电池可供电时间,确保设备正常运行,如遇到突然断电,应及时将空调等不在UPS电源供电范围内的设备及时断电,预防突然来电时瞬间电流过大导致设备损坏等现象。
(3)当确定停电原因是在本身供电系统范围内,立即汇报给负责领导,并及时联系相关维护人员达到现场检修。
(4)恢复供电后,严格按照操作程序逐步恢复机房设备和UPS的供电,以防瞬间电流过大造成设备损坏。
注:UPS电源正在配备中,故此应急预案将其考虑在内。
3、网络和服务器络系统应急预案
(1)发生网络故障时,首先检查机房设备情况,确定网络故障的原因。
(2)确认原因后,若为短时间内可恢复的,应尽快联系网络维护人员,及时处理和排除故障。
(3)当确认原因为短时间无法恢复,应该及时向负责领导汇报,并向任课教师说明情况,做好上课机房调整的准备,以保证教学实践的正常运行。然后再联系维护人员,及时处理故障。
4、机房管理室消防和防雷应急预案
(1)上班工作时间发生火警,还在机房工作的人员应及时紧急撤离,并立刻拨打119报警。在确保自身安全的情况下,应尽量使用灭火器进行灭火,减少电子设备的损坏。同时采取关闭电源总闸等措施,尽量减少可能造成的损失和破坏。
(2)非工作时间或节假日休息时间发现火情后,要立刻拨打119报警,并立刻通知领导,做好火灾的处置工作。
(3)火情结束之后,机房相关人员应全体赶赴现场,并向相关领导汇报。同时立即联系相关网络公司和设备相关厂家,及时评估事故损失情况,研讨恢复网络系统正常运行的最佳解决方案。
(4)遇雷暴天气或接上级部门雷暴气象预警,应关闭所有服务器,切断电源,暂停内部计算机网络工作。雷暴天气结束后,及时开通服务器,恢复内部计算机网络工作。因雷击造成的损失,应及时进行核实、报损,并将详细情况向分管领导汇报。
5、设备盗抢应急预案
发生盗抢事件后,要保护好现场然后报警,并向领导汇报情况。配合公安机关做好事件侦察工作。待现场处理完毕后,要组织相关人员估计损毁情况,并联系相关网络和设备厂家,积极做好恢复工作。
实验室意外事故应急预案4为有效预防学校实验室事故的发生,防止学校实验室事故事态的扩大,保障在实验室进行教育教学活动的师生的生命安全,根据《中华人民共和国未成年人保护法》、教育部《学生伤害事故处理办法》、以及《中小学校学生伤害事故处理条例》等有关文件精神,制定本预案。
一、可能引发实验室事故的原因:
实验室的易燃物品遇到明火、电火;实验人员操作不当;学生违规自行接触危险物品;易燃易爆物品管理不善。
二、事故的预防:
1、实验指导老师工作认真负责、专业知识丰富、合格、称职。
2、学校加强对学生的行为规范教育。不随意触摸实验室物品;教育学生不在实验室随便使用明火。
3、学生在教师的指导下,按规范的操作方法进行实验。
4、实验室易燃易爆或有毒物品做到“双人双锁”保管。为防止剧毒物品外盗或外流,存放处安装报警装置。
5、无关人员不得随意进入实验室。
6、实验室电线、电器定期检查,发现问题及时维修、解决。
7、按规定配备足够数量的灭火器材。
三、事故的处理:
1、火灾事故按火灾事故处理预案进行处理,按如下顺序操作:报警、疏散等。
2、一旦发生学生伤害事故,立即送学校医务室,由校医视伤者情况决定是否送医院,若情况严重则立即将伤者送医院或拨打120电话。
3、通知受伤学生家长,如实告知情况。
4、保护现场。
5、报告。一般事故2天内向区教育局书面汇报;重大事故立即向区教育局汇报,先口头、后书面。
6、通知人寿保险公司校方责任险理赔服务部。
7、进行善后处理,接待学生家长,进行理赔或补偿协商
8、组织管理
领导小组(详见《城沙镇第一小学安全工作领导小组》)
人员分工:报警、报告、疏散、救护、接待、事故善后处理协商等。
实验室意外事故应急预案5在实验室操作应按规程进行,预防各种事故的发生,必须设有卫生箱,要配备各种药品,进行临时救护。
一、一般伤害事故的急救
1、割伤:在伤口搽红药水或龙胆紫药水,然后用纱布包扎。
2、烫伤:在伤口搽烫伤药膏或用浓高锰酸钾溶液擦灼伤处至皮肤变为棕色,再擦凡士林或烫伤药膏。
3、强酸腐蚀:立即用大量水冲洗,再用2%——5%碳酸钠或碳酸氢钠冲洗,再用水冲洗。
4、浓碱腐蚀:立即用大量水冲洗,再用2%的醋酸液或硼酸溶液冲洗。
5、眼灼伤:先用适用消除此种化学试剂的其他试剂冲洗,再立即请医师诊治。
6、吸入有毒有害气体:应立即将患者移至新鲜空气处,解松衣服。情况严重者,立即送往医院。
7、毒物进入口内:用5——10毫升硫酸铜溶液加入一杯温水中,内服后,用手指深入咽喉部,促使呕吐,然后立即去医院治疗。
二、触电急救
1、脱离电源:迅速切断电源,拔掉插头等。若导线搭在触电人身上或压在身下时,可用干燥的木棒、木版、竹竿等不导电的物体做工具,迅速挑开,绝对不允许用金属工具。
2、人工呼吸法:迅速解开触电人身上防碍呼吸的衣服,放在干燥平整、空气流通的地方。必要时采用俯卧压背法或口对口(鼻)呼吸法。
三、防火与灭火
1、实验室必须具备防火设备,如砂箱、贮水桶、薄毡、麻袋、石棉布等。
2、灭火器要定期更换。
3、使用加热设备应严格遵守操作规程。
4、随时检查实验室电路,避免用电发生短路。
5、若发生火灾,应阻断通风、切断电源总开关、把可燃物移至远处,迅速启用防火设备,用适当的灭火工具灭火。
实验室意外事故应急预案6为有效预防学校实验室事故的发生,防止学校实验室事故事态的扩大,保障在实验室进行教育教学活动的师生的生命安全,制定本预案。
一、事故的处理:
1火灾事故按火灾事故处理预案进行处理,按如下顺序操作:报警、疏散等。
2一旦发生学生伤害事故,立即送学校卫生室,由校医视伤者情况决定是否送医院,若情况严重则立即将伤者送医院或拨打120电话。及时通知班主任。
3通知受伤学生家长,如实告知情况。
4保护现场。
5重大事故必须立即向教体局汇报,先口头、后书面。
6进行善后处理,接待学生家长,进行理赔或补偿协商。
二、事故的预防:
1明确引发实验室事故的原因:实验室的易燃物品遇到明火、电火;实验人员操作不当;学生违规自行接触危险物品;易燃易爆物品管理不善。
2实验指导老师工作认真负责、专业知识丰富、合格、称职。
3学校加强对学生的行为规范教育。不随意触摸实验室物品;教育学生不在实验室随便使用明火。
4学生必须在教师的指导下,按规范的操作方法进行实验。
5实验室易燃易爆或有毒物品必须做到“双人双锁”保管。为防止剧毒物品外盗或外流,存放处需安装报警装置。
6无关人员不得随意进入实验室。
7实验室电线、电器必须定期检查,发现问题及时维修、解决。
8按规定配备足够数量的灭火器材。
;#报告# 导语随着人们自身素质提升,越来越多人会去使用报告,写报告的时候要注意内容的完整。以下是 整理的数据安全排查情况报告,欢迎阅读!
1数据安全排查情况报告
为贯彻落实国家密码管理局《通知》和《南京市党政机关涉密计算机网络管理规定》(宁委办发[20xx]32号)、《关于进一步加强涉密网管理工作的通知》(宁机发[20xx]36号)的精神,进一步加强网络窃密泄密防范工作,我局严格按照文件要求,对计算机网络保密管理开展自查自纠工作,现报告如下:
一、强化涉密组织领导。
为严格保密纪律,堵塞漏洞,消除隐患,加强机关的保密工作,我局成立了保密工作领导小组,以办公室为主要责任处室,局长为组长,办公室主任为副组长,机要人员为成员的领导小组。做到分管领导负责抓,经办人员具体抓。严格实行保密工作领导责任制,按照各自分工,明确职责,将保密工作与实际工作相结合,在研究部署、检查、总结工作时同步安排保密工作。及时填报《涉密网安全保密管理情况登记表》。
二、加强涉密人员管理。
对我局涉密计算机和涉密计算机信息系统明确专人负责保密管理工作,安排政治素质高、工作责任心强的机要人员负责。能够认真履行保密责任,严格遵守保密规定,并定期与所有涉密人员签定保密责任书,履行保密责任和保密义务,遵守保密纪律和有关规定。对于涉密网机要人员变动能按照规定进行审查及时履行报批手续,并视情况进行脱密期管理,脱密期一般为6个月至3年。对于涉密人员调动或退休须及时清退个人承办、保管的密件,经机要室验证无误后,方可予以办理工作调动或退休手续。为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件的发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识。我局采取多种方式,多种渠道对计算机保密相关人员进行宣传教育。
一是认真组织学习《国家保密法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法实施办法》,并要求结合实际贯彻落实。
二是进行警示教育。通过近几年互联网信息泄密事件,要求机关各处室汲取教训,进一步重视和加强网上信息的保密管理,确保计算机及其网络安全。
三、规范密码设备操作。
我局机关涉密网络1条,即电子政务内网。涉密计算机存放于机要室保险柜中,由本局机要人员保管该密码设备,做到责任到人。实行定人、定岗、定责、定制度,严防计算机网络泄密等责任事故的发生。定期或不定期对密码设备的使用情况、管理工作的开展情况进行检查,查找隐患、堵塞漏洞、防范风险、确保密码设备的绝对安全和正常运行。
四、确保涉密环境安全。
对于计算机网络管理,严禁在上互联网的计算机中制作、存储、传递和使用涉密文件、信息以及机关内部资料。去年我局对涉密环境进行了一次全面清查:全年无计算机泄密事件发生;涉密计算机没有感染木马病毒且未安装无线网卡等无线设备;未使用非涉密移动存储介质;无违规上国际互联网及其他公共信息网的记录;安全情况良好。为规范计算机及其网络的保密管理,我局主要采取了以下几项措施:
一是计算机贯彻执行上级保密部门文件的有关项规定和要求,不断增强依法做好计算机保密管理的能力。
二是制定局各项涉密及非涉密计算机及网络管理制度;三是严格涉密信息流转的规范性,严格执行“涉密信息不上网,上网信息不涉密”的原则。
五、完善涉密文件台账。
我局建立了完整的涉密载体登记台帐,由办公室机要人员登记并管理。通过台账明确涉密人员对文件收发、登记、传递、归档、销毁等环节的职能,使保密工作真正做到行有规章、做有依据、查有准则,真正实现制度化、规范化、科学化。我局保密工作在市委机要局的领导下,逐步走向规范化、制度化,从未出现过涉密事故。通过认真自查,今年我局保密工作组织能够做到组织领导到位、人员管理到位、涉密操作规范。在今后的工作中,我局将进一步加强对保密工作的重视,强化对涉密内容的管理,力争保密工作取得新成绩,积极探索研究新时期保密工作的新情况、新问题,确保城 管系统涉密工作的顺利开展。
2数据安全排查情况报告
按照市委网信办就做好联防联控和复工复产中数据安全和个人信息保护作出的重要部署,积极行动,高度重视,充分利用大数据、互联网支撑联防联控和复工复产工作,高度重视重要数据、个人信息和商业秘密保护,保障人民群众在网络空间的合法权益。
一、高度重视,积极行动
为保障人民群众个人信息的安全,召开专题会议进行研究部署,坚持“谁主管谁负责、谁批准谁负责”,共分包滏阳金地、成军汽贸、田园小区,分包小区主要负责同志是第一责任人,数据安全和个人信息保护分管领导负直接责任,充分做好联防联控和复工复产过程中数据安全和个人信息安全保护工作。
二、加强数据安全,保护个人信息
领导干部带领值班人员在小区卡口收集数据时也要注重隐私信息保密,在小区推广使用健康通行码,出入登记个人信息等情况下,小区分管领导和值班人员承担使用过程中数据和个人信息安全的安全管理、指导监督、督促检查责任,确保人民群众个人数据信息的安全。
三、继续规范数据,加强信息监管
在以后的联防联控工作中,继续加强对小区卡口统计收集的居民个人信息的安全保护,对数据进行规范化处理,小区分管领导加强对数据安全和个人信息的监管力度,严格控制 身份证号、家庭住址、生物特征等个人敏感信息收集,从收集使用、传输到处置的全流程封闭管理,防止数据和个人信息泄露事件发生。
3数据安全排查情况报告
为进一步加强我司网络与信息安全工作,认真查找我司网络与信息安全工作中存在的隐患及漏洞,完善安全管理措施,减少安全风险,提高应急处置能力,确保全镇网络与信息安全,我司对网络与信息安全状况进行了自查自纠和认真整改,现将自查自纠情况报告如下:
一、计算机涉密信息管理情况
今年以来,我司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了加密软件对所有文件进行加密,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我司所有电脑安装了防病毒软件,帐号采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好
我司每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在开展网络安全知识宣传,使全体人员意识到了,计算机安全保护的重要性。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全
我司对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、信息保密与保密区域的设置
为保证信息安全,公司对信息文件资料进行等级划分,按照绝 密、保密、内部、公开四个级别进行分别管控,限制无权限和不相关人员接触公司机密;公司内部的区域,根据重要程度进行了划分,按照绝 密区域、保密区域、内部区域、公开区域四个级别进行划分,实行限制管理,非工作人员以及直属管理人员不得随意进出。
八、安全制度制定与落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织人员学习有关网络知识,提高计算机使用水平,确保预防。
九、安全培训与教育
为保证我司网络安全有效地运行,减少病毒侵入,我司就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
十、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)加强设备维护,及时更换和维护好故障设备。
(二)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好网络安全工作。
4数据安全排查情况报告
根据上级文件《关于集中开展全县网络清理检查工作的通知》,我镇积极组织落实,对网络安全基础设施建设情景、网络安全防范技术情景及网络信息安全保密管理等情景进行了自查,对我镇的网络信息安全建设进行了深刻的剖析,现将自查情景报告如下:
一、成立领导小组
为进一步加强我镇网络清理工作,我镇成立了网络清理工作领导小组,由镇长任组长,分管副镇长任副组长,下设办公室,做到分工明确,职责具体到人,确保网络清理工作顺利实施。
二、我镇网络安全现状
我镇的政府信息化建设从开始到此刻,经过不断发展,逐渐由原先的没有太高安全标准的网络升级为此刻的具有必须安全性的办公系统。目前我镇电脑均采用杀毒软件对网络进行保护及病毒防治。
三、我镇网络安全管理
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《涉密非涉密计算机保密管理制度》、《涉密非涉密移动存储介质保密管理制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站资料管理等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。
我镇定期对网站上的'所有信息进行整理,确保计算机使用做到“谁使用、谁负责”,尚未发现涉及到安全保密资料的信息;对我镇产生的数据信息进行严格、规范管理,并及时存档备份;此外,我镇在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控本事有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理本事不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强我镇干部职工在计算机技术、网络技术方面的学习,不断提高 干部计算机技术水平。
3、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我镇网络的稳定运行供给硬件保障。
五、对网络清理检查工作的意见和提议
随着信息化水平不断提高,人们对网络信息依靠也越来越大,保障网络与信息安全,维护国家安全和社会稳定,已经成为信息化发展中迫切需要解决的问题,由于我镇网络信息方面专业人才不足,对信息安全技术了解还不够,期望上级部门能加强相关知识的培训与演练,以提高我们的防范本事。
5数据安全排查情况报告
一、加强领导,成立了网络与信息安全工作领导小组
为进一步加强全系统网络信息系统安全管理工作,我局成立了网络与信息系统安全保密工作领导小组,做到分工明确,职责具体到人。安全工作领导小组,组长曾自强,副组长吴万夫,成员有刘林声、王志纯、苏宇。分工与各自的职责如下:曾自强副局长为我局计算机网络与信息系统安全保密工作第一职责人,全面负责计算机网络与信息安全管理工作。办公室主任吴万夫分管计算机网络与信息安全管理工作。刘林声负责计算机网络与信息安全管理工作的日常事务,上级教育主管部门发布的信息、文件的接收工作。王志纯负责计算机网络与信息安全管理工作的日常协调、督促工作。苏宇负责网络维护和日常技术管理工作。
二、完善制度,确保了网络安全工作有章可循
为保证我系统计算机网络的正常运行与健康发展,加强对学校网的管理,规范网络使用行为,根据《中国教育和科研计算机网络管理办法(试行、》、《关于进一步加强桃江县教育系统网络安全管理工作的通知》的有关规定,制定了《桃江县教育系统网络安全管理办法》、《上网信息发布审核登记表》、《上网信息监控巡视制度》、《桃江县教育系统网络安全管理职责状》等相关制度、措施,确保网络安全。
三、强化管理,加强了网络安全技术防范措施
我系统计算机网络加强了技术防范措施。一是安装了卡巴斯基防火墙,防止病毒、反动不良信息入侵网络。二是安装瑞星和xx两种杀毒软件,网络管理员每周对杀毒软件的病毒库进行升级,及时进行杀毒软件的升级与杀毒,发现问题立即解决。三是网络与机关大楼避雷网相联,计算机所在部门加固门窗,购买灭火器,摆放在显著位置,做到设备防雷、防盗、防火,保证设备安全、完好。四是及时对服务器的系统和软件进行更新。五是密切注意CERT消息。六是对重要文件,信息资源做到及时备份。创立系统恢复文件。
我局网络安全领导小组每季度对全系统机房、学校办公用机、多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情景等资料进行一次全面的检查,对存在的问题及时进行纠正,消除安全隐患。
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即Instant Messaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即Office Automation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(***),员工通过***实现内网连接。值得注意的是,在中国,***服务(尤其是跨境的***)是受到电信监管的,仅有具有***服务资质的企业才可以提供***服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过***进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人***登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人***登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情 坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
0条评论