1、安全生产与质量管理部安全生产与质量管理部 201 2017 7年年7 7月月主要内容主要内容安全生产制度安全生产考核指标系统上线管理应急管理安全生产流程信息安全管理体系个人防范的基本知识本着“谁主管、谁负责，谁经营、谁负责谁主管、谁负责，谁经营、谁负责”的指导原则，建立系统安全管理责任制。股份公司法人与党委书记股份公司法人与党委书记作为系统安全工作的第一责任人，下属生产部门和单位的主要行政负责人和党委负责人主要行政负责人和党委负责人，为所辖系统安全运行的第一责任人。各分公司、子公司及节点维护单位的主要行政负责人和党委负责人，为本单位所辖系统安全运行的第一责任人。各级安全生产责任人应遵循“安全第2、一”的原则，正确处理好安全与发展、安全工作与其它日常工作的关系。故障发生时，应坚持“快速处理快速处理”原则，负责相应系统故障的应急处理；同时应坚持“及时通报及时通报”原则，负责向上一级主管领导及时上报故障情况、处理措施，并及时与相关部门沟通。所监管的系统，是指股份公司投产并负责运行的民航订座系统、离港系统、网络系统及相关子系统，是保持7x247x24小时运行，并具有安全性、可靠性、高效性安全性、可靠性、高效性和实时性和实时性特点的信息系统。安全等级为3 3级级以上的是重点保障系统。安全生产制度要点安全生产制度要点原则原则安全生产制度要点安全生产制度要点组织结构组织结构安全生产委员会负责制订、颁3、布公司安全策略；制订公司信息安全的长远规划、建设目标；决定信息系统和信息的安全等级；审定、公布公司的安全生产规章制度、实施细则；安全生产责任制；审批涉及安全生产的重大技术方案；负责重大故障发生后的全局指挥协调工作；组织重大安全故障的调查、善后工作，并提出仲裁处理意见。安全生产与质量管理部作为安全生产委员会下设的日常办事机构，负责起草安全生产管理制度，处理领导小组交办的事务，以及涉及公司生产和网络信息安全的日常事务。技术工作小组负责网络信息安全策略的研究、初步制订；安全技术、安全动态、相关策略的专项研究；专项技术方案的初步制订；提供对公司安全规章制度、工作流程、实施细则的审核意见。故障调查小组负4、责对重大安全故障进行实际调查工作。各生产部门负责7*24小时监控系统、网络运行情况，处理可能出现的各类故障。安全生产制度要点安全生产制度要点工作职责工作职责各生产部门应设立安全管理员和安全审计员等专职安全岗位，生产部门人数在100以内的要设立专职安全管理员，超过100人的部门还要设立专职安全审计员，设立的安全专职人员的数额，以每100人设一名专职安全管理，每200人设立一名安全审计员为准。非生产部门应设立安全员，如果该部门管理人数超过100人，安全员应为专职人员。安全生产制度要点安全生产制度要点-安全专职人员安全专职人员特殊保障特殊保障时期期（重点政治保障时期）包括“党代会党代会”、“两会两会5、”等事关国计民生的重大政治活动前后。特殊保障时期的起止时间根据政府有关文件的规定执行，如果政府有关文件没有明确规定具体起止时间，由安全生产与质量管理部请示公司安全生产委员会后下达。一一级保障保障时期期指各运输高峰时期，重点突出春运、十一国春运、十一国庆节两个“黄金周”阶段。一级保障时期的起止时间根据政府有关文件的规定执行，如果政府有关文件没有明确规定具体起止时间，由安全生产与质量管理部请示安全生产委员会后下达。二二级保障保障时期期指其它日常保障时期。安全生产制度要点 保障时期分类故障分类:以对客户的影响程度分为一级至五级共五类故障。安全生产制度要点安全生产制度要点 -故障级别故障级别机场分类：6、机场分类：特大机场（年旅客吞吐量在3000万以上）：首都机场；广州机场；上海虹桥机场；上首都机场；广州机场；上海虹桥机场；上海浦东机场；成都双流机场；深圳宝安机场；昆明长水机场海浦东机场；成都双流机场；深圳宝安机场；昆明长水机场大中型机场（年旅客吞吐量在1000万以上）：部分省会、直辖市、经济发达城市、重点旅游城市等年旅客出港量超过1000万人次的机场。重庆，西安，杭州，厦门，长沙，武汉，青岛，乌鲁木齐，南京，郑州，三亚，海口，大连，沈阳，贵阳，哈尔滨，天津机场。机场客运繁忙时段：每日0707：00002020：0000机场正常客运时间。网络十大骨干节点：网络十大骨干节点：北京、上海、广州、成7、都、深圳、昆明、重庆、西安、杭州、厦门重点保障系统：重点保障系统：除主机ICS、CRS及DCS系统以外，安全等级3级以上的开放平台系统对航空公司、机场及旅客影响巨大，列入公司重点保障系统安全生产制度要点安全生产制度要点-重点保障机场、网络节点及系统重点保障机场、网络节点及系统日常日常值班体系班体系公司值班公司值班经理：公司值班经理由安全生产与质量管理部、运行中心负责生产安全的主要领导、研发中心负责安全生产的主要领导、运行中心和研发中心与生产相关的二级部门经理轮流担任。值班时间 08:0008:0018:0018:00。总值班室：运行中心生产调度部代行公司总值班室职能，汇总日常值班工作中的生产、8、故障情况；负责故障的报告、通报；协调一般故障处理等事宜。部门值班部门值班经理：各生产部门每日都有部门值班经理，负责本部门当天整体值班维护工作。岗位值班岗位值班人员：各生产部门重要岗位实行全年7*247*24小时小时到岗值班制度，值班人员随时监守岗位，监控系统运行情况，处理可能出现的各类故障。重点重点时期期值班体系班体系 重点时期包括特殊保障时期和一级保障时期。重点时期可根据实际工作情况增设公司领导总值班和部门领导总值班 安全生产制度要点安全生产制度要点-值班体系值班体系安全生产制度要点安全生产制度要点-值班体系值班体系安全生产制度要点安全生产制度要点-应急通报流程应急通报流程故障故障发生后，一9、生后，一线维护人人员必必须在第一在第一时间通通报公司公司总值班室班室 是公司安全生产制度中的明文规定。保证总值班室能够启动故障通报机制，协调各相关部门共同处理故障。保证公司各级领导及时掌握故障情况，调动全公司力量解决问题。p故障通故障通报典型案例典型案例 故障解决后才通报。故障情况发生变化后未再次通报。混淆故障通报和寻求支持。安全生产制度要点安全生产制度要点-第一时间通报原则第一时间通报原则三级故障处理一线人员在第一时间内上报总值班室、本部门领导和相关部门，并进行分析研判，采取措施抑制故障影响进一步扩大。总值班室及时上报当日公司值班经理，并由值班经理上报安全领导小组副组长和安全生产与质量管理部10、领导。任何一个环节如果在5分钟之内没有取得有效联系，则直接越级上报。应急部门根据应急预案进行故障应急处理。对于应急预案不完整的故障，公司值班经理负责组织相关部门制订应急措施，需要报公司安全领导小组决定的应急措施，及时通报。在不能及时与相关生产部门领导联系、时间紧迫的情况下，公司值班经理负有领导处置的义务。各相关部门一线人员根据指令及相应的应急预案负责具体实施，立刻进行恢复工作，并根据需要与厂商、电信运营商、电力供应单位进行协调，获取必要的外部支持。故障详细情况、处理措施、恢复情况由公司生产故障调查小组负责调查，并向公司总经理进行汇报。安全生产制度要点-故障处理流程 安全事故安全事故调查制度和流11、程制度和流程 故障调查原则是独立调查原则、客观调查原则、深入调查原则、全面调查原则。定期安全定期安全检查制度制度 重要时期安全检查制度 日常安全检查制度 安全整改安全生产制度要点安全生产制度要点-事故调查与检查事故调查与检查 公司杜绝出现二级以上（含二级）系统故障，重保期间杜绝出现三级以上（含三级）系统故障。运行中心全年杜绝出现二级以上（含二级）系统故障，三级故障不能超过2次，研发中心全年杜绝出现二级以上（含二级）系统故障，三级故障不能超过2次。分子公司杜绝出现二级以上（含二级）系统故障，最多出现1次三级故障。安全生产考核指标安全生产考核指标应用系统变更：每周二与每周四开放平台生产系统数据修改12、新产品、新功能、软件主版本升级上线投产生产系统ONLINE程序网络及基础设施变更系统上线管理应用系用系统变更更需求说明程序修改说明 风险评估是否需要提前培训是否发SI信息 是否对用户有影响 是否现场支持 是否对周边系统有影响 是否有BATCH 程序是否有需要在生产系统人工修改的内容 系统上线管理应急管理目急管理目标 当由于自然灾害、设备软硬件故障、人为失误或破坏等原因影响到网络与信息系统的正常运行，出现业务中断、系统瘫痪、数据破坏或信息失泄密或窃密等现象，从而对公共安全、社会经济秩序造成不良影响的事件发生时，通过实施事先制定、演练和评审的应急预案，最大程度地降低故障造成的损害，尽量保证业务可持13、续的运营。应急等急等级公司级应急事件:预计故障等级会达到三级以上（含三级）的突发事件;必须启用其它非常规事故应急手段的事件。部门级应急事件：所有其它非公司级应急事件。应急急组织机构机构应急领导小组为公司级突发事件应急管理工作的行政领导机构，在公司总经理的领导下，研究决定、部署和推动特别重大以及重大突发事件的应急管理。公司应急领导小组下设应急处置指挥小组，是负责公司级突发事件的现场指挥机构，在公司应急领导小组的领导下负责相应突发事件应急管理。应急处置总指挥一般由当日的公司值班经理担任，负责根据应急预案中规定的启动条件以及需要配合的部门进行协调、分配各相关部门的应急工作、随时向领导小组通报突发事件14、进展与处置的各种情况。应急管理应急流程和预案应急流程和预案做好做好预案，掌控案，掌控风险风险评估制定应急预案应急知识培训通过实际演练检验预案定期审计应急急预案包含的内容：案包含的内容：适用范围应急危害辨识预案启动条件应急时间要求应急操作步骤应急恢复步骤需要的支持与配合应急管理流程应急管理流程 贯穿应急响应全过程的管理，具体包括了事件研判与先期处置、事件通报、应急指挥、应急处理和应急解除。当没有应急预案的紧急事件发生，其处理流程亦遵从该流程。应急演练应急演练 安全演安全演练是是应急管理的关急管理的关键环节 检验本单位应急准备状态和应急处置能力检验应急预案的经济性、合理性和可操作性检验应急响应人员15、对应急处置预案的了解程度和实际操作技能应急演急演练的基本要求的基本要求演练要切实做到“四到位”：组织领导到位、应急措施到位、工作落实到位、通讯联络到位。必须具备完备的演练文档资料，明确演练目的，并对演练参与人员进行演练培训。演练过程必须可控，不能意外影响正常生产。演练应当尽量接近真实。应急演练的形式：应急演练的形式：桌面演练桌面演练全面演练模拟演练模拟演练部分演练实际演练实际演练应急演练的过程：应急演练的过程：针对应急预案编制演练方案演练过程与演练结果的记录演练结果评估与改进安全生产流程安全生产流程安全制度与生安全制度与生产流程是安全生流程是安全生产的基石。的基石。全生命周期的流程管理：全生命16、周期的流程管理：流程的制订 流程的测试和审核流程的发布和执行 流程的培训和操作实习流程的更新和废止中国航信安全生中国航信安全生产流程依据：流程依据：安全质量流程管理规范信息安全管理体系要点:结构信息安全管理体系要点：总体方针目的目的 加强航信信息系统的安全管理，保证网络通信畅通和信息系统的正常运营，提高网络服务质量及安全运行能力。信息系信息系统安全的特征安全的特征 机密性机密性:保证信息只让合法用户访问 完整性完整性:保障信息及其处理方法的准确性、完全性 可用性可用性:保证合法用户在需要时可以访问到信息及相关资产安全原安全原则 符合性原则:必须在国家法规和民航总局相关政策与规定的指导下进行。加17、强领导，统一规划原则:坚持政府主导的原则。整体性原则:注重技术上和管理上的种种漏洞,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析.加强评估和检测。安全可靠性原则:采用业界成熟的最佳实践,不能过分求全求新，防止不必要的失误。业务持续性原则:确保把业务的持续性运营作为首要位置。可发展性原则:考虑航信信息化的发展变化，为将来的扩充和调整留有充分的余地。信息整合原则:突破“以我为主，自成体系”的旧机制，打破部门、地方分割，形成航 信信息系统安全建设、运行和维护机制。网络安全策略网络安全策略 对网络安全规划、运行与维护、网络的变更等方面提出了相关要求，建立信息系统的基本网络安全保障体系。物理安全18、策略物理安全策略 用于物理安全设施建设与维护，建立信息系统的基本物理安全保障体系。系统安全策略系统安全策略 对信息系统系统安全规划、运行与维护、系统的变更等方面提出了相关要求，建立信息系统的系统安全保障体系。应用安全策略应用安全策略 对信息系统应用安全规划、运行与维护、应用系统的变更等方面提出了相关要求，建立信息系统的应用系统安全保障体系。信息安全管理体系要点：安全策略体系数据安全策略数据安全策略维护业务数据，保护信息系统关键业务数据的机密性、完整性和可用性。病毒防护策略病毒防护策略建立防病毒体系，实现信息系统的完整性和可用性保护。例如：防治蠕虫病毒的主要措施是要经常进行操作系统升级。应急恢复19、策略应急恢复策略 建立应急预案、快速处置措施和通报 机制实现对安全事件的快速响应和恢复，尽可能减少的降低客户损失。帐号口令策略帐号口令策略从口令管理角度建立信息系统的基本口令安全保障体系。安全教育策略安全教育策略 提高普通员工的安全意识和安全防范能力；提高管理员的安全技术水平和安全事件处理能力。安全安全审计策略策略 监督安全规范落实情况，及时发现安全策略、安全制度以及其他管理流程、文档的的缺陷；及时的发现安全漏洞、入侵事件；监督管理员等岗位行为，提高员工安全生产意识。信息安全管理体系要点：安全策略体系系统开发策略系统开发策略 通过在系统开发过程中严格执行制定的规定来实现对业务应用系统的安全开发20、和安全使用。项目建设必须同步考虑信息安全防护措施和进行安全评估。第三方安全策略第三方安全策略 从第三方角度建立中航信信息系统的基本第三方安全保障体系。安全策略不仅涉及运行策略，它贯穿安全管理的整个生命周期，包括从规划、开发、运行、废止整个周期。坚持“同步规划、同步建设、同步发展”的原则。关于信息安全的法律解释学习最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释2015年施行的刑法修正案（九）对年施行的刑法修正案（九）对“出售、非法提供公出售、非法提供公民个人信息罪民个人信息罪”和和“非法获取公民个人信息罪非法获取公民个人信息罪”被整合为被整合为“侵犯公民个人信21、息罪侵犯公民个人信息罪”。此次，解释正是根据法律。此次，解释正是根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。准和有关法律适用问题作了全面、系统的规定。关于信息安全的法律解释公民个人信息：是指能识别特定自然人身份或活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。处罚主体：个人违法：自然人 单位违法：对直接负责人和其他直接责任人员定罪处罚关于信息安全的法律解释非法“提供公民个人信息”的认定标准 一是“提供”行为的认定。行为人未经权利人同意即将22、其个人信息公布于众。二是合法收集公民个人信息后非法提供的认定。经得被收集者同意，以及做匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形。“非法获取公民个人信息”的认定标准 非法的情形：一是“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”的。二是明确违反国家有关规定，“在履行职责、提供服务过程中收集公民个人信息”的。关于信息安全的法律解释情节严重（处3年以下有期徒刑，并处或者单处罚金）信息用途用于犯罪，2年内受过相同处罚违法所得5000以上提供行踪轨迹50条提供交易信息500条其它信息5000条履行职责或者提供服务过程中达到该项规定50%以上，即认定情节严重情节特别严23、重（处3年以上7年以下有期徒刑，并处罚金）造成严重后果、重大经济损失、恶劣社会影响违法所得50000以上提供行踪轨迹500条提供交易信息5000条其它信息50000条履行职责或者提供服务过程中达到该项规定50%以上，即认定情节特别严重流程的持续改进流程的持续改进只有持续改进才能保证安全流程的生命力。公司安全生产流程通过ISO9000/ISO20000/ISO27001管理体系用ISO质量体系的核心思想-持续改进管理安全流程：Plan：制定流程Do：执行流程Check：检查流程执行结果Act：修改更新流程 如此循环往复，螺旋式上升。安全意识安全意识p企企业要生存，安全是底要生存，安全是底线从“人24、算不如天算”到“一切事故都是可以预防的”。从“要我安全”到“我要安全”。p增增强安全意安全意识的途径的途径教育培养环境约束制度规范p安全意安全意识是做好一是做好一线维护工作的基工作的基础所有的重大事故事先都有征兆事故源自对异常情况的漠视员工离开座位时应将电脑设置为锁屏屏状态，并设置屏幕保护密密码。重要的文档资料应放置文档柜中保存，不要摆置桌面，防止泄漏和丢失。系统口令保密措施：对口令的选取、组成、长度、保存、修改周期做出明确规定；若掌握口令的管理人员调离本职工作时，必须立即更改所有相关口令或清除帐户。账号管理应做到：严格控制账号发放，建立临时授权制度，严禁非授权人员操作。禁止使用生产环境和生产数据进行测试，没有事先受到许可的系统开发人员不能访问生产系统及其相关信息。个人防范个人防范34付出百倍的努力付出百倍的努力 防止万一的发生防止万一的发生有可能出错，就一定会出错有可能出错，就一定会出错与大家共勉！与大家共勉！