網路安全的標准化

1. 怎樣加強網路與信息安全標准化建設

加強信息安全建設的幾點認識
董振國
信息安全建設是電子政務建設不可缺少的重要組成部分。電子政務信息系統承載著大量事關國家政治安全、經濟安全、國防安全和社會穩定的數據和信息；網路與信息安全不僅關繫到電子政務的健康發展，而且已經成為國家安全保障體系的重要組成部分。缺乏安全保障的電子政務信息系統，不可能實現真正意義上的電子政務。
一、強化安全保密意識，高度重視信息安全，是確保政務網路信息系統安全運行的前提條件
目前，電子政務信息系統大都是採用開放式的操作系統和網路協議，存在著先天的安全隱患。網路攻擊、黑客入侵、病毒泛濫、系統故障、自然災害、網路竊密和內部人員違規操作等都對電子政務的安全構成極大威脅。因此，信息安全保障工作是一項關系國民經濟和社會信息化全局的長期性任務。
我們必須認真貫徹「一手抓電子政務建設，一手抓網路和信息安全」的精神和中辦發［2003］27號文件關於信息安全保障工作的總體要求，充分認識加強信息安全體系建設的重要性和緊迫性，高度重視網路和信息安全。這是做好信息安全保障工作的前提條件。「高度重視」首先要領導重視；只有領導重視才能把信息安全工作列入議事日程，放到重要的位置，才能及時協調解決信息安全工作所面臨的諸多難題。其次，要通過加強網路保密知識的普及教育，特別是對縣處級以上幹部進行網路安全知識培訓，大力強化公務員隊伍的安全保密意識，使網路信息安全宣傳教育工作不留死角，為網路信息系統安全運行創造條件。

二、加強法制建設，建立完善的制度規范，是做好信息安全保障工作的重要基礎
確保政務網路信息安全，必須加強信息安全法制建設和標准化建設，嚴格按照規章制度和工作規范辦事。俗話說，沒有規矩不成方圓，信息安全工作尤其如此。如果我們能夠堅持建立法制和標准，完善制度和規范並很好地執行，就會把不安全因素和失誤降到最低限度，使政務信息安全工作不斷登上新的台階。
為此，一要嚴格按照現行的法律法規規范網路行為，維護網路秩序，同時逐步建立和完善信息安全法律制度。要加強信息安全標准化工作，抓緊制定急需的信息安全和技術標准，形成與國際標准相銜接的具有中國特色的信息安全標准體系。
二要建立健全各項規章制度和日常工作規范。要根據網路和信息安全面臨的新情況、新問題，緊密聯系本單位信息安全保密工作的實際，本著「堵漏、補缺、管用」的原則，抓緊修訂、完善和新建信息安全工作的各項規章制度及操作規程，切實增強制度的科學性、有用性和可操作性，使信息安全工作有據可依、有章可循。
三要重視安全標准和規章制度的貫徹落實。有了制度，不能把它束之高閣。不按制度辦事，是造成工作失誤和安全隱患的重要原因。很多不安全因素和工作漏洞都是由於沒有按程序辦事所造成的。因此，要組織信息化工作人員反復學習有關制度和規范，使他們熟悉和掌握各項制度的基本內容，明白信息安全工作的規矩和方法，自覺用制度約束自己，規范工作。
四要建立完善對制度落實情況的監督檢查和激勵機制。工作程序、規章制度建立後，必須做到行必循之，把規章制度的每一條、每一款落到實處。執行制度主要靠自覺，但必須有嚴格的監督檢查。要通過監督檢查建立信息安全工作的激勵機制，把信息安全工作與年度考核評比及「爭先創優」工作緊密結合起來，激勵先進，鞭策後進，確保各項信息安全工作制度落到實處。各地、各部門要不定期地對本地和本系統的制度落實情況進行自查自糾，發現問題及早解決。

三、建立信息安全組織體系，落實安全管理責任制，是做好政務信息安全保障工作的關鍵
調查顯示，在實際的網路安全問題中，約有80%是由於管理問題造成的。因此，建立信息安全管理機構，加強組織協調，發揮其統籌規劃、科學管理、宏觀調控和決策的作用，強化信息安全管理，形成全方位的信息安全管理組織體系至關重要。
一方面，要逐步建立和完善信息安全組織體系。該體系應包括各地、各部門成立的保密工作領導小組；有本部門主管領導參加的政務網路與信息安全協調小組；聘請國內外安全專家組成的安全咨詢專家小組。根據建設和應用情況需要，還可建立相應的信息安全管理執行機構（如「政府安全中心」），負責整個政務信息系統中的安全保密工作，包括提供相關服務。
另一方面，要在健全信息安全組織體系的基礎上，切實落實安全管理責任制。明確各級、各部門行政一把手（或主管領導同志）作為信息安全保障工作的第一責任人；技術部門主管或項目負責人作為信息安全保障工作直接責任人，強化對網路管理人員和操作人員的管理。切實把好用人關，對關鍵崗位實行A、B角色管理；對網路管理人員和涉密操作人員要簽訂保密協議，明確保密職責，實行持證上崗制度。要培養一批具有信息安全管理經驗的復合人才，充實到關鍵崗位，為政務信息化把好安全關。

四、結合實際注重實效，正確處理信息安全「五大關系」，是確保信息安全投資效益的最佳選擇
在電子政務建設中，信息安全方面的投資往往涉及很大金額。各地、各部門應緊密結合自身實際，正確處理和把握與信息安全相關的「五大關系」，使有限的資金發揮出最大的社會效益。
1、要正確處理發展與安全的關系。發展與安全是信息安全關系中最基本、最重要的一對關系，由此可以派生出其他一些關系。發展與安全的關系是辯證統一、相輔相成的，其中發展是目的，安全是保證。二者關系處理得好，安全會有保障並能促進發展；處理不好，安全就會制約並牽制發展。正確處理發展與安全的關系就是要加快發展，確保安全。具體講，就是在加快發展過程中確保安全；在確保安全的條件下加快發展。這里要注意克服兩種傾向：一是過分強調發展而忽視安全；二是追求絕對安全而制約發展。為此，要堅持電子政務發展和網路信息安全「兩手抓」。要在電子政務建設和發展過程中不斷加強安全管理，完善安全措施，切實保障安全；同時要在適度安全、基本安全的前提下，培育業務需求，加大工作力度，促進電子政務事業加快發展。
2、處理好安全成本與效益的關系。成本與效益的關系是由信息安全基本關系派生出來的，二者的關系是對立統一、相反相成的。成本與效益的關系處理得好，安全成本就會下降同時效益提高；處理不好，安全成本就會上升同時效益下降。正確處理好安全成本與效益的關系，必須堅持綜合平衡。要根據中辦發［2003］27號文件中關於「信息化發展的不同階段和不同信息系統不同的安全需求，必須從實際出發，綜合平衡安全成本和風險，優化信息安全資源的配置，確保重點」的要求，一方面千方百計降低安全投入成本，另一方面努力提高安全措施的實際效果，確保滿足重點項目、重點部位的安全需求，使有限的安全保障資金充分發揮出良好的使用效益。
3、處理好信息安全與共享（信息公開和保密）的關系。這也是從信息安全基本關系中派生出來的。開放和發展需要信息資源共享，而網路互聯為信息共享提供了條件。但信息公開和信息保護是一對不可迴避的矛盾。推進信息化建設既要強調資源共享，還要保證信息安全。我們應立足於電子政務建設的大系統，整體地、動態地看待信息安全與資源共享問題，用發展的眼光和辯證的觀點去處理問題。在這對矛盾中，目前資源共享是矛盾的主要方面。當前我國各地方、各行業的信息資源建設普遍存在「數字鴻溝」、「信息孤島」現象。針對這種情況,我們在處理兩者之間關系時,應當緊緊圍繞矛盾的主要方面，在確保國家安全和尊重個人隱私的前提下，把當前工作的重點放在最大限度地促進信息資源共享方面，消除數字鴻溝和信息孤島，提高信息資源共享程度，使政務信息資源發揮更大的社會效益。
4、處理好安全管理與技術的關系。安全管理與技術的關系也是信息安全體系中的基本關系之一。在信息安全保障體系中，安全管理和安全技術是一個不可分割的統一體，是一個事物的兩個方面。管理離不開技術，技術離不開管理；兩者緊密相連、相互滲透、互為補充。因此，在信息安全工作中，我們要堅持管理和技術並重，做到管理手段和技術手段相結合，也就是在加強管理的前提下，採用先進的安全技術，在提升技術的基礎上強化管理。信息安全問題的解決需要技術手段，但又不能單純依賴技術。信息化的過程其實是人與技術相互融合的過程，如何使管理與技術相得益彰十分重要。在這方面，我們要同時注意防止和克服「重管理、輕技術」和「單純技術觀點」兩種傾向，既要高度重視信息安全技術的重要作用，又要避免陷入唯技術論的怪圈。從理論上看，不存在絕對安全的技術；技術固然重要，但管理更不容忽視。雖然「三分技術，七分管理」的說法不一定準確，但從另一個角度說明了安全管理工作的重要性。因此，我們應以業務為主導，從全局的高度部署安全策略，採用先進技術，加強安全管理，把採取安全技術手段與加強日常管理和健全體制機制緊密結合起來，堅持一手抓安全技術手段開發，一手抓安全規章制度的建立與完善，提高政務網路信息系統的安全性和可靠性。
5、處理好信息安全工作中應急事件處理與建立長效機制的關系。要保證政務網路與信息系統的「長治久安」，必須著手建立一套長期有效的安全機制。但信息安全問題在信息化進程中廣泛存在且突發性強，所以又必須強調和重視應急事件的處理。一旦出現影響到國家利益的網路安全與信息安全事件，必須能夠立即採取有效措施，控制危機的發展，把損失減少到最低限度。
為此，首先要建立和完善信息安全監控體系，及時發現和處置突發事件，提高對網路攻擊、病毒入侵、網路失竊密的防範能力，防治有害信息傳播，增強對政務網路和信息系統的監控、管理和保護。其次，要重視信息安全應急處理工作，建立健全應急管理協調機制、指揮調度機制和信息安全通報制度。要制定完善信息安全處置預案，加強信息安全應急支援服務隊伍建設，提高信息安全應急響應能力。

2. 網路空間如何保障安全

9月18日，2017年國家網路安全宣傳周網路安全技術高峰論壇在上海舉辦，多名與會的海內外知名企業高管和學者，結合目前網路安全技術發展現狀和存在問題，縱論互聯網治理之道，探尋網路安全保護之策。

據趙波介紹，今年8月份以來，中央網信辦、工業和信息化部、公安部、國家標准委4部委正針對隱私條款中的不合法內容開展評審整改工作，目前已有10餘家主流網路運營商接受整改。

「這項工作還將持續開展，希望廣大企業能夠積極參與其中，落實網路安全法以及國家標准中對個人信息保護的要求，全面提升互聯網企業的個人信息保護水平。」

網路安全必不可少。

3. 國家建立和完善網路安全標准體系什麼和國務院其他有關部門根據各自的職責

國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責，組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。

2017年6月1日，《網路安全法》將正式施行，標志著網路空間治理、網路信息傳播秩序規范、網路犯罪懲治等方面即將翻開嶄新的一頁，國家網路安全將擁有更為完善的法律基礎和保障。網路安全標准化是網路安全保障體系建設的重要組成部分，在維護網路空間安全、推動網路空間治理體系變革方面發揮著基礎性、規范性、引領性作用。《網路安全法》對於網路安全標准化工作也提出了更明確的要求。

(3)網路安全的標准化擴展閱讀：

進一步加強網路安全標准體系建設。《網路安全法》第十五條規定，國家建立和完善網路安全標准體系。根據國家標准委授予的職責范圍，全國信息安全標准化技術委員會（TC260）承擔著組織制定標准和持續完善國家信息安全標准體系的職責，多年來推動國家網路安全保障體系建設所需標準的制修訂工作，初步形成了國家網路安全標准體系。

中央網信辦、國家質檢總局、國家標准委聯合印發的《關於加強國家網路安全標准化工作的若干意見》指出，建立統一權威的國家標准工作機制，全國信息安全標准化技術委員會在國家標准委的領導下，在中央網信辦的統籌協調和有關網路安全主管部門的支持下，對網路安全國家標准進行統一技術歸口，統一組織申報、送審和報批。

因此，需要加強網路安全標准戰略性、方向性、基礎性的研究，既要突出重點，也要拓展覆蓋面；既要統籌推進國家標准和行業標准制修訂工作，也要適時引進國外有關標准，進而逐步建立起與《網路安全法》相配套的國家網路安全標准體系，以適應新形勢對網路安全標准化工作的更高要求。

4. 中華人民共和國網路安全法中明確提出了等級保護的相關建設要求包括

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網路安全法（草案）》。網路安全法草案於2015年7月6日至2015年8月5日在中國人大網上全文公布，並向社會公開徵求意見。2016年11月7日，十二屆全國人大常委會第二十四次會議經表決，通過了《中華人民共和國網路安全法》。2017年6月1日起正式施行。其中對網路安全等級保護制度作了明確規定。

第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

條文解讀：

一、網路安全等級保護制度

網路安全等級保護制度是我國現行的網路安全領域的一項重要制度。1994年國務院制定的《計算機信息系統安全保護條例》規定:計算機信息系統實行安全等級保護，安全等級的劃分標准和安全等級保護的具體辦法由公安部會同有關部門制定。2007年公安部等部門制定的《信息安全等級保護管理辦法》規定,信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,分為五級,從第一級至第五級的保護要求漸次提高,並規定了每個等級的范圍、信息系統運營者的義務及應對措施等。公安部和標准化主管部門制定了相關標准,明確了網路安全等級定級標准、程序以及各個方面的具體要求。網路安全法總結實踐經驗,對該制度的名稱作了調整,改為網路安全等級保護制度,對其主要內容作了規定。國務院有關部門將逐步完善相關配套規定,確保網路安全等級保護制度落到實處。

二、網路安全等級保護制度的主要內容

網路安全等級保護制度的主要內容可以分為技術類安全要求和管理類安全要求兩大類。技術類安全要求主要從物理安全、網路安全、主機安全、應用安全和數據安全幾層面提出,通過在信息系統中部署軟硬體並正確配置其安全功能來實現;管理類安全要求主要從安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出,通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面作出規定來實現。本條根據網路安全等級保護制度,對網路運營者的安全保護義務作了基本規定,主要包括以下幾個方面:

1.制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任。內部安全管理制度是網路運營者制定的有關網路安全管理組織架構、人員配備、行為規范、管理責任的規則；操作規程是網路運營者制定的有關人員在操作設備或辦理業務時應當遵守的程序或者步驟。網路運營者應當依照法律、行政法規及網路安全等級保護制度的規定,制定內部安全管理制度和操作規程,細化並落實安全管理義務,根據不同保護等級設置安全管理機構、安全管理人員、安全主管、安全管理負責人等,並明確相關機構和人員的職責。安全管理制度和操作規程規定的每一項具體制度、每一個操作步驟都應當有具體的責任人,哪個環節出了責任事故都要有相應的人員負責。

2.採取防範危害網路安全行為的技術措施。網路運營者應當依照法律、行政法規及網路安全等級保護制度的規定,切實採取技術防範措施,從技術上防範計算病和網路攻擊、網路侵入等網路安全風險。例如,安裝防病毒軟體,防範計算機病毒;安裝網路身份認證系統、網路入侵檢測系統、網路風險審計系統等,防範網路攻擊、侵入；安裝自動報警系統,當檢測到安全風險時自動報警等。

3.配備相應的硬體和軟體監測、記錄網路運行狀態、網路安全事件,按照規定留存相關網路日誌。網路日誌是對網路信息系統的用戶訪問、運行狀態、系統維護等情況的記錄,對於追溯非法操作、未經授權的訪問,並維護網路安全以及調查網路違法犯罪活動具有重要作用。我國相關行政法規和標准對網路日誌的留存及其期限作了規定，一些國家的法律也對留存網路日誌作了規定。網路安全法根據維護網路安全的需要,借鑒有關國家的做法,對網路日誌留存及留存的期限作了規定。同時,考慮到網路日誌的種類較多,哪些需要按照本條規定留存不少於六個月,需要根據維護網路安全的實際來確定,因此,本條規定,網路運營者應當按照規定留存相關的網路日誌不少於六個月。

4.採取數據分類、重要數據備份和加密等措施。數據分類就是按照某種標准,例如重要程度,對數據進行區分、歸類。數據備份就是為防止系統故障或者其他安全事件導致數據丟失,而將數據從應用主機的硬碟或陣列復制、存儲到其他存儲介質。數據加密就是通過加密演算法和密鑰將明文數據轉變為密文數據,從而實現數據的保密性。網路運營者應當依照本法和有關法律、行政法規以及網路安全等級保護制度的規定，採取數據分類、重要數據備份和加密措施，保護網路數據安全。

5.網路運營者的其他義務。除了本法規定的義務外，網路運營者還應當履行其他有關法律、行政法規規定的網路安全保護義務。

5. 安全標准化網路管理體系如何建立

企業安全生產標准化基本規范
編輯本段概述：
國家安監總局副局長孫華山指出，近年來，國家安監總局陸續在煤礦、危險化學品、煙花爆竹等行業開展了安全生產標准化創建活動，有效地提升了企業的安全生產管理水平。但各行業的安全標准化工作要求不盡相同，有必要出台一個規范，對各行業已開展的安全生產標准化工作在形式要求、基本內容、考評辦法等方面作出比較一致的規定。同時，為調動企業的積極性和主動性，結合企業安全生產工作的共性特點，制定可操作性較強的安全生產工作規范也非常必要。 據介紹，《基本規范》採用了國際通用的策劃、實施、檢查、改進、動態循環的現代安全管理模式。通過企業自我檢查、自我糾正、自我完善這一動態循環的管理模式，更好地促進企業安全績效的持續改進和安全生產長效機制的建立。《基本規范》總結歸納了煤礦、危險化學品、煙花爆竹等已經頒布的行業安全生產標准化標准中的共性內容，提出了企業安全生產管理的共性基本要求，既適應各行業安全生產工作的開展，又避免了自成體系的局面。
編輯本段企業安全生產標准化基本規范
1 范圍 本標准適用於工礦企業開展安全生產標准化工作以及對標准化工作的咨詢、服務和評審；其他企業和生產經營單位可參照執行。 有關行業制定安全生產標准化標准應滿足本標準的要求；已經制定行業安全生產標准化標準的，優先適用行業安全生產標准化標准。 2 規范性引用文件 下列文件對本標準的應用是必不可少的，其最新版本(包括所有的修訂單)適用於本標准。 GB2894 安全標志及其使用導則 GBZ158 工作場所職業病危害警示標識 國家安全生產監督管理總局令第16號安全生產事故隱患排查治理暫行規定 3 術語和定義 下列術語和定義適用於本標准。 3.1 安全生產標准化 work safety standardization 通過建立安全生產責任制，制定安全管理制度和操作規程，排查治理隱患和監控重大危險源，建立預防機制，規范生產行為，使各生產環節符合有關安全生產法律法規和標准規范的要求，人、機、物、環處於良好的生產狀態，並持續改進，不斷加強企業安全生產規范化建設。 3.2 安全績效 safety performance 根據安全生產目標，在安全生產工作方面取得的可測量結果。 3.3 相關方 interested party 與企業的安全績效相關聯或受其影響的團體或個人。 3.4 資源 resources 實施安全生產標准化所需的人員、資金、設施、材料、技術和方法等。 4 一般要求 4.1 原則 企業開展安全生產標准化工作,遵循「安全第一、預防為主、綜合治理」的方針，以隱患排查治理為基礎，提高安全生產水平，減少事故發生，保障人身安全健康，保證生產經營活動的順利進行。 4.2 建立和保持 企業安全生產標准化工作採用「策劃、實施、檢查、改進」動態循環的模式，依據本標準的要求，結合自身特點，建立並保持安全生產標准化系統；通過自我檢查、自我糾正和自我完善，建立安全績效持續改進的安全生產長效機制。 4.3 評定和監督 企業安全生產標准化工作實行企業自主評定、外部評審的方式。 企業應當根據本標准和有關評分細則，對本企業開展安全生產標准化工作情況進行評定；自主評定後申請外部評審定級。 安全生產標准化評審分為一級、二級、三級，一級為最高。 安全生產監督管理部門對評審定級進行監督管理。 5 核心要求 5.1 目標 企業根據自身安全生產實際，制定總體和年度安全生產目標。 按照所屬基層單位和部門在生產經營中的職能，制定安全生產指標和考核辦法。 5.2 組織機構和職責 5.2.1 組織機構 企業應按規定設置安全生產管理機構，配備安全生產管理人員。 5.2.2 職責 企業主要負責人應按照安全生產法律法規賦予的職責，全面負責安全生產工作，並履行安全生產義務。 企業應建立安全生產責任制，明確各級單位、部門和人員的安全生產職責。 5.3 安全生產投入 企業應建立安全生產投入保障制度，完善和改進安全生產條件，按規定提取安全費用，專項用於安全生產，並建立安全費用台賬。 5.4 法律法規與安全管理制度 5.4.1 法律法規、標准規范 企業應建立識別和獲取適用的安全生產法律法規、標准規范的制度，明確主管部門，確定獲取的渠道、方式，及時識別和獲取適用的安全生產法律法規、標准規范。 企業各職能部門應及時識別和獲取本部門適用的安全生產法律法規、標准規范，並跟蹤、掌握有關法律法規、標准規范的修訂情況，及時提供給企業內負責識別和獲取適用的安全生產法律法規的主管部門匯總。 企業應將適用的安全生產法律法規、標准規范及其他要求及時傳達給從業人員。 企業應遵守安全生產法律法規、標准規范，並將相關要求及時轉化為本單位的規章制度，貫徹到各項工作中。 5.4.2 規章制度 企業應建立健全安全生產規章制度，並發放到相關工作崗位，規范從業人員的生產作業行為。 安全生產規章制度至少應包含下列內容：安全生產職責、安全生產投入、文件和檔案管理、隱患排查與治理、安全教育培訓、特種作業人員管理、設備設施安全管理、建設項目安全設施「三同時」管理、生產設備設施驗收管理、生產設備設施報廢管理、施工和檢維修安全管理、危險物品及重大危險源管理、作業安全管理、相關方及外用工管理，職業健康管理、防護用品管理，應急管理，事故管理等。 5.4.3 操作規程 企業應根據生產特點，編制崗位安全操作規程，並發放到相關崗位。 5.4.4 評估 企業應每年至少一次對安全生產法律法規、標准規范、規章制度、操作規程的執行情況進行檢查評估。 5.4.5 修訂 企業應根據評估情況、安全檢查反饋的問題、生產安全事故案例、績效評定結果等，對安全生產管理規章制度和操作規程進行修訂，確保其有效和適用，保證每個崗位所使用的為最新有效版本。 5.4.6 文件和檔案管理 企業應嚴格執行文件和檔案管理制度，確保安全規章制度和操作規程編制、使用、評審、修訂的效力。 企業應建立主要安全生產過程、事件、活動、檢查的安全記錄檔案，並加強對安全記錄的有效管理。 5.5 教育培訓 5.5.1 教育培訓管理 企業應確定安全教育培訓主管部門，按規定及崗位需要，定期識別安全教育培訓需求，制定、實施安全教育培訓計劃，提供相應的資源保證。 應做好安全教育培訓記錄，建立安全教育培訓檔案，實施分級管理，並對培訓效果進行評估和改進。 5.5.2 安全生產管理人員教育培訓 企業的主要負責人和安全生產管理人員，必須具備與本單位所從事的生產經營活動相適應的安全生產知識和管理能力。法律法規要求必須對其安全生產知識和管理能力進行考核的，須經考核合格後方可任職。 5.5.3 操作崗位人員教育培訓 企業應對操作崗位人員進行安全教育和生產技能培訓，使其熟悉有關的安全生產規章制度和安全操作規程，並確認其能力符合崗位要求。未經安全教育培訓，或培訓考核不合格的從業人員，不得上崗作業。 新入廠（礦）人員在上崗前必須經過廠（礦）、車間（工段、區、隊）、班組三級安全教育培訓。 在新工藝、新技術、新材料、新設備設施投入使用前，應對有關操作崗位人員進行專門的安全教育和培訓。 操作崗位人員轉崗、離崗一年以上重新上崗者，應進行車間(工段)、班組安全教育培訓，經考核合格後，方可上崗工作。 從事特種作業的人員應取得特種作業操作資格證書，方可上崗作業。 5.5.4 其他人員教育培訓 企業應對相關方的作業人員進行安全教育培訓。作業人員進入作業現場前，應由作業現場所在單位對其進行進入現場前的安全教育培訓。 企業應對外來參觀、學習等人員進行有關安全規定、可能接觸到的危害及應急知識的教育和告知。 5.5.5 安全文化建設 企業應通過安全文化建設，促進安全生產工作。 企業應採取多種形式的安全文化活動，引導全體從業人員的安全態度和安全行為，逐步形成為全體員工所認同、共同遵守、帶有本單位特點的安全價值觀，實現法律和政府監管要求之上的安全自我約束，保障企業安全生產水平持續提高。 5.6 生產設備設施 5.6.1 生產設備設施建設 企業建設項目的所有設備設施應符合有關法律法規、標准規范要求；安全設備設施應與建設項目主體工程同時設計、同時施工、同時投入生產和使用。 企業應按規定對項目建議書、可行性研究、初步設計、總體開工方案、開工前安全條件確認和竣工驗收等階段進行規范管理。 生產設備設施變更應執行變更管理制度，履行變更程序，並對變更的全過程進行隱患控制。 5.6.2 設備設施運行管理 企業應對生產設備設施進行規范化管理，保證其安全運行。 企業應有專人負責管理各種安全設備設施，建立台賬，定期檢維修。對安全設備設施應制定檢維修計劃。 設備設施檢維修前應制定方案。檢維修方案應包含作業行為分析和控制措施。檢維修過程中應執行隱患控制措施並進行監督檢查。 安全設備設施不得隨意拆除、挪用或棄置不用；確因檢維修拆除的，應採取臨時安全措施，檢維修完畢後立即復原。 5.6.3 新設備設施驗收及舊設備拆除、報廢 設備的設計、製造、安裝、使用、檢測、維修、改造、拆除和報廢，應符合有關法律法規、標准規范的要求。 企業應執行生產設備設施到貨驗收和報廢管理制度，應使用質量合格、設計符合要求的生產設備設施。 拆除的生產設備設施應按規定進行處置。拆除的生產設備設施涉及到危險物品的，須制定危險物品處置方案和應急措施，並嚴格按規定組織實施。 5.7 作業安全 5.7.1 生產現場管理和生產過程式控制制 企業應加強生產現場安全管理和生產過程的控制。對生產過程及物料、設備設施、器材、通道、作業環境等存在的隱患，應進行分析和控制。對動火作業、受限空間內作業、臨時用電作業、高處作業等危險性較高的作業活動實施作業許可管理，嚴格履行審批手續。作業許可證應包含危害因素分析和安全措施等內容。 企業進行爆破、吊裝等危險作業時，應當安排專人進行現場安全管理，確保安全規程的遵守和安全措施的落實。 5.7.2 作業行為管理 企業應加強生產作業行為的安全管理。對作業行為隱患、設備設施使用隱患、工藝技術隱患等進行分析，採取控制措施。 5.7.3 警示標志 企業應根據作業場所的實際情況，按照GB2894及企業內部規定，在有較大危險因素的作業場所和設備設施上，設置明顯的安全警示標志，進行危險提示、警示，告知危險的種類、後果及應急措施等。 企業應在設備設施檢維修、施工、吊裝等作業現場設置警戒區域和警示標志，在檢維修現場的坑、井、窪、溝、陡坡等場所設置圍欄和警示標志。 5.7.4 相關方管理 企業應執行承包商、供應商等相關方管理制度，對其資格預審、選擇、服務前准備、作業過程、提供的產品、技術服務、表現評估、續用等進行管理。 企業應建立合格相關方的名錄和檔案，根據服務作業行為定期識別服務行為風險，並採取行之有效的控制措施。 企業應對進入同一作業區的相關方進行統一安全管理。 不得將項目委託給不具備相應資質或條件的相關方。企業和相關方的項目協議應明確規定雙方的安全生產責任和義務。 5.7.5 變更 企業應執行變更管理制度，對機構、人員、工藝、技術、設備設施、作業過程及環境等永久性或暫時性的變化進行有計劃的控制。變更的實施應履行審批及驗收程序，並對變更過程及變更所產生的隱患進行分析和控制。 5.8 隱患排查和治理 5.8.1 隱患排查 企業應組織事故隱患排查工作，對隱患進行分析評估，確定隱患等級，登記建檔，及時採取有效的治理措施。 法律法規、標准規范發生變更或有新的公布，以及企業操作條件或工藝改變，新建、改建、擴建項目建設，相關方進入、撤出或改變，對事故、事件或其他信息有新的認識，組織機構發生大的調整的，應及時組織隱患排查。 隱患排查前應制定排查方案，明確排查的目的、范圍，選擇合適的排查方法。排查方案應依據： ——有關安全生產法律、法規要求； ——設計規范、管理標准、技術標准； ——企業的安全生產目標等。 5.8.2 排查范圍與方法 企業隱患排查的范圍應包括所有與生產經營相關的場所、環境、人員、設備設施和活動。 企業應根據安全生產的需要和特點，採用綜合檢查、專業檢查、季節性檢查、節假日檢查、日常檢查等方式進行隱患排查。 5.8.3 隱患治理 企業應根據隱患排查的結果，制定隱患治理方案，對隱患及時進行治理。 隱患治理方案應包括目標和任務、方法和措施、經費和物資、機構和人員、時限和要求。重大事故隱患在治理前應採取臨時控制措施並制定應急預案。 隱患治理措施包括：工程技術措施、管理措施、教育措施、防護措施和應急措施。 治理完成後，應對治理情況進行驗證和效果評估。 5.8.4 預測預警 企業應根據生產經營狀況及隱患排查治理情況，運用定量的安全生產預測預警技術，建立體現企業安全生產狀況及發展趨勢的預警指數系統。 5.9 重大危險源監控 5.9.1辨識與評估 企業應依據有關標准對本單位的危險設施或場所進行重大危險源辨識與安全評估。 5.9.2登記建檔與備案 企業應當對確認的重大危險源及時登記建檔，並按規定備案。 5.9.3監控與管理 企業應建立健全重大危險源安全管理制度，制定重大危險源安全管理技術措施。 5.10 職業健康 5.10.1職業健康管理 企業應按照法律法規、標准規范的要求，為從業人員提供符合職業健康要求的工作環境和條件，配備與職業健康保護相適應的設施、工具。 企業應定期對作業場所職業危害進行檢測，在檢測點設置標識牌予以告知，並將檢測結果存入職業健康檔案。 對可能發生急性職業危害的有毒、有害工作場所，應設置報警裝置，制定應急預案，配置現場急救用品、設備，設置應急撤離通道和必要的泄險區。 各種防護器具應定點存放在安全、便於取用的地方，並有專人負責保管，定期校驗和維護。 企業應對現場急救用品、設備和防護用品進行經常性的檢維修，定期檢測其性能，確保其處於正常狀態。 5.10.2職業危害告知和警示 企業與從業人員訂立勞動合同時，應將工作過程中可能產生的職業危害及其後果和防護措施如實告知從業人員，並在勞動合同中寫明。 企業應採用有效的方式對從業人員及相關方進行宣傳，使其了解生產過程中的職業危害、預防和應急處理措施，降低或消除危害後果。 對存在嚴重職業危害的作業崗位，應按照GBZ158要求設置警示標識和警示說明。警示說明應載明職業危害的種類、後果、預防和應急救治措施。 5.10.3職業危害申報 企業應按規定，及時、如實向當地主管部門申報生產過程存在的職業危害因素，並依法接受其監督。 5.11應急救援 5.11.1應急機構和隊伍 企業應按規定建立安全生產應急管理機構或指定專人負責安全生產應急管理工作。 企業應建立與本單位安全生產特點相適應的專兼職應急救援隊伍，或指定專兼職應急救援人員，並組織訓練；無需建立應急救援隊伍的，可與附近具備專業資質的應急救援隊伍簽訂服務協議。 5.11.2應急預案 企業應按規定製定生產安全事故應急預案，並針對重點作業崗位制定應急處置方案或措施，形成安全生產應急預案體系。 應急預案應根據有關規定報當地主管部門備案，並通報有關應急協作單位。 應急預案應定期評審，並根據評審結果或實際情況的變化進行修訂和完善。 5.11.3應急設施、裝備、物資 企業應按規定建立應急設施，配備應急裝備，儲備應急物資，並進行經常性的檢查、維護、保養，確保其完好、可靠。 5.11.4應急演練 企業應組織生產安全事故應急演練，並對演練效果進行評估。根據評估結果，修訂、完善應急預案，改進應急管理工作。 5.11.5事故救援 企業發生事故後，應立即啟動相關應急預案，積極開展事故救援。 5.12事故報告、調查和處理 5.12.1事故報告 企業發生事故後，應按規定及時向上級單位、政府有關部門報告，並妥善保護事故現場及有關證據。必要時向相關單位和人員通報。 5.12.2事故調查和處理 企業發生事故後，應按規定成立事故調查組，明確其職責與許可權，進行事故調查或配合上級部門的事故調查。 事故調查應查明事故發生的時間、經過、原因、人員傷亡情況及直接經濟損失等。 事故調查組應根據有關證據、資料，分析事故的直接、間接原因和事故責任，提出整改措施和處理建議，編制事故調查報告。 5.13績效評定和持續改進 5.13.1績效評定 企業應每年至少一次對本單位安全生產標准化的實施情況進行評定，驗證各項安全生產制度措施的適宜性、充分性和有效性，檢查安全生產工作目標、指標的完成情況。 企業主要負責人應對績效評定工作全面負責。評定工作應形成正式文件，並將結果向所有部門、所屬單位和從業人員通報，作為年度考評的重要依據。 企業發生死亡事故後應重新進行評定。 5.13.2持續改進 企業應根據安全生產標准化的評定結果和安全生產預警指數系統所反映的趨勢，對安全生產目標、指標、規章制度、操作規程等進行修改完善，持續改進，不斷提高安全績效。

6. 網路安全的標準是什麼

這個要看你指的是什麼方面，如果從基礎方面來講，信息保密、網路加固、系統安全等都會涉及到相關的網路安全標准。 如果從更高的方面而言，網路安全的標准可以擴展到整個互聯網的安全或者說骨幹網路、路由等設備的安全等。 而上述的每個標准都是不一樣的，建議去各個專業網路尋找資料：藏鋒者網路安全: http://www.cangfengzhe.com

7. 信息安全標准化工作興起於什麼時候

信息安全標准化工作興起於20世紀70年代中期。

國際上，信息安全標准化工作，興起於二十世紀70年代中期，80年代有了較快的發展，90年代引起了世界各國的普遍關注目前。目前世界上約有近300個國際和區域性組織，制定標准或技術規則，與信息安全標准化有關的主要的組織有：國際標准化組織(ISO)、國際電工委員會（IEC）、國際電信聯盟（ITU）、Inte.net工程任務組（IETF）等。

國際標准化組織(ISO) 於1947年2月23日正式開始工作，ISO/IEC JTC1（信息技術標准化委員會）所屬SC 27（安全技術分委員會）其前身是SC20（數據加密分技術委員會），主要從事信息技術安全的一般方法和技術的標准化工作。

而ISO/TC68負責銀行業務應用范圍內有關信息安全標準的制定，它主要制定行業應用標准，在組織上和標准之間與SC27有著密切的聯系。ISO/IEC JTC1負責制定標准主要是開放系統互連、密鑰管理、數字簽名、安全的評估等方面的內容。

國際電工委員會（IEC）正式成立於1906年十月，是世界上成立最早的專門國際標准化機構。在信息安全標准化方面，主要與ISO聯合成立了JTC1下分委員會外，還在電信、電子系統、信息技術和電磁兼容等方面成立技術委員會，如TC56 可靠性、TC74 IT設備安全和功效、TC77 電磁兼容、TC 108 音頻/視頻、信息技術和通訊技術電子設備的安全等，並制定相關國際標准，如信息技術設備安全（IEC 60950）等。

國際電信聯盟（ITU）成立於1865年5月17日，所屬的SG17組，主要負責研究通信系統安全標准。SG17組主要研究的有：通信安全項目、安全架構和框架、計算安全、安全管理、用於安全的生物測定、安全通信服務。此外SG16和下一代網路核心組也在通信安全、H323網路安全、下一代網路安全等標准方面進行了研究。目前ITU-T建議書中大約有40多個都是與通信安全有關的標准。

Internet工程任務組（IETF）史創於1986年，其主要任務是負責互聯網相關技術規范的研發和制定。目前，IETF已成為全球互聯網界最具權威的大型技術研究組織。

IETF標准制定的具體工作由各個工作組承擔，工作組分成八個領域，分別是Internet路由、傳輸、應用領域等等，著名的IKE和IPsec都在RFC系列之中，還有電子郵件，網路認證和密碼標准，也包括了TLS標准和其它的安全協議標准。

8. 網路安全等級保護2.0國家標准

等級保護2.0標准體系主要標准如下：1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級（自主保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
第二級（指導保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
第三級（監督保護級），等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
第四級（強制保護級），等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；
第五級（專控保護級），等級保護對象受到破壞後，會對國家安全造成特別嚴重損害
相較於1.0版本，2.0在內容上到底有哪些變化呢？
1.0定級的對象是信息系統，2.0標準的定級的對象擴展至：基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統，覆蓋面更廣。
再者，在系統遭到破壞後，對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後，等保2.0標准不再強調自主定級，而是強調合理定級，系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，定級更加嚴格。
總結通過建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網路安全綜合防禦體系，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據：《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。