网络安全的标准化

1. 怎样加强网络与信息安全标准化建设

加强信息安全建设的几点认识
董振国
信息安全建设是电子政务建设不可缺少的重要组成部分。电子政务信息系统承载着大量事关国家政治安全、经济安全、国防安全和社会稳定的数据和信息；网络与信息安全不仅关系到电子政务的健康发展，而且已经成为国家安全保障体系的重要组成部分。缺乏安全保障的电子政务信息系统，不可能实现真正意义上的电子政务。
一、强化安全保密意识，高度重视信息安全，是确保政务网络信息系统安全运行的前提条件
目前，电子政务信息系统大都是采用开放式的操作系统和网络协议，存在着先天的安全隐患。网络攻击、黑客入侵、病毒泛滥、系统故障、自然灾害、网络窃密和内部人员违规操作等都对电子政务的安全构成极大威胁。因此，信息安全保障工作是一项关系国民经济和社会信息化全局的长期性任务。
我们必须认真贯彻“一手抓电子政务建设，一手抓网络和信息安全”的精神和中办发［2003］27号文件关于信息安全保障工作的总体要求，充分认识加强信息安全体系建设的重要性和紧迫性，高度重视网络和信息安全。这是做好信息安全保障工作的前提条件。“高度重视”首先要领导重视；只有领导重视才能把信息安全工作列入议事日程，放到重要的位置，才能及时协调解决信息安全工作所面临的诸多难题。其次，要通过加强网络保密知识的普及教育，特别是对县处级以上干部进行网络安全知识培训，大力强化公务员队伍的安全保密意识，使网络信息安全宣传教育工作不留死角，为网络信息系统安全运行创造条件。

二、加强法制建设，建立完善的制度规范，是做好信息安全保障工作的重要基础
确保政务网络信息安全，必须加强信息安全法制建设和标准化建设，严格按照规章制度和工作规范办事。俗话说，没有规矩不成方圆，信息安全工作尤其如此。如果我们能够坚持建立法制和标准，完善制度和规范并很好地执行，就会把不安全因素和失误降到最低限度，使政务信息安全工作不断登上新的台阶。
为此，一要严格按照现行的法律法规规范网络行为，维护网络秩序，同时逐步建立和完善信息安全法律制度。要加强信息安全标准化工作，抓紧制定急需的信息安全和技术标准，形成与国际标准相衔接的具有中国特色的信息安全标准体系。
二要建立健全各项规章制度和日常工作规范。要根据网络和信息安全面临的新情况、新问题，紧密联系本单位信息安全保密工作的实际，本着“堵漏、补缺、管用”的原则，抓紧修订、完善和新建信息安全工作的各项规章制度及操作规程，切实增强制度的科学性、有用性和可操作性，使信息安全工作有据可依、有章可循。
三要重视安全标准和规章制度的贯彻落实。有了制度，不能把它束之高阁。不按制度办事，是造成工作失误和安全隐患的重要原因。很多不安全因素和工作漏洞都是由于没有按程序办事所造成的。因此，要组织信息化工作人员反复学习有关制度和规范，使他们熟悉和掌握各项制度的基本内容，明白信息安全工作的规矩和方法，自觉用制度约束自己，规范工作。
四要建立完善对制度落实情况的监督检查和激励机制。工作程序、规章制度建立后，必须做到行必循之，把规章制度的每一条、每一款落到实处。执行制度主要靠自觉，但必须有严格的监督检查。要通过监督检查建立信息安全工作的激励机制，把信息安全工作与年度考核评比及“争先创优”工作紧密结合起来，激励先进，鞭策后进，确保各项信息安全工作制度落到实处。各地、各部门要不定期地对本地和本系统的制度落实情况进行自查自纠，发现问题及早解决。

三、建立信息安全组织体系，落实安全管理责任制，是做好政务信息安全保障工作的关键
调查显示，在实际的网络安全问题中，约有80%是由于管理问题造成的。因此，建立信息安全管理机构，加强组织协调，发挥其统筹规划、科学管理、宏观调控和决策的作用，强化信息安全管理，形成全方位的信息安全管理组织体系至关重要。
一方面，要逐步建立和完善信息安全组织体系。该体系应包括各地、各部门成立的保密工作领导小组；有本部门主管领导参加的政务网络与信息安全协调小组；聘请国内外安全专家组成的安全咨询专家小组。根据建设和应用情况需要，还可建立相应的信息安全管理执行机构（如“政府安全中心”），负责整个政务信息系统中的安全保密工作，包括提供相关服务。
另一方面，要在健全信息安全组织体系的基础上，切实落实安全管理责任制。明确各级、各部门行政一把手（或主管领导同志）作为信息安全保障工作的第一责任人；技术部门主管或项目负责人作为信息安全保障工作直接责任人，强化对网络管理人员和操作人员的管理。切实把好用人关，对关键岗位实行A、B角色管理；对网络管理人员和涉密操作人员要签订保密协议，明确保密职责，实行持证上岗制度。要培养一批具有信息安全管理经验的复合人才，充实到关键岗位，为政务信息化把好安全关。

四、结合实际注重实效，正确处理信息安全“五大关系”，是确保信息安全投资效益的最佳选择
在电子政务建设中，信息安全方面的投资往往涉及很大金额。各地、各部门应紧密结合自身实际，正确处理和把握与信息安全相关的“五大关系”，使有限的资金发挥出最大的社会效益。
1、要正确处理发展与安全的关系。发展与安全是信息安全关系中最基本、最重要的一对关系，由此可以派生出其他一些关系。发展与安全的关系是辩证统一、相辅相成的，其中发展是目的，安全是保证。二者关系处理得好，安全会有保障并能促进发展；处理不好，安全就会制约并牵制发展。正确处理发展与安全的关系就是要加快发展，确保安全。具体讲，就是在加快发展过程中确保安全；在确保安全的条件下加快发展。这里要注意克服两种倾向：一是过分强调发展而忽视安全；二是追求绝对安全而制约发展。为此，要坚持电子政务发展和网络信息安全“两手抓”。要在电子政务建设和发展过程中不断加强安全管理，完善安全措施，切实保障安全；同时要在适度安全、基本安全的前提下，培育业务需求，加大工作力度，促进电子政务事业加快发展。
2、处理好安全成本与效益的关系。成本与效益的关系是由信息安全基本关系派生出来的，二者的关系是对立统一、相反相成的。成本与效益的关系处理得好，安全成本就会下降同时效益提高；处理不好，安全成本就会上升同时效益下降。正确处理好安全成本与效益的关系，必须坚持综合平衡。要根据中办发［2003］27号文件中关于“信息化发展的不同阶段和不同信息系统不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点”的要求，一方面千方百计降低安全投入成本，另一方面努力提高安全措施的实际效果，确保满足重点项目、重点部位的安全需求，使有限的安全保障资金充分发挥出良好的使用效益。
3、处理好信息安全与共享（信息公开和保密）的关系。这也是从信息安全基本关系中派生出来的。开放和发展需要信息资源共享，而网络互联为信息共享提供了条件。但信息公开和信息保护是一对不可回避的矛盾。推进信息化建设既要强调资源共享，还要保证信息安全。我们应立足于电子政务建设的大系统，整体地、动态地看待信息安全与资源共享问题，用发展的眼光和辩证的观点去处理问题。在这对矛盾中，目前资源共享是矛盾的主要方面。当前我国各地方、各行业的信息资源建设普遍存在“数字鸿沟”、“信息孤岛”现象。针对这种情况,我们在处理两者之间关系时,应当紧紧围绕矛盾的主要方面，在确保国家安全和尊重个人隐私的前提下，把当前工作的重点放在最大限度地促进信息资源共享方面，消除数字鸿沟和信息孤岛，提高信息资源共享程度，使政务信息资源发挥更大的社会效益。
4、处理好安全管理与技术的关系。安全管理与技术的关系也是信息安全体系中的基本关系之一。在信息安全保障体系中，安全管理和安全技术是一个不可分割的统一体，是一个事物的两个方面。管理离不开技术，技术离不开管理；两者紧密相连、相互渗透、互为补充。因此，在信息安全工作中，我们要坚持管理和技术并重，做到管理手段和技术手段相结合，也就是在加强管理的前提下，采用先进的安全技术，在提升技术的基础上强化管理。信息安全问题的解决需要技术手段，但又不能单纯依赖技术。信息化的过程其实是人与技术相互融合的过程，如何使管理与技术相得益彰十分重要。在这方面，我们要同时注意防止和克服“重管理、轻技术”和“单纯技术观点”两种倾向，既要高度重视信息安全技术的重要作用，又要避免陷入唯技术论的怪圈。从理论上看，不存在绝对安全的技术；技术固然重要，但管理更不容忽视。虽然“三分技术，七分管理”的说法不一定准确，但从另一个角度说明了安全管理工作的重要性。因此，我们应以业务为主导，从全局的高度部署安全策略，采用先进技术，加强安全管理，把采取安全技术手段与加强日常管理和健全体制机制紧密结合起来，坚持一手抓安全技术手段开发，一手抓安全规章制度的建立与完善，提高政务网络信息系统的安全性和可靠性。
5、处理好信息安全工作中应急事件处理与建立长效机制的关系。要保证政务网络与信息系统的“长治久安”，必须着手建立一套长期有效的安全机制。但信息安全问题在信息化进程中广泛存在且突发性强，所以又必须强调和重视应急事件的处理。一旦出现影响到国家利益的网络安全与信息安全事件，必须能够立即采取有效措施，控制危机的发展，把损失减少到最低限度。
为此，首先要建立和完善信息安全监控体系，及时发现和处置突发事件，提高对网络攻击、病毒入侵、网络失窃密的防范能力，防治有害信息传播，增强对政务网络和信息系统的监控、管理和保护。其次，要重视信息安全应急处理工作，建立健全应急管理协调机制、指挥调度机制和信息安全通报制度。要制定完善信息安全处置预案，加强信息安全应急支援服务队伍建设，提高信息安全应急响应能力。

2. 网络空间如何保障安全

9月18日，2017年国家网络安全宣传周网络安全技术高峰论坛在上海举办，多名与会的海内外知名企业高管和学者，结合目前网络安全技术发展现状和存在问题，纵论互联网治理之道，探寻网络安全保护之策。

据赵波介绍，今年8月份以来，中央网信办、工业和信息化部、公安部、国家标准委4部委正针对隐私条款中的不合法内容开展评审整改工作，目前已有10余家主流网络运营商接受整改。

“这项工作还将持续开展，希望广大企业能够积极参与其中，落实网络安全法以及国家标准中对个人信息保护的要求，全面提升互联网企业的个人信息保护水平。”

网络安全必不可少。

3. 国家建立和完善网络安全标准体系什么和国务院其他有关部门根据各自的职责

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

2017年6月1日，《网络安全法》将正式施行，标志着网络空间治理、网络信息传播秩序规范、网络犯罪惩治等方面即将翻开崭新的一页，国家网络安全将拥有更为完善的法律基础和保障。网络安全标准化是网络安全保障体系建设的重要组成部分，在维护网络空间安全、推动网络空间治理体系变革方面发挥着基础性、规范性、引领性作用。《网络安全法》对于网络安全标准化工作也提出了更明确的要求。

(3)网络安全的标准化扩展阅读：

进一步加强网络安全标准体系建设。《网络安全法》第十五条规定，国家建立和完善网络安全标准体系。根据国家标准委授予的职责范围，全国信息安全标准化技术委员会（TC260）承担着组织制定标准和持续完善国家信息安全标准体系的职责，多年来推动国家网络安全保障体系建设所需标准的制修订工作，初步形成了国家网络安全标准体系。

中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》指出，建立统一权威的国家标准工作机制，全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。

因此，需要加强网络安全标准战略性、方向性、基础性的研究，既要突出重点，也要拓展覆盖面；既要统筹推进国家标准和行业标准制修订工作，也要适时引进国外有关标准，进而逐步建立起与《网络安全法》相配套的国家网络安全标准体系，以适应新形势对网络安全标准化工作的更高要求。

4. 中华人民共和国网络安全法中明确提出了等级保护的相关建设要求包括

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。网络安全法草案于2015年7月6日至2015年8月5日在中国人大网上全文公布，并向社会公开征求意见。2016年11月7日，十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》。2017年6月1日起正式施行。其中对网络安全等级保护制度作了明确规定。

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

条文解读：

一、网络安全等级保护制度

网络安全等级保护制度是我国现行的网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。网络安全法总结实践经验,对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门将逐步完善相关配套规定,确保网络安全等级保护制度落到实处。

二、网络安全等级保护制度的主要内容

网络安全等级保护制度的主要内容可以分为技术类安全要求和管理类安全要求两大类。技术类安全要求主要从物理安全、网络安全、主机安全、应用安全和数据安全几层面提出,通过在信息系统中部署软硬件并正确配置其安全功能来实现;管理类安全要求主要从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面作出规定来实现。本条根据网络安全等级保护制度,对网络运营者的安全保护义务作了基本规定,主要包括以下几个方面:

1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。内部安全管理制度是网络运营者制定的有关网络安全管理组织架构、人员配备、行为规范、管理责任的规则；操作规程是网络运营者制定的有关人员在操作设备或办理业务时应当遵守的程序或者步骤。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定,制定内部安全管理制度和操作规程,细化并落实安全管理义务,根据不同保护等级设置安全管理机构、安全管理人员、安全主管、安全管理负责人等,并明确相关机构和人员的职责。安全管理制度和操作规程规定的每一项具体制度、每一个操作步骤都应当有具体的责任人,哪个环节出了责任事故都要有相应的人员负责。

2.采取防范危害网络安全行为的技术措施。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定,切实采取技术防范措施,从技术上防范计算病和网络攻击、网络侵入等网络安全风险。例如,安装防病毒软件,防范计算机病毒;安装网络身份认证系统、网络入侵检测系统、网络风险审计系统等,防范网络攻击、侵入；安装自动报警系统,当检测到安全风险时自动报警等。

3.配备相应的硬件和软件监测、记录网络运行状态、网络安全事件,按照规定留存相关网络日志。网络日志是对网络信息系统的用户访问、运行状态、系统维护等情况的记录,对于追溯非法操作、未经授权的访问,并维护网络安全以及调查网络违法犯罪活动具有重要作用。我国相关行政法规和标准对网络日志的留存及其期限作了规定，一些国家的法律也对留存网络日志作了规定。网络安全法根据维护网络安全的需要,借鉴有关国家的做法,对网络日志留存及留存的期限作了规定。同时,考虑到网络日志的种类较多,哪些需要按照本条规定留存不少于六个月,需要根据维护网络安全的实际来确定,因此,本条规定,网络运营者应当按照规定留存相关的网络日志不少于六个月。

4.采取数据分类、重要数据备份和加密等措施。数据分类就是按照某种标准,例如重要程度,对数据进行区分、归类。数据备份就是为防止系统故障或者其他安全事件导致数据丢失,而将数据从应用主机的硬盘或阵列复制、存储到其他存储介质。数据加密就是通过加密算法和密钥将明文数据转变为密文数据,从而实现数据的保密性。网络运营者应当依照本法和有关法律、行政法规以及网络安全等级保护制度的规定，采取数据分类、重要数据备份和加密措施，保护网络数据安全。

5.网络运营者的其他义务。除了本法规定的义务外，网络运营者还应当履行其他有关法律、行政法规规定的网络安全保护义务。

5. 安全标准化网络管理体系如何建立

企业安全生产标准化基本规范
编辑本段概述：
国家安监总局副局长孙华山指出，近年来，国家安监总局陆续在煤矿、危险化学品、烟花爆竹等行业开展了安全生产标准化创建活动，有效地提升了企业的安全生产管理水平。但各行业的安全标准化工作要求不尽相同，有必要出台一个规范，对各行业已开展的安全生产标准化工作在形式要求、基本内容、考评办法等方面作出比较一致的规定。同时，为调动企业的积极性和主动性，结合企业安全生产工作的共性特点，制定可操作性较强的安全生产工作规范也非常必要。 据介绍，《基本规范》采用了国际通用的策划、实施、检查、改进、动态循环的现代安全管理模式。通过企业自我检查、自我纠正、自我完善这一动态循环的管理模式，更好地促进企业安全绩效的持续改进和安全生产长效机制的建立。《基本规范》总结归纳了煤矿、危险化学品、烟花爆竹等已经颁布的行业安全生产标准化标准中的共性内容，提出了企业安全生产管理的共性基本要求，既适应各行业安全生产工作的开展，又避免了自成体系的局面。
编辑本段企业安全生产标准化基本规范
1 范围 本标准适用于工矿企业开展安全生产标准化工作以及对标准化工作的咨询、服务和评审；其他企业和生产经营单位可参照执行。 有关行业制定安全生产标准化标准应满足本标准的要求；已经制定行业安全生产标准化标准的，优先适用行业安全生产标准化标准。 2 规范性引用文件 下列文件对本标准的应用是必不可少的，其最新版本(包括所有的修订单)适用于本标准。 GB2894 安全标志及其使用导则 GBZ158 工作场所职业病危害警示标识 国家安全生产监督管理总局令第16号安全生产事故隐患排查治理暂行规定 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全生产标准化 work safety standardization 通过建立安全生产责任制，制定安全管理制度和操作规程，排查治理隐患和监控重大危险源，建立预防机制，规范生产行为，使各生产环节符合有关安全生产法律法规和标准规范的要求，人、机、物、环处于良好的生产状态，并持续改进，不断加强企业安全生产规范化建设。 3.2 安全绩效 safety performance 根据安全生产目标，在安全生产工作方面取得的可测量结果。 3.3 相关方 interested party 与企业的安全绩效相关联或受其影响的团体或个人。 3.4 资源 resources 实施安全生产标准化所需的人员、资金、设施、材料、技术和方法等。 4 一般要求 4.1 原则 企业开展安全生产标准化工作,遵循“安全第一、预防为主、综合治理”的方针，以隐患排查治理为基础，提高安全生产水平，减少事故发生，保障人身安全健康，保证生产经营活动的顺利进行。 4.2 建立和保持 企业安全生产标准化工作采用“策划、实施、检查、改进”动态循环的模式，依据本标准的要求，结合自身特点，建立并保持安全生产标准化系统；通过自我检查、自我纠正和自我完善，建立安全绩效持续改进的安全生产长效机制。 4.3 评定和监督 企业安全生产标准化工作实行企业自主评定、外部评审的方式。 企业应当根据本标准和有关评分细则，对本企业开展安全生产标准化工作情况进行评定；自主评定后申请外部评审定级。 安全生产标准化评审分为一级、二级、三级，一级为最高。 安全生产监督管理部门对评审定级进行监督管理。 5 核心要求 5.1 目标 企业根据自身安全生产实际，制定总体和年度安全生产目标。 按照所属基层单位和部门在生产经营中的职能，制定安全生产指标和考核办法。 5.2 组织机构和职责 5.2.1 组织机构 企业应按规定设置安全生产管理机构，配备安全生产管理人员。 5.2.2 职责 企业主要负责人应按照安全生产法律法规赋予的职责，全面负责安全生产工作，并履行安全生产义务。 企业应建立安全生产责任制，明确各级单位、部门和人员的安全生产职责。 5.3 安全生产投入 企业应建立安全生产投入保障制度，完善和改进安全生产条件，按规定提取安全费用，专项用于安全生产，并建立安全费用台账。 5.4 法律法规与安全管理制度 5.4.1 法律法规、标准规范 企业应建立识别和获取适用的安全生产法律法规、标准规范的制度，明确主管部门，确定获取的渠道、方式，及时识别和获取适用的安全生产法律法规、标准规范。 企业各职能部门应及时识别和获取本部门适用的安全生产法律法规、标准规范，并跟踪、掌握有关法律法规、标准规范的修订情况，及时提供给企业内负责识别和获取适用的安全生产法律法规的主管部门汇总。 企业应将适用的安全生产法律法规、标准规范及其他要求及时传达给从业人员。 企业应遵守安全生产法律法规、标准规范，并将相关要求及时转化为本单位的规章制度，贯彻到各项工作中。 5.4.2 规章制度 企业应建立健全安全生产规章制度，并发放到相关工作岗位，规范从业人员的生产作业行为。 安全生产规章制度至少应包含下列内容：安全生产职责、安全生产投入、文件和档案管理、隐患排查与治理、安全教育培训、特种作业人员管理、设备设施安全管理、建设项目安全设施“三同时”管理、生产设备设施验收管理、生产设备设施报废管理、施工和检维修安全管理、危险物品及重大危险源管理、作业安全管理、相关方及外用工管理，职业健康管理、防护用品管理，应急管理，事故管理等。 5.4.3 操作规程 企业应根据生产特点，编制岗位安全操作规程，并发放到相关岗位。 5.4.4 评估 企业应每年至少一次对安全生产法律法规、标准规范、规章制度、操作规程的执行情况进行检查评估。 5.4.5 修订 企业应根据评估情况、安全检查反馈的问题、生产安全事故案例、绩效评定结果等，对安全生产管理规章制度和操作规程进行修订，确保其有效和适用，保证每个岗位所使用的为最新有效版本。 5.4.6 文件和档案管理 企业应严格执行文件和档案管理制度，确保安全规章制度和操作规程编制、使用、评审、修订的效力。 企业应建立主要安全生产过程、事件、活动、检查的安全记录档案，并加强对安全记录的有效管理。 5.5 教育培训 5.5.1 教育培训管理 企业应确定安全教育培训主管部门，按规定及岗位需要，定期识别安全教育培训需求，制定、实施安全教育培训计划，提供相应的资源保证。 应做好安全教育培训记录，建立安全教育培训档案，实施分级管理，并对培训效果进行评估和改进。 5.5.2 安全生产管理人员教育培训 企业的主要负责人和安全生产管理人员，必须具备与本单位所从事的生产经营活动相适应的安全生产知识和管理能力。法律法规要求必须对其安全生产知识和管理能力进行考核的，须经考核合格后方可任职。 5.5.3 操作岗位人员教育培训 企业应对操作岗位人员进行安全教育和生产技能培训，使其熟悉有关的安全生产规章制度和安全操作规程，并确认其能力符合岗位要求。未经安全教育培训，或培训考核不合格的从业人员，不得上岗作业。 新入厂（矿）人员在上岗前必须经过厂（矿）、车间（工段、区、队）、班组三级安全教育培训。 在新工艺、新技术、新材料、新设备设施投入使用前，应对有关操作岗位人员进行专门的安全教育和培训。 操作岗位人员转岗、离岗一年以上重新上岗者，应进行车间(工段)、班组安全教育培训，经考核合格后，方可上岗工作。 从事特种作业的人员应取得特种作业操作资格证书，方可上岗作业。 5.5.4 其他人员教育培训 企业应对相关方的作业人员进行安全教育培训。作业人员进入作业现场前，应由作业现场所在单位对其进行进入现场前的安全教育培训。 企业应对外来参观、学习等人员进行有关安全规定、可能接触到的危害及应急知识的教育和告知。 5.5.5 安全文化建设 企业应通过安全文化建设，促进安全生产工作。 企业应采取多种形式的安全文化活动，引导全体从业人员的安全态度和安全行为，逐步形成为全体员工所认同、共同遵守、带有本单位特点的安全价值观，实现法律和政府监管要求之上的安全自我约束，保障企业安全生产水平持续提高。 5.6 生产设备设施 5.6.1 生产设备设施建设 企业建设项目的所有设备设施应符合有关法律法规、标准规范要求；安全设备设施应与建设项目主体工程同时设计、同时施工、同时投入生产和使用。 企业应按规定对项目建议书、可行性研究、初步设计、总体开工方案、开工前安全条件确认和竣工验收等阶段进行规范管理。 生产设备设施变更应执行变更管理制度，履行变更程序，并对变更的全过程进行隐患控制。 5.6.2 设备设施运行管理 企业应对生产设备设施进行规范化管理，保证其安全运行。 企业应有专人负责管理各种安全设备设施，建立台账，定期检维修。对安全设备设施应制定检维修计划。 设备设施检维修前应制定方案。检维修方案应包含作业行为分析和控制措施。检维修过程中应执行隐患控制措施并进行监督检查。 安全设备设施不得随意拆除、挪用或弃置不用；确因检维修拆除的，应采取临时安全措施，检维修完毕后立即复原。 5.6.3 新设备设施验收及旧设备拆除、报废 设备的设计、制造、安装、使用、检测、维修、改造、拆除和报废，应符合有关法律法规、标准规范的要求。 企业应执行生产设备设施到货验收和报废管理制度，应使用质量合格、设计符合要求的生产设备设施。 拆除的生产设备设施应按规定进行处置。拆除的生产设备设施涉及到危险物品的，须制定危险物品处置方案和应急措施，并严格按规定组织实施。 5.7 作业安全 5.7.1 生产现场管理和生产过程控制 企业应加强生产现场安全管理和生产过程的控制。对生产过程及物料、设备设施、器材、通道、作业环境等存在的隐患，应进行分析和控制。对动火作业、受限空间内作业、临时用电作业、高处作业等危险性较高的作业活动实施作业许可管理，严格履行审批手续。作业许可证应包含危害因素分析和安全措施等内容。 企业进行爆破、吊装等危险作业时，应当安排专人进行现场安全管理，确保安全规程的遵守和安全措施的落实。 5.7.2 作业行为管理 企业应加强生产作业行为的安全管理。对作业行为隐患、设备设施使用隐患、工艺技术隐患等进行分析，采取控制措施。 5.7.3 警示标志 企业应根据作业场所的实际情况，按照GB2894及企业内部规定，在有较大危险因素的作业场所和设备设施上，设置明显的安全警示标志，进行危险提示、警示，告知危险的种类、后果及应急措施等。 企业应在设备设施检维修、施工、吊装等作业现场设置警戒区域和警示标志，在检维修现场的坑、井、洼、沟、陡坡等场所设置围栏和警示标志。 5.7.4 相关方管理 企业应执行承包商、供应商等相关方管理制度，对其资格预审、选择、服务前准备、作业过程、提供的产品、技术服务、表现评估、续用等进行管理。 企业应建立合格相关方的名录和档案，根据服务作业行为定期识别服务行为风险，并采取行之有效的控制措施。 企业应对进入同一作业区的相关方进行统一安全管理。 不得将项目委托给不具备相应资质或条件的相关方。企业和相关方的项目协议应明确规定双方的安全生产责任和义务。 5.7.5 变更 企业应执行变更管理制度，对机构、人员、工艺、技术、设备设施、作业过程及环境等永久性或暂时性的变化进行有计划的控制。变更的实施应履行审批及验收程序，并对变更过程及变更所产生的隐患进行分析和控制。 5.8 隐患排查和治理 5.8.1 隐患排查 企业应组织事故隐患排查工作，对隐患进行分析评估，确定隐患等级，登记建档，及时采取有效的治理措施。 法律法规、标准规范发生变更或有新的公布，以及企业操作条件或工艺改变，新建、改建、扩建项目建设，相关方进入、撤出或改变，对事故、事件或其他信息有新的认识，组织机构发生大的调整的，应及时组织隐患排查。 隐患排查前应制定排查方案，明确排查的目的、范围，选择合适的排查方法。排查方案应依据： ——有关安全生产法律、法规要求； ——设计规范、管理标准、技术标准； ——企业的安全生产目标等。 5.8.2 排查范围与方法 企业隐患排查的范围应包括所有与生产经营相关的场所、环境、人员、设备设施和活动。 企业应根据安全生产的需要和特点，采用综合检查、专业检查、季节性检查、节假日检查、日常检查等方式进行隐患排查。 5.8.3 隐患治理 企业应根据隐患排查的结果，制定隐患治理方案，对隐患及时进行治理。 隐患治理方案应包括目标和任务、方法和措施、经费和物资、机构和人员、时限和要求。重大事故隐患在治理前应采取临时控制措施并制定应急预案。 隐患治理措施包括：工程技术措施、管理措施、教育措施、防护措施和应急措施。 治理完成后，应对治理情况进行验证和效果评估。 5.8.4 预测预警 企业应根据生产经营状况及隐患排查治理情况，运用定量的安全生产预测预警技术，建立体现企业安全生产状况及发展趋势的预警指数系统。 5.9 重大危险源监控 5.9.1辨识与评估 企业应依据有关标准对本单位的危险设施或场所进行重大危险源辨识与安全评估。 5.9.2登记建档与备案 企业应当对确认的重大危险源及时登记建档，并按规定备案。 5.9.3监控与管理 企业应建立健全重大危险源安全管理制度，制定重大危险源安全管理技术措施。 5.10 职业健康 5.10.1职业健康管理 企业应按照法律法规、标准规范的要求，为从业人员提供符合职业健康要求的工作环境和条件，配备与职业健康保护相适应的设施、工具。 企业应定期对作业场所职业危害进行检测，在检测点设置标识牌予以告知，并将检测结果存入职业健康档案。 对可能发生急性职业危害的有毒、有害工作场所，应设置报警装置，制定应急预案，配置现场急救用品、设备，设置应急撤离通道和必要的泄险区。 各种防护器具应定点存放在安全、便于取用的地方，并有专人负责保管，定期校验和维护。 企业应对现场急救用品、设备和防护用品进行经常性的检维修，定期检测其性能，确保其处于正常状态。 5.10.2职业危害告知和警示 企业与从业人员订立劳动合同时，应将工作过程中可能产生的职业危害及其后果和防护措施如实告知从业人员，并在劳动合同中写明。 企业应采用有效的方式对从业人员及相关方进行宣传，使其了解生产过程中的职业危害、预防和应急处理措施，降低或消除危害后果。 对存在严重职业危害的作业岗位，应按照GBZ158要求设置警示标识和警示说明。警示说明应载明职业危害的种类、后果、预防和应急救治措施。 5.10.3职业危害申报 企业应按规定，及时、如实向当地主管部门申报生产过程存在的职业危害因素，并依法接受其监督。 5.11应急救援 5.11.1应急机构和队伍 企业应按规定建立安全生产应急管理机构或指定专人负责安全生产应急管理工作。 企业应建立与本单位安全生产特点相适应的专兼职应急救援队伍，或指定专兼职应急救援人员，并组织训练；无需建立应急救援队伍的，可与附近具备专业资质的应急救援队伍签订服务协议。 5.11.2应急预案 企业应按规定制定生产安全事故应急预案，并针对重点作业岗位制定应急处置方案或措施，形成安全生产应急预案体系。 应急预案应根据有关规定报当地主管部门备案，并通报有关应急协作单位。 应急预案应定期评审，并根据评审结果或实际情况的变化进行修订和完善。 5.11.3应急设施、装备、物资 企业应按规定建立应急设施，配备应急装备，储备应急物资，并进行经常性的检查、维护、保养，确保其完好、可靠。 5.11.4应急演练 企业应组织生产安全事故应急演练，并对演练效果进行评估。根据评估结果，修订、完善应急预案，改进应急管理工作。 5.11.5事故救援 企业发生事故后，应立即启动相关应急预案，积极开展事故救援。 5.12事故报告、调查和处理 5.12.1事故报告 企业发生事故后，应按规定及时向上级单位、政府有关部门报告，并妥善保护事故现场及有关证据。必要时向相关单位和人员通报。 5.12.2事故调查和处理 企业发生事故后，应按规定成立事故调查组，明确其职责与权限，进行事故调查或配合上级部门的事故调查。 事故调查应查明事故发生的时间、经过、原因、人员伤亡情况及直接经济损失等。 事故调查组应根据有关证据、资料，分析事故的直接、间接原因和事故责任，提出整改措施和处理建议，编制事故调查报告。 5.13绩效评定和持续改进 5.13.1绩效评定 企业应每年至少一次对本单位安全生产标准化的实施情况进行评定，验证各项安全生产制度措施的适宜性、充分性和有效性，检查安全生产工作目标、指标的完成情况。 企业主要负责人应对绩效评定工作全面负责。评定工作应形成正式文件，并将结果向所有部门、所属单位和从业人员通报，作为年度考评的重要依据。 企业发生死亡事故后应重新进行评定。 5.13.2持续改进 企业应根据安全生产标准化的评定结果和安全生产预警指数系统所反映的趋势，对安全生产目标、指标、规章制度、操作规程等进行修改完善，持续改进，不断提高安全绩效。

6. 网络安全的标准是什么

这个要看你指的是什么方面，如果从基础方面来讲，信息保密、网络加固、系统安全等都会涉及到相关的网络安全标准。 如果从更高的方面而言，网络安全的标准可以扩展到整个互联网的安全或者说骨干网络、路由等设备的安全等。 而上述的每个标准都是不一样的，建议去各个专业网络寻找资料：藏锋者网络安全: http://www.cangfengzhe.com

7. 信息安全标准化工作兴起于什么时候

信息安全标准化工作兴起于20世纪70年代中期。

国际上，信息安全标准化工作，兴起于二十世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注目前。目前世界上约有近300个国际和区域性组织，制定标准或技术规则，与信息安全标准化有关的主要的组织有：国际标准化组织(ISO)、国际电工委员会（IEC）、国际电信联盟（ITU）、Inte.net工程任务组（IETF）等。

国际标准化组织(ISO) 于1947年2月23日正式开始工作，ISO/IEC JTC1（信息技术标准化委员会）所属SC 27（安全技术分委员会）其前身是SC20（数据加密分技术委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，它主要制定行业应用标准，在组织上和标准之间与SC27有着密切的联系。ISO/IEC JTC1负责制定标准主要是开放系统互连、密钥管理、数字签名、安全的评估等方面的内容。

国际电工委员会（IEC）正式成立于1906年十月，是世界上成立最早的专门国际标准化机构。在信息安全标准化方面，主要与ISO联合成立了JTC1下分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会，如TC56 可靠性、TC74 IT设备安全和功效、TC77 电磁兼容、TC 108 音频/视频、信息技术和通讯技术电子设备的安全等，并制定相关国际标准，如信息技术设备安全（IEC 60950）等。

国际电信联盟（ITU）成立于1865年5月17日，所属的SG17组，主要负责研究通信系统安全标准。SG17组主要研究的有：通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H323网络安全、下一代网络安全等标准方面进行了研究。目前ITU-T建议书中大约有40多个都是与通信安全有关的标准。

Internet工程任务组（IETF）史创于1986年，其主要任务是负责互联网相关技术规范的研发和制定。目前，IETF已成为全球互联网界最具权威的大型技术研究组织。

IETF标准制定的具体工作由各个工作组承担，工作组分成八个领域，分别是Internet路由、传输、应用领域等等，着名的IKE和IPsec都在RFC系列之中，还有电子邮件，网络认证和密码标准，也包括了TLS标准和其它的安全协议标准。

8. 网络安全等级保护2.0国家标准

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害
相较于1.0版本，2.0在内容上到底有哪些变化呢？
1.0定级的对象是信息系统，2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。
再者，在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后，等保2.0标准不再强调自主定级，而是强调合理定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。
总结通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据：《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。