中国大唐集团新能源股份有限公司发包工程安全管理规定(doc 38页)

安全性

□对信息系统安全性的威胁

任一系统，不管它是手工的还是采用计算机的，都有其弱点。所以不但在信息系统这一级而且在计算中心这一级(如果适用，也包括远程设备)都要审定并提出安全性的问题。靠识别系统的弱点来减少侵犯安全性的危险，以及采取必要的预防措施来提供满意的安全水平，这是用户和信息服务管理部门可做得到的。

管理部门应该特别努力地去发现那些由计算机罪犯对计算中心和信息系统的安全所造成的威胁。白领阶层的犯罪行为是客观存在的，而且存在于某些最不可能被发觉的地方。这是老练的罪犯所从事的需要专门技术的犯罪行为，而且这种犯罪行为之多比我们想象的还要普遍。

多数公司所存在的犯罪行为是从来不会被发觉的。关于利用计算机进行犯罪的任何统计资料仅仅反映了那些公开报道的犯罪行为。系统开发审查、工作审查和应用审查都能用来使这种威胁减到最小。

□计算中心的安全性

计算中心在下列方面存在弱点：

1.硬件。如果硬件失效，则系统也就失效。硬件出现一定的故障是无法避免的，但是预防性维护和提供物质上的安全预防措施，来防止未经批准人员使用机器可使这种硬件失效的威胁减到最小。

2.软件。软件能够被修改，因而可能损害公司的利益。严密地控制软件和软件资料将减少任何越权修改软件的可能性。但是，信息服务管理人员必须认识到由内部工作人员进行修改软件的可能性。银行的程序员可能通过修改程序，从自己的帐户中取款时漏记帐或者把别的帐户中的少量存款存到自己的帐户上，这已经是众所周知的了。其它行业里的另外一些大胆的程序员同样会挖空心思去作案。

3.文件和数据库。公司数据库是信息资源管理的原始材料。在某些情况下，这些文件和数据库可以说是公司的命根子。例如，有多少公司能经受得起丢失他们的收帐文件呢?大多数机构都具有后备措施，这些后备措施可以保证，如果正在工作的公司数据库被破坏，则能重新激活该数据库，使其继续工作。某些文件具有一定的价值并能出售。例如，政治运动的损助者名单被认为是有价值的，所以它可能被偷走，而且以后还能被出售。

4.数据通信。只要存在数据通信网络，就会对信息系统的安全性造成威胁。有知识的罪犯可能从远处接通系统，并为个人的利益使用该系统。偷用一个精心设计的系统不是件容易的事，但存在这种可能性。目前已发现许多罪犯利用数据通信设备的系统去作案。

5.人员。用户和信息服务管理人员同样要更加注意那些租用灵敏的信息系统工作的人。某个非常无能的人也能像一个本来不诚实的人一样破坏系统。

□信息系统的安全性

信息系统的安全性可分为物质安全和逻辑安全。物质安全指的是硬件、设施、磁带、以及其它能够被利用、被盗窃或者可能被破坏的东西的安全。逻辑安全是嵌入在软件内部的。一旦有人使用系统，该软件只允许对系统进行特许存取和特许处理。

物质安全是通过门上加锁、采用防火保险箱、出入标记、警报系统以及其它的普通安全设备就能达到的。而作为联机系统的逻辑安全主要靠“口令”和核准代码来实现的。终端用户可以使用全局口令，该口令允许利用几个信息系统及其相应的数据库；终端用户也可使用只利用一个子系统或部分数

据库的口令。

□安全分析过程

大多数公司的办公人员询问关于信息和计算中心的安全时，往往问“一切都行了吗?”其实他们应该问“对于信息和计算中心的安全，我们应该做什么?”。

用户管理人员应该与信息服务管理人员定期地共同研究，进行安全分析，这种安全分析为各方都愿意接受。简言之，这种安全分析意指决定要多大的一把“挂锁”。遗憾的是，某些公司乐意承担巨大的风险，但又侥幸地希望不要出现自然灾害或预先考虑到的祸患。“难得出现”并不等于“永不出现”，关于这一点某些公司发现得太晚了。

中国大唐集团新能源股份有限公司

发包工程安全管理规定

（大唐新能源制〔2010〕39）

第一章总则

第一条为规范中国大唐集团新能源股份有限公司（以下简称新能源公司）电力生产发包工程安全管理工作，保障员工生命和公司财产安全，依据《中国大唐集团公司电力生产发包工程安全管理规定》、《中国大唐集团新能源股份有限公司安全生产工作规定》，制定本规定。

第二条新能源公司的电力生产工作应充分挖掘、利用本公司自身的人力和设备资源来完成。确需要利用公司外人力资源的，必须采用对外发包工程的方式，严禁直接雇佣劳务用工。

第三条新能源公司对外发包工程必须由各分子公司统一管理，发包给具有安全资质和条件的单位，严禁发包给任何个人，严禁以风场、班组或职能部门的名义对外发包工程。

第四条对外发包工程必须依法签订工程承包合同。对外发包工程安全监督管理必须到位，严禁以包代管、以罚代管。

第五条发包工程安全管理基本要求：谁发包、谁负责安全管理；谁使用、谁负责安全监护；为谁服务，谁负责安全监督。

第六条对外发包工程严格执行电力生产发包工程安全管理规定，有安全隐患的施工队伍不准进入现场；有安全隐患的人员不得

进入现场；有安全隐患的施工机械不准进入现场；有安全隐患的工程设备不准进入现场；有安全隐患的材料不准进入现场；有安全隐患的施工措施不准审批实施；有安全隐患的区域不准开放施工。

第七条未经新能源公司批准，任何分子公司或个人不得以任何形式向有关单位（企业）提供劳务，否则发生的责任事故及人身伤害，追究相关领导和人员责任。

第八条本规定适用于中国大唐集团新能源股份有限公司系统各单位。

第九条定义和术语

（一）电力生产工作

指发电、输变电、电力检修、电力试验、电力建筑等有关的生产性工作，如电力设备（设施）的运行、检修维护、施工安装、试验、生产性管理工作以及电力设备的更新改造、安装、检修和试验等工作。

（二）工程发包

指建设单位遵循公开、公正、公平的原则，通过采用公告或邀请书等方式提出项目内容及其条件和要求，约请有兴趣参与竞争的单位按规定条件提出实施计划、方案和价格等，再采用一定的评价方法择优选定承包单位，最后以合同形式委托其完成指定工作的活动。

（三）转包

指承包单位承包建设工程后，不履行合同约定的责任和义务，将其承包的全部建设工程转给他人或者将其承包的全部建设工程肢解以后以分包的名义分别转给其他单位承包的行为。