禁止歧视控制程序
版/次:A/0
标题:禁止歧视控制程序页数:第1页共3页
生效日期:2010-10-29
1.目的
建立并维护禁止歧视的政策,保证公司所有工人不受任何歧视,确保公司持续经营符合当地法规和EICC标准的要求。
2.适用范围
适用于本公司禁止歧视的所有活动。
3.定义:无
4.职责
4.1 运营管理中心负责制定公司规章制度,体现禁止歧视行为的政策,定期调查各部门禁止歧视的执行情况,必要时进行纠正和补救行动。
4.2 各部门认真执行公司禁止歧视的政策和程序。
5.工作程序
5.1 运营管理中心负责制定《公司规章制度》,并保证所有的制度和守则不含有任何形式的歧视性规定,包括有关招聘、工资、福利、培训、升职、解雇的政策时,坚持公平、平等的原则,不因员工的种族、社会等级、国籍、宗教信仰、残疾(能满足工作要求者)、性别、工会会员资格、政党或年龄等方面的不同而采取歧视行为。
5.2在公司日常运作活动中,绝对禁止任何制度执行人对工人采取任何形式的歧视行为,应提供公平合理的工作机会和工作环境,在处理聘用、报酬、培训机会、升职或解雇等事务时完全根据个人的工作能力、绩效和工作需要作出决定,要分清管理需要和歧视的关系。
5.2.1运营管理中心明确招工政策和程序,本公司的招工原则是面向社会、公开招聘、全面考核、择优录用,与工人签订劳动合同,明确雇用关系,保证招工过程不发生任何形式的歧视行为。5.2.2运营管理中心明确工资报酬的规定,保证同工同酬、男女平等、多劳多得、奖勤罚懒,计时工只允许因工作绩效或工作表现不同获取不同工资,不允许除此之外的其它因素发生歧视性事件和行为。
5.2.3公司明确规定,不得限制工人的宗教信仰的自由权利和行使地方风俗习惯的权利(指不违反中华人民共和国法律法规标准及其它要求的宗教信仰和习俗)。
5.2.4公司明确规定禁止任何形式的歧视女工行为,特别是怀孕女工的行为。
5.3 公司绝对禁止任何形式的性胁迫、威胁、凌辱或剥削性质的行为,包括语言、姿势和身体接触。5.3.1公司不采取惩戒性措施,不强迫劳动,不用任何违反法律的行为来维护工厂秩序,不进行任何性质的剥削工人的行为,包括物质上和精神上的。
5.3.2公司必须尊重员工的基本人权,各制度执行人不以任何形式采取对工人的凌辱行为,绝对禁止工人之间采取任何形式的凌辱和歧视事件,一旦有此类现象发生,运营管理中心应派与事件相关的人员无利益冲突关系的人员进行公平合理的调整,采取必要的纠正补救行动。5.3.3公司绝对禁止任何形式的性胁迫、性侵犯及性骚扰,包括姿势、语言和身体接触等行为,此规定适合于公司范围内每一位在职人员或不在职人员,如不得在任何区域采用监视、监听器探寻工人隐私等,工人在浴室、卫生间等地带违反纪律的,除构成严重的刑事法律威胁外,执勤
版/次:A/0
标题:禁止歧视控制程序页数:第2页共3页
生效日期:2010-10-29 人员不得以任何理由在浴室、卫生间进行拍照等行为,工厂应对骚扰者进行严肃处理,必要时送当地治安队追究其法律责任。
5.3.4一旦发生歧视行为或者性骚扰,工人可直接向工人代表、管理者代表及经理投诉或申诉,一般情况员工提案投诉报告以意见箱、递呈的方式进行,如有特殊情况(如在紧急情况下以书面报告投诉无法追究侵犯者责任时),可直接向公司领导进行口头申诉,各相关人员及时受理。
工人投诉具体按《员工申诉建议程序》执行。
6.相关文件
6.1《禁止强迫劳动程序》TL-EI-OP-006
6.2《招工程序》TL-EI-OP-003
6.3《惩戒性措施控制程序》TL-EI-OP-010
6.4《员工申诉建议程序》TL-EI-OP-021
7.相关记录
7.1《员工提案投诉报告》TL-DEI-019
8.修订履历
序号修订内容版本
版次
编制审核审批
生效
日期
失效
日期
版/次:A/0
标题:禁止歧视控制程序页数:第3页共3页
生效日期:2010-10-29
运行策划控制程序
运行策划控制程序标准化工作室编码[XX968T-XX89628-XJ668-XT689N]
1.0目的 制定本程序的目的在于对产品的设计和开发过程(包括软件和硬件)进行有效的控制,确保产品设计达到预期的目的。 2.0范围 此程序文件适用于本公司产品的设计和开发过程的控制。 3.0职责 3.1技术质量部是公司产品开发和改进的负责部门,其职责是: 3.1.1掌握市场和新技术动向,负责新产品的设计和开发任务。 3.1.2承担老产品软、硬件改进的任务。 3.1.3在产品开发成果移交生产前,负责设计开发报告、产品标准、材料技术要求等有关文件,并协助生产加工部进行试生产。 3.1.4负责设计开发过程中文件资料的收集、汇总、整理、归档。 3.1.5对产品服务的技术管理。 3.2相关部门配合技术质量部完成试制过程。 3.3总经理负责设计和开发项目的进展和过程监督。 4.0程序 4.1 设计和开发的策划 4.1.1产品/项目设计开发立项的依据: a)销售部根据顾客建议或市场需要,填写《项目开发建议书》报技术质量部。 b)技术质量部根据国内市场销售、新技术发展动态,结合本公司对产品发展需要,提出产品需更新换代时,填写《项目开发建议书》。 c)总经理根据企业发展需要,下达新产品项目开发指令。 4.1.2 总经理根据上报的《项目开发建议书》,确定需要进行可行性研究的项目,指定技术质量部进行调研后形成结论,经技术质量部主管审核,总经理批准。 4.1.3 产品/项目开发可行性的评审 总经理组织技术质量部、综合管理部、生产部有关人员,依据《项目开发建议书》等资料,对产品/项目开发的可行性进行评审,对通过评审的项目正式立项。 4.1.4 编制项目开发计划 新产品立项后,由技术质量部编制《项目开发计划》。内容包括: a)开发人员及其分工。 b)所需设备、及其经费概算。
反歧视管理程序(EICC5.1版)
反歧视管理程序 1.目的 为保证员工的就业权利和利益不受侵犯,切实遵守《中华人民共和国劳动法》及社会责任之要求,特制定禁止对就种族、肤色、年龄、性别、性倾向、民族、残疾、怀孕、信仰、政治派别、社团成员或婚姻状况等歧视政策,以保证人人享受平等、公正的对待。 2.范围 适用于本公司内所有员工及应聘人员。 3.权责: 3.1 管理代表:对禁止歧视行为规章制度的签署和监督; 3.2 行政部:制定和推行公司禁止歧视的政策,调查有关歧视方面的投诉并及时采取纠正措施; 3.3 各部门负责:宣导禁止歧视政策和执行禁止歧视规定的作业内容。 4.定义 歧视:就是公司不提供公平合理的工作机会,在决定聘用、报酬、培训机会、升职、降职或退休等劳动事务时不是根据个人的工作能力和工作需要作出决定,而是根据种族、社会阶 级、国籍、宗教、残疾、性别取向、工会会员资格和政府关系等方面的因素作出决定。 5.内容 5.1歧视的种类 歧视的种类有:性别歧视、性倾向歧视、民族歧视、肤色歧视、地域歧视、出身歧视、信仰歧视、语言歧视、健康歧视、年龄歧视、学历和文凭歧视、怀孕、社团成员、政治派别、婚姻状况等的歧视。 5.2歧视的管理 5.2.1性别歧视 性别歧视是世界范围内普遍存在的一种歧视。公司应实现男女同工同酬,确保无论性别、 年龄、种族、肤色等的情况造成的不公平待遇。禁止由于女职工在经期、孕期、产期上 的生理原因以及出差时的不便,而在招聘时明确规定“不招女生”。 5.2.2性倾向歧视. 禁止对招聘人员的性倾向进行限制。 5.2.3民族歧视 禁止对招聘人员的民族进行限制。 5.2.4肤色歧视 禁止在招聘时以肤色取人。 5.2.5出身歧视 农民工受到的制度性歧视,禁止在招聘时设置“户籍门槛”的现象,禁止出生歧视。
系统访问控制程序
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
用户访问控制管理规定
用户访问控制管理规定 1目的 为了明确用户访问控制管理的职责权限、内容和方法要求,特制定本规定。 2适用范围 本规定适用于信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工”)3术语和定义 4职责 4.1IT部门 a)是本规定的归口管理部门; b)负责本规定的修订、解释和说明及协调实施工作。 4.2信息安全 进行本规定修订及实施的协调工作 4.3相关部门 贯彻执行本规定的相关规定。 4.4部门管理者 a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任; b)决定本部门是否要单独制定访问控制方案。 4.5IT负责人 a)负责制定和修改组织的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)指导IT责任人的工作,并在必要时进行协调。 c)有权指定系统管理员 4.6IT责任人 a)具体制定和修改组织的访问控制方案,提交IT方案负责审核; b)指导部门IT责任人实施访问控制方案; c)对访问控制方案的进行定期评审,并提出修改意见。 d)委托系统管理员依照IT部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下,访问控制方案实施状况的最终责任,仍然由IT责任人承担。 4.7部门IT责任人 a)如果本部门需单独制定访问控制方案,在部门管理者的授权下制定和修改本部门的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)在IT责任人的指导下,实施访问控制方案。 c)针对访问控制方案向IT责任人进行问题反馈和提出改善意见。 4.8系统管理员 对于来自IT责任人委托的措施和相关操作,担负着切实履行的责任。 5管理要求 5.1用户认证 组织主要系统,包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案,必须满足《用户标识与口令管理指南》的规定。 5.1.1用户标识控制 相关信息资产责任人所在部门IT责任人为了实现个人认证,需要采取以下措施,部门IT责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期,并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括: 5.1.1.1用户注册分派的流程 a)用户或代理人提交用户标识的申请 b)部门IT责任人核实该用户的身份 c)部门管理者审批 d)用户提交到IT责任人 e)IT责任人委托信息系统管理员实施注册 f)系统管理员向用户分派用户标识。 5.1.1.2用户标识分派的注意事项
物理访问控制程序
物理访问控制程序 1 适用 本程序适用于本公司员工及其他组织、人员(第三方)对本公司的物理访问控制。 2 目的 加强和规范本公司员工及来访本公司的相关人员的管理,确保公司内部安全和保密。 ?为维护公司人身、财产的安全和办公秩序,特制定本程序。 ?充分有效地使用公司资源,为来宾提供高质量、个性化的参观接待;从而更好地推广企业形象,并为各部门提供业务增值。 3 职责 确保公司内部安全防范和保密性,有效、有序地规范管理本公司员工及来访本公司的相关人员是DXC的主要职责之一,公司其他相关部门也要按照各自职责负责加强和管理来访本部门的相关人员。 4 程序 4.1外来人员分类 a) 本公司借用人员; b) 保洁工; c) 业务合作人员; d) 设备厂商技术人员; e) 施工安装单位作业人员; f) 货运接送或销售人员等; g) 合资合作方人员; h) 上级单位领导; i) 来公司联系业务的人员; j) 来公司参观、视察的贵宾或嘉宾;
k) 体系外的其他人员。 4.2安全区域分类 区域标识尽量使用编号。
4.3访问的授权 4.4 门禁出入规定 门禁卡:为了提升公司整体形象,规范员工管理工作,及维护公司秩序,公司为每位员工制作员工卡,卡片正面印有员工照片,中文姓名,英文姓名,和员工编号,便于员工身份识别。公司门禁卡的胸带分为蓝色和红色2种,分别适用于以下人群: ?蓝色胸带:公司内部员工 ?红色胸带:进入公司的外部相关方人员 门禁设置:每道办公室大门均设置相应的出入权限,根据员工工作性质,属性设置相应的出入权限。 4.4.1 员工门禁管理 a)新员工门禁卡制作 ●DXC根据各部门助理提交的《新进人员入职内部准备表》中的门禁权限予以制作; ●各部门助理到行政部签字领取制作好的门禁卡; ●DXC留档; b)员工门禁卡权限变更 ●门禁权限变更申请人提交《变更申请表》,完成审核批准流程; ●DXC根据《变更申请表》中的门禁变更信息予以制作; ●DXC留档;
防止歧视及骚扰管理规定
1 目地 为了确保每个员工在录用、工资、待遇、培训机会、工作安排、升职、处分、解雇都受到公平的对待,特制定本管理程序。 2 职责: 2.1行政人事部负责员工招聘、录用、调配、晋升、工资和奖金发放活动中平等对待工作。 2.2 部门主管工作分配、调配、员工晋升推荐、奖金评定和员工评审活动中平等对待工作。 2.3行政人事部负责处理员工投诉。并提供指导和支持必须时报高层经理批准。 2.4总经理负责监督本制度的执行情况。 3 程序内容: 3.1行政人事部应允许所有符合条件的申请人参加所申请工作地考试,招聘广告中不能限制性别、种族、宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等。 3.2依据职工的技能高低决定是否录用,而不因性别,种族,宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等因素而区别对待。 3.3行政人事部可以规定工作场所所允许的行为与举止,但是所有的聘用决定必须取决于完成工作所需的技能和品质。 3.4不得要求女工在入职前后做怀孕测试和童贞测试; 女工在怀孕后不应受到歧视、解雇和终止劳动合同,应该视身体状况决定是否需要调整工作岗位,并按照《女工特殊保护程序》的要求执行。 3.5犯过错的员工在已得到相应处分后并改正行为的不应在以后的工作中受到歧视,解雇员工也必须有章可询,避免歧视。 3.6技能、受教育经历等相似从事相同工作的员工的起薪应该是相同的,支付给员工的工资、奖金、及其他形式的补贴应该根据员工的工作表现决定,不能因为性别、种族、宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等因素而区别对待。 3.7公司成立:"意见箱",员工可以将受到歧视的事件写成书面材料,投放到"意见箱"内,由行政人事部相关人员处理员工受到歧视事件,对每件事都深入调查,如果事情属实,要对歧视者进行相应的惩罚,并将处理结果告诉员工。 3.8在员工录用时,人力资源部应对新员工进行相关的培训。
ISO27001系统访问控制程序
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
基于文件访问控制和进程访问控制的服务器加固方法与制作流程
本技术公开了一种基于文件访问控制和进程访问控制的服务器加固方法,利用服务器加固装置对服务器进行加固,使系统成为安装有安全内核的系统,服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块。本技术解决了传统安全软件被动防御现状,使服务器具备主动防御的能力,为服务器提供全面的安全保护。 权利要求书 1.一种基于文件访问控制和进程访问控制的服务器加固方法,利用服务器加固装置对服务器进行加固,使系统成为安装有安全内核的系统,所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块;双重身份认证模块,用户采用USB Key和密码双重身份证方式,只有插入USB Key输入正确的口令才能登录,否则无法登录;USB外设管制模块,对USB存储设备进行禁用,未经授权禁止使用,而对非USB存储设备不影响其正常的使用;注册表访问控制模块,对注册表访问进行监控,对于未经授权禁止修改;网络控制模块,对于未经授权开放的端口禁止外部网络访问,未经授权的进程禁止使用网络功能,对于已经授权的进程允许外对访问指定IP或端口;进程保护机制模块,对于进程采用白名单机制,对进程进行指纹识别,指纹识别方法包MD5值和微软数字签名,符合白名单的进程能正常启动和使用,不在其中的禁止运行;敏感数据的访问控制模块,对于敏感的数据采用windows文件过滤驱动技术,对于未经授权的进程禁止访问,已经授权进程能根据敏感的数
据要求授予读、写、删除功能;系统自身防护模块,采用进程指纹识别、进程防杀和A与B 进程方式,保护系统自身进程不被异常终止、伪造,其特征在于,其实现流程如下: (1)首先建立合法进程的数字签名和MD5值池并保存到数据库中,收集数字签名和MD5值的方法包括静态方法和动态方法:静态方法是通过收集工具选取指定的程序,读取微软的数字签名和对进程的二进制文件进行MD5运算;动态的方法是本安装有安全内核的系统的控制中心下发策略,通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令,终端执行完成命令后回传给后台服务,后台服务接收并保存到数据库中; (2)建立用户权限组和用户帐户,并将用户加入到指定的权限组中,用户能归属不同的组,实现一个用户能兼任多种角色;初始化用户的身份证的密码和登录认证USB Key;用户第一次登录本系统时必须修改密码,之后必须插入USB Key和输入用户和密码才能正确登录本系统,未登录本系统将电脑进行锁屏处理; (3)进程控制的流程,包括: 31)运行控制,首先通过进程保护机制模块监控到进程的创建动作,读取进程文件的数字签名和对文件内容进行MD5运算,查找本系统控制中心配置的策略来匹配是否为合法进程,如果是合法进程则允许此进程运行,如果不是合法进程则禁止此进程运行,并生成相应的日志上传到本系统的后台保存; 32)注册表访问控制,首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为,查找本系统控制中心配置的策略来匹配是否允许访问,如果允许访问则放行,如果不允许访问则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中; 33)网络访问控制,首先通过网络控制模块监控进程的网络的访问,对TCP/IP包进行拦截,查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址,如果是允许访问的则返回成功,如果是不允许访问的则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中; (4)文件访问控制流程
反歧视管理程序
反歧视管理程序 一.目的: 为了提供公平合理的工作机会,使公司在聘用、报酬、培训、 升迁、解聘等事项上不存在歧视行为,特制定本规定。 二.权责: 1.行政部负责:制定和推行公司禁止歧视的政策,调查有关歧视 方面的投诉并及时采取纠正行动; 2.各部门负责:宣导反歧视政策和执行反歧视规定的作业内容。三.定义: 歧视就是公司不提供公平合理的工作机会,在决定聘用、报酬、培训机会、升职、降职或退休劳动事务时不是根据个人的工作能力和工作需要作出决定,而是根据种族、社会阶段、国籍、宗教、残疾、性别取向、工会会员资格和政府关系方面的因素作出决定。四.管理内容:公司不得采用歧视或者支持使用歧视,主要包括: 1.公司的政策和守则要依照国家法律规定,不能存在歧视内容或 行为; 2.公司日常运作程序包括: ⑴公司在招聘时:不分民族种族社会阶层性别区域或国籍政治归 属等: ⑵录用职工时:除不符合妇女的工种或者岗位外,不可拒绝录用 或提高录 用妇女的录用标准;
⑶除国家规定的疾病不能上岗外,公司对残疾人员经过体检考试 合格均可录用; ⑷工资报酬:实行男女平等同工同酬; ⑸升职:所有在职员工,不分性别、国籍、表现突出者,经过 考核合格,可以晋升在更高的职位上工作; ⑹解职:公司依照法律法规和劳动者签订劳动合同,不得因是 员工代表、年龄等原因借口解职在职员工; ⑺宗教信仰公司员工宗教信仰自由,公司不强制也不歧视员工信 仰宗教或不信仰宗教,保护正常的宗教活动; 五.接到申诉由行政部对申诉情况进行查证,如果情况属实,情节轻微的对骚扰者进行教育,让其认识到自己的错误,严重者报警处理。 XX有限公司
访问控制
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
运行控制程序
运行控制程序 1 目的 在受控条件下对工程的质量、 安全和环境以及职业健康进行有效控制, 使其满足预定的 目标要求。 2 范围 本程序适用于公司输变电工程施工过程的控制。 3 职责 3.1 工程管理部负责对施工过程进行策划并实施监督, 重大工程施工方案及技术措施、安全文明施工策划,并负责对工程项目 施 工质量管理策划、 施工设计、施工准备、施工质量和服务进行监督、指导、检查和考核。 3.2 工程部负责组织对输、变电工程施工过程进行第三级检验。 3.3 市场开发部负责及时提供合格的材料、设备和工器具。 3.4 施工人员应履行岗位职责, 艺文件和作业指导书进行施工。 变电工程的施工。施工班组和工施工项目部分别负责过程质 严格按照相关 规定作好安全措施,确保安全生产。 4 工作程序 4.1 工程部组织项目部根据工程特点,对项目质量、安全和环境保护进行策划,见《施工组 织设计编写程序》的要求。 4.2 工程部依据项目质量管理策划的结果提出施工准备内容。 4.2.1 开工前,施工项目部应进行全面的施工准备,办理开工手续,为正式开工创造必要的 施工条件。各分部、分项施工前,应进行分部分项工程的施工准备。施工准备的工作内容: (1) 办理开工手续。 (2) 工程项目划分,将整个工程逐级划分为单项工程、单位工程、分部工程、分项工程 和检验批,并逐级编号,以便控制、检查、评定和监督。 (3) 技术准备,包括:熟悉施工图纸,进行设计交底、图纸会审;编制各项计划、措施 和方案;绘制施工详图等。 (4) 现场准备,包括:工程定位和标高的基准控制,施工平面布置。 (5) 材料准备,包括:工程材料设备选型、报批,采购,进货验证、存储。 (6) 施工机械设备准备,包括:设备选型,采购或租赁,进场安装验收。 包括办理,采购材料设备并组织进场,选择分包并组织进场,搭建临时设施。 4.2.2 施工准备阶段,施工项目部应将项目组织机构、管理人员、关键工序人员、特种作业 人员、测量成果、进场的材料设备和分包等向监理方或发包方报审、报验。开工前,工程管 理部应对项目是否具备下列开工条件进行确认: (l) 项目管理实施规划 /施工组织设计已审批。 (2) 施工图会检已进行。 (3) 各项施工管理制度和相应的作业指导书已制定并审查合格。 (4) 安全文明施工实施细则满足要求。 审查项目管理实施规划 /施工组织设计 具有较高的业务技术素质,严格按设计图纸、规程规范、工 3.5 施工项目部 -负责组织输、 量第一级、第二级检验和试验,
ISO27001信息网络访问控制程序
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
环境运行控制程序通用版
管理制度编号:YTO-FS-PD767 环境运行控制程序通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
环境运行控制程序通用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 1.0目的 对本公司物业管理服务过程及管理过程中与环境影响相关的运行和活动进行有效控制,确保环境管理体系的良好运行和质量、环境、职业健康安全方针的实现。 2.0适用范围 适用于本公司资源(水、电、纸张和原材料等)的使用和环境污染物(污水、废气、噪声、废弃物)的排放与环境因素有关的活动的控制,以及对相关方的管理。 3.0主要职责 3.1管理处负责对水、电的控制,消防安全管理,设备维修时的环境管理及废弃物管理。 3.2行政部负责对办公用纸的控制。 3.3管理处负责对维修零配件使用控制、危险品的管理、使用控制和小区(大厦)废弃物的收集、搬运,以及物业管理服务现场的其它环境管理事项,并对服务供方施加影响。 3.4各部门应积极配合其它职能部门的管理。
03防止强迫劳动、歧视及骚扰控制程序
制定:__________________ 审核:__________________ 批准:__________________日期:__________________ 日期:__________________ 日期:__________________ 1目的 预防强迫劳动、歧视及骚扰的情形发生,保护员工的正当权益和安全,以符合社会责任系 统所规定的要求。
2适用范围 整个公司 3 定义 无 4 权责 4.1办公室及相关部门负责执行实施。 4.2工会代表监督执行情况。 5 作业内容 5.1 办公室负责把与强迫劳动、歧视及骚扰相关的法律传达给各管理层及员工。通过培训或任何形式使员工有深入的理解。 5.2 公司根据相关的法律和社会责任的要求制定制度,防止强迫劳动、歧视及骚扰的发生。 5.2.1 防止强迫劳动 5.2.1.1本公司禁止使用囚犯。 5.2.1.2本公司禁止限制员工的人身自由、禁止殴打、污辱、体罚和对员工进行搜身。 5.2.1.3本公司禁止以任何理由扣押员工的居民身份证、暂住证、驾照、学历 证及其他有效证件。 5.2.1.4本公司禁止以扣押工资方式逼使员工工作或服务。 5.2.1.5本公司禁止以偿还债务来强迫员工工作或服务。 5.2.1.6本公司禁止以扣工资手段威胁员工工作和服务。 5.2.1.7本公司禁止以辞退、开除或其他手段强迫员工工作或服务。 5.2.2防止歧视及骚扰 5.2.2.1禁止有基于种族、社会等级、国籍、宗教、身体残疾、性别、 性取向、工会会员、政治归属或年龄之上的歧视。 5.2.2.2禁止干涉员工的宗教信仰和风俗习惯。同时应维护涉及民族、 社会阶层、国籍、宗教、残疾、性别、性取向、工会会员和政治从属需要 的权利。 5.2.2.3禁止有威胁、虐待或剥削的侵犯和性强迫行为,无论同性或异 性,包括姿势、语言和身体的接触或其他未列的方式。
ISO27001:2013信息系统访问与监控管理程序
XXXXXXXXX有限责任公司 信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0
变更履历
1 目的 为了加强信息系统的监控,对组织内信息系统安全监控和日志审核工作进行管理,特制定本程序。 2 范围 本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部 为网络安全的归口管理部门。 3.2 网络安全管理员 负责对信息系统安全监控和日志的审核管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 程序 5.1 日志 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 系统管理员不允许删除或关闭其自身活动的日志。 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a)对记录的信息类型的更改; b)日志文件被编辑或删除; c)超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核
技术部IT专职人员每周审核一次系统日志,并做好《日志审核记录》。 对审核中发现的问题,应及时报告行政部进行处理。 对审核发现的事件,按《信息安全事件管理程序》进行。 5.3 巡视巡检 巡视人员负责每天监控巡视,技术部安全管理员每周进行一次监控巡视。 新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。 监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。 监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。 监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。 巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离 为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录(日志)及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志,系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a) 对记录的信息类型的更改; b) 日志文件被编辑或删除; c) 超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录 《日志审核记录》 《网络与信息安全检查表》
应用程序的运行控制方法及设备的制作方法
本技术提供了一种应用程序的运行控制方法及装置。方法包括获得基于至少一个第一系统调用以及至少一个第二系统调用编写的预设编程语言的标准库的源码,第一系统调用为SGX不支持的系统调用,第二系统调用为SGX支持的系统调用;根据至少一个第一系统调用,获得至少一个第三系统调用,所述第三系统调用是第一系统调用经过修改后得到的SGX支持的系统调用;根据至少一个第二系统调用以及至少一个第三系统调用,得到SGX支持的动态链接库;根据SGX支持的动态链接库,控制应用程序在SGX的安全内存上运行。本技术避免了对软件源码的大量重复修改,实现不增加开发成本的同时,软件可以运行在SGX的安全内存上,保护了软件的机密性和完整性,增强了软件的运行安全。 权利要求书 1.一种应用程序的运行控制方法,其特征在于,包括: 获得预设编程语言的标准库的源码,所述预设编程语言的标准库的源码是基于软件防护扩展SGX不支持的至少一个第一系统调用以及所述SGX支持的至少一个第二系统调用编写的; 根据所述SGX不支持的至少一个第一系统调用,获得所述SGX支持的至少一个第三系统调用;
根据所述至少一个第二系统调用以及所述至少一个第三系统调用,得到所述SGX支持的动态链接库; 根据所述SGX支持的动态链接库,控制应用程序在所述SGX的安全内存上运行。 2.根据权利要求1所述的应用程序的运行控制方法,其特征在于,根据所述SGX不支持的至少一个第一系统调用,获得所述SGX支持的至少一个第三系统调用,包括: 将所述SGX不支持的至少一个第一系统调用进行分类,得到多种类型的系统调用; 将所述多种类型的系统调用按照SGX的软件开发工具包SDK重新实现,得到所述SGX支持的至少一个第三系统调用。 3.根据权利要求1所述的应用程序的运行控制方法,其特征在于,根据所述至少一个第二系统调用以及所述至少一个第三系统调用,得到所述SGX支持的动态链接库,包括: 将所述预设编程语言的标准库的源码中的至少一个所述第一系统调用重定向为至少一个所述第三系统调用,根据至少一个所述第二系统调用以及至少一个所述第三系统调用,获得SGX 支持的动态链接库的源码; 对SGX支持的动态链接库的源码进行编译,得到所述SGX支持的动态链接库。 4.根据权利要求1所述的应用程序的运行控制方法,其特征在于,根据所述SGX支持的动态链接库,控制应用程序在所述SGX的安全内存上运行,包括: 根据所述SGX支持的动态链接库和所述SGX的安全内存,建立所述应用程序运行的隔离环境; 控制所述应用程序在所述隔离环境中的所述SGX的安全内存中运行。 5.根据权利要求4所述的应用程序的运行控制方法,其特征在于,根据所述SGX支持的动态
反歧视、性骚扰管理程序
1目的 制定制度,规范公司管理者行为,致力于提供一个公平合理,无歧视、无性骚扰的工作环境。 2范围 适用于本企业的所有管理人员的行为 3定义: 歧视:就是本来是平等的东西由于其他原因对这个事物产生不平等的态度。 性骚扰:包括各种冒犯性的,侮辱性的、胁迫性的不受欢迎的性侵犯。 4职责 人事部:在招聘、培训机会、晋升中不能歧视行为 企管部:在加酬及副利政策方面不能歧视行为 各级管理人员:在管理过程中不能有歧视和性骚扰行为 5程序 公司对每个员工提供公平合理的工作机会,在招聘、报酬、培训机会、晋升、解职及生产劳动管理过程中,任何部门的行政管理人员对每个员工必须一视同仁,不受其民族、性别、年龄、婚姻状况、职务、宗教、信仰、残疾、工会会员等原因而有针对性歧视行为,要通过其在工作中的态度、能力、业绩、团队合作等的表现来衡量。 公司绝不干涉所有员工遵奉信仰和风俗的权利,和满足涉及种族、社会阶层、国籍、宗教、残疾、性别、工会会员和政治从属需要的权利,同时绝不会因此受到歧视。 人事部在招聘和培训时不应有性别、年龄、婚姻状况、民族的限制,凡由于生产或工作需要符合招工条件的妇女,享有男女平等的就业权利,在录用职工时,除国家规定的不适合妇女的工种或者岗位外,不以性别为由拒绝录用妇女或者提高对妇女的录用条件。 女职工的怀孕、生育等严格贯彻执行《女职工劳动保护规定》。 按生产订单情况,需经济性裁员时,按《劳动法》第二十七条和劳动部《企业经济性裁员规定》的条例进行,向员工提供经营资料,提出裁减方案,征求员工意见,听取工会部门意见,对被裁减人员支付经济补偿金。 本厂的工会或员工对各级管理人员行使监督检查,积极参与,倡导反对歧视行为。 当有员工受到歧视时,员工可以书面或口头形式向上级领导或人事部投诉其所受的歧视,投诉情况将由人事部负责人委派人员调查并在调查后2天内向投诉者作出书面或口头的答复,被投诉者对下属员工有歧视行为的将根据严重程度,作口头警告、书面警告、调职、降职或解职的处理。 公司任何人不得侵犯工人的基本人权和尊严,本公司不允许管理人员/员工在任何情况下对员工有强迫性、威协性、虐待性或剥削性的性行为,包括姿势、语言(暗示性的身体的评价,下流的言语及黄色笑话、裸体照片等)和实际接触。 性骚扰的投诉及处理渠道:任何员工如果有被性骚扰,向上级反映,如仍然无效,立即向人事部反映,接到关于性骚扰的投诉将要严肃的对待,并对反映人要保密,对被投诉人要公正、机密、迅速地处理,公司采取行动,确保骚扰不再发生,投诉人及目击人将不会遭到报复和打击。 6.参考
电脑账户权限限制
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS 文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。 例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作:(1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。(2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。 (3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。 (4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。 (5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。 要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提,那就是要求应用程序所在的分区格式为NTFS,否则,一切都无从谈起。 对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,我们可以通过设置计算机的策略来禁止运行指定的应用程序。
运行策划控制程序JFO
运行策划控制程序J F O Final approval draft on November 22, 2020
1 目的 对公司所确定及所认定的重要环境及危险因素有关的运行与活动进行控制,以确保方针、目标和指标的有效实现。 2 适用范围 本程序对公司所确定及所认定的重要环境及危险因素有关的运行与活动的管理和控制进行了说明。 3 职责 管理者代表负责确定公司重要环境及危险因素。 管理者代表负责组织编制公司管理体系文件,确保重要环境及危险因素有关的运行和活动在受控状态下运行。 4 定义(略) 5 运作流程 管理者代表负责依据《环境因素控制程序》及〈危险源辨识和风险评价控制程序〉确定公司每一重要环境及危险因素。 公司重要环境及危险因素有关的运行和活动包括: a、物资储存、运输、运输车辆维护等; b、工艺实施、设备操作、维护、物料搬运等; c、设备购置、维修等; d、原材料选型、替代等; 管理者代表组织策划对重要环境及危险因素涉及之运行与活动的管理和控制,若考虑在缺乏程序指导可能导致偏离方针、目标与指标的运行情况时,应建立并保持成文的程序及运行的标准。 有关文件的编制、审批及发布依据《文件控制程序》执行。
若公司所使用的产品和服务中包含重要环境及危险因素,则应对这些重要环境及危险因素涉及之运行和活动策划、编制程序和规范,并由相关对口部门将有关的程序与要求 发放至供应商,如: a、资材科归口管理物料供应商; b、工程部归口管理设备供应商、基建供应商; c、总务科归口管理废弃物收购商; d、物流科归口管理运输服务供应商; e、总务科归口管理绿化供应商; 记录的管理。 记录的管理依据《记录控制程序》执行。 6 相关支持文件 《环境因素控制程序》 《文件控制程序》 《记录控制程序》 《危险源辨识和风险评价控制程序》