信息化安全监管

2024-06-01

信息化安全监管（精选十篇）

信息化安全监管篇1

近年来, 国家安全监管总局通过实施国家安全生产信息系统 (“金安”工程) 一期、国家安全生产应急平台等一批重大政务信息化工程, 初步形成了基于政务外网的专网平台及其数据库, 为安全监管监察、应急管理和社会公共服务提供了有效的信息技术保障。新疆自治区安全监管局积极推进全区安全监管系统信息化建设工作, 采用先进、高效、适用的信息化手段提升安全生产监管能力和水平。为进一步做好全区安全监管系统信息化建设工作, 笔者从新疆自治区安全监管系统信息化建设工作回顾、基本现状、存在问题、总体规划、重点建设内容等方面进行简要的阐述和思考, 谨供全区各级安全监管部门参考和借鉴。

1 信息化总体规划情况

为推动全区安全生产监管信息化建设工作, 加强宏观指导, 2010年7月, 自治区安全监管局组织编制了《新疆维吾尔自治区安全生产监管系统信息化总体规划》, 经多次征求各地州、各处室意见和专家认证, 于2011年7月经局办公会审议通过。

我区安全监管系统信息化建设的原则是:统筹规划、分期实施;需求导向驱动、急用先行;保护原有投资、整合现有资源;平台上移, 服务下移;统一标准规范。

总体目标是:建成覆盖自治区、地 (州、市) 、县 (市、区) 、乡 (镇、街道) 四级安全监管部门及其直属机构的安全生产监管系统平台, 集成预测预警、分析决策、应急指挥、监管执法、协同办公、公共服务等应用功能, 实现网络互联互通、资源共享, 全面提高全区安全管理信息化水平和能力。

目前, 全区安全监管系统信息化建设按照“统一开发、集中部署、分级应用”的工作思路, 以需求为导向, 坚持顶层设计, 各应用系统统一由自治区安全监管局进行系统设计和开发, 将数据库、服务器等集中部署在自治区级中心机房, 应用系统可实现各级安全监管局独立运行且数据统一。全面建成使用后, 视数据量大小, 在数据较集中的地州设立数据分中心, 减缓数据流压力。自治区、地州市、县市区可分别运行应用系统, 乡镇街道和各企业可登录使用, 实现自治区、地、县、乡、企业五级应用。

在我区安全监管信息化建设中, 应用系统等软件开发由自治区安全监管局统一设计、开发, 各地、县不需再次进行应用系统方面的开发, 只需结合本单位实际情况, 适时投入网络基础设施、信息终端和安全防护等设备设施, 避免重复投资, 提高应用系统的统一高效性。

2 信息化应用系统建设进展情况

2011年12月, 新疆自治区安全监管局与深圳天维尔公司签订合同委托其开发全区安全监管系统信息化建设各应用系统开发工作, 2012年2月, 开发工作正式启动。主要建设“企业分级分类监管系统、重大危险源监管系统、安全生产行政审批系统、安全生产行政执法系统、隐患排查治理系统、事故管理系统”等6大应用系统;建立相关的“企业数据库、重大危险源数据库、隐患数据库、事故管理及档案数据库、行政许可审批数据库、行政执法数据库、安全专家数据库、案例数据库、法律法规数据库、地理信息数据库”等10个数据库, 建成覆盖自治区、地、县、乡镇四级安监机构和各级生产经营单位的安全监管系统信息平台。

(1) 企业分级分类监管系统:对全区企业按行业类型进行分级, 实现分类监管、分类指导。

(2) 重大危险源监管系统:由企业进行网上填报, 各级安全监管部门进行确认, 实现重大危险源网上申报认定, 实现动态管理。

(3) 安全生产行政审批系统:实现实现网上“统一窗口受理、统一申报平台、统一咨询反馈、统一办理审批、统一时限办理”等功能, 建立集部门审批、效能监察、综合管理于一体的“一站式”行政审批信息系统, 促进行政审批网络化, 提高行政审批效率。

(4) 安全生产行政执法系统:适合于各级安全生产监管部门日常安全检查及行政执法工作, 对安监部门的安全检查及行政执法程序、文书、案件及办案过程等实施程序化规范管理, 具备在线帮助、自动生成、跟踪督办、统计报告、网上查询等功能。

建设项目分为项目启动、需求调研、软件设计开发、环境部署、项目验收等6个阶段。目前, 项目正处于边需求调研、边设计边开发的阶段, 已完成系统基础框架的搭建, 结合需求调研情况, 对企业分级分类监管、安全生产行政审批、重大危险源监管三大系统进行了功能优化;制订了《自治区安全监管系统设计说明书》 (初稿) , 制订了《新疆维吾尔自治区安全生产信息化体系建设技术指导书》 (初稿) 。整个应用系统预计2012年年底前完成项目验收工作。

摘要：安全生产信息化建设是安全生产工作的基础, 是实现安全生产监督管理业务快速、准确、高效管理的根本保障。通过新疆自治区安全监管系统信息化建设工作回顾、基本现状、存在问题、总体规划、重点建设内容等方面进行简要的阐述和思考, 更好地推动全区安全监管系统信息化建设工作。

安全生产综合监管信息平台篇2

安全生产综合监管信息平台是公司打造的一款面向安全生产监管领域、提供企业生产过程的全程监控和安全服务的产品。平台监控的数据包括了各类安全生产监控探测设备的实时数据、实时的视频数以及设备的状态数据。本平台监管的对象包括所有生产、存储、运输、销售、使用危险化学品的企业（化工生产、加工企业、加油加气站、油库、气库等）、工业加工企业、建筑行业（建筑工地现场视频监控）、公共服务行业（各类电梯含公共场所电梯、生活小区电梯以及商用电梯的安全监控）。本平台通过对企业各个环节的安全生产数据实行信息化集成监管，能够为安全生产监管部门提供相应的实时动态监管服务功能，能够为接入平台的企业提供各类安全服务功能，同时实现企业和政府部门之间的双向互动，增强政企之间的沟通。

平台由前端的数据采集设备、数据上报传输网络及后端数据处理系统构成，系统全面采用物联网技术、云计算和移动互联网相结合的技术模式，实现感知、传输、处理的闭环系统，并将结合移动计算实现信息的多渠道发布。系统体系架构

图2.1: 系统体系架构图本系统作为物联网项目的典型应用，整体系统架构的设计思路是基于从数据的感知、传输处理、应用和展示着三个层次结构对系统进行设计。数据感知依靠前端的企业端数据采集软件实现对企业不同类型的传感器数据进行采集，然后采集的数据在物联网网关中进行初步的处理，然后再通过物联网关加密压缩后传输到中心数据库。在中心通过在GIS地图上或者其他功能对接入的数据进行处理和展示。软件架构设计

系统软件框架如下图所示：

图3.1：软件体系架构

3.1 数据感知层

数据感知层是整个平台系统的基础，通过采集软件把安装在企业的安全生产监控设备（各种探测器、摄像头等）的数据实时采集，然后将数据汇集物联网网关，网关对数据做一些基本的处理（过滤，压缩等）后传输到系统的中心数据库。数据感知层构成了整个系统的数据来源和数据通道。

3.2 数据层

数据层是依托云计算中心提供的云主机搭建的系统数据库。实现对危险源基本信息库，安全生产监管信息库，应急救援指挥库等数据的存储、查询和分析。采取创建索引，对表进行物理分区，和逻辑分表的方式对数据进行不同维度的拆分，减少单表的存储压力，提高数据的插入以及查询的速度。

3.3 基础组件层

基础组件层主要是为上层的业务系统提供各类基础的服务，包含了我们公共的组件，比如CA安全认证、工作流引擎、流媒体服务等一系列在上层业务系统中需要用到的基础服务，还包含了个应用系统需要的应用组件，应用组件由基础业务实体和基本稳定的业务服务等组成，可在不同的系统中进行调用，不需要重新开发。

基础组件层由组件（公共工具组件和应用组件）和应用框架组成，它使开发人员能快捷、高效地构建业务功能模块。开发人员只需开发应用组件，将应用组件插入框架之中即可构建应用程序。应用框架基于开放或共享标准，实现面向产品化、实用性的组件库系统，并具开放性、可扩展性。这种组件式的方式，可以降低系统的耦合，同时也可以使得系统具有更好的兼容性。

3.4 应用层

应用层是根据业务要求开发出的各类应用系统，其中包括了危险源的监管平台，GIS监管平台，安监业务平台以及移动终端应用等等。这些业务系统及功能模块建立在应用组件和公共组件平台基础之上，满足不同业务的需要。业务系统的构建基于应用组件，一个业务流程由多个应用组件来完成。

3.5 展示层展示层是为内部应用搭建一个统一接口，实现数据、业务、应用集成的公共平台，也是贯穿整个系统内外的统一平台。通过安监局的门户网站可以提供对外统一的资源展示。通过监管指挥中心的平台进入内部监管平台。本系统的访问提供了普通PC访问，平板电脑访问以及智能手机访问的多种终端。平台功能设计 4.1平台系统构成

本平台的产品包括了前端的硬件设备和软件产品、指挥中心平台系统和GIS应用平台，这一系列产品构成了完整的综合监管信息平台，平台的产品结构图如下：

图4.1：平台产品结构

4.2平台软件功能

4.2.1 中心平台业务功能

整个中心业务平台功能包含了9个业务功能，详细的功能结构图如下：

图4.2：平台功能结构

图4.3：平台功能截图

一、安全监察基础库

对安全生产监管相关的数据库进行统一维护管理，包括危险源（含重大和非重大危险源）信息库、危险源企业信息库、安全监控设备基础库、特种设备库，安全法律法规基础库、危险化学品处置方案信息库。

二、企业信息填报系统

平台为企业用户提供了企业基本信息填报，危险源信息填报以及安全监控设备和特种设备的填报，企业所填报的信息由安全生产监察部门进行审批，以便进行统一监管。

三、危险源远程监测预警系统平台实时监控企业的安全生产数据，及时获取企业安全生产的各种预警信息，并对预警信息进行处理，预防安全事故的发生。

四、安全隐患监管排查系统

根据隐患排查整治责任体系，实现相关安全隐患移交、督办工作，针对危险源事故隐患计算机实时监测预警、分析与控制，落实建立长效机制和动态监管机制。

五、安全监察行政执法系统

提供国家总局规定的行政执法文书模板，对行政执法程序、文书、案件及办案过程等实施链条化规范管理。具备在线执法帮助、自动生成文书、跟踪督办、统计报告等功能。

六、安全监管增值服务

平台为企业和安全生产监管部门提供更多的在安全生产监管方面的增值服务，包括各种移动终端的应用（手机、平板电脑）、短信和手机报信息推送，数据统计分析，数据挖掘服务等。

七、安全生产事故调查处理

针对安全事故进行事故登记，对事故进行调查，根据调查结果形成事故调查报告，接到事故后进行处理，包括启动应急预案，并开启应急救援系统。同时根据事故的等级，确定是否向上级汇报。

八、安全监控统计分析

对平台的各类安全数据进行统计分析，为平台用户提供各种有用的分析统计报表，趋势分析等等。

九、企业安全生产标准化管理

平台为企业实施标准化管理提供相关的功能模块，帮助企业达成标准化管理的目标，并且对安监部门实现对企业的标准化建设情况进行实时的监控。

4.2.2 GIS应用平台

GIS应用平台主要是利用GIS平台建立起对企业的实时安全监控，充分利用GIS“一张图”数据融合功能，将企业的分布、基本信息、危险源、探测器、摄像头等相关的数据信息，通过数据融合，在GIS地图中展示出来，为实现企业实时安全生产监控和应急救援提供了极大的方便。具体功能模块如下：

图4.4：GIS应用平台功能结构

图4.5：GIS应用平台截图

（一）图4.5：GIS应用平台截图

（二）4.2.3 应急救援指挥管理平台

应急救援指挥系统是当指挥中心接到企业事故报警后，对企业现场展开救援行动，将事故发生现场的一切相关信息通过GIS空间分析的方式提供辅助决策信息，提供给指挥中心进行参考，包括事故的定位，事故现场周边的公安、消防、医疗、省应急救援队伍等应急救援力量的分布情况，并显示事故现场附近的电力、气源、水源、人口密度、交通状况等信息。能够提供基于地理信息系统的最佳人员疏散路线计算功能。并且平台还能够综合各方资源进行统一调度。应急救援指挥系统的功能如下：

食品安全监管的信息化建设篇3

关键词：食品安全信息化食品监管

食品质量与安全关系到人类的身体健康，社会的和谐稳定和国民经济的平稳发展，一直以来深受社会的关注和政府的重视，近些年以来，我国重大食品安全事件屡屡出现，对我国的国际形象、和谐社会的建设以及人民的身体健康造成了极其恶劣的影响。在信息化高度发达的今天，互联网是人们获取信息的重要途径，通过网络向广大消费者提供食品安全信息，有快捷、方便、更新及时等特点，对社会提供食品安全网络服务，将有助于促进食品安全监管工作的发展和食品安全现状的改善，信息化是构成食品安全监管工作的重要组成部分，信息化的建立和完善有效地保障了食品安全长效监管机制的健全，对我国食品安全监管有这重要的意义。

1 我国目前食品安全监管信息化现状

1.1 食品经营信息化建设缺乏立法支持

《食品安全法实施条例》第三十条：国家鼓励食品生产经营者采用先进技术手段，记录食品安全法和本条例要求记录的事项。对食品经营企业信息化的要求是鼓励性的，不具有法律强制性，由于缺乏必要的法律支持，商品安全信息化的推广必然要受到层层阻力的影响，增加了食品监管工作的难度。

1.2 食品安全追溯系统缺乏整体性和协调性

目前食品安全监管信息分散在各监管部门以及系统内部各层面，彼此之间存在权责和监管范围的限制，且各职能部门食品信息化监管理念存在差异，监管标准不统一，部门之间的协调难度较大，难以实现信息的互通和资源的共享，当食品安全出现重大问题时，只能在各自监管职责内的对食品安全追溯，不能实现跨部门、跨环节追溯，因此难以找出问题根源，影响食品安全监管工作的顺利开展。

1.3 食品监管信息化建设思想认识有待提高

一是企业的排斥，由于信息化建设需要相应的硬件设施、规范的数据管理和相关人员的培训，企业需要投入大量的资金和时间进行改造，这就影响到了企业的积极性。二是国家缺乏对食品安全信息化监管的鼓励、支持等政策，企业经营者担心明示进销货信息后的赋税压力和责任处罚，不敢进行信息化监管建设。三是对于食品监管人员来讲，信息化监管是一项全新的工作，除了自己要熟知、应用操作系统，还要指导、督促经营者使用，无形中增加了工作量和工作难度，特别是信息化监管透明度较高，部分缺少职业道德的监管者无利可图，存在抵制情绪和排斥心理。

1.4 社会信息化监督体系薄弱

我国食品监管工作目前主要靠政府职能部门进行监督，社会缺少食品消费维权的信息化载体，公众很难掌握食品安全的相关信息，公众在自身利益受到危害时，维权路径少、维权方式单一，不能有效的利用信息化的优势来维护自身权益。

2 食品安全监管信息化措施

2.1 建立健全社会信息化监管网络

一是构建食品安全服务网查询体系，建立面向公众的“食品安全服务网”，要提供食品基本信息、企业索证信息、权威检测（抽检）信息等多种食品信息查询渠道。完善在线投诉举报开展社会监督工作，充分利用互联网、手机通讯工具传播速度快、范围广的特点，加大食品安全宣传力度、普及食品安全知识，增强消费者自我保护意识树立食品安全观念，发挥人民群众的舆论监督作用，揭露、曝光食品安全方面的违法犯罪行为，营造“人人关心食品安全、人人重视食品安全”的社会氛围，形成社会监督体制。

2.2 建立统一的食品安全信息管理系统

食品安全信息管理要做到统筹规划、协调统一、信息互联互通和资源共享。应改变现有的食品安全监管的管理体系部门分割、多头管理的不利局面，借鉴发达国家的成熟经验，如美国的FDA、欧盟的食品安全局等。通过合理划分职能，针对我国国情来建立农业管理部门与食品工业管理部门合一、对农业和食品工业实行一体化管理的机构。各级部门政府应建立食品安全主要领导负责制，强化各部门的协调、配合，建立起自上而下运转协调、综合有效的食品安全保障体系；同时加强食品研制、生产、加工、运输、储存、销售等各环节的监管，实现从“农田到餐桌”的全过程监管，并以此为基础实行问题食品的追溯制度[2]。建立食品安全信息发布平台，各职能部门要将食品安全监管信息。

2.3 加强食品安全信息化立法工作

欧盟食品安全基本法的出台要经历三个阶段，从绿皮书到白皮书再到基本法，从基本目标到具体的机构框架设计，一个不断完善的法律制定过程为欧盟食品安全的监管提供了坚实的法律基础[2]。我国应积极开展对外交流与合作，加强国外食品安全法律标准的研究、消化和吸收，借鉴发达国家经验，建立适合我国国情的食品法律体系，要听取各方面意见，把食品信息化监管进行立法，赋予食品安全信息化监管的法律地位，为食品安全监管提供有力的法律保障，推动食品监管信息化建设。

2.4 食品安全预警系统的建立

随着食品贸易的全球化和食品生产链的日益复杂，从原材料到最终消费食品之间会经历更多的环节和更长的时间，加之我国食品安全监管过程的不够完善，尤其是因为职能交叉而存在的监管盲区，对于这些，实施有效的信息搜集分析、预警系统是实现整个食物链追溯制度、召回制度以及在突发事件和危机发生时能够采取及时有效措施的保障[3]。

2.5 利用行政手段加强企业信息化建设

食品监督职能部门要加强企业信息化的检查力度，对积极推进食品安全信息化建设的企业要给予政策上的照顾和经济上的补贴，对抵触食品安全信息化建设的企业要进行行政处罚，限期分阶段完成信息化建设，对不执行和发对信息化建设的企业要展缓发放食品经营许可证，停止企业的资格审核工作。职能部门要对企业信息化建设进行评级，对那些评级较高的企业给予物质奖励和表彰。

参考文献

[1] 陈为康，骆乐.发达国家食品安全监管研究及其启示.广东农业科学[J]，2009（8）：228-230.

[2] 陈荣芳，李杰.欧盟食品安全监管体系研究及启示.上海食品药品监管情报研究[J]，2010（6）：104.

信息服务外包安全监管体系研究篇4

除了政策、基础设施、人才以外, 安全问题正日益成为影响服务外包发展的一个关键的制约因素。全球最成熟的服务外包承接国 (印度) 的信息安全问题正成为其服务外包产业发展面临的一个新挑战。据报道, 印度三名Mphasis 电话客服中心的离职员工有组织窃取美国客户的个人帐户信息, 并从中盗走35万美元;印度外包公司LexisNexis旗下的Seisint 数据库遭遇入侵, 约31万名美国人的个人信息面临外泄危险;印度大部分信息技术服务外包企业存在着电子偷盗和欺诈的隐患。跨国公司因担心核心技术外流和数据泄露更倾向于建立独资或合资的境外外包中心, 专业的第三方服务提供商仍没有成为外包行业中的主流。在国内, 2009年发生在深圳的一场彩票作弊案让“外包安全”显得更加触目惊心, 不法分子利用为彩票发行机构做IT项目的机会将计算机木马植入机构电脑, 实施了犯罪行为。如果外包最终成了一种“引狼入室”的行为, 那么越来越多的信息, 小到个人隐私和商业秘密, 大到国家机密和军事情报都会被泄露, 其后果将不堪设想。

近年来对服务外包安全问题的研究文献逐渐增多, 有研究对接包方安全监管策略的[1,2];有探讨某个行业服务外包的风险控制与分析的[3,4,5,6,7], 有从法律的角度讨论服务外包安全问题的[8]、还有从中小企业的视角研究安全外包管理与控制的[9,10]等等, 但从政府的角度出发系统、全面地研究信息服务外包安全监管问题至今未见报端, 事实上, 政府的安全监管能力直接影响和左右信息服务外包业的发展。在信息服务外包界有一句名言:country first, company second 。政府创造和培育良好的信息服务外包环境对于推动信息服务外包业的发展起到决定性的、不可替代的作用。因此分析和探讨信息服务外包安全监管体系具有极其重要和深远的意义。

2 信息服务外包中的安全特点

传统上, 一个企业或一个部门的信息安全防御工作是指其自身在技术上和管理上的安全措施, 通常不涉及到另一方。然而, 在信息服务外包领域, 发包方需要把自己的部分或者全部IT职能或与IT相关的业务流程转移到接包方, 随之, 不可避免地涉及大量敏感信息及专利产品的转移问题。如图1所示。由图可见, 发包方虽在双方所签订的合同或保密协议中明确指出专利产品不得侵权使用和敏感信息的机密性、完整性和可用性等保护要求, 但显然失去了直接的安全控制权。由发包方转移出去的信息或产品的安全状态完全依赖于接包方的执行力。这是信息服务外包有别于传统的企业内部的安全控制的一个显著特点。

3 信息服务外包安全监管体系建设的必要性

信息服务外包的安全焦点集中在接包方信息和信息系统的技术安全和管理安全两个方面。

技术上, 没有一套严密的安全技术解决方案将不可避免地遭到来自黑客、病毒、蠕虫、木马等方面的大肆攻击。基于各种技术手段非法获取、窥视、修改或破坏敏感信息是黑客们的目的。系统、网络、协议、应用中出现的各种安全漏洞是病毒、蠕虫、木马等恶意程序或软件破坏系统和网络、窃取敏感信息的常见手段。

管理上, 没有制定一套系统的严密的安全管理体系将导致来自内部员工、自然灾害等方方面面的安全事故。内部员工尤其是涉密员工出于某种不可告人的目的泄露或随意修改敏感信息的主动性攻击, 或者由于粗心大意不经意中泄露或修改了敏感信息的被动性攻击, 或者因火灾、水灾等自然灾害中断系统运行、导致敏感信息丢失的安全事件将在所难免。如图2所示。

由此可见, 接包方只有在技术和管理上做好严密的安防工作才有可能抵御来自各方的强烈攻击, 然而, 要做到这点, 仅依靠企业自身的力量是不可能的, 而需要政府营造良好的服务外包安全环境。原因如下:

(1) 大部分专注于外包业务的接包方不具备专业的安全技术水平, 需要依赖第三方安全服务机构给予安全测试、评估、提供安全解决方案等技术支持, 这就对安全服务产业发展提出了要求, 而这需要政府的大力推动和倡导;

(2) 企业员工素质、信誉状况、社会形象等管理层面上的考核因素是任何一个企业自身无法获取或提供的, 只有依靠政府建立全社会的信誉体系来予以解决。

(3) 信息服务外包过程中难免会出现安全纠纷, 需要依靠服务外包的安全法律条文给予评判。

凡此种种, 都说明一个问题, 信息服务外包中出现的安全问题离不开政府的监督和管理。建立一套完备的信息服务外包安全监管体系十分必要。

4 信息服务外包安全监管体系

信息服务外包安全监管体系是指在政府的推动和引导下建立的可以协助信息服务外包企业提升安全能力、解决安全纠纷、提供信誉评测、进行安全教育的各种体系的集合 (作者定义) 。信息服务外包安全监管体系应有以下五个子体系组成: (1) 安全服务产业体系; (2) 安全法律体系; (3) 安全政策体系; (4) 诚信体系; (5) 安全教育体系。

4.1 安全服务产业体系

安全服务产业体系是信息安全服务机构和信息安全认证机构的统称。信息安全服务机构是指具有专业的安全服务能力, 能对信息与信息系统进行安全评估、安全测试、安全工程设计等的机构。信息安全认证机构是指具备信息安全能力、信息安全产品和安全管理进行认证认可的机构。信息安全认证机构为信息安全服务机构提供认证服务。不具备安全专业水平的信息服务外包企业为了保持其信息和信息系统的稳定性和安全性, 需要依赖第三方专业安全服务机构给予安全测评、安全监控、安全工程设计、安全运维、安全咨询与教育等的帮助。信息服务外包过程中出现的安全纠纷的评判依据也时常需要借助安全服务机构的评测结果。

因此, 安全服务产业发展是信息服务外包产业发展的重要支撑力量。

4.2 安全法律体系

信息服务外包过程中出现的安全纠纷或安全事故需要依据安全法律法规条文来评判。印度国际服务外包业的大力发展一定程度上得益于是印度比较规范的法律法规环境。2000年正式生效的印度《信息技术法案2000》对非法进入计算机网络和数据库、传播计算机病毒、干扰正常通信服务、复制软件和篡改原文件等违法行为做了明确定义, 制定了相应的处罚规定, 确定电子合同、电子文书和数字签字等数字信息可以作为法律依据。这使印度成为世界上第12个有此类法律的国家。后来, 印度政府修订了《信息技术法案2000》, 为软件和信息技术外包行业提供符合国际标准和规范的数据保护法律体系。印度政府为保护知识产权而做出的努力也是有目共睹。印度《版权法》是世界上最严格的法律条文之一, 经过有关部门的大力配合, 有效地打击了各种盗版活动。

我国应该借鉴印度的做法, 制定或完善信息安全法、知识产权保护法等与信息服务外包密切相关的安全法律体系。

4.3 安全政策体系

积极的安全政策可以引导和推动信息服务外包行业的发展。快速发展安全服务产业、提高服外包企业的安全管理能力、增强企业员工的安全意识等都需要积极的扶持政策。

4.4 诚信体系

以政府的名义建立全社会的诚信体系可以增加企业和个人的公信力, 可以克服目前盛行的假工作经历、假学历、假业绩等欺骗行为, 可以有效地帮助企业鉴别员工的道德诚信品质, 也极大地有助于企业之间的诚信甑别, 这对于信息服务外包业的发展意义重大。

4.5 安全教育体系

开展信息服务外包相关的安全法律法规教育、安全意识教育、诚信教育对促进信息服务外包业的发展至关重要。世界头号黑客Kevin Mitnick 曾说过这样的话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备, 可只要有人给毫无戒心的员工打个电话……”, 这个省略号意味着一切皆有可能。因此对人的安全教育是最关键的环节。

有些企业领导安全意识不强, 对信息安全法律法规也不熟悉, 没有把信息保护工作放在突出位置来考虑, 以致在安全的防护上缺乏系统性、全面性和主动性, 最后不可避免地出现种种安全事故。有些企业重技术, 轻管理。技术上的工作做得充足到位, 相关安全技术措施一应俱全, 但在管理上出现了疏漏, 员工安全意识不强、道德品质差, 诚信缺失, 或者没有制定严格的管理制度等等, 导致百密一疏。

所以, 必须建立全社会的安全教育体系。通过行业组织或安全教育培训机构加强从业人员的诚信教育和相关方面的普法教育;增强企业领导和员工的安全意识, 提升他们的法律素养。

5 目前存在的问题和今后研究的方向

5.1 与信息服务外包相关的统一安全法律法规的制定是今后需要重点研究的课题。

自90年代起, 我国信息安全相关的法律法规相继出台。全国人大、国务院、公安部、国家保密局、国家密码管理委员会办公室等部门分别颁布了《计算机软件保护条例》、《计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《关于信息安全等级保护工作的实施意见》、《国家安全法》、《国家秘密法》、《涉及国家秘密的信息系统审批管理规定》、《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》、《商用密码管理条例》、《涉及国家秘密的计算机信息系统集成资质管理办法 (试行) 》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《关于信息技术安全性评价准则》、《关于开展信息安全风险评估的若干意见》、《信息安全风险评估指南》、《信息安全风险管理指南》、《电子签名法》、《专利法》、《重要系统灾难恢复指南》、《企业内部控制基本规范》等一系列的法律法规。

此外, 各省市还根据国家的法律法规结合本地区的实际制定了一系列的法律条文, 林林总总, 琳琅满目, 数不胜数。

由上可见, 我国的信息安全相关法律法规很多, 但至今没有出台真正意义上的信息安全法, 并且缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构, 多头管理, 政出多门、各行其是。与服务外包相关的信息安全问题处理办法散见于许多法律条文中, 给执法部门增加了处理难度, 也让信息服务外包企业尤其是离岸发包企业理解服务外包相关法律法规感到困惑和迷茫。

由此可见, 目前制定一部“统一领导、共享资源、各司其职、密切协作、合力监管”的信息服务外包法律法规尤为重要, 值得研究和探讨。

5.2 接包方的安全资质与信息系统安全等级的对接问题应作为今后重要的研究方向。

我国本身是一个服务外包大国, 各行各业的信息业务包括关系到国家安全、经济命脉、社会稳定等重要国家部门 (如财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等) 大都外包给国内软件企业, 为了安全的需要, 国家专门出台了等级保护的相关条例, 要求各相关部门根据信息系统应用业务重要程度及其实际安全需求, 实行分级保护, 做好等级认定和实施工作。但却疏忽和遗漏了一个重要的事项, 即没有明文规定接包方的安全资质与信息系统安全等级的对接问题, 即没有明文规定取得什么安全资质的接包企业可以承接哪个安全等级的信息业务。这就不可避免地留下等级保护的执行漏洞。因此接包方的安全资质与信息系统安全等级的对接问题应作为今后重要的研究方向。

5.3 如何大力发展和培育安全服务产业应作为当前的一个研究方向

信息安全服务机构是协助企业进行安全评估、安全测试、安全工程设计的第三方机构, 是提升企业安全技术能力和管理能力的有力支撑。然而, 据调查, 至2010年1月, 全国获取安全工程服务资质的机构不多, 共316家, 其中获取一级 (最低级) 安全工程服务资质是305家, 其余11家获二级资质。

而全国信息服务外包企业有几千家、国家重要信息与信息系统更是多如牛毛, 如此少而弱的信息安全服务机构远远不能满足实际需要, 国家应大力发展信息安全服务产业, 培育一大批具有高级别安全服务资质的信息安全服务机构。如何发展和培育信息安全服务产业应作为当前的一个研究方向。

5.4 如何提升外包企业的安全认证能力值得探讨

ISO27001《信息安全管理体系要求》是目前世界上唯一的“信息安全管理标准”, 它已成为“信息安全管理”之国际通用语言, 被全球五千多家政府机构和知名企业所采用。是否通过国际安全认证ISO27001是衡量一个企业安全管理能力的量性指标, 也是发包方决定接包方的一个重要考虑因素, 有时甚至是必备条件。为了鼓励接包企业通过国际安全认证ISO27001, 国家出台了一些相当优惠的政策, 如服务外包企业取得信息安全管理 (ISO27001等相关认证及认证的系列维护、升级给予不超过50万元的资金支持等。

然而截止到2009年底, 全球通过ISO27001认证总数为5 114家, 总数排名前4名的国家 (地区) 是日本、印度、英国、台湾。分别是2 997、435、370和221。中国大陆仅为180, 仅占总数的3.5%。与前4位的国家 (地区) 相比有相当大的差距。

如何帮助国内信息服务外包企业尽可能多地通过ISO27001认证, 值得进一步地研究和探讨。

5.5 诚信体系建设值得研究

根据国务院办公厅关于社会信用体系建设的若干意见 (国办发[2007]17号) , 各省市地区都在积极地开展社会诚信体系建设工作, 经过三年多的探索实践, 初步形成我国社会诚信体系的基本框架:建立健全社会诚信制度和诚信有关标准及法规, 为社会诚信体系提供法规保障;建立诚信信息基础平台, 为社会诚信体系提供服务和应用的技术支撑;建立社会诚信监管平台, 为信用征集、信用评估、信用认证、信用查询、诚信公示、信用管理等提供规范的运行机制和创造良好的市场环境。

但全社会诚信建设的成效不大, 实际应用不多, 主要原因有:

(1) 缺乏全国统一信用建设和评估标准, 影响全国范围内的信息联动。各省市地区建设模式不统一, 各搞一套, 形成一个个信息“孤岛”, 不能实现信用信息共享。

(2) 认识不足, 发展不平衡。金融、工商等信用建设启动快, 其他行业发展相对滞后;这也影响社会信用信息记录、管理、征集和采用。

建设和完善全社会诚信体系, 是一个复杂和艰难的过程, 也是信息服务外包发展过程一个值得进一步的探讨和研究的课题。

摘要：安全问题已成为严重影响服务外包发展的关键制约因素。从政府监管角度出发, 阐述安全监管的重要性和必要性。在观察信息服务外包安全特点的基础上, 定义安全监管体系结构及其各部分组织内含, 并提出目前安全监管中存在的问题及今后值得深入研究的方向。

关键词：信息服务外包,安全监管体系,研究

参考文献

[1]鲁虹, 孙绍荣.资源外包的风险及防范对策[J].企业经济, 2007 (2) :34-36

[2]邵雪晴, 殷群.服务外包中发包商的监管策略[J].企业改革与管理, 2008 (1) :14-16

[3]曾康霖, 余保福.金融服务外包的风险控制及其监管研究[J].金融论坛, 2006 (6) :20-25

[4]景瑞琴, 邱伟华.金融服务外包的利益与风险分析[J].商业时代, 2007 (5) :73-74

[5]刘小军, 陈君杰.金融服务外包风险的静态博弈分析及对策[J].广西社会科学, 2010 (2) :69-71

[6]施慧洪.金融服务外包风险防范分析[J].浙江金融, 2010 (4) :60-61

[7]谢怀军.银行信息技术外包及其风险管理[J].上海金融, 2004 (1) :38-40

[8]龚柏华.论中国承接金融服务离岸外包相关法律问题[J].上海财经大学学报, 2007 (1) :50-57

[9]陈艳春, 等.中小企业安全外包管理与控制研究[J].商场现代化, 2008 (7) :44-45

信息化安全监管篇5

为保证峨堡至祁连项目质量、安全信息化监管系统的正常良好地运行，充分发挥系统对工程质量、安全监管作用，特制定以下管理制度，要求施工单位严格遵照执行：

一、监控室值班、设备维护制度

（1）总监办、项目部监控中心每天需安排项目专业工程师进行视频监控操作，值班人员需每日填写《视频监控日记录表》（附件1），且要坚守岗位、尽职尽责，不得无故脱岗，值班时间不准做与本岗位无关的事情。《视频监控日记录表》的填写要规范，必须严格执行交接班登记的人员姓名以及时间。

（2）值班人员对重点工序、隐蔽工程及高空作业等部位重点监控，及时发现问题，杜绝质量、安全隐患。

（3）严格按规定操作步骤进行操作，密切注意监控设备运行状况，保证监控设备安全有序运行，不得无故中断监控，随意删除监控资料。

（4）必须要求监控值班人员由专业的工程部人员熟练掌握监控设备系统的操作规程。绝不允许让非专业的工作人员直接或间接操纵监控中心任何前端及设备间设备。值班人员严格依照《安全质量一体化监管运维手册》中的设备日常保养说明，进行日常维护。当发生监控设备故障和异常情况时，应立即检查设备连接状态，不得擅自改变设备的连接方式，并与重庆大宽科技公司现场服务人员及时联系处理。不得使用来历不明的硬盘，严禁故意制作、传播计算机病毒。

（5）重庆大宽科技公司要依照合同内双方约定的服务条款，认真履行相应责任与义务。做到对系统做定期维护和检查，及时处理监控系统故障。

（6）整体安全信息化设备与系统应依照项目环境地理、天气特点做到特殊季节特殊运维的原则。例如依照《项目信息化设备冬季运维管理办法》进行冬季的特殊保养。

（7）总监办每周应定期或不定期对项目部的监控情况进行检查和抽查，并利用监控中心监控探头对项目部监控情况进行监督。

（8）总监办、项目部要建立监控人员交接班制度。值班人员换班或下班离开工作区域前，应保证工作区域内重要的文件、资料、设备及数据处于安全保护状态。

二、图像及信息数据保存登记制度

（1）重庆大宽科技公司现场服务人员要协助总监办、项目部每周对关键工序、隐蔽工程等监控资料进行视频图像备份。备份的方式必须是以数字化存储方式，即使用内存不低于2T的专用监控硬盘存贮。总监办、项目部要安排专人负责抽查。备份的硬盘要进行编码，建立《质量、安全监控月份信息备份台帐》，并详细记录备份的内容，以便于查阅，备份的资料要有专人、专柜保管，不得丢失。

（2）任何人不得擅自复制、查询或者向其他单位和个人提供、传播图像、试验等信息数据。

（3）任何人不得擅自删除、修改信息化建设《安全、质量自动化监管系统》所部属的所有硬件设备、运行程序和记录。

（4）任何人不得擅自改变、拆卸图像信息系统、拌合站数据采集、发送设备及试验室数据采集设备的用途和摄像设备的位置以及计算机系统的设置。

（5）任何人不得干扰、妨碍监控系统的正常运行。（6）值班人员严禁将计算机或监管系统的密码告知无关人员。

三、问题处理程序

（一）视频监控问题处理程序：

（1）凡总监办监控中心发现的质量、安全问题，由值班人员通知各专业监理工程师和安全工程师，并认真填写《质量、安全问题视频监控台帐》对所有发现问题的时间、地点、被通知的人员做详细记录。被通知的监理工程师要立即到现场解决问题，必要时要签发问题整改意见通知书，责令施工单位限期整改，并具体跟踪监督。重大问题需在规定的时间段内向建设局有关人员及时通报，问题处理完毕后，监理工程师要在《质量、安全问题视频监控台帐》处理结果、办理人员和处理完成日期一栏认真填写，从而完成问题闭合。

（2）凡项目部监控中心发现的质量、安全问题，由值班人员通知分管负责人，并认真填写《质量、安全问题视频监控台帐》对所有发现问题的时间、地点、被通知的人员做详细记录。被通知的分管负责人要立即到现场解决问题。重大问题需在规定的时间段内向总监办及建设局有关人员及时通报，共同按程序处理，问题处理完毕后，分管负责人要在《质量、安全问题视频监控台帐》处理结果、办理人员和处理完日期一栏认真填写，从而完成问题闭合。

（3）施工现场发生安全事故的，必须做好现场实时画面的跟踪采集工作，以备事故的核查。

（4）所有问题除按以上规定办理外，监控人员要第一时间通知项目经理和总监，以便对问题督促落实。

（二）数据超限报警处理程序：

1、项目部、中心试验室及总监办接到超限报警后，总监办将立即组织相关单位的相关人员对于超限问题进行分析；

2、主要分析内容：各种设备系统及硬件、人员操作、运行环境、超限报警数据对工程质量的影响程度等；

3、经分析，确定其产生原因及对工程质量的影响程度，分析完毕后以下方法进行处理：

（1）、由于设备问题产生超限报警，则由各单位负责联系设备厂家进行全面检查维修，在维修期间暂停一切施工及检测工作；

（2）、由于操作人员操作不当而产生超限报警，则要求各单位对其操作人员进行重新培训，如经培训仍不能胜任其工作的则要求各单位更换其操作人员；

（3）、由于运行环境问题产生超限报警，则要求各单位对其运行环境采取相应的措施，如措施不到位或运行环境不能达到设备运行要求，则停止施工及检测；

（4）、对于超限报警的数据不能当场及时分析处理完毕的，则按要求进行记录且进行全面分析，分析完毕后认真填写并上报《信息化数据采集超限报警分析报告单》；经分析，能够按照相应的规范及要求进行复检的则重新进行检测，经复检仍不符合设计及规范要求的，则按相应的规定及要求进行处理；如果不能复检的，且对工程实体质量存有重大隐患的，则对该工程实体加强后期检测及观察，或邀请具有权威性的第三方检测单位对其进行全面检测，经检测不符合设计及规范要求的，则按相应的规定及要求进行处理。

3、《信息化数据采集超限报警分析报告单》填写要求、传递程序及存档规定：

（1）、分析完毕后项目部（中心试验室）要认真详细填写《信息化数据采集超限报警分析报告单》中此次超限报警内容，以及经分析，导致此次超限报警产生的原因及分析结果，最后项目部针对此次超限报警填写其相关意见并上报中心试验室三份分析报告单（中心试验室出现超限报警的，也要按此要求进行填写，填写完毕后直接上报总监办三份分析报告单）；

（2）、中心试验室接到项目部上报的《信息化数据采集超限报警分析报告单》后要认真填写其针对此次超限报警分析后的相关意见，填写完毕后由项目部上报总监办该分析报告；

信息化安全监管篇6

1、安全生产监管信息系统的功能

安全生产管理信息系统是可以实现对工矿企业安全生产监管的计算机化，通过企业安全信息的录入、统计分析、综合查询、报表输出、预警监管等全过程的计算机处理，为企业安全监管工作找到了一个新的“抓手”。

长乐市安全生产监管信息系统包括企业安全基本情况、安全检查整改管理、安全培训教育管理、事故管理四个子系统及日常安全生产视频监管系统。

1.1企业安全生产监管信息数据库。该系统是利用现代计算机软件技术，以企业为终极管理对象，逐一采集数据，建立起企业安全生产信息数据库，并将该数据库嵌入到政务信息网站里，只要轻轻点击。就能随时查阅到长乐市3600多家企业的基本情况，包括：历次安全检查隐患整改情况、管理人员和员工安全培训教育情况、特种作业人员持证情况、工伤事故发生情况及各种文件、图片、通讯联络等资料。目前，长乐市乡镇(街道)安监员都掌握一个帐户和密码，随时可以浏览本乡镇(街道)企业的基本情况。行业主管部门也一样可以浏览本行业下属企业的基本情况。

非煤矿山和危险化学品两个行业的企业，则由安监局负责监管的人员直接录入信息和进行日常管理。

1.2安全教育培训信息管理系统。该系统是可将特种作业人员的基本信息及考核、复审等情况通过政务信息网站及时向社会公开，也是特种作业人员及企业管理人员安全培训教育考核的电子档案。该模块不但用于管理全市特种作业人员，也用于管理危险化学品从业人员、企业负责人、企业安全管理人员培训教育等信息。每次培训考核后，工作人员及时将培训资料输入该系统。特种作业人员培训所颁发的证书需要定期复审，因此，在该系统中，我们还设计了复审模块。在每位学员的培训记录里面，增加了一个添加复审记录的按钮，点击该按钮，即可进入该学员的复审记录添加页面，字段包括复审日期、下次复审日期、组织单位、理论考试成绩、实际操作成绩、复审结论等等。每位学员可以添加任意多次复审记录。

1.3安全检查整改管理系统。安全检查管理模块可以管理各种类型的安全检查记录，便于随时跟踪隐患的整改情况。从安全检查电子文档信息中十分清楚查询到。复查及整改情况也一样录入该系统，形成十分直观的检查整改管理档案。将安监局的监督执法检查及督促整改工作录入系统，形成电子文档。乡镇(街道)或其他部门的安全检查整改同样可以录入该系统，既形成历史电子档案，共享查询使用。

1.4事故信息管理系统。事故管理模块可以管理各种类型的事故信息，包括文字、图片信息。在事故信息平台中设置了事故类型、事故等级、事故标题、事故单位、事故发生时间、事故发生地点、死伤者姓名、休工日数、事故照片上传、事故经过描述、直接原因、间接原因、主要原因、次要原因、事故责任分析、人员伤亡与经济损失情况、事故旁证材料、事故处理结果、工伤鉴定情况、上级部门的结案意见、预防事故重复发生的措施等等。

1.5安全生产视频监控管理系统2008年起，增加在线视频监控功能，设立了“长乐市安全生产视频监控中心”。全市的“重大危险源”、“重大事故隐患”、“重要部位”、“重点场所”及“安全生产应急救援现场”等45家单位始终处于受控状态，目前已安装全球眼探头72个。通过视频不仅可以管理和浏览企业的文字、图片信息，还可以监控全市各个重大危险源、重大事故隐患；及时掌握应急救援现场情况，从而提高日常监管的工作效能。

2、实施安全生产监管监控信息化的成效

2.1长乐市安监局应用安全监管信息系统，实施了企业危险性预警监管，在有效地实现对重点单位的监管的同时还节约了监管成本。近年来，长乐市安监局摸索设立了“企业危险性预警指数”(简称“危险预警指数”)。即对每一家企业，根据危险性大小及管理状况，设定了对应的危险预警指数，并录入该企业基本情况数据库。对危险程度较高及管理较差的企业设置了较高的危险预警指数，数字级别越大越要加强监管。长乐市将危险预警指数划分为1～10级，在长乐市企业安全生产监管信息系统数据库中，就能进行自动排序。

2007年以来，长乐市安监局将危险预警指数达到5级以上的588家企业列为主要监管对象，将危险预警指数达到6级以上的238家企业列入重点监管对象，对危险预警指数达7级以上的45家企业，实行特别重点监管。列入监管对象的企业都有安监局的人员跟踪督促，包括下达责令改正通知书、定期复查整改情况等。企业只要认真采取有效整改措施，就能将危险性降低，危险预警指数也随之修正。

这种监管能有效地掌握监管的主动权，也能为企业安全生产提供有针对性和更为及时的服务。

2.2安全监管信息化实现了资源信息共享，为市民提供相应的政务服务，让广大市民拥有安全知情权。一是通过长乐市安监局的政务网站和在线安全监管信息系统，实现了每天安全信息的发布和查询，做到每天动态更新。二是对安全信息实现分级授权管理，每个乡镇只能管理和浏览自己乡镇的信息，每个行业只能管理和浏览自己行业的信息，这样就确保了信息的保密、安全。三是实现监管部门和下属企业的互动，企业可以将自己的信息向长乐市安监局申报(例如危险化学品信息、事故信息、重大危险源信息等)，长乐市安监局可以通过信息系统向企业发布整改要求、特种作业人员证书和分数的查询等。

长乐市推行安全监管监控信息化的做法及成效得到了上级部门及有关领导的充分肯定，他们将不断征求各个部门、下属乡镇、企业的意见和建议。不断优化系统，提供更方便快捷的服务，更好地挥安全监管信息系统的作用。

信息化安全监管篇7

黑龙江省建筑施工安全监管的信息化应用工作正式启动于2007年, 作为黑龙江省建筑施工安全监管的省级应用平台“黑龙江省建筑施工安全监督系统”被列为2007年度黑龙江省电子政务重点项目, 从而拉开了黑龙江省建筑施工安全监督信息化建设的序幕, 黑龙江省建筑施工安全监管工作从此走上了信息化的道路。经过几年的建设, 黑龙江省的建筑施工安全监管信息化应用工作的到了大大的推进, 信息化应用已进入到建筑施工安全监管的日常工作中。

1.1 信息化应用的组织机构建设现状

目前, 黑龙江省建筑施工安全监管信息化应用各项工作的开展由黑龙江省建设安全监督管理总站及黑龙江省建设信息中心两个部门协商进行。黑龙江省建设安全监督管理总站作为全省建筑施工安全的具体业务主管部门负责提供安全监管信息化应用的业务指导, 黑龙江省建设信息中心则作为行业信息化技术具体实施部门提供信息技术支撑, 两者从各自的专业角度共同推进信息化的应用工作。

1.2 信息化应用的标准体系建设现状

信息化应用的标准体系包括技术标准规范及业务应用规范, 其中技术标准规范主要以信息通讯技术为核心, 而业务应用规范则是指具体的业务操作规程。目前, 黑龙江省建筑施工安全监管信息化应用在技术标准规范的建设方面未开展相应的工作, 信息化建设过程中主要参照一些行业技术标准;在业务应用规范的建设方面由省建设安全监督管理总站出台一些业务具体操作规程, 未形成一个整体的标准框架。

1.3 信息化应用的系统建设现状

系统的建设主要分为软件建设及硬件建设, 软件建设主要是业务系统的建设, 硬件建设主要是设备及附属设施的建设。根据系统建设的实施步骤, 经过近几年的发展, 黑龙江省建筑施工安全监管已完成了一批业务应用软件的开发与应用工作:“三类人员管理系统”、“特种作业人员管理系统”、“安全生产许可证管理系统”等一批基础系统已经得到全面应用, 初步完成了监管所需的“人员库”、“企业库”的建设工作。硬件方面已完成了安全、存储等设备的建设工作, 主机房的建设也初具规模。

1.4 专业人员信息化应用水平现状

专业人员主要分为三大类:第一类指各级主管部门的监管人员, 这类人员相对来说专业素质较高、人员较为稳定, 信息化应用水平基本满足当前的工作需要;第二类指企业的专业管理人员 (主要为企业的安全负责人及项目负责人员) , 这类人员实操经验丰富、人员较为稳定, 但对于信息化的应用水平则参差不齐;第三类指企业的具体工作人员 (主要为专职的安全员) 。这类人员处在安全监管的第一线, 也是落实安全监管具体工作的关键人员, 但此类人员流动性较大, 信息化的应用水平相对比较低。

1.5 信息化应用的资金投入现状

信息化的建设离不开资金的支持, 目前黑龙江省的信息化建设资金来源主要有三方面, 即政府每年固定投入 (主要用于系统的日常运维费用) 、项目拨款 (主要针对项目建设的专项资金) 、市场运营 (作为前两种方式的补充) 。黑龙江省的建筑施工安全监管信息化的建设资金来源于项目拨款 (省电子政务重点项目的专项建设经费) , 运维费用主要依靠市场运营 (与信息公司开展有偿服务的方式筹集经费) 。

2 黑龙江省建筑施工安全监管信息化应用存在问题分析

黑龙江省建筑施工安全监督信息化应用已开始了初步的探索与实施, 但通过对现状的了解不难看出目前黑龙江省建筑施工安全监管信息化应用存在的问题。

2.1 信息化应用没有统一领导

由于目前黑龙江省建筑施工安全监督信息化应用工作是由黑龙江省建设安全监督管理总站及黑龙江省建设信息中心两个部门根据工作需要自发开展的, 是自下而上的模式, 因而未能形成统一的组织机构, 从而导致了信息化应用工作无法从整体上进行规划、实施、推进、考核。同时由于此项工作未被列入部门的重点考核内容, 从而导致这项工作没有一个明确的领导机构。

2.2 信息化应用对标准认识不够

标准的建设是信息化应用工作的重要组成部分, 而目前的标准缺失根本原因就是相关部门对标准的认识不够。由于建筑施工安全监管涉及领域广, 信息涵盖宽泛, 长期以来全省建筑业相关部门都拥有各自的信息资源。目前还没有建立起跨部门的统筹协调管理机制, 大量建筑业信息处于部门所有、相对封闭的分散状态, 缺乏有效整合, 共享程度低, 致使在建立数据标准时存在很大的困难, 各业务部门都从本部门角度出发, 没有认识到只有标准的统一才能实现数据共享, 而数据共享才能实现各部门之间业务的联合监管。同时, 由于省内各地市在建筑施工安全监管的具体操作流程上存在差异, 从而导致在制定信息化应用系统流程标准时存在一定的困难, 这就需要有关部门对各自的业务进行梳理建立符合信息化应用的新型操作标准。

2.3 信息化应用软硬件建设滞后

黑龙江省由于经济条件的制约, 绝大部分地区对建筑施工安全监管信息化应用的基础设施建设投资力度以及政策方面的支持力度不够, 致使各地建筑施工安全监管信息化应用基础设施普遍较薄弱, 信息化应用工作进展缓慢。目前虽然在监管应用系统的建设上取得了一些进展, 但还处于信息化应用的初级阶段。施工现场的远程监管、施工安全日常管理、应急指挥系统、安全网络教育等一大批应用系统的建设都还未开展。

2.4 信息化应用缺乏培训机制

目前建筑施工安全管理方面的专业人员的信息化应用水平普遍存在不足, 主要原因是未能建立相应的培训机制。根据部门职能分工, 专业人员的技能培训及考核由业务部门负责, 由于信息化应用水平未列入建筑施工安全管理方面的专业人员的基本技能要求, 因而在对取得此种资格的考核及日常的继续教育中没有设定相应的强制培训及考核。对专业人员的信息化应用水平的培训及考核由省建设信息中心负责, 但此种培训及考核未与执业资格联系, 因而很难组织培训及考核工作, 从而导致了目前专业人员信息化应用水平的不足。

2.5 信息化应用未建立资金保障体系

信息化应用的资金投入包括两个方面:即项目建设资金和日常的运维费用。据估算黑龙江省建筑施工安全监管信息化省级平台的建设资金需500万, 每年的运维费在80万, 全省工地每年用于安全监管信息化方面的投入资金达到2500万 (以2010年数据为例) 。近年来由于省电子政务重点项目的专项建设经费停拨导致了监管系统建设工作的停滞及日常维护工作的困难。然而, 早在2007年黑龙江省就在安全生产措施费中就列入了安全监管信息化投入费用, 以2010年为例, 根据工程建设投资规模此项费用的资金额度为3000万。但就如何使用这项费用一直没有相应的具体实施细则, 从而导致一边是有资金不知如何用, 一边是没有资金开展工作。

摘要：简要阐述了黑龙江省建筑施工安全监管信息化应用现状, 并对其存在的问题进行了分析。

信息化安全监管篇8

为创造全新的食品安全电子监管手段,最大限度地满足出口食品检验监管的特殊需求,突出企业第一责任人的作用,实现检企双赢,检验检疫管理职能部门研发了出口食品生产专用版电子监管系统,即出口食品安全信息化电子监管系统(EFS)。EFS依据HACCP/ISO9001质量管理体系设计开发,基本涵盖了企业原料管理、原料供应商管理、生产过程管理、实验室管理以及产品追溯与跟踪等多方面业务,不仅可实现企业生产加工全程管理,而且能够满足质检执法要求,从而实现监管信息化、通关便利化、查询快捷化和源头追溯化。

1 EFS设计背景

检验检疫部门现有监管模式为:企业将生产计划(新建生产批)、生产过程中检测数据及评定结果上报检验检疫局,并按照实际需求将完成检验的生产批进行单次或多次报检(报检组批),企业在完成电子报检后,电子监管(iQS)局端系统将自动发起报检单合格评定,电子评定合格后即可快速放行。但是由于食品企业监管的特殊性、复杂性和高风险性,面向全部出口产品设计的通用版企业端电子监管系统(iQS),无法针对高风险的食品生产加工进行专业化的源头管理、全过程控制和正逆向质量追溯。经过对国内外的调研,目前尚无能够反映食品生产原料控制、自检自控、正向跟踪、逆向追溯等特点的专用监管软件。为此,检验检疫职能部门自主研发了食品生产专用版电子监管系统,即出口食品安全信息化电子监管系统(EFS)。

2 EFS功能设计

EFS系统主要包括原料管理、生产管理、实验室管理、品质管理、库存管理、出口管理及质量追溯7个大管理模块(图1),下设原料登记、入库、生产投料、检验结果登记、生产合格评定、组批报检等20个子模块,其简明流程见图2。

3 EFS的特点

EFS系统具有3个突出特点:一是将原辅料管理全面纳入电子监管;二是该系统具有强大的正逆向质量追溯功能;三是实现了从原料入厂到产品出厂的全过程监管,从而实现了出口食品检验监管工作关键环节的全部电子化管理。

3.1 原辅料管理

原料安全是食品出口非常重要的一道防线。要在生产加工中去除危害因子往往需要增加成本,还可能困难重重,如奶粉中的三聚氰胺无法在生产中去除而需要控制奶源的品质一样,必须从供应链上游予以确保。

3.1.1 对原料供应商的维护和管理。

原料供应商的信息维护和评价管理能够帮助食品生产企业控制原料质量。因此,EFS需要企业维护原料供应商的基本信息,并能够将原料信息和供应商进行关联、修改供应商信息和删除供应商等功能。

3.1.2 原料的实验室管理。

对原料进行实验室检测的工作中,EFS系统要求操作人员必须指明原料批号和检验项目;另外,EFS有对原料进行预检的功能,这是指在原料登记接收前的检验,此时无企业登记的原料批号,需要指明原料名称和检验项目。

3.1.3 原料出入库的管理。

EFS对原料的使用有着科学严格的管理,系统要求对原料入库出库都必需进行准确登记,并可以查看到所有原料批的出入库明细。系统可以对已经创建的原料批进行库存查询、增加入库等入库操作和对原料批的生产投料、不合格剔除、其他出库等出库操作,同时还可将原料的出库数重量对入库数重量进行核销,以确保原料的规范使用。

3.1.4 关联检验单。

原料在入库检验后需要同检验单相关联,创建后的原料批和原料批关联的检验单可在原料登记界面查看,确保对原料的质量控制。

3.2 追溯功能

在国际上,欧盟、美国等发达国家和地区要求对出口到当地的部分食品必须具备可追溯性要求,欧盟管理法规要求从2005年1月1日起在欧盟范围内销售的所有肉类食品都能够进行跟踪与追溯,否则就不允许上市销售。日本在2005年之前就建立优良农产品认证制度,对进入市场的农产品进行“身份”认证,建立发达国家建立的食品质量安全追溯体系。由此可见,我国建立食品可追溯体系不仅能为人民群众提供优质安全的食品,而且在食品发生问题时,可追本溯源,查找问题原因,并及时进行处理;同时也是打破国外因食品安全追溯而设置的贸易壁垒的重要手段,对提高我国食品、农产品在国际市场上的竞争力起到重要的作用[1]。EFS的设计充分考虑了食品链的溯源,做到了企业内部溯源,并根据“一步向前,一步向后”原则,做到外部溯源的节点管理。

3.2.1 EFS内部溯源。

内部溯源是食品链溯源的基础和关键。内部溯源环节一般比较复杂,其中涉及到多种原料的投入和1种或1种以上产品的产出,EFS系统可以帮助企业做好产品的定义和批次的确定,加工型食品溯源类型见图3[2]。

3.2.2 EFS的外部溯源。

外部溯源的实质是食品链上的“节点管理”,EFS系统能够帮助企业准确记录供应商信息,确保入库原料的识别信息,生产出的产品也可通过标识信息和收货人信息有效地向后溯源(图4)。

3.3 从原料入厂到产品出厂的全过程监管

食物质量安全管理中的一个重要问题是生产经营者与管理者之间的信息不对称。EFS要求企业在自我规范原料管理、原料供应商管理、实验室数据管理以及企业质控要求的同时,按照检验检疫机构要求将生产过程数据、报检数据实时上报检验检疫机构。检验检疫机构不仅可实时通过电子监管局端系统、CIQ2000系统了解到企业生产过程、出口申报情况,还可通过远程、下场检查方式,全方位地了解企业生产投料情况、原料来源等,激励和帮助生产企业提高自身产品质量安全,同时,还可便于检验检疫部门日常监管,对出现质量问题的产品可一查到底,不仅可追溯到原料供应商,还可对实验室检测能力与检测质量进行验证重新考察。

3.3.1 产品跟踪。

即从原料供应商信息追踪到原料批、生产批、组批,最后追踪到报检批。如图5所示,选择追踪类型为原料,输入查询条件,点击查询,即可显示出原料采购信息。选择任一原料,点击追溯,显示追溯数据(图6),即可见该批原料共用于生产批的生产情况、出口国家等信息,选择批号为“5001”的生产批,即可显示3个组批号,显示出组批时间、输往国家等。

3.3.2 产品追溯。

从成品向原料的逆向追溯,是从报检批追溯到组批信息、生产批、原料批,最后追溯到原料供应商信息。如图7所示,在追溯类型处选择组批,输入查询条件查询组批号7选择组批号,点击追溯,即可弹出图8页面,显示组成该组批的生产批、产品名称、输往国家、生产批状态、评定状态、建批时间、结束时间等。选择生产批,点击追随即可显示该生产批所用的原料情况及原料建批编号、供应商信息等。

4 应用前景

4.1 标识识别技术的应用

要做到食品链的溯源,在技术上必须满足唯一性标识和识别、数据获取和记录、节点管理、信息交流的原则。食品链溯源系统实质是以标识为技术载体的信息记录系统,如今各种信息自动标识记录技术已经得到了很快的发展,如条码、FRID、磁卡等自动识别技术等,这些技术的发展为食品溯源带来了极大便利,并有力地促进了食品溯源系统的快速发展。

目前,EFS系统标识记录手段全部为手工输入,工作量大,工作效率受限。未来EFS系统将考虑利用信息自动标识记录技术,将产品入库信息阶段的信息录入转换为扫表识别。另外,由于食品链上游原料供应商无法全部采用标识记录技术的限制,EFS原料登记环节信息录入方式将转变成以扫描识别为主、手工输入为辅的方式(表1)。

4.2 风险等级评定

4.2.1 原料风险等级评定。

食品原料的质量直接关系到食品成品的质量,但是食品原料种类多、品种杂,要逐一排查潜在的危害因素,不仅耗费精力,效果还差。为将有限的资源最合理地运用到原料安全管控中,EFS可在今后设置原料风险等级评定。首先针对食品安全风险的高低,将原料分成甲、乙、丙3级,确定关键原料明细;然后针对供应商的供应量或供应风险,将供应商分成A、B、C 3个等级,按不同的等级采取不同的管理方式[3]。

4.2.2 监管风险等级评定。

在局端设置风险等级评定,根据风险要素、食品风险因子、风险因子级别及发生频率判定食品风险等级,并结合企业质量状况、诚信情况、体系运行情况等,综合进行等级评定,对不同风险等级食品的不同类型企业采取不同的检验监管措施,实现高风险食品严密监管、低风险食品快速验放。

4.3 实现局端同步

目前,企业端的整个监管过程在局端还无法看到,下一步将实现企业端与局端同步进行,即在局端可以网上监管企业原料采购环节、制定原料卫生检验项目、审核企业风险监控情况等,确保企业监管有效运行。

4.4 成为全国范围信息共享平台的重要组成部分

食品市场是典型的信息不对称的市场。信息不对称指交易中个人拥有的资料不同。食品供应链中的各个相关利益者之间都存在信息不对称,这种信息不对称导致逆向选择,高质量的食品被低质量的食品“驱逐”出市场。优质安全的食品被迫退出市场,劣质食品大行其道,食品生产者也就有大量生产劣质食品的动机,严重损害消费者的利益;信息不对称还会导致道德风险,食品生产者有机会主义的心理,故意夸大产品质量,经营出售劣质食品,严重冲击整个市场,使得市场安全食品的有效供给和需求不足[4]。

面对信息不对称带来的食品质量安全问题,政府、企业和消费者应该共同肩负起控制和处理的责任。因此,建立信息共享平台,让政府监管部门和消费者真实了解食品生产与流通的全过程势在必行(图9)。EFS可成为大范围内的信息共享平台的有效组成部分。今后,只要通过相关的终端设备,就能马上了解食品生产过程的所有信息,而不是像以前只能通过企业的广告或相关宣传了解有限的信息,大大降低了消费者的信息搜寻成本,这样消费者与生产者和销售者间的信息不对称可得到有效解决。同时,政府可通过信息共享平台获得很多相关信息,如果食品出现质量安全问题,也可以通过食品追溯体系有效地识别出发生问题的原料或产品加工阶段,有针对性地对企业实行惩罚措施。利用信息技术建立多网络的追溯信息共享平台已成为国内国际的发展趋势。

摘要：为实现出口食品企业生产加工全程管理,满足检验检疫执法要求,开发出口食品安全信息化电子监管系统尤为重要。在介绍出口食品安全信息化电子监管系统的设计背景和功能的基础上,重点分析了该系统的三大特点,并对其应用前景进行了分析和展望,以供参考。

关键词：出口食品,电子监管系统,特点,应用前景

参考文献

[1]王风云,赵一民,张晓艳,等.我国食品质量安全追溯体系建设概况[J].农业网络信息,2008(10):134-137.

[2]秦玉青,耿全强,晏绍庆.基于食品链的食品溯源系统解析[J].现代食品科技,2007,23(11):85-88.

[3]李宜霖.食品安全从源头做起——康师傅五大措施强化原料安全防线[J].中国质量万里行,2011(3):74-75.

信息化安全监管篇9

信息安全仍然是企业信息化推进所面临的一个关键问题,通过调查,各类管理信息系统造成的泄密(主要设计商业机密)事件时有发生。随着移动互联网的发展,企业各类电子商务系统的接入导致内部管理信息系统处在风口浪尖,各类入侵、攻击等日趋增加。

虽然大多数企业都采取了一系列措施来加强信息安全,但这仅仅通过预防威胁,而不是通过主动打击此类威胁的解决方案。企业往往需要从成本—收益角度来讲,按照施加的成本效益的方法来解决问题,因为许多模型倾向于省略定性或非金融的标准,但这种方法在信息安全层面有效性较差。

信息安全管理者的任务包含安全规划、政策制定、人员配备、风险管理、安全技术选择、威胁评估、对策实施、性能监控和设备修理。信息安全管理者可以选择不同策略来对抗各种各样的威胁,包括检测、威慑、减少脆弱性、教育和培训等,然而,通过不同的策略组合明显优于采用单一的解决方案。对于管理者,每个安全战略的采用存在相异的成本,效益以及潜在效益,然而这些参数却都难以量化,往往一次信息泄露的危害性也是难以评估的。

本文针对企业管理信息系统所面临的信息安全问题提出了一种基于动力学模型的信息安全监管方法。信息安全管理者对所辖管理信息系统资源按照模型进行监管并调整系统,通过对相应安全问题进行动态地捕捉,按照系统动力学的相关理论进行模型匹配,并且通过3个月的系统监控,证明模型对安全问题的调整和校准的有效性。

1 相关研究介绍

管理信息系统信息安全问题的研究已经经历了几十年的发展,传统的系统信息安全研究主要针对个性化的网络攻击[3]、内部滥用[2]、法律法规漏洞。然而,近来一些学者倡导研究一套更全面的方法来解决信息安全问题,这些安全性地研究通过各类模型来解决相应安全问题,包含访问模型,经济模型、动态模型可以深入了解信息安全动态[4]。

(1)信息安全访问模型

信息安全访问模型的早期型号是贝尔La Padula模型,它试图通过分配不同的安全级别人员和资产,通过控制访问来保持信息的保密性;同时还有通过形式化的模型在操作系统级别访问程序和其他对象进行了讨论,在这个扩展的前期研究中,通过添加和删除新的资产和人员,安全角度考虑来改变当前授权的能力。

(2)信息安全经济模型

信息安全的经济模型的研究一般采用定量方法。然而,安全性往往超越了并且通常包括定性和非功能两方面:一些研究人员采用层次分析法结合定量和定性标准[5],此类研究往往采用信息安全问题的静态视图。然而,实际上,信息安全是一个复杂的系统,它由许多紧密耦合的变量决定最终的复杂度,比如,信息安全因素涉及人的因素,组织因素,防范技术因素,任务和工作环境因素等。此外,管理信息系统的安全子系统往往涉及多个控件,通过技术控制(正式的控制和非正式控制)建立一个更加动态的方法来建模信息安全。

(3)信息安全动态模型

信息安全动态模型研究采用系统动力学来研究一个组织(可认为公司级)的信息资产基础的安全决策对财务的影响,通过在时间段内关联构建体和跟踪进展跨越的时间段来作为选择系统动力学的模拟方法的重要因素。该模型旨在包括安全策略。漏洞和攻击,并将它们与安全成本和对系统破坏性作为评价标准。尽管该模型不能涵盖所有的安全攻击和方案,它为管理人员提供了相对风险的权衡策略,工件的效用是通过模型在各种条件下的仿真模型试验证明[6]。

2 基于动力学模型的信息安全应用

信息安全管理模型涵盖了信息安全若干方面的研究内容,该模型从多个领域作为融合对象,包括软件的漏洞、风险评估、攻击动机、威胁检测、威慑和安全成本评价等[7,8]。该模型通过公式的重新校准和改进,对相应结构进行了改善用以确保潜在异常的避免,其流程结构如图1所示。

如图1所示,对于大多数信息安全方面的投资,该流程通过控制人员对系统信息安全的威胁和攻击,并且通过形象与感知目标值相结合形成目标吸引力。显然,根据流程分析一些恶意组织的首选攻击目标要么是出于商业上的考虑或者成功攻击的感知恶名目标。攻击的概率由攻击者的动机决定,该模型的信息资产的感知脆弱性,并且通过地方威慑机制来结合目标所吸引类型。与后者构建体相关,所有其他因素对最终概率将产生积极地影响。

感知漏洞是对攻击概率产生一个稳定增加的效果,它是利用负指数函数的近似模型来判断,同时针对适用于目标吸引力和攻击者的动机模型采用相类似的凹关系,尽管前者的影响更加明显。相反,威慑的影响与攻击的概率特性的反关系,模拟为一个简单的递减凸函数。

2.1 模型应用

系统动力学模型的验证通常采用两种方法中进行。一种方式为是通过对模型结构的验证来确定其是否能准确反映真实的世界,在行为评估执行期间系统专注于模型的行为和评估结果的可信,这种采用结构进行结构验证核查和极端条件分析的方法,解决了区分模型结构是否与被模拟关于真实世界现象的陈述性知识是否一致,在模型中使用的结构包含攻击、破坏、风险、脆弱性和成本等结构因素;另一种是通过在极端条件分析评估模型中的参数是否正确的方式。为了评估这一参数属性,模型表面被编为各个内生变量,通过检测结果判断任何不协调的行为和逻辑期望是否一致,前者评估是否有任何参数已经在规定的范围以外的值,例如,评估概率大于1,后者通过检查内生变量来响应输入变化,通过核定不符合条件的限制和期望的行为来触发内省的评价。

结构验证的大部分工作内容是针对一定时间周期内模型行为,而行为评估需要执行整个模型和检查结果。基于以上两种方法,参数的变化按照整个模型评估预期是否能够正在运行来判断。此外,个别构建体的行为是随时间跟踪,按照行为分析振荡和趋势趋向极端值,来判断是否存在异常行为引发的相关结构,并可追溯原因来判断各个造成威胁的可能。

基于动力学模型的结构和行为验证,通过实验验证,按照攻击概率落在0-1范围之外的极端条件下取值可证明,试验预先设定的两股不安全行为,通过对结构方程式的重新校准(模型的自动验证过程),从而解决了这种不正常现象,证明了该模型在信息管理系统中应用的可行性。

2.2 模型因素分析

安全攻击可以从系统内部或外部产生。在这一点上,该模型不区分内部或外部的攻击者;同样地,它不区分不同的信息资产攻击。据专业机构预计,内部攻击者和外部攻击者的成功率会不相同,也会对不同资产产生不同的影响。根据需要,该模型不深入到这个水平的细节;相反,它更侧重于总的层面,同样,模型不解析攻击分为不同类型,如拒绝服务攻击,黑客攻击,网络钓鱼,键击捕捉,病毒攻击和SQL注入攻击。根据相应机构地预计,大部分的攻击将通过现有的一些安全工具的监测,如防火墙、入侵检测系统、防病毒程序、恶意软件检测程序和垃圾邮件检测程序等,该类工具被表征为防止攻击。模型定义检测能力强弱取决于对安全工具的投资。

在安全性工具上的投资是不需要连续的,因为在现有安全工具的投资将给公司带来来攻击检测效果,因此,安全投资工具的累积性是用来评估检测的能力。随着系统检测能力的增加,防止攻击的数量也随着增加,这样为了找到与成功攻击的平衡,根据实际应用,成功的攻击会以各种身份体现,并伴有显著不同的效果。

损害幅度—损害即时性,以及成功攻击次数塑造的攻击报告的范围。公开的攻击报告将决定组织的信息资产的感知脆弱性,从而完成攻击循环。这是一个循环的增强,表明成功的破坏将导致更多的攻击和有效防止攻击会导致攻击者可以寻求其他更容易或更具吸引力的目标。在极端的情况下,增强环路驱动在循环到零或无穷大所有构建体的值。但是,如果该模型仔细构造,该行为可被控制,并在极端的情况下避免。

该模型包括一个加强环和三个平衡循环。该加强环周围的安全攻击,感知为中心的宣传在成功的攻击就产生漏洞,从而吸引更多的攻击者。此行为将继续有增无减,但通过检查涉及系统漏洞的平衡环举行。攻击成功检测导致各种减少脆弱性活动,包括修补基础软件的缺陷、消除开发的软件缺陷,并实施新的安全程序。

2.3 模型实验验证

本文采用Vensim1 PLE仿真软件对模型进行性能仿真测试,该软件是美国Ventana系统公司用于系统动力学仿真软件,设置单位时限是一个月,然后将模型历时3个月运行。由于系统长期的运行无法确保安全性,因此该模型的模拟就选用周期较中和的长度作为测试周期,通过将该模型是在各种模拟条件下运行,用以了解对系统整体的攻击效果、损失、费用不同的安全策略和投资的影响,这样的测试对于信息安全管理人员能够做出更有效的信息安全有效决策[1]。

如图2所示为按照模型参数(抗击威胁成本与安全造成资产损失)的测试对比图。

图2(a)显示随着信息安全防范投资的增加,相应安全事故造成的损失也就越小;图2(b)显示主动攻击的增加对信息安全的造成的损失没有确定的线性关系。

图3将信息安全防御投入、主动攻击投入与信息安全最终造成损失进行线性对比,如图显示,信息安全的最终损失量取决于其他多方面因素的共同决定。

通过实验验证,模型的决定参数主要取决于对信息安全投入的多少,以及其他部分参数的小范围影响,这样就明确了在企业信息管理系统的信息安全管防策略中加强信息安全投入并增加对安全管理人员的培训投入才能从基础上降低由于信息泄露造成的损失。

3 总结

对于企业来讲保护信息资产是至关重要的,虽然当前这种期望是很难实现的,并且会耗费大量资源才能降低资产危险性。

本文通过结合基于动力学模型的思维从信息安全本身特点以及成本最优化,采用了多方面的安全威胁来测试模型的有效性,包括攻击、检测、回收、风险评估和漏洞减少等策略。通过实验证明,相比安全威胁造成的损失在检测攻击的安全工具的投资增加会导致更好的收益。总之,该模型提供了一个丰富的安全策略环境,以更好地在各种情况下理解各类安全决策研究影响。此外,它有助于信息安全管理者作出有关信息安全更好的决策。

参考文献

[1]S.-C.Yang,Y.-L.Wang,Insider threat analysis of ca-se based system dynamics,Adv.Comput.2,2011.

[2]K.H.Guo,Y.Yuan,The effects of multilevel sanction-s o n information security violations:a mediating model,Inf.Manage.49,2012.

[3]A.Simmonds,P.Sandilands,L.v.Ekert,An ontology f-or ne twork security attacks,in:S.Manandhar,J.Austin,U.D-esai,Y.Oyanagi,A.Talukder(Eds.),Applied Computing,Sp-ringer,Berlin,2004.

[4]A.Sunyaev,F.Tremmel,C.Mauro,J.M.Leimeister,H.K-rcm ar,A reclassification of IS security analysis approa c-hes,in:Proceedings of the 15th Americas Conference on Inf-ormat ion Systems(AMCIS 2009),San Francisco,CA,2009.

[5]L.D.Bodin,L.A.Gordon,M.P.Loeb,Evaluating inform-atat ion security investments using the analytic hierarchy process,CACM 48,2005.

[6]D.Trcek,Using system dynamics for managing risksin in formation systems,WSEAS Trans.Inf.Sci.Appl.2,2008.

[7]D.L.Nazareth,J.Choi,Information security manage-ment:a system dynamics approach,Eighteenth Americ-as Conferenc e on Information Systems(AMCIS-2012),Seattle,WA,2012.

[8]M.Siponen,R.Willison,Information security management standards:problems and solutions,Inf.Manage.46,2009.