建筑企业职业健康安全管理方案，建筑工程管理部安全生产职责

工程管理部安全生产职责

1、负责项目经理部安全生产技术配合以及协助安质部进行安全管理工作：坚持“管生产必须管安全”的原则，按相关环境。职业健康安全技术和管理规定，组织指挥安排单位项目施工生产；

2、坚持“安全第一、预防为主”的安全生产方针，根据公司下达的安全生产目标，组织本项目工程的危险源识别和评价工作，组织制定贯彻落实的措施，制定和实现安全生产目标；

3、 检查施工组织设计和施工方案中安全措施的实施情况，对施工中涉及安全生产方面的技术问题，提出解决办法；

4、 在施工现场的生产指挥调度中不发生违章指挥现象，发现险情对要及时采取措施并向安质环保部通报和向相关领导报告，参加项目经理部组织的安全检查，纠正违章、整改隐患；

5、认真、贯彻执行国家和上级有关安全技术及安全操作规程的规定，保证施工中安全技术措施的制定与实施；

6、 采用新技术、新材料、新工艺时，必须制定相应的安全技术措施和安全操作规程；

7、在编制和审查施工组织设计和方案的过程中，要在每个环节贯穿安全技术措施，对审批后的方案，若有变更，应及时组织修订；

8、 参加安全设施、设备的联合验收工作，参加生产安全事故调查，从技术层面分析亨故原因，提出整改措施；

9、 负责单位项目施工组织设计、安全技术措施、方案、危险作业、专项安全技术措施、交底工作；

10、 深入现场，及时解决施工生产中危及人员安全健康的技术问题，对改善劳动条件，减少笨重体力劳动、消除噪声等方面的治理进行研究、解决；

11、 参加安全设施的验收工作，对设施的结构安全验收给出客观、公正、准确的结果；

12、负责工程监控量测工作，制定监控量测方案，采集监控量测信息，建立预警预控体系；

13、完成项目经理部安排的其他任务。

工程管理部主任岗位安全生产职责

1、认真贯彻“安全第一、预防为主、综合治理”方针，工程管理部主任是本部门安全生产第一责任人；

2、接受项目经理的直接领导和管理，全面负责项目安全管理技术工作；

3、负责组织制定本单位安全生产的各项安全生产技术措施，并派专人进行全面交底，确保安全技术措施的落实；

4、认真贯彻执行《建设工程安全生产管理条例》，贯彻执行劳动保护、安全生产的方针政策、法令法规、规范标准，做好安全生产的宣传教育工作；

5、协助项目经理部以及作业队健全安全管理体系和各项安全管理规章制度，并监督检查其执行情况；

6、认真及时地传达贯彻公司和上级部门关于安全管理方面的相关文件，并监督检查其落实情况；

7、监督检查作业队的日常安全管理工作，定期组织相关人员对各安全体系文件、安全方案审批、安全技术交底等安全资料进行检查，对存在的问题提出整改意见；

8、参加安质部组织的安全大检查，并对存在的问题提出整改意见；

9、发现现场存在的违章作业和重大安全隐患要及时制止；

10、参与工程施工安全事故的调查处理建筑企业职业健康安全管理方案，建筑工程管理部安全生产职责，配合相关部门协调处理好安全事故的善后工作。

11、完成项目经理部安排的其他任务。

工程管理部副主任岗位安全生产职责

1、认真贯彻执行国家、地方政府和上级的安全生产法律、法规和安全技术规范、规程、标准等，协助主任做好安全生产的技术保障工作；

2、协助主任制定指导性的安全技术措施方案；

3、编制和审核施工组织设计和施工方案时，应严格审查其各环节的安全技术措施学什么技能好，并做好分项工程的安全技术交底工作；

4、在进行产品质量监督检查的同时监督检查施工生产过程中的安全技术措施落实情况，对违反安全技术措施行为提出整改建议；

5、开展安全技术攻关活动，积极研究和推广有效的安全技术措施和保证安全的操作工艺；

6、参加本单位因工伤亡事故的调查，从技术角度，分析事故原因，提出防止类似事故重复发生的技术措施；

7、参加施工组织设计、重大施工方案的编制，组织安全生产例会，掌握信息，总结安全生产管理先进经验和教训，提出奖罚意见；

8、参加本项目部的生产会议，会审施工方案和生产计划中相应的安全施工技术和安全技术交底建筑企业职业健康安全管理方案，监督、检查执行情况，参加各工种班组安全会议，听取反映，进行业务指导，培养典型，总结交流经验，推动安全工作；

9、认真做好日常安全巡视和检查记录；

10、完成项目经理部安排的其他任务。

工程管理部工程技术人员岗位安全生产职责

1、认真执行安全技术措施及安全操作规程，针对生产任务特点，向班组（包括外包队伍）进行书面安全技术交底履行签字手续，并对规程、措施、交底要求执行情况经常检查，随时纠正作业违章；

2、严格监督项目工程现场进场材料、工具、设备的质量标准保证安全使用；

3、协助安全员、技术员监督安全技术措施和安全技术交底的落实，对违章施工人员的违章操作予以制止向上汇报；

4、对事故现场做好保护和抢救工作，参与事故的调查和分析，提供有关的资料和记录；

5、对重点、特殊部位施工，必须检查作业人员及各种设备设施技术状况是否符合安全要求，严格执行安全技术交底，落实安全技术措施，并监督其执行；

6、定期组织所管辖班组（包括外包队伍）学习安全操作技术，开展安全教育活动，接受安全部门或人员的安全监督检查，及时解决提出的不安全问题；

7、对分管工程项目应用的新材料、新工艺严格执行申报、审批制度，发现问题及时停止使用，并上报有关部门或领导；

8、严格按规范要求组织施工，负责技术、质量信息的收集工作，积极贯彻新技术、新工艺的实施；

9、对安质部提出的质量、安全隐患制定技术配合措施，并在后期施工过程中采取积极主动的预防措施防止类似状况再次发生。

10、完成项目经理部安排的其他任务。

安全管理体系建设方案详细，信息安全管理体系

基本信息播报

编辑

信息安全管理体系（ ，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（ ，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 [1]

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 标准是由-2标准发展而来。

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准安全管理体系建设方案详细，信息安全管理体系，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

编写依据播报

编辑

简述

组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。

（1）体系标准

要求：BS 7799-2:2002 《信息安全管理体系规范》 控制方式指南：ISO/:2000《信息技术-信息安全管理实施细则》

（2）要求

相关法律、法规及其他要求。

（3）惯例、规章、制度

包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等；

信息安全管理体系

（4）其他的文件

[编辑]

遵循原则播报

编辑

在编写程序文件时应遵循下列原则：

程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定； 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式； 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度； 程序文件应简练、明确和易懂，使其具有可操作性和可检查性； 程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

注意事项播报

编辑

编写信息安全管理体系程序文件时应注意：

程序文件要符合组织业务运作的实际，并具有可操作性；

可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准； 在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好； 程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。

模式应用播报

编辑

PDCA简介

计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；

实施（Do）——实施所选的安全控制措施；

检查（）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 [2]

改进（）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS

的持继改进。

PDCA过程模式

策划：

依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施：

实施和运作方针（过程和程序）。

检查：

依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

措施：

采取纠正和预防措施进一步提高过程业绩。

四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效()螺旋上升。

PDCA的应用

P—建立信息安全管理体系环境&风险评估

要启动PDCA 循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

1．确定范围和方针

信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：

确立信息安全管理体系范围和体系环境所需的过程； 战略性和组织化的信息安全管理环境； 组织的信息安全风险管理方法； 信息安全风险评价标准以及所要求的保证程度； 信息资产识别的范围。 信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：

下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA 活动； 下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。 安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

2、定义风险评估的系统性方法

确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；b. 威胁及薄弱点的识别；c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

3、识别风险

识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

4、评估风险

根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响安全管理体系建设方案详细，以及实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

5、识别并评价风险处理的方法

对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

6、为风险的处理选择控制目标与控制方式

选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。BS 7799-2:2002 附录A 提供了可供选择的控制目标与控制方式。不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。在形式上，组织可以通过设计风险处理计划来完成步骤5 和6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

7、获得最高管理者的授权批准

剩余风险( )的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

D—实施并运行

PDCA 循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险， 不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。

C—监视并评审

检查阶段

又叫学习阶段，是PDCA 循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

1、执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

2、常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

3、评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

评审

信息安全方针仍然是业务要求的正确反映； 正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标； 有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效； 剩余风险已被正确评估，并且是组织管理可以接受的； 前期审核和评审所认同的措施已经被实施；审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。 正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。 记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

A—改进

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA 循环。在这个过程中组织可能持续的进行一下操作：

测量信息安全管理体系满足安全方针和目标方面的业绩。 识别信息安全管理体系的改进，并有效实施。 采取适当的纠正和预防措施。 沟通结果及活动，并与所有相关方磋商。 必要时修订信息安全管理体系。 确保修订达到预期的目标。 在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

不符合、纠正措施和预防措施是本阶段的重要概念。

不符合：是指实施、维持并改进所要求的一个或多个管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：

识别信息安全管理体系实施、运作过程中的不符合； 确定不符合的原因； 评价确保不符合不再发生的措施要求； 取定并实施所需的纠正措施； 记录所采取措施的结果； 评审所采取措施的有效性。 预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求：

识别潜在不符合及其原因； 确定并实施所需的预防措施； 记录所采取措施的结果； 评审所采取的预防措施； 识别已变化的风险，并确保对发生重大变化的风险予以关注。

相关文章播报

编辑

ISO 为企业云计算安全保驾护航

IT领域出现了全面的业务和技术的融合，许多全新的技术名词开始进入大众视野。作为第三次IT浪潮的代表，云计算技术的风起云涌为人类生活、生产方式和商业模式带来了巨大的改变。据公司最新一季度的IT支出报告称，鉴于2011年全球公有云服务市场规模突破了910亿美元，预计2012年底这一数字将增加19%，达到1090亿美元。来自的云计算领域观察员Ed 认为，2016年全球云计算产业很可能增长率将超过100%，市场规模达到2070亿美元。

伴随着云计算的高速发展与普及，随之而来的全新网络威胁、数据泄漏和欺诈的风险，在全球范围内引发了诸多危机：2011年3月，谷歌邮箱爆发大规模的用户数据泄漏事件，约有15万用户的使用信息受到不同程度的破坏；无独有偶，2011年4月，全球最大的网络零售商亚马逊也发生史上最严重的宕机事件，导致其云服务中断持续了近四天，业务损失十分严重。由此可见，想要获得真正全面的云计算服务，安全问题是重中之重。如何有效地避免云计算所存在的安全隐患，国际上关于“云”的组织联盟都在积极地做出努力，在对相关技术水平提出更高要求的同时，如何更好的建立企业自身的信息安全管理标准体系，也成为了行业日益关注的焦点。

作为国际上具有代表性的信息安全管理体系标准，ISO 已在世界各地的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司得到了广泛应用。该标准重新定义了对信息安全管理体系(ISMS) 的要求，旨在帮助企业确保信息安全，有足够并具有针对性的安全控制选择。通过信息安全管理体系的建立、运行和改进，可以进一步规范企业相关的信息管理工作，从而确保企业云计算服务的安全问题。

此外，开展ISO 的培训也是十分必要的，而且要从不同的层面开展针对性培训。首先，需要开展管理层的培训，让管理者对信息安全管理体系有一个初步的了解，让领导们了解信息安全管理体系的理念和作用 。企业信息安全体系架构的建立，需要得到企业高层的支持，才能顺利进行。因为信息安全体系架构的实施和运行，会跨越不同的部门，在部门与部门之间的协调上，需要上层领导的协助。此外，让各部门主要信息安全专员参与信息安全管理体系标准的内审员培训，从而让内部审核员认识企业的信息安全体系，应该做哪些工作，哪些是重点工作，在培训中进行沟通与讨论，形成统一的信息安全管理标准。

通过实施信息安全管理体系，将为企业带来多方面的益处，包括：证明企业内部控制具备独立保障，并满足公司信息管理管理和业务连续性要求；独立证明已遵守各项适用的法律法规；通过满足合同要求以提供竞争优势考证含金量排行榜，并向客户展示其云计算信息安全已受到保护；在使信息安全流程、程序和文件材料正式化的同时，能够独立证明公司的云服务相关信息安全风险已得到妥善识别、评估和管理；证明高级管理层对其信息安全的承诺；定期的评估流程，有助于监控企业的绩效并最终得到改善。