安全管理人员管理，系统设计的三员管理

标题一、“三员”职责

系统管理员：主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理；网络和系统的用户增加或删除；网络和系统的数据备份、运行日志审查和运行情况监控；应急条件下的安全恢复。

安全保密管理员：主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销；用户操作行为的安全设计；安全保密设备管理；系统安全事件的审计、分析和处理；应急条件下的安全恢复。

安全审计员：主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报情况。

二、“三员”配置要求

1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息；不能增删改日志内容。

2、涉密信息系统三员应由本单位内部人员担任，要求政治上可靠，熟悉涉密信息系统管理操作流程，具有较强的责任意识和风险防控意识；并签署保密承诺书。

3、系统管理人员和安全保密管理人员可由信息化部门专业技术人员担任，对于业务性较强的涉密信息系统可由相关业务部门担任；安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。

4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任，安全保密管理员员和安全审计员不得由同一人兼任。

三、“三员”权限管理流程

当用户需要使用涉密信息系统时，应该首先在本部门提出书面申请，该部门主管领导批准后，根据实际情况对此用户在系统中的权限进行说明，并将整个情况报本单位的保密工作机构备案。

系统管理员收到用户书面申请后，根据该部门主管领导审批结果和本单位保密工作机构的核准认可，在系统中为该用户生成标识符，创建用户账号。

安全保密管理员收到用户书面申请后，根据保密工作机构的审核结果，配置相应权限，并激活账号。至此，该账号才能使用。当用户工作变动或权限发生变化时，由用户所在部门主管领导书面通知安全保密管理员安全管理人员管理，系统设计的三员管理，并报单位的保密工作机构备案。安全保密管理员接到通知后，根据变更结果注销用户账号或进行权限调整。

安全审计员要定期查看与系统管理员、安全保密管理员相关的审计日志，当发现有用户账号增加、删除和用户权限变化的情况时，及时查阅相关手续文件，以确定系统管理员、安全保密管理员的操作是否经过授权和批准。

在实际工作中，通过类似上述的管理流程，使3类安全保密管理人员各司其职考证含金量排行榜，充分发挥作用，再加上完善的安全保密审批监督机制，就能深入贯彻安全保密管理措施，全面实现系统的安全保密目标。

四、涉密信息系统提供“三员”权限划分等安全保密防护措施 （一）“三员”等权限设置

系统管理员、安全保密管理员和安全审计员是否能够发挥实效作用，除了人员设置和管理到位外，还取决于系统使用的业务应用系统和安全保密产品是否提供相应的管理员账号，以及权限划分和审计日志功能。因此，在设计开发业务应用系统和安全保密产品时，应充分考虑该方面的需求，为使用人员提供相应功能。

管理员角色划分

序号 角色 职责

系统管理员

1.负责系统参数安全管理人员管理，如流程、表单的配置、维护和管理。 2.负责用户的注册、删除,保证用户标识符在系统生命周期的唯一性;

3.负责组织机构的变动调整,负责与用户权限相关的各 类角色的设置。

2 安全保密管理员

1.负责人员涉密等级和职务等信息调整和用户权限的分配; 2.负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统; 3.不能查看和修改任何业务数据库中的信息； 4.负责用户审计日志以及安全审计员日志的查看，但不能增删改日志内容。

3 安全审计员

1.负责监督查看系统管理员、安全保密管理员和安全审计管理员的操作日志,但不能增删改日志内容; 2.负责定期备份、维护和导出日志。

在应用系统设计过程中应避免超级用户，即该用户具有完全的资源访问权限。

对于普通用户的权限，应按照最小授权原则进行划分，将其权限设定在完成工作所需的最小授权范围内。

（二）安全审计功能

审计功能主要记录系统用户业务操作的过程，为安全保密管理员和安全审计员判断用户操作的合法性提供依据。

1.审计范围。包括：审计功能的启动和关闭，用户的增加、修改和删除以及权限变更，系统管理员、安全保密管理员、安全审计员和用户所实施的各种操作，包括查阅、备份、维护和导出审计日志。

2.审计记录内容。应包括事件发生的时间、地点、类型、主体、客体和结果（开始、结束、失败、成功等）。

3.审计事项管理。审计事项管理是指对核心业务操作、需要进行审计的事件的定义和管理，配置和定义所有可能需要审计的事项或操作。

4.审计策略配置。审计策略配置是指审计事项和审计人员之间的关联、设置关系，也就是设置哪些关键人员的哪些关键操作事项需要审计；而且根据国家标准要求，用户的增加和删除、权限的变更、系统管理员、审计管理员、安全管理员和用户所实施的操作必须审计，因此根据审计内容审计分为两类强制审计和可配置审计。

5.审计信息的存储。系统应设计充足的审计记录存储空间，且当存储空间将满时能及时进行告警，必须对已存储的审计记录进行保护，能检测或防止对审计记录的修改和伪造，记录应至少保存三个月。

安全管理的形式，班组安全管理模式

班组安全管理模式，是指企业在班组安全管理过程中，或者在包括安全工作在内的更广泛意义上(例如：安全、健康和环境管理方面)的管理理念、方法、做法和经验，在此基础上形成的管理模式。这一模式的应用将有助于班组安全管理长效机制的建立。

企业在班组安全中总结了一些好的管理方法和经验，有的企业逐步形成了自己的班组安全管理模式，应在此基础上坚持不懈地开展好这项工作，使班组安全管理的长效机制真正在班组内形成，并发挥积极作用。

在以往企业班组安全管理的过程中，有一些比较好的传统做法，但往往由于没有形成长效机制，没有得到推广，因此，没有形成比较完整的系统模式。

另外，由于国家和企业安全管理的需求，很多企业都在积极推进HSE管理体系、职业安全健康管理体系的实施。但在推行过程中，往往没有注意到体系与班组安全管理工作的有效结合，只是为了推行体系而推行体系，没有在基层班组得到较好的落实，造成目前班组安全管理体系不健全。

因此，班组安全管理模式应当与时俱进，有更加广泛的意义和丰富的内涵，从大安全观的角度，思考和建立班组安全管理的模式，扩大班组安全管理的内容，形成体现现代安全管理理念和囊括先进做法的安全管理模式。

当前，科学的班组安全管理模式从广义上讲应当归纳为“HSE管理体系+有效传统做法”的模式，也可以简称为“1+1”模式或“体系+传统”模式。HSE管理体系虽然理念思想比较先进，但自身也有一些缺陷：例如在对基层班组工作的指导性和操作性上需要进一步完善。

目前，HSE管理体系在推行的过程中正逐步实现本土化，并逐步演变成一个综合的管理体系，非常有必要与我国企业一些好的基层做法相结合学什么技能好，否则好的传统做法不再使用，新的HSE管理体系又不能有效发挥作用安全管理的形式，班组安全管理模式，就会形成班组安全管理漏洞。所以，HSE管理体系与企业有效的传统做法相结合，形成新的班组安全管理模式，是可行的。

班组安全管理模式分类

不同类型、不同行业的企业班组安全管理会有所不同，会产生多种不同的安全管理模式。这些模式之间既有联系又有区别。相同的地方，例如在出发点和核心的基础的做法有相同之处，都贯彻PDCA循环方法，树立持续改进的理念，包括一些通用的做法，比如安全教育和培训等；区别在于每种安全管理模式体现了本行业、企业的特点安全管理的形式，包括了本企业专有的做法。

下面简单介绍几种班组安全管理模式的内涵。

1．“HSE体系+传统做法”模式

笼统地讲，这种“体系+传统”模式，应当包括许多种班组安全管理模式，其中即包括了HSE管理体系在班组的做法，也包括了企业传统的有效的班组管理做法。

其中班组安全管理模式中包括的HSE管理体系的理念包括了持续改进的思想，包括了危害辨识、变更管理、应急管理、HSE检查、HSE方案、HSE作业指导书等各种要素，在以后会分别介绍。

传统做法指班组合理化建议活动、班前班后会、不安全事件报告、三级安全教育、无隐患管理、“三标”建设、“5S’’管理、“三老四严”作风等，这些在班组内行之有效的传统的企业管理做法。两者有效结合，互为补充，在班组管理上融合了先进的安全管理理念和管理方法，大大提高了班组的安全管理水平。

2．“两书一表”模式

这一模式是指HSE作业指导书、HSE作业计划书和HSE现场检查表模式，简称“两书～表”，是一种企业基层组织HSE管理的一种模式，是HSE管理体系在基层的文件化表现，是适应国内外市场需要，推行HSE管理体系过程中结合企业实际发展起来的。

这一模式是班组内HSE管理体系的具体表现形式。在实行过程中耍按一定的格式和标准编制“两书一表”，并建立相应的记录，然后实施。

3．“两书一表、一案一本”模式 这一模式中的“两书”指HSE作、ff，指导书和HSE作业计划书，“一表”指HSE检查表，“一案”指应急预案，“一本”指HSE管理记录本，这也是企业基层组织HSE管理的～种模式，是HSE管理体系在企业基层的文件化表现。这～模式与“两书一表”模式不同的是，它增加和更加强调了应急预案和HSE管理记录本两项内容。实施前，同样要按一定的格式和标准编制相应文件，建立相应的记录，尤其是HSE营理记录本，然后实施。

4．“一书两卡一程序，HSE方案及警示录”模式

这一模式也称“121”模式，其中的“一书”指岗位作业指导书，“两卡”指标准危害(隐患)分析卡和岗位安全须知卡，“一程序”指实施程序，“HSE方案”指HSE工作方案，与作业计划书有相似的地方，“警示录”是指将班组内发生的不安全事件及时收集、分析、反馈的一种安全教育机制。

这几种模式都是在实践中不断发展起来的，适用于不同类型的企业班组，有相通的地方，比如岗位安全须知卡类似于“两书一表”模式中的作业指导卡。

5．标准化班组模式

这种模式是以安全管理为核心，突出现场检查和标准，力求实行班组管理标准化的一种模式。它首先要确立标准化班组建设的标准和考核制度，包括制度、现场、设备、人员等多方面，然后班组按这一标准实行，最后由企业定期组织考核，以此使班组管理实现标准化，提高班组的安全管理水平。[page]