安全信息服務范文

時間:2023-10-09 17:29:49

導語:如何才能寫好一篇安全信息服務,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全信息服務

篇1

關鍵詞:長江水上安全信息臺 數字音頻

長江水上安全信息臺(以下簡稱信息臺)成立于2004年5月1日,是交通運輸部指定的唯一為長江航行船舶播發各類航運安全信息的公益性廣播電臺,現隸屬于長江海事局信息中心。信息臺的主要職責是代表長江航運主管部門安全預警、水位公報、氣象預報、航行通告、水上水下施工作業等各類航行安全信息,宣傳交通航運政策法規,通報長江水上安全形式,普及航運安全知識等。

目前信息臺通過甚高頻和同步調頻廣播這兩種廣播方式為船舶提供廣播服務,播發范圍為四川宜賓到上海2800多公里的長江干線,每天為7萬多艘船舶提供安全信息服務,船舶收聽率達到85%以上。

廣播在經歷了調幅廣播、調頻立體聲廣播兩個技術發展階段后,正進入數字音頻廣播新階段。信息臺的數字化廣播系統與傳統的廣播電臺模式相比己經是大不相同,與傳統廣播電臺相比省去了大量的CD、磁帶,同時減輕了編輯、主持人的工作量,并且提高了節目的播出質量。計算機網絡技術的發展使孤立的多媒體制作工作站有效地連接在一起,并通過這一網絡實現全臺的節目共享和自動播出,進而實現整個信息臺從節目制作、存儲、管理到播出整個流程都是以數字的形式通過高速的計算機網絡在各工作站流動,最終各種音頻節目、文稿資料都保存在容量巨大、性能穩定的大型數據庫中。

相較于調幅、調頻技術,數字化的影響遠遠超出了技術范疇,數字技術徹底改變了傳統廣播的運作方式。電腦數據庫、網絡共享、數字音頻處理等,成為其必須依托的技術平臺。人力成本的幾何級節省,是其最抓人眼球的特點。音樂、廣告、標頭、資訊等類型的音頻節目,預先錄制后,按設計好的節目表單,信息臺可以提前編排好一天、一個星期甚至一個月的節目,系統將自動控制播出。

在信息臺計算機綜合信息系統中,數字音頻工作站占據著相當重要的地位,可以說,是信息臺數字化的基礎。它的基本功能為實現從節目錄制、節目單編排、節目審核、節目管理、節目播出的整個過程的自動化、無磁帶化,以及播出監控的數字化。由于它涉及到管理、播出的各個環節,一個比較完善的音頻工作站應具備大容量錄制、全方位檢索、自動編排生成、定時播出、方便的管理等功能元素。因此設計一個合理的整體系統結構和工作流程至關重要。

技術路線

Ajax的工作原理:AJAX(Asynchronous Javascript and XML,異步JavaScript與XML),是使用客戶端腳本與Web服務器交換數據的Web應用開發方法,是多種技術的綜合。它使用XHTML和CSS標準化呈現,使用DOM實現動態顯示和交互,使用XML和XSTL進行數據交換與處理,使用XML Http Request對象進行異步數據讀取,使用JavaScript綁定和處理所有數據,更重要的是它打破了使用頁面重載的慣例技術組合,可以說AJAX己成為Web開發的重要武器。

Ajax的核心是JavaScript對象XML Http Request對象在Internet Explorer中首次引入,它是一種支持異步請求的技術。簡而言之,XML Http Request使您可以使用JavaScript向服務器提出請求并處理響應,而不阻塞用戶。Ajax用來描述一組技術,它使瀏覽器可以為用戶提供更為自然的瀏覽體驗。在Ajax之前,Web站點強制用戶進入提交/等待/重新顯示范例,用戶的動作總是與服務器的“思考時間”同步,Ajax提供與服務器異步通信的能力,從而使用戶從請求/響應的循環中解脫出來。借助于Ajax,可以在用戶單擊按鈕時,使用Javascript和DHTML立即更新UI,并向服務器發出異步請求,以執行更新或查詢數據庫。當請求返回時,就可以使用Javascript和CSS來相應地更新UI,而不是刷新整個頁面,最重要的是,用戶甚至不知道瀏覽器正在與服務器通信,Web站點看起來是即時響應的。

系統介紹

錄音工作站:實現節目錄入和制作的功能,即實現節目的采集、壓縮、編輯、合成及音頻處理等功能,并保證較高的錄制質量。可將其分為兩大類:

1、音頻資料的灌入或精品節目的制作:這類節目一般需要長期保存,或用于播出,或用于節目素材,儲存在總臺或系列臺的音頻資料庫中;

2、播出用節目:這類節目時效性強,不需要作長期保存,一般在播出后即可刪除,儲存在播出庫中。

節目單編排審聽:完成音頻工作站系統中的節目按天、按模板編排節目單,可以查詢每一天的節目單,并可以進行節目單的試聽、審定,還可以對播出站的直播模塊進行編排等。

節目預載:播出工作站根據預先的設置提前將次日或次幾日要播出的節目內容從音頻資料庫中預載到播出工作站的本地硬盤上,保證在網絡因故障癱瘓時也能正常播出。

播出工作站:實現信息臺的自動播出。它從播出節目庫中調入本欄目的節目,并按節目編排站編排的節目單自動播出或由主持人手動播出。

篇2

關鍵詞:政府;信息安全;信息安全人事管理

隨著我國信息化建設的不斷推進以及電子政務的持續發展,政府信息安全事故也頻頻發生。

資料表明,七成以上的政府信息安全事故是由政府內部相關工作人員引發的。可見,在信息安全事件中起決定作用的是人,人是信息安全保障T作中最活躍的因素。信息安全人事管理是指以現代人力資源管理理論為基礎,從招聘選拔、人員培訓、人員使用、績效考核、人員激勵、離職管理等主要職能人手,對組織中信息安全人員進行科學管理、合理配置和有效開發,籍以實現組織信息安全管理目標的活動。信息安全人事管理是信息安全管理的核心。作為信息安全保障的一個關鍵要素,信息安全人事管理的強化實施可以為政府搭建起一道牢固的“人力防火墻”。本文將現代人力資源管理相關理論與信息安全工作特點結合起來,發掘與提煉信息安全人事管理各主要職能具有特殊性與規律性的實務要點,以期為有關方面提供借鑒和參考。

一、信息安全人員招募與選拔

招募與選拔是政府信息安全人員的“入口”,直接影響到信息安全工作的質量和效率。信息安全人員的招募與選拔實務應該把握以下要點:

1.從招募與選拔的標準上看,突出對個人品德及專業知識的要求。信息安全工作具有保密性、綜合性、層次性和規范性等特點,進而決定了信息安全從業人員具有諸多特殊性及要求:他們在工作中會接觸到關系國家及組織榮辱興衰、生死存亡的大量秘密,保守秘密是他們的基本職業道德;他們必須不斷學習,對自己的知識與能力進行“升級”,才能適應信息時代信息安全工作的需要;他們必須遵守更多的規定,而且在組織中具有明確的職責,不能越雷池半步。這些都表明,信息安全人員必須具有更高的品德修養。這對應聘者提出更高的標準及要求:必須具有很強的組織紀律性和保密意識;具有很強的團隊意識和合作精神,愿意為組織利益犧牲個人利益;具有長遠眼光和接納新事物的胸懷,不斷更新自身素質。組織可以通過面試、心理測驗、背景審查等選拔方式考察應聘者的德行。此外,管理與技術是做好信息安全工作的兩大法寶,因此是否具備一定的信息安全管理與技術專業知識是信息安全人員招聘的另外一個主要標準。組織可以通過筆試來考察應聘者專業知識掌握的程度,并根據職位的不同定位來確定不同的考察重點。

2.從招募的途徑上看,在內部招募和外部招募相結合的基礎上,突出內部招募。內部招募是指從組織內部發現并培養所需要的各種人才,其方式包括內部晉升、崗位輪換和返聘等;外部招募是指按照一定的標準和程序,從組織外部的眾多候選人中挑選符合空缺職位要求的人員,其方式包括人才招聘會與校園招聘等。內部招募和外部招募各有優劣,兩者結合起來可使招募效果最大化。由于信息安全工作的保密性要求,信息安全人員招募一般突出依賴內部招募,這主要是為了人員安全可靠的考慮,確保信息安全人員的穩定性。信息安全關鍵或領導職位出現空缺尤為如此。不過,由于當前我國政府信息安全人才仍舊匱乏,所以當內部招募滿足不了組織用人需求時也適當考慮外部招募。招募非關鍵性信息安全人員時尤為如此。

3.從選拔的過程上看,尤為重視背景審查和保密協議簽訂兩個環節。一般單位選拔人員可能也進行背景審查,但不一定是必須的,或者審查的過程與結果不一定非常嚴格與仔細。與之不同的是,信息安全人員的選拔尤為重視背景審查這個環節。該環節不僅不可或缺,而且在審查的時間、內容、過程、結果等方面比一般人員審查有更高的要求。其意義在于保證信息安全人員招聘的準確性與可靠性,并在“人口”或“源頭”上控制信息安全人事風險。例如,美國中央情報局聯邦調查局等部門在選拔關鍵涉密人員過程中經常采用“心理測謊術”等高科技手段來對候選人進行審查,以確定候選人的誠實度、心理健康度或意志力等。此外,一旦候選人接受了工作,錄用合同就成為重要的安全手段。在合同中,組織可以將“政策認可”作為招聘的一個基本要求即在合同中附上一個保密協議,要求候選人在將來的工作甚至離職后的一段時間中,必須遵守組織相關保密規定,擔負起保障組織信息安全的責任,否則就會

二、信息安全人員培訓

信息安全人員培訓是通過各種方式幫助信息安全人員習得相關的知識、技能、觀念和態度的學習過程以及開發其潛能的各種活動。其實務要點包括:

1.從培訓原則看,堅持保密性原則和適時性原則。保密性原則是指信息安全人員的培訓要做好保密工作,特別是對于培訓內容、時間和地點等,不可隨意泄露,以免引起不必要的麻煩。此外,適時性原則主要是為了順應當前信息安全科技發展迅猛、更新換代速度加快而提出來的。信息安全人員培訓只有遵循適時性原則,才能使信息安全人員跟蹤本領域科技發展最新動態,掌握最先進的知識與技能,以防止思想觀念陳舊與知識技能老化。

2.從培訓內容看,側重于信息安全意識與信息安全知識與技能培訓。高度的信息安全意識是信息安全人員必須具備的基本素質。信息安全意識貫穿于員工工作的始終,但是工作時間越長員工大多會出現倦怠,信息安全意識便會降低逐漸放松警惕,信息安全風險隨之倍增,所以加大信息安全意識培訓力度勢在必行。政府可以使用各種媒介進行宣傳,包括鼠標墊、水杯、鋼筆或在工作期間經常使用的任何物體上,在這些物體上印制上安全標語,用來提醒員工注意安全如在鼠標墊上印上“BeSafe:Think BethreYouClick”,使信息安全人員在每天工作時都最先考慮信息安全,樹立自覺維護信息安全的意識。此外,信息安全行業的綜合性使得組織必須根據學用一致的原則,加強對信息安全人員進行信息安全知識與技能的培訓。只有不斷給員工“輸入”新觀念、新知識與新技術,使其掌握信息安全的基本原理、要求和慣例,才能提高其技術與管理水平。

三、信息安全人員使用

信息安全人員使用是指組織通過各種人事政策,促使信息安全人員與信息安全工作兩者之間實現“人事相宜”、“人職匹配”等,以保障組織信息安全。信息安全人員使用實務要點是:

篇3

IT服務外包井噴式發展

在強調企業核心競爭力的今天,越來越多的公司將IT服務外包作為企業長期戰略成本管理的新興工具。服務外包的實質是企業和服務商之間的“委托―”關系。企業需要對自己重新進行定位,截取價值鏈中較短的部分,縮小經營范圍,在此基礎上重新配置企業的各種資源,將資源集中到最能反映企業優勢的領域,從而更好地構筑競爭優勢,以此獲得可持續發展的能力。

隨著企業業務發展過程中信息系統所涉及的內容越來越多、結構越來越龐大,企業信息化再也不僅僅是IT部門自己的事情。企業市場競爭壓力越來越大,在信息化建設和管理期間迎來了嚴峻的考驗。一方面是IT部門人員少、系統多、任務重,另一方面是公司要求IT部門削減成本、并消除由于缺乏內部控制和運作準則導致的混亂狀態,以更高效地服務業務部門。

在多重壓力之下,許多企業認為IT部門最重要的工作是確保信息和流程的順暢,而服務器、存儲系統、網絡或者交換機等設備并不是最重要。因此,許多企業傾向于將某些應用系統、基礎設施和部分非核心系統外包給服務商負責維護。

IT服務外包的風險

企業借外部力量提供專業化服務、將部分非核心業務進行離岸資源外包的過程中,面臨著管控、運營等一系列風險,其中最重要的是信息安全風險的威脅。

從表面上看,采用IT外包策略不但可以節約成本,還能提高效率。但事實上,許多企業對IT外包都有許多道不盡的愛恨情仇。外包是一柄雙刃劍,其好處是可以向企業灌輸技術與人才,幫助企業擺脫繁瑣的IT業務――有效的外包能讓公司更好的專注于核心業務。

但是進行IT外包并不是一件輕松的事情,如果處理不好,不僅不會帶來預期的效益,反而會變成一場噩夢和致命的災難。所以對于企業IT主管部門而言,必須具有很強的經驗和管理技能,才能談“外包” 二字。

IT外包服務要成為一種商品,就必須形成一套規范和標準,以約束買賣雙方。但目前國內IT外包服務領域既無統一規范也無公認標準。概念模糊的用戶,面對同樣概念模糊的IT廠商,如何評估、簽合同、質量控制和定價等都是潛在的“風險”。

此外,IT外包還面臨著 IT管理的復雜性、軟件缺失、知識產權以及IT外包服務提供商自身能否健康成長等風險。因此企業需要在風險、成本與效果、效率之間找到平衡點。

同時,由于委托方和方之間可能存在信息不對稱和信息扭曲等問題,加之市場及宏觀環境的不確定性,導致委托方在實施外包過程中承擔著種種風險。

外包服務關鍵詞:信息安全

企業在IT服務外包過程中面臨的最大挑戰,就是如何確保企業信息和數據的安全,如何建立起有效的信息安全管控框架,以符合企業信息安全要求。

首先,確認企業內部信息安全管控過程是否可持續監管和優化。在信息防泄漏的“戰爭”中,相比于躲在暗處的泄密者和安全威脅,站在明處的企業顯然略失先機。但如果企業能夠做到預先防御,在對手出招之前采取針對性的保護措施,就能從根本上“轉被動為主動”,做好內部數據安全防護。

因此,良好的信息防泄體系的前提就是要時刻掌握企業動態,做到要有的放矢。很重要的一點是要實現內部操作的“可視化”,以隨時監測整個信息系統的安全狀況,做到迅速反應,甚至還能預測到潛在的風險,化被動防御為積極防御。

其次,企業信息安全體系設計需進行全局評估和建設,規避疏漏和風險。安全領域中的木桶理論和馬其頓防線的故事相信大家都了解――無論怎么豪華的防線,一個漏洞就可以毀滅所有一切。在企業中,有時候可能是一個小小的系統漏洞就可能毀滅了幾百萬投資的努力,或者一個無意的非法補丁行為就讓企業蒙受損失。

因此,在解決安全問題之時,不能僅僅依賴透明加密等技術手段,“頭痛醫頭,腳痛醫腳”地堆砌不同安全產品及封堵安全漏洞,而是需要站在一個更高的戰略角度來通盤考慮。如果缺乏整體的分析視角,企業可能會忽視或者低估某個安全攻擊的真正威脅,采取的安全措施也可能無法解決真正的問題。

所以,在實際的防泄漏建設中,必須從整體上來評估企業的信息安全狀況,運用統一平臺來進行風險和安全管理,檢測出內部問題,從而描繪出整個企業當前安全情況的更清晰和更準確的圖景,采取針對性的防護措施,最大限度降低企業的安全風險。

另外,要有安全和防護等級措施。企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切,不分輕重地在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但對業務造成的巨大影響,以及因此產生的高額成本,對企業來說,都是巨大的負擔。

對信息安全來說,威脅和風險往往和高價值的信息資產聯系在一起,安全保護工作也就應該輕重有別,將重點放在高價值的信息資產上。在安全建設過程中,對程度高的部門或崗位進行力度大的防御,對程度低的部門采取相應的安全防御。同時衡量提升安全性可能帶來的業務操作上的麻煩、企業安全成本等問題,是企業必須要做的事情。

在企業實施安全防護等級風險評估過程中,往往需要結合企業的實際情況,對三種技術手段整合運用:首先,在全公司范圍內進行安全審計,掌握企業操作,發現安全隱患;其次,對特殊崗位和部門,進行嚴格管控,限制信息的帶出;最后,在核心部門內部,對機密信息進行透明加密。這樣既可保證公司的正常業務運作,又能有的放矢地實現最優化的信息防泄漏管理,還大大節約了投資成本。

此外,利用科學可行的安全策略和必要的技術手段實現動態性防護。動態性的信息泄露防護,對于目前泄密方式日益增多的企業來說,非常重要。某些企業往往在安全事件發生之后才對現在的策略進行被動的調整。這種“吃一塹、長一智”的防護模式,對于企業而言,有可能是致命的。一旦出了安全事故,恐怕亡羊補牢,為時已晚。

企業需要建立一個動態性的安全防護,前瞻性地發現安全威脅,并通過對技術或管理上的策略進行及時調整更新,防范潛在的安全風險。

最后要強調的是,信息安全體系必須便于使用和維護。如今,市場上五花八門的信息防泄漏產品讓企業眼花繚亂,企業期望這種“強強組合”能給企業套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業必須付出較高的成本,并增加了技術的復雜性,還容易導致產品軟件沖突等問題,企業雖然“裝”了安全產品,但根本“用”不了。

目前,能夠提供整體解決方案的單一安全產品可謂不錯的選擇,它能夠幫助企業建立統一的安全管理平臺,無論企業安全邊界防護、還是內部使用,都做了整體全面的考慮,同時簡化了日常的操作與管理、降低了系統的資源占用、避免了軟件沖突等多種問題,使用維護亦非常方便,大大節約了IT人員的時間和精力。

綜上所述,如企業信息防泄漏建設符合以上檢測標準,說明該企業已經建立了一個完善的整體信息防泄漏體系,機密信息也得到了最大化的保護,實現了“成本、效率、安全”三者的最佳平衡,這也是近年來被大家認可的“整體信息防泄漏”理念的核心。

實際上,信息防泄本身就是一種博弈,是企業和人的博弈。它是一場思維的交鋒,企業只有掌握了內部的行為操作,同時針對內部安全威脅建立全面、立體化的安全防護,信息防泄才會立于不敗之地。

天璣外包信息安全管控體系

天璣科技提供的IT外包(IT Outsourcing)服務,即“承接企業IT系統維護與管理,按雙方服務協議內容完成相關服務”的業務模式。

隨著客戶對信息安全管理的要求越來越高,天璣科技把IT外包的信息安全管理放在首位,積極貫徹基于風險的管理方法,針對IT服務外包中的安全管理進行了系統思考和有益的嘗試。

外包基礎和簡單重復的服務:考慮到信息安全管理問題,天璣科技初期外包服務范圍主要以基礎服務外包為主,即將IT系統日常的硬件與軟件維護、Helpdesk呼叫中心、信息系統的編碼等活動外包,而對于IT系統的規劃與管理、核心應用系統(如ERP、CRM)的設計與維護仍然由企業IT部門承擔。這樣避免了IT服務人員接觸組織的核心系統信息,降低了IT服務外包對IT系統敏感部分帶來的安全風險。

具備信息安全管理資質:由于IT外包服務過程中,IT服務人員必然會接觸到企業的系統設備甚至是內容,如何成為一家可靠安全的IT服務外包供應商也是在進行IT服務外包前必須考慮的重要方面。天璣科技是一家已經建立起完善的信息安全管理體系,并通過了BSI安全認證審核的IT服務外包供應商,專門從事IT服務外,擁有很多有影響的大客戶。天璣科技會根據服務內容簽訂責任明確的服務合同,在服務合同中詳細闡明雙方在服務提供過程中對信息安全的責任十分關鍵。

強化日常服務的安全管理:信息安全管理的要求應該體現在IT服務日常管理的各個方面,主要包括:日常活動規范的建立;服務變更控制;服務人員管理;安全事件處理;業務持續管理;知識產權保護和監控與審核等內容。

日常活動規范的建立:針對服務協議中明確的服務內容,建立規范的服務流程是開展IT服務活動的基礎。企業信息化主管部門根據雙方簽訂的服務協議,與供應商IT服務主管人員一起建立一套完整的服務規范。服務規范中對服務過程中的安全風險均采取了適當的控制措施,確保了服務活動滿足企業信息安全管理策略的要求。

服務變更控制:天璣科技遵從在調整其服務流程和變更服務技術前必須事前進行溝通,在企業評估變更的影響并確認采取了響應控制措施后才能進行服務過程的變更。

服務人員管理:服務人員是IT服務活動的直接執行者。為確保服務人員能夠滿足要求,天璣科技明確規定了IT服務人員的能力要求和標準,確保只有技術能力強、認真負責的服務人員才能進入服務項目組。同時,對服務人員篩選、培訓和變動也提出了具體要求。

安全事件管理:發生安全事件后,雙方人員的協調和互動將直接影響對事件處理的結果。在服務過程中發生和發現的信息安全事件必須第一時間上報企業主管部門,在企業主管部門的組織下完成對安全事件的處理。

業務持續管理:由于企業將核心網絡和系統硬件均托管給了IT服務供應商進行日常維護。IT服務供應商是否具備滿足組織業務需求的業務持續管理能力,成為保證企業信息系統業務持續的關鍵。在企業整個業務持續管理的框架下,對IT服務供應商的業務持續管理能力提出了明確的要求,在服務協議中進行了明確的定義。同時,針對具體服務系統雙方共同制定了相應的災難恢復計劃。

知識產權保護:桌面服務中如何保護組織以及相關方的知識智力產權,是需要在進行IT服務外包過程中管理和控制的重要內容。天璣科技在軟件安裝和服務過程中工具的使用過程都明確規定了對軟件許可證的跟蹤與管理要求,確保服務活動滿足對知識產權保護的要求。

篇4

研究院的安全服務主要包含四大獨立服務:安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面:

首先是安全咨詢。以“業務需求管理”為核心出發點,依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范,融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南,建立信息安全管理體系。

其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能,為最大程度上提高客戶的整體安全防衛意識和安全防衛技能,真正把信息安全管理體系落到實處,提供強力有效的技術支撐保障。

再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性評估,為客戶信息安全管理體系策劃提供基礎。

最后是安全加固。結合等級保護國家政策及行業規范,通過現場調研,合理使用安全加固工具等為客戶提供安全加固服務,主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務,安全補丁、安全策略調優、配置優化等服務。

七大監測服務主要包括下幾個方面:

第一,“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺,以大數據技術為依托,集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅,從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。

第二,“睿眼”移動安全監測預警服務平臺,為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺,通過此平臺進一步提升用戶辦事體驗,同時方便國家、省部級對下級單位進行移動App管理和統計。

第三,“睿眼”內網安全監測預警服務平臺,基于對內網網絡系統安全運行的考慮,平臺提供對內網的實時安全監測、分析和預警功能。

睿眼通

睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端,基于客戶對信息安全情況的即時需求,以七大監測預警服務平臺監測結果為主線,可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手,隨時隨地了解網站及信息系統等的整體運行情況。

信息安全應急響應指揮平臺

應急響應指揮平臺通過各大監測預警服務平臺實時監測結果,對告警的安全故障或安全威脅,以最短的時間進行故障排查定位和應急處理。

安全產品

公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。

(1)堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機,具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責,所有對網絡設備和服務器的請求都要從這扇大門經過。

(2)系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品,通過硬件USB-KEY,提高了服務器系統的安全性,克服單純使用軟件防護的局限性;軟件部分包括服務器操作系統安全增強軟件、服務器安全,以及統一安全管理平臺軟件。

(3)審計系統

①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生,另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段,從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成,大大減少信息部門的工作量。

②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為,通過對各類網絡行為的分析,實時地、智能地監控審計,并將審計數據存儲,以便日后進行查詢、分析,實現對整個網絡環境內的操作訪問行為的監控和審計。

篇5

【論文關鍵詞】檔案信息服務;隱私權;網絡化

檔案信息是一種重要的原始信息,也是記錄隱私的重要載體,同時,作為歷史的記錄,檔案中的許多內容涉及個人隱私,因此,檔案工作和隱私權保護有著必然的聯系。蓬勃發展起來的網絡環境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統模式的同時,也使隱私權保護呈現出新的特點。網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務進程中一個極為重要的問題,由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程。這也從客觀上推動了我們對檔案信息(網絡化)服務中的隱私權保護問題的探討。

一、檔案信息服務中涉及的隱私權問題分析

在檔案信息服務中保護隱私權的意義不僅僅在于維護當事人的合法權益,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的發揮。

(一)個人資料收集中的隱私權問題

檔案是一種重要的原始信息,且具有保密性。其中包括公民的一些重要的個人信息,大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規定,同時制定了檔案的開放期限,但其法律相對方主要是機關、團體、企事業單位,對于個人重要檔案信息沒有給予明確的說明。事實上,在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初,就應妥善處理好隱私權問題。

隱私權保護問題在傳統的個人資料收集過程中并不太引人注目,但在網絡化的今天,檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化,隱私權問題相對也就更加突出。比如,檔案網站在接受訪問時往往要求用戶提供若干個人資料,包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等;檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。

檔案網站采用先進的技術手段收集個人資料并非出于惡意,目的是通過對個人資料的分析與挖掘,找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求,改進服務工作,這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是,檔案網站在用戶毫不知情或無可奈何的情況下(例如有的網站拒絕為不提供個人資料的用戶服務)收集個人資料,就會侵犯用戶對其個人資料的占有權和支配權。

(二)個人資料傳輸和貯存中的隱私權問題

檔案信息傳輸和貯存過程中所涉及的隱私權問題,主要出現在檔案信息網絡化過程中。

網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程中。比如,第三方可以直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播個人資料,如果這種行為是出于惡意,那么當事人的隱私權無疑將受到極大的威脅。

(三)個人資料利用中的隱私權問題

不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。

檔案利用與隱私權保護之間存在著矛盾,檔案利用必然涉及到公民的隱私權保護問題。如果涉及隱私的檔案被自由利用,就可能導致政治與經濟活動的混亂,使社會公民產生生活危機感,給社會的安寧團結帶來不利因素。因此,如何認識和正確處理好檔案利用與保護公民隱私權問題,是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權往往涉及到檔案館的管理職能及檔案館對個人資料的常規使用,所以控制和防止此種侵權的困難較大。比如,檔案館將用戶為了特定的目的提供的個人資料出于業務需要用于未經授權的另一目的上,包括但不限于向別的檔案館提供該資料,且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權益并無損害。

由于各種原因,目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視,這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心,在人們普遍缺乏隱私權保護意識的情況下,檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍。但伴隨著我國法制化建設的進程,公民隱私權意識的加強,檔案部門在實際工作中如不能很好地貫徹法律的規定,忽視了對公民隱私權的保護,那么將會在很大程度上影響檔案信息服務工作的開展。

二、檔案信息服務中保護隱私權的對策

要使得公民的隱私權在檔案信息服務過程中得到保護,必須走依法治檔的道路,進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題,僅在部分條款中作有類似說明。

在檔案信息服務過程中,檔案利用是涉及隱私權的一個關鍵環節,在利用時應區別對待,通過控制使用這些涉及私人權益的檔案,限制其利用范圍,使隱私權受到必要的保護,做到合法利用。

做好檔案信息服務中的隱私權保護,檔案界和檔案館還應采取以下對策:

(一)制定檔案行業的隱私權保護政策

1997年9月27日,國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》。該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權,起到非常重要的作用。各級各類檔案部門以此項規定作為政策指導和保障,結合各自實際館藏狀況,制定了相關的規章制度,收效顯著。不僅如此,檔案學會和檔案館也應制定本行業的網絡隱私權保護政策,并在網站主頁的顯著位置予以明示,內容包括:告知網站收集個人資料的目的、方式、范圍;對個人資料提供保密和安全措施的承諾;告知用戶的請求閱覽權、補充修正權、刪除權、訴訟權等以及相關免責條款。  檔案法律在以后的完善健全過程中,要著重注意解決一個問題,即檔案信息開放服務過程中公民隱私權與知情權的關系。在檔案利用實踐中,我們有時不得不在保護公民隱私權和維護公民知情權之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時,檔案部門就要偏向于后者,因為它符合大多數人的需要,從長遠來看,根本上也符合隱私權主體的利益。

(二)加強對個人檔案隱私權的管理與技術保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件,要求對涉及公民隱私權的檔案進行鑒定與區分,使之與一般檔案區別對待,分開保管,做到有關檔案的完整、安全和保密。目前,檔案法規對涉及公民隱私權檔案的劃分并不十分明確,在實際工作中不易操作,這種狀況亟待改善。

利用者在利用涉及隱私的檔案時,只限于達到既定目的,當按規定獲得了對檔案的利用權后,可對這些檔案進行閱覽、復制和摘錄,但不得將其以現行檔案法規中明令禁止的形式對外公布,不得擅自傳閱、散布、發表這些涉及他人隱私的檔案內容。檔案工作者有必要在提供檔案信息服務過程中向利用者說明有關注意事項。

2.網絡化過程中的保護手段

相對于傳統的紙質檔案而言,在檔案信息網絡化過程中,可以采取的技術保護手段可謂多種多樣。現在已經有了Cookies軟件管理工具、個人隱私偏好平臺(P3P)、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種,比如:檔案館為了禁止未獲授權的人截取或查閱個人資料,可以通過設置本網站運行的服務器,自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱,只供獲得授權的人查閱。

(三)提高檔案館保護隱私權的自律性

“自律”是檔案館保護隱私權的一條重要原則,即通過檔案館采取自律措施來規范自己在個人資料收集、存貯、傳輸利用中的行為,達到保護隱私權的目的。

1.檔案館應開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內容和本館檔案的類型,從而確定哪些檔案涉及個人隱私,屬于控制范圍。對個人資料的重要程度劃分等級,以決定采取不同的保護措施。檔案館還要建立一些規章制度,避免使所有的檔案館人員都能接觸到敏感的個人資料(如出身、種族、政治傾向、宗教信仰、犯罪記錄等),確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案,要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定,對擬開放檔案組織認真鑒定,以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

篇6

【關鍵詞】檔案信息服務;隱私權;網絡化

檔案信息是一種重要的原始信息,也是記錄隱私的重要載體,同時,作為歷史的記錄,檔案中的許多內容涉及個人隱私,因此,檔案工作和隱私權保護有著必然的聯系。蓬勃發展起來的網絡環境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統模式的同時,也使隱私權保護呈現出新的特點。網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務進程中一個極為重要的問題,由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程。這也從客觀上推動了我們對檔案信息(網絡化)服務中的隱私權保護問題的探討。

一、檔案信息服務中涉及的隱私權問題分析

在檔案信息服務中保護隱私權的意義不僅僅在于維護當事人的合法權益,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的發揮。

(一)個人資料收集中的隱私權問題

檔案是一種重要的原始信息,且具有保密性。其中包括公民的一些重要的個人信息,大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都作了嚴格的規定,同時制定了檔案的開放期限,但其法律相對方主要是機關、團體、企事業單位,對于個人重要檔案信息沒有給予明確的說明。事實上,在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初,就應妥善處理好隱私權問題。

隱私權保護問題在傳統的個人資料收集過程中并不太引人注目,但在網絡化的今天,檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化,隱私權問題相對也就更加突出。比如,檔案網站在接受訪問時往往要求用戶提供若干個人資料,包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等;檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。

檔案網站采用先進的技術手段收集個人資料并非出于惡意,目的是通過對個人資料的分析與挖掘,找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求,改進服務工作,這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是,檔案網站在用戶毫不知情或無可奈何的情況下(例如有的網站拒絕為不提供個人資料的用戶服務)收集個人資料,就會侵犯用戶對其個人資料的占有權和支配權。

(二)個人資料傳輸和貯存中的隱私權問題

檔案信息傳輸和貯存過程中所涉及的隱私權問題,主要出現在檔案信息網絡化過程中。

網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,也可以發生在檔案網站貯存個人資料的過程中。比如,第三方可以直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播個人資料,如果這種行為是出于惡意,那么當事人的隱私權無疑將受到極大的威脅。

(三)個人資料利用中的隱私權問題

不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。

檔案利用與隱私權保護之間存在著矛盾,檔案利用必然涉及到公民的隱私權保護問題。如果涉及隱私的檔案被自由利用,就可能導致政治與經濟活動的混亂,使社會公民產生生活危機感,給社會的安寧團結帶來不利因素。因此,如何認識和正確處理好檔案利用與保護公民隱私權問題,是檔案利用工作在改革開放過程中的一個重要課題。由于這種侵權往往涉及到檔案館的管理職能及檔案館對個人資料的常規使用,所以控制和防止此種侵權的困難較大。比如,檔案館將用戶為了特定的目的提供的個人資料出于業務需要用于未經授權的另一目的上,包括但不限于向別的檔案館提供該資料,且未限制該檔案館對個人資料的合理使用――雖然這種利用個人資料的方法對用戶的合法權益并無損害。

由于各種原因,目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視,這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心,在人們普遍缺乏隱私權保護意識的情況下,檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍。但伴隨著我國法制化建設的進程,公民隱私權意識的加強,檔案部門在實際工作中如不能很好地貫徹法律的規定,忽視了對公民隱私權的保護,那么將會在很大程度上影響檔案信息服務工作的開展。

二、檔案信息服務中保護隱私權的對策

要使得公民的隱私權在檔案信息服務過程中得到保護,必須走依法治檔的道路,進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題,僅在部分條款中作有類似說明。

在檔案信息服務過程中,檔案利用是涉及隱私權的一個關鍵環節,在利用時應區別對待,通過控制使用這些涉及私人權益的檔案,限制其利用范圍,使隱私權受到必要的保護,做到合法利用。

做好檔案信息服務中的隱私權保護,檔案界和檔案館還應采取以下對策:

(一)制定檔案行業的隱私權保護政策

1997年9月27日,國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》。該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權,起到非常重要的作用。各級各類檔案部門以此項規定作為政策指導和保障,結合各自實際館藏狀況,制定了相關的規章制度,收效顯著。不僅如此,檔案學會和檔案館也應制定本行業的網絡隱私權保護政策,并在網站主頁的顯著位置予以明示,內容包括:告知網站收集個人資料的目的、方式、范圍;對個人資料提供保密和安全措施的承諾;告知用戶的請求閱覽權、補充修正權、刪除權、訴訟權等以及相關免責條款。

檔案法律在以后的完善健全過程中,要著重注意解決一個問題,即檔案信息開放服務過程中公民隱私權與知情權的關系。在檔案利用實踐中,我們有時不得不在保護公民隱私權和維護公民知情權之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時,檔案部門就要偏向于后者,因為它符合大多數人的需要,從長遠來看,根本上也符合隱私權主體的利益。

(二)加強對個人檔案隱私權的管理與技術保護

1.在檔案管理中采取措施

這是合法利用檔案信息的前提條件,要求對涉及公民隱私權的檔案進行鑒定與區分,使之與一般檔案區別對待,分開保管,做到有關檔案的完整、安全和保密。目前,檔案法規對涉及公民隱私權檔案的劃分并不十分明確,在實際工作中不易操作,這種狀況亟待改善。

利用者在利用涉及隱私的檔案時,只限于達到既定目的,當按規定獲得了對檔案的利用權后,可對這些檔案進行閱覽、復制和摘錄,但不得將其以現行檔案法規中明令禁止的形式對外公布,不得擅自傳閱、散布、發表這些涉及他人隱私的檔案內容。檔案工作者有必要在提供檔案信息服務過程中向利用者說明有關注意事項。

2.網絡化過程中的保護手段

相對于傳統的紙質檔案而言,在檔案信息網絡化過程中,可以采取的技術保護手段可謂多種多樣。現在已經有了Cookies軟件管理工具、個人隱私偏好平臺(P3P)、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種,比如:檔案館為了禁止未獲授權的人截取或查閱個人資料,可以通過設置本網站運行的服務器,自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱,只供獲得授權的人查閱。

(三)提高檔案館保護隱私權的自律性

“自律”是檔案館保護隱私權的一條重要原則,即通過檔案館采取自律措施來規范自己在個人資料收集、存貯、傳輸利用中的行為,達到保護隱私權的目的。

1.檔案館應開展檔案開放利用的鑒定工作

組織鑒定小組及時鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內容和本館檔案的類型,從而確定哪些檔案涉及個人隱私,屬于控制范圍。對個人資料的重要程度劃分等級,以決定采取不同的保護措施。檔案館還要建立一些規章制度,避免使所有的檔案館人員都能接觸到敏感的個人資料(如出身、種族、政治傾向、、犯罪記錄等),確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案,要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定,對擬開放檔案組織認真鑒定,以決定包含個人資料的檔案的開放時間、開放方式和范圍。

2.檔案工作者要注意保護他人隱私

檔案館向社會提供檔案信息服務這一工作性質要求檔案工作者必須熟悉館藏,以方便利用,因此,檔案工作者更容易了解到檔案中所涉及的他人隱私。檔案工作者更要注意保護他人的隱私,不能因好奇心或別有用心地把館藏檔案中涉及個人隱私的內容泄露于眾,否則是極不道德的,也是違法的。這就要加強對檔案工作人員職業道德的規范和約束,強調對服務對象隱私的保護。

在檔案信息服務中保護隱私權的意義不僅在于維護當事人的合法權益,滿足公眾對社會信息公開化需要的同時保障其隱私權,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的發揮。這就要求檔案部門在實際工作中,尤其在檔案信息服務過程中絕不能忽視或輕視隱私權的保護,在宣傳貫徹檔案立法,保證檔案信息服務工作沿著法制化的軌道健康發展的同時,不斷加強檔案信息隱私權保護方面的教育,提高檔案信息隱私權的保護意識,使檔案信息能夠健康、安全地服務于社會、服務于我們的生活。

參考文獻:

[1]張世林.檔案利用活動中的隱私權保護原則.檔案,2003(6).

[2]張寧.試論檔案法中的隱私權保護[J].檔案學通訊,2000(4).

[3]戴定麗.檔案信息網絡化服務中的隱私權保護[J].檔案與建設,2003(5).

[4]張偉,張江珊.檔案開放利用與公民隱私權的法律保護[J].檔案管理,2003(6).

篇7

我國食品安全監管的形勢

食品安全問題作為世界范圍的問題,逐漸受到全世界政府的廣泛關注。世界衛生組織曾就食品安全問題展開過專門的討論,各國也在為改善人們的生活,對本國的食品安全問題進行相關方面的安全檢測。為適應新時代的發展潮流,我國在不斷完善食品安全的監管工作過程中,建立了專門的食品安全檢測制度和管理機制,明確了各部門之間的分工與合作。同時,通過采用科學化的監管手段,對監管措施進行不斷的細化、對監管機制進行適當的完善和創新以及不斷加強對監管基礎設施的建設,為提升科學監管的能力和水平以及不斷提高我國的食品質量安全具有重要意義。

從一定程度上講,對食品安全的監管應該從源頭抓起,逐步實現從農田到餐桌的監管,并不斷擴大監管的范圍。到目前為止,我國的大多數省份已經實現了對食品安全的監管管理。此外,對于食品安全監管的管理不應該僅僅局限于調查和評價,對高風險的環節應該進行重點監管,保證在以后的食品安全的發展道路上,科學的制定與食品安全有關的規章制度,不斷提高我國餐飲服務業食品安全的監管水平,使其可以邁向更高的臺階。

但是,目前我國的食品安全問題依然比較突出,食品問題正處于食品安全風險的發展期和高發期,影響食品安全問題的矛盾依然存在,總體來說,食品安全的形勢還是相當嚴峻。同時,餐飲食品安全的監管作為我國藥品監督系統進行調整后新增的職責,面對復雜的餐飲消費環節,相關的食品安全檢驗和監督隊伍不健全、最基礎的設施條件比較差以及相關的技術能力薄弱,因此難以滿足和適應當前我國食品安全的監管需要。

餐飲服務食品安全監測檢驗的必要性

近年來食品安全事件不斷發生,比如:蘇丹紅、毒豬油、瘦肉精事件,對廣大民眾的生活造成一定程度的不良影響,除造成民眾的恐慌外,食品安全問題也開始逐漸受到廣大社會的極力關注。據不完全統計,近年來每年因食品安全造成的中毒人口和死亡人口正在呈很明顯的直線上升,尤其是近期發生的地溝油和麥樂雞事件,這再度引起全社會對食品安全問題的高度重視,和人們對食品安全問題的恐慌。

餐飲消費環節是食品在進行生產、加工和消費過程中諸多問題暴露和許多不安全因素積累的關鍵環節,加強對食品安全的監管已經幾度成為兩會的熱門話題和兩會代表們的共識。因此,要把對餐飲服務食品的監測和檢驗工作當作是監管工作中一項最重要的基礎性工作,科學的進行食品安全的監管,根據相關的基礎數據對各地區的食品安全狀況做出科學化的評價。

基于我國目前餐飲服務業比較發達,各部門種類繁多,管理起來相對比較復雜,因此餐飲服務的食品安全監測工作仍然處于起步發展階段,還未能在全國范圍內進行廣泛的推廣。這樣就從某程度上對食品安全的監管效能造成一定的限制,但是,加強食品安全的監測檢驗勢在必行。

加強食品安全監管體系的有效策略

加強風險評估體系的建立。對潛伏在食品安全中的各種風險,通過采用科學化的手段進行有效地分析,對有害物質進行一定的識別,分析危害物本身的嚴重性、不確定性以及可能性,可以通過專門的監測技術對危害食品安全的因素進行檢驗。為此,國家應該建立和健全符合我國國情的餐飲服務食品安全監測和監督體系,確保我國的食品安全,從而全面提升餐飲服務業食品安全的水平。

建立和健全食品藥品的檢驗系統。為確保食品的安全,應該逐漸建立各級的食品藥品監督體系,為適用餐飲服務的發展需要,食品藥品的檢驗體系應該不斷的調整規劃的建設發展方向和具體的工作思路。其次完善相關的基礎設施的建設,積極的開展食品藥品安全方面的培訓,不斷提升食品藥品的檢驗水平。這對提高餐飲服務的食品安全監測水平具有積極的作用。

歸納危害食品安全的源頭。影響我國食品安全的源頭主要有生物性、物理性和化學性有害物質。首先正確認識和區分這三類有害物質,便可以在餐飲服務的過程中有效的避免這三類有害物質對食品安全和人們造成的傷害。其次,我國的餐飲文化在地域上有著明顯的差異,因此要針對不同地方的不同餐飲食品確定其危害的源頭,并對其進行歸納,有的放矢。

篇8

【 關鍵詞 】 信息安全架構;企業戰略;信息安全服務; 信息安全價值; 一致性;可追溯性

【 文獻標識碼 】 A 【 中圖分類號 】 TP393.08

1 引言

信息安全技術和管理經過不斷的發展和改善,已經能夠比較有效地解決一些傳統信息安全問題,如信息安全風險管理、訪問控制,脆弱性管理、加密解密和災難恢復等。隨著信息越來越成為組織的核心資產,保護信息的安全已不再只是局限于技術和日常管理層面的討論,信息的安全越來越關系到組織自身發展的安全。一次重大的信息泄露事故就能使企業的市值一落千丈。同時,一套合理的訪問控制解決方案能夠幫助企業快速推出核心產品(尤其是電子商務)和兼并其他企業。當前信息安全發展呈現出新的趨勢和要求:(1)信息安全部門逐漸從成本中心轉向價值中心,信息安全的各項活動越來越和企業戰略緊密相連;(2)企業內部其他部門越來越多的要求信息安全部門提供清晰、可測量的服務來支持業務的運行。

企業的信息安全部門在不斷增強其核心影響力的同時,也承擔著隨之而來的更多責任和挑戰。其一是如何將企業戰略轉化為信息安全計劃,將信息安全融入到組織的業務流程中,并且保持信息安全控制措施與企業戰略的一致性和可追溯性;其二是如何使信息安全的價值得到認可并在組織內部最大化;其三是如何滿足企業內部各部門有計劃或無計劃的信息安全服務需求;其四是如何確保以一種系統主動和集中統一的方式來管理業務和遵從性需求,并實現清晰的測量和不斷的改進。

當前各企業廣泛采用的標準或最佳實踐有幾種:ISO27001:2005,COBIT4.1,NISTSP800或PCIDSSv2.0等。這些標準各有優點,但也有明顯的缺憾,如表1所示(缺憾部分用X表示)。

設計本信息安全架構旨在解決上述問題并建立一種高效機制達到如下目標。

* 將企業戰略轉化為信息安全計劃,確保信息安全的可追溯性、持續一致性和簡潔性,以降低成本、減少重復和提高效率。將信息安全融入到組織的業務流程中,建立一致性和可追溯性;建立清晰的信息安全架構和愿景,以減少重復和指導信息安全投入和解決方案的實施。

* 基于客戶服務理念,信息安全服務價值得到認可,信息安全靠攏業務部門,為信息安全管理和業務管理建立共同語言。

* 全面管理信息安全,滿足目前絕大多數法律法規、標準的最佳實際的要求,并具有靈活的可擴展性,當新需求出現后能夠將其平滑的融入到現有架構中。

* 系統和集中統一的方式,使信息安全管理可預測和可測量,并不斷的改進。

2 信息安全架構設計

2.1 信息安全架構設計所基于的原則

本信息安全架構的設計遵循四大原則。

1) 業務驅動:所有的信息安全目標應該從業務需求中來,從而保證信息安全管理總是做“正確的事”。

2) 整合、統一的架構:現在有數以十計的信息安全相關的法律法規,標準和最佳實踐需要去符合或參考,且其各有不同的要求側重點和優缺點。因此很有必要將所有相關的信息安全關注點整合到一個統一的架構中,以保證所有要求都被滿足,同時避免不要的重復。例如,ISO27001關注全面安全控制和風險管理,PCIDSS側重支付卡環境中技術控制和策略管理等。

3) 系統化思維:運用系統化思維可以幫助組織解決復雜且動態的問題,適應運營中的各種變化,減輕戰略上的不確定性和外部因素的影響。例如,需要整合機構、人員、技術和流程;需要考慮安全、成本和易用性的權衡;需要靠持續改進(Plan-Do-Check-Act);需要考慮全面防護和縱深防護。

4) 易用性:信息安全架構的最大價值在于被理解和廣泛應用于組織的實踐當中。因此,信息安全架構必須易于理解并且實際可操作性要強,應避免太過復雜和晦澀。

2.2 信息安全架構實現

2.2.1 信息安全架構-域試圖

基于上面的基本原則,本信息安全架構由三個域組成(如圖1所示):治理(Governance)、保障(Assurance)和服務(Services)。

治理(Governance): 信息安全治理域強調戰略一致性,風險管理,資源管理和有效性測量。治理域又包括三個子域:愿景與戰略、風險與遵從性管理和測量。各子域主要功能如下所述。

* 愿景與戰略: 將遵從性要求,信息安全的發展趨勢,行業發展趨勢和業務戰略轉化為信息安全愿景、戰略和路線圖。

* 風險與遵從性管理: 管理信息安全風險使信息安全風險控制在組織可接受的范圍內。

* 測量: 監控和測量整體信息安全的有效性并持續提升信息安全對組織的價值。

保障: 保障域側重于信息安全的全面與縱深防護措施。保障域包含預防、監測、響應和恢復四個部分。各部分主要功能如下所述。同時保護的對象為不同層面的信息資產:數據層、應用層、IT基礎設施層和物理層。

* 預防: 實施信息安全控制措施包括管理措施和技術措施,防止信息安全威脅損害組織的信息安全控態。

* 監測: 部署信息安全監測能力監控正在發生或已經發生的信息安全事態。

* 響應:部署信息安全響應體系迅速、高效的抑制信息安全事件。

* 恢復: 建立組織的可持續性能力,但重要信息系統不可用時,可以在計劃的時間內恢復。

服務: 服務域顯示了面向客戶(內部和外部),協作與知識更新對信息安全實踐非常重要。服務域包含三個部分:信息安全服務、知識管理、意識與文化。各部分主要功能如下所述。

* 信息安全服務: 信息安全團隊應對待組織內部其他部門和對外部客戶一樣,基于服務基本協議,提供高質量的信息安全服務。

* 知識管理: 知識是信息安全實踐和服務的基石。信息安全知識管理包括獲取、維護和利用知識去獲取最大的信息安全專業價值。信息安全知識應不僅在信息安全團隊內部而且在整個組織被共享。

* 意識與文化: 信息安全意識與文化在組織內部建立一個整體的信息安全氛圍。一個好的信息安全意識與文化意味著每個人都每個人都了解信息安全,關心信息安全、在日常工作中關注信息安全。信息安全意識與文化對提升組織整體信息安全成熟度和降低信息安全風險至關重要。

2.2.2 信息安全架構-組件試圖

為支撐信息安全架構的三個域,本信息安全架構組件融合了不同標準和最佳實踐的精華部分,并自成一體,如圖2所示。本架構參考的標準主要有如下一些:ISO27001:2005、PCIDSSv2.0、COBIT4.1、COBIT5.0、ITILv3 以及NIST SP-800系列等。

3 信息安全架構在企業內實際應用效果分析

本信息安全架構已被推廣和應用到各個行業中,如保險業、銀行業、教育和非盈利性機構等。本文選取一個保險企業的案例來說明本信息安全架構給企業帶來的積極變化。

背景:此保險公司有3000名員工,計劃在加拿大多倫多(Toronto)上市,因此需要符合加拿大和行業的一些法律法規的要求,如Bill198、PIPEDA、PCIDSS等。同時公司高層決定借鑒信息安全管理的最佳實踐標準,如ISO27002、NIST SP800、COBIT、ITIL、 FFIEC和 TOGAF等。因本信息安全架構的特點就是融合各法規、標準和最佳實踐的要求,因此不需要做任何大的改動的情況下(降低成本)就能應用到此保險公司中。

經過9個月的實際運行,公司進行了各項測量指標重新評估并與實施本信息安全架構前的指標進行了對比分析。

3.1 平衡計分卡(Balanced Scorecard)[10]測評分析

平衡計分卡是衡量信息安全對企業貢獻價值的一種分析工具。平衡計分卡包括四個測量項目:對企業的貢獻,對愿景的規劃,內部流程的成熟度和面向客戶。該保險公司在實施本信息安全架構前后分別進行了兩次測評。測評方法是由公司高級管理人員和各部門經理對信息安全部門進行評估,0級表示無成績,5級表示完美,然后取平均值。2011年7月評估結果顯示“企業貢獻”為2.2,“愿景規劃”為2.5,“內部流程”為2.8,“面向客戶”為2.1;2012年7月評估結果顯示“企業貢獻”為4.1,“愿景規劃”為3.9,“內部流程”為3.8,“面向客戶”為4.1。如圖3所示。測評結果表明實施本信息安全架構后企業高層及各部門對信息安全給企業帶來的價值的認可度有較為明顯提升。

3.2 總體信息安全成熟度級別分析

本文采取的信息安全總體成熟度的評價是基于ISO27002的控制域和CMMI[11]的評估級別。0級是最低級,5級是最高級。該保險公司在實施本信息安全架構前后分別進行了兩次自評估。2011年10月實施本信息安全架構前成熟度水平是介于2.0-3.0之間, 2012年10月實施本信息安全架構后成熟度水平是介于3.0-4.5之間,如圖4所示。成熟度級別分析結果表明實施本信息安全架構后整體成熟度有較為明顯提升。

3.3 獨立審核發現點數量分析

第三方機構獨立審核是從專業、客觀的角度來衡量整體信息安全控制措施,包括管理、技術和流程。審核發現點的數量越多,表明脆弱點越多,存在的風險越大。該保險公司在實施本信息安全架構前后分別邀請用一個第三方審核機構對其進行了全面審核與評估(依據上市公司的管控要求)。2011年9月審核結果顯示有4個高風險項,8個中風險項和13個第風險項;2012年9月審核結果顯示無高風險項,且只有2個中風險項和4個第風險項。如圖5所示。審核結果表明實施本信息安全架構后整體風險水平有較為明顯降低。

3.4 信息安全事件發生數量分析

信息安全事件(特別是1級與2級事件)發生的數量標志著信息安全控制措施的全面性和有效性。信息安全事件數量越少,表明整體控制措施越有效。該保險公司統計了實施本信息安全架構前后發生的信息安全事件數量。2011年1月-10月期間有4個一級安全事件(重大),12個二級安全事件(嚴重),25個三級安全事件和40個四級安全事件;2012年1月-10月期間有1個一級安全事件(重大),2個二級安全事件(嚴重),10個三級安全事件和16個四級安全事件。如圖6所示。信息安全事件數量分析結果表明實施本信息安全架構后安全控制措施的全面性和有效性有較為明顯增強。

3.5 魚叉式網絡釣魚模擬攻擊測試結果分析

模擬釣魚攻擊測試是對企業員工整體信息安全意識水平一種比較客觀的考核方式。收到攻擊(點擊鏈接)的人數越少,表明整體信息安全水平越高。該保險公司采用ThreatSim的模擬攻擊測試平臺,在實施本信息安全架構前后分別選取了5個分支機構(共200人)進行了模擬攻擊測試。測試的主要方法是注冊一個與該保險公司類似的網絡域名,然后偽造一份看似從信息安全管理員發出的E-mail,此E-mail的大致內容是說該保險公司于近期對相關系統進行了升級,將會影響到原有的帳戶和密碼,要求終端用戶盡快修改密碼。此E-mail包含一個鏈接到修改密碼的偽網頁。

2011年5月測試結果顯示有47%的員工點擊了有害鏈接,點擊有害鏈接的員工中有18%的人輸入了密碼,點擊有害鏈接的員工中有68%的人完成了在線培訓內容;2012年5月測試結果顯示有14%的員工點擊了有害鏈接,點擊有害鏈接的員工中有3%的人輸入了密碼,點擊有害鏈接的員工中有98%的人完成了在線培訓內容。如圖7所示。模擬攻擊測試分析結果表明實施本信息安全架構后該保險公司員工整體信息安全意識水平有較為明顯進步。

3.6 信息安全服務客戶滿意度調查結果分析

客戶滿意度調查是從被服務客戶的角度來衡量信息安全團隊的服務能力,以及給公司帶來的實際價值。滿意度百分比值越高,表明信息安全團隊的能力和服務價值越被認可。該保險公司在實施本信息安全架構前后分別對精算部、個人保險部、商業保險部、索償部、渠道與銷售部做了信息安全服務滿意度調查。

2011年8月調查結果顯示對服務專業質量的滿意度為72%,對服務請求響應速度的滿意度為46%,對服務態度的滿意度為67%,整體滿意度為60%;2012年8月調查結果顯示對服務專業質量的滿意度為95%,對服務請求響應速度的滿意度為85%,對服務態度的滿意度為92%,整體滿意度為88%;如圖7所示。客戶滿意度分析結果表明實施本信息安全架構后企業各部門對信息安全服務價值的認可度有較為明顯提升。

4 結束語

現階段信息安全管理著重在信息安全的風險控制,隨著信息安全管理角色的轉變,信息安全需要跟多的與組織戰略結合,為組織創造更多的價值,并通過提供信息安全服務使組織內部各部門享受到信息安全給組織帶來的價值并認可這些價值。當前被廣泛采用的一些標準和最佳實踐有其優點,但同時無法滿足一些新的挑戰。目前缺乏一種高效可執行的信息安全架構來將企業戰略轉化為信息安全計劃、基于客戶服務理念使信息安全服務價值最大化以及全面系統化管理信息安全。本文針對上述問題提出的一種面向企業戰略和服務的信息安全架構。通過將本信息安全架構應用到實際的企業中,驗證了本信息安全架構能夠為企業提供更多的價值、增強客戶滿意度、提升整體安全成熟度和員工信息安全意識水平。

參考文獻

[1] International Organization for Standardization, International Electrotechnical Commission. ISO/IEC 27001:2005 Information Technology - Security Techniques - Information Security Management Systems - Requirements. Switzerland: ISO copyright office, 2005.

[2] IT Governance Institute. Control Objectives for Information and related Technology 4.1,USA: IT Governance Institute, 2007.

[3] National Institute of Standards and Technology, U.S. Department of Commerce. NIST Special Publication 800 series.

[4] PCI Security Standards Council LLC. PCI DSS Requirements and Security Assessment Procedures, Version 2.0. 2010.

[5] National Security Agency Information Assurance.

[6] Solutions Technical Directors. Information Assurance Technical Framework (IATF) version3.0. 2010.

[7] IT Governance Institute. Control Objectives for Information and related Technology 5.0,USA: IT Governance Institute, 2012.

[8] Sharon Taylor, Majid Iqbal, Michael Nieves, 等. Information Technology Infrastructure Library , England: Office of Government Commerce, ITIL Press Office, 2007.

[9] Federal Financial Institutions Examination Council. IT Examination Handbook, information security Booklet. USA: FFIEC, 2006

[10] The Open Group's Architecture Forum. The Open Group Architecture Framework version 9.1, 2012.

[11] Howard Rohm. Using the Balanced Scorecard to Align Your Organization. Balanced Scorecard Institute, a Strategy Management Group company, 2008.

[12] Software Engineering Institute, Carnegie Mellon University. Capability Maturity Model Integration (CMMI) Version 1.3. USA: Carnegie Mellon University, 2010.

[13] STRATUM SECURITY. Proactive Phishing Defense. 2012.

作者簡介:

篇9

敦化市農業局在省、州農委的正確領導下和市委、市政府的高度重視下,以完善鄉鎮監管體系建設為突破點,以服務標準化生產為宗旨,以“技、監、檢、認、教、宣”六措并舉為手段,精心組織、加大工作力度,保障全市農產品質量安全,實現了安民心、保穩定、促和諧。

1.以標準化生產技術為依托,加快農業標準化示范區建設

一是以吉林省地方標準和延邊州地方標準為依據,將現已制定出的主要農作物標準化生產技術規程20項及地方標準5項進行一次全面清理,徹底解決標準重復、交叉、滯后的問題。把標準化生產的技術規程印制成通俗易懂的操作手冊10000份發放到農戶手中。

二是嚴格落實標準化技術操作規程。印制了農業標準化生產日志5000冊,完整記錄標準化生產全過程,實現農產品質量安全追溯。各鄉鎮農業技術人員根據農業生產環節定期到村屯進行檢查指導,避免違反規程操作,嚴格監督生產全過程,從生產環節有效地保證了農產品的質量安全。全年推廣有機食品、綠色食品生產技術面積5萬畝;推廣無公害農產品生產技術面積28萬畝,在增加農民收入的同時,有效解決了土壤及地下水污染,保護了農業生態環境,提高了農產品的質量安全和效益,深受農民群眾的歡迎和好評。

三是嚴格執行已制定的《農產品標示管理辦法》、《農產品質量安全監測制度》、《農業投入品管理使用制度》、《農產品質量安全追溯制度》、《農產品質量安全工作制度》、《初級農產品市場準入和產地準出制度》等6項質量安全監管制度,使工作有理有據,完善監管體系。

四是創新科技推廣服務方式。敦化市結合農業科技入戶和農民培訓項目,結對培育農業示范戶2000多戶,加快了農業標準化技術成果轉化。主要技術成果的入戶率和應用率達到85%以上,對全市農業標準化生產發揮了重要的示范帶動作用。

五是規范核心示范區,增強農業標準化生產的示范作用。圍繞主導特色產業,選擇一批基礎好的大宗農產品生產基地,率先推進標準化生產,建設各具特色的農業標準化示范區。形成縣有示范區、鄉有示范村、村有示范戶的農業標準化示范推廣新格局。2012年組建了市、鄉二級科技示范園區16處,總面積175公頃(其中:食用菌100萬袋)。

六是借助農業龍頭企業發展農業標準化示范基地。為提高農產品的質量檔次,積極引導和指導農業龍頭企業,實施訂單農業,帶動標準化農產品生產。全市共有21家農產品加工企業,實現11萬多公頃訂單農業,帶動4萬多戶農民生產,帶動標準化生產種植面積達到40多萬畝。

七是堅持從實際出發,進一步完善“包村聯戶”的工作機制和“專家+農業技術人員+科技示范戶+輻射帶動戶”的技術服務模式,達到以科技服務農民,科技帶動農業的效果。

2.以完善鄉鎮質量安全監管體系為突破點,確保工作不留死角

敦化市高度重視鄉鎮農產品質量安全監管機構建設工作,由市編辦發文正式在全市16個鄉鎮成立農產品質量安全監管服務機構,在現有的鄉鎮農業技術推廣站加掛農產品質量安全監管站的牌子,履行工作職責。

從以下四個方面著手,確保監管工作不留死角:一是要求16個鄉鎮政府成立農產品質量安全監管鄉鎮領導小組,由各鄉鎮主要領導擔任組長,鄉鎮農業技術推廣站為成員,鄉鎮農業技術推廣站負責日常工作。每個鄉鎮質量安全監管機構都確定監管服務人員2人以上。完善了縣級農業部門有專門監管機構、鄉鎮一級“有職能、有人員”的監管工作體系;二是建立了農產品質量安全監管工作制度,制作了巡查記錄,積極開展定期巡查,巡查對象為農業生產基地和農民合作社。注重指導與檢查相結合,把指導標準化生產作為第一目標,堅決杜絕出現使用國家明令禁止使用的高毒農藥進行農業生產的現象發生;三是建立鄉鎮蔬菜農殘檢測制度,在主要蔬菜基地設立了常態化監測點,配合市檢驗中心完成蔬菜農殘抽樣工作;四是配合市農業綜合執法大隊在農資銷售旺季對本鄉鎮全部農資經銷店進行農資市場檢查。注重日常監測,把群眾反映強烈、問題突出的產品和經營點納入重點監測范圍,及時主動和市農業綜合執法大隊溝通,為農業綜合執法提供第一手可靠信息,提高監督抽查的針對性、實效性。2012年全年配合市農業綜合執法大隊檢查農資市場29次。

3.以檢測服務為手段,提高農產品質量安全水平

為及時了解農產品安全狀況,根據各個農事季節、重要節假期及重大活動,堅持日常檢測和重點抽檢相結合,全年對全市范圍內中心市場、萬客隆超市、康惠批發市場、江南鎮蔬菜基地等重點種植區提供檢測服務。形成了以市農產品質量檢測站為中心,以農產品批發市場、規模生產基地、超市檢測點為基礎,布局合理、職能明確、專業齊全、運行高效的農產品質量檢測體系。2012年全年市農產品質量安全檢測中心共完成蔬菜農藥殘留超標檢測41次,出動人員84人次,其中市場監測17次,抽樣51個;生產基地檢測24次,抽樣72個,合格率在95%以上,確保了人民群眾消費安全。

4.以認證管理為標桿,樹立品牌優勢

認真搞好已認證22種無公害農產品、7種綠色食品A級產品、3種綠色食品AA級產品、7種有機食品級和5個無公害農產品生產基地及生產企業的管理工作。圍繞全市優勢主導產業,通過走基地、走企業進行農產品質量安全知識的宣傳普及和農產品質量安全認證管理,及時印發了《無公害農產品管理辦法》、《綠色食品標志管理辦法》發放到各認證企業和生產基地,確保已認證產品質量安全,樹立良好的品牌優勢。

5.以科技培訓為基礎,深入發動標準化教育工作

按照實際需求制定了科學有效的《敦化市農業局農產品質量安全宣傳教育工作綱要》,對行政轄區內監管部門工作人員和管理相對人分別展開培訓。一是先后四次組織鄉鎮農產品質量安全監管站人員進行質量安全監管業務培訓,提高監管服務人員業務水平;二是通過集中授課、多媒體教學、實地練兵開展了農資市場監管、農產品質量安全暨標準化和檢測人員3次集中培訓;三是整合項目資源對江南鎮、大石頭鎮、黃泥河鎮等主要蔬菜生產鄉鎮開展無公害蔬菜生產技術培訓班,提高農戶無公害蔬菜種植技術。全年共計舉辦各類標準化生產技術培訓75場次,培訓4642人次。

篇10

體系壽光市農產品質量安全信息報送遵循由下到上的報送原則。在發現警情時,首先由信息員或農戶、生產企業等采取控制措施,同時逐級或越級向當地農業行政主管部門報送,遇到特重警情,及時上報農業部。在報送信息的同時,及時控制違規農產品的流通,并通過媒體向公眾事件或警情的處置信息,避免造成不必要的恐慌。壽光市目前的信息平臺主要有市農業局管理的“壽光市農業信息網”和“壽光市農產品質量安全監管網”,生產主體可以通過這些網絡了解標準化生產、農業投入品的備案登記情況以及蔬菜質量安全監管的有關信息。經國家質量監督檢驗檢疫總局、山東省濰坊市及壽光市質量技術監督局等部門共同協調,由國家條碼推進工程辦公室自2004年6月起在壽光田苑蔬菜基地和洛城蔬菜基地實施了“蔬菜安全可追溯性信息系統研究及應用示范工程”,建立了具有中國特色的“無公害蔬菜質量追溯系統”。

二、壽光市農產品質量安全信息管控體系存在的問題分析

(一)信息采集不全面

壽光市的生產主體主要包括農產品生產企業、農民專業合作社、家庭農場和種養大戶等。目前壽光市的農民專業合作社已超過900家,但多數不符合規范化要求,存在檢測率不高,包裝標識不全等現象,且多以經銷農資和蔬菜為目的,對農產品質量安全信息的管控比較松散。雖然壽光市建立了信息化采集系統,但是對生產者的信息采集還沒有實現全覆蓋。1.產地環境信息未列入信息采集范圍。目前壽光市對產地環境的信息采集相對較少,尤其對工業三廢、農業投入品等對環境的影響未實現相應的監測和管控。2.生產信息采集不全面。部分農戶對國家有關農業投入品使用規定及符合質量標準要求的生產操作規范尚不十分清楚,農產品質量安全追溯意識較差,缺乏生產記錄、包裝標識、打造品牌的意識,而且包裝標識不夠規范。3.監管信息采集不全面。由于人員編制和硬件設施的限制,個別鄉鎮的農產品質量安全監測信息不能及時準確地得到收集。4.追溯體系不夠健全。農產品主要通過批發和商販收購兩種方式銷售,銷售方式比較分散,不易實現可追溯。一旦發生農產品質量安全事件,無法迅速查出問題發生根源和事故責任人,不能及時排除隱患和有效控制事故蔓延。

(二)評估預警系統不完善

盡管壽光市建立了農產品質量安全風險信息監測體系,在執法監管和檢驗監測等方面做了大量工作,也取得了較好成績,但是,農產品質量安全預警體系仍然沒有形成有關農產品質量安全的信息統一管理機制。1.農產品質量安全預警模型實踐不足。農產品質量安全預警體系的建立是一項長期的綜合性工作。由于壽光市農產品風險危害因子較多且不易全部收集,加之危害因子的評價背景資料不夠詳實完善,單一的預警理論和方法無法準確實現預警效果等諸多制約因素,所以,需要對影響壽光市農產品質量安全的危害因子進行長期的、綜合的、專業的評估和研究,從而確定預警的閾值和預警的級別。2.專業風險預警人才匱乏。目前壽光市主要依靠“農產品質量安全視頻監控與信息管理平臺”來進行數據的統計和分析預警,基層的專業風險評估人員缺乏,不能及時發現警情和分析研判,容易導致政府主管部門對潛伏的危機信息掌握不及時、不全面,從而造成風險應對不力或滯后等被動情況。(三)應急反饋機制不健全壽光市在應對農產品質量安全警情和突發事件時,嚴格遵守《山東省農業廳農產品質量安全事故應急預案》的要求,積極快速地作出應急響應。但是事故應急體系和服務體系尚不十分健全。1.輿情監控體系不完善。目前壽光市對蔬菜等農產品質量安全的輿情監控較少,對可疑的監測信息及輿情信息,未能及時地開展隱患排查和應對工作;對于一些不實信息,也不能夠及時向社會澄清事實,消除群眾消費恐慌。2.服務體系不健全。壽光市農產品質量安全目前主要以監管為主,基層農業服務體系建設尚需進一步完善。尚未充分發揮農技站、獸醫站、林業站等站所的基層服務作用。

三、對我國產地農產品質量安全信息管控體系構建的建議

(一)產地農產品質量安全信息采集體系

1.農產品質量安全信息的采集范圍。根據影響農產品質量安全的風險隱患及其發生的環節[1],農產品質量安全信息的采集應包括5個方面的關鍵內容:(1)生產主體的基本信息。對生產企業、合作社、家庭農場、種養殖大戶和散戶等5種農產品生產主體[2],詳細登記種養地址、種養規模、負責人姓名及聯系電話等。(2)產地環境信息。需要采集關于工業廢水、廢氣、固體廢棄物、農業投入品以及農業廢棄物對土壤、水體和空氣的影響及危害信息[3]。(3)生產過程信息。包括農業投入品信息、農事操作、病蟲害(動物疫病)防控、農產品收獲(屠宰或捕撈)過程的基本信息。農業投入品是指在農產品生產過程中使用或添加的物質,包括農(獸、漁)藥、農作物種子、水產苗種、種畜禽、飼料和飼料添加劑、肥料、獸醫器械、植保機械等農用生產資料產品。對于生產主體來說,需建立農業投入品使用臺賬。對于農資企業來說,需建立農業投入品經營臺賬。另外,生產過程中還應包括產地準出信息。(4)加工和包裝環節是農產品原料經粗加工成為半成品、成品的過程,包裝材料、加工過程、加工工藝、貯存條件和運輸條件等均會影響到農產品質量的安全性[4]。因此,還需采集加工、包裝及運輸環節中的農產品質量安全信息。(5)農產品質量監管信息。包括農產品質量監督和執法中發現的農產品質量安全信息、消費者對農產品質量安全的舉報信息,以及媒體披露的農產品質量安全信息[5]。(6)其他信息。主要包括公正性信息和認證信息。公正性信息主要指由政府部門的農產品和農業投入品質量安全例行監測、監督抽查,農產品質量安全突發應急事件的預防、控制和處理措施,以及農產品質量安全基本科普知識等;認證信息目前主要為“三品一標”等優質、品牌農產品認證信息。2.農產品質量安全信息采集機制。(1)組織機構及人員。就產地來說,需設立或指定一個專門的機構如農產品質量安全信息中心作為信息監管部門,下設市級、縣區級、鄉鎮級和村級監測機構作為信息網點,每一網點為一個信息采集點。每個網點配備相對穩定的信息收集人員和監測隊伍,形成從下而上的信息采集體系。(2)采集方法。信息采集人員定期采集農產品質量安全的相關風險信息,及時上報農產品質量安全信息中心[6]。信息采集的同時,要建立一個類似“壽光市農產品質量安全視頻監控與信息管理平臺”的數據庫[7],覆蓋區域內所有的農產品質檢機構、大型批發市場、農貿市場、超市和示范基地檢測站,通過對農產品安全生產和市場銷售全過程監控信息的采集,實現對農產品安全生產和市場銷售的全過程監控;集聚各檢測中心的檢測數據,實時分析相關數據,及時向政府部門、科研部門、消費者、生產者、經營者和傳遞農產品質量安全信息,實現信息資源在部、省、市、縣等各個層面的共享,為全面推進市場準入制度提供數據支持[8]。

(二)農產品質量安全信息分析研判體系信息分析研判體系是農產品安全信息體系的主要和核心環節,需要相關部門領導、專家學者及技術人員進行科學咨詢、分析、研究[9]。

1.分析研判專家團隊。信息分析研判包括數據分析和專家研判兩個部分。必須建立一支穩定的、具有相當實踐經驗的專家隊伍。專家隊伍至少包括管理部門的領導、具備豐富專業知識的專家學者及技術人員等。根據專家的調查研究和經驗判斷,制定預警分析方案和評估預測結果,進行“及時、準確、科學、客觀”的分析研判。2.分析研判方法和程序。首先利用統計學技術,將采集到的各種農產品質量安全信息進行定性和定量分析,根據定性分析和定量分析結果撰寫基礎性農產品質量安全信息報告材料;然后組織農產品質量安全信息分析研判專家對信息開展深入的分析研判,確定觀察對象各指標的權重,計算出觀察對象危險程度的綜合分數;最后根據預先設定的警戒線(閾值),對不同預警對象進行預測和推斷,甄別出高危品種、高危地區、高危人群等[10]。3.信息分級。在農產品質量安全信息分析研判過程中,一般將農產品質量安全信息等級分為:特別關注(I級)、高度關注(II級)、重點關注(III級)、密切關注(IV級)4個等級。

(三)農產品質量安全信息報告和交流反饋體系農產品質量安全信息分析研判結果,要及時上報政府有關部門并向社會,正確引導輿論,維護消費者和農民正當權益。