企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。
㈡ 三級教育指的是什麼意思復工安全培訓必備
基礎知識篇
1、新員工「三級」安全教育的概念:
三級安全教育是指新入職員工的公司級安全教育、部門級安全教育、班、組級安全教育。
2、什麼是安全生產,它的意義是什麼?
安全生產:是指在勞動生產過程中,通過努力改善勞動條件,克服不安全因素,防止事故的發生,使企業生產在保證勞動者安全健康和國家財產及人民生命財產安全的前提下順利進行。
包括兩個方面的安全:
①人身安全(包括勞動者本人及相關人員);
②設備安全、安全生產工作:為搞好安全生產而開展的一系列活動。
3、什麼是安全技術?
安全技術:為了預防或消除事故根源,對生產過程中可能存在著有害於工人人身安全健康或有損於機器設備的燃燒、爆炸、觸電、絞輾、高空墜落、塵毒污染等危險因素,從設計、工藝、生產組織、操作等方面所採取的各種技術措施。
4、什麼是安全生產責任制?
安全生產責任制:根據安全生產法律法規和企業生產實際,將各級領導、職能部門、工程技術人員、崗位操作人員在安全生產方面應該做的事及應負的責任加以明確規定的一種制度。
5、方針與原則
安全生產方針:安全第一,預防為主,綜合治理。
消防方針:預防為主,防消結合。
安全生產管理的基本原則:管生產必須管安全。
6、員工安全生產的主要職責:
①遵守有關設備維修保養制度的規定;
②自覺遵守安全生產規章制度和勞動紀律;
③愛護和正確使用機器設備、工具,正確佩戴防護用品;
④關心安全生產情況,向有關領導或部門提出合理化建議;
⑤發現事故隱患和不安全因素要及時向組織或有關部門匯報;
⑥發生工傷事故,要及時搶救傷員、保護現場,報告領導,並協助調查工作;
⑦努力學習和掌握安全知識和技能、熟練掌握本工種操作程序和安全操作規程;
⑧積極參加各種安全活動,牢固樹立「安全第一」思想和自我保護意識;
⑨有權拒絕違章指揮和強令冒險作業,對個人安全生產負責。
法律法規篇
1、全國人大通過的法律、法規
《中華人民共和國憲法》
《中華人民共和國安全生產法》
《中華人民共和國消防法法》
《中華人民共和國環境保護法》
《中華人民共和國刑法》
《中華人民共和國全民所有制工業企業法》
《中華人民共和國勞動法》
《中華人民共和國礦山安全法》
《中華人民共和國職業病防治法》
2、勞動保護的具體內容
①工作時間的限制和休息時間,體檢制度;
②多項勞動安全和衛生標准及措施;
③女職工的勞動保護;
④未成年工的勞動保護。
3、員工的安全生產八大權利
①知情權——即有權了解其作業場所和工作崗位存在的危險因素、防範措施和事故應急措施;
②建議權——即有權對本單位的安全生產工作提出建議;
③批評權和檢舉、控告權——即有權對本單位安全生產管理工作中存在的問題提出批評、檢舉、控告;
④拒絕權——即有權拒絕違章作業指揮和強令冒險作業;
⑤緊急避險權——即發現直接危及人身安全的緊急情況時,有權停止作業或者在採取可能的應急措施後撤離作業場所;
⑥依法向本單位提出要求賠償的權利;
⑦獲得符合國家標准或者行業標准勞動防護用品的權利;
⑧獲得安全生產教育和培訓的權利。
4、員工的安全生產四項義務
①遵章守紀,服從管理;
②正確佩戴和使用勞動防護用品;
③參加培訓,掌握安全生產技能;
④發現事故及時報告事故隱患。
5、工傷認定基本知識
職工有下列情形之一的,應當認定為工傷:
①在工作時間和工作場所內,因工作原因受到事故傷害的;
②工作時間前後在工作場所內,從事與工作有關的預備性或者收尾性工作受到事故傷害的;
③在工作時間和工作場所內,因履行工作職責受到暴力等意外傷害的;
④患職業病的;
⑤因工外出期間,由於工作原因受到傷害或者發生事故下落不明的;
⑥在上下班途中,受到非本人主要責任的交通事故或者城市軌道交通、客運輪渡、火車事故傷害的;
⑦法律、行政法規規定應當認定為工傷的其他情形。
職工有下列情形之一的,視同工傷:
①在工作時間和工作崗位,突發疾病死亡或者在48小時之內經搶救無效死亡的;
②在搶險救災等維護國家利益、公共利益活動中受到傷害的;
③職工原在軍隊服役,因戰、因公負傷致殘,已取得革命傷殘軍人證,到用人單位後舊傷復發的。
職工有前款第①項、第②項情形的,按照本條例的有關規定享受工傷保險待遇;職工有前款第③項情形的,按照本條例的有關規定享受除一次性傷殘補助金以外的工傷保險待遇。
有下列情形之一的,不得認定為工傷或者視同工傷:
①故意犯罪的;
②醉酒或者吸毒的;
③自殘或者自殺的。
6、職業病防治
職業病是指企業、事業單位和個體經濟組織的勞動者在職業活動中,因接觸粉塵、放射性物質和其他有毒、有害物質等因素而引起的疾病。各國法律都有對於職業病預防方面的規定,一般來說,凡是符合法律規定的疾病才能稱為職業病。職業病的診斷,一般由衛生行政部門授權的,具有一定專門條件的單位進行。最常見的職業病有塵肺、職業中毒、職業性皮膚病等。
確診職業病,關繫到工人能否享受國家的勞動保險待遇,故不僅是醫學上的問題,也涉及到正確執行國家的勞動保護政策,一般說,正確診斷依賴於下列三個條件:
①詢問職業史
包括工種,接觸職業危害因素的機會和接觸程度,環境條件等資料,為深入了解病因,除口頭詢問外,有時需要直接到現場觀察,才能作出正確的判斷,接觸史的資料,僅有定性還不夠,還應該是定量的,即環境監測資料或工齡的記錄。
②體格檢查
與一般臨床所用方法類同,但對某一類職業因素所致疾病,如職業史比較明確,則可根據發病特點,選擇某些項目重點檢查。
③實驗室檢查
有一些職業病,臨床表現不明顯,常靠實驗室檢查。
7、特殊作業工種內容:
1、電工作業:含發電、送電、配電工、變電運行工、變電檢修工、維護電工、外線電工、直流電工等;
2、金屬焊接作業:含電焊工、氣焊工切割作業。含焊接工,切割工;
3、起重機械作業:含起重機司機、司索工、起重機指揮、電梯司機、安全檢測與維修工等;
4、企業內機動車輛駕駛:含叉車司機、裝載機司機、小礦車司機、電瓶車司機等;
5、登高架設作業:含2米以上登高作業、腳手架裝接和拆除作業、腳手架維修作業等;
6、鍋爐作業(含水質化驗):司爐工、(包括:常壓和有壓鍋爐或稱蒸汽鍋爐和熱水鍋爐)承壓鍋爐的水質化驗工;
7、壓力容器作業:含大型空氣壓縮機操作工等;
8、製冷作業:含製冷設備安裝、操作、維修工;
9、爆破作業:含地面工程爆破、井工爆破工;
10、礦山通風作業:含主扇風機操作工,測風測塵工等;
11、礦山排水作業:含礦井主排水泵工,尾礦壩作業工;
12、礦山安全檢查作業:專職安全檢查員等;
13、礦山提升運輸作業:含信號工,把罐(把鉤)工等;
14、採掘(剝)作業;
15、礦山救護作業;
16、危險物品作業:含危險化學品、民用爆炸品、放射性物品的操作、運輸押運工和儲存保管員;
17、機動車駕駛員;
18、經國家安全生產監督管理局批準的其他作業。
安全管理篇
1、安全管理十須知
①一個方針:
安全第一,預防為主,綜合治理。
②二條守則:
崗位職責;操作規程。
③四不傷害:
不傷害自己;不傷害他人;不被人傷害;不讓他人受到傷害。
④四不放過:
事故原因未查清不放過;事故責任者和領導責任未追究不放過;廣大職工未得到教育不放過;防範措施未落實不放過。
⑤五個須知:
知道本單位安全工作重點部位;知道本單位安全責任體系和管理網路;知道本單位安全操作規程和標准;知道本單位存在的事故隱患和防範措施;知道並掌握事故搶險預案。
⑥六個不變:
堅持「安全第一」的思想不變;企業法人代表作為安全生產第一責任人的責任不變;行之有效的安全規章制度不變;從嚴強化安全生產力度不變;安全生產一票否決的原則不變;充分依靠職工的安全生產管理辦法不變。
⑦七個檢查:
查認識;查機構;查制度;查台賬;查設備;查隱患;查措施。
⑧八個結合:
建立約束機制與激勵機制相結合;突出重點與兼顧全面結合;職能部門管理與齊抓共管相結合;防微杜漸與突出保障體系相結合;弘揚安全文化與常抓不懈相結合;安全檢查與隱患整改相結合;落實責任制度與完善責任追究制相結合;強化安全管理與推行安全生產確認制相結合。
⑨九個到位:
領導責任到位;教育培訓到位;安管人員到位;規章執行到位;技術技能到位;防範措施到位;檢查力度到位;整改處罰到位;全員意識到位。
⑩十大不安全心理因素:
僥幸;麻痹;偷懶;逞能;莽撞;心急;煩躁;賭氣;自滿;好奇。
2、安全生產十不準
①不戴安全帽,不準進入施工現場;
②高空作業不掛安全網、不系安全帶,不準施工;
③穿高跟鞋、拖鞋、赤腳不準作業;
④工作時間不準喝酒,酒後不準作業;
⑤高空作業所用物料不準隨便拋下;
⑥電源開關不準一閘多用;
⑦機械設備不準帶病運行;
⑧機械設備的安全防護裝置不完善不準使用;
⑨吊車無人指揮、看不清起落點不準吊裝;
⑩防火禁區不準吸煙;正確佩戴個人防護用品。
3、安全生產的「三寶」
安全帽、安全帶、安全網
4、四不傷害
即自己不傷害自己,自己不傷害他人,自己不被他人傷害,保護他人不被傷害。
5、三違
違章作業、違章指揮、違反勞動紀律。
6、三無
個人無違章、崗位無隱患、班組無事故。
7、雨季「八防」
防中暑、防雷擊觸電、防物體打擊、防淹溺、防車禍、防洪汛、防坍塌、防中毒。
8、冬季六防
防凍、防滑、防火災、防爆炸、防中毒、防機械傷害。
9、三同時
即安全衛生設施必須與主體工程同時設計、同時施工、同時投入使用。
10、在生產中必須做到「五同時」
即在計劃、布置、檢查、總結、評比生產的同時必須計劃、布置、檢查、總結、評比安全工作。
11、安全生產六大紀律
①進入現場,必須戴好安全帽,扣好帽扣,正確使用勞動防護用品;
②二米以上的高空作業,無安全設施的必須戴好安全帶,扣好保險鉤;
③高處作業時,不準往下面亂拋材料和工具等物件;
④各種電動機械設備,必須有可靠的安全接地和防雷裝置,方能開動使用;
⑤不懂電器和機械的人員嚴禁使用和玩弄機電設備;
⑥吊裝區域非操作人員嚴禁入內,把桿下方不準站人。
12、安全顏色
我國規定的安全色是用來表達禁止、警告、指令、提示等安全信息含義的顏色。它的作用是使人們能夠迅速發現和分辨安全標志,提醒人們注意安全,預防發生事故。我國安全色標准規定
紅、黃、藍、綠
四種顏色為安全色。同時規定安全色必須保持在一定的顏色范圍內,不能褪色、變色或被污染,以免同別的顏色混淆,產生誤認。
安全色的定義:
紅色:
很醒目,使人們在心理上產生興奮性和刺激性,紅色光光波較長,不易被塵霧所散射,在較遠的地方也容易辨認,紅色的注目性高,視認性也很好。所以用來表示危險、禁止、停止。用於禁止標志。機器設備上的緊急停止手柄或按扭以及禁止觸動的部位通常用紅色,有時也表示防火;
藍色:
藍色的注目性和視認性都不太好,但與白色配合使用效果顯著,特別是在太陽光下比較明顯。所以被選為含指令標志的顏色,即必須遵守;
黃色:
與黑色組成的條紋是視認性最高的色彩,特別能引起人們的注意,所以被選為警告色,含義是警告和注意。如廠內危險機器和警戒線,行車道中線、安全帽等;
綠色:
注目性和視認性雖然太高,但綠色是新鮮、年輕、青春的象徵,具有和平、永遠、生長、安全等心理效用,所以綠色提示安全信息,含義是提示,表示安全狀態或可以通行。車間內的安全通道,行人和車輛通行標志,消防設備和其他安全防護設備的位置表示都用綠色。
13、安全標志
安全標志是由安全色、幾何圖形和圖形符號構成。分為
禁止標志、警告標志、指令標志、提示標志
四類。
14、滅火設施的正確使用
⑴固定滅火系統:水滅火系統,氣體滅火系統,預作用滅火系統等。
⑵移動消防器材:滅火器、消防栓、水桶、鐵鍬等。
滅火器的正確使用
搖:提起滅火器搖一搖
拉:拉出滅火器的保險銷
握:一手提著壓把,一手握住噴管
壓:保持適當距離,對准火焰根部按壓手柄,噴射
消火栓的正確使用方法
開:開箱門,取下水帶、水槍
展:展開消防水帶
按:按下消防報警按鈕
接:將水帶連接出水口,接好水槍頭
轉:旋轉打開水閥,讓水噴出
滅:對准火焰根部滅火
安全防護篇
1、安全用電主要應對措施
①非電工嚴禁動電;
②各種電器使用前應檢查是否漏電、接地是否良好;
③所有用電器具必須經過漏電保護器,而且漏電保護器必須靈敏可靠;
④應使用優質的電纜線,嚴禁使用膠質線;
⑤禁止用扎絲等導電材料捆綁電纜電線;
⑥所有用電開關應標明用途和責任人;
⑦學會觸電急救知識。
2、車輛傷害主要應對措施
①項目部施工處靠近縣城、國道,交通安全尤為重要;
②遵守交通規則?車輛安全設施處於良好狀態,燈光齊全;
③多人行走時應成縱隊而不應排成一排;
④通勤車輛不得人貨混裝、不得超員、不得超速行駛。
3、物體打擊主要應對措施
①嚴禁上下同時作業,除非有可靠的防護措施;
②進入工作面必須戴安全帽並系好帽帶;
③腳手架上的雜物應及時清理,所有工器具必須袋裝吊運,嚴禁拋扔,除非有可靠的安全防護措施。
4、高處作業墜落安全措施
凡在墜落高度基準2m以上有可能墜落的高處進行的作業,均稱為高處作業,分為一級高處作業:2-5M;二級, 5-15M ;三級, 15-30M;四級,30M以上。
主要應對措施:
①首先應做好安全防護設施,比如設置好安全圍欄、鋪滿跳板、掛好安全網等;
②在上述設施不完善的情況下應系掛安全帶,安全帶的正確系法應是高掛低用;
③身體應滿足要求,患有高血壓、低血糖、癲癇等不適應症的人員嚴禁上高架作業。
5、乘坐電梯安全防護措施
①注意安全標志。乘坐電梯,首先要查看電梯內有沒有質量技術監督部門核發的安全檢驗合格標志,電梯有安全標志才能保障安全。
②電梯超載很危險。電梯不能超載,報警時,就等下一趟吧!
③別頂著電梯門。當電梯門快關上時,千萬不要強制沖進電梯,阻止電梯關門,切忌一隻腳在內一隻腳在外停留,這樣可能受傷。
④不要隨便按應急按鈕。應急按鈕是為了應付意外而設置的,電梯正常運行時不要按動,否則會經您帶來不必要的麻煩。
⑤電梯開門走車很危險。乘坐電梯時,如果電梯門沒有關上就運行,這說明電梯有故障,乘客不要乘坐,同時向維修人員報告。
⑥維修中的電梯別上。來到電梯前,乘客首先看看是否掛有「停梯檢修」標志。如果電梯在維修,應掛有這種標志,乘客不要乘坐。
⑦發生火災時千萬別用電梯逃生。司機或乘客在發生火災時應將電梯停在火勢或煙火未蔓延的樓層,乘客禁止使用電梯逃生,而要從樓梯逃生。
⑧意外時千萬別慌。電梯運行中出現故障時,乘客不要驚慌,應設法通知維修人員救援,不要亂動亂按,等待是保障安全的明智選擇。
⑨進出電梯須觀察。電梯停穩後,乘客進出電梯時應注意觀察電梯轎箱地板和樓層是否水平,如果不平,說明電梯存在故障,應及時通知檢修,以保障乘客安全。
6、如何做好安全防護
①要按規定穿戴防護用品。如穿軟底鞋、戴安全帽、系安全帶;安全帶應高掛低用,不能穿皮鞋或塑料硬底鞋作業;
②登高時禁止使用沒有防滑或梯檔缺損的梯子。梯頂端應放置牢固或有專人扶梯;
③登高時用的腳手架要符合規定。使用前要檢查是否有斷裂傷痕,擱置必質平衡牢靠,兩梯要用繩索扎牢;
④注意腳手架是否堅固、結實、平衡。各層都要放底板籬笆,上下腳架要有良好的扶手,確保安全;
⑤高處作業下方必須設安全網。凡無外架防護的施工,必須在4—6米處設一層固定的安全網,每隔12米(四層樓)再設一道固定的安全網,並同時設一道隨牆體逐層上升的安全網;
⑥在天棚和輕型屋面上操作或行走前,必須在上面搭設跳板或下方滿搭安全網;
⑦冬季在寒冷地區從事高處作業時,要防止踏冰滑倒,不準在走道、腳手架上倒水;
⑧在高處作業遇有雷擊或烏雲密布將有大雷雨時,腳手架上的作業人員必須立即離開。
應急救援篇
1、外傷害急救方法
①遇到意外傷害時,不要驚慌失措,要保持鎮靜,並維持好現場的秩序;
②在周圍環境不危及生命條件下,一般不要輕易隨便搬動傷員;
③暫不要給傷病員喝任何飲料和進食;
④如發生意外,而現場無人時,應向周圍大聲呼救,請求來人幫助或設法聯系有關部門,不要單獨留下傷病員無人照管;
⑤立即向有關部門報告事故現場、傷病員人數、傷病情況、傷病處理等;
⑥根據傷情對病員分類搶救,先重後輕、先急後緩、先近後遠;
⑦對窒息、呼吸困難的傷病員,迅速進行人工搶救;
⑧對傷情穩定的人員,迅速轉運就近醫院;
⑨現場搶救必須統一服從領導,不得各自為政。
2、觸電急救方法
觸電急救最重要是動作要迅速、救法要得當。快速、正確地使觸電者脫離電源,快速正確地急救。爭取時間,就是爭取了生命。
觸電急救方法
拉:
附近有電源開關或插座時,應立即拉下開關或拔掉電源插頭;
切:
即若一時找不到斷開電源的開關時,應迅速用絕緣的鋼絲鉗或斷線鉗剪斷電線,以斷開電源;
挑:
對於由導線絕緣損壞造成的觸電,急救人員可用絕緣工具或乾燥的木棍等將電線挑開;
拽:
搶救者可戴上絕緣手套或在手上包纏乾燥的衣服等絕緣物品拖拽觸電者;
墊:
設法把干木板塞到觸電者身下,使其與地面隔離,救護人員也應站在乾燥的木板或絕緣墊上。
3、中暑急救方法
中暑是由於高溫、日曬引起的一種急性疾病。中暑後會出現頭暈、頭痛、全身無力、口渴、心悸、惡心、嘔吐等症狀,嚴重時會突然暈倒。中暑又可分為先兆中暑、輕症中暑及重症中暑。
中暑急救的方法是:
讓中暑病人立即離開高溫環境,轉移到陰涼通風處休息,並解開衣服,呈平卧姿勢,同時讓患者多喝含鹽飲料。對於先兆中暑者,可不進行特殊治療,讓他自然恢復正常。對於重症中暑病人,要立即送醫院搶救治療。
4、砸傷急救方法
①立即挖出傷員,注意不要再度受傷,動作要輕,准、快,不要強行拉。如全部被埋應盡快將傷者的頭部優先暴露出來,清理口鼻泥土砂石、血塊,松解衣帶,以利呼吸;
②使傷員平卧,頭偏向一側,防嘔吐物堵塞呼吸;
③傷口出血時應用布條止血和凈水沖洗傷口,用干凈毛巾包紮好以防感染;
④骨折時要用夾板或代用品固定;
⑤呼吸停止者,口對口人工呼吸;
⑥心跳停止者,實行胸外心臟按壓;
⑦搬運傷員要平穩,避免顛簸和扭曲;
⑧有條件時及早輸血、輸液。
5、高空墜落急救方法
①去除傷員身上的用具和口袋中的硬物;
②在搬運和轉送過程中,頸部和軀干不能前屈或扭轉,而應使脊柱伸直,絕對禁止一個抬肩一個抬腿的搬法,以免發生或加重截癱;
③創傷局部妥善包紮,但對疑似顱底骨折和腦脊液漏患者切忌作填塞,以免導致顱內感染;
④頜面部傷員首先應保持呼吸道暢通,松解傷員的頸、胸部鈕扣;
⑤復合傷要求平仰卧位,保持呼吸道暢通,解開衣領扣;
⑥周圍血管傷,壓迫傷部以上動脈干至骨骼。直接在傷口上放置厚敷料,綳帶加壓包紮以不出血和不影響肢體血循環為宜;
⑦快速平穩地送醫院救治。
6、火場急救方法
①新到一個地方應先熟悉環境,知道安全通道和消防設施所在;
②著火後不要驚慌,報警與救火、自救應同時進行,如果是初始火災,分清著火點源後用身邊的滅火器具或濕被單覆蓋即可滅火;
③如果火勢太大或著火點不在自己屋內,如果門很熱,說明室外已是火海,切不可貿然開門,更不要著急跳樓,如果情況緊急,可把被單、衣服等撕成條綁緊後從窗外溜下,或將水淋濕牆壁和門阻止火勢蔓延,洗手間是求生的最佳地方;
④不能因清理行李和貴重物品而延誤時間;
⑤不能在濃煙彌漫時直立行走;
⑥大火伴著濃煙騰起後,應在地上爬行,避免嗆煙和中毒;
⑦地面有火應穿上鞋;
⑧如果身上著火了,千萬不要奔跑,要趕快把衣服脫下,或躺在地上打滾把火苗滅熄。
7、電梯故障應急方法
常見電梯故障:
①電梯突然停電困人;
②電梯機械部分或電氣部分發生故障困人;
③電梯運行速度突然不正常;
電梯發生故障時應急要點:
①電梯速度不正常時,應兩腿微微彎曲,上身向前傾斜,以應對可能受到的沖擊;
②被困轎廂時,應保持鎮靜,不要驚慌,立即用電梯內警鈴、對講機或電話與有關人員聯系,等待外部救援。如果報警無效,可以大聲呼叫或間歇性地拍打電梯門;
③電梯突然停運時,不要輕易扒門爬出,以防電梯突然開動;
④運行中的電梯進水時,應將電梯開到頂層,並告知維修人員;
⑤如果電梯運行途中發生火災,應將電梯在就近樓梯停靠,並迅速利用樓梯逃生。