企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
㈡ 三级教育指的是什么意思复工安全培训必备
基础知识篇
1、新员工“三级”安全教育的概念:
三级安全教育是指新入职员工的公司级安全教育、部门级安全教育、班、组级安全教育。
2、什么是安全生产,它的意义是什么?
安全生产:是指在劳动生产过程中,通过努力改善劳动条件,克服不安全因素,防止事故的发生,使企业生产在保证劳动者安全健康和国家财产及人民生命财产安全的前提下顺利进行。
包括两个方面的安全:
①人身安全(包括劳动者本人及相关人员);
②设备安全、安全生产工作:为搞好安全生产而开展的一系列活动。
3、什么是安全技术?
安全技术:为了预防或消除事故根源,对生产过程中可能存在着有害于工人人身安全健康或有损于机器设备的燃烧、爆炸、触电、绞辗、高空坠落、尘毒污染等危险因素,从设计、工艺、生产组织、操作等方面所采取的各种技术措施。
4、什么是安全生产责任制?
安全生产责任制:根据安全生产法律法规和企业生产实际,将各级领导、职能部门、工程技术人员、岗位操作人员在安全生产方面应该做的事及应负的责任加以明确规定的一种制度。
5、方针与原则
安全生产方针:安全第一,预防为主,综合治理。
消防方针:预防为主,防消结合。
安全生产管理的基本原则:管生产必须管安全。
6、员工安全生产的主要职责:
①遵守有关设备维修保养制度的规定;
②自觉遵守安全生产规章制度和劳动纪律;
③爱护和正确使用机器设备、工具,正确佩戴防护用品;
④关心安全生产情况,向有关领导或部门提出合理化建议;
⑤发现事故隐患和不安全因素要及时向组织或有关部门汇报;
⑥发生工伤事故,要及时抢救伤员、保护现场,报告领导,并协助调查工作;
⑦努力学习和掌握安全知识和技能、熟练掌握本工种操作程序和安全操作规程;
⑧积极参加各种安全活动,牢固树立“安全第一”思想和自我保护意识;
⑨有权拒绝违章指挥和强令冒险作业,对个人安全生产负责。
法律法规篇
1、全国人大通过的法律、法规
《中华人民共和国宪法》
《中华人民共和国安全生产法》
《中华人民共和国消防法法》
《中华人民共和国环境保护法》
《中华人民共和国刑法》
《中华人民共和国全民所有制工业企业法》
《中华人民共和国劳动法》
《中华人民共和国矿山安全法》
《中华人民共和国职业病防治法》
2、劳动保护的具体内容
①工作时间的限制和休息时间,体检制度;
②多项劳动安全和卫生标准及措施;
③女职工的劳动保护;
④未成年工的劳动保护。
3、员工的安全生产八大权利
①知情权——即有权了解其作业场所和工作岗位存在的危险因素、防范措施和事故应急措施;
②建议权——即有权对本单位的安全生产工作提出建议;
③批评权和检举、控告权——即有权对本单位安全生产管理工作中存在的问题提出批评、检举、控告;
④拒绝权——即有权拒绝违章作业指挥和强令冒险作业;
⑤紧急避险权——即发现直接危及人身安全的紧急情况时,有权停止作业或者在采取可能的应急措施后撤离作业场所;
⑥依法向本单位提出要求赔偿的权利;
⑦获得符合国家标准或者行业标准劳动防护用品的权利;
⑧获得安全生产教育和培训的权利。
4、员工的安全生产四项义务
①遵章守纪,服从管理;
②正确佩戴和使用劳动防护用品;
③参加培训,掌握安全生产技能;
④发现事故及时报告事故隐患。
5、工伤认定基本知识
职工有下列情形之一的,应当认定为工伤:
①在工作时间和工作场所内,因工作原因受到事故伤害的;
②工作时间前后在工作场所内,从事与工作有关的预备性或者收尾性工作受到事故伤害的;
③在工作时间和工作场所内,因履行工作职责受到暴力等意外伤害的;
④患职业病的;
⑤因工外出期间,由于工作原因受到伤害或者发生事故下落不明的;
⑥在上下班途中,受到非本人主要责任的交通事故或者城市轨道交通、客运轮渡、火车事故伤害的;
⑦法律、行政法规规定应当认定为工伤的其他情形。
职工有下列情形之一的,视同工伤:
①在工作时间和工作岗位,突发疾病死亡或者在48小时之内经抢救无效死亡的;
②在抢险救灾等维护国家利益、公共利益活动中受到伤害的;
③职工原在军队服役,因战、因公负伤致残,已取得革命伤残军人证,到用人单位后旧伤复发的。
职工有前款第①项、第②项情形的,按照本条例的有关规定享受工伤保险待遇;职工有前款第③项情形的,按照本条例的有关规定享受除一次性伤残补助金以外的工伤保险待遇。
有下列情形之一的,不得认定为工伤或者视同工伤:
①故意犯罪的;
②醉酒或者吸毒的;
③自残或者自杀的。
6、职业病防治
职业病是指企业、事业单位和个体经济组织的劳动者在职业活动中,因接触粉尘、放射性物质和其他有毒、有害物质等因素而引起的疾病。各国法律都有对于职业病预防方面的规定,一般来说,凡是符合法律规定的疾病才能称为职业病。职业病的诊断,一般由卫生行政部门授权的,具有一定专门条件的单位进行。最常见的职业病有尘肺、职业中毒、职业性皮肤病等。
确诊职业病,关系到工人能否享受国家的劳动保险待遇,故不仅是医学上的问题,也涉及到正确执行国家的劳动保护政策,一般说,正确诊断依赖于下列三个条件:
①询问职业史
包括工种,接触职业危害因素的机会和接触程度,环境条件等资料,为深入了解病因,除口头询问外,有时需要直接到现场观察,才能作出正确的判断,接触史的资料,仅有定性还不够,还应该是定量的,即环境监测资料或工龄的记录。
②体格检查
与一般临床所用方法类同,但对某一类职业因素所致疾病,如职业史比较明确,则可根据发病特点,选择某些项目重点检查。
③实验室检查
有一些职业病,临床表现不明显,常靠实验室检查。
7、特殊作业工种内容:
1、电工作业:含发电、送电、配电工、变电运行工、变电检修工、维护电工、外线电工、直流电工等;
2、金属焊接作业:含电焊工、气焊工切割作业。含焊接工,切割工;
3、起重机械作业:含起重机司机、司索工、起重机指挥、电梯司机、安全检测与维修工等;
4、企业内机动车辆驾驶:含叉车司机、装载机司机、小矿车司机、电瓶车司机等;
5、登高架设作业:含2米以上登高作业、脚手架装接和拆除作业、脚手架维修作业等;
6、锅炉作业(含水质化验):司炉工、(包括:常压和有压锅炉或称蒸汽锅炉和热水锅炉)承压锅炉的水质化验工;
7、压力容器作业:含大型空气压缩机操作工等;
8、制冷作业:含制冷设备安装、操作、维修工;
9、爆破作业:含地面工程爆破、井工爆破工;
10、矿山通风作业:含主扇风机操作工,测风测尘工等;
11、矿山排水作业:含矿井主排水泵工,尾矿坝作业工;
12、矿山安全检查作业:专职安全检查员等;
13、矿山提升运输作业:含信号工,把罐(把钩)工等;
14、采掘(剥)作业;
15、矿山救护作业;
16、危险物品作业:含危险化学品、民用爆炸品、放射性物品的操作、运输押运工和储存保管员;
17、机动车驾驶员;
18、经国家安全生产监督管理局批准的其他作业。
安全管理篇
1、安全管理十须知
①一个方针:
安全第一,预防为主,综合治理。
②二条守则:
岗位职责;操作规程。
③四不伤害:
不伤害自己;不伤害他人;不被人伤害;不让他人受到伤害。
④四不放过:
事故原因未查清不放过;事故责任者和领导责任未追究不放过;广大职工未得到教育不放过;防范措施未落实不放过。
⑤五个须知:
知道本单位安全工作重点部位;知道本单位安全责任体系和管理网络;知道本单位安全操作规程和标准;知道本单位存在的事故隐患和防范措施;知道并掌握事故抢险预案。
⑥六个不变:
坚持“安全第一”的思想不变;企业法人代表作为安全生产第一责任人的责任不变;行之有效的安全规章制度不变;从严强化安全生产力度不变;安全生产一票否决的原则不变;充分依靠职工的安全生产管理办法不变。
⑦七个检查:
查认识;查机构;查制度;查台账;查设备;查隐患;查措施。
⑧八个结合:
建立约束机制与激励机制相结合;突出重点与兼顾全面结合;职能部门管理与齐抓共管相结合;防微杜渐与突出保障体系相结合;弘扬安全文化与常抓不懈相结合;安全检查与隐患整改相结合;落实责任制度与完善责任追究制相结合;强化安全管理与推行安全生产确认制相结合。
⑨九个到位:
领导责任到位;教育培训到位;安管人员到位;规章执行到位;技术技能到位;防范措施到位;检查力度到位;整改处罚到位;全员意识到位。
⑩十大不安全心理因素:
侥幸;麻痹;偷懒;逞能;莽撞;心急;烦躁;赌气;自满;好奇。
2、安全生产十不准
①不戴安全帽,不准进入施工现场;
②高空作业不挂安全网、不系安全带,不准施工;
③穿高跟鞋、拖鞋、赤脚不准作业;
④工作时间不准喝酒,酒后不准作业;
⑤高空作业所用物料不准随便抛下;
⑥电源开关不准一闸多用;
⑦机械设备不准带病运行;
⑧机械设备的安全防护装置不完善不准使用;
⑨吊车无人指挥、看不清起落点不准吊装;
⑩防火禁区不准吸烟;正确佩戴个人防护用品。
3、安全生产的“三宝”
安全帽、安全带、安全网
4、四不伤害
即自己不伤害自己,自己不伤害他人,自己不被他人伤害,保护他人不被伤害。
5、三违
违章作业、违章指挥、违反劳动纪律。
6、三无
个人无违章、岗位无隐患、班组无事故。
7、雨季“八防”
防中暑、防雷击触电、防物体打击、防淹溺、防车祸、防洪汛、防坍塌、防中毒。
8、冬季六防
防冻、防滑、防火灾、防爆炸、防中毒、防机械伤害。
9、三同时
即安全卫生设施必须与主体工程同时设计、同时施工、同时投入使用。
10、在生产中必须做到“五同时”
即在计划、布置、检查、总结、评比生产的同时必须计划、布置、检查、总结、评比安全工作。
11、安全生产六大纪律
①进入现场,必须戴好安全帽,扣好帽扣,正确使用劳动防护用品;
②二米以上的高空作业,无安全设施的必须戴好安全带,扣好保险钩;
③高处作业时,不准往下面乱抛材料和工具等物件;
④各种电动机械设备,必须有可靠的安全接地和防雷装置,方能开动使用;
⑤不懂电器和机械的人员严禁使用和玩弄机电设备;
⑥吊装区域非操作人员严禁入内,把杆下方不准站人。
12、安全颜色
我国规定的安全色是用来表达禁止、警告、指令、提示等安全信息含义的颜色。它的作用是使人们能够迅速发现和分辨安全标志,提醒人们注意安全,预防发生事故。我国安全色标准规定
红、黄、蓝、绿
四种颜色为安全色。同时规定安全色必须保持在一定的颜色范围内,不能褪色、变色或被污染,以免同别的颜色混淆,产生误认。
安全色的定义:
红色:
很醒目,使人们在心理上产生兴奋性和刺激性,红色光光波较长,不易被尘雾所散射,在较远的地方也容易辨认,红色的注目性高,视认性也很好。所以用来表示危险、禁止、停止。用于禁止标志。机器设备上的紧急停止手柄或按扭以及禁止触动的部位通常用红色,有时也表示防火;
蓝色:
蓝色的注目性和视认性都不太好,但与白色配合使用效果显着,特别是在太阳光下比较明显。所以被选为含指令标志的颜色,即必须遵守;
黄色:
与黑色组成的条纹是视认性最高的色彩,特别能引起人们的注意,所以被选为警告色,含义是警告和注意。如厂内危险机器和警戒线,行车道中线、安全帽等;
绿色:
注目性和视认性虽然太高,但绿色是新鲜、年轻、青春的象征,具有和平、永远、生长、安全等心理效用,所以绿色提示安全信息,含义是提示,表示安全状态或可以通行。车间内的安全通道,行人和车辆通行标志,消防设备和其他安全防护设备的位置表示都用绿色。
13、安全标志
安全标志是由安全色、几何图形和图形符号构成。分为
禁止标志、警告标志、指令标志、提示标志
四类。
14、灭火设施的正确使用
⑴固定灭火系统:水灭火系统,气体灭火系统,预作用灭火系统等。
⑵移动消防器材:灭火器、消防栓、水桶、铁锹等。
灭火器的正确使用
摇:提起灭火器摇一摇
拉:拉出灭火器的保险销
握:一手提着压把,一手握住喷管
压:保持适当距离,对准火焰根部按压手柄,喷射
消火栓的正确使用方法
开:开箱门,取下水带、水枪
展:展开消防水带
按:按下消防报警按钮
接:将水带连接出水口,接好水枪头
转:旋转打开水阀,让水喷出
灭:对准火焰根部灭火
安全防护篇
1、安全用电主要应对措施
①非电工严禁动电;
②各种电器使用前应检查是否漏电、接地是否良好;
③所有用电器具必须经过漏电保护器,而且漏电保护器必须灵敏可靠;
④应使用优质的电缆线,严禁使用胶质线;
⑤禁止用扎丝等导电材料捆绑电缆电线;
⑥所有用电开关应标明用途和责任人;
⑦学会触电急救知识。
2、车辆伤害主要应对措施
①项目部施工处靠近县城、国道,交通安全尤为重要;
②遵守交通规则?车辆安全设施处于良好状态,灯光齐全;
③多人行走时应成纵队而不应排成一排;
④通勤车辆不得人货混装、不得超员、不得超速行驶。
3、物体打击主要应对措施
①严禁上下同时作业,除非有可靠的防护措施;
②进入工作面必须戴安全帽并系好帽带;
③脚手架上的杂物应及时清理,所有工器具必须袋装吊运,严禁抛扔,除非有可靠的安全防护措施。
4、高处作业坠落安全措施
凡在坠落高度基准2m以上有可能坠落的高处进行的作业,均称为高处作业,分为一级高处作业:2-5M;二级, 5-15M ;三级, 15-30M;四级,30M以上。
主要应对措施:
①首先应做好安全防护设施,比如设置好安全围栏、铺满跳板、挂好安全网等;
②在上述设施不完善的情况下应系挂安全带,安全带的正确系法应是高挂低用;
③身体应满足要求,患有高血压、低血糖、癫痫等不适应症的人员严禁上高架作业。
5、乘坐电梯安全防护措施
①注意安全标志。乘坐电梯,首先要查看电梯内有没有质量技术监督部门核发的安全检验合格标志,电梯有安全标志才能保障安全。
②电梯超载很危险。电梯不能超载,报警时,就等下一趟吧!
③别顶着电梯门。当电梯门快关上时,千万不要强制冲进电梯,阻止电梯关门,切忌一只脚在内一只脚在外停留,这样可能受伤。
④不要随便按应急按钮。应急按钮是为了应付意外而设置的,电梯正常运行时不要按动,否则会经您带来不必要的麻烦。
⑤电梯开门走车很危险。乘坐电梯时,如果电梯门没有关上就运行,这说明电梯有故障,乘客不要乘坐,同时向维修人员报告。
⑥维修中的电梯别上。来到电梯前,乘客首先看看是否挂有“停梯检修”标志。如果电梯在维修,应挂有这种标志,乘客不要乘坐。
⑦发生火灾时千万别用电梯逃生。司机或乘客在发生火灾时应将电梯停在火势或烟火未蔓延的楼层,乘客禁止使用电梯逃生,而要从楼梯逃生。
⑧意外时千万别慌。电梯运行中出现故障时,乘客不要惊慌,应设法通知维修人员救援,不要乱动乱按,等待是保障安全的明智选择。
⑨进出电梯须观察。电梯停稳后,乘客进出电梯时应注意观察电梯轿箱地板和楼层是否水平,如果不平,说明电梯存在故障,应及时通知检修,以保障乘客安全。
6、如何做好安全防护
①要按规定穿戴防护用品。如穿软底鞋、戴安全帽、系安全带;安全带应高挂低用,不能穿皮鞋或塑料硬底鞋作业;
②登高时禁止使用没有防滑或梯档缺损的梯子。梯顶端应放置牢固或有专人扶梯;
③登高时用的脚手架要符合规定。使用前要检查是否有断裂伤痕,搁置必质平衡牢靠,两梯要用绳索扎牢;
④注意脚手架是否坚固、结实、平衡。各层都要放底板篱笆,上下脚架要有良好的扶手,确保安全;
⑤高处作业下方必须设安全网。凡无外架防护的施工,必须在4—6米处设一层固定的安全网,每隔12米(四层楼)再设一道固定的安全网,并同时设一道随墙体逐层上升的安全网;
⑥在天棚和轻型屋面上操作或行走前,必须在上面搭设跳板或下方满搭安全网;
⑦冬季在寒冷地区从事高处作业时,要防止踏冰滑倒,不准在走道、脚手架上倒水;
⑧在高处作业遇有雷击或乌云密布将有大雷雨时,脚手架上的作业人员必须立即离开。
应急救援篇
1、外伤害急救方法
①遇到意外伤害时,不要惊慌失措,要保持镇静,并维持好现场的秩序;
②在周围环境不危及生命条件下,一般不要轻易随便搬动伤员;
③暂不要给伤病员喝任何饮料和进食;
④如发生意外,而现场无人时,应向周围大声呼救,请求来人帮助或设法联系有关部门,不要单独留下伤病员无人照管;
⑤立即向有关部门报告事故现场、伤病员人数、伤病情况、伤病处理等;
⑥根据伤情对病员分类抢救,先重后轻、先急后缓、先近后远;
⑦对窒息、呼吸困难的伤病员,迅速进行人工抢救;
⑧对伤情稳定的人员,迅速转运就近医院;
⑨现场抢救必须统一服从领导,不得各自为政。
2、触电急救方法
触电急救最重要是动作要迅速、救法要得当。快速、正确地使触电者脱离电源,快速正确地急救。争取时间,就是争取了生命。
触电急救方法
拉:
附近有电源开关或插座时,应立即拉下开关或拔掉电源插头;
切:
即若一时找不到断开电源的开关时,应迅速用绝缘的钢丝钳或断线钳剪断电线,以断开电源;
挑:
对于由导线绝缘损坏造成的触电,急救人员可用绝缘工具或干燥的木棍等将电线挑开;
拽:
抢救者可戴上绝缘手套或在手上包缠干燥的衣服等绝缘物品拖拽触电者;
垫:
设法把干木板塞到触电者身下,使其与地面隔离,救护人员也应站在干燥的木板或绝缘垫上。
3、中暑急救方法
中暑是由于高温、日晒引起的一种急性疾病。中暑后会出现头晕、头痛、全身无力、口渴、心悸、恶心、呕吐等症状,严重时会突然晕倒。中暑又可分为先兆中暑、轻症中暑及重症中暑。
中暑急救的方法是:
让中暑病人立即离开高温环境,转移到阴凉通风处休息,并解开衣服,呈平卧姿势,同时让患者多喝含盐饮料。对于先兆中暑者,可不进行特殊治疗,让他自然恢复正常。对于重症中暑病人,要立即送医院抢救治疗。
4、砸伤急救方法
①立即挖出伤员,注意不要再度受伤,动作要轻,准、快,不要强行拉。如全部被埋应尽快将伤者的头部优先暴露出来,清理口鼻泥土砂石、血块,松解衣带,以利呼吸;
②使伤员平卧,头偏向一侧,防呕吐物堵塞呼吸;
③伤口出血时应用布条止血和净水冲洗伤口,用干净毛巾包扎好以防感染;
④骨折时要用夹板或代用品固定;
⑤呼吸停止者,口对口人工呼吸;
⑥心跳停止者,实行胸外心脏按压;
⑦搬运伤员要平稳,避免颠簸和扭曲;
⑧有条件时及早输血、输液。
5、高空坠落急救方法
①去除伤员身上的用具和口袋中的硬物;
②在搬运和转送过程中,颈部和躯干不能前屈或扭转,而应使脊柱伸直,绝对禁止一个抬肩一个抬腿的搬法,以免发生或加重截瘫;
③创伤局部妥善包扎,但对疑似颅底骨折和脑脊液漏患者切忌作填塞,以免导致颅内感染;
④颌面部伤员首先应保持呼吸道畅通,松解伤员的颈、胸部钮扣;
⑤复合伤要求平仰卧位,保持呼吸道畅通,解开衣领扣;
⑥周围血管伤,压迫伤部以上动脉干至骨骼。直接在伤口上放置厚敷料,绷带加压包扎以不出血和不影响肢体血循环为宜;
⑦快速平稳地送医院救治。
6、火场急救方法
①新到一个地方应先熟悉环境,知道安全通道和消防设施所在;
②着火后不要惊慌,报警与救火、自救应同时进行,如果是初始火灾,分清着火点源后用身边的灭火器具或湿被单覆盖即可灭火;
③如果火势太大或着火点不在自己屋内,如果门很热,说明室外已是火海,切不可贸然开门,更不要着急跳楼,如果情况紧急,可把被单、衣服等撕成条绑紧后从窗外溜下,或将水淋湿墙壁和门阻止火势蔓延,洗手间是求生的最佳地方;
④不能因清理行李和贵重物品而延误时间;
⑤不能在浓烟弥漫时直立行走;
⑥大火伴着浓烟腾起后,应在地上爬行,避免呛烟和中毒;
⑦地面有火应穿上鞋;
⑧如果身上着火了,千万不要奔跑,要赶快把衣服脱下,或躺在地上打滚把火苗灭熄。
7、电梯故障应急方法
常见电梯故障:
①电梯突然停电困人;
②电梯机械部分或电气部分发生故障困人;
③电梯运行速度突然不正常;
电梯发生故障时应急要点:
①电梯速度不正常时,应两腿微微弯曲,上身向前倾斜,以应对可能受到的冲击;
②被困轿厢时,应保持镇静,不要惊慌,立即用电梯内警铃、对讲机或电话与有关人员联系,等待外部救援。如果报警无效,可以大声呼叫或间歇性地拍打电梯门;
③电梯突然停运时,不要轻易扒门爬出,以防电梯突然开动;
④运行中的电梯进水时,应将电梯开到顶层,并告知维修人员;
⑤如果电梯运行途中发生火灾,应将电梯在就近楼梯停靠,并迅速利用楼梯逃生。