作业安全分析(job safety analysis,JSA)是指事先或定期对某项作业活动进行危害识别,并根据识别结果制定和实施相应的控制措施,以达到最大限度消除或控制风险,确保作业人员健康和安全的目的。
广州石化借鉴安全生产管理中的JSA分析法,结合《企业信息安全风险评估工作细则》,创新性地建立了一套企业信息安全工作JSA模板——《广州石化信息系统渗透测试JSA许可证》,内容包括JSA安全风险因素评估、人员安全教育情况、工具和策略选择安全确认、业务应急措施、系统备份与恢复、现场作业监护等安全措施。
《广州石化信息系统渗透测试JSA许可证》以企业信息安全管控为起点,通过“作业前安全措施确认”、“作业活动”到“完工验收”等管理环节,对信息系统渗透测试作业步骤进行全流程管控。针对每一步骤从数据备份、应急处置预案、安全扫描、漏洞报告确认等方面进行再细分,每一分步骤除了现有的控制措施外,还增加相关子级控制措施,保证了信息系统渗透测试作业期间业务的连续性和可用性。
在相关操作中,操作方逐条签字认可,经应用系统业务主体单位、信息HSSE负责人和信息部门领导签字审批方可持证作业。
