企业集团网络与信息安全保密总体方案及策略

《企业集团网络与信息安全保密总体方案及策略》由会员分享，可在线阅读，更多相关《企业集团网络与信息安全保密总体方案及策略（20页珍藏版）》请在装配图网上搜索。

1、企业集团网络与信息安全保密总体方案及策略80286企业集团网络与信息安全保密总体方案及策略 对大型企业集团网络与信息安全现状及安全隐患进行分析，提出了总体解决方案以及企业集团的管理对策，加强安全保密技术措施，构建系统的安全保密防范体系。主要内容包括: 网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作El 志和邮件归档审计等。企业集团实施网络与信息安全保密技术和管理策略将取得明显的信息安全及保密效果。1、大型企业集团的网络与信息安全保密工作现状与分析1.1 大型企业集团网络与信息系统安全保密工作现状经过对国内大型企业集团的了解和分析得知，国内大型企业集

2、团的网络和信息化部有一些共性。大型企业集团一般拥有自己国内或国际的广域网，一般集团总部和各分部 / 分企业集团都有单独的互联网出口。集团和自已的上下游的合作伙伴会通过专线或互联网交换信息 （ 见图 1） 。企业集团这种网络架构存在互联网出口多、安全性低，信息孤岛、OA等应用需要整合等典型问题。同时企业和合作伙伴的联网安伞也需要考虑。集团信息安全系统主要是由防火墙、入侵监测和病毒防范等组成，这种方法造成安全投入不断增加、维护与管理更加复杂、信息系统的使用效率大大降低、对内部没有防范，对新的攻击入侵毫无防御能力 （ 如冲击波、振荡波） 等一系列问舾。目前企业集团急需一套完整的符合国家信息安全保障工

3、作要求的安全保密方案。国I企业集田村小吃杖 一,一1.2 大型企业集团信息网络的安全隐患1.2.1 互联网的安全使用问题由于互联网使用的广泛性、接入手段的多样性 （modem发号、以太网卡、无线网 卡、蓝牙、红外等等）、应用的复杂性以及攻击行为的隐蔽性（蠕虫，病毒、木马、 僵尸等等），近年来我国已发生多起严重的网上失、窃密案件。威胁互联网安全的因素包括“黑客”的入侵，计算机病毒，数据“窃听”和拦截等方面。企业集团内同样存在因广泛使用互联网而可能发生的核心企业秘密外泄的严重 风险。因此，必须采用有效的技术手段，加强监督管理，规范互联网的使用，以达 到保护国家秘密和集团企业核心秘密的目的。1.2.

4、2 终端安全问题随着企业信息网的对外开放，终端数量的日渐庞大，使企业信息网正在承受来 自互联网的各种信息安全威胁，如网络蠕虫、安全攻击，垃圾邮件等。企业网终端 没有统一的管理，病毒库不能得到严格升级，每台终端上的操作系统安全漏洞补丁 不能得到及时更新，这些威胁都会严再影响企业内部网络的安全使用，并进一步威 胁企业的健康发展。在现有网络架构下，只要接入集团的一台终端感染网络病毒，就可能导致往有数千台终端的网络内爆发蠕虫病毒，网络中会充斥大量的无用数据包，占用几乎全部的网络设备资源和带宽，导致真正的应用数据包无法被传输，甚至出现交换机由于CPU?用率过高而近似死机的现象。因此，必须对集团网络从交换

5、机终端即网络边缘开始进行安全控制。1.2.3 Web 应用系统分级授权控制问题企业集团一般授权系统比较单一，需要建立分级授权系统对应用系统进行保护，主要包括:(1) 边界权限控制 :各企业集团内部上页属于内部办公平台，必须受限访问。 (2) 重要模块控制 : 各企业集团内部主页有企业秘密信息模块，也有公开信息模块。企业秘密信息模块包括OA系统、竞争情报、工作报告、会议纪要、科技成果、管珲课题研究等内容。应加强对企业秘密信息模块的保密管理，依据工作分工、分级授权进行访问控制和管理。1.2.4 文件保护问题由于企业集团内部网络监控的缺位，目前存在以下内部泄密途径 :(1) 内部人员将资料通过移动存

6、储介质从电脑中拷出带走;(2) 内部人员通过互联网将资料通过电子邮件发送给外部人员 ;(3) 将文件打印后带出。 (4) 将办公用便携式电脑直接带回家中， (5) 电脑易手后，硬盘上的资料没有处理;(6) 随意将文件设成共享，导致非相关人员获取资料;(7) 移动存储介质设备共用，导致非相关人员获取资料;(8) 将私人便携式电脑带到企业集团，接入局域网，窃取资料;(9) 开启同事电脑，浏览、复制同事电脑里的资料。此外，还有很多其他途径可以被别有用心的内部人员利用以窃取资料。1.2.5 移动存储介质和设备管理问题越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，给企业信息资源管理带来相

7、当人的安全隐患。企业集团移动存储介质使用管理中存在的问题主要包括: 非法拷贝敏感信息和涉密信息到移动存储介质中 ; 企业外部移动仔储介 质未经授权在内部使用 ; 企业内部移动存储介质及信息资源被带出，在外部非授权使用 ; 存贮征媒体中的秘密信息在联网或人工交换时被泄露或被窃取; 处理废旧移动存储介质时，末做信息清理; 存有秘密信息的介质不经处理或任无人监督的情况下被带出修理 ; 存有秘密信息的存储介质失窃; 秘密信息和非秘密信息放在同一介质上。另外公私混用，存在一定安全隐患。1.2.6 涉密文件的等级保护问题如果将涉密文件以明文方式存储在涉密存储介质中，一旦涉密存储介质（ 硬盘、移动硬盘、U盘

8、、笔记本电脑）意外遗失或者被盗，或者存储在上面的涉密信息被恶意通过网络发送出去，则可能造成涉密信息的泄漏。必须采用一定的技术于段，根据涉密文件的级别，以不同等级自动进行加密，使涉密存储介质中存储的文件为密文，即便涉密存储介质被盗或意外遗失，或者被恶意外泄，也不至于造成直接泄密的重大损失。1.2.7 邮件加密及归档审计企业集团一般用户自主邮件恢复功能只能恢复30 天之内的数据。且有一定的限制，无法查询和监督更长时期内的历史邮件。据调查显示，目前全球范围内正式实行邮件归档系统的企业并不多，在我国企业中真正实施邮件归档的企业更是少之又少。与国外企业对邮件归档的认识不同的是，对于国内的企业负责人来说，

9、也许他们更关心的是企业中的机密文件是否会被不轨员工利用电子邮件外泄。因此，必须采用一定的技术手段，实现邮件加密传输以及对邮件进行归档审计。利用邮件系统归档功能，可以根据企业集团工作需要查询和监督用户利用企业集团的邮件平台收发的电子邮件，尤其是公务邮件，对知识产权的保护具钉现实意义。1.2.8 网络涉密传输对于涉及氽业集团或国家秘密的数据传输，传输通道必须加密，以保证特殊条件下信息不被轻易窃取。2、网络与信息安全保密建设总体方案2.1 总体目标大型企业集团网络与信息安伞保密工作的总体目标可以定义为 : 针对集团网络及信息安全保密需要，构建系统的安全保密技术和防护策略及其措施，通过制度管理和技术防

10、范，双管齐下，规范员工行为，以达到网络和信息资产安全的总体目标。最终达到“外人进不来，进来之后看不到，看到了拿不走， 拿走了用不了，操作了可追溯”的效果。2.2 总体要求对于网络与信息保密工作而言，管理方法和技术手段同等重要，缺一不可。只重视管理流程，缺乏足够的技术手段，信息安全保密工作就只能取决于执行者自身的政治觉悟。对于觉悟不高者而言，容易流于形式，只审视技术手段。不加强管理，信息安伞保密工作就容易受到轻视，技术手段反而成为绊脚石，安全保密工作无法有效开展。安全，特别是信息安全是一个系统工程，在这个系统工程中，体现着“三分技术，七分管理”。2.3 管理改进大型企业集团应建立网络与信息安全保

11、密组织，制定相关的管理制度，大力宣传信息保密工作的重要性。最大程度地保护企业的各种秘密信息。具体工作任务包括:(1) 根据企业集团信息保密工作的具体要求建立适合本企业集团或部门的电子信息保密规定，建立可操作的工作制度。 (2) 对本企业集团有涉密信息的部门划分级别，对用户的电脑进行严格的安全配置，例如禁止使用USBB、只能登录特定的电脯等 ;(3) 用户不明确信息是否涉密时，由保密工作部门进行甄别 ;(4) 为信息技术管理部门提供有关信息保密管理、技术改进、提升与完善的具体建议；(5)对本企业的员工进行信息保密培训与教育；(6)对涉密信息的交流与传递进行监督；(7)协助安全 部门对违反保密规定

12、的信息泄漏事件进行调查、取证。(8)与审计部门配合，定期或不定期对本企业集团的信息保密工作进行审计；(9)定期或不定期向企业高层与集 团信息保密工作组报告本企业集团的信息保密工作情况。2.4 总体方案2.4.1 建立网络分区分级管理目前，企业集团的整个信息网络是一个整体，没有内、外网之分以及保密专 网，网络结构存在安全隐患。为了提高信息安全性，根据信息的密级，结合工作的需要，对信息网络进行分 区分级管理。从长远看，企业集团网络应该分为困密网、专用网、外网、办公内网四个安全区，如图2所示。对于安全区内的系统根据审要性进行分级管理。:2企业邕问小梦示念密2.4.2 建立网络安全准入系统在企业集团范

13、围内建立终端安全防护和全面的网络准入控制系统，实现如下目 标:(1) 网络准入控制。工作站必须符合定义的安全策略( 例如安装了指定的防病毒软件、更新了病毒特征代码、安装了最新的微软补丁等) 才能够接入网络，实现自动修复以及用户和设备的认证，保证网络上所有终端都是健康的。(2) 应用程序控制。只有指定版本的软件才能够访问网络资源，禁止用户私自安装的软件或木马程序、蠕虫访问网络。(3) 基于用户 / 组的访问控制策略。可以对不同的成员企业集团、部门、承包商、项目组、第三方接人人员采用不同的网络访问控制策略，构建集中管理的分布式防火墙体系。2.4.3 实施WetS用分级授权控制系统随着企业集团业务的

14、发腰和集团各部门之间信息交流的增多，因估息系统建没周期较长、系统众多，技术架构趋于复杂，需要一套灵活的、易于管理的WetE用授权控制系统。新的Web权系统作为企业集团内部Wetg用统一的授权服务平台，为企业门户任应用层面提供信息浏览的安伞保障，满足企业在业务需求不断发展的过程中产生的信息安全方面的需要。同时，该系统也可以作为一项独立的安全服务，为以后的集团门户系统提供强有力的支撑。2.4.4 建立企业电子文件保护平台建立企业集团范围的电子文件保护平台，解决如下问题 :(1) 按需对涉密电子文件进行加密。(2) 单一或组合授予用户阅读，打印、复制、编辑等权限。(3) 对于脱离受控环境的电子文件，

15、可以限制其只能在特定的计算机上使用 ; 或设置其可读取的次数和有效期限。(4) 与各类信息系统进行集成。使得这些信息系统具备电子文件保护能力，并 且不会改变系统的原有流程。(5)无论使用U盘、移动硬盘、还是通过 Email发附件的方式，在受控环境之外不能有效使用经保护的涉密电子文件。(6) 关注电子文件本身，而不是层出不穷的各类电子设备和文件载体。2.4.5 移动存储设备的使用管理移动存储设备应分密级使用，并必须保证密级文件的安全。移动存储设备应根据所保存的涉密内容。分级别进行登记和管理; 采取技术手段，禁止未经许可的 U 盘在涉密计算机上进行使用，保证经过许可的 U 盘在涉密计算机上能正常使

16、用，保证存储涉密文件的 U 盘丢失后不造成内容泄密。2.4.6 涉密文件安全等级保护(1) 所有文件只能任内部才能使用。即使被恶意通过互联网发出去，或者通过U盘拷贝出去，文件不能被正常读取。(2) 对文件征内部的流转进行等级划分。密级文件只能在具备相应或更高密级的计算机上才能被读取。(3) 文件以密文的方式在内部流转，即使在流转过程中被窃取，也不会造成重大泄密。(4) 对加密文件进行解密时，必须得到明确的授权。(5) 文件的整个流转过程具备完整的审计日志。2.4.7 实现邮件加密及归档审计建立公开密钥基础设施(PKI) 证书系统，要求部门经理以上用户采用 PKI/CA(CA证书 ) 邮件加密与

17、数字签名的方式增加邮件系统访问的安全性。建立归档机制，自动、实时地对现有邮件系统中的邮件进行分类存储。终端用户删除邮件不会造成系统中数据的丢失。管理员可以根据需要随时根据各种条件进行检索。2.4.8 网络涉密传输采用内置国家密码管理局认证硬件加密卡的网络加密机（VPN）进行数据传输通道的加密。即采用密码技术在公用网络中开辟出专用的隧道，形成专用网络，主要用于解决公共网络中数据传输的安全问题，保证内部网中的重要数据能够安全地借助公共网络进行交换。3、网络与信息安全保密技术基本实施策略根据大型企业集团网络与信息安伞保密总体方案，从六个方面加强安全保密技术措施，构建系统的安全保密防范体系。主要内容包

18、括: 网络安全准入、移动介质注册管理、电子文件加密保护、内部网页授权管理、国际互联网应用管控、操作日志和邮件归档审计等。3.1 网络安全准入策略内容 : 对终端电脑实行注册管理，接入企业集团网络时需进行设备和账号双重认证控制。首先，通过系统后台验证终端电脑是否已在企业集团注册，是否符合安全标准（ 安装准入客户端和指定病毒防火墙） ，验证合格后方允许接入系统; 其次，用户输入账号、密码，经身份验证后方可访问内部信息资源。非注册终端设备或非授权账号不能接入内部办公网络，非安全终端设备（ 染毒 ） 访问内部办公网络资源时受限。解决问题 : 网络入口控制。防范非法接入网络; 降低网络被病毒感染和攻击的

19、概率。3.2 移动介质注册管理策略内容 : 对移动存储介质（U 盘、移动硬盘等） 的使用进行注册管理。已注册移动存储介质在企业集团内网、工作电脑上可正常使用和交换数据; 在外网或外部设备中，只有将移动存储介质设置为商旅模式并输入密码后方可使用 ; 非注册移动仔储介质中的电子数据可拷贝至企业集团内网、工作电脑上，企业集团内网、工作电脑上的电子数据不能拷贝到非注册移动存储介质上; 因工作需要向企业集团以外的电脑中拷贝电子数据时，经保密审查后，统一由企业集团或部门机要员将移动存储 介质设置为商旅模式并进行解密 ; 对注册移动存储介质中资料的所有更改、转移、交换、解密等行为，进行后台记录，作为审计依据

20、。解决问题 : 防范电子文件通过移动介质拷贝泄密，防范移动介质遗失造成失、泄密。3.3 Web 网页授权管理策略内容 : 对企业集团内部主页进行三级授权管理。第一级为整个丰页的访问授权 ; 第二级为主页内栏目或业务系统的访问授权，第三级为应用程序授权。各级授权管理分别由网页、栏目、业务系统的用户应用管理员负责。解决问题 : 按授权范围查阅、利用网络信息资源，在安全范围内进行成果交流。3.4 电子文件加密保护策略内容 : 禁止在企业集团网络上存储、处理、传输涉及国家秘密的电子文件、信息，对涉及企业秘密的电子文件、信息进行加密保护。丰委包括以下三个方面:(1) 对网页中需要保护的附件电子文件进行加

21、密，根据需要对附件的查阅、修订、复制、下载、打印等权限进行控制。(2) 对部门或个人的最终成果类电子文件提供网络存储、备份管理审问，提供基于加密和授权保护的共享利用手段，进行成果管理和共享。设置个人文件夹备份保管个人成果文件，设置部门成果文件夹存储保管部门成果文件，设置部门共享文件夹任加密授权保护的前提下对成果文件进行共享。(3) 使用加密技术对重要或涉及企业秘密的电子文件进行加密管理，设置查 阅、修订、复制、下载、打印等权限，按授权利用文件成果解决问题 : 进行成果管理，提供基于加密和授权保护的共享。防范非授权或无关人员接触涉密或敏感电于文件; 防范二次传输泄密（ 授权人二次传送给无关人员或

22、集团以外人员造成泄密 ）; 防范移动电脑遗失造成的数据丢失或泄密。3.5 国际互联网应用管控策略内容 : 实施互联网出口认证和流量管理系统，加强互联网系统监控和管理。禁止进行联机游戏、基金炒股、P2P下载、BBS交流以及QQ MS将即时通讯网络操作 ; 禁止使用超文本传输协议 （http） 以外的应用 ; 禁止一个账号在多台机器上同时登录互联网 ; 按国家相关规定对访问互联网的行为进行后台监控，必要时对后台监控日志进行审计; 禁止访问非工作相关网站或不良信息网站。对违反互联网使用管理规定的用户，收回其权限并在企业集团内部通告。解决问题 : 依法安全使用互联网，提高网络安全性。监督防范擅自向外网

23、 （ 如BBS博客等）张贴涉密文件资料而造成泄密。3.6 电子邮件管理策略内容 : 与集团外部进行工作邮件往来时必须使用企业集团外部邮件系统，禁止使用邮件系统传送国家秘密文件信息 ; 使用邮件系统传送企业秘密文件信息时，应使用电于文件保护系统或企业集团配发的USB Key CA证书对邮件进行加密企业集团对员工的邮件收发行为进行监控、记录并归档，作为审计依据。解决问题 : 防范通过非企业集团邮箱发送工作邮件可能造成的泄密，提供监控和追溯审查手段，加强邮件安全保密管理。3.7 监控审计策略内容 : 完整记录用户访问互联网、收发邮件、电子文件拷贝、电脑操作以及信息系统管理员操作等所有信息传递活动日志

24、，可对重点部门、部位或个人的电脑操作进行监控; 根据需要对各种信息进行监控审计。审计工作由审计郜人员组织执行。解决问题 : 提供监控审计手段，便于稽核追踪管理。区分管理权 （ 用户 ） 、操作 杈（管理员 ） 、审计权 （审计人员 ） 。4、结束语大型企业集团实施上述网络与信息安全保密技术和管理策略将取得明显的效果。比如，限制非法或不安全登录网络，提高了计算机信息系统的安全性 ; 对计算机及移动存储介质进行注册管理，对涉密电子文件采取加密措施，实现了对电子文件的有效保密管控; 安装应用国际互联网监控管理系统，确保安全、合法、规范地使用互联网，加强了信息保密管理; 制定计算机网络与信息安全保密管

25、理规定，提高了规范化管理水平; 此外，通过该项日的建设与实施，深入推动了保密宣传教育工作，提高了员工的保密意识，对深入开展网路与信息安全保密工作具有重要的现实意义。随着上述方案在大璎企业集团的逐步伞面推广实施，集团的网络与信息安伞保密技术防范能力将显著得到加强，安令保密管理水平必将迈上新台阶。下面红色部分是赠送的总结计划，不需要的可以下载后编辑删除 2014年工作总结及 2015 年工作计划 （ 精选 ）XX年，我工区安全生产工作始终坚持“安全第一，预防为主，综合治理”的方针，以落实安全生产责任制为核心，积极开展安全生产大检查、事故隐患整改、安全生产宣传教育以及安全生产专项整治等活动，一年来，

26、在工区全员的共同努力下，工区安全生产局面良好，总体安全生产形势持续稳定并更加牢固可靠。一、主要工作开展情况（ 一） 认真开展安全生产大检查，加大安全整治力度。在今年的安全生产检查活动中，工区始终认真开展月度安全检查和日常性安全巡视检查记录，同时顺利完成公司组织的 XX 年春、秋季安全生产大检查和国家电网公司组织的专项隐患排查工作。截止日前，工区先后共开展各类安全检查 71次，查出事故隐患点 22 处，均进行了闭环处理。通过检查活动，进一步夯实了工 区的安全生产基础。（ 二 ） 顺利完成保电专项工作。本年度工区共进行专项保电工作10 次，累计保电天数达到 90 余天，通过工区全员的共同努力，顺利

27、完成春节保电、国庆保电、七一保电、特高压投送电保电、500kv 沁博线保电等一批重要节假日的保电工作。（ 四 ） 工作票统计及其他工作情况。截止 11 月 15 日，我工区连续实现安全生产1780 天 ; 全年共办理工作票50张，其中第一种工作票24 张，含基建单位8 张; 第二种工作票26 张。工作票合格率 100%，执行情况较好。全年工区所辖线路跳闸次数共计0 次，线路跳闸率为 0次/（ 百公里?年） 。（ 四 ） 安环体系标准化建设本年度在公司统一的部署下，工区积极参与安环体系标准化建设工作，先后派员参加安环体系标准化培训 2 次，迎接公司开展安环体系内审工作三次，先后审查出问题共计20

28、 余处，先后进行了闭环整改。截止日前，工区已初步建立起了标准化安环工作体系，在今后工作中，工区将进一步完善各项工作流程，努力确保体系工作符合外审相关要求。（ 五 ） 强化安全生产责任制的落实。工区高度重视安全生产工作，根据年初制定的安全工作目标，按照公司统一要求，工区各级人员均签订安全生产责任书，强化各级人员安全责任意识，一级一级，层层抓落实。建立和完善安全生产责任体系，严格执行安全生产规程、规范和技术标准，加大安全投入，加强基础管理，加大安全培训教育力度。努力实现工区安全工作规范化管理。（ 六 ） 加强安全生产教育培训工作，着力增强安全防范意识。为了进一步加强全区安全防范意识，提高安全技能，

29、我们先后制定并顺利实施了 XX年工区安全技能培训计划与方案、XX年”安全生产月”活动实施方案，明确了活动的指导思想、活动主题、活动时间、活动组织形式和要求。组织开展安全生产岗位资格，安全技术和安全管理培训，突出抓好一线青工和安全责任人培训教育，着力提高安全意识，不断增强自身安全技能培训，提高工区安全生产管理水平，实现安全生产。工区组织培训一线员工百余人次，先后组织工区所有生产人员参加安规培训以及登高架设取证以及复审培训工作，并对其进行考核，不合格者要求重新培训学习，考核合格后后方能上岗作业。对新进员工做好三级安全教育，特别是岗位培训，安全教育培训，并对其进行严格考核合格后方能上岗作业。（ 七

30、） 加强安全生产应急管理工作，提高预警防范和处置事故灾难的能力。突出预防为主，着力做好事故超前防范的各项工作，这是我工区安全生产工作的重要方针。一年来，我工区不断完善安全生产应急预案，加强各类事故以及可能危及安全生产的自然灾害的预测、预报、预警、预防工作的同时，进一步强化应急救援队伍的管理，建立应急值班制度，提高突发事故处置能力。工区举行了 XX年迎峰度夏应急演练，有效提高了工区应急处置能力。先后圆满完成XX 年迎峰度夏，防汛保供电等任务。二、存在的主要问题（ 一） 施工线路遗留问题较多，线下遗留树木和违建房屋不断增多，处理复杂。（ 二 ） 电力设施破坏、线下施工、异物等时刻威胁着线路的安全运

31、行。施工周期较长的线下作业项目日益增多，各种超大机械施工较多，给线路运行造成很大的隐患，由于很难与施工方签订安全协议，工区在处理此类事件的时候很被动，各种隐患不在预控之中。截止目前，工区共存在线下施工点 22 处，为保证线路安全运行，与施工方签订施工协议书 3 处，下发施工安全告知书 13 份，张贴警示标志共计5 处。（ 三） 工区员工的安全意识、理论技能水平有待提高。随着线路的日益增多，生产任务繁重，我工区青工人数偏少且安全素质有待提高，对工区的安全生产提出了严峻的考验。三、 2015年安全生产工作思路下一年，我工区将继续坚持“安全第一，预防为主，综合治理”的方针。强化安全生产管理和监督，建

32、立安全生产长效机制，遏制安全事故，推动工区安全生产进一步持续好转。为此，我们将突出“四抓”做好安全生产工作。一是抓基层基础。按照“重基层、打基础、强监管”的工作思路，建立完善工作制度、设置基础台帐、健全监管网络，充分发挥安全监管职能，使安全生产关口前移、重心下沉，筑牢安全生产第一防线。 二是抓隐患治理。切实加强和解决安全生产薄弱环节和突出问题，坚持隐患排查治理活动常态化，针对工区安全生产工作的新情况、新问题，及时完善监管办法，落实监管措施，做到月月普遍排查，每周重点排查，真正把事故隐患消灭在萌芽状态。三是抓重点防范。重点要放在线下作业大型机械的监管，防范线路外力破坏，积极争取主动，努力使各种线

33、下外部作业项目完全处于工区的可控状态之中，强化隐患排查，落实整改措施，及时消除安全隐患，确保安全。四是抓宣传教育。加强警示教育，对典型安全生产违章行为及时曝光，加强学习，狠抓违章治理，增强所有人员安全生产制度观念和自我保护意识，形成人人重视安全、关注安全、防范事故的良好氛围。时间飞逝，转眼xx 年年关已到，我到 xx 公司也有一年时间了。这是紧张又充实的一年， xx 见证了我从无到有。从今年三月八号进公司以来的一年，对我来说是一个成长的过程，我从一名经验浅薄的应届生，逐渐成长为一名具备一定专业知识的采购职员。面对这一年， xx 公司所有人齐心协力，同心同德，克服了今年市场经济低迷的困难，使公司

34、产品推陈出新，这是值得我们骄傲的。为我们克服了困难，经受住了考验而骄傲自豪。年初，我以应届生身份来xx 公司实习，这是我从学校走向社会的第一步，是人生道路上一个很重要的起点。众所周知采购部是公司业务的后勤保障，是关系到公司整个销售利益的最重要环节，所以我很感谢公司和领导对我的信任，将我放在如此重要的岗位上。回首这一年，我在xx 的取得的进步都历历在目，每一个进步都值得我骄傲。正是因为有了一个良好的平台和一群可爱的同事，才使我能够快速适应工作，一步步走向成熟。工作中有苦也有乐，但更多的是收获，这一年的工作我受益匪浅。古人云 : “纸上得来终觉浅，要知此事必躬行”。对我们应届生来说刚走上工作岗位是

35、理论与实践相结合的学习，把理论应用到实践当中并在实践中积累更加丰富的理论知识。转眼已经一年。就这一年的工作我做一个简单的总结，汇报我在xx 公司一年来取得的成绩以及自己的不足。一、个人成长方面:1、心态转变。学校的生活养尊处忧，无需我们担忧某些问题，学校三点一线的生活，学习跟得上就可以，而在工作当中就不然，工作中，我们要考虑如何提高工作效率，怎样处理与上级领导、同事的关系，还有在工作当中的不尽人意等事情，这些都要我们以一颗平常心去对待，及时的转变心态会让我们工作更加顺利。2、计划做事。有了明确的计划，目标才清晰，以至于在工作中不会茫然。在采购部工作的一年中，我每天都整理工作日志，记录下我要做的

36、事情，然后再总结一下完成状况，日志看似平常，但在无形中提高你做事的效率和工作的有序程度。也改变了我刚开始工作缺乏系统和逻辑性的缺点。3、处处留心皆学问。这是我毕业的时候导师对我讲的一句话，对这句话并没有给我多说什么，但在工作当中我深有体会，初到采购部我把仔细阅读以往的采购合同。在整理过程中我仔细的看了一下采购合同的内容，这为我以后的修改合同起到了很大的帮助，我可以直接套用以前的合同范本，这个结果直接归为我的留心。在生活中只要你留心处处都有学问在，不要总是期盼别人告诉你怎么去做，应该学会思考自己应该怎样去做，留心别人怎么做。4、不以事小而不为。做大事小事有不同的阶段，要想做大事，小事情必须做好。

37、这是我急需知识和经验的阶段，做一些繁琐的小事情，很有必要。工作中我努力做好每一个细节，但我并没有感到烦，而是把它当作我素质培养的大讲堂，正因为这些小事情改变了我对工作的态度。小事情值得我去做，事情虽小，可过程至关重要。在 xx 有一群乐于帮助我的同事，在工作过程中，我虚心求教，同事也不吝啬热情帮助。从最简单的电子元器件，到产品特征、市场情况，让我在找到了学习了方向，使我更有针对性地提高自己的工作能力。5、认识的提高。以前我只泛泛认为采购就是买东西，简单的金钱与物质的交易，只要价格合适、质量过关那就可以。通过工作才知道其实不然，这个简单的买卖关系并不简单。保证适时适地适质适价都是采购过程中必须满

38、足的要求。进入xx,我首先思想上转变了原来不正确的观念，在思想上和工作职责要求相统一。特别采购是公司供应链中一个非常重要的环节，要求我们以满足市场和生产需求为准绳，任何错误都有可能造成经济损失。所以说采购岗位需要的是完美的人，是有根据的。我自觉自己离要求还有很远，但是我一步步向这个方向靠近。我会通过自己的努力成为一名优秀的采购工作者。二、工作方面:自入职以来，在公司和部门领导的悉心指导下，在部门同事的言传身教下，我很快融入 xx 公司。从基本的物料库存查询开始，到下订单，收货入库等工作都很快上手。要说这一年积累的经验，我首先学会的是核价，不管采购任何一种物料，在采购前应熟悉它的价格组成，了解你

39、的供应商所生产成品的原料源头价格，为自己的准确核价打下基础。这样谈判时，做到知已知彼，百战百胜。现今的社会是一个电子化的社会，作为采购人员要由不同的方面收集物料的采购信息，地域差别等。只有了解了市场，才真正了解了所需产品的价格定位，为采购活动做好先期准备。公司内部的沟通很重要，特别像我一样，刚进公司的新人来说，尤为重要。八月份公司 xxx 项目采购任务下来了，这个项目在钣金件以及一些电子元器件方面有特殊的要求。刚开始我并未发现有这个的情况，等订单下了以后，问题才从供应商处反馈到我这里，我即使和已调任其他部门的前任同事沟通，才逐渐解决了这些问题。没了解清楚我就做出了决定，后果是非常严重的，所幸此

40、次并未造成经济损失和生产的延误。这个事情让我明白沟通很重要，只有在有把握的情况下才做决定，才不会造成损失。xx 对产品质量严格把关在业内是出名的。成品的合格率一个重要因素就是采购材料的品质是否达到产品要求。材料合格率、以及售后服务都属于质量范围。我们对物料的要求高了，就是对供应商的要求高了。例如包装问题，有的供应商任务包装有瑕疵不会影响产品质量，但对我们来说，不能够以点盖面，特别是对电子产品来说，任何细小的瑕疵都有可能影响品质。我晓之以理、动之以情，使有不同观点的供应商改变了不正确的看法。 xxxx 电子有限公司，是我们公司在接插件方面的主要供应商，原来因为我们在那里采购产品的系列多、供应产品

41、多而杂，在来料准确率上存在这一定问题。但后来通过采购、品质的联合改善以及供应商自身的努力，在每个品种的物料上贴标示，包括我司物料代码和规格名称、数量、生产日期等内容，来料不合格情况基本杜绝，而且标签还方便了我们检验和仓库入库，一举两得。这只是一个典型的例子。在更新供应商和品质方面沟通下，在我负责的供应商里电子元器件到货不合格率降低到1%以下，钣金结构件到货合格率达到90%，没有对生产正常进行造成延误，也没有增加我们的采购成本。采购成本的控制对任何公司来说都是很重要的，在采购过程中我不仅要考虑到价格因素，更要最大限度的节约成本，做到货比三家; 还要了解供应链各个环节的操作，明确采购在各个环节中的

42、不同特点、作用及意义。只要能降低成本，不管是哪个环节，我们都会认真研究，商讨办法。我们采购部遵循按照订单计划量向供应商下订单的原则，除却必要的余量，在满足供应商最少采购量的原则下，尽量不造成库存积压。避免因为库存造成公司经营成本的积压。同时不断正对市场变化寻找更优秀的供应商，例如，我司 xxx 项目的双头预置网线，采购成本一直较高，而且原供应商制作方法落后造成偶有不合格现象。十一月，我寻找到 xxxx 电子有限公司，经商谈发现此公司加工方法较原供应商先进，而且能够降低此网线25%的采购成本，从原2.0元/pcs降低到1.5元/pcs。H一月由xx电子供应的xx项目一个批次和 xxx 项目两个批

43、次的双头预置网线，合格率达到 100% 。降低了 xx 项目的采购成本，而且更加完善了产品品质。今年下半年金属价格开始回落，我及时和供应商联系，使我司分频卡等项目用的铜柱采购成本降低了15%;还有xxx 项目金属外壳通过更换供应商等措施，价格下降了 20% 。如何保障生产的正常供给，同时降低成本、保证来料质量是采购部每天都思考的问题。在部门领导的带领下，我们推陈出新，不断优化供应商资源库，根据技术工程师选型要求，及时反馈市场情况。身在采购部，确实感到很大的压力，同时也是动力，有压力才促使我不断去学习，跟进市场的发展，这对我个人经验积累是有很大帮助的。三、存在不足: 我渴望通过自己的不懈努力和奋

44、斗为 xx 多做一些贡献，但离领导及同事对工作的要求还存在一定的距离。譬如我的产品知识、工作系统性、逻辑性还不能完全达到采购岗位的要求; 对市场变化的应变能力较低。面对以上不足，今后，我一定认真克服，发扬成绩，向先进学习，加强与领导和同事沟通交流，自觉把自己置于同事监督之下，刻苦学习、勤奋工作，认真查摆、分析、总结 自己的各项不足，以最佳的工作状态努力完成各项工作任务，做一名合格的 xx 员工并完成从采购到优秀采购的进步。最后，感谢公司所有领导和同事，我有今天的进步离不开大家的帮助和支持，是他们的协同和支持使我成功。总之， xxxx 年我会以一颗感恩的心，不断学习，努力工作。我要用全部的激情和智慧创造差异，让事业充满生机和活力 ! 我保证以发自内心的真诚和体察入微服务对待我的工作，追求完美，创造卓越! 和大家一起齐心协力，从新的起点开始，迈向成功 !