近日，广州石化在“提货易”和“智能化管线管理系统智能巡线移动应用”两个互联网应用安全专项治理行动渗透测试中，推广应用了企业信息安全工作JSA模板。在整个渗透测试过程中，作业人、监察人、渗透实施人、应用管理员、安全管理员和各级审核审批人员，严格执行JSA许可证各项管控流程，确保了渗透测试作业以体系化的信息安全管控方式有效实施。

作业安全分析（job safety analysis，JSA）是指事先或定期对某项作业活动进行危害识别，并根据识别结果制定和实施相应的控制措施，以达到最大限度消除或控制风险，确保作业人员健康和安全的目的。

广州石化借鉴安全生产管理中的JSA分析法，结合《企业信息安全风险评估工作细则》，创新性地建立了一套企业信息安全工作JSA模板——《广州石化信息系统渗透测试JSA许可证》，内容包括JSA安全风险因素评估、人员安全教育情况、工具和策略选择安全确认、业务应急措施、系统备份与恢复、现场作业监护等安全措施。

《广州石化信息系统渗透测试JSA许可证》以企业信息安全管控为起点，通过“作业前安全措施确认”、“作业活动”到“完工验收”等管理环节，对信息系统渗透测试作业步骤进行全流程管控。针对每一步骤从数据备份、应急处置预案、安全扫描、漏洞报告确认等方面进行再细分，每一分步骤除了现有的控制措施外，还增加相关子级控制措施，保证了信息系统渗透测试作业期间业务的连续性和可用性。

在相关操作中，操作方逐条签字认可，经应用系统业务主体单位、信息HSSE负责人和信息部门领导签字审批方可持证作业。

（黄敏清 陆颖玉 黄山）