内容简介
Q/SY中国石油天然气集团公司企业标准
Q/SY 10008—2017
信息系统商业秘密安全保护技术规范
Technical specifications for information system
commercial secret security protection
2017-06—28发布
2017-09-15实施
发布
中国石油天然气集团公司 Q/SY10008—2017
目 次
前言
II
范围 2 规范性引用文件
术语和定义总则 5 目标 5.1 保密性 5.2 真实性 5.3 完整性 5.4 抗抵赖性 5.5 可控性基本要求
3
4.
6
6.1 等级保护 6.2 商业秘密标志 6.3 角色定义 6.4 数据流向控制 6.5 密码应用 6.6 系统评估环境要求 7.1 物理环境 7.2 网络环境 7.3 主机环境 7.4 介质环境功能要求
T
8
8.1 身份鉴别 8.2 访问控制 8.3 数据存储 8.4 数据交换 8.5 输入输出 8.6 安全监测 8.7 安全审计 8.8 其他功能 Q/SY10008—2017
9管理要求 9.1 运维要求 9.2 应用要求 9.3 废止要求附录A(资料性附录) 实施流程参考文献·
O
...
9 ..-10
.... 11 ..... 12 .-14
II Q/SY10008—2017
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司办公厅提出。 本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位:中国石油天然气集团公司办公厅、中国石油天然气集团公司信息管理部、中国
石油天然气集团公司勘探开发研究院,北京中油瑞飞信息技术有限责任公司。
本标准主要起草人:范宁。李峰。靖小伟,王大明。许萍、李勇。杨志贤。冯梅。查正朋。于普漪、孙长虹。
III Q/SY 10008—2017
信息系统商业秘密安全保护技术规范
1范围
本标准规定了信息系统商业秘密安全保护的目标。基本要求,环境要求。功能要求,管理要求和实施流程。
本标准适用于中国石油天然气集团公司(以下简称“集团公司")总部及所属各企事业单位“十三五”开始规划建设的信息系统,已批复建设或已上线的系统参照逐步执行到位。
规范性引用文件
2
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件。仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239—2008信息安全技术信息系统安全等级保护基本要求 Q/SY1332—2010信息系统灾难恢复管理规范 Q/SY13362010 数据中心机房建设规范 Q/SY1341—2010 信息系统安全管理规范 Q/SY1342—2010终端计算机安全管理规范 Q/SY1344—2010信息系统密码安全管理规范
3术语和定义
GB/Z20986—2007,Q/SY1344—2010和Q/SY1550—2012界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/Z209862007。Q/SY1344—2010和Q/SY1550 2012中的某些术语和定义。 3.1
商业秘密 commercial secret 不涉及国家秘密的信息中。不为公众所知悉、能为集团公司带来经济利益,具有实用性并采取保
密措施的经营信息和技术信息。 3.2
信息系统information system 由计算机及其相关配套设备,设施(含网络)构成的,按照一定的应用目标和规则对信息进行采
集,加工,存储,传输,检索等处理的人机系统
[GB/Z20986—2007,定义2.1] 注:在本标准中,信息系统特指涉及商业秘密但不涉及国家秘密的信息系统。
3.3
应用软件applicationsoftware 用各种程序设计语言编制的应用程序的集合。 注:在本标准中,应用软件特指处理商业秘密但不处理国家秘密的应用软件。
I Q/SY10008—2017
3.4
商业秘密标志 commercial secretidentification 用于标注商业秘密权属(单位规范简称或者标识等)。密级和保密期限的数字化信息。
3.5
主机host 由商业秘密服务器、商业秘密终端。商业秘密移动智能终端等组成的设备(包含虚拟机)。
3.5.1
商业秘密服务器 commercial secret server 用于处理商业秘密的服务器(包含虚拟机)。
3.5.2
商业秘密终端commercial secret terminal 用于处理商业秘密的终端计算机(包含虚拟机)。
3.5.3
商业秘密移动智能终端 commercial secret mobile intelligent terminal 用于处理商业秘密的智能手机。平板电脑等移动智能终端。
3.6
数字证书digital certificate 又称为证书,是由证书认证系统签名的包含公开密钥。公开密钥拥有者信息。签发者信息。有效
期以及扩展信息的数字文件。
[Q/SY15502012,定义3.5]
3.7
身份令牌identity token 用于验证使用者身份合法性的安全认证设备,包括令牌卡,口令卡,USBKey、智能卡等设备。 [Q/SY1344—2010.定义2.5]
4总则
4.1集团公司商业秘密分普通商密和核心商密两级,依据《中国石油天然气集团公司商业秘密分级保护目录》确定。
a)普通商密是一般的商业秘密,泄露会使集团公司经济利益遭受损害,标志为石油普通商密。 b)核心商密是重要的商业秘密,泄露会使集团公司经济利益遭受严重损害,标志为石油核心
商密。
4.2集团公司信息系统商业秘密安全保护应符合本标准条款要求,具体实施流程参见附录A,实现信息系统中商业秘密的全生命周期安全保护。 4.3本标准条款要求中。未特别说明之处,指普通商密和核心商密安全保护均应符合的条款要求。
5目标 5.1保密性
采用加密。访问控制等技术对信息系统所存储和交换的商业秘密、鉴别信息。系统管理数据等信息进行保护,保证信息在存储和交换时不遭受未授权的访问。
2