ICS 75-010 E 07 备案号：48257—2015
SY
中华人民共和国石油天然气行业标准
SY/T 7006—2014
石油工业信息系统总体控制规范
Specification for general computer control of petroleum industry
2014-10-15发布
2015-03-01实施
国家能源局 发布 SY/T 7006—2014
目 次
前言
范围 2 规范性引用文件基本内容
1
3
3.1 控制环境 3.2信息安全 3.3项目建设管理 3.4第三方管理 · 3.5系统变更管理 3.6系统运行维护 4控制环境 4.1信息技术总体规划管理 4.2信息技术组织及人力资源管理 4.3信息分类与沟通管理 4.4 风险评估管理 4.5 监控管理 4.6. 总体控制相关文档管理 5信息安全 5. 1 安全管理相关职责 5. 2 信息分级管理 5.3 系统权限及密码管理. 5.4 网络及系统安全管理 5.5 数据安全管理 5.6计算机防病毒管理 5.7安全事件管理· 6 项目建设管理 6.1 立项管理 6.2 项目计划及启动管理·· 6.3项目实施管理.. 6.4 项目验收管理· 6.5 人员管理· 6.6 需求管理· 6.7 进度管理 6.8 质量管理· 6.9 沟通管理： 6.10 问题管理
....
10
11
12 2 15 16
17 11
18 T SY/T 7006--2014
18 18 19
6.11 项目变更管理 6.12 项目培训 7第三方管理
外包服务商的选择。 7.2服务水平协议及合同的管理 7.3外包服务商的管理.· 7.4外包安全管理 7.5外包服务考核 7. 6 持续改进和风险控制.
7.1
10 19
19
20 20 20 20 20 21 21 21 22 22 22 22 23 24 25 27
8系统变更管理
8.1 变更申请和受理· 8.2 变更方案实施· 8.3 变更测试 8.4 变更上线· 8. 5 紧急变更 8.6 变更检查 9系统运行维护. 9.1 机房物理控制 9.2 批处理作业管理 9.3 备份与恢复
-
...
9.4 问题管理· 参考文献
Ⅱ SY/T7006—2014
前 言
本标准按照GB/T1.1一2009《标准化工作导则 第1部分：标推的结构和编写》给出的规则起草。
本标准由石油信息与计算机应用专业标准化委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：高雪、俞隆潮、袁满、贾文清、胡正宇、谢立红、万军、孙科。
Ⅲ SY/T7006—2014
石油工业信息系统总体控制规范
1范围
本标准规定了信息系统总体控制的要求。 本标准适用于为石油行业的信息系统管理、建设和运维。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB17859一1999计算机信息系统安全保护等级划分准则 GB/T20984一2007信息安全技术·信息安全风险评估规范 GB/Z20985一2007信息技术安全技术信息安全事件管理指南 GB/T24363—2009信息安全技术信息安全应急响应计划规范互联网信息服务管理办法中华人民共和国国务院令第292号【2009] 信息安全等级保护管理办法公通字【2007】43号】
3基本内容
信息系统总体控制规范实施涉及的内容包括：控制环境、信息安全、项目建设管理、第三方管理、系统变更管理、系统运行维护等。 3.1控制环境
控制环境包括信息技术总体规划管理、信息技术组织及人力资源管理、信息与沟通、风险评估、 监控等。 3.2信息安全
信息安全包括安全管理相关职责、信息分级管理、系统权限及密码管理、网络及系统安全管理、 数据安全管理、计算机防病毒管理、信息安全事件管理等。 3.3项目建设管理
项目建设管理包括项目立项管理、项目计划及启动管理、项目实施管理、项目验收管理、人员管理、需求管理、进度管理、沟通管理、问题管理、项目变更管理、项目培训等。 3.4第三方管理
第三方管理包括外包服务商的选择、服务水平协议及合同的管理、外包服务商的管理、外包安全管理、外包服务考核、持续改进和风险控制等。
1 SY/T 7006—2014
3.5系统变更管理
系统变更管理包括变更申请和受理、变更方案实施、变更测试、变更上线、紧急变更等。 3.6系统运行维护
系统运行维护包括机房物理控制、批处理作业管理、备份与恢复、问题管理等。
4控制环境
4.1信息技术总体规划管理 4.1.1公司信息化工作主管部门负责制定本公司信息技术项目规划，报经上级主管委员会审批通过后下发执行。 4.1.2信息技术项目规划包括信息技术项目建设的规划、基础设施建设的规划以及信息队伍与制度体系建设等方面内容。 4.1.3公司信息化工作主管部门定期（至少每年度）组织相关业务部门对本公司信息技术项目规划的执行情况及其对公司业务的适应性进行审阅。如果执行情况与规划偏离，或规划内容和公司业务实际情况不再适应，公司信息化工作主管部门随之调整规划以适应公司业务发展需要。调整后的规划报经上级主管委员会批准后下发执行。 4.1.4公司内各级信息化工作管理部门依据信息技术项目规划，制定本单位的信息技术年度工作计划。 4.2信息技术组织及人力资源管理 4.2.1公司信息化工作主管部门负责指导和监督其下属各控股公司、全资公司、直属企事业单位的信息技术工作，建立纵向汇报，沟通、监控机制。具体为：
a）公司下属各级信息化工作管理部门每年向上级主管部门进行年度工作汇报。 b）公司信息化工作各级主管部门不定期对其下属信息化工作管理部门的工作情况进行检查。
形成相关文档，如会议纪要或者工作检查报告等，并负责相关文档的归档。
4.2.2公司下属各级信息化工作管理部门的岗位设置遵循职责分离的原则，要求：
a）监督者独立于执行者。 b) 操作者和授权者分离。 c） 应用系统管理员和数据库管理员分离。 d) 程序开发人员无生产环境的访问权限。
4.2.3各级信息化工作管理部门在重要工作岗位上可设置两名以上员工互为备份，并加强备份岗位人员的交叉培训。 4.2.4各级信息化工作管理部门负责制定信息技术培训计划，并组织实施，同时负责完成培训计划和所有培训相关文件的归档工作。 4.3信息分类与沟通管理 4.3.1信息分类管理：各级信息化工作管理部门对所属单位使用的信息资产建立清单、进行分级。 明确各信息资产的相关责任人。 4.3.2信息沟通管理：
a）各级信息化工作管理部门负责本单位的信息系统总体控制相关政策和制度的宣贯工作。 b）各级信息化工作管理部门定期评估信息系统总体控制相关政策和制度在本单位的执行情况，
? SY/T 7006—2014
对于所发现的问题分析其原因，制定相应的补救措施，并向上级信息化工作主管部门汇报。 c）各级信息化工作管理部门负责会议纪要、培训记录等相关文档的归档工作。
4.4风险评估管理 4.4.1公司信息化工作主管部门对主要信息技术风险进行评估（评估办法见GB/T20984一2007）。 分析主要信息技术威胁的影响程度和发生概率并制订相应的风险防范措施。 4.4.2当组织机构、环境发生变动或发生重大的信息技术应用时，公司信息化工作主管部门对变动情况进行风险评估，必要时调整相关风险防范措施。 4.4.3公司信息化工作主管部门每年度负责审核信息技术风险评估结果。 4.5监控管理 4.5.1各级信息化工作管理部门按照信息系统总体控制相关的要求进行日常检查与监控。 4.5.2公司信息化工作主管部门每年对信息系统总体控制相关要求在全公司范围内的执行情况组织测试，进行相应监督。 4.5.3各级信息化工作管理部门每年对信息系统总体控制的要求在各自单位的执行情况进行总结，并向上级信息化工作主管部门提交报告，报告内容包括实施要求的年度执行情况、对所发现问题的分析以及相应的补教措施等。上级信息化工作主管部门对报告进行审阅，并根据审阅结果确定整改意见。 4.6总体控制相关文档管理
各级信息化工作管理部门宜设置专门的信息系统总体控制文档管理员，负责本部门信息系统总体控制表单、文档等控制证据的统一归档工作。信息系统总体控制涉及的人员每月将其负责的信息系统
：总体控制表单、文档等控制证据提交给本部门文档管理员，由文档管理员统一归档。
5信息安全
5.1安全管理相关职责 5.1.1公司应设立信息化工作委员会或具有相同职能的管理组织，其主要负责：
a）划分信息安全方面相关人员的职责。 b）确定信息安全的各个领域，督促各相关领域建立信息安全管理体制。 ）审核安全事件应急计划，监督定期应急演练的执行。 d）当发生安全事件时，负责监督安全事件的处理、应急计划的执行。
5.1.2公司各级信息化工作管理部门·负责按照信息安全管理要求对其管理的系统开展日常支持和建设工作，其主要职责为：
.
a）各系统相关的服务器操作系统、数据库的用户账号、权限管理及密码（口令）的管理。 b）信息系统数据的监控和保障，包括数据操作申请的确认和执行。 c防病毒管理工作的实施。 d) 负责安全事件应急计划的制定（应急计划的制定见GB/T24363一2009）、维护更新和演练。 e) 当发生安全事件时，负责安全事件的处理（安全事件的管理见GB/Z20985一2007）、应急计
划的执行。
5.1.3 各级信息化工作管理部门部门负责人，其主要负责：
a》审批服务器操作系统、网络设备和系统数据库层面用户的创建、禁用和权限的增加、修改和
删除等申请。
3 SY/T7006-2014
b) 定期审阅操作系统、数据库层面用户账号、权限。 c） 定期审核密码（口令）的检查记录，以确认对于因系统限制无法配置的数据库、服务器密码
策略均通过手工设置实现密码策略要求。 d 对经用户部门审批的网络接人申请进行审批。
5.1.43 系统所属部门部门负责人，其主要负责：
a) 审批系统应用层普通用户及特权用户的创建、权限修改及删除等申请。 b) 负责定期审阅系统应用层用户账号及权限。 c) 负责定期审核密码（口令）定期检查记录，以确认对于因系统限制无法配置的应用层用户密
码策略均通过人为方式达到密码策略要求。
5.1.5 各部门负责人，其主要负责：
a) 审批本部门员工代为提出的外部人员网络接人申请。 b) 审批本部门员工提出的系统应用层普通用户及特权用户的创建、权限修改及删除等申请。 c) 审批本部门员工提出的后台数据操作申请。
5.1.6信息化工作管理部门信息安全管理员，其主要负责：
a) 定期对重要系统服务器进行漏洞扫描。 b) 负责公司防病毒工作，审阅防病毒日志，以监控防病毒工作执行情况。 c） 对报告联络人所报告的情况进行识别，确认为属于安全事件后，及时向信息化工作管理部门
部门负责人报告。
5.1.7 各部门信息安全管理员，其主要负责登记本部门主管系统的特权用户账号。 5.1.8 应用系统管理员，其主要负责：
a) 在系统内维护应用层用户账号及权限。 b) 应用系统用户的密码安全，并对无法实现自动控制的用户密码（口令）进行定期检查。 c) 对应用系统日志进行定期检查。 d) 向信息化工作管理部门信息安全管理员报告日常管理工作中发现的应用系统重大异常。
5.1.9操作系统管理员，其主要负责：
a)‘ 对服务器操作系统日志进行定期的检查。 b) 向信息化工作管理部门信息安全管理员报告日常管理工作中发现的服务器重大异常。 c 维护服务器操作系统用户账号及权限。 d) 对操作系统用户密码（口令）进行定期检查。
5.1.10 数据库管理员，其主要负责：
a) 维护系统数据库用户账号及权限。 b） 对数据库用户密码（口令）进行定期检查。 c 负责对系统数据库日志进行定期的检查。 d) 根据审批意见进行数据提取、修改、导入、备份、数据清理和转存操作。 e) 向信息化工作管理部门信息安全管理员报告日常管理工作中发现的数据库重大异常。
5.1.11 网络管理员，其主要负责：
a) 维护网络设备用户账号及权限。 b) 对网络设备的用户密码（口令）进行定期检查。 c） 执行网络接人设置。 d) 对防火墙进行日常监控和配置，定期查看防火墙日志并对异常情况进行分析记录。 e） 向信息化工作管理部门信息安全管理员报告日常管理工作中发现的网络重大异常。
5.1.12 防火墙管理员：其主要负责：
a) 维护防火墙用户账号及权限
4