内容简介
Q/SY中国石油天然气集团公司企业标准
Q/SY 1825—2015
社会安全脆弱性评估技术规范
Specification of security vulnerability assessment technology
2015-08-04发布
2015一11一01实施
中国石油天然气集团公司 发布 Q/SY1825—2015
目 次
前言
1
范围 2 规范性引用文件
1
术语与定义社会安全脆弱性评估程序
3
4
5社会安全脆弱性评估报告编制要求附录A(资料性附录) 社会安全脆弱性评估应获取的参考资料附录B(规范性附录) 社会安全脆弱性评估方法附录C(规范性附录) 社会安全脆弱性评估程序框图附录D(规范性附录) 社会安全脆弱性评估报告的格式要求参考文献
13
14
18
I Q/SY1825—2015
前言
本标准按照GB/T1.1一2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司标准化委员会社会安全专业标准化技术委员会提出并归口。 本标准负责起草单位:中国石油集团安全环保技术研究院本标准主要起草人:雷文章、潘红磊、王劲松、熊中浩、陈默、张爽、张莲芳、万又铖、朱春
靖、常琳苑。
ⅡI Q/SY1825—2015
社会安全脆弱性评估技术规范
1范围
本标准规定了中国石油天然气集团公司(以下简称“集团公司”)海外项目人员、财产和声誉等
资产的社会安全脆弱性评估的技术指南。
本标准适用于集团公司高风险海外项目人员、财产和声誉等资产的社会安全脆弱性的评估。
规范性引用文件
2
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T20269信息安全技术信息系统安全管理要求 GB/T 20282 2信息安全技术信息系统安全工程管理要求 GB/T22239 信息安全技术信息系统安全等级保护基本要求计算机信息系统保密管理暂行规定国保发[1998]1号
3术语与定义
3.1
社会安全事件securityincident 可能会对集团公司国际业务的人员、财产和声誉等造成损害或损失的单一偶发事件或连锁偶发事
件。在本标准中,指集团公司国际业务中可能出现的恐怖袭击事件、群体性事件、战争或武装冲突、 政局动荡事件、民族宗教事件、社会治安事件(如绑架、盗窃、抢劫等)以及其他社会影响严重的事件。 3. 2
脆弱性 vulnerability 即薄弱环节,可被威胁方用来侵入、损坏、盗取资产或使其关键功能遭到破坏。这是一个变量,
反映了某个蓄意攻击的成功几率。 3. 3
威胁threat 任何可能阻止、妨碍或破坏目标实现进程的事件,包括故意或非故意的人为威胁和危害因素。
4社会安全脆弱性评估程序
4.1前期准备
明确评估对象,评估对象一般为海外项目级单位,根据海外项目特性划分评估单元,对评估资产进行界定,备齐有关社会安全脆弱性评估所需的设备、工具,收集项目所在国相关法律法规、标准、 规章、规范等参考资料。社会安全脆弱性评估参考资料目录参见附录A。
1 Q/SY1825—2015
4.2 辨识与分析社会安全主要威胁
根据评估对象的具体情况,辨识和分析社会安全主要威胁,评定其可能性与严重性,
4.3参照社会安全脆弱性评估方法进行脆弱性评估
根据评估单元的特性,选择合理的评估方法,对评估对象社会安全脆弱性进行评估。社会安全脆弱性评估方法见附录B。 4.4按等级划分标准确定脆弱性等级
社会安全脆弱性等级划分为: 850分一1000分为优; 750分一849分为好; 600分一749分为中; 400分一599分为差; 400分以下为极差。
4.5提出对策措施建议 4.5.1依据脆弱性评估结果,确定社会安全脆弱性薄弱环节,并遵循针对性、技术可行性、经济合理性的原则,提出消除或减弱威胁的技术和管理对策措施建议。 4.5.2对策措施建议应内容详实,具有可操作性。按照针对性和重要性的不同,措施和建议可分为应采纳和宜采纳两种类型 4.6编制社会安全脆弱性评估报告
按照社会安全脆弱性评估报告编制要求编制社会安全脆弱性评估报告,总结评估过程、建议和结论。社会安全脆弱性评估程序框图见附录C。
5社会安全脆弱性评估报告编制要求
5.1社会安全脆弱性评估报告的总体要求
社会安全脆弱性评估报告应全面、概括地反映社会安全脆弱性评估过程的全部工作,文字应简
洁、准确,提供的资料应清楚、可靠,论点明确,利于阅读和审查。 5.2社会安全脆弱性评估报告的基本内容 5.2.1编制说明应结合评估对象的特点,阐述编制社会安全脆弱性评估报告的目的、范围和依据。 5.2.2列出有关的法律法规、标准、规章、规范和评估对象被批准设立的相关文件及其他有关参考资料等社会安全脆弱性评估的依据。 5.2.3介绍评估对象的选址、总图及平面布置、园区规划、生产规模、功能分布、主要设施、设备装置、公用工程及辅助设施、社会安全体系运行水平、现场安防措施、规章制度、社会安全事故案例等概况。 5.2.4列出社会安全威胁评定的依据,阐述威胁评定过程。 5.2.5 5阐述划分评估单元的原则、分析过程等。 5.2.6 列出选定的评估方法,并做简单介绍;详细列出评估过程;给出相关的评估结果,并对得出的评估结果进行分析。 2 Q/SY1825—2015
5.2.7列出对策措施建议的依据、原则、内容。 5.2.8作出评估结论。 5.3 社会安全脆弱性评估报告的格式
社会安全脆弱性评估报告的格式见附录D。
3 Q/SY1825—2015
附录A (资料性附录)
社会安全脆弱性评估应获取的参考资料
社会安全脆弱性评估应获取的参考资料包括: a) 综合性资料,包括概况、总平面图、园区规划图、人员分布和其他有关资料。 b) 设施、设备、装置,包括园区规划说明、活动过程介绍、安防设施、设备、装置描述与
说明。 c) 社会安全管理机构设置及人员配置。 d) 社会安全投入所在国相关社会安全法律、法规及标准。 e) 项目社会安全管理体系运行资料。 f) 项目社会安全相关规章、管理制度。 g) 相关事故案例。
其他可用于社会安全脆弱性评估的资料。
h)
4