内容简介
Q/SY中国石油天然气集团公司企业标准
Q/SY 1341—2010
信息系统安全管理规范
Specifications for information system security management
2010-08-01实施
2010-05-25发布
中国石油天然气集团公司 发布 Q/SY 1341—2010
目 次
前言·
范围 2 规范性引用文件 3 术语和定义 4 安全管理 5 物理安全 6 网络安全
信息加密运行安全
7 8 9 访问控制
10 安全架构和评估 11 灾难恢复计划 12 应急响应 13 用户管理参考文献·
5
6 Q/SY 1341—2010
前 言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之 一。为规范中国石油信息系统安全管理而编制,信息技术专业安全系列企业标准共6项标准,另外5项标准是:
Q/SY1342—2010《终端计算机安全管理规范》; Q/SY1343—2010《信息安全风险评估实施指南》; Q/SY1344—2010《信息系统密码安全管理规范》; Q/SY1345—2010《计算机病毒与网络入侵应急响应管理规范》; Q/SY1346—2010《信息系统用户管理规范》。
本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位:中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人:靖小伟、杨志贤、王峰、张志伟、冯梅、高峰、月 滕征岑、刘建兵、王春伟
胡静、王振欣、魏占玲。
II Q/SY 1341—2010
信息系统安全管理规范
1范围
本标准规定了信息存储、传输及应用各环节的管理,涉及到以下10个方面:
安全管理;物理安全;网络安全;信息加密;运行安全;访问控制;安全架构和评估;灾难恢复计划;应急响应;用户管理;
本标准适用于中国石油天然气集团公司(以下简称“中国石油”)总部及所属各企事业单位。 2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T9361计算站场地安全要求 GB/T17859一1999计算机信息系统 安全保护等级划分准则 SY/T5231—2010石油工业计算机信息系统安全管理规范 ISO/IEC 15408 信息技术安全评估准则
3术语和定义
SY/T5231一2010确立的以及下列术语和定义适用于本标准。
3.1
威胁 threat 可能导致对系统或组织危害的不希望事故潜在起因。 [GB/T20984—2007,定义3.17]
3.2
风险评估 risk assessment 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整
性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
[GB/T20984—2007,定义3.7]
1 Q/SY 1341—2010 3.3
灾难 disaster 由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或
服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。
[GB/T20988—2007,定义3.8]
3.4
灾难恢复 disasterrecovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从
灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
[GB/T20988—2007,定义3.9]
3.5
灾难恢复计划 disaster recovery planning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续
运作所做的事前计划和安排。
[GB/T20988—2007,定义3.11]
3.6
演练 exercise 为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程,包括桌面演练、模拟演
练、重点演练和完整演练等。
[GB/T20988—2007,定义3.13]
3.7
信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/Z 20986—2007,定义2.1] 4安全管理 4.1信息系统安全管理应坚持“谁主管谁负责”的原则,各信息系统的主管部门、运营和使用单位应各自履行信息系统安全建设和管理的义务与责任。 4.2中国石油信息化工作领导小组是信息系统安全工作的最高决策机构,负责信息系统安全政策、 制度和体系建设规划的审批,部署并协调信息系统安全体系建设,指导信息系统等级保护工作 4.3信息管理部是中国石油信息系统安全的归口管理部门,负责落实信息化工作领导小组的决策,实施中国石油信息系统安全建设与管理,确保信息系统的有效保护和安全运行。
职责包括: a)组织制定和实施中国石油信息系统安全政策标准、管理制度和体系建设规划。 b)组织实施信息系统安全项目和培训。 c)组织信息系统安全工作的监督和检查。 中国石油保密部门负责信息系统安全工作中有关保密工作的监督、检查和领导。
4.4
4.5各企事业单位信息管理部门负责本单位信息系统安全的管理。
职责包括: a)在本单位宣传和贯彻执行信息系统安全政策与标准,确保本单位信息系统的安全运行。 b)实施本单位信息系统安全项目和培训。
2 Q/SY 1341—2010
c)配合保密部门和执法部门追踪和查处本单位信息系统安全违规行为,组织本单位信息系统安
全工作检查。 d)完成中国石油部署的信息系统安全工作。
4.6中国石油信息技术内部支持单位在信息管理部门的领导下,承担所负责的信息系统和所在区域内的信息系统安全管理任务,包括:在所维护系统和本区域内宣传、贯彻信息系统安全政策与标准,确保所负责信息系统的安全运行。 4.7按GB/T17859—1999的要求,划分中国石油总部及所属各企事业单位信息系统的安全管理等级,并按不同等级分别进行保护。 4.8建立信息系统安全等级的风险评估与管理制度,定期分析面临的威胁,进行风险评估,并根据风险评估及费用分析,选择安全措施。 4.9 中国石油应建立信息系统安全管理机构,设置相应的安全岗位,明确应尽的责任与义务。 4.10各企事业单位信息系统安全管理机构负责制定企业信息系统安全管理目标,划分信息系统的安全等级,建立风险评估与管理制度,制定用户管理规范,进行信息系统安全教育和培训,在聘用、保密和解聘等协议中加入关于信息系统安全的条款。 5物理安全 5.1 按GB/T9361中的规定,对信息系统所处环境进行安全保护。 5.2按GB/T9361中的规定,对信息系统的承载设备实行电源保护、防盗、防毁、防电磁信息辐射泄漏及抗电磁干扰。 5.3建立中国石油信息存储介质安全管理规定。 5.4对不同安全等级的信息系统环境安全、设备安全及介质安全定期进行威胁评估,分析面临的风险并制定应对策略。 5.5制定适合中国石油信息系统安全等级的物理安全策略,实施物理安全保护措施,包括对人、设备、环境、介质等。 6网络安全 6.1按SY/T5231一2010中6.1的规定,分析评估信息系统在网络传输过程中面临的威胁与风险,按照不同的信息系统安全等级,划分网络安全域 6.2依据《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中的要求,对涉密网和非涉密网进行物理隔离,对涉密计算机和非涉密计算机进行物理隔离 6.3应保证关键网络设备的业务处理能力具备余空间,满足业务高峰期需要 6.4依据网络安全策略,采用合适的网络安全技术与设备,实现网络安全域的保障与防护。可采用的网络安全技术与设备按SY/T5231—2010中6.2的规定 6.5 按SY/T5231一2010中6.3的要求发现网络安全漏洞并及时修补。 6.6应对登录网络设备的用户进行身份鉴别,对网络设备的管理员登录地址进行限制。 6.7 审核网络设备的运行状态,检查网络安全的合规性,按SY/T5231一2010中6.4的规定。 7信息加密 7.1 分析信息在网络传输和存储中面临的威胁与风险,制定适合中国石油信息系统安全等级的信息加密策略。 7.2关于信息加密技术的要求按SY/T5231—2010中7.2的规定。 7.3关于制定相应的信息加密和密钥关键字有效性的要求按SY/T5231一2010中7.3的规定。
3 Q/SY 1341—2010
8 运行安全 8.1 不同安全等级信息系统运行安全策略的制定,按SY/T5231一2010中8.1的规定。 8.2 应制定中国石油员工工作规范,明确责任与义务。 8.3 关于运行人员的管理按SY/T5231一2010中8.3的规定。 8.4应制定信息系统的资产管理、变更管理、密码管理、资源保护、输人/输出控制、介质控制、备份与恢复、安全事件处置、应急预案等管理规范。 8.5应建立中国石油员工与信息系统的监控与审计规范。 9 访问控制 9.1 评估中国石油信息系统面临的威胁与风险,按照不同的信息系统等级,制定整体访问控制策略。 9.2 建立中国石油身份识别、认证、授权与审计体系。 9.3 按SY/T5231一2010中9.3的要求实现不同信任级别的主体对不同安全域的访问控制。 9.4 按SY/T5231—2010中9.4的要求定期完善访问控制策略和方法。 10 安全架构和评估 10.1 信息管理部门应统一制定安全架构,编制风险评估规范及指导所属企事业单位建立评估团队,定期进行风险评估。 10.2依据信息系统安全等级,确定安全模型与安全架构,建立中国石油信息系统安全体系。 10.3按ISO/IEC15408的要求,分析信息系统所面临的威胁与风险,制定中国石油信息系统安全评估策略。 10.4依据信息安全评估策略,制定适合中国石油的信息系统安全评估计划。 10.5 风险评估报告应及时上报信息主管领导审批。根据领导审批意见,落实控制措施
11 灾难恢复计划 11.1各级信息管理部门依据信息系统安全等级,分析业务应用连续性以及灾难恢复面临的威胁与风险,制定灾难恢复策略。 11.2应针对不同应用系统,制定灾难恢复计划。 11.3 根据信息系统安全等级,建立同城灾备中心和异地灾备中心。 11.4对灾难恢复预案应进行定期审核更新并演练测试。 12应急响应 12.1根据信息系统的重要程度、系统损失的严重程度、对公司工作生产秩序产生危害的程度,将般)。 12.2I级事件(特别重大):是指突然发生,将使特别重要的信息系统遭受严重损失,对中国石油产生特别重大影响,中国石油必须统一协调、调度各方面的资源和力量进行应急处置的突发事件。符
信息系统安全事件划分为以下四个级别:I级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、IV级(一
合以下条件之一的为I级事件:
a)全网业务中断或总部中心到所有区域中心之间的链路全部中断并对业务造成特别重大影响。 b)敌对分子或黑客利用信息网络进行有组织、大规模反动宣传和攻击活动,出现大量危害国家
安全、泄露国家秘密、机密、绝密等犯罪行为。 c)中国石油信息系统定级为四级或四级以上的信息系统瘫痪并造成特别严重后果。
4 Q/SY 1341—2010
d)根据风险分析,认定能够造成特别严重社会影响或巨大经济损失的其他网络与信息安全事件。 12.3Ⅱ级事件(重大):是指突然发生,将使重要的信息系统遭受比较严重的损失,对中国石油产生重大影响,需要企业协调多个部门和单位力量、资源进行应急处置的突发事件。
符合以下条件之一为Ⅱ级事件: a)总部中心至区域中心之间多条链路中断,对业务造成严重影响。 b)中国石油内、外网站全部中断,对业务造成严重影响。 c)中国石油信息系统定级为三级的信息系统瘫痪并造成严重后果, d)敌对分子或黑客利用信息网络进行有组织的反动宣传和攻击活动,出现大量危害企业安全
泄露中国石油机密等违法犯罪行为。 e)其他造成严重社会影响或巨大经济损失的网络与信息安全事件。
12.4Ⅲ级事件(较大):由各企事业单位认定的有可能对本企业及所属单位造成重大影响,但不会影响中国石油范围内的网络与信息安全的事件,信息系统安全等级定为二级的信息系统瘫痪并造成严重后果,或者由中国石油统建系统主管部门认定的可能对网络与信息安全造成较大影响的事件。 12.5 IV级事件(一般):由各企事业单位所属的厂矿级单位认定的有可能对本单位造成重大影响,但不会影响其上级企业及中国石油网络与信息安全的事件。 12.6 中国石油总部及所属各企事业单位应建立网络与信息安全事件应急组织机构,包括网络与信息安全应急领导小组、网络与信息安全应急领导小组办公室、相关职能部门及现场应急指挥部等,负责应急响应的组织协调工作。 12.7 分析评估中国石油总部及所属各企事业单位信息系统面临的威胁与风险,按照不同的信息系统等级,制定应急响应预案。 12.8 应对应急响应预案进行定期审核更新并定期演练测试。 13 用户管理 13.1 按SY/T5231—2010中13.1,13.2,13.3和13.4的要求进行用户管理。 13.2 非授权人员不能访问、使用企业内部网络上的信息及相关资源。 13.3 按SY/T5231一2010中12.3的要求进行信息系统安全等级划分,建立应急处理队伍和管理规范。
5