Q/SY
中国石油天然气集团有限公司企业标准
Q/SY260012022
代Q/SY10008—2017,Q/SY26001—2019
商业秘密信息系统建设、运维及测评规范
Specifications for development, operation and maintenance, assessment of
commercial secret security information system
2022—11—24发布
2023—02—01实施
中国石油天然气集团有限公司 发布 Q/SY 26001—2022
目 次
前言范围
IV
1
2 规范性引用文件 3 术语和定义
缩略语 5 总体要求 6 目标 6.1 保密性 6.2 真实性 6.3 完整性 6.4 抗抵赖性 6.5 可控性基本要求
4
.
7
7.1 等级保护 7.2 商业秘密定密及标志 7.3 角色定义 7.4 数据流向控制 7.5 密码应用 7.6 系统评估环境要求
....
中
8
8.1 物理环境 8.2 网络环境 8.3 云平台环境 8.4 数据湖环境 8.5 主机环境 8.6 介质环境功能要求
E
9
9.1 身份鉴别 9.2 访问控制 9.3 输人输出 9.4 安全监测 9.5 安全审计 Q/SY26001—2022
9.6 定密与密级标志 9.7 移动应用安全防护 9.8 数据保护 9.9 其他功能 10 管理要求 10.1 运维要求 10.2 应用要求 10.3 应急响应要求
10 11
13
.13
13 14 15 16
..
10.4 废止要求测评工作总体要求
............
..16 :16 16 ·16 16 17
11
.....
12 测评工作流程· 12.1 提交评估申请 12.2 确定测评机构 12.3 资料审查 12.4 制定测评方案· 12.5 现场测评 12.6 测评结果分析 12.7 专家评审 .......... 12.8 给出测评结论· 12.9 发证运行 12.10 周期性评估
17 .17
基本要求测评 13.1 等级保护 13.2 商业秘密定密及标志 13.3 角色定义. 13.4 数据流向控制·· 13.5 密码应用 13.6 系统评估 14 环境要求测评 14.1 物理环境 14.2 网络环境 14.3 云平台环境 14.4 数据湖环境 14.5 主机环境 15 功能要求测评。 15.1 身份鉴别 15.2 访间控制 15.3 输人输出
13
:18
18 18 19 ...19
:19 20 .20 "20 20 21 ·21 22
-
23
*23 24 24
II Q/SY 26001—2022
15.4 安全监测 15.5 安全审计 15.6 定密与密级标志 15.7 移动应用安全防护 15.8 数据保护 15.9 其他功能 16 管理要求测评 16.1 运维要求 16.2 应用要求 16.3 应急响应要求
25 25
27 28 31
31 31 32 34 35 36
16.4 废止要求 17 测评结果判定· 附录A（资料性） 实施流租附录B（资料性） 商业秘密确定附录C（资料性） 信息系统密级审批单附录D（规范性） 测评分值分布附录E（资料性） 测评工作流程示意图参考文献
.39 40
...
..
71
L
45
III Q/SY26001—2022
前 創言
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件代替Q/SY10008—2017《信息系统商业秘密安全保护技术规范》，并整合了Q/SY 26001一2019《信息系统商业秘密安全保护测评规范》内容，与Q/SY10008—2017相比，除结构和编辑性改动外，主要技术变化如
a）更改了标准名称： b）更改了部分术语，其中删除了“数宇证书”“身份牌”“商业秘服务器”“商业秘密终端”，增
加了“云计算平台” 数据湖”个人信息”（见3.6～3.8，2017年版的3.5.13.5.2、3.6、3.7）； c）增加缩略语（见第4章） d）更改普通商密标志【见5.1a】， 2017年版的41a e）更改了商业秘密标志， 增加了定密要求（见7.2，2017年版的6.2）： f）更改了角色定义要求 增加了用户角色要求（见7.3，2017年版的6.3）： g）更改了数据流向控制要求，增加了信息系统外数据流向控制要求（见7.4，2017年版的6.4）： h）增加“云平台环境” 要求（见8.3）： i）增加“数据湖环境” 要求（见8.4）： J）更改“商业秘密移动智能终端”要求（见8.5.3，2017年版的7.3.3）： k）增加了输入输出中打印要求（见9.3）： 1）更改了“安全审计” 要求（见9.5） 2017年版的8.7） m）增加“定密与密级标志”的功能要求（见9.6） n）增加“移动应用安全防护"要求（见9.7）： o）增加“数据分级分类”“个人信息保护”“数据使用”与“数据人湖” *要求（见9.8）： P）更改“其他功能”要求（见9.9，2017年版的8.8）： q）增加“应急响应要求”（见10.3），）增加了商业秘密定密及标志。角色定义，数据流向控制测评方法 （见13.2~13.4） s）增加了云平台环境，数据湖环境测评方法（见143，144） t）增加了安全审计、定密与密级标志、移动应用安全防护、 数据保护，其他功能测评方法（见
15.515.9) u）增加“应急响应要求测评方法（见16.3）： V）增加了评分表评分项及对应分值（见附录D）请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由中国石油天然气集团有限公司综合管理部提出并归口。 本文件由中国石油天然气集团有限公司标准化委员会保密专业标准化直属工作组归口。 本文件起草单位：综合管理部，共享运营有限公司本文件主要起草人：张奎，季勇，黄照富，王薇，郭涛，陈子篇，陈浩轩、陆昱，冯梅，兰宇
李天炜。王春伟、朱明新、靳黎明。
本文件及其所代替文件的历次版本发布情况为：
-2017年首次发布Q/SY10008—2017。2019年首次发布Q/SY26001—2019：一本次为第一次修订，并人了Q/SY26001一2019的内容。
IV Q/SY26001—2022
商业秘密信息系统建设，运维及测评规范
1范围
本文件规定了商业秘空信息系统建设运维的目标，环境，功能，管理，以及系统测评的工作流程、基本要求，环境、功能，管理、测评结果判定的要求。
本文件适用于中国石油天然气集团有限公司（以下简称集团公司）总部部门及其所属企事业单位。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件， 不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T22239—2019 信息安全支术网络安全等级保护基本要求 GB/T311672014 信息安全技术云计算服务安全指南 GB/T34975—2017 信息安全技术移动智能终端应用软件安全技术要求和测试评价方法 GB/T35273—2020 信息安全技术个人信息安全规范 GB/Z209862007 信息安全技术信息安全事件分类分级指南 Q/SY10332—2019 信息系统灾难恢复管理规范 Q/SY10336—2020 数据中心机房建设规范 Q/SY10341—2019 信息系统安全管理规范 Q/SY 10342—2019 终端计算机安全管理规范 Q/SY10554—2022 数据管理工作导则 Q/SY10838—2021 应用系统身份认证与密钥管理集成规范
3术语和定义
GB/Z20986—2007.GB/T 31167 35273一2020界定的以及下列术语和定义适用于本文件。 3.1
2017 Q/SY10554—2022.GB/T
商业秘密 commercial secret 不涉及国家秘密的信息中，不为公众所知悉，能为集团公司带来经济利益，具有实用性并采取保
密措施的经营信息和技术信息。 3.2
信息系统information system 由计算机及其相关配套设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采
集、加工、存储、传输、检索等处理的人机系统。
[GB/Z20986—2007,2.1]
1 Q/SY26001—2022
注：在本文件中，信息系统特指步及商业秘密但不涉及国家秘密的信息系统。
3.3
商业秘密标志commercial secret identification 用手标注商业秘密权属（单位规范简称或著标志等），密级和保密期限的数字化信息。
3.4
主机host 由商业秘密服务器、商业秘密终端、商业秘密移动智能终端等组成的设备（包括虚拟机）。
3.5
移动智能终端 smart mobile terminal 接人公共移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。 [GB/T34975-2017,3.1]
3.6
云计算平台 cloud computing platform 云服务商提供的云计算基础设施及其上的服务软件的集合。 [GB/T31167—2014,3.7]
3.7
数据湖 data lake 一个以原始格式（通常是对象块或文件）存储数据的系统或存储库。 [Q/SY10554—2022,34]
3.8
个人信息 personal information 以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人
活动情况的各种信息
注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息。住址通信联系方式、通信记录和内
容。账号密码，财产信息，征信信息，行踪轨迹住宿信息，健康生理信息，交易信息等。 注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独
或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息 GB/T35273—2020.3.1
4缩略语
下列缩略语适用于本文件 DMZ：隔离区(demilitarized zone) Hash：散列函数（hashfunction） IAM：身份识别与访问管理（identityand access mana IDA：交互式反汇编器（interactivedisassembler)
5总体要求
5.1集团公司商业秘密分普通商密和核心商密两级，依据《中国石油天然气集团有限公司商业秘密事项目录》确定。
a）普通商密是一般的商业秘密，泄露后会使集团公司经济利益遭受损害，标志为石油商密。 b）核心商密是重要的商业秘密，泄露后会使集团公司经济利益遭受严重损害，标志为石油核心
2