Q/SY
中国石油天然气集团有限公司企业标准
Q/SY 10223.1—2018
（2018年确认）
信息系统总体控制规范
第1部分：实施 Specification for general computer control-
Part l: Implementation
2018—11—12实施
2018一11一12发布
中国石油天然气集团有限公司 发布 Q/SY10223.12018
再版说明
本标准于2018年复审，复审结论为继续有效。 本标准在发市复审结论的同时，按照《关于调整集团公司企业标准编号规则的通知》（中油质
[2016】434号】的要求对标准编号进行了修改。
本次印刷与前一版相比，技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改：
标准编号由Q/SY1223.1—2009修改为Q/SY10223.1—2018 一标准发布单位按照企业公章，修改为“中国石油天然气集团有限公司” Q/SY10223.1—2018
目 次
前言
范围基本内容
2
2.1 控制环境 2.2 信息安全“ 2.3 项目建设管理 2. 4 系统变更管理· 2. 5 系统运行维护。 2. 6 最终用户操作· 控制环境 3.1 信息系统总体控制环境 3.2 信息与沟通 3.3 风险评估 3. 4 监控 3. 5 文档管理信息安全 4.1 信息安全管理组织“ 4.2 逻辑安全 4.3 物理安全 4.4 网络安全 4.5 计算机病毒防护 4. 6 第三方安全管理 4.7 信息安全事件响应项目建设管理 5. 1 项目立项 5.2 项目建设方法论 5. 3 项目管理· 系统变更管理. 6.1 变更管理· 6.2 日常变更流程 6.3 紧急变更流程系统运行维护 7. 1 机房环境控制 7. 2 系统目常运作监控…· 7.3 批处理作业调度管理· 7. 4 备份与恢复·· 7. 5 问题管理最终用户操作
3
1
5
..
-
-
6
13 13 L
5 15
I
15 15 15 心 C 7
8 Q/SY10223.1—2018
8.1 员工计算机操作安全制度 8.2电子表格管理
17 17 20 22 39 40 44 56 59
附录A（规范性附录） 管理表格汇总（附录B（规范性附录） 管理表格汇总（二）附录C（规范性附录） 管理表格汇总（三）附录D（规范性附录） 管理表格汇总（四）附录E（规范性附录） 管理表格汇总（五）附录F（规范性附录） 管理表格汇总（六）参考文献
-
AS/0 Q/SY 10223.1—2018
前言
Q/SY10223（信息系统总体控制规范》分2个部分：
第1部分：实施：第2部分：测试。
本部分为Q/SY10223的第1部分本标准的附录A、附录B、附录C、附录D.附录E、附录F为规范性附录。 本标准由中国石油天然气集团有限公司信息管理部提出。 本标准由中国石油天然气集团有限公司信息技术专业标准化技术委员会归口。 本标准起草单位：中国石油勘操开发研究院。 本标准起草人：俞隆潮 高雪、于爱丽。贾文清。黄文辉。罗伟楠。
S AS/0 Q/SY10223.1—2018
信息系统总体控制规范
第1部分：实施
1范围
Q/SY10223的本部分依据信息系统总体控制要求而制定，用以指导日常信息项目管理。建设和运维。
本部分中的中国石油天然气集团有限公司（以下简称集团公司）信息资产主要包括机房。网络、服务器。存储，信息系统，数据库，操作系统及相关数据等。 2基本内容
信息系统总体控制规范实施部及的内容包括：控制环境，信息安全，项目建设管理，系统变更管理、系统运行维护、最终用户操作等 2.1控制环境
包括信息系统总体控制坏境、信息与沟通、风险评估、监控等 2.2信息安全
包括信息安全管理组织，遇辑安全物理安全，网络安全、 计算机病毒防护，第三方安全管理。 信息安全事件响应等。 2.3项目建设管理
包括项目建设方法论、项目立项审批、商业软件、硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、用户培训和上线后评估等。 2.4系统变更管理
包括变更管理、日常变更流程。紧急要更流程等。 2.5系统运行维护
包括机房环境控制，系统日常运作监控。批处理作业调度管理、备份与恢复，问题管理等。 2.6最终用户操作
包括最终用户计算机操作安全制度。电子表格管理等 3控制环境 3.1信息系统总体控制环境 3.1.1信息技术总体规划：
a）集团公司信息化工作主管部门负责制定中国石油信息技术项目规划，报经上级主管委员会审
批通过后下发执行。 b信息技术项目规划包括信息技术项目建设的规划，基础设施建设的规划以及信息以伍与制
体系建设等方面内容。 c）集团公司信息化工作主管部门定期（至少每年度）组织相关业务部门对中国石油信息技术项
目规划的执行情况及其对公司业务的适应性进行审阅。如果执行情况与规划偏离，或规划内容和公司业务实际情况不再适应，集团公司信息化工作主管部门随之调整规划以适应公司业务发展需要。调整后的规划报经上级主管委员会批准后下发执行。
d中国石油各级信息化工作管理部门依据中国石油信息技术项目规划：制定本单位的信息技术
年度工作计划。
1 Q/SY10223.1—2018
上述各项工作的文档记录均应归档。 3.1.2信息技术组织机构及岗位设置。 3.1.2.1集团公司信息化工作主管部门负责指导和监督各控股公司、全资公司。直属企事业单位的信息技术工作，建立纵向汇报，沟通，监控机制。体为：
）各级信息化工作管理部门每年向上级主管部门进行年度工作汇报。 b）集团公司信息化工作主管部门不定期对各级信息化工作管理部门的工作情况进行检查，形成
相关文档，如会议纪要或者工作检查报告等，并负责相关文档的归档。
3.1.2.2各级信息化工作誉通部门的岗位设置遵循职责分离的原则要求：
a）监督者独立于执行者 b）操作者和授权者分离。 c）应用系统管理员和数据库管理员分 d）程序开发人员无生产环境的访问权用。
3.1.2.3各级信息化工作管通部门在重要工件岗位上可设置两名以上员工互为备份，并加强备份岗位人员的交叉培训。 3.1.2.4各级信息化工作管理部门负责制定信息技术培训计划，并组织实施，同时负责完成培训计划和所有培训相关文件的归档工作 3.2信息与沟通 3.2.1信息分类：各级信息化工作 管理部门对所属单位使用的信资产建立清单，进行分级，明确各信息资产的相关责任人。其体包
a）建立“信息资产清单（见表A1。 b）明确信息资产责任人，由其负责信息资产的日常管理 C）根据信息资产的变动情况，更新“信息资产清单”。
3.2.2信息沟通。
a）各级信息化工作管理部门负责本单位的信息系统总体控制相关政策和制度的宣贯工作。 b）各级信息化工作管理部门定期评估信息系统总体控制相关政策和制度在本单位的执行情况，
对于所发现的问题分析其原国，制定相应的补救指施，并间上级信息化工作主管部门汇报。 c）各级信息化工作管理部门负责会议纪要，培训记录等相关文档的归档工作。
3.3风险评估 3.3.1集团公司信息化工作主管部门对主要信息技术风险进行评估
a）分析主要信息技术威聘的影响程度和受生概 b）制定相应的风险防范措施。
3.3.2当组织机构环境发生变动或发生重大的信息技术应用时。集国公司信息化工作主管部门对变动情况进行风险评估，必要时调警相美风险防范播施。 3.3.3集团公司信息化工作主管部门每年度负责审核信息技术风险评估结果。 3.4监控 3.4.1各级信息化工作管理部门按照信息系统总体控制相关政策和制度的要求进行日常检查与监控确保信息系统总体控制体系的有效运行。 3.4.2集团公司信息化工作主管部门每年对信息系统总体控制相关政策和制度在中国石油范围内的执行情况组织测试，进行相应监督。 3.4.3各级信息化工作管理部门每年对信息系统总体控制相关政策和制度在各自单位的执行情况进行总结，并向上级信息化工作主管部门提交报告，报告内容包括实施要求的年度执行情况，对所发现问题的分析以及相应的补救措施等。上级信息化工作主管部门对报告进行审阅。并根据审阅结果确定整改意见。 2