内容简介
Q/SY中国石油天然气集团有限公司企业标准
Q/SY103412019
(2019年确认)
信息系统安全管理规范
Specifications for information system security management
2019—12—05实施
2019—12—05发布
发布
中国石油天然气集团有限公司 Q/SY103412019
再版说明
本标准于2019年复审,复审结论为继续有效。 本标准在发布复审结论的同时,按照《关于调整集团公司企业标准编号规则的通知》 (中油质
【2016】434号】的要求对标准编号进行了修改。
本次印刷与前一版相比,技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改:
标准编号由Q/SY1341—2010修改为Q/SY10341—2019 一标准发布单位按照企业公章,修改为“中国石油天然气集团有限公司” Q/SY10341—2019
目 次
前言
-
范围规范性引用文件术语和定义安全管理
1 2
AS/0
4
5 物理安全 6 网络安全
信息加密 8 运行安全
门
访问控制 10 安全架构和评估. 11 灾难恢复计划·. 12 应急响应 13 用户管理参考文献
9 Q/SY10341—2019
前 創言
本标准是中国石油天然气集团有限公司信息技术专业安全系列企业标准之一。为规范中国石油信息系统安全管理而编制,信息技术专业安全系列企业标准共6项标准,另外5项标准是:
Q/SY10342 《终端计算机安全管理规范》: Q/SY10343 《信息安全风险评估实施指南》 Q/SY10344 《信息系统密码安全管理规范》: Q/SY10345 5《信息安全事件与应息响应管理规范》 Q/SY10346 《信息系统用户管理规范》
本标准由中国石油天然 气集团有限公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位:中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人:靖小伟 节、杨志贤、王峰、张志伟、冯梅、高峰、滕征岑、刘建兵、王春伟、
1
胡静、王振欣、魏占玲。 Q/SY10341—2019
信息系统安全管理规范
1范围
本标准规定了信息存储 传输及应用各环节的管理,涉及到以下10个方面:
安全管理:物理安全:网络安全:信息加密:运行安全:一访问控制:安全架构和评估:灾难恢复计划:一应急响应:一用户管理:
-
本标准适用于中国石油天然气集团有限公司(以下简称“中国石油”) 总部及所属各企事业单位。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T9361计算站场地安全要求 GB/T178591999计算机信息系统安全保护等级划分准则 SY/T5231—2010石油工业计算机信息系统安全管理规范 ISO/IEC15408 信息技术安全评估准则
3术语和定义
SY5231一2010确立的以及下列术语和定义适用于本标准
3.1
威胁threat 可能导致对系统或组织危害的不希望事故潜在起因。 [GB/T20984—2007,定义3.17]
3.2
风险评估riskassessment 依据有关信息安全技术与管理标准,对信息系统及由其处理,传输和存储的信息的机密性、完整
性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
[GB/T20984—2007,定义3.7] Q/SY10341—2019
3.3
灾难 disaster 由于人为或自然的原因,造成信息系统运行严重故障或雄,使信息系统支持的业务功能停顿或
服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行
[GB/T209882007.定义3.8]
3.4
灾难恢复disaster recovery 为了特信息系统从灾难告成的故障章或摊状态恢复到可正常运行状态,并特其支持的业务功能从
灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
[GB/T20988—2007,定义3.9]
3.5
灾难恢复计划disasterrecovery planming 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续
运作所做的事前计划和安排
[GB/T20988—2007,定义3.11]
3.6
演练 exercise 为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程,包括桌面演练,模拟演
练。重点演练和完整演练等。
[GB/T20988—2007,定义3.13]
3.7
信息系统 information system 由计算机及其相关的和配套的设备,设施(含网络)构成的,按照一定的应用目标和规则对信息
进行采集、加工、存储、传输,检索等处理的人机系统
[GB/Z20986—2007,定义2.1]
4安全管理
4.1信息系统安全管理应坚持 “主管谁负责”的原则,各信息系统的主管部门、运营和使用单位应各自履行信息系统安全建设和管理的义务与责任 42中国石油信息化工作领导小组是信息系统安主工作的高快策机构, 负责信息系统安全政策、 制度和体系建设规划的审批,部署并 协调信息系统安全体系建设,指导信息系统等级保护工作。 4.3信息管理部是中国石油信息系统安全的归口管理部门,负责落实信息化工作领导小组的决策,实施中国石油信息系统安全建设与管理,确保信息系统的有效保护和安全运行。
职责包括: a)组织制定和实施中国石油信息系统安全政策标,管理制度和体系建设规划。 b)组织实施信息系统安全项目和培训 g组织信息系统安全工作的监督和检查
4.4中国石油保密部门负责信息系统安全工作中有关保密工作的监督、检查和领导。 4.5各企事业单位信息管理部门负责本单位信息系统安全的管理。
职责包括: a)在本单位宜传和贯彻执行信息系统安全政策与标准,确保本单位信息系统的安全运行。 b)实施本单位信息系统安全项目和培训。 Q/SY10341—2019
c)配合保密部门和执法部门追踪和查处本单位信息系统安全违规行为,组织本单位信息系统安
全工作检查。 d)完成中国石油部署的信息系统安全工作。
4.6中国石油信息技术内部支持单位在信息管理部门的领导下,承担所负责的信息系统和所在区域内的信息系统安全管理任务,包括:在所维护系统和本区域内宜传,贯彻信息系统安全政策与标准,确保所负责信息系统的安全运行。 4.7按GB/T17859一1999的要求,划分中国石油总部及所属各企事业单位信息系统的安全管理等级,并按不同等级分别进行保护 4.8建立信息系统安全等级的风险评估与管理制度,定期分析面临的威,进行风险评估,并根据风险评估及费用分析,选择安全措施。 4.9中国石油应建立信息系统安全管理机构,设置相应的安全岗位,明确应尽的责任与义务。 4.10各企事业单位信息系统安全管理机构负责制定企业信息系统安全管理目标,划分信息系统的安全等级,建立风险评估与管理制度,制定用户管理规范,进行信息系统安全教育和培训,在聘用,保密和解聘等协议中加人关于信息系统安全的条款。 5物理安全 5.1按GB/T9361中的规定,对信息系统所处环境进行安全保护。 5.2按GB/T9361中的规定,对信息系统的承载设备实行电源保护,防盗,防毁,防电磁信息辐射泄漏及抗电磁干扰。 5.3建立中国石油信息存储介质安全管理规定。 5.4对不同安全等级的信息系统坏境安全、设备安全及介质安全定期进行威胁评估,分析面临的风险并制定应对策略。 5.5制定适合中国石油信息系统安全等级的物理安全策略,实施物理安全保护措施,包括对人,设备、环境、介质等。 6网络安全 6.1按SY/T5231一2010中6.1的规定,分析评估信息系统在网络传输过程中面临的威胁与风险,按照不同的信息系统安全等级,划分网络安全城。 6.2依据《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中的要求,对涉密网和非涉密网进行物理隔离,对涉密计算机和非涉密计算机进行物理隔离。 6.3应保证关键网络设备的业务处理能力具备元余空间,满足业务高峰期需要。 6.4依据网络安全策略,采用合适的网络安全技术与设备,实现网络安全域的保障与防护。可采用的网络安全技术与设备按SY/T5231—2010中6.2的规定。 6.5按SY/T5231—2010中6.3的要求发现网络安全漏洞并及时修补。 6.6应对登录网络设备的用户进行身份鉴别,对网络设备的管理员登录地址进行限制 6.7审核网络设备的运行状态,检查网络安全的台规性,按SY/T5231一2010中6.4的规定。 7信息加密 7.1分析信息在网络传输和存储中面临的威胁与风险,制定适合中国石油信息系统安全等级的信息加密策略 7.2关于信息加密技术的要求按SYT5231一2010中7.2的规定。 7.3关于制定相应的信息加密和密钥关键字有效性的要求按SY/T5231一2010中7.3的规定。 Q/SY10341—2019
8运行安全 8.1不同安全等级信息系统运行安全策略的制定,按SY/T5231一2010中8.1的规定。 8.2应制定中国石油员工工作规范,明确责任与义务。 8.3关于运行人员的管理按SY/T5231—2010中8.3的规定。 8.4应制定信息系统的资产管理、变更管理、密码管理、资源保护、输入/输出控制、介质控制、备份与恢复。安全事件处置、应急预案等管理规范。 8.5应建立中国石油员工与管息系统的监控与审计规范 9访问控制 9.1评估中国石油信息系统面临的威肋与风险,按照不同的信息系统等级,制定整体访问控制策略。 9.2建立中国石油身份识别、认证、授权与审计体系。 9.3 按SY/T5231—2010中9.3的要求实现不同信任级别的主体对不同安全域的访问控制 9.4按SY/T5231—2010中9.4的要求定期完善访问控制策略和方法。 10 安全架构和评估 10.1 信息管理部门应统一制定安全架构。 编制风险评估规范及指导所属企事业单位建立评估团队:定期进行风险评估。 10.2 依据信息系统安全等级,确定安全模型与安全架构,建立中国石油信息系统安全体系。 10.3按ISO/IEC15408的要求,分析信息系统所面临的威胁与风险。制定中国石油信息系统安全评估策略 10.44 依据信息安全评估策略,制定适合中国石油的信息系统安全评估计划。 10.5风险评估报告应及时上报信息主管领导审批。根据领导审批意见,落实控制措施。 11灾难恢复计划 11.1各级信息管理部门依据信息系统安全等级,分析业务应用连续性以及灾难恢复面临的威胁与风险,制定灾难恢复策略。 11.2应针对不同应用系统,制定灾难恢复计划。 11.31 根据信息系统安全等级,建立同城灾备中心和异地灾备中心 11.4对灾难恢复预案应进行定期审核更新并演练测试 12应急响应 12.1根据信息系统的重要程度, 系统损失的严重程度、对公司工作生产秩序产生危害的程度,将信息系统安全事件划分为以下四个级别:I级(特别重大)、Ⅱ级(重大)、Ⅱ级(较大)、IV级(一般)。 12.2I级事件(特别重大):是指突然发生,将使特别重要的信息系统遭受严重损失,对中国石油产生特别重大影响,中国石油必须统一协调,调度客方面的资源和力量进行应意处置的突发事件,符合以下条件之一的为I级事件:
a)全网业务中断或总部中心到所有区域中心之间的链路全部中断井对业务造成特别重大影响 b)敌对分子或黑客利用信息网络进行有组织,大规模反动宣传和攻击活动,出现大量危害国家
安全、泄露国家秘密、机密、绝密等犯罪行为。 中国石油信息系统定级为四级或四级以上的信息系统摊换并造成特别严重后果。