石油天然气股份有限公司信息安全管理办法.doc

48 中国石油天然气股份有限公司 信息系统安全管理办法 （石油信2008374 号） 一一一 总则 一一一 为加强中国石油天然气股份有限公司（以下简称 股份公司）信息系统安全管理，推进信息系统安全体系建设，保 障信息系统安全稳定运行，根据国家有关法律、法规和中国石 油天然气股份有限公司信息化工作管理规定，制定本办法。 一一一 本办法所称信息系统安全，包括计算机网络和应 用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效 保护，信息系统的连续、稳定、安全运行得到可靠保障。 一一一 信息系统安全管理坚持“谁主管谁负责”的原则， 各信息系统的主管部门、运营和使用单位各自履行相关的信息 系统安全建设和管理的义务与责任。 一一一 信息系统安全工作的总体目标是：实施信息系统安 全等级保护，建立健全先进实用、完整可靠的信息系统安全体系， 保证系统和信息的完整性、真实性、可用性、保密性和可控性，保 障信息化建设和应用，支撑公司业务持续、稳定、健康发展。 49 一一一 信息系统安全体系建设必须坚持“统一标准、保障 应用、符合法规、综合防范、集成共享”的原则。 一一一 本规定适用于股份公司总部机关、专业分公司 （以下简称专业分公司）和地区分（全资子）公司、直属单位（以下 统称地区公司）。 一一一 信息系统安全管理组织与职责 一一一 信息化工作领导小组是信息系统安全工作的最高 决策机构，负责信息系统安全政策、制度和体系建设规划的审批， 部署并协调信息系统安全体系建设，领导信息系统等级保护工作。 一一一 信息管理部是股份公司信息系统安全的归口管理 部门，负责落实信息化工作领导小组的决策，实施股份公司信息 系统安全建设与管理，确保重要信息系统的有效保护和安全运 行。具体职责包括：组织制定和实施股份公司信息系统安全政策 标准、管理制度和体系建设规划，组织实施信息系统安全项目和 培训，组织信息系统安全工作的监督和检查。 一一一 股份公司保密部门负责信息系统安全工作中有关 保密工作的监督、检查和领导。 一一一 专业公司、地区公司信息部门负责本单位信息系统 安全的管理，具体职责包括：在本单位宣传和贯彻执行信息系统 安全政策与标准，确保本单位信息系统的安全运行，实施本单位 信息系统安全项目和培训，配合保密部门和执法部门追踪和查 50 处本单位信息系统安全违规行为，组织本单位信息系统安全工 作检查，完成股份公司部署的信息系统安全工作。 一一一一 技术支持单位在信息管理部的领导下，承担所 负责的信息系统和所在区域内的信息系统安全管理任务，主要 包括：在所维护系统和本区域内宣传和贯彻信息系统安全政策与 标准，确保所负责信息系统的安全运行。 一一一一 各级信息管理部门设立信息系统安全管理和技 术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络 等负责人和管理员，重要岗位可设置两个员工互为备份。 一一一一 信息系统安全岗位的设立应遵循职责分离的要 求，包括：制度监督者与执行者分离、信息系统授权者与操作者 分离、应用系统管理员与数据库管理员分离，程序开发人员不应 具备对生产环境的访问权限。 一一一一 公司员工必须严格遵守股份公司信息系统安全 政策、管理制度、技术标准和信息系统控制要求，承担相关安全 义务和责任，并及时向有关管理部门报告信息系统安全事件。 一一一 信息系统安全工作基本要求 一一一一 信息系统安全工作的基本要求是：根据股份公司 信息系统安全总体方案，贯彻与实施国家信息安全等级保护制 度，分层次建立以安全组织体系为核心、安全管理体系为保障、 安全技术体系为支撑的全面信息系统安全体系，并保持三个体 51 系稳定、均衡发展。 一一一一 信息系统安全管理体系包括：统一的信息系统安 全策略、管理制度和技术标准；信息系统资产管理责任制；信息 系统物理环境、网络、系统、应用、数据等各层面的安全管理流 程；信息系统的安全风险管理。 一一一一 信息系统安全技术体系包括：网络、桌面和应用 系统安全防护措施；身份管理与认证平台；安全监控和预警机制； 应急响应系统；同城和异地容灾备份中心。 一一一 信息系统安全监控 一一一一 信息系统安全监控的目的是对威胁系统、数据 库及网络安全的因素进行有效控制，防止由于技术或人为因素 导致的异常和损失，同时为其他安全措施的设计和实施提供可 靠依据。安全监控的结果应当保存一年以上。 一一一一 信息系统的运行和维护单位，在国家法律和股份公 司有关规定许可的范围内，具体进行规范、合理、有效的信息系统安 全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监 控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。 一一一一 各级信息部门负责制定和实施信息系统安全监 控计划，包括日常监控、事件处理、应急处理和定期汇报。 一一一一一 日常监控分为实时监控和定期检查，包括应用系 统、数据库、操作系统、网络、物理环境以及外部人员对信息系 52 统访问的实时监控与定期检查。监控及检查结果要存档备查，异 常情况须及时向有关负责人汇报。 一一一一一 在全公司范围建立信息系统安全意外事件通报处 理机制，各级单位应根据实际需要，设立由信息部门和相关业务 部门牵头的常设或虚拟的信息系统安全事件处理组织，人员可 由业务和信息技术管理人员兼任。 一一一一一 各级信息部门组织制定和贯彻执行信息系统安全 事件识别、分级和处置细则，各信息系统的运行和维护单位应当 对发生的信息系统安全事件及时分级，及时通报，并采取有效措 施避免或降低事件对业务的负面影响，事后应当编制事件处理 报告并按程序上报。 一一一一一 各级信息部门应对网络及重要信息系统制定详细 的应急处理预案。应急处理按照预案进行，并至少每年组织一次 相关岗位人员进行应急预案演练。 一一一一一 各级信息部门编制、上报信息系统安全月报和年报， 及时向主管领导和上级部门汇报重大信息系统安全风险和事件。 一一一 信息系统安全风险评估 一一一一一 信息管理部负责组织建立风险评估规范及实施团 队，定期或在重大、特殊事件发生后进行风险评估。 一一一一一 风险评估包括范围确定、风险识别、风险分析和 控制措施，确保信息系统安全满足应用和业务需要。 53 评估范围包括管理组织、流程、政策与标准、应用系统、数 据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。 风险识别包括识别风险类型和风险事件，形成风险列表，更 新信息风险数据库。 风险分析包括信息资产分类、风险发生概率和影响程度分 析，并确定风险等级，形成风险评估报告。 控制措施包括安全管理策略和风险控制措施，形成风险控 制报告。 一一一一一 信息管理部将风险评估和控制报告上报信息主管 领导审批。根据领导审批意见，落实控制措施。 一一一 信息系统安全培训 一一一一一 信息管理部负责制定股份公司信息系统安全培训 计划，组织、实施信息系统安全管理和技术培训。各级信息部门负 责相应层级的信息系统安全培训，培训计划报信息管理部备案。 一一一一 信息管理部及专业公司、地区公司信息部门对应 用系统、数据库、操作系统和网络管理员、开发人员进行信息系 统安全技术培训，提高信息系统安全管理和维护水平。 一一一一一 信息管理部及专业公司、地区公司信息部门分层 次、分类型对员工进行信息系统安全培训，包括针对业务和技术 管理人员进行管理层面的信息系统安全管理培训，针对从事日 常业务处理人员进行操作层面基本安全知识培训。 54 一一一一一 信息系统操作员工上岗前，应进行岗位信息系统 安全培训，并签署信息系统安全保密协议。在岗位发生变动时， 及时调整信息系统操作权限。 一一一一一 信息系统安全政策与标准发生重大调整、新建和 升级的信息系统投入使用前，开展必要的安全培训，明确相关调 整和变更所带来的信息系统安全权限和责任的变化。 一一一 信息系统安全检查与考核 一一一一一 信息管理部定期进行信息系统安全检查与考核， 包括信息系统安全政策与标准的培训与执行情况、重大信息系 统安全事件及整改措施落实情况、现有信息系统安全措施的有 效性、信息系统安全技术指标完成情况。 一一一一一 专业公司、地区公司信息部门按照本办法和股份 公司信息系统运行维护管理办法进行信息系统安全自我考核，信 息管理