P00-项目信息安全管理ISO27001 A508

项目信息安全管理1目的为确保项目建设过程中关键技术信息数据的安全管理，保护项目信息的安全、有效利用，特制定此程序。2适用范围本程序适用于项目的信息安全管理。3引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准。凡是不注日期的引用文件，其最新版本适用于本标准。GB/Z24364《信息安全技术信息安全风险管理指南》GB/T20269《信息安全技术信息系统安全管理要求》4定义下列术语和定义适用于本标准。4.1信息安全管理即项目信息管理者针对当前面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护项目信息和项目信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为项目信息和项目信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。4.2EDMS即电子文档管理系统。适用于项目建设过程中，是项目文档的数据库，也是项目文档管理工作的平台。项目文档管理人员通过电子文档管理系统实现项目文档的创建、发布、分发、查阅、归档，以及实时监控。4.3IT即信息技术。一般分三个层次。第一层是硬件，主要指数据存储、处理和传输的主机和网络通信设备;第二层是指软件，包括可用来搜集、存储、检索、分析、应用、评估信息的各种软件;第三层是指应用，指搜集、存储、检索、分析、应用、评估使用各种信息。4.4DCC即文档管理部门，是统一监督、管理、保存和控制分发所有项目产生的文档的管理部门。5职责5.1IT1)负责网络设置、终端用户支持和软件分发。2)负责EDMS系统、邮件系统的信息安全的管理。负责EDMS系统、邮件系统帐户的建立与分组。5.2DCC1)制定涉密文件的访问规则，并做好相应的保密管理工作。2)维护和管理EDMS电子目录结构，保证文件的访问能满足职能部门和区域项目分部的要求。3）负责维护、管理档案管理系统，保证电子档案访问能满足职能部门和区域项目分部的要求。6工作要求和程序6.1数据安全体系所有为多个用户服务的计算设备(服务器)放置在带锁的柜子中或放置在主计算机房内。主计算机房有电子门禁系统记录所有的事件。此区域有空气调节设施，并安装火灾报警和消防系统。电源后备系统保证为计算机房提供连续的电力供应。中心系统和各用户的数据保存在中央磁盘存储器上。桌面机只含有临时数据以及易于重建的数据。6.2用户访问授权与控制办公网络设置准入控制,项目人员的电脑需在IT中心检查安装杀毒软件、系统补丁合格并初始设置方后可访问本地计算机网络。经项目管理组或信息/文档管理经理批准后用户可以访问应用程序和数据。密码最短八位并必须周期性地修改。基于用户的角色，用户访问(尤其是大型应用软件)分为应用访问和项目数据库访问。6.3关于技术信息泄露的指导方针建设单位购买的用于装置设计的及技术提供者的工艺技术及技术必须根据承诺的相关保密条款来加以保护，以便相关保密协议中定义的机密信息不以非授权方式透露。采用下列基本原则:1)不提供多于需要的信息给EP(C)承包商、供应商及其他第三方;2)数据表和工程图必须带有项目保密语句(参见附件1);3)不提供工艺流体组份，而提供整体属性。少量情况需要提供工艺流体组份的情况下，应预先准备保密协议;4)不要提供制作过程的信息;5)保持主要关键设备的机械数据表和图纸的秘密，其包含有专利商的专利信息;6)一般而言，下列文件应该被作为机密文件:●总图与布置图(平、立面图)●设备表●PFD图及热量与物料平衡●P&ID图●工艺数据表●计算书(工艺、机械、仪表、管道和电气)●仪表原理(图表和说明)●仪表逻辑图●管道布置图7)所有这些工程文件应在首页或标题栏的显要位置标示保密条款(参见附件1)；8)一般而言，机械设备的机械数据表和图纸不被认为是机密的(特殊情况见后面详细说明)；9)详细的施工图，如框架结构图、单管图和现场连接图不被认为是机密的。6.4商业敏感数据的管理1)必须对商业敏感信息采取严格地保密措施，如项目执行计划、成本估计、投标人名单、评估报告、投标人的选择或等级评定信息、合同或采购协议信息、带价格的合同或采购单和发票等。2)项目商务信息将被电子化保存在电子文档管理系统中(对此数据的访问限于由项目管理部管理层指定的预先认可的人员)。3)将向授权人员电子化发布敏感信息。4)所有诸如此类的信息将被发布给少数需要知道此信息的人员。需要以硬拷贝的方式发布时，必须装在标有“机密---仅由收件人开启”的密封的信封中发送。5)所有拥有这些商业敏感信息的个人应当确保这些信息被锁在保险柜中并且要防止这些信息的外泄。6.5人员的进/出1)各职能部门主任和项目经理应负责向IT及文档经理(参见附件表格2)确定加入本项目的新成员的项目角色，IT根据访问权限表进行信息授权分组，使其能够根据本人的分工角色查看到相应的项目信息。2)主任及项目经理持有与IT经理协商对项目系统授权或终止授权的权力。若有人员离开项目，执行主任需要建议IT人员将离职人员的账户关闭。3)项目经理、职能部门主任应负责本部门职工在调离时，不带走项目管理部的硬拷贝及电子文档资料。6.6保密协议项目管理部所有成员必须签署保密协议以约束其对所获知的任何信息保密。如有需要，所有项目管理人员还应在进入项目之前签署单独的专利技术保密协议。该保密协议适用于使用或有权使用保密信息的所有人员。项目管理人员的保密协议由项目文档负责保管。如专