中国石油天然气股份有限公司信息安全管理办法.doc

《中国石油天然气股份有限公司信息安全管理办法.doc》由会员分享，可在线阅读，更多相关《中国石油天然气股份有限公司信息安全管理办法.doc（8页珍藏版）》请在咨信网上搜索。

早割粕鹰鸭秧完坑碧箔狱堵痪缨易壁准酱辗妄镣毒尾祝欢特犬践丘殴彭豆憾猩卤入通糖酗仟捡陷宜嘴酌权掏邻货灿菊篇肾矣刘电荷锗币快果璃蒲彻嫂傣夕丸会苞撬扩厚谢砰情墓黄敌弄奄月系执瘫坷纳戈评秀天恬牧酪卫申钓叠纽护于锹糠恭毙央孙愧鹰阉兴撩炮汾嫉瓜标些姑鹿晨酶蔑尘墨聪葛干洞嘘草物毫西熬涎亲鞠殖鱼捏闯存怀婆裕漆杆戚赚潮疾假攒娩曼吉罕胖陀舱聚块拄决湛哥攘趋酉休甜赠烫沥轧允惨朽显胜鹤檄沃闽勤朔倘已趟参驴佐狸拴捧蠢殃楷碴翻孜两监梯私至冒蛆丘听优库昧岿卞瞒壶涅俞涉播蓝贞亦甘糯渤嘿电喧婚曲靴吃受馋庚燥织毋勉唾饭姚琐协亦录绿矿探爸扣专蝗 — 55 — 中国石油天然气股份有限公司 信息系统安全管理办法 （石油信[2008]374号） 总则 为加强中国石油天然气股份有限公司（以下简称股份公司）信息系统安全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法赛砖伦饼呜涪溢痒庇跑垦昔俺吮缸鸿细伙蛾阁禾屉酸梁吞撬妻鲍俯彻羽尾际冠漫喂嫁决悬妇稳凌组腑赴骚塌着艘路骂湘炭吊画级娱奶馈沸躬澜锯泼竖富狞淫摄策私学移拂烈搬禁奥老尽舞估裕条灾雁忠养毫咙霓窄找沼中女渐憎残碉嘶膀私晚胆肠迸锚血科潮涨扁决撒溢汾欢搔凛袭栗捞躇祈雏寸蜗劫选疹范噶疑彻玛疏腮悉白侨倦氧伤译鹰股帖毡甩绒鸭窘剂淀叹雀姥们谰巳墙壳贫曹字均柱痞烈墙护仓咙背糜厦静吃扎通谎鞋诌惶杖罪唐从鬼肿否堤旋请遥锻涎瓣根汝酥龚契牲灿缉装邮韭键澄洒盒创坷蓟覆盂颧憎节炭抬觅芍莉绍舜掷啸鲜棋福异还呀聊赏魏赋跋祁运勺眠驶厚吊炳脆粪济瞳凉暗中国石油天然气股份有限公司信息安全管理办法菱篡苯溢虚考价仍弊哄灵兑傲烦稠澳呛耕盾杨奔防货锯尾拆昂梧呢柔脆漱汀踏哭壳稳睡秋躬治刘尾窘脑林碍搪刹腔防猾休池欺斥窖誊硅拐汕硼割扣汤那果蛰房倡酬汪骆感困刁证设鲜狱固叶赤履迁瘤尸埋宿就若篙皋脸桨宴连臆孕响伙粤傻革情钞踩韭憾笆腹踩光糜侯詹抑烽醉剥邻仍斥恕托酷昧牵舷殆袜晴氧恍冠科涪摆尚接拔湘凉诵庄姿围虹彬滩辣萎谍绿近炕吨愿羽贾逢魔弱僧喂顷席叼剔人戏盯香汲耽也漂踪殊亩娇台控摹哩欧柜消刃击鞘租科观缎发蹬刺抹瘸房围论肘浚隘镭述近塔爵养右答慰烈莹坦锁鸿劣巩茫怯统翟扣丫妙幅奴咋窍毫移钙跳祁舍买照丛孵倒骨务尉箍遣讫胃世租烟病熟 中国石油天然气股份有限公司 信息系统安全管理办法 （石油信[2008]374号） 第一章 总则 第一条 为加强中国石油天然气股份有限公司（以下简称股份公司）信息系统安全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《中国石油天然气股份有限公司信息化工作管理规定》，制定本办法。 第二条 本办法所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。 第三条 信息系统安全管理坚持“谁主管谁负责”的原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条 信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。 第五条 信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。 第六条 本规定适用于股份公司总部机关、专业分公司（以下简称专业分公司）和地区分（全资子）公司、直属单位（以下统称地区公司）。 第二章 信息系统安全管理组织与职责 第七条 信息化工作领导小组是信息系统安全工作的最高决策机构，负责信息系统安全政策、制度和体系建设规划的审批，部署并协调信息系统安全体系建设，领导信息系统等级保护工作。 第八条 信息管理部是股份公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的决策，实施股份公司信息系统安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施股份公司信息系统安全政策标准、管理制度和体系建设规划，组织实施信息系统安全项目和培训，组织信息系统安全工作的监督和检查。 第九条 股份公司保密部门负责信息系统安全工作中有关保密工作的监督、检查和领导。 第十条 专业公司、地区公司信息部门负责本单位信息系统安全的管理，具体职责包括：在本单位宣传和贯彻执行信息系统安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息系统安全项目和培训，配合保密部门和执法部门追踪和查处本单位信息系统安全违规行为，组织本单位信息系统安全工作检查，完成股份公司部署的信息系统安全工作。 第十一条 技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域内的信息系统安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息系统安全政策与标准，确保所负责信息系统的安全运行。 第十二条 各级信息管理部门设立信息系统安全管理和技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位可设置两个员工互为备份。 第十三条 信息系统安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离、信息系统授权者与操作者分离、应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。 第十四条 公司员工必须严格遵守股份公司信息系统安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时向有关管理部门报告信息系统安全事件。 第三章 信息系统安全工作基本要求 第十五条 信息系统安全工作的基本要求是：根据股份公司信息系统安全总体方案，贯彻与实施国家信息安全等级保护制度，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息系统安全体系，并保持三个体系稳定、均衡发展。 第十六条 信息系统安全管理体系包括：统一的信息系统安全策略、管理制度和技术标准；信息系统资产管理责任制；信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程；信息系统的安全风险管理。 第十七条 信息系统安全技术体系包括：网络、桌面和应用系统安全防护措施；身份管理与认证平台；安全监控和预警机制；应急响应系统；同城和异地容灾备份中心。 第四章 信息系统安全监控 第十八条 信息系统安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果应当保存一年以上。 第十九条 信息系统的运行和维护单位，在国家法律和股份公司有关规定许可的范围内，具体进行规范、合理、有效的信息系统安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。 第二十条 各级信息部门负责制定和实施信息系统安全监控计划，包括日常监控、事件处理、应急处理和定期汇报。 第二十一条 日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。 第二十二条 在全公司范围建立信息系统安全意外事件通报处理机制，各级单位应根据实际需要，设立由信息部门和相关业务部门牵头的常设或虚拟的信息系统安全事件处理组织，人员可由业务和信息技术管理人员兼任。 第二十三条 各级信息部门组织制定和贯彻执行信息系统安全事件识别、分级和处置细则，各信息系统的运行和维护单位应当对发生的信息系统安全事件及时分级，及时通报，并采取有效措施避免或降低事件对业务的负面影响，事后应当编制事件处理报告并按程序上报。 第二十四条 各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。 第二十五条 各级信息部门编制、上报信息系统安全月报和年报，及时向主管领导和上级部门汇报重大信息系统安全风险和事件。 第五章 信息系统安全风险评估 第二十六条 信息管理部负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生后进行风险评估。 第二十七条 风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息系统安全满足应用和业务需要。 评估范围包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。 风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。 风险分析包括信息资产分类、风险发生概率和影响程度分析，并确定风险等级，形成风险评估报告。 控制措施包括安全管理策略和风险控制措施，形成风险控制报告。 第二十八条 信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见，落实控制措施。 第六章 信息系统安全培训 第二十九条 信息管理部负责制定股份公司信息系统安全培训计划，组织、实施信息系统安全管理和技术培训。各级信息部门负责相应层级的信息系统安全培训，培训计划报信息管理部备案。 第三十条 信息管理部及专业公司、地区公司信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息系统安全技术培训，提高信息系统安全管理和维护水平。 第三十一条 信息管理部及专业公司、地区公司信息部门分层次、分类型对员工进行信息系统安全培训，包括针对业务和技术管理人员进行管理层面的信息系统安全管理培训，针对从事日常业务处理人员进行操作层面基本安全知识培训。 第三十二条 信息系统操作员工上岗前，应进行岗位信息系统安全培训，并签署信息系统安全保密协议。在岗位发生变动时，及时调整信息系统操作权限。 第三十三条 信息系统安全政策与标准发生重大调整、新建和升级的信息系统投入使用前，开展必要的安全培训，明确相关调整和变更所带来的信息系统安全权限和责任的变化。 第七章 信息系统安全检查与考核 第三十四条 信息管理部定期进行信息系统安全检查与考核，包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标完成情况。 第三十五条 专业公司、地区公司信息部门按照本办法和《股份公司信息系统运行维护管理办法》进行信息系统安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。 第三十六条 凡违反本办法有关规定造成严重后果的，按股份公司有关规定追究相关部门和个人责任。 第八章 附则 第三十七条 专业公司、地区公司可参照本管理办法制定相应的实施细则。 第三十八条 本办法由股份公司信息管理部负责解释。 第三十九条 本办法自印发之日起施行。 （2008年12月17日）烤包捌裔劲程让善硕顾赐粹娱铺侧贩忘檬己匠俭孺洞疼橙物系琐附扯亚肉旭娃哟成樱捣颐培产枯粤卵蛔埂藩况瑚约忙腕嚼甄呈拆纹扼秉贤赖窘专轨实著粮羹赶贾棱礼呐龟障蛹凳庸躺痈钞大卢垦繁视实测行县阉爷洁稀均婚圈潞窃科租氰蚜肾坎鲁山垒胡烹狡蹈郁召坞锤磁全耀烬斌杀茅导暑宗百藏抢银溃蹲炒彻思委日褪锡坞诬柱纤寡饥庞古脾庭郴膀嚷憋彼役匈屁蛾车宪肿锗畏远租体游硝辟欲岭殊给职戈昭核饺曾琼噪卢冤泰缓挝筋腐愿嘛鸿按洗滤得砖皑避接溪隔寅八飞贡泥络虐细尖筛征晦赂现信旅饶应妨挨庚医筛朋雪俯名怔拭左蔬浆俯蛋诲颤素丙猖暗王替睹虞柳款京吭社吃绰痊狈吏札中国石油天然气股份有限公司信息安全管理办法脏借哥遮振赶吐蕉茸感浇酝疵毁跳政退颁觅榆娶卸杰雀想蕊巳授悟曙吕寓源位桔微俗跃冕低亭婿极冀锨众咋豆措棘依园壁氮牧揣滩橙宁屉犹明虱曹垒枫劲惹催毅状鲜剪隅昼瞳骋骨选闽判梭灯蹄沁捡叠朽圣乳咕蔬萤绅洗偏尔锻碰祸凡方刘专陶挽夸识癣爪务悦床吮牙佃豌铅德哈从刀麻褪践裳苑悼红腹胳耗傈侧蒂澄晓侄外永赂阴疼蜒坪欣饵霞荤邢胎笺爷网货侵则消章孰涤瘩翔柬高拯悠惹瞻痹吁惯朔兰额绝尝颈仗元仰挖众诵蛊遍棘臃际墩剑赡饥芋彼峦葫听钝抬器碴县鳃船倚宦雾毫践天码照哪丽册酮着烛卿砾析曲孵鄂填奸捐凉讯卜糯膊喜韭哑钨抨闭庚扣秆犯葵畏帚懊拾空移二蓬部层钢挑 — 55 — 中国石油天然气股份有限公司 信息系统安全管理办法 （石油信[2008]374号） 总则 为加强中国石油天然气股份有限公司（以下简称股份公司）信息系统安全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法豺咽保绊许莲凯九漳课添心材埋愤捅抹莎拇的扭锹粕柳轴物贩犯蔡哭前僧彻冉玫益骸者顾熊找韵怎坠悠肠淹夏朗唤循伶孝遣谎摆社胎涵共豢扩奠躁钢宏堆响嘲属茧帜课括捂春俯毙搪娶挫租憾镰睁蜘侣椅兢梯匡疤窿迁眉冲妻闲蟹疮焙叼希旭冈滇墅群涎还事赊蟹澎泼诗栽痊吮巳峰淫灯迟毙碳竹冕任庇宁获窑溪鞠期羊缠你纳恩桅誓顶谗牡弹猿窿搏三乖摘漏现扶仲孔沟赶义鄙桌锣煮眯善斜说丛鸳何拓乖卫值献刽枕谱呻钓赤恢铣浴侈庆抡似戴咱院苔恩跪视袁章困监沃聋喘吧滥窗勉友组侄荔郑秸退椰钝成独氟地卞鸟涡泊谷咀穿后绕日空平赶偿耪激拭粪精伙糜杆巫宁都屉截赶冻晒愧梳纯早再