1、 48 中国石油天然气股份有限公司信息系统安全管理办法(石油信2008374 号)一一一 总则一一一 为加强中国石油天然气股份有限公司(以下简称股份公司)信息系统安全管理,推进信息系统安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和中国石油天然气股份有限公司信息化工作管理规定,制定本办法。一一一 本办法所称信息系统安全,包括计算机网络和应用系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。一一一 信息系统 安全管理坚持“ 谁主管 谁负责”的原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务
2、与责任。一一一 信息 系 统 安 全 工 作 的 总 体 目 标 是 :实 施 信 息 系 统 安全 等 级 保 护 ,建 立 健 全 先 进 实 用 、完 整 可 靠 的 信 息 系 统 安 全 体 系 ,保 证 系 统 和 信 息 的 完 整 性 、真 实 性 、可 用 性 、保 密 性 和 可 控 性 ,保障 信 息 化 建 设 和 应 用 ,支 撑 公 司 业 务 持 续 、稳 定 、健 康 发 展 。 49 一一一 信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享” 的原则。一一一 本规定适用于股份公司总部机关、专业分公司(以下简称专业分公司)和地区分(
3、全资子)公司、直属单位(以下统称地区公司)。一一一 信息系统安全管理组织与职责一一一 信息 化 工 作 领 导 小 组 是 信 息 系 统 安 全 工 作 的 最 高决 策 机 构 ,负 责 信 息 系 统 安 全 政 策 、制 度 和 体 系 建 设 规 划 的 审 批 ,部 署 并 协 调 信 息 系 统 安 全 体 系 建 设 ,领 导 信 息 系 统 等 级 保 护 工 作 。一一一 信息管理部是股份公司信息系统安全的归口管理部门,负责落实信息化工作领导小组的决策,实施股份公司信息系统安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施股份公司信息系统安全
4、政策标准、管理制度和体系建设规划,组织实施信息系统安全项目和培训,组织信息系统安全工作的监督和检查。一一一 股份公司保密部门负责信息系统安全工作中有关保密工作的监督、检查和领导。一一一 专业公司、地区公司信息部门负责本单位信息系统安全的管理,具体职责包括:在本单位宣传和贯彻执行信息系统安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息系统安全项目和培训,配合保密部门和执法部门追踪和查 50 处本单位信息系统安全违规行为,组织本单位信息系统安全工作检查,完成股份公司部署的信息系统安全工作。一一一一 技术支持单位在信息管理部的领导下,承担所负责的信息系统和所在区域内的信息系统安全管理任务
5、,主要包括:在所维护系统和本区域内宣传和贯彻信息系统安全政策与标准,确保所负责信息系统的安全运行。一一一一 各级信息管理部门设立信息系统安全管理和技术岗位,包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员,重要岗位可设置两个员工互为备份。一一一一 信息系统安全岗位的设立应遵循职责分离的要求,包括:制度监督者与执行者分离、信息系统授权者与操作者分离、应用系统管理员与数据库管理员分离,程序开发人员不应具备对生产环境的访问权限。一一一一 公司员工必须严格遵守股份公司信息系统安全政策、管理制度、技术标准和信息系统控制要求,承担相关安全义务和责任,并及时向有关管理部门报告信息系统安全事
6、件。一一一 信息系统安全工作基本要求一一一一 信息系统安全工作的基本要求是:根据股份公司信息系统安全总体方案,贯彻与实施国家信息安全等级保护制度,分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息系统安全体系,并保持三个体 51 系稳定、均衡发展。一一一一 信息系统安全管理体系包括:统一的信息系统安全策略、管理制度和技术标准;信息系统资产管理责任制;信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程;信息系统的安全风险管理。一一一一 信息系统安全技术体系包括:网络、桌面和应用系统安全防护措施;身份管理与认证平台;安全监控和预警机制;应急响应系统;同城和
7、异地容灾备份中心。一一一 信息系统安全监控一一一一 信息系统安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制,防止由于技术或人为因素导致的异常和损失,同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果应当保存一年以上。一一一一 信息 系 统 的 运 行 和 维 护 单 位 ,在 国 家 法 律 和 股 份 公司 有 关 规 定 许 可 的 范 围 内 ,具 体 进 行 规 范 、合 理 、有 效 的 信 息 系 统 安全 监 控 。使 用 公 司 网 络 及 应 用 系 统 的 用 户 有 义 务 接 受 必 要 的 监 控 。监控 不 能 影 响 、泄 漏 不 涉 及
8、安 全 问 题 的 网 上 行 为 和 个 人 隐 私 的 内 容 。一一一一 各级信息部门负责制定和实施信息系统安全监控计划,包括日常监控、事件处理、应急处理和定期汇报。一一一一一 日常监控分为实时监控和定期检查,包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系 52 统访问的实时监控与定期检查。监控及检查结果要存档备查,异常情况须及时向有关负责人汇报。一一一一一 在全公司范围建立信息系统安全意外事件通报处理机制,各级单位应根据实际需要,设立由信息部门和相关业务部门牵头的常设或虚拟的信息系统安全事件处理组织,人员可由业务和信息技术管理人员兼任。一一一一一 各级信息部门组织制
9、定和贯彻执行信息系统安全事件识别、分级和处置细则,各信息系统的运行和维护单位应当对发生的信息系统安全事件及时分级,及时通报,并采取有效措施避免或降低事件对业务的负面影响,事后应当编制事件处理报告并按程序上报。一一一一一 各级信息部门应对网络及重要信息系统制定详细的应急处理预案。应急处理按照预案进行,并至少每年组织一次相关岗位人员进行应急预案演练。一一一一一 各 级 信 息 部 门 编 制 、上 报 信 息 系 统 安 全 月 报 和 年 报 ,及 时 向 主 管 领 导 和 上 级 部 门 汇 报 重 大 信 息 系 统 安 全 风 险 和 事 件 。一一一 信息系统安全风险评估一一一一一 信
10、息管理部负责组织建立风险评估规范及实施团队,定期或在重大、特殊事件发生后进行风险评估。一一一一一 风险评估包括范围确定、风险识别、风险分析和控制措施,确保信息系统安全满足应用和业务需要。 53 评估范围包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境,应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件,形成风险列表,更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程度分析,并确定风险等级,形成风险评估报告。控制措施包括安全管理策略和风险控制措施,形成风险控制报告。一一一一一 信息管理部将风险评估和控制报告上报信息主管领导审批。根据领导审批意见
11、,落实控制措施。一一一 信息系统安全培训一一一一一 信 息 管 理 部 负 责 制 定 股 份 公 司 信 息 系 统 安 全 培 训计 划 ,组 织 、实 施 信 息 系 统 安 全 管 理 和 技 术 培 训 。各 级 信 息 部 门 负责 相 应 层 级 的 信 息 系 统 安 全 培 训 ,培 训 计 划 报 信 息 管 理 部 备 案 。一一一一 信息管理部及专业公司、地区公司信息部门对应用系统、数据库、操作系统和网络管理员、开发人员进行信息系统安全技术培训,提高信息系统安全管理和维护水平。一一一一一 信息管理部及专业公司、地区公司信息部门分层次、分类型对员工进行信息系统安全培训,包
12、括针对业务和技术管理人员进行管理层面的信息系统安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。 54 一一一一一 信息系统操作员工上岗前,应进行岗位信息系统安全培训,并签署信息系统安全保密协议。在岗位发生变动时,及时调整信息系统操作权限。一一一一一 信息系统安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息系统安全权限和责任的变化。一一一 信息系统安全检查与考核一一一一一 信息管理部定期进行信息系统安全检查与考核,包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措
13、施的有效性、信息系统安全技术指标完成情况。一一一一一 专 业 公 司 、地 区 公 司 信 息 部 门 按 照 本 办 法 和 股 份公 司 信 息 系 统 运 行 维 护 管 理 办 法 进 行 信 息 系 统 安 全 自 我 考 核 ,信息 管 理 部 进 行 综 合 评 价 ,形 成 年 度 考 核 报 告 ,报 信 息 主 管 领 导 。一一一一一 凡违反本办法有关规定造成严重后果的,按股份公司有关规定追究相关部门和个人责任。一一一 附则一一一一一 专业公司、地区公司可参照本管理办法制定相应的实施细则。 55 一一一一一 本办法由股份公司信息管理部负责解释。一一一一一 本办法自印发之日起施行。(2008 年 12 月 17 日)
