項目管理-項目信息安全管理計劃

1、xxxX煤化工項目管理部項目信息安全管理計劃第1頁 共12頁項目信息安全管理計劃xxxxXt工項目管理部項目信息安全管理計劃第2頁 共12頁1目的 32適用范圍 33引用文件 34定義 35 職責 46 工作要求和程序 47 附件 9xxxxXt工項目管理部項目信息安全管理計劃第3頁 共12頁1目的為確保xxxxXt工項目（以下簡稱ZAUC（項目）建設(shè)過程中關(guān)鍵技術(shù)信息數(shù)據(jù)的安全管 理，保護項目信息的安全、有效利用，特制定此程序。2適用范圍本程序適用于xxxxX工項目的信息安全管理。3引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其 隨后所有的修改單或修訂版

2、均不適用于本標準。凡是不注日期的引用文件，其最新版本適用 于本標準。GB/Z 24364信息安全技術(shù)信息安全風險管理指南GB/T 20269信息安全技術(shù)信息系統(tǒng)安全管理要求SEP-SPM-GS1001中國石化項目管理手冊（標準模板）4定義下列術(shù)語和定義適用于本標準。4.1信息安全管理即項目信息管理者針對當前面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用 環(huán)境制定相應(yīng)的防御措施，保護項目信息和項目信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄 露、中斷、修改和破壞，為項目信息和項目信息系統(tǒng)提供保密性、完整性、真實性、可用 性、不可否認性服務(wù)。4.2 EDMS即電子文檔管理系統(tǒng)。適用于項目建設(shè)過程

3、中，是項目文檔的數(shù)據(jù)庫，也是項目文檔管理工 作的平臺。項目文檔管理人員通過電子文檔管理系統(tǒng)實現(xiàn)項目文檔的創(chuàng)建、發(fā)布、分發(fā)、查 閱、歸檔，以及實時監(jiān)控。4.3 IT即信息技術(shù)。一般分三個層次。第一層是硬件，主要指數(shù)據(jù)存儲、處理和傳輸?shù)闹鳈C和網(wǎng)絡(luò) 通信設(shè)備;第二層是指軟件，包括可用來搜集、存儲、檢索、分析、應(yīng)用、評估信息的各種 軟件;第三層是指應(yīng)用，指搜集、存儲、檢索、分析、應(yīng)用、評估使用各種信息。4.4 DCC即文檔管理部門，是統(tǒng)一監(jiān)督、管理、保存和控制分發(fā)所有項目產(chǎn)生的文檔的管理部門。XXXX）化工項目管理部項目信息安全管理計劃第4頁 共12頁5職責5.1 IT1）負責網(wǎng)絡(luò)設(shè)置、終端用戶支持和

4、軟件分發(fā)。2）負責EDMS系統(tǒng)、郵件系統(tǒng)的信息安全的管理。負責 EDMS系統(tǒng)、郵件系統(tǒng)帳戶的 建立與分組。5.2 DCC1）制定涉密文件的訪問規(guī)則，并做好相應(yīng)的保密管理工作。2）維護和管理EDMS電子目錄結(jié)構(gòu)，保證文件的訪問能滿足職能部門和區(qū)域項目分部的要求。3 ）負責維護、管理檔案管理系統(tǒng)，保證電子檔案訪問能滿足職能部門和區(qū)域項目分部的 要求。6工作要求和程序6.1數(shù)據(jù)安全體系所有為多個用戶服務(wù)的計算設(shè)備（服務(wù)器）放置在帶鎖的柜子中或放置在主計算機房內(nèi)。主計 算機房有電子門禁系統(tǒng)記錄所有的事件。此區(qū)域有空氣調(diào)節(jié)設(shè)施，并安裝火災(zāi)報警和消防系 統(tǒng)。電源后備系統(tǒng)保證為計算機房提供連續(xù)的電力供應(yīng)。中

5、心系統(tǒng)和各用戶的數(shù)據(jù)保存在中 央磁盤存儲器上。桌面機只含有臨時數(shù)據(jù)以及易于重建的數(shù)據(jù)。6.2用戶訪問授權(quán)與控制辦公網(wǎng)絡(luò)設(shè)置準入控制，項目人員的電腦需在IT中心檢查安裝殺毒軟件、系統(tǒng)補丁合格并初 始設(shè)置方后可訪問本地計算機網(wǎng)絡(luò)。經(jīng)項目管理組或信息/文檔管理經(jīng)理批準后用戶可以訪問應(yīng)用程序和數(shù)據(jù)。密碼最短八位并必須周期性地修改?；谟脩舻慕巧?，用戶訪問（尤其是大型應(yīng)用軟件）分為應(yīng)用訪問和項目數(shù)據(jù)庫訪問。6.3關(guān)于技術(shù)信息泄露的指導(dǎo)方針建設(shè)單位購買的用于裝置設(shè)計的及技術(shù)提供者的工藝技術(shù)及技術(shù)必須根據(jù)承諾的相關(guān)保密條 款來加以保護，以便相關(guān)保密協(xié)議中定義的機密信息不以非授權(quán)方式透露。采用下列基本原 則：

6、1）不提供多于需要的信息給EP（C）承包商、供應(yīng)商及其他第三方；2）數(shù)據(jù)表和工程圖必須帶有項目保密語句（參見附件1）；XXXX）化工項目管理部項目信息安全管理計劃第5頁 共12頁3）不提供工藝流體組份，而提供整體屬性。少量情況需要提供工藝流體組份的情況下，應(yīng) 預(yù)先準備保密協(xié)議；4）不要提供制作過程的信息；5）保持主要關(guān)鍵設(shè)備的機械數(shù)據(jù)表和圖紙的秘密，其包含有專利商的專利信息；6）一般而言，下列文件應(yīng)該被作為機密文件：總圖與布置圖（平、立面圖）設(shè)備表PFD圖及熱量與物料平衡P&ID 圖工藝數(shù)據(jù)表計算書（工藝、機械、儀表、管道和電氣）儀表原理（圖表和說明）儀表邏輯圖管道布置圖7）所有這些工程文件應(yīng)在首頁或標題欄的顯要位置標示保密條款（參見附件1）；8）一般而言，機械設(shè)備的機械數(shù)據(jù)表和圖紙不被認為是機密的（特殊情況見后面詳細說 明）；9）詳細的施工圖，如框架結(jié)構(gòu)圖、單管圖和現(xiàn)場連接圖不被認為是機密的。6.4商業(yè)敏感數(shù)據(jù)的管理1）必須對商業(yè)敏感信息采取嚴格地保密措施，如項目執(zhí)行計劃、成本估計、投標人名單、 評估報告、投標人的選擇或等級評定信息、合同或采購協(xié)議信息、帶價格的合同或采購單和 心TFFF卒發(fā)票等。2）項目商務(wù)信息將被電子化保存在電子文檔管理系統(tǒng)中（對此數(shù)據(jù)的訪問限于由項目管理部管理層指定的預(yù)先認可的人員）。3）將向授權(quán)人員電子化發(fā)布敏感信息。4）所有諸如