海油信息安全管理要求

1、1目的規(guī)范計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理，提高信息安全保障能力和水平，維護(hù)國家及企業(yè)安全。適用范圍公司機(jī)關(guān)及所屬單位。編制依據(jù)信息安全管理辦法（IT-01-07 , 2011 ,中國海油）信息系統(tǒng)安全等級保護(hù)管理細(xì)則（IT-01-07-02 , 2011 ,中國海油）計(jì)算機(jī)信息網(wǎng)絡(luò)安全規(guī)范（Q/HS5000-2009,中國海油）信息安全管理辦法（AM-01-08 , 2015,公司）信息系統(tǒng)安全等級保護(hù)工作實(shí)施細(xì)則（AM-01-08-01, 2015,公司）職責(zé)行政管理部督促、檢查、指導(dǎo)公司及所屬單位計(jì)算機(jī)網(wǎng)絡(luò)信息運(yùn)營的安全工作。公司機(jī)關(guān)部門及所屬單位履行計(jì)算機(jī)網(wǎng)絡(luò)信息安全的義務(wù)和責(zé)任。工作內(nèi)

2、容與要求安全防范5.2.6基本要求各單位應(yīng)按信息系統(tǒng)安全保護(hù)級別對信息系統(tǒng)采取安全防范措施，并確保安全防范工作的有效落實(shí)。IT支持服務(wù)中心應(yīng)采取必要措施，提高網(wǎng)絡(luò)的整體防護(hù)能力。各信息系統(tǒng)的數(shù)據(jù)、信息傳輸都應(yīng)采用加密傳輸。各業(yè)務(wù)責(zé)任單位應(yīng)制定其信息系統(tǒng)備份策略和災(zāi)備策略。IT支持服務(wù)中心應(yīng)提供備份和災(zāi)備的相應(yīng)資源、服務(wù)，定期備份數(shù)據(jù)、進(jìn)行恢復(fù)測試并做好記錄。各單位應(yīng)對本單位信息系統(tǒng)的信息進(jìn)行審查、檢查和復(fù)查，確保信息的合法性、合規(guī)性。員工對所使用的終端、網(wǎng)絡(luò)設(shè)施及其中的信息安全、賬號安全、賬號權(quán)限內(nèi)的信息安全和上網(wǎng)行為負(fù)責(zé)，員工終端中嚴(yán)禁存儲涉密（此處涉密系指涉及國家秘密，下同）信息，終端中的

3、商密文件不可設(shè)置為共享，工作郵箱電子郵件的收發(fā)要進(jìn)行病毒查殺。員工發(fā)現(xiàn)異?；虬l(fā)現(xiàn)其他人員非法使用計(jì)算機(jī)時(shí)，有及時(shí)向所屬單位或公司報(bào)告的責(zé)任。各單位要對移動(dòng)存儲介質(zhì)進(jìn)行登記、編號,移動(dòng)存儲介質(zhì)要經(jīng)IT支持服務(wù)中心檢測合格、注冊后入網(wǎng)使用。10涉及國家或企業(yè)秘密信息的存儲、傳輸?shù)葢?yīng)指定專人負(fù)責(zé)，并嚴(yán)格執(zhí)行國家、中國海油 及公司有關(guān)保 密的法律、法規(guī)和相關(guān)管理規(guī)定。11涉密信息未經(jīng)批準(zhǔn)，不得在網(wǎng)絡(luò)上發(fā)布或通過明碼（明文）傳輸。守國家的有關(guān)公桌上貼條暴互聯(lián)網(wǎng)，禁止輸?shù)男畔⑦M(jìn)行傳輸公司業(yè)數(shù)據(jù)、用員工信息:歸還員工信精心整理信息加密管理涉及國家秘密的信息，其電子文檔資料須加密存儲。涉及國家和公司利益的敏感

4、信息的電子文檔資料應(yīng)當(dāng)加密存儲。涉及國家秘密、國家與公司利益和社會(huì)安定的秘密信息和敏感信息，在傳輸過程中應(yīng)遵規(guī)定，視情況采用文件加密傳輸或鏈路傳輸加密。適度采用先進(jìn)的加密解密技術(shù)對公司其他電子文檔和數(shù)據(jù)進(jìn)行加密管理。用六賬號(ID)管理5.131信息系統(tǒng)管理系統(tǒng)中或運(yùn)維支持體系中應(yīng)包括賬號管理流程。5.3.2信息系統(tǒng)用戶要嚴(yán)格管理賬號，不得把自己賬號外借他人使用、不得在電腦、屏幕和辦露賬號信息，禁止索要、盜取、使用、傳播任何未經(jīng)授權(quán)使用的賬號。5.3.3加強(qiáng)對離職員工的賬號管理，各單位在員工離職時(shí)應(yīng)辦理注銷其賬號。5.2.9用戶權(quán)限管理信息系統(tǒng)權(quán)限設(shè)計(jì)要符合安全管理要求，實(shí)現(xiàn)最小權(quán)限和權(quán)限互斥

5、原則。信息系統(tǒng)的用戶權(quán)限要嚴(yán)格對應(yīng)用戶工作職責(zé)，權(quán)限申請和變更應(yīng)按流程辦理審批手續(xù)。5.2.10禁止活動(dòng)涉密計(jì)算機(jī)必須與互聯(lián)網(wǎng)物理隔離，禁止把涉密計(jì)算機(jī)直接或間接連入公司局域網(wǎng)絡(luò)和在互聯(lián)網(wǎng)計(jì)算機(jī)中存儲或處理涉密信息。禁止利用信息網(wǎng)絡(luò)系統(tǒng)制作、傳播、復(fù)制有害信息。禁止非法違規(guī)入侵計(jì)算機(jī)和信息系統(tǒng)，禁止未經(jīng)授權(quán)對信息網(wǎng)絡(luò)系統(tǒng)中存儲、處理或傳增加、修改、復(fù)制和刪除等。禁止未經(jīng)允許使用他人在信息網(wǎng)絡(luò)系統(tǒng)中未公開的信息。禁止未經(jīng)授權(quán)查閱他人郵件和盜用他人名義發(fā)送電子郵件。禁止未經(jīng)允許在互聯(lián)網(wǎng)公共郵箱、即時(shí)通訊工具、云盤、網(wǎng)盤或免費(fèi)空間上處理、存儲、務(wù)和信息。禁止故意干擾網(wǎng)絡(luò)的暢通運(yùn)行。禁止其他危害公司信

6、息網(wǎng)絡(luò)系統(tǒng)安全的活動(dòng)。5.2 員工信息系統(tǒng)使用員工信息系統(tǒng)是指員工利用公司內(nèi)部計(jì)算機(jī)技術(shù)對業(yè)務(wù)和信息進(jìn)行集成處理的程序、文檔以及計(jì)算機(jī)終端、各種存儲設(shè)備等公司重要資源的總稱，每個(gè)員工應(yīng)該安全、可靠、有效地使系統(tǒng)并保證數(shù)據(jù)的完整性和準(zhǔn)確性。員工在使用員工信息系統(tǒng)時(shí)應(yīng)具備安全意識、保密意識和合規(guī)使用信息系統(tǒng)意識，應(yīng)確保a)設(shè)備安全；b )信息安全；信息系統(tǒng)安全。在使用員工信息系統(tǒng)前，員工應(yīng)簽署信息系統(tǒng)使用安全保密協(xié)議。員工有保護(hù)辦公計(jì)算機(jī)和設(shè)備物理安全的責(zé)任和義務(wù)，并按規(guī)定正確放置、保管、使用和息系統(tǒng)，具體要求如下：a)妥善保存可移動(dòng)設(shè)備，不得存放涉密信息；b )使用便攜式計(jì)算機(jī)的員工，應(yīng)當(dāng)保管好

7、計(jì)算機(jī)，防止遺竊；c)避免環(huán)境對計(jì)算機(jī)設(shè)備的損害，比如食物、煙火、液體、極高和極低濕度、極高和極低溫精心整理精心整理度等；d ) 禁止安裝、使用未經(jīng)授權(quán)的非公司標(biāo)準(zhǔn)軟件和硬件；信息技術(shù)支持部門負(fù)責(zé)設(shè)備的安裝、拆卸、更改和遷移，員工不得自行進(jìn)行以上操作；員工應(yīng)當(dāng)認(rèn)真保管公司分配的電子設(shè)備，未妥善保管而致丟失或損害的，應(yīng)賠償。525 員工在使用公司提供的互聯(lián)網(wǎng)和員工信息系統(tǒng)時(shí)，應(yīng)注意合法、安全和保密，具體要求如下：a)員工根據(jù)公司有關(guān)規(guī)定申請互聯(lián)網(wǎng)和員工信息系統(tǒng)的使用權(quán)；b )不得通過員工信息系統(tǒng)和互聯(lián)網(wǎng)從事非法的、不道德的、損害公司利益的活動(dòng)；c) 對 通過員工信息系統(tǒng)和互聯(lián)網(wǎng)接收的可執(zhí)行文件進(jìn)

8、行病毒掃描檢查；d )禁止員工隨意改動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)參數(shù)配置；禁止企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)通過MODE撥號、私自搭建無線網(wǎng)絡(luò)等未經(jīng)審批同意的方式聯(lián)通到互聯(lián)網(wǎng)；員 工因工作需要使用公司電子郵件系統(tǒng)對200 人以上群發(fā)郵件的，需經(jīng)各單位信息化主管領(lǐng)導(dǎo)批準(zhǔn)并報(bào)公司行政管理部備案；g ) 員工須以本人的真實(shí)身份和口令使用公司的信息系統(tǒng)，禁止以他人名義濫發(fā)郵件或盜用他人賬號；口令必須定期更改并具有一定的復(fù)雜性，口令規(guī)則應(yīng)滿足：)密碼長度為至少8 位；)密碼組成方式不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分；)必須包含以下四類中的三類字符：英文大寫字母(A-Z )、英文小寫字母(a-z )、10個(gè)

9、基本數(shù)字(0-9 )、非字母字符(例如！、$、 #、。示例： 合格的密碼：PaSs1234 或 p!ss1234 或 Pass!$#% 不合格的密碼：Cnooc 或 cnooPASS或 PASS1234h ) 不得在信息系統(tǒng)上進(jìn)行工作以外的活動(dòng)；i ) 涉及公司秘密的信息，須遵守公司的保密規(guī)定，嚴(yán)禁在互聯(lián)網(wǎng)上披露涉及國家和公司秘密的信息。員工有防范病毒和惡意軟件方面的責(zé)任和義務(wù)，具體要求如下：員工應(yīng)定期查看計(jì)算機(jī)是否更新了病毒數(shù)據(jù)代碼，若防病毒軟件工作異常，病毒特征庫過舊(更新時(shí)間為兩周前)等，應(yīng)當(dāng)及時(shí)通知計(jì)算機(jī)維護(hù)人員；b )控制來源不明的介質(zhì)、不確定來源下載的軟件或文檔、不確定的郵件和超級

10、鏈接等；嚴(yán) 禁員工以任何方式卸載防病毒軟件、停止防病毒服務(wù)和更改防病毒軟件配置；d )員工發(fā)現(xiàn)計(jì)算機(jī)感染病毒時(shí)應(yīng)當(dāng)立刻關(guān)閉計(jì)算機(jī)，并報(bào)告 1331 服務(wù)熱線或本單位的技術(shù)支持部門；員工在向信息系統(tǒng)上傳數(shù)據(jù)前要做好查毒、殺毒工作，確保信息文件無毒上傳；移 動(dòng)辦公計(jì)算機(jī)，應(yīng)當(dāng)定期接入公司企業(yè)網(wǎng)更新病毒庫和查殺病毒；g )外來移動(dòng)存儲介質(zhì)應(yīng)檢查病毒、殺毒、檢測并注冊后，方可使用。員工應(yīng)采取有效訪問控制措施，以確保訪問安全，具體要求如下：a)員工應(yīng)明確和采取措施，保護(hù)辦公計(jì)算機(jī)不受非法進(jìn)入；b )員工有合法使用和保護(hù)各類系統(tǒng)密碼的權(quán)利和義務(wù)；應(yīng) 妥善保管計(jì)算機(jī)設(shè)備賬號和密碼；) 必須設(shè)置屏保及密碼，屏

11、保等待時(shí)間小于15 分鐘，并在離開計(jì)算機(jī)時(shí)注銷登錄、啟動(dòng)屏保；精心整理精心整理不能使用容易被人破解的密碼；應(yīng) 定期更改密碼；g )不得向其他人公開密碼，在別人有可能已經(jīng)獲知密碼時(shí)，須立刻更改密碼，不得將密碼記錄在容易獲得的地方；h )不得索要、盜取、使用、傳播他人的任何賬號和密碼。528 員工在使用信息系統(tǒng)時(shí)應(yīng)確保信息安全，具體要求如下：a)員工不得通過互聯(lián)網(wǎng)傳遞屬于國家和公司保密規(guī)定范圍內(nèi)的任何信息；b )員工應(yīng)對終端內(nèi)公司業(yè)務(wù)文件數(shù)據(jù)的完整和安全負(fù)責(zé)，包括保護(hù)公司的信息和軟件；c) 公 司商秘?cái)?shù)據(jù)不得保留在私人計(jì)算機(jī)中；d )應(yīng)定期備份工作計(jì)算機(jī)終端數(shù)據(jù)；需使用移動(dòng)存儲介質(zhì)向有關(guān)機(jī)關(guān)、單位

12、提供信息時(shí)，應(yīng)由該信息的負(fù)責(zé)人審批；須一事一盤，嚴(yán)禁提供與該項(xiàng)工作無關(guān)的其他涉密信息，傳遞時(shí)應(yīng)檢查；員 工在離開原工作崗位時(shí)，需將計(jì)算機(jī)、移動(dòng)存儲及業(yè)務(wù)文件數(shù)據(jù)完整地交回所屬單位；g )員工未經(jīng)授權(quán)，不得將獲取的信息數(shù)據(jù)與軟件擴(kuò)散至第三方，因此而引起的法律糾紛應(yīng)由擴(kuò)散人員負(fù)責(zé)；h )敏感、重要信息不得遺留在打印設(shè)施，例如復(fù)印機(jī)、打印機(jī)和傳真機(jī)等；i ) 便攜式計(jì)算機(jī)在接入國際互聯(lián)網(wǎng)時(shí)，不得連接任何涉密移動(dòng)存儲介質(zhì)，不得訪問涉密信息；使用可移動(dòng)辦公工具的員工，有義務(wù)保證公司業(yè)務(wù)數(shù)據(jù)的安全性和機(jī)密性，不得泄漏公司信息，不得處理涉密信息，不得使用未取得中國國家合法入網(wǎng)許可的移動(dòng)辦公工具，并應(yīng)自覺遵守

13、公司制度，安裝正版軟件、公司統(tǒng)一的防護(hù)軟件并及時(shí)升級計(jì)算機(jī)終端和移動(dòng)辦公工具需要外部人員維修時(shí)，應(yīng)采取有效防護(hù)措施防止泄密或泄露公司信息。員工必須遵守國家關(guān)于知識產(chǎn)權(quán)保護(hù)的法律法規(guī)，安裝新的軟件需經(jīng)信息技術(shù)部門登記、檢查和授權(quán)，包括公司擁有所有權(quán)的、公司已經(jīng)購買版權(quán)的、或者是員工或供應(yīng)商使用公司資源開發(fā)的所有軟件。0 員工應(yīng)正確使用移動(dòng)郵件和遠(yuǎn)程訪問。具體要求如下：a)應(yīng)當(dāng)妥善保管可訪問公司郵件的移動(dòng)設(shè)備；b )應(yīng)當(dāng)設(shè)置一定復(fù)雜程度的開機(jī)密碼；c) 丟 失可訪問公司郵件的移動(dòng)設(shè)備的，應(yīng)及時(shí)報(bào)告技術(shù)支持部門；d )除獲得授權(quán)的遠(yuǎn)程漫游賬戶員工外，公司員工只能在公司內(nèi)通過局域網(wǎng)訪問公司網(wǎng)絡(luò)資源，嚴(yán)

14、禁以其它方式訪問；e)遠(yuǎn)程漫游賬戶員工應(yīng)遵守公司的相關(guān)制度，并采取以下措施以保證其計(jì)算機(jī)訪問公司網(wǎng)絡(luò)的安全：)僅通過信息技術(shù)部門提供的加密漫游賬戶接入公司網(wǎng)絡(luò)；安裝并啟用公司規(guī)定的防病毒軟件，并保證及時(shí)更新；安裝并啟用公司規(guī)定的防火墻軟件；保管好計(jì)算機(jī)、密碼。5.2.11 應(yīng)當(dāng)加強(qiáng)對第三方人員使用本公司信息系統(tǒng)的管理，具體要求如下：a)嚴(yán)格控制第三方人員在公司內(nèi)使用計(jì)算機(jī)和網(wǎng)絡(luò)；b )第三方人員必須簽訂保密協(xié)議，限制必要的訪問權(quán)限(如公司內(nèi)部網(wǎng)絡(luò)訪問權(quán)限、VPN 訪問權(quán)限等)，規(guī)定使用期限，明確公司內(nèi)責(zé)任人；c)第三方人員使用本公司信息系統(tǒng)時(shí)，應(yīng)遵守本規(guī)定。精心整理對外網(wǎng)站安全管理531對外網(wǎng)

15、站信息系統(tǒng)管理員應(yīng)當(dāng)嚴(yán)格按照制度規(guī)定實(shí)施管理，負(fù)責(zé)網(wǎng)站防病毒、防黑客攻擊及為網(wǎng)站的運(yùn)行提供技術(shù)支持與保障。對外網(wǎng)站信息系統(tǒng)管理員須及時(shí)向?qū)ν饩W(wǎng)站負(fù)責(zé)人報(bào)告網(wǎng)站信息安全事件及處理情況。對外網(wǎng)站負(fù)責(zé)人須及時(shí)向公司保密辦公室報(bào)告網(wǎng)站發(fā)生的重大安全事件，包括但不限于：對外網(wǎng)站被黑客攻擊；對外網(wǎng)站出現(xiàn)違法、不良信息；對外網(wǎng)站意外關(guān)閉3 天以上；安全事件造成5 萬元以上經(jīng)濟(jì)損失；對外網(wǎng)站負(fù)責(zé)人認(rèn)為需上報(bào)的其他安全事件。IT 支持服務(wù)中心應(yīng)于每季度安全評估公司對外網(wǎng)站，并向網(wǎng)站管理單位提出網(wǎng)站安全評估報(bào)告及加固建議。收到網(wǎng)站安全評估報(bào)告及加固建議后2 周內(nèi)，對外網(wǎng)站管理單位應(yīng)完成網(wǎng)站加固工作，并向公司保密辦

16、公室提交對外網(wǎng)站加固工作報(bào)告。5.4 系統(tǒng)安全補(bǔ)丁管理5.7.35.7.4信息系統(tǒng)管理員負(fù)責(zé)跟進(jìn)各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全補(bǔ)丁信息。安全補(bǔ)丁根據(jù)其對應(yīng)漏洞的嚴(yán)重程度分為三個(gè)級別：5.8.4.1?。喝绻到y(tǒng)漏洞被利用，將對資產(chǎn)造成重大或完全損害，須在安裝；5.8.4.2 統(tǒng)漏洞被利用，將對資產(chǎn)造成一般損害，須在5.8.4.3 ?。喝绻到y(tǒng)漏洞被利用，將對資產(chǎn)造成較小或可忽略損害，須在成安裝。緊急安全補(bǔ)15 天內(nèi)完成重要安全補(bǔ)?。喝绻? 個(gè)月內(nèi)完成安裝一般安全補(bǔ)5.7.5信息系統(tǒng)管理員須從正式渠道獲取安全補(bǔ)丁，正式渠道包括中國海油信息技術(shù)中心發(fā)布、提供的安全6 個(gè)月內(nèi)完補(bǔ)丁和產(chǎn)品廠

17、商提供的安全補(bǔ)丁，不包括從網(wǎng)站下載的安全補(bǔ)丁。系統(tǒng)責(zé)任人信息系統(tǒng)管理員應(yīng)制定安全補(bǔ)丁的檢驗(yàn)、測試、安裝以及系統(tǒng)測試、功能檢查的方案并報(bào)審核、批準(zhǔn)。信息系統(tǒng)管理員負(fù)責(zé)安全補(bǔ)丁的完整性校驗(yàn)，確保獲取的安全補(bǔ)丁可用且未被修改。重要系統(tǒng)的安全補(bǔ)丁安裝前須通過嚴(yán)格的模擬環(huán)境測試或現(xiàn)網(wǎng)測試：模擬環(huán)境需與現(xiàn)網(wǎng)環(huán)境盡可能一致，并考慮差異性帶來的風(fēng)險(xiǎn)；條件允許的情況下(如有測試環(huán)境或備機(jī))可實(shí)施現(xiàn)網(wǎng)測試。重要系統(tǒng)的安全補(bǔ)丁測試內(nèi)容包括安全補(bǔ)丁安裝測試、安全補(bǔ)丁功能性測試、安全補(bǔ)丁兼容性測試和安全補(bǔ)丁回退測試：安裝測試主要測試安全補(bǔ)丁安裝過程是否正確無誤，安全補(bǔ)丁安裝后系統(tǒng)是否正常啟動(dòng)；安全補(bǔ)丁功能性測試主要測試

18、安全補(bǔ)丁是否修補(bǔ)了安全漏洞；安全補(bǔ)丁兼容性測試主要測試安全補(bǔ)丁安裝后是否對應(yīng)用系統(tǒng)帶來影響，是否可正常運(yùn)行。安全補(bǔ)丁回退測試主要包括安全補(bǔ)丁卸載測試、系統(tǒng)還原測試。系統(tǒng)管理員負(fù)責(zé)實(shí)施重要系統(tǒng)安全補(bǔ)丁測試工作，測試完成后需給出明確的書面測試結(jié)論。經(jīng)測試并經(jīng)系統(tǒng)責(zé)任人測試并審核通過的安全補(bǔ)丁方可安裝到生產(chǎn)系統(tǒng)。精心整理5410 從安全漏洞發(fā)布到安全補(bǔ)丁安裝前，信息系統(tǒng)管理員應(yīng)視需要采取應(yīng)急措施加強(qiáng)網(wǎng)絡(luò)安全，各相關(guān)信息系統(tǒng)應(yīng)根據(jù)建議采取適當(dāng)?shù)姆雷o(hù)措施，并加強(qiáng)對系統(tǒng)的監(jiān)控，及時(shí)發(fā)現(xiàn)和報(bào)告安全事件。安全補(bǔ)丁安裝前，應(yīng)做好數(shù)據(jù)備份，確保任何操作都可回退，在到達(dá)回退時(shí)間安全補(bǔ)丁安裝沒有完成時(shí)，啟動(dòng)回退操作，

19、保證系統(tǒng)正常運(yùn)行。安全補(bǔ)丁應(yīng)在信息系統(tǒng)業(yè)務(wù)空閑時(shí)間安裝。5413 安裝核心信息系統(tǒng)的安全補(bǔ)丁，應(yīng)當(dāng)要求廠商工程師現(xiàn)場支持。安全補(bǔ)丁安裝完成后，信息系統(tǒng)管理員須查看系統(tǒng)信息，確保安全補(bǔ)丁已成功安裝。信息系統(tǒng)管理員須嚴(yán)格測試安裝安全補(bǔ)丁后的系統(tǒng)，包括：安全補(bǔ)丁安裝后系統(tǒng)的性能，各項(xiàng)業(yè)務(wù)操作是否正常。安全補(bǔ)丁安裝后1 周內(nèi)，信息系統(tǒng)管理員應(yīng)密切監(jiān)控系統(tǒng)性能和事件。信息系統(tǒng)管理員應(yīng)記錄系統(tǒng)所安裝的安全補(bǔ)丁，對不能安裝安全補(bǔ)丁的系統(tǒng)應(yīng)給予說明。公司和公司各單位應(yīng)定期審核補(bǔ)丁管理的執(zhí)行情況，審核內(nèi)容包括補(bǔ)丁安裝情況、補(bǔ)丁版本信息的準(zhǔn)確性和相關(guān)文檔的質(zhì)量。IT 支持服務(wù)中心審核人員應(yīng)定期通過安全漏洞掃描和現(xiàn)

20、場人工抽查檢查安全補(bǔ)丁管理情況。流程圖和內(nèi)控活動(dòng)列表依據(jù)本章節(jié)內(nèi)容制定的系統(tǒng)安全補(bǔ)丁管理流程圖見附件7.1 、系統(tǒng)安全補(bǔ)丁管理流程內(nèi)控活動(dòng)列表見附件7.2。信息系統(tǒng)建設(shè)安全管理信息系統(tǒng)建設(shè)規(guī)劃中應(yīng)包括安全規(guī)劃，安全規(guī)劃主要內(nèi)容應(yīng)包括信息安全保障系統(tǒng)技術(shù)框架總體規(guī)劃、安全管理體系規(guī)劃、網(wǎng)絡(luò)安全體系規(guī)劃、安全基礎(chǔ)設(shè)施應(yīng)用系統(tǒng)安全規(guī)劃、實(shí)施計(jì)劃及投資估算。立項(xiàng)單位應(yīng)從業(yè)務(wù)角度明確提出信息系統(tǒng)的安全需求，包括但不限于：業(yè)務(wù)連續(xù)性、可用性、機(jī)密性、完整性、合規(guī)性、業(yè)務(wù)操作記錄、身份抗抵賴等。立項(xiàng)單位和建設(shè)單位根據(jù)業(yè)務(wù)需求從信息技術(shù)角度明確提出信息系統(tǒng)的安全需求，包括但不限于：數(shù)據(jù)安全、應(yīng)用安全、主機(jī)安全

21、、網(wǎng)絡(luò)安全、物理環(huán)境、日志記錄等。立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)等級保護(hù)要求，進(jìn)行系統(tǒng)等級保護(hù)的自定級工作，定級工作需要符合如下要求：a)明確信息系統(tǒng)的邊界和安全保護(hù)等級；b )以書面的形式明確信息系統(tǒng)為某個(gè)安全保護(hù)等級的方法和理由；c) 定 級結(jié)果應(yīng)報(bào)公司行政管理部并應(yīng)由中國海油信息化部批準(zhǔn)；d )組織相關(guān)部門和有關(guān)安全技術(shù)專家論證、審定信息系統(tǒng)定級結(jié)果的合理性和正確性。立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)信息系統(tǒng)業(yè)務(wù)和技術(shù)方面的安全需求，制定可以滿足信息系統(tǒng)安全需求、符合等級保護(hù)要求的信息系統(tǒng)安全設(shè)計(jì)子方案，內(nèi)容包括但不限于：按子系統(tǒng)描述系統(tǒng)的安全體系結(jié)構(gòu)；b )描述每一個(gè)子系統(tǒng)所提供的安全功能；標(biāo) 識所要

22、求的任何基礎(chǔ)性的硬件、固件或軟件，及其支持性保護(hù)機(jī)制提供的功能表示；d )描述子系統(tǒng)所有接口的用途與使用方法，并適當(dāng)提供影響、例外情況和錯(cuò)誤消息的細(xì)節(jié)；確保子系統(tǒng)(包括但不限于：外購系統(tǒng)以及自主開發(fā)系統(tǒng))的安全功能指標(biāo)滿足系統(tǒng)安全需求及等級保護(hù)要求。立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)系統(tǒng)的安全保護(hù)等級選擇基本安全措施，并依據(jù)風(fēng)險(xiǎn)分析的結(jié)果補(bǔ)充和調(diào)整安全措施。精心整理立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)信息系統(tǒng)的等級劃分情況，統(tǒng)一考慮安全保障體系的總體安全策略、 安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案，形成配套文件。立項(xiàng)單位和建設(shè)單位應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對總體安全策略、安全技術(shù)框架、 安全

23、管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定，且經(jīng)過信息安全負(fù)責(zé)人批準(zhǔn)后，方可正式實(shí)施。0 立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)等級測評、安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)方案等相關(guān)配套文件。立項(xiàng)單位和建設(shè)單位應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)管理工程實(shí)施過程，應(yīng)按照信息系統(tǒng)安全設(shè)計(jì)方案要求，實(shí)施信息系統(tǒng)。立項(xiàng)單位和建設(shè)單位應(yīng)制定工程實(shí)施方面的管理制度，明確說明實(shí)施過程的控制方法和人員行為準(zhǔn)則。信息系統(tǒng)建設(shè)涉及程序開發(fā)的，應(yīng)當(dāng)進(jìn)行源代碼安全測試，代碼安全應(yīng)遵照中國海油代碼編寫安全管理細(xì)則執(zhí)行。在信息系統(tǒng)實(shí)施完成后，

24、立項(xiàng)單位和建設(shè)單位應(yīng)申請對信息系統(tǒng)的安全測試和測評，提交信息系統(tǒng)安全整改報(bào)告。測試和測評內(nèi)容應(yīng)包括：a)信息系統(tǒng)滲透性測試；b )信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)評估，包括：脆弱性檢查、資產(chǎn)分析、威脅分析、綜合賦值等，其中脆弱性檢查又分為：漏洞檢查及配置核查；c) 信 息系統(tǒng)管理風(fēng)險(xiǎn)評估；d )信息系統(tǒng)合規(guī)性評估。在測試和測評驗(yàn)收前，立項(xiàng)單位和建設(shè)單位應(yīng)根據(jù)設(shè)計(jì)方案或合同要求等制定測試和測評驗(yàn)收方案，在測試和測評驗(yàn)收過程中應(yīng)詳細(xì)記錄測試和測評驗(yàn)收結(jié)果，并形成驗(yàn)收報(bào)告。立項(xiàng)單位和建設(shè)單位應(yīng)書面規(guī)定系統(tǒng)測試和測評驗(yàn)收的控制方法和人員行為準(zhǔn)則，應(yīng)指定或授權(quán)專門的機(jī)構(gòu)負(fù)責(zé)系統(tǒng)測試和測評驗(yàn)收的管理，并按照管理規(guī)定的要求

25、完成系統(tǒng)測試和測評驗(yàn)收工作，應(yīng)組織相關(guān)部門和相關(guān)人員審定系統(tǒng)測試和測評驗(yàn)收報(bào)告，并簽字確認(rèn)。在信息系統(tǒng)安全測試和測評報(bào)告經(jīng)信息安全負(fù)責(zé)人審批同意后，信息系統(tǒng)方可上線試運(yùn)行，并在驗(yàn)收后正式投入使用。信息系統(tǒng)業(yè)務(wù)單位和使用單位應(yīng)按系統(tǒng)安全保護(hù)級別開展運(yùn)維工作，在系統(tǒng)應(yīng)用過程中要加強(qiáng)日常信息安全管理，并對管理和技術(shù)層面上存在的不足，加以持續(xù)改進(jìn)。應(yīng)在信息系統(tǒng)后評價(jià)階段，對系統(tǒng)運(yùn)維、項(xiàng)目實(shí)施過程或項(xiàng)目管理中涉及的安全管理情況進(jìn)行評估和檢查。信息系統(tǒng)停用下線后，由信息系統(tǒng)變更申請單位聯(lián)系IT 支持服務(wù)中心對硬件資產(chǎn)進(jìn)行評估，如無繼續(xù)使信息系統(tǒng)全生命周期中涉及的電子文檔資料和系統(tǒng)中保存的用價(jià)值，則對硬件資

26、產(chǎn)實(shí)施安全處理后進(jìn)行報(bào)廢，數(shù)據(jù)資產(chǎn)按照公司電子文件管理細(xì)則進(jìn)行處理。信息系統(tǒng)等級保護(hù)管理遵照信息系統(tǒng)安全等級保護(hù)工作實(shí)施細(xì)則(AM-01-08-02 )執(zhí)行。流程圖和內(nèi)控活動(dòng)列表依據(jù)本章節(jié)內(nèi)容制定的信息系統(tǒng)安全測試的流程圖見附件7.3、信息系統(tǒng)安全測試的內(nèi)控活動(dòng)列表見附件7.4。5.6 備份和災(zāi)備管理公司統(tǒng)一指導(dǎo)、組織信息系統(tǒng)備份及災(zāi)備中心的管理。(包括災(zāi)難備份恢復(fù)587.1 IT 支持服務(wù)中心應(yīng)建立信息系統(tǒng)備份系統(tǒng)、災(zāi)備中心、管理細(xì)則和流程 應(yīng)急預(yù)案及演練計(jì)劃)，確保信息系統(tǒng)安全備份、災(zāi)備、運(yùn)維和演練。精心整理563 IT 支持服務(wù)中心應(yīng)每半年開展備份系統(tǒng)、災(zāi)備中心演練和評估、驗(yàn)證數(shù)據(jù)可用性

27、，根據(jù)演練、評估和驗(yàn)證情況，對應(yīng)急預(yù)案和計(jì)劃進(jìn)行修訂。5.8.8.1 IT 支持服務(wù)中心應(yīng)記錄災(zāi)備中心的運(yùn)行情況，每季度向公司提交運(yùn)行情況報(bào)告。5.9.1 執(zhí)行要求各單位應(yīng)制定信息系統(tǒng)安全管理細(xì)則或流程，內(nèi)容應(yīng)包括安全管理策略、工作內(nèi)容、責(zé)任和應(yīng)急預(yù)案。各單位應(yīng)加強(qiáng)對信息系統(tǒng)開發(fā)過程的信息安全管理，確保信息系統(tǒng)及其開發(fā)過程的安全性，應(yīng)建立開發(fā)過程的安全控制措施，內(nèi)容應(yīng)包括：應(yīng)在信息系統(tǒng)開發(fā)項(xiàng)目的可行性研究分析中包括信息安全方面的內(nèi)容；b )應(yīng)在信息系統(tǒng)需求分析中包括安全分析；應(yīng)在信息系統(tǒng)設(shè)計(jì)過程中，設(shè)計(jì)確保業(yè)務(wù)安全的安全技術(shù)方案；d )應(yīng)在信息系統(tǒng)開發(fā)實(shí)施過程中遵循最小權(quán)限原則，明確各崗位人員

28、在開發(fā)過程中的職責(zé)和訪問權(quán)限；信息系統(tǒng)的開發(fā)環(huán)境應(yīng)相對獨(dú)立，開發(fā)環(huán)境和現(xiàn)場應(yīng)與運(yùn)行環(huán)境相分離，并實(shí)行值班登記制度；應(yīng) 在信息系統(tǒng)測試過程中進(jìn)行安全功能和機(jī)制的測試；g )信息系統(tǒng)移植至生產(chǎn)環(huán)境之前，應(yīng)制定、檢查信息系統(tǒng)安全控制措施和應(yīng)急預(yù)案，并進(jìn)行用戶接受性測試；h )系統(tǒng)檢查驗(yàn)收的文檔資料中應(yīng)包括與安全相關(guān)的各類內(nèi)容或文檔。應(yīng)在信息系統(tǒng)使用過程中進(jìn)行安全監(jiān)控和保護(hù)，內(nèi)容包括：a)信息系統(tǒng)安裝之前測試其安全性和可靠性，信息系統(tǒng)安裝過程中應(yīng)防范對信息系統(tǒng)知識產(chǎn)權(quán)的非法侵害(如被非法拷貝或使用盜版)；b )信息系統(tǒng)日常使用過程中應(yīng)遵循安全等級制度(包括認(rèn)證、授權(quán)、加密、加固、防惡意代碼和日志審計(jì)等

29、)的各項(xiàng)基本要求，并應(yīng)遵循職責(zé)分離的要求；c)應(yīng)指派專人對信息系統(tǒng)進(jìn)行日常備份、維護(hù)和技術(shù)支持，信息系統(tǒng)更新?lián)Q代時(shí)應(yīng)妥善處置原有信息系統(tǒng)。在公司硬件、軟件采購過程中應(yīng)使用適當(dāng)?shù)陌踩刂剖侄?，?nèi)容包括：a)在購買之前，應(yīng)對業(yè)務(wù)需求中的安全內(nèi)容進(jìn)行分析，確定安全要求；b ) 在采購招標(biāo)中，應(yīng)明確安全特性、銷售許可證和安全資質(zhì)的要求；c)在采購?fù)瓿珊?，?yīng)遵循第三方合作及外包安全管理要求簽訂安全協(xié)議。各單位應(yīng)建立相關(guān)報(bào)告制度，將具體安全管理責(zé)任落實(shí)到人，及時(shí)處理本單位范圍內(nèi)出現(xiàn)的各種安全問題。各單位應(yīng)記錄信息系統(tǒng)安全管理、安全測評、系安全事件調(diào)查與處理，并接受公司信息安全檢查。每一項(xiàng)與信息系統(tǒng)安全有關(guān)

30、的活動(dòng)，都應(yīng)有兩人或多人在場，負(fù)責(zé)的安全活動(dòng)范圍包括：a)訪問控制使用證件的發(fā)放與回收；b ) 信息處理系統(tǒng)使用的媒介發(fā)放與回收；c)處理保密信息；d ) 硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重 要程序和數(shù)據(jù)的刪除和銷毀等。下面每組內(nèi)的兩項(xiàng)信息系統(tǒng)維護(hù)管理工作應(yīng)當(dāng)盡可能分開，進(jìn)行必要的職責(zé)分離：系統(tǒng)管理與計(jì)算機(jī)編程；b ) 機(jī)密資料的接收和傳送；精心整理安全管理和系統(tǒng)管理；d ) 訪問證件的管理與其它工作；數(shù)據(jù)庫管理和應(yīng)用程序管理。各單位負(fù)責(zé)信息系統(tǒng)安全管理的部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性或主要程度，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：a)根據(jù)工作的重要程度，

31、確定該系統(tǒng)的安全等級；b ) 根據(jù)確定的安全等級，確定安全管理的范圍；c)制訂相應(yīng)的機(jī)房出入管理制度；d ) 對于安全等級要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動(dòng)識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別、登記和管理；e)制訂嚴(yán)格的操作規(guī)程；f)操作規(guī)程要根據(jù)職責(zé)明確和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍，對工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)；g )制訂完備的系統(tǒng)維護(hù)制度；h ) 對系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)系統(tǒng)管理責(zé)任單位的批準(zhǔn)，并有安全管理人員在場，故障的原因、維護(hù)內(nèi)容和

32、維護(hù)前后的情況要詳細(xì)記錄；i ) 建 立信息系統(tǒng)應(yīng)急響應(yīng)組織，定義組織角色和職責(zé)。建立信息系統(tǒng)應(yīng)急響應(yīng)流程，定義響應(yīng)的每個(gè)階段和內(nèi)容，使損失減至最小。5.10.9 IT 支持服務(wù)中心應(yīng)加強(qiáng)移動(dòng)辦公系統(tǒng)和移動(dòng)辦公工具的安全防護(hù)，確保員工的移動(dòng)辦公工具在使用公司移動(dòng)應(yīng)用系統(tǒng)時(shí)與公司網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)傳輸和終端應(yīng)用及數(shù)據(jù)的安全。5.9.2 應(yīng)急響應(yīng)當(dāng)網(wǎng)絡(luò)和信息系統(tǒng)的生產(chǎn)系統(tǒng)出現(xiàn)停止服務(wù)、關(guān)鍵功能大面積失效或全局性重要業(yè)務(wù)無法運(yùn)行的緊急事件時(shí)，公司啟動(dòng)應(yīng)急響應(yīng)，解決和排除故障，恢復(fù)生產(chǎn)系統(tǒng)的正常運(yùn)行。公司信息化領(lǐng)導(dǎo)小組是緊急事件應(yīng)急指揮小組，負(fù)責(zé)：a)統(tǒng)一指揮緊急事件應(yīng)急處理；b ) 協(xié) 調(diào)相關(guān)資源處理緊

33、急事件；c)決定是否啟動(dòng)備份系統(tǒng)；d ) 決 定是否及如何通報(bào)緊急事件；f)建議各使用單位啟動(dòng)緊急預(yù)案。應(yīng)急辦公室設(shè)在行政管理部，負(fù)責(zé)協(xié)助應(yīng)急指揮小組處理緊急事件。緊急事件應(yīng)急響應(yīng)支持分為一級支持、二級支持和1331 服務(wù)臺。一級支持由使用單位關(guān)鍵用戶及相關(guān)人員組成，對本單位用戶提供本地技術(shù)支持；一級支持就緊急事件進(jìn)行解決與恢復(fù)操作，通過1331 服務(wù)臺上報(bào)二級支持。二級支持由IT 支持服務(wù)中心支持人員組成，對各單位提供支持；二級支持負(fù)責(zé)：a) 緊 急事件判斷；b ) 就緊急事件進(jìn)行解決與恢復(fù)操作；c )與外部支持溝通，尋求相關(guān)支持；d )形成應(yīng)急處理報(bào)告。1331 服務(wù)臺處理客戶請求，記錄緊

34、急事件，派發(fā)或轉(zhuǎn)發(fā)工單。5.8.5 緊急事件應(yīng)急處理范圍由于軟件產(chǎn)品存在缺陷或使用過程中出現(xiàn)的失誤，導(dǎo)致關(guān)鍵功能大面積失效或全局性重要業(yè)務(wù)無法運(yùn)行。精心整理除原因之外的其他故障導(dǎo)致系統(tǒng)停止服務(wù)，或?qū)е玛P(guān)鍵功能大面積失效、全局性重要業(yè)務(wù)無法運(yùn)行。.6 緊急事件應(yīng)急處理內(nèi)容5.8.6.1 明確故障范圍，確定故障原因和排除故障，減少對業(yè)務(wù)的影響。5.8.6.25.8.6.3向各使用單位通報(bào)緊急事件處理進(jìn)度。緊急事件須根據(jù)規(guī)定的流程，在ITS M 系統(tǒng)中準(zhǔn)確、完整的完成事件的記錄、處理和分析5.8.6.4 須對應(yīng)急處理進(jìn)行回顧和分析，并提出預(yù)防措施和建議。必要情況下請求啟動(dòng)災(zāi)備。總結(jié)。5.8.7 緊急

35、事件的上報(bào)5.8.6.5級支持人員不能及時(shí)解決的事件，應(yīng)及時(shí)通過1331 服務(wù)臺將事件升級上報(bào)至二級支持。二級支持人員對上報(bào)的事件進(jìn)行初步評估，判斷緊急事件性質(zhì)和影響，協(xié)調(diào)資源，確定問題范圍，采取應(yīng)對措施，并將情況通報(bào)應(yīng)急辦公室。二級支持不能及時(shí)解決的事件，應(yīng)將情況和擬采取的應(yīng)對措施上報(bào)至應(yīng)急指揮小組。5.8.8 緊急事件的處理應(yīng)急指揮小組協(xié)調(diào)應(yīng)急處理人員解決問題，應(yīng)急處理人員及時(shí)排除故障，詳細(xì)記錄問題解決過程、操作步驟。應(yīng)急辦公室向使用單位反饋系統(tǒng)緊急事件處理情況。應(yīng)急指揮小組參考使用單位的實(shí)際情況，建議使用單位啟動(dòng)應(yīng)急預(yù)案，使用單位反饋應(yīng)急預(yù)案執(zhí)行情況。經(jīng)過應(yīng)急指揮小組的綜合判斷后，確定短時(shí)間內(nèi)無法恢復(fù)系統(tǒng)至正常運(yùn)行狀態(tài)時(shí)，由應(yīng) 急指揮小組決定是否啟動(dòng)災(zāi)備系統(tǒng)。處理人員在處理過程中保留緊急事件處理過程記錄，對事件原因和解決方案進(jìn)行分析、總結(jié)，完善預(yù)防性措施，形成應(yīng)急處理報(bào)告；在處理完成后，將緊急事件處理過程記錄及應(yīng)急處理報(bào)告，交付應(yīng)急辦公室。5.8.9 流程圖和內(nèi)控活動(dòng)列