QSH 1035 0924-2006 计算机信息系统安全管理规范

Q/SH江汉石油管理局企业标准Q/SH10350924—2006计算机信息系统安全管理规范2006-12-27发布2007-05-01实施江汉石油管理局发布Q/SH10350924—2006I目次前言............................................................................II1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14信息安全策略制定及评价..............................................................25安全机构及职责.....................................................................26信息人员安全管理...................................................................37系统安全管理.......................................................................38网络安全管理.......................................................................69访问控制...........................................................................810系统开发及维护的安全管理...........................................................911信息资产的安全管理...............................................................1012设备及环境安全管理...............................................................11Q/SH10350924—2006II前言本标准由江汉油田质量标准化委员会提出。本标准由江汉油田信息专业标准化委员会技术归口。本标准起草单位：江汉油田分公司经济研究与信息中心。本标准主要起草人：诸建平、童向东、董伟。本标准为首次发布。Q/SH10350924—20061计算机信息系统安全管理规范1范围本标准规定了江汉油田计算机信息系统安全管理的基本要求。本标准适用于江汉油田计算机信息系统，其它信息系统可参照执行。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T2887-2000电子计算机场地通用规范3术语和定义下列术语和定义适用于本标准。3.1计算机信息系统由计算机及其相关的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2信息安全对信息基础设施、应用系统或信息内容的可靠性、保密性、完整性、可用性、可控性或不可否认性进行保障和保护。3.3风险评估对信息和信息处理设施可能受到的威胁、影响与其自身弱点的评估，以及这些风险发生的可能性的预测。3.4风险管理用可接受的开销对影响信息系统的各种风险进行鉴定、管理的过程，使风险达到最小或者消除风险。3.5数据备份使用较低廉的存储介质，定期将系统业务数据备份下来，以保证数据意外丢失时能尽快恢复，将用户的损失降到最低点。3.6备份介质存放备份数据信息的媒介。3.7计算机病毒编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。Q/SH10350924—200624信息安全策略制定及评价4.1信息系统安全策略制定4.1.1应根据国家信息安全的相关法律、法规及中石化有关信息安全的相关规定，参考本规范制定的信息系统安全管理规定，进行风险预测与风险评估，并以文件等形式公开发布。4.1.2信息系统安全策略包括内容：——信息安全的总体目标和范围；——信息安全的原则、标准；——信息安全工作机构、职责和人员分工；——安全教育及培训的要求；——计算机病毒和其它恶意软件的预防及检测；——业务连续性要求；——违反安全管理策略的后果；——发生信息安全事件的报告、处理流程、相关规定及说明。4.2信息系统安全策略评估4.2.1制订的信息安全策略应定期进行复查，以反映国家信息安全管理法律、法规的变更，适应信息安全技术的最新发展，确保符合安全政策，确保信息安全的可行性及有效性。4.2.2信息系统安全策略评估工作，由油田信息中心负责组织，由企业具有专业技术知识的人员组成的评估小组或具备相应资质的机构进行。4.2.3应定期对所属单位及人员进行考核，对信息系统、采用技术进行评价，以确保其符合安全策略中的有关规定。4.2.3.1应列入考核和评价的对象包括：——信息系统及系统开发和建设单位；——信息及资料提供单位；——使用人员；——管理人员；——系统维护人员；——其他相关人员。4.2.3.2信息系统责任单位应积极配合，检查相关人员是否遵守信息安全管理制度和相关规定。4.2.3.3应定期对系统软件和硬件设备进行安全性检查，以确保其符合安全标准，检查对象应包括操作系统。4.2.3.4安全策略评估应形成技术评估报告。5安全机构及职责5.1建立油田、厂处两级安全管理体系。油田成立信息系统安全管理小组，办公室设在油田信息中心，接受上级主管部门、江汉油田信息化工作领导小组和局保密委员会领导。各厂处应成立信息系统安全管理小组。5.2油田信息系统安全管理小组职责：a）负责与上级信息系统安全主管部门建立相关工作关系；b）组织制定和执行油田信息系统安全规划、策略、标准、流程、应急计划、宣传教育与培训计划等；c）建立健全并监督执行各种规章制度，定期对所属信息系统进行安全检查和风险分析，提出并落实相应的对策；d）组织、协调、指导信息系统的安全工作，定期进行总结并向相关领导机构报告情况；e）监督信息系统的开发、建设、运行。做好油田信息系统的安全运行、维护、管理等工作；Q/SH10350924—20063f）如发生信息系统的重大安全事故、事件，及时向上级主管部门报告。5.3厂处信息系统安全管理小组职责：a）负责与油田信息系统安全管理小组联系，工作上接受油田信息系统安全管理小组的领导；b）组织制定和执行厂处信息系统安全策略、标准、流程、应急计划、宣传教育与培训计划等；c）建立健全并监督执行厂处信息系统安全规章制度，定期对所属信息系统进行安全检查和风险分析，提出并落实相应的对策；d）组织、协调、指导厂处信息系统安全工作，定期进行总结并向相关领导机构报告情况；e）监督本厂处信息系统的开发、建设、运行。做好厂处信息系统的安全运行、维护、管理等工作；f）如发生信息系统的重大安全事故、事件，及时向油田信息系统安全管理小组报告。6信息人员安全管理6.1对涉及信息安全的信息人员应根据其处理信息的安全性和机密性等级要求进行筛选，定期从政治思想、业务水平、工作表现、安全意识、循章守纪等方面进行考核。6.2信息人员应接受信息安全教育和培训，包括安全要求、法律责任、业务管理措施、授权访问信息、受控资源访问方法。6.3对关键岗位信息人员应进行专业信息安全和技术培训，达到相应资质要求。6.4根据最小特权原则，信息岗位应建立岗位责任制度和授权许可制度，明确岗位所负责的领域、安全职责和权限。6.5关键岗位信息人员与所在单位应签订安全保密协议，明确安全职责，约束保密行为；一旦调离岗位，应及时更换相关的系统口令，注销其所有账号，撤销其出入安全区域、接触敏感信息的权限。7系统安全管理7.1系统运行管理7.1.1信息系统投入使用时使用单位应建立相应的操作规程和安全管理制度。7.1.2信息系统应建立用户管理制度，用户注册和授权应有审批手续。7.1.3信息系统用户应严格按照操作规程和有关安全管理制度进行操作，保证系统安全运行。7.1.4对信息系统在运行过程中出现的异常现象，以及有关安全制度在执行过程中出现的问题，用户有责任向单位和计算机安全管理机构报告。7.1.5信息系统应定期进行数据备份，对备份介质应按有关规定指定专人妥善保管，重要业务系统的备份介质必须异地保存。7.1.6重要信息系统应当建立信息安全事件处理机制和应急预案，保证业务不间断运行。7.1.7重要信息系统应设置审计监控程序，具有身份识别和实体认证功能。能够自动记录操作人员的重要操作，具有防抵赖机制。7.2用户操作及职责7.2.1用户操作7.2.1.1信息系统应制定操作手册，以纸质或电子文档形式提供给信息人员，以确保安全操作，并将其作为系统升级、维护和测试的依据。7.2.1.2操作手册应包含以下内容：——数据处理方式；——时间要求；——错误处理；——资料输出处理要求，例如对秘密资料的输出管理；——设备及网络日常维护。Q/SH10350924—200647.2.2信息安全事件的管理7.2.2.1信息安全事件处理机制，包括应急计划、内容、应急响应，明确相关人员职责。7.2.2.2信息安全事件包括：——计算机宕机及服务响应中断；——数据不正确或不完整导致的处理错误；——秘密资料失窃。7.2.2.3除正常的应急计划外，信息安全事件处理还应包括：——分析和辨别事故原因；——预防措施及错误更正；——审查追踪记录及相关证据收集；——与事件有关人员及受到事故影响的相关人员进行沟通和了解。7.2.2.4安全响应处理应包括：——在最短时间内，确认已恢复的系统及安全处理是否完整及正确；——及时向上级信息主管部门报告；——限定只有被授权的人员，才可使用已恢复正常的系统及数据资料；——应详细记载紧急处理过程，以备日后复查。7.2.3职务分离7.2.3.1为降低因人为疏忽或故意，减小资料或系统遭受风险，对关键和重要的信息系统，应把某些职务或职责范围的管理权或执行权进行分离。系统管理人员、网络管理人员、系统开发人员、系统维护人员与业务操作员之间、系统开发人员与系统管理员之间不得兼任。7.2.3.2非关键系统受人员限制，如果难于把责任分离，应采取其他的管理措施，例如：活动监测、审查追踪和管理监督。安全审查要保持独立性，由非系统管理人员担任。7.2.4开发系统和运行系统的分离7.2.4.1系统开发和测试共享同一台计算机系统，开发和测试工作会在无意中导致对软件和信息的修改。为降低可能的风险，应将开发、测试和运行设备互相分离。7.3信息项目安全管理7.3.1委托开发信息项目的安全管理7.3.1.1采用委托方式开发的信息项目，应在项目论证中评估存在的安全风险（例如资料或密码算法破解、系统遭受破坏或资料丢失等风险），与开发商签订信息安全保密协议，在合同中明确相关的安全管理责任。7.3.1.2应纳入合同的信息安全事项包括：——涉及机密性、敏感性或是关键性的应用系统项目；——应经过核准才执行的事项；——开发商如何配合保证业务连续；——开发商应遵守的信息安全规范及标准；——设备的安全性能指标；——信息安全责任分担及应急响应措施。7.3.2项目实施7.3.2.1应随时注意及观察业务和数据处理相应的性能要求，保证有足够的处理能力和存储空间。7.3