SY/T 7006-2014 石油工业信息系统总体控制规范
附件大小:13.91MB附件格式:1个直链文件,格式为pdf
所属分类:石化规范
分享会员:rrrrrrr
分享时间:2022-06-07
最后更新:
资源简介/截图:
ICS75-010
E07 SY
备案号:48257-2015
中华人民共和国石油天然气行业标准
SY/T7006—2014
石油工业信息系统总体控制规范
Specification for general computer control of petroleum industry
2014一10一15发布 2015-03-01实施
国家能源局发布
1范围
本标准规定了信息系统总体控制的要求。
本标准适用于为石泊行业的信息系统管理、建设和运维。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB17859一1999计算机信息系统安全保护等级划分准则
GB/T20984一2007信息安全技术·信息安全风险评估规范
GB/Z20985一2007信息技术安全技术信息安全事件管理指南
GB/T24363一2009信息安全技术信息安全应急响应计划规范
互联网信息服务管理办法中华人民共和国国务院令第292号(2009)
信息安全等级保护管理办法公通字(2007力43号)
3基本内容
信息系统总体控制规范实施涉及的内容包括:控制环境、信息安全,项日建设管理、第三方管理、系统变更管理、系统运行维护等。
3.1拉制环境
控制环境包括信息技术总体规划管理、信息技术组织及人力资源管理、信息与沟通、风险评估、监控等。
3.2信息安全
信息安全包括安全管理相关职、信息分级管理、系统权限及密码管理、网络及系统安全管理、数据安全管理、计算机防病毒管理、信息安全事件管理等。
3.3项目建设管理
项目建设管理包括项目立项管理、项日计划及启动管理、项目实施管理、项目验收管理、人员管理、需求管理、进度管理、沟通管理、问题管理、项目变更管理、项日培训等。
3.4第三方管理
第三方管理包括外包服务商的选择、服务水平协议及合同的管理、外包服务商的管理、外包安全普理、外包服务考核、持续改进和风险控制等。
3.5系统变更管理
系统变更管理包括变更申请和受理、变更方案实施、变更测试、变更上线、紧急变更等。
3.6系统运行维护
系统运行续护包括机房物理控制、批处理作业管理、备份与恢复,间题管理等。
4控制环境
4.1情息技术总体规划管理
4.1.1公司信息化工作主管部门负责制定本公司信息技术项目规划,报经上级主管委员会审批通过后下发执行。
4.1.2信息技术项目规划包括信息技术项目建设的规划、基础设施建设的规划以及信息队伍与制度体系建设等方而内容。
4.1.3公司信息化工作主管部门定期(至少每年度)组织相关业务部门对本公司信息技术项目规划的执行情况及其对公司业务的适应性进行审阅。如果执行情况与规划偏离。或规划内容和公司业务实际情况不再适应,公司信息化工作主管部门随之调整规划以适应公司业务发展需要。调整后的规划报经上级主管委员会批准后下发执行。
4.1.4公司内各级信息化工作管理部门依据信息技术项目规划,制定本单位的信息技术年度工作计划。
4.2信息技术组织及人力资源管理
4.2.1公司信息化工作主管部门负责指导和监督其下属各控股公司、全资公司、直属企事业单位的信息技术工作,建立纵向汇报、沟通、监控机制。具体为:
a)公司下属各级信息化工作管理部门每年向上级主管部门进行年度工作汇报。
b)公司信息化工作各级主管部门不定期对其下属信息化工作管理部门的工作情况进行检查,形成相关文档,如会议纪要或者工作检查报告等,并负责相关文档的归档。
4.2.2公司下属各级信息化工作管理部门的岗位设置遵循职责分离的原则,要求:
a)监督者独立于执行者。
b)操作者和授权者分离。
c)应用系统管理员和数据库管理员分离。
d)程序开发人员无生产环境的访间权限。
4.2.3各级信息化工作管理部门在重要工作岗位上可设置两名以上员工互为备份,并加强备份岗位人员的交叉培训。
4.2.4各级信息化工作管理部门负贵制定信息技术培训计划,并组织实施,同时负责完成培训计划和所有培训相关文件的归档工作。
4.3信泉分类与沟通管理
4.3.1信息分类管理:各级信息化工作管理部门对所属单位使用的信息资产建立清单、进行分级,明确各信息资产的相关责任人。
4.3.2信息沟通管理:
a)各级信息化工作管理部门负责本单位的信息系统总体控制相关政策和制度的宣贯工作。
b)各级信息化工作管理部门定期评估信息系统总体控制相关政策和制度在本单位的执行情况。