Q/SY 1341-2010 信息系统安全管理规范
附件大小:4.75MB附件格式:1个直链文件,格式为pdf
所属分类:石化规范
分享会员:llff11358
分享时间:2022-09-21
最后更新:
资源简介/截图:
Q/SY
中国石油天然气集团公司企业标准
Q/SY1341-2010
信息系统安全管理规范
Specifications for information system security management
2010-05-25发布2010-08-01实施
中国石油天然气集团公司发布
1范围
本标准规定了信息存储、传输及应用各环节的管理,涉及到以下10个方面:
安全管理,
物理安全
网络安全:
信息加密:
运行安全:
访问控制:
一安全架构和评估:
灾难恢复计划,
应急响应,
用户管理:
本标准适用于中国石油天然气集团公司(以下简称“中国石油”)总部及所属各企事业单位。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或像订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方
研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T9361计算站场地安全要求
GBT17859一1999计算机信息系统安全保护等级划分准则
SYT5231-2010石油工业计算机信息系统安全管理规范
ISO/IEC 15408信息技术安全评估准则
3术语和定义
SYT5231一2010确立的以及下列术语和定义适用于本标准。
3.1
威胁threat
可能导致对系统或组织危害的不希望事故潜在起因。
[GBT20984一2007,定义3.17刀
3.2
风险评估risk assessment
依据有关信息安全技术与管理标准,对信总系统及由其处理、传输和存储的信总的机密性、完整
性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件
的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
[GB/T20984一2007,定义3.7]
3.3
灾难disaster
由于人为或自然的原因,造成信总系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或
服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。
[GBT20988一2007,定义3.81
3.4
灾难恢复disaster recovery
为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从
灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
[GB/T20988-2007,定义3.9]
3.5
灾难恢复计划disaster recovery planning
为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续
运作所做的事前计划和安排。
[GBT20988一2007,定义3.11]
3.6
演练exercise
为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程,包括桌面演练、模拟演
练、重点演练和完整演练等。
[GB/T20988-2007,定义3.13]
3.7
信息系统information system
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/Z20986一2007,定义2.1]
4安全管理
4.1信总系统安全管理应坚持“谁主管谁负责”的原则,各信总系统的主管部门、运营和使用单位
应各自履行信息系统安全建设和管理的义务与责任。
4.2中国石油信息化工作领导小组是信息系统安全工作的最高决策机构,负责信息系统安全政策
制度和体系建设规划的审批,部署并协调信息系统安全体系建设,指导信息系统等级保护工作。
4.3信息管理部是中国石油信息系统安全的归口管理部门,负责落实信息化工作领导小组的决策
实施中国石油信息系统安全建设与管理,确保信息系统的有效保护和安全运行。
职责包括:
a)组织制定和实施中国石油信总系统安全政策标准、管理制度和体系建设规划。
b)组织实施信息系统安全项目和培训。
c)组织信息系统安全工作的监督和检查,
4.4中国石油保密部门负责信息系统安全工作中有关保密工作的监督、检查和领导。
4.5各企事业单位信息管理部门负责本单位信息系统安全的管理。
职责包括:
)在本单位宣传和贯彻执行信息系统安全政策与标准,确保本单位信息系统的安全运行。
b)实施本单位信息系统安全项目和培训。