Q/SY 26001-2022 商业秘密信息系统建设、运维及测评规范.pdf

O/SY 中国石油天然气集团有限公司企业标准 Q/SY26001—2022 代替Q/SY10008—2017、Q/SY26001—2019 商业秘密信息系统建设、运维及测评规范 Specifications for development.operation and maintenance.assessment of mercial secret security information system 2022一11一24发布 2023一02一01实施 中国石油天然气集团有限公司发布 Q/SY26001-2022 目 次 前言… IV 1范围 1 2规范性引用文件 1 3术语和定义 1 4缩略语 2 5总体要求 2 6目标 3 6.1保密性 3 6.2真实性 3 6.3完整性 3 6.4抗抵赖性 ”…3 6.5可控性 3 7基本要求 7.1等级保护 3 7.2 商业秘密定密及标 3 7.3 角色定义 4 74 数据流向控制 7.5 密码应用 5 7.6 系统评估 5 8环境要求 8.1物理环境 5 8.2 网络环境 5 8.3 云平台环境 6 8.4 数据湖环境 6 8.5 主机环境 6 8.6 介质环境 8 9功能要求 8 9.1身份鉴别 8 9.2 访问控制 8 9.3 输入输出 9 94 安全监测 9 95 安全审计 9 Q/SY26001—2022 9.6定密与密级标志 10 9.7移动应用安全防护 …11 9.8数据保护 ……11 9.9其他功能 …13 10管理要求……… 13 10.1运维要求…… 13 10.2 应用要求……… …14 10.3 应急响应要求…… ……15 10.4废止要求…… *16 11测评工作总体要求………… …16 12 测评工作流程…… …16 12.1 提交评估申请…… ……16 12.2 确定测评机构 ……16 12.3 资料审查… …16 12.4 制定测评方案 …17 12.5 现场测评… …17 12.6 测评结果分析 ……17 12.7 专家评审…… ……17 12.8 给出测评结论…… ……17 12.9 发证运行……… ……………17 12.10周期性评估 … ……17 13 基本要求测评 …18 13.1等级保护 …………18 13.2 商业秘密定密及标志 ……………18 13.3 角色定义… ………………19 13.4 数据流向控制 …19 13.5 密码应用 ……19 13.6系统评估……… ……20 14 环境要求测评 20 14.1 物理环境……………………… ……20 142 网络环境…… …20 14.3 云平台环境……… ……21 14.4 数据湖环境……………… …………21 14.5主机环境…… 22 15功能要求测评……… 23 15.1身份鉴别…… 23 15.2访问...