中國石油天然氣股份有限公司信息安全管理辦法

中國石油天然氣股份有限公司信息安全管理辦法12020 年 4 月 19 日文檔僅供參考中國石油天然氣股份有限公司信息系統(tǒng)安全管理辦法（石油信 374 號）第一章總則第一條為加強中國石油天然氣股份有限公司（以下簡稱股份公司）信息系統(tǒng)安全管理，推進信息系統(tǒng)安全體系建設(shè)，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)國家有關(guān)法律、法規(guī)和中國石油天然氣股份有限公司信息化工作管理規(guī)定，制定本辦法。第二條本辦法所稱信息系統(tǒng)安全，包括計算機網(wǎng)絡(luò)和應(yīng)用系統(tǒng)（以下簡稱信息系統(tǒng)）的硬件、軟件、數(shù)據(jù)及環(huán)境受到有效保護，信息系統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。第三條信息系統(tǒng)安全管理堅持“誰主管誰負責(zé)”的原則，各信息系統(tǒng)的主管部門、運營和使用單位各自履行相關(guān)的信息系統(tǒng)安全建設(shè)和管理的義務(wù)與責(zé)任。482020 年 4 月 19 日文檔僅供參考第四條信息系統(tǒng)安全工作的總體目標(biāo)是：實施信息系統(tǒng)安全等級保護，建立健全先進實用、完整可靠的信息系統(tǒng)安全體系，保證系統(tǒng)和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設(shè)和應(yīng)用，支撐公司業(yè)務(wù)持續(xù)、穩(wěn)定、健康發(fā)展。第五條信息系統(tǒng)安全體系建設(shè)必須堅持“統(tǒng)一標(biāo)準(zhǔn)、保障應(yīng)用、符合法規(guī)、綜合防范、集成共享”的原則。第六條本規(guī)定適用于股份公司總部機關(guān)、專業(yè)分公司（以下簡稱專業(yè)分公司）和地區(qū)分（全資子）公司、直屬單位（以下統(tǒng)稱地區(qū)公司）。第二章信息系統(tǒng)安全管理組織與職責(zé)第七條信息化工作領(lǐng)導(dǎo)小組是信息系統(tǒng)安全工作的最高決策機構(gòu)，負責(zé)信息系統(tǒng)安全政策、制度和體系建設(shè)規(guī)劃的審批，部署并協(xié)調(diào)信息系統(tǒng)安全體系建設(shè)，領(lǐng)導(dǎo)信息系統(tǒng)等級保護工作。第八條信息管理部是股份公司信息系統(tǒng)安全的歸口管理部門，負責(zé)落實信息化工作領(lǐng)導(dǎo)小組的決策，實施股份公司信息系統(tǒng)安全建設(shè)與管理，確保重要信息系統(tǒng)的有效保護和安全運行。具體職責(zé)492020 年 4 月 19 日文檔僅供參考包括：組織制定和實施股份公司信息系統(tǒng)安全政策標(biāo)準(zhǔn)、管理制度和體系建設(shè)規(guī)劃，組織實施信息系統(tǒng)安全項目和培訓(xùn)，組織信息系統(tǒng)安全工作的監(jiān)督和檢查。第九條股份公司保密部門負責(zé)信息系統(tǒng)安全工作中有關(guān)保密工作的監(jiān)督、檢查和領(lǐng)導(dǎo)。第十條專業(yè)公司、地區(qū)公司信息部門負責(zé)本單位信息系統(tǒng)安全的管理，具體職責(zé)包括：在本單位宣傳和貫徹執(zhí)行信息系統(tǒng)安全政策與標(biāo)準(zhǔn)，確保本單位信息系統(tǒng)的安全運行，實施本單位信息系統(tǒng)安全項目和培訓(xùn)，配合保密部門和執(zhí)法部門追蹤和查處本單位信息系統(tǒng)安全違規(guī)行為，組織本單位信息系統(tǒng)安全工作檢查，完成股份公司部署的信息系統(tǒng)安全工作。第十一條技術(shù)支持單位在信息管理部的領(lǐng)導(dǎo)下，承擔(dān)所負責(zé)的信息系統(tǒng)和所在區(qū)域內(nèi)的信息系統(tǒng)安全管理任務(wù)，主要包括：在所維護系統(tǒng)和本區(qū)域內(nèi)宣傳和貫徹信息系統(tǒng)安全政策與標(biāo)準(zhǔn)，確保所負責(zé)信息系統(tǒng)的安全運行。第十二條各級信息管理部門設(shè)立信息系統(tǒng)安全管理和技術(shù)崗位，包括信息系統(tǒng)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)等負責(zé)502020 年 4 月 19 日文檔僅供參考人和管理員，重要崗位可設(shè)置兩個員工互為備份。第十三條信息系統(tǒng)安全崗位的設(shè)立應(yīng)遵循職責(zé)分離的要求，包括：制度監(jiān)督者與執(zhí)行者分離、信息系統(tǒng)授權(quán)者與操作者分離、應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫管理員分離，程序開發(fā)人員不應(yīng)具備對生產(chǎn)環(huán)境的訪問權(quán)限。第十四條公司員工必須嚴(yán)格遵守股份公司信息系統(tǒng)安全政策、管理制度、技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)控制要求，承擔(dān)相關(guān)安全義務(wù)和責(zé)任，并及時向有關(guān)管理部門報告信息系統(tǒng)安全事件。第三章信息系統(tǒng)安全工作基本要求第十五條信息系統(tǒng)安全工作的基本要求是：根據(jù)股份公司信息系統(tǒng)安全總體方案，貫徹與實施國家信息安全等級保護制度，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息系統(tǒng)安全體系，并保持三個體系穩(wěn)定、均衡發(fā)展。第十六條信息系統(tǒng)安全管理體系包括：統(tǒng)一的信息系統(tǒng)安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)；信息系統(tǒng)資產(chǎn)管理責(zé)任制；信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)等各層面的安全管理流程；信息系512020 年 4 月 19 日文檔僅供參考統(tǒng)的安全風(fēng)險管理。第十七條信息系統(tǒng)安全技術(shù)體系包括：網(wǎng)絡(luò)、桌面和應(yīng)用系統(tǒng)安全防護措施；身份管理與認證平臺；安全監(jiān)控和預(yù)警機制；應(yīng)急響應(yīng)系統(tǒng)；同城和異地容災(zāi)備份中心。第四章信息系統(tǒng)安全監(jiān)控第十八條信息系統(tǒng)安全監(jiān)控的目的是對威脅系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)安全的因素進行有效控制，防止由于技術(shù)或人為因素導(dǎo)致的異常和損失，同時為其它安全措施的設(shè)計和實施提供可靠依據(jù)。安全監(jiān)控的結(jié)果應(yīng)當(dāng)保存一年以上。第十九條信息系統(tǒng)的運行和維護單位，在國家法律和股份公司有關(guān)規(guī)定許可的范圍內(nèi)，具體進行規(guī)范、合理、有效的信息系統(tǒng)安全監(jiān)控。使用公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的用戶有義務(wù)接受必要的監(jiān)控。監(jiān)控不能影響、泄漏不涉及安全問題的網(wǎng)上行為和個人隱私的內(nèi)容。第二十條各級信息部門負責(zé)制定和實施信息系統(tǒng)安全監(jiān)控計劃，包括日常監(jiān)控、事件處理、應(yīng)急處理和定期匯報。第二十一條日常監(jiān)控分為實時監(jiān)控和定期檢查，包括應(yīng)用522020 年 4 月 19 日