中国石油天然气集团公司信息系统安全管理办法

中国石油天然气集团公司

信息系统安全管理办法

第一章总则

第一条为加强中国石油天然气集团公司（以下简称“集团公司”）信息系统安全管理，推进信息系统安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《中国石油天然气集团公司信息化工作管理规定》，制定本办法。

第二条本办法所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。

第三条信息系统安全管理坚持“谁主管谁负责”的原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。

第五条信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。

第六条本办法适用于集团公司总部、各企事业单位。

第二章管理组织与职责

第七条集团公司信息化工作领导小组是信息系统安全工作的最

高决策机构，负责信息系统安全政策、制度和体系建设规划的审批，部署并协调信息系统安全体系建设，领导信息系统等级保护工作。

第八条信息管理部是集团公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的决策，实施集团公司信息系统安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施集团公司信息系统安全政策标准、管理制度和体系建设规划，组织实施信息系统安全项目和培训，组织信息系统安全工作的监督和检查。

第九条集团公司保密部门负责信息系统安全工作中有关保密工

作的监督、检查和领导。

第十条企事业单位信息部门负责本单位信息系统安全的管理，具体职责包括：在本单位宣传和贯彻执行信息系统安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息系统安全项目和培训，配合保密部门和执法部门追踪和查处本单位信息系统安全违规行为，组织本单位信息系统安全工作检查，完成集团公司部署的信息系统安全工作。

第十一条技术支持单位在信息管理部门的领导下，承担所负责的信息系统和所在区域内的信息系统安全管理任务，主要包括：在

所维护系统和本区域内宣传和贯彻信息系统安全政策与标准，确保所负责信息系统的安全运行。

第十二条各级信息管理部门设立信息系统安全管理和技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位可设置两名员工互为备份。

第十三条信息系统安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离、信息系统授权者与操作者分离、应用系统管理员与数据库管理员分离，程序开发人员不应具备对生产环境的访问权限。

第十四条公司员工必须严格遵守集团公司信息系统安全政策、管理制度、技术标准和信息系统控制要求，承担相关安全义务和责任，并及时向有关管理部门报告信息系统安全事件。

第三章基本工作要求

第十五条信息系统安全工作的基本要求是：根据集团公司信息系统安全总体方案，贯彻与实施国家信息安全等级保护制度，分层次建立以安全组织体系为核心、安全管理体系为保障、安全技术体系为支撑的全面信息系统安全体系，并保持三个体系稳定、均衡发展。

第十六条信息系统安全管理体系包括：统一的信息系统安全策略、管理制度和技术标准；信息系统资产管理责任制；信息系统物理环境、网络、系统、应用、数据等各层面的安全管理流程；信息系统的安全风险管理。

第十七条信息系统安全技术体系包括：网络、桌面和应用系统安全防护措施；身份管理与认证平台；安全监控和预警机制；应急响应系统；同城和异地容灾备份中心。

第四章安全监控

第十八条信息系统安全监控的目的是对威胁系统、数据库及网络安全的因素进行有效控制，防止由于技术或人为因素导致的异常和损失，同时为其他安全措施的设计和实施提供可靠依据。安全监控的结果应保存一年以上。

第十九条信息系统的运行和维护单位，在国家法律和集团公司有关规定许可的范围内，具体进行规范、合理、有效的信息系统安全监控。使用公司网络及应用系统的用户有义务接受必要的监控。监控不能影响、泄漏不涉及安全问题的网上行为和个人隐私的内容。

第二十条各级信息部门负责制定和实施信息系统安全监控计划，包括日常监控、事件处理、应急处理和定期汇报。

第二十一条日常监控分为实时监控和定期检查，包括应用系统、数据库、操作系统、网络、物理环境以及外部人员对信息系统访问的实时监控与定期检查。监控及检查结果要存档备查，异常情况须及时向有关负责人汇报。

第二十二条在全公司范围建立信息系统安全意外事件通报处理

机制，各级单位应根据实际需要，设立由信息部门和相关业务部

门牵头的常设或虚拟的信息系统安全事件处理组织，人员可由业务和信息技术管理人员兼任。

第二十三条各级信息部门组织制定和贯彻执行信息系统安全事

件识别、分级和处置细则，各信息系统的运行和维护单位要对发生的信息系统安全事件及时分级，及时通报，并采取有效措施避免或降低事件对业务的负面影响，事后要编制事件处理报告并按程序上报。

第二十四条各级信息部门应对网络及重要信息系统制定详细的

应急处理预案。应急处理按照预案进行，并至少每年组织一次相关岗位人员进行应急预案演练。

第二十五条各级信息部门编制、上报信息系统安全月报和年报，及时向主管领导和上级部门汇报重大信息系统安全风险和事件。

第五章风险评估

第二十六条信息管理部门负责组织建立风险评估规范及实施团队，定期或在重大、特殊事件发生后进行风险评估。

第二十七条风险评估包括范围确定、风险识别、风险分析和控制措施，确保信息系统安全满足应用和业务需要。

评估范围包括管理组织、流程、政策与标准、应用系统、数据库、操作系统、网络、物理环境，应涵盖公司内部关键控制点。风险识别包括识别风险类型和风险事件，形成风险列表，更新信息风险数据库。风险分析包括信息资产分类、风险发生概率和影响程