项目信息安全管理计划(含附属表单)

项目信息安全管理计划

目录

1 目的 (3)

2 适用范围 (3)

3 引用文件 (3)

4 定义 (3)

5 职责 (4)

6 工作要求和程序 (4)

7 附件 (9)

1 目的

为确保XXXXX化工项目(以下简称ZAUCC项目)建设过程中关键技术信息数据的安全管理，保护项目信息的安全、有效利用，特制定此程序。

2 适用范围

本程序适用于XXXXX化工项目的信息安全管理。

3 引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/Z 24364《信息安全技术信息安全风险管理指南》

GB/T 20269《信息安全技术信息系统安全管理要求》

SEP-SPM-GS1OO1 中国石化项目管理手册(标准模板)

4 定义

下列术语和定义适用于本标准。

4.1信息安全管理

即项目信息管理者针对当前面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护项目信息和项目信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为项目信息和项目信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。

4.2 EDMS

即电子文档管理系统。适用于项目建设过程中，是项目文档的数据库，也是项目文档管理工作的平台。项目文档管理人员通过电子文档管理系统实现项目文档的创建、发布、分发、查阅、归档，以及实时监控。

4.3 IT

即信息技术。一般分三个层次。第一层是硬件，主要指数据存储、处理和传输的主机和网络通信设备;第二层是指软件，包括可用来搜集、存储、检索、分析、应用、评估信息的各种软件;第三层是指应用，指搜集、存储、检索、分析、应用、评估使用各种信息。

4.4 DCC

即文档管理部门，是统一监督、管理、保存和控制分发所有项目产生的文档的管理部门。

5 职责

5.1 IT

1) 负责网络设置、终端用户支持和软件分发。

2) 负责EDMS系统、邮件系统的信息安全的管理。负责EDMS系统、邮件系统帐户的建立与分组。

5.2 DCC

1) 制定涉密文件的访问规则，并做好相应的保密管理工作。

2) 维护和管理EDMS电子目录结构，保证文件的访问能满足职能部门和区域项目分部的要求。

3）负责维护、管理档案管理系统，保证电子档案访问能满足职能部门和区域项目分部的要求。

6 工作要求和程序

6.1数据安全体系

所有为多个用户服务的计算设备(服务器)放置在带锁的柜子中或放置在主计算机房内。主计算机房有电子门禁系统记录所有的事件。此区域有空气调节设施，并安装火灾报警和消防系统。电源后备系统保证为计算机房提供连续的电力供应。中心系统和各用户的数据保存在中央磁盘存储器上。桌面机只含有临时数据以及易于重建的数据。

6.2用户访问授权与控制

办公网络设置准入控制,项目人员的电脑需在IT中心检查安装杀毒软件、系统补丁合格并初始设置方后可访问本地计算机网络。经项目管理组或信息/文档管理经理批准后用户可以访问应用程序和数据。密码最短八位并必须周期性地修改。基于用户的角色，用户访问(尤其是大型应用软件)分为应用访问和项目数据库访问。

6.3关于技术信息泄露的指导方针

建设单位购买的用于装置设计的及技术提供者的工艺技术及技术必须根据承诺的相关保密条款来加以保护，以便相关保密协议中定义的机密信息不以非授权方式透露。采用下列基本原则:

1)不提供多于需要的信息给EP(C)承包商、供应商及其他第三方;

2)数据表和工程图必须带有项目保密语句(参见附件1);

3)不提供工艺流体组份，而提供整体属性。少量情况需要提供工艺流体组份的情况下，应预先准备保密协议;

4)不要提供制作过程的信息;

5) 保持主要关键设备的机械数据表和图纸的秘密，其包含有专利商的专利信息;

6)一般而言，下列文件应该被作为机密文件:

●总图与布置图(平、立面图)

●设备表

●PFD图及热量与物料平衡

●P&ID图

●工艺数据表

●计算书(工艺、机械、仪表、管道和电气)

●仪表原理(图表和说明)

●仪表逻辑图

●管道布置图

7) 所有这些工程文件应在首页或标题栏的显要位置标示保密条款(参见附件1)；

8) 一般而言，机械设备的机械数据表和图纸不被认为是机密的(特殊情况见后面详细说明)；

9)详细的施工图，如框架结构图、单管图和现场连接图不被认为是机密的。

6.4商业敏感数据的管理

1)必须对商业敏感信息采取严格地保密措施，如项目执行计划、成本估计、投标人名单、评估报告、投标人的选择或等级评定信息、合同或采购协议信息、带价格的合同或采购单和发票等。

2)项目商务信息将被电子化保存在电子文档管理系统中(对此数据的访问限于由项目管理部管理层指定的预先认可的人员)。

3)将向授权人员电子化发布敏感信息。

4)所有诸如此类的信息将被发布给少数需要知道此信息的人员。需要以硬拷贝的方式发布时，必须装在标有“机密---仅由收件人开启”的密封的信封中发送。

5)所有拥有这些商业敏感信息的个人应当确保这些信息被锁在保险柜中并且要防止这些信息的外泄。