毕博—石油国际全套咨询电子商务安全管理规范_030326_v3_FD.docVIP

中国石油信息安全标准 编号： 中国石油天然气股份有限公司 电子商务安全管理规范 （审阅稿） 版本号：V3 审阅人：王巍 中国石油天然股份有限公司 前 言 随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。 本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下： 整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。 对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构，这7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这7个标准组合成一本《通用安全管理标准》单独成册。 全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。 中国石油电子商务交易平台(，能源一号) 由中国石油和和记黄埔等7个公司成立的合资公司（以下简称合资公司）负责运营，是一个国际一流的、以中国石油天然气工业为主要对象的企业对企业（B2B）电子交易平台，为石油及天然气市场上的参与者提供产品交易、行业信息、物流及其它增值服务。因此合资公司是电子商务交易的组织者和潜在的电子市场的秩序维护者，而能源一号则是一个潜在的电子交易市场（目前还不具备完整意义上的电子交易市场功能——即为各个买方和卖方提供交易撮合工具和自由交易保证的平台）。 中国石油总部、专业分公司、全资子公司、地区分公司和直属科研规划院（全资子公司、地区分公司和直属科研规划院以下简称地区公司）、控股子公司、参股公司以及其它中国石油天然气工业企业和相关的供应商和采购商是电子商务平台的用户。中国石油电子商务部负责中国石油电子商务工作的组织、管理、协调和指导部门，负责对电子商务应用系统进行归口管理。地区公司成立相应的电子商务管理部门并设立技术岗位，在需要的业务岗位上配备电子商务应用系统终端进而实施电子商务行为。由此可见中国石油及其地区公司等是中国石油电子商务的参与者。 在中国石油电子商务过程中需要防范一系列的安全问题，主要包括其作为电子商务系统技术平台组织者需要防范的安全问题和作为电子商务参与者需要防范的安全问题。就组织者的角色而言，合资公司以及中国石油电子商务部等相关单位需要维护整个电子商务交易平台的安全，包括软硬件设备、网络系统、数据等的安全。就参与者的角色而言，中国石油需要考虑电子商务的交易安全，即怎样防止交易过程中可能出现的不安全因素，对电子商务系统提供的交易平台提出安全要求并最终由相关组织如合资公司加以落实。 需要指出的是电子商务安全是涉及面非常广的话题，需要从管理、组织、流程和技术等角度综合考虑安全防范问题。本规范从电子商务系统平台安全和电子商务交易安全两个方面规范中国石油和其它各方在电子商务方面的安全要求。即为上图的在整个信息安全总体架构中以深色底色标注的部分。 本规范由中国石油天然气股份有限公司发布。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门：中国石油制定信息安全政策与标准项目组。 说 明 在中国石油信息安全标准中涉及以下概念： 组织机构 中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司”。 集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网（PetroChinaNet） 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。 集团公司网络（CNPCNet） 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。 主干