SYT 5231-2010石油工业计算机信息系统安全管理规范.pdf

ICS 75 - 010E 07备案号：29417—2010中华人民共和国石油天然气行业标准SY/T 5231-2010代替 SY/T 5231-1999石油工业计算机信息系统安全管理规范 Security management standard for computer information systemof petroleum industry2010一10－01实施2010一05一01 发布发布国家能源局 SY/T 5231-2010目次前言范围1规范性引用文件2 术语和定义34.体系概述物理安全5网络安全6....信息加密A运行安全8访问控制9 10安全架构和评估11业务连续性计划和灾难性恢复计划·12遵守法律与犯罪调查管理·13用户管理参考文献I SY/T 5231—2010前言本标准代替SY/T5231一1999《石油工业计算机安全保密规程》。本标准由石油信息与计算机应用专业标准化技术委员会提出并归口。本标准起草单位：中国石油勘探开发研究院。本标准主要起草人：靖小伟、冯梅、刘磊、石国伟、杨志贤、王峰、刘晓、郭以东、张克春、刘建兵、郭晓东、王雷、滕征岑、叶铭。本标准所代替标准的历次版本发布情况为：SY/T SY/T 5231-1999。I SY/T 5231--2010石油工业计算机信息系统安全管理规范范围1 石油工业计算机信息系统安全涵盖信息的存储、传输及应用的各环节，涉及到以下10个方面：体系概述；物理安全；网络安全；信息加密；访问控制；运行安全；安全架构和评估；-业务连续性计划和灾难性恢复计划；遵守法律及犯罪调查管理;-用户管理。本标准为指导性标准，适用于石油工业企业，具体的信息系统按照各自的特点制定详细安全技术规范。2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T17859—1999计算机信息系统　安全保护等级划分准则ISO/IEC 15408信息技术安全评估准则信息安全等级保护管理办法公通字（2007）43号3术语和定义下列术语和定义适用于本标准。3.1客体object信息的被动载体，如计算机、文件、数据库、目录、程序等。3.2主体 subject存取客体中信息或客体的主动实体，如用户、程序、进程或设备等。3.3安全策略 security policies由最高管理层做出的关于信息安全的最广泛、最概括的定义，明确指定了企业信息安全的作用、价值与意义。3.4安全域 security domains可供主体访问的一组资源，这一资源工作于同一安全策略之下、被统一管理。I SY/T 5231—20103.5业务连续性计划business continuity planning为保护信息系统，降低关键业务应用活动受到灾难影响，制定的保证业务应用连续性的技术方案。3.6灾难性恢复计划 disaster recovery planning灾难来临后，为保护信息系统，使企业关键业务应用不受灾难破坏，并在企业所能容忍的时间间隔内实施恢复，制定的业务恢复正常的技术方案。4体系概述4.1依据国家的相关法律、法规及国际标准，建立适合本企业的信息系统安全策略体系。4.2依据GB/T17859-1999及《信息安全等级保护管理办法》［公通字（2007）43号］的规定，划分企业信息系统的安全等级。4.3建立信息系统安全等级的风险评估与管理制度，定期分析面临的威胁，进行风险评估。4.4根据风险评估及费用分析，选择安全措施。4.5建立信息系统安全管理机构，设置相应的安全岗位，明确应尽的责任与义务。4.6信息系统安全管理机构负责制定企业信息系统安全管理目标，划分信息系统的安全等级，建立风险评估与管理制度，制定用户管理规范，进行信息系统安全教育和培训，在聘用、保密和解聘等协议中加入关于信息系统安全的条款。5物理安全5.1依据国家相关规范及标准，对信息系统所处环境进行安全保护。5.2依据国家的相关法律、法规及国际标准，对信息系统的承载设备实行电源保护、防盗、防毁防电磁信息辐射泄漏及抗电磁干扰。5.3制定适合本企业信息系统安全等级的物理安全策略。5.4建立企业信息存储介质安全管理规定。5.5对不同安全等级的信息系统环境安全、设备安全及介质安全定期进行威胁评估，分析面临的风险。5.6依据本企业物理安全策略，实施物理安全保护措施，包括对人、设备、环境、介质等。6　网络安全6.1分析评估信息系统在网络传输过程中面临的威胁与风险，按照不同的信息系统安全等级，划分网络安全域。针对不同的安全域，制定不同的安