数据和文档安全管理规范vfd样本.doc

中华人民共和国石油信息安全原则

编号：

中华人民共和国石油天然气股份有限公司

数据和电子文档安全管理规范

（审视稿）

版本号：V3

审视人：王巍

中华人民共和国石油天然股份有限公司

前言

随着中华人民共和国石油天然气股份有限公司（如下简称“中华人民共和国石油”）信息化建设稳步推动，信息安全日益受到中华人民共和国石油广泛关注，加强信息安全管理和制度无疑成为信息化建设得以顺利实行重要保障。中华人民共和国石油需要建立统一信息安全管理政策和原则，并在集团内统一推广、实行。

本规范是根据中华人民共和国石油信息安全现状，参照国际、国内和行业有关技术原则及规范，结合中华人民共和国石油自身应用特点，制定适合于中华人民共和国石油信息安全原则与规范。目的在于通过在中华人民共和国石油范畴内建立信息安全有关原则与规范，提高中华人民共和国石油信息安全技术和管理能力。

信息技术安全总体框架如下（change-highlightthecorrespondingone）：

整体信息技术安全架构从逻辑上共分为7个某些，分别为：物理环境、硬件设备、网络、操作系统、数据和电子文档、应用系统和通用安全管理原则。图中带阴影方框中带书名号为单独成册某些，共有13本《规范》和1本《通用原则》。

对于13个《规范》中具备一定共性内容咱们整顿出了7个《原则》横向贯穿整个架构，这7个《原则》组合也根据了信息安全生命周期理论模型。每个《原则》都会对所有《规范》中有关涉及到内容产生指引作用，但每个《原则》应用在不同《规范》中又会有相应不同详细内容。咱们在行文上将这六个原则组合成一本通用安全管理原则单独成册。

全文以信息安全生命周期办法论作为基本指引，《规范》和《原则》内容基本都依照防止——〉保护——〉检测跟踪——〉响应恢复理论基本行文。

随着公司信息化建设不断进一步，公司对于各类信息需求也越来越急迫，同步，公司内部各种信息数据重要限度也越来越高。有时由于公司信息数据丢失或破坏对于一种公司来说影响限度是无法预计，也许会直接导致一种公司失败。而保护公司信息最直接最核心办法就是对于信息各种电子化载体安全控制，例如电子电子文档或存储在数据库中数据。因而本规范就是针对该类数据和电子文档安全上考虑，在上图——信息安全总体框架中以深色底色标注某些。

为加强计算机系统信息安全，1985年美国国防部刊登了《可信计算机系统评估准则》（缩写为TCSEC），它根据解决信息级别采用相应对策，划分了4类7个安全级别。依照各类、级安全规定从低到高，依次是D、C1、C2、B1、B2、B3和A1级。在中华人民共和国市场上国外数据库安全级别为C2级，国外更高档别数据库是限制对中华人民共和国出口（当前通用原则(CC：CommonCriteria)已经被国际原则化组织接受，代替TCSEC来评价计算机安全级别，通用原则EAL3级大体与C2级功能相称）。

但是中华人民共和国当前大型公司使用数据库系统，涉及中华人民共和国石油内部使用，大多数还是国外厂商生产数据库产品，在无法购买到更安全技术状况下，需要通过其她安全管理办法来加强数据库安全特性。

本规范由中华人民共和国石油天然气股份有限公司发布。

本规范由中华人民共和国石油天然气股份有限公司科技与信息管理部归口管理解释。

起草部门：中华人民共和国石油制定信息安全政策与原则项目组。

说明

在中华人民共和国石油信息安全原则中涉及如下概念：

组织机构

中华人民共和国石油（PetroChina）指中华人民共和国石油天然气股份有限公司有时也称“股份公司”。

集团公司（CNPC）指中华人民共和国石油天然气集团公司有时也称“存续公司”。为区别中华人民共和国石油地区公司和集团公司下属单位，但提及“存续某些”时指集团公司下属单位。如：辽河油田分公司存续某些指集团公司下属辽河石油管理局。

计算机网络

中华人民共和国石油信息网（PetroChinaNet）指中华人民共和国石油范畴内计算机网络系统。中华人民共和国石油信息网是在中华人民共和国石油天然气集团公司网络基本上，进行扩充与提高所形成连接中华人民共和国石油所属各个单位计算机局域网和园区网。

集团公司网络（CNPCNet）指集团公司所属范畴内网络。中华人民共和国石油某些地区公司是和集团公司下属单位共用一种计算机网络，当提及“存续公司网络”时，指存续公司使用网络某些。

主干网是从中华人民共和国石油总部连接到各个下属各地区公司网络某些，涉及中华人民共和国石油总部局域网、各个二级局域网（或园区网）和连接这些网络专线远程信道。有些单位通过拨号线路连接到中华人民共和国石油总部，不是运用专线，这样单位和所使用远程信道不属于中华人民共和国石油专用网主干网构成某些。

地区网地区公司网络和所属单位网络总和。这些局域网