海油信息安全管理细则 .pdf

1目的

规范计算机及计算机网络信息安全管理，提高信息安全保障能力和水平，维护国

家及企业安全。

2适用范围

公司机关及所属单位。

3编制依据

3.1《信息安全管理办法》(IT-01-07，2011，中国海油)

3.2《信息系统安全等级保护管理细则》(IT-01-07-02，2011，中国海油)

3.3《计算机信息网络安全规范》(Q/HS5000-2009，中国海油)

3.4《信息安全管理办法》(AM-01-08，2015，公司)

3.5《信息系统安全等级保护工作实施细则》(AM-01-08-01，2015，公司)

4职责

4.1行政管理部

督促、检查、指导公司及所属单位计算机网络信息运营的安全工作。

4.2公司机关部门及所属单位

履行计算机网络信息安全的义务和责任。

5工作内容与要求

5.1安全防范

5.1.1基本要求

5.1.1.1各单位应按信息系统安全保护级别对信息系统采取安全防范措施，并确保

安全防范工作的有效落实。

5.1.1.2IT支持服务中心应采取必要措施，提高网络的整体防护能力。

5.1.1.3各信息系统的数据、信息传输都应采用加密传输。

5.1.1.4各业务责任单位应制定其信息系统备份策略和灾备策略。

5.1.1.5IT支持服务中心应提供备份和灾备的相应资源、服务，定期备份数据、进

行恢复测试并做好记录。

5.1.1.6各单位应对本单位信息系统的信息进行审查、检查和复查，确保信息的合

法性、合规性。

5.1.1.7员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限

内的信息安全和上网行为负责，员工终端中严禁存储涉密(此处涉密系指涉及国家秘

密，下同)信息，终端中的商密文件不可设置为共享，工作邮箱电子邮件的收发要进

行病毒查杀。

5.1.1.8员工发现异常或发现其他人员非法使用计算机时，有及时向所属单位或公

司报告的责任。

5.1.1.9各单位要对移动存储介质进行登记、编号，移动存储介质要经IT支持服务

中心检测合格、注册后入网使用。

5.1.1.10涉及国家或企业秘密信息的存储、传输等应指定专人负责，并严格执行国

家、中国海油及公司有关保密的法律、法规和相关管理规定。

5.1.1.11涉密信息未经批准，不得在网络上发布或通过明码（明文）传输。

5.1.2信息加密管理

5.1.2.1涉及国家秘密的信息，其电子文档资料须加密存储。

5.1.2.2涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。

5.1.2.3涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息，在传

输过程中应遵守国家的有关规定，视情况采用文件加密传输或链路传输加密。

5.1.2.4适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。

5.1.3用户账号(ID)管理

5.1.3.1信息系统管理系统中或运维支持体系中应包括账号管理流程。

5.1.3.2信息系统用户要严格管理账号，不得把自己账号外借他人使用、不得在电

脑、屏幕和办公桌上贴条暴露账号信息，禁止索要、盗取、使用、传播任何未经授权

使用的账号。

5.1.3.3加强对离职员工的账号管理，各单位在员工离职时应办理注销其账号。

5.1.4用户权限管理

5.1.4.1信息系统权限设计要符合安全管理要求，实现最小权限和权限互斥原则。

5.1.4.2信息系统的用户权限要严格对应用户工作职责，权限申请和变更应按流程

办理审批手续。

5.1.5禁止活动

5.1.5.1涉密计算机必须与互联网物理隔离，禁止把涉密计算机直接或间接连入公

司局域网络和互联网，禁止在互联网计算机中存储或处理涉密信息。

5.1.5.2禁止利用信息网络系统制作、传播、复制有害信息。

5.1.5.3禁止非法违规入侵计算机和信息系统，禁止未经授权对信息网络系统中存

储、处理或传输的信息进行增加、修改、复制和删除等。

5.1.5.4禁止未经允许使用他人在信息网络系统中未公开的信息。

5.1.5.5禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。

5.1.5.6禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间

上处理、存储、传输公司业务和信息。

5.1.5.7禁止故意干扰网络的畅通运行。

5.1.5.8禁止其他危害公司信息网络系统安全的活动。

5.2员工信息系统使用

5.2.1员工信息系统是指员工利用公司内部计算机技术对业务和信息进行集成处理

的程序、数据、